为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RocketMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RocketMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RocketMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RocketMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RocketMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }

云硬盘(EVS,Elastic Volume Service)是一种可弹性扩展的块存储设备,可以为弹性云主机和物理机提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富,满足不同场景的业务需求,适用于文件系统、数据库、开发测试等场景。

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 取值范围：200 成功 200 message String 提示信息 资源绑定标签成功 returnObj Object 返回数据结构体 returnObj error String 错误码 仅错误时返回 格式为{服务编码}.{错误编号} KMS.0269

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 取值范围：200 成功 200 message String 提示信息 资源绑定标签成功 returnObj Object 返回数据结构体 returnObj error String 错误码 仅错误时返回 格式为{服务编码}.{错误编号} KMS.0269

本章节为您介绍日志分析常用的监控指标 监控指标 释义 常见原因 建议阈值 处理建议 respcode：200 服务器已成功处理请求，返回了请求的数据。 初始化正常业务时，200状态码的告警监控阈值可以配置为90%，具体根据实际业务情况调整。 如果发现低于监控比例，需要分析比例下降的原因，例如是否因为其他错误状态码比例增加。 requesttime 客户端请求到返回结果的请求耗时，即从客户端WAF源站再从源站WAF客户端整个时长 按实际业务请求所需耗时，设置合适的超时告警监控阈值。 如果发现域名请求耗时较长，需要检查客户端WAF源站整体网络链路质量，并排查源站响应状态是否正常。 responsetime 请求回源时，源站返回数据的响应时间，即从WAF源站再从源站WAF的时间。 按实际业务请求所需耗时，设置合适的超时告警监控阈值。 如果发现域名请求耗时较长，需要检查客户端WAF源站整体网络链路质量，并排查源站响应状态是否正常。 status:403 WAF拦截状态码，由Web核心防护、BOT防护、CC防护、地域防护等所有防护模块产生的防护状态均为403 WAF安全策略拦截 通过全量日志分析拦截的规则、请求行为，判断是正常拦截还是误拦截。 status:404 服务器找不到请求的资源。 【客户端相关】 客户端输入错误（最常见） 前端/App代码问题 【服务端相关】 资源被删除或迁移 权限/状态导致逻辑404 短暂的系统异常 自动化扫描/攻击 初始化时，建议配置5%~10%的告警阈值比例，后续运营期间可以根据业务拦截情况灵活调整。 少量404（例如总请求量的0.1%以下）且集中在特定来源（爬虫/旧书签）通常无需紧急处理，但如果涉及核心业务流程或突增超过0.5%，建议按以下步骤排查。 检查最近一次代码/配置发布的时间点与404突增时间是否吻合。 查看404 URL是否有明显规律（如特定路径、特定参数值、特定来源页面）。 确认是否存在损坏的外部链接（如合作方网站跳转）。 验证Web服务器（如Nginx）和应用程序的404日志是否一致。 针对单个404 URL，使用 curl v 模拟请求，查看完整响应头。 status:499 客户端发起请求，服务端未返回数据，超过客户端设置的等待时间后，客户端主动断链，服务端返回给客户端该状态码。 【客户端相关】 客户端超时设置过短 用户行为 【服务端相关】 后端处理太慢（最常见） 【网络相关】 网络问题 【WAF相关】 WAF超时配置过短 初始化时，建议配置5%~10%的告警阈值比例，后续运营期间可以根据业务拦截情况灵活调整。 优先排查慢接口（SQL、下游调用、复杂计算），然后调整超时配置，同时关注非幂等请求的重复调用问题。少量偶发（<0.1%）可以接受，超过 1% 需要尽快优化。 status:500 服务器内部发生了预期外的错误，无法完成请求。简单说：代码报错了。 不是客户端的问题（请求本身可能是合法的） 不是网络问题 是后端代码运行时抛出了未捕获的异常（如空指针、数组越界、数据库连接失败、语法错误等） 少量 500 通常意味着存在 Bug，需要修复。 【服务器相关】 1.服务器代码异常（最常见） 2.数据库问题 3.依赖服务故障 4.内存/资源不足 5.配置错误 6.发布相关 初始化时，建议配置5%~10%的告警阈值比例，后续运营期间可以根据业务拦截情况灵活调整。 少量 500（比如单日个位数）如果确认是偶发的极端情况（比如某个特殊数据导致的空指针），建议记录并修复，不应存在预期内的 500。任何 500 都应该被当做一个可观测的 Bug 来处理。 status:502 WAF作为“前台”，向后端（“后台”）请求数据，但后台没有给出正确的 HTTP 响应。这通常意味着前后台之间的通道断了。一般由于回源网络质量变差、回源链路有访问控制拦截回源请求导致源站无响应。 【服务器相关】 1. 后端服务进程挂了（最常见） 2. 后端服务端口未监听 3. WAF到后端的连接失败 4. 超时（容易与 504 混淆） 5. 响应格式不合法，后端返回了一个 WAF 无法解析的响应（如不是标准的 HTTP 格式），响应的 ContentLength 与实际 body 长度不一致。 6.WAF回源配置中源站位置不可达 【WAF相关】 7.WAF keepalive超限 初始化时，建议配置5%~10%的告警阈值比例，后续运营期间可以根据业务拦截情况灵活调整。 建议检查回源网络链路、回源链路中间的访问控制策略、源站处理资源负载、数据库等情况。检查源站是否拦截了WAF回源IP的请求。少量偶发的 502（比如发布期间的几秒钟）可以接受，但持续性或高比例的 502 必须立即处理。 status:503 服务器暂时无法处理请求，通常是因为过载、正在维护或后端主动拒绝服务。 【服务器相关】 1. 服务过载（最常见） 2. 主动限流/熔断（设计行为） 3. 正在维护/部署 4. 配置错误 5. 资源耗尽（系统层面） 初始化时，建议配置5%~10%的告警阈值比例，后续运营期间可以根据业务拦截情况灵活调整。 少量 503 在高峰期或发布期间可以接受（如限流触发的正常拒绝），但如果核心接口持续返回 503，说明系统容量不足或配置有问题，需要扩容或优化。对于限流返回的 503，建议在响应头中添加 RetryAfter: 5 status:504 作为网关或代理的服务器（如 Nginx），在规定时间内没有从上游服务器（如应用服务器）收到响应。 【服务器相关】 1. 后端处理慢（最常见） 2. 超时配置过短 3. 后端资源瓶颈 4. 数据库问题 5. 依赖服务故障 6. 网络问题（少见，但可能） 初始化时，建议配置5%~10%的告警阈值比例，后续运营期间可以根据业务拦截情况灵活调整。 根据以下可能的原因进行排查： 检查WAF的回源IP网段是否有被拦截 服务器无法响应，负载过高。 源站丢弃请求没有reset。 协议通讯不成功。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

步骤二：创建OceanFS文件系统并挂载至GPU云主机 1. 返回“控制中心”，在“存储”下单击“海量文件服务（OceanFS）”，进入文件系统列表页面。 2. 右上角单击“创建OceanFS实例”，进入创建文件系统页面。 3. 进行基础配置，各参数含义参考创建文件系统海量文件服务 OceanFS。 注意 文件系统和云主机应选择同一VPC，否则无法挂载。 4. 点击“下一步”确认配置。确认无误后点击“立即购买”，确认订单并支付。 5. 返回OceanFS控制台，等待文件系统创建完成。 6. 参考挂载NFS文件系统到弹性云主机 (Linux)将文件系统挂载至GPU云主机的“/mnt/test”目录下。 说明 “/mnt/test”可以根据实际需求替换为实际的挂载目录。 步骤三：部署DeepSeek模型 1. 修改模型下载路径，将模型保存在OceanFS的挂载目录下。 1. 在“/mnt/test”目录下创建模型下载新目录“/mnt/test/models”，并配置访问权限777。依次执行以下两条命令： plaintext mkdir /mnt/test/models chmod 777 /mnt/test/models 2. 执行以下命令修改ollama.service配置，添加Environment"0LLAMAMODELS/mnt/test/models语句来更改模型保存位置。 plaintext vim /etc/systemd/system/ollama.service 3. 依次执行以下命令，重启Ollama服务。 plaintext systemctl daemonreload systemctl restart ollama.service 2. 加载DeepSeek模型。 1. 以deepseekr1:7b为例，执行以下命令： plaintext ollama run deepseekr1:7b 2. 检查下载的模型保存在OceanFS的目录下。执行ll命令： 3. 使用DeepSeek模型。 1. 在命令行界面使用模型。 2. 通过Web页面进行模型交互。 注意 镜像自带的 ollama 工具监听 127.0.0.1:11434、webui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 使用此方式需要开通弹性IP，弹性IP是计费服务，详见计费概述弹性IP计费说明 天翼云。 1. 放行云主机安全组的 3000 端口。具体操作请参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 访问DeepSeek模型的可视化界面。登录地址为： 注意 云主机全自动安装DeepSeek模型和可视化界面，请等待云主机启动 5 分钟后，再访问登录界面。 首次登录页面如下： 3. 注册管理员账号。 4. 使用设置。刷新进入首页，在模型下拉列表中，选择刚部署的DeepSeek:7b 模型。 点击左下角进入设置页面，如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果您允许用户注册，还可以设置用户注册之后的行为，例如选择新用户注册后默认用户角色为“用户”/“待激活” 等，需要管理员手动激活。 设置模型可见性。多用户模式下，建议把模型设置为"Public"。 5. 使用DeepSeek模型进行模型推理。

本章节介绍如何创建一个 Nacos引擎实例 概述 Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 为了方便您开通实例，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面，点击左侧菜单栏的注册配置中心>实例列表，进入注册配置中心控制台。本文将介绍如何创建一个Nacos引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”或“企业版”，推荐您开通集群版或企业版，以保障实例的高可用性，企业版目前支持通过白名单方式开放订购，若您需要订购使用，请联系客户经理或提工单进行解决。 引擎类型：若您需要开通Nacos引擎，则选中“Nacos”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

本文为您介绍如何创建天翼云云搜索服务OpenSearch实例。 前提条件 1. 已在官网完成用户账号注册和实名认证。 2. 已完成实例规划。 操作步骤 您有两种路径可以进入OpenSearch实例开通页面。 1. 登录官网，您可在云搜索服务产品详情页点击“立即开通”。 2. 登录官网，进入云搜索服务控制台后，点击“创建实例”可以进入。 订购页面填写 1. 进入订购页面后，您需要对如下信息进行填写/选择： 参数类型 参数 说明 基础配置 计费模式 实例支持包周期和按需计费模式。 包周期：根据实例购买时长，一次性支付实例包周期费用。 按需计费：根据实际使用时长计费，按小时出账。 基础配置 订购周期 在包年包月模式下，您需要选择购买时长。 基础配置 当前区域 选择实例的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 基础配置 可用区 选择实例所在工作区域下关联的可用区。 支持多可用区部署，购买地域具备3个及以上可用区，需要勾选1个或3个，如果不足3个可用区，则根据地域可用区情况可购买1或2个。 网络配置 企业项目 企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择云搜索实例的企业项目归属。仅支持选择用户有权限的企业项目。默认为default，如果没有可选项，请由主账号在统一身份认证处进行赋权。 网络配置 虚拟私有云 指定实例所在的虚拟专用网络（VPC），实现不同业务的网络隔离。如您没有合适的VPC，请前往创建虚拟私有云页面创建完成后，回当前页面刷新后选择。 网络配置 子网 实例使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下实例需要的子网。 网络配置 安全组 安全组为实例提供安全的网络访问控制策略。 为了顺利部署实例，我们将为您选择的安全组默认配置下述规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24（实际网段地址，以客户创建的VPC子网网段地址为准）以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（），且必须以字母或数字开头。 配置实例 实例类型 云搜索服务支持Elasticsearch和OpenSearch两种组件。 配置实例 实例版本 选择所需的集群版本，支持的版本以页面可选项为准。 配置实例 实例密码设置 设置OpenSearch的管理员访问密码。 实例内账号和角色请登录Dashboards的进行设置。 配置实例 HTTPS设置 实例通信方式选择 开启HTTPS，访问实例将进行通讯加密，可以接入公网； 若关闭HTTPS访问，将使用HTTP协议与实例通信，无法保证数据安全性，HTTP协议模式下，实例不可接入公网。 该模式可以在实例开通后进入“运行中”状态时在安全设置功能中进行修改。 选购资源 实例节点数 实例中需要部署数据节点数，请以页面可下单数量上限为准。 选购资源 CPU架构 支持X86类型。 选购资源 节点规格 实例的节点规格，可按需选购，同一实例仅支持一种规格，请确认后下单。 选购资源 节点存储规格 选择存储类型，支持的类型可能随资源池不同有差异，请以页面可选的为准，性能参考。 选购资源 单节点存储量 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。 选购资源 图形化访问节点规格 云搜索服务会默认为您开通一个小规格节点部署Dashboards和Cerebro组件。该节点正常计费。 选购资源 专属节点规格 您可根据需要选择是否在当前实例加装专属master、专属协调节点或冷数据节点，并选择节点规格，专属master和专属协调节点不支持调整存储空间。专属master限制3节点，专属协调节点和冷数据节点上限请以页面下单为准。 专属节点开通后不可删除，也可通过扩容功能加装。 2. 信息填写完毕后，进入下一步信息确认页；请您仔细核对订购信息及订购协议，勾选协议后进入下一步即可提交。 3. 缴费完成后，请返回购买实例对应的实例管理列表页面，您购买的实例都将展示在此，当实例从“创建中”变为“运行中”时，即可使用实例。 如实例创建失败，系统将自动退单销毁，期间不会记录使用时长，不会收取费用，您可再次下单尝试或工单联系工程师为您处理。

本文介绍如何订购云搜索服务Elasticsearch实例。 前提条件 1. 已在官网完成用户账号注册和实名认证。 2. 已完成实例规划。 操作步骤 您有两种路径可以进入Elasticsearch实例开通页面： 1. 登录官网，您可在云搜索服务产品详情页点击“立即开通”。 2. 登录官网，进入云搜索服务控制台后，点击“创建实例”可以进入。 订购页面填写 进入订购页面后，您需要对如下信息进行填写/选择： 参数类型 参数 说明 基础配置 计费模式 实例支持包周期和按需计费模式。 包周期：根据实例购买时长，一次性支付实例包周期费用。 按需计费：根据实际使用时长计费，按小时出账。 基础配置 订购周期 在包年包月模式下，您需要选择购买时长。 基础配置 当前区域 选择实例的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 基础配置 可用区 选择实例所在工作区域下关联的可用区。 支持多可用区部署，购买地域具备3个及以上可用区，需要勾选1个或3个，如果不足3个可用区，则根据地域可用区情况可购买1或2个。 网络配置 企业项目 企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择云搜索实例的企业项目归属。仅支持选择用户有权限的企业项目。默认为default，如果没有可选项，请由主账号在统一身份认证处进行赋权。 网络配置 虚拟私有云 指定实例所在的虚拟专用网络（VPC），实现不同业务的网络隔离。如您没有合适的VPC，请前往创建虚拟私有云页面创建完成后，回当前页面刷新后选择。 网络配置 子网 实例使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下实例需要的子网。 网络配置 安全组 安全组为实例提供安全的网络访问控制策略。 为了顺利部署实例，我们将为您选择的安全组默认配置下述规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24（实际网段地址，以客户创建的VPC子网网段地址为准）以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（），且必须以字母或数字开头。 配置实例 实例类型 云搜索服务支持Elasticsearch和OpenSearch两种组件。 配置实例 实例版本 选择所需的实例版本，支持的版本以页面可选项为准。 配置实例 实例密码设置 设置Elasticsearch的管理员访问密码。 实例内账号和角色请登录Kibana进行设置。 配置实例 HTTPS设置 实例通信方式选择： 开启HTTPS，访问实例将进行通讯加密，可以接入公网； 若关闭HTTPS访问，将使用HTTP协议与实例通信，无法保证数据安全性，HTTP协议模式下，实例不可接入公网。 该模式可以在实例开通后进入“运行中”状态时在安全设置功能中进行修改。 选购资源 实例节点数 实例中需要部署节点数，上限请以页面可下单数量为准。 选购资源 CPU架构 目前支持X86类型。 选购资源 节点规格 实例的节点规格，可按需选购，同一实例仅支持一种规格，请确认后下单。 选购资源 节点存储规格 选择存储类型，支持的类型可能随资源池不同有差异，请以页面可选的为准。 选购资源 单节点存储量 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。 选购资源 图形化访问节点规格 云搜索服务会默认为您开通一个小规格节点部署Kibana、Cerebro节点。该节点正常计费。 选购资源 专属节点规格 您可根据需要选择是否在当前实例加装专属master、专属协调节点或冷数据节点，并选择节点规格，专属master和专属协调节点不支持调整存储空间。专属master限制3节点，专属协调节点和冷数据节点上限请以页面可下单数量为准。 专属节点开通后不可删除，也可通过扩容功能加装。 信息填写完毕后，进入下一步信息确认页；请您仔细核对订购信息及订购协议，勾选协议后进入下一步即可提交。 缴费完成后，请返回购买实例对应的实例管理列表页面，您购买的实例都将展示在此，当实例从“创建中”变为“运行中”时，即可使用实例。 如实例创建失败，系统将自动退单销毁，期间不会记录使用时长，不会收取费用，您可再次下单尝试或工单联系工程师为您处理。

不建议使用 nonsensitive 方法输出敏感信息。随意使用此方法可能会导致本该被隐藏的敏感信息被服务明文打印出来，从而造成敏感信息泄露。 若必须进行输出，建议优先考虑编码后再输出（例如：nonsensitive(sha256(var.sensitivevalue))）。

本文主要介绍通用类问题 性能测试是否支持Windows Server 2016标准版 64位？ 对于性能测试当前只能支持Linux系统部署云性能测试服务，暂不支持Windows系统部署性能测试。 对于被测应用，只要保证网络连通，便可进行压力测试。

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

等保合规检查 帮助客户实现主机系统安全基线的建立，形成针对不同系统的详细漏洞要求和Checklist要求，为标准化的技术安全操作提供了框架和标准，主要的应用场景有新业务系统上线安全检查，合规性安全检查（上级检查）、日常安全检查等。通过对目标主机系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。 统一安全管理 主机安全服务提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。

本页介绍了排查实例CPU使用率高问题的方法。 CPU使用率过高的一般排查步骤如下： 1. 在DDS控制台找到目标实例，单击监控图标， 然后在CPU页签下，查看CPU使用率较高的时间段。 2. 登录对应的实例机器查看系统资源使用情况：首先使用Linux的系统监控工具（如top、htop）或Windows的任务管理器，查看系统整体的CPU使用率和其他资源使用情况。确认是否只有MongoDB进程占用大量CPU资源，还是其他进程也在竞争CPU资源。 3. 文档数据库服务查询性能分析工具与方式： 1. MongoDB Compass等工具来查看当前正在执行的查询(MongoDB Compass 的下载与使用请参见Mongodb的官网下载)。 2. 使用MongoDB shell的db.currentOp()命令,检查是否有某个查询或操作占用了大量CPU资源。 db.currentOp()命令解析： 例如：连接上Mongodb shell 执行以下操作： > db.users.find({ age: { $gte: 18 } }).limit(10) > db.currentOp() { "inprog" : [ { "opid" : 1290, // 操作的唯一标识符 "op" : "query", // 操作类型：查询 "ns" : "exampledb.users", // 操作涉及的命名空间 "query" : { "age" : { "$gte" : 18 } }, // 查询条件 "client" : "127.0.0.1:57852", // 客户端IP地址和端口 "desc" : "conn211", // 操作的描述信息 "active" : true, // 操作是否活动中 "secsrunning" : 5, // 操作已经运行的时间（以秒为单位） "oplog" : false, "numYields" : 0, "locks" : { "Global" : "r", // 全局读锁 "MMAPV1Journal" : "r" // MMAPv1引擎的日志读锁 }, "waitingForLock" : false, "msg" : "", "numYieldOps" : 0, "database" : "exampledb", "command" : { "find" : "users", // 执行的命令：查找操作 "filter" : { "age" : { "$gte" : 18 } }, // 过滤条件 "limit" : 10 // 限制结果数 }, "planSummary" : "COLLSCAN", // 查询执行计划摘要 "lsid" : { "id" : { "UUID" : "e45ea9176c614a5e86812da4af89aa29" }, // 会话ID "uid" : ObjectId("ea6a1a2570a062f88eac10f5") // 用户ID }, "$clusterTime" : { "clusterTime" : Timestamp(1657796621, 1), "signature" : { "hash" : { "BsonData" : "wDUTByvnZXjN+MJB/M9Rlg", "Length" : 28 }, "keyId" : 6963168194386045953 } }, "stale" : false, "txnNumber" : 11, "startAt" : ISODate("20230721T15:57:01.246Z"), "autocommit" : false, "lastWrite" : { "opTime" : { "ts" : Timestamp(1657796621, 1), "t" : 1 }, "lastWriteDate" : ISODate("20230721T15:57:01Z"), "majorityOpTime" : { "ts" : Timestamp(1657796621, 1), "t" : 1 }, "majorityWriteDate" : ISODate("20230721T15:57:01Z") }, "activeShards" : {}, "numShards" : 0, "shardName" : "", "hashed" : false, "batchSize" : 0, "mode" : "scanned" } ] } 4. 确认索引使用情况：检查数据库中的索引是否被有效使用。缺少索引或索引使用不当可能导致查询性能下降，从而导致高CPU使用率。 5. 长时间运行的查询：检查是否有长时间运行的查询，这些查询可能会占用大量CPU资源。优化查询性能或者对长时间运行的查询进行调整可能有助于降低CPU使用率。 6. 调整Write Concern：写操作的Write Concern设置会影响数据写入的确认方式，使用较高级别的Write Concern可能会导致CPU开销增加。根据应用需求，选择合适的Write Concern。 7. 硬件性能：确认文档数据库运行在性能良好的硬件上，包括CPU、内存和磁盘。如果硬件性能不足，可能会导致CPU使用率过高。 8. 日志记录级别：考虑降低文档数据的日志记录级别，减少日志输出对CPU的影响。 9. 压力测试：进行压力测试以模拟生产环境的负载，并观察CPU使用率的变化。通过压力测试可以更好地理解系统的瓶颈和性能问题。 10. 数据分片：如果数据量较大，可以考虑使用文档数据库服务的分片集群，将数据分散到多个节点上，以实现水平扩展和负载均衡。 11. 数据库版本和配置：确保使用的文档数据库服务版本是较新的稳定版本，并根据硬件资源和负载情况合理配置文档数据库服务的参数。 注意 高CPU使用率可能是复杂的问题，可能有多个因素共同导致。在进行问题排查时，建议先在测试环境中进行实验和测试，逐步排查可能的原因。如果问题持续存在，可以考虑寻求专业的文档数据库技术支持。

本文为您介绍云监控服务支持的云搜索服务Elasticsearch实例的指标。 以下为云监控服务支持实时监控云搜索服务实例的核心指标，方便您及时掌握实例使用情况，处理异常状况。 实例监控指标列表 监控周期：1分钟 指标名称 指标介绍 esclhealthstatus Elasticsearch实例状态，1表示green，2表示yellow，3表示red esclactiveprimaryshards Elasticsearch实例活跃主分片数 esclactiveshards Elasticsearch实例活跃分片数 esclrelocatingshards Elasticsearch实例迁移中分片数 esclinitializingshards Elasticsearch实例初始化中分片数 esclunassignedshards Elasticsearch实例未分配分片数 esclnodes Elasticsearch实例节点总数 esclhealthnodes Elasticsearch实例存活节点数 esclhealthdatanodes Elasticsearch实例存活数据节点数 esclunhealthnodes Elasticsearch实例异常节点数 esclindicesstoresize Elasticsearch实例索引存储总量 esclindicesdocstotalmax Elasticsearch 集群最大文档数索引 escldiskusageavg Elasticsearch 实例平均磁盘使用率 escljvmheapusagemax Elasticsearch 实例最大JVM堆使用率 esclcpuusageavg Elasticsearch 实例平均CPU使用率 esclcpuusagemax Elasticsearch 实例最大CPU使用率 esclbulkrejectrate Elasticsearch 实例bulk拒绝率 esclqueryrejectrate Elasticsearch 实例查询拒绝率 esclindexlatencyavg Elasticsearch 实例平均写入延迟 esclindexlatencymax Elasticsearch 实例最大写入延迟 esclsearchlatencyavg Elasticsearch 实例平均查询延迟 esclsearchlatencymax Elasticsearch 实例最大查询延迟 esclfsreadopscount Elasticsearch 实例磁盘总读IOPS esclfsreadsizekbsum Elasticsearch 实例磁盘读总带宽 esclfswriteopscount Elasticsearch 实例磁盘总写IOPS esclfswritesizekbsum Elasticsearch 实例磁盘写总带宽 esclmemusedratioavg Elasticsearch 实例平均已用内存比例 esclmemusedratiomax Elasticsearch 实例最大已用内存比例 esclmemfreeratioavg Elasticsearch 实例平均可用内存比例 esclmemfreeratiomax Elasticsearch 实例最大可用内存比例 esclloadavg Elasticsearch 实例平均节点load值 esclloadmax Elasticsearch 实例最大节点load值 escldoccount Elasticsearch 实例文档数量 esclsearchrate Elasticsearch 实例平均查询速率 escldocdeleted Elasticsearch 实例被删除的文档数量 esclhttpconncurrent Elasticsearch 实例当前已打开的HTTP连接数 esclhttpconnmax Elasticsearch 实例最大当前打开的HTTP连接数 esclsharddocthreshold Elasticsearch 实例文档超过阈值分片数量 esclshardstoresizemax Elasticsearch 实例集群最大分片存储量 esclreadonlyindexcount Elasticsearch 实例只读索引个数 esclshardpercent Elasticsearch 实例分片数配额使用率

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。

场景描述 在进行消息发送与接收验证的过程中，我们需要确保RocketMQ的生产者能够将消息成功发送到指定的Topic，同时消费者能够接收到这些消息。通过验证，可以确认生产者发送的消息能够准确无误地到达消费者，这是消息队列最基本也是最重要的功能要求。在开发和测试阶段，通过消息发送与接收验证可以及时发现并修复可能存在的问题，避免在实际应用中出现故障。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入Topic管理菜单，点击【拨测】按钮，进行生产消费的拨测验证，验证开通的消息实例和Topic。 1）生产测试拨测： 选择消息类型，默认普通消息。 填写需要产生的测试消息数量，以及每条消息的大小，默认每条消息1KB，建议不超过4MB(4096KB)。 选择已建的消息Topic，若无选项，请新增Topic，详见上文创建Topic和订阅组。 点击【测试】按钮，按照已填写规格及数量产生测试消息数据，展示消息数据的信息，包括消息ID(messageID)、发送状态、主题名（topic名）、Broker名、队列ID。 拨测功能涉及消息发送状态码，以下是RocketMQ消息发送状态码及其说明： ✧ SENDOK（发送成功）：表示消息成功发送到了消息服务器。 ✧ FLUSHDISKTIMEOUT（刷新磁盘超时）：表示消息已经成功发送到消息服务器，但是刷新到磁盘上超时。这可能会导致消息服务器在宕机后，尚未持久化到磁盘上的数据丢失。 ✧ FLUSHSLAVETIMEOUT（刷新从服务器超时）：表示消息已经成功发送到消息服务器，但是刷新到从服务器上超时。这可能会导致主从同步不一致。 ✧ SLAVENOTAVAILABLE（从服务器不可用）：表示消息已经成功发送到消息服务器，但是从服务器不可用。这可能是由于网络故障或从服务器宕机引起的。 ✧ UNKNOWNERROR（未知错误）：表示发送消息时遇到了未知的错误。一般情况下建议重试发送消息。 ✧ MESSAGESIZEEXCEEDED（消息大小超过限制）：表示消息的大小超过了消息服务器的限制。需要检查消息的大小是否合适。 ✧ PRODUCETHROTTLE（消息生产被限流）：表示消息生产者的频率超出了消息服务器的限制。这可能是由于消息发送频率过高引起的。 ✧ SERVICENOTAVAILABLE（服务不可用）：表示消息服务器不可用。这可能是由于网络故障或者消息服务器宕机引起的。 请注意，以上状态码仅适用于RocketMQ消息发送阶段，并且并不代表消息是否成功被消费者接收。同时，这些状态码也可能因版本变化而有所不同，建议查阅官方文档获取最新信息。 2）消费测试拨测： 选择消息顺序，下拉选择无序/有序，默认选项为无序。 RocketMQ是一种开源的分布式消息中间件，它支持有序消息和无序消息。 ✧ 有序消息是指消息的消费顺序与发送顺序完全一致。在某些业务场景下，消息的处理需要保证顺序性，例如订单的处理或者任务的执行。RocketMQ提供了有序消息的支持，通过指定消息的顺序属性或使用消息队列的分区机制，可以确保消息按照指定的顺序进行消费。 ✧ 无序消息则是指消息的消费顺序与发送顺序无关。无序消息的特点是高吞吐量和低延迟，适用于一些不要求严格顺序的业务场景，如日志收集等。 在RocketMQ中，有序消息和无序消息的实现方式略有不同。有序消息需要借助MessageQueue的分区机制和消费者端的顺序消息消费来实现。而无序消息则是通过消息的发送和接收的并发处理来实现的。 总的来说，RocketMQ既支持有序消息也支持无序消息，根据业务需求选择合适的消息类型来满足业务的要求。 选择消费方式，目前仅提供pull方式。值得注意的是，RocketMQ还提供了推送（push）方式的消费模式，其中消息队列服务器会主动将消息推送给消费者。但在当前仅限于pull方式的消费模式。 填写消费数量。 下拉选择选择已建的消息主题和订阅组，若无选项，请新增主题和订阅组，详见上文创建主题和订阅组。 点击【测试】按钮，按照已填写规格及数量产生消费数据，展示消息数据的信息，包括消息ID(messageID)、主题名称（topicName）、生成时间、存储时间、队列ID、消费状态。 拨测功能涉及消息消费状态码，RocketMQ消费状态码是指在消息消费过程中，对消费结果进行标识的状态码。以下是常见的RocketMQ消费状态码： ✧ CONSUMESUCCESS（消费成功）：表示消息成功被消费。 ✧ RECONSUMELATER（稍后重试）：表示消费失败，需要稍后再次进行消费。 ✧ CONSUMEFAILURE（消费失败）：表示消息消费出现异常或失败。 ✧ SLAVENOTAVAILABLE（从节点不可用）：表示消费者无法访问从节点来消费消息。 ✧ NOMATCHEDMESSAGE（无匹配的消息）：表示当前没有匹配的消息需要消费。 ✧ OFFSETILLEGAL（偏移量非法）：表示消费的偏移量参数不合法。 ✧ BROKERTIMEOUT（Broker超时）：表示由于Broker超时导致消费失败。

本文为您介绍如何在密钥管理控制台创建用户主密钥。 开通密钥管理服务后，您可以在控制台轻松地创建密钥，以便后续使用密钥加解密自己的数据。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，选择“密钥管理”，在页面上方选择目标服务。 4. 点击“创建密钥”，在弹出的创建密钥对话框，根据页面提示进行配置。 配置项说明： 配置项 说明 密钥类型 对称密钥类型： AES256 CtyunSM4（企业版支持） 非对称密钥类型： RSA2048 CtyunSM2（企业版支持） 密钥用途 Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。 说明 仅非对称密钥（RSA2048、CtyunSM2）支持Sign/Verify用途。 别名 用户主密钥的可选标识。更多操作，请参见别名管理。 保护级别 Software：通过软件模块对密钥进行保护。 Hsm：将密钥托管在密码机中，使密钥获得高安全等级的专用硬件的保护。 描述 密钥的说明信息。 轮转周期 自动轮转的时间周期。 不开启：不开启轮转 30天 90天 180天 自定义：7~730天 说明 仅对称密钥（AES256、CtyunSM4）支持设置自动轮转周期。 密钥材料来源 天翼云KMS：密钥材料将由KMS生成。 外部：KMS将不会生成密钥材料，您需要将自己的密钥材料导入KMS。更多信息，请参见导入密钥材料。 企业项目 选择密钥归属的企业项目。默认为default。 5. 单击确定 ，完成密钥创建。您可以在密钥列表查看密钥ID、密钥状态、密钥类型、密钥用途、密钥保护级别等信息。

本文为您介绍GPU云主机的产品定义。 GPU云主机是基于GPU的应用于视频解码、图形渲染、深度学习、科学计算等多种场景的计算服务。天翼云GPU云主机采用业界先进的GPU硬件，让客户享受极致性能体验的同时，获得最佳性价比。目前提供基于NVIDIA GRID虚拟化技术的图形加速基础型（G系列）和基于硬件直通技术的计算加速型（P系列）两类。 为什么选择GPU云主机 GPU云主机规格族相比于其他弹性云主机规格族，增加了GPU计算力，与CPU相比，GPU的特点如下： 维度 GPU CPU 核心数量 数千个 几十个 运算单元 拥有大量擅长处理大规模并发计算的算术运算单元 拥有数量较少但强大的算术运算单元 逻辑控制单元 相对简单 复杂 缓存 少量缓存 大量缓存 适用场景 计算密集，相似度高，且多线程并行 逻辑复杂，串行运算 GPU云主机与自建GPU服务器对比 ： 优势 GPU 云主机 自建 GPU 服务器 弹性 分钟级快速创建 。 同规格族内灵活升降配。 云盘、带宽等产品可按需扩容。 建设周期长，且建设完成后硬件配置无法灵活变更。 易用 提供和标准云主机一致的使用方式和管理功能。 与多种云产品无缝接入。 清晰的 GPU 驱动的安装、部署指引。 运营维护成本高、难度大。 安全 通过隧道技术实现100%二层网络隔离，实现安全隔离。 配置安全组和网络ACL，实现云主机和子网层面的访问控制，满足不同行业客户的安全隔离需要。 很难阻止MAC欺骗和ARP攻击，需额外购买基础安全防护服务。 成本 提供包周期和按需两种计费方式，用户可根据自身业务情况灵活选择。 无法按需购买，一次投入成本巨大。

参数 说明 取值样例 主机记录 一般是指子域名的前缀，（例：要做xxx@mail.dnsexample.com，主机记录填 mail）。 mail 类型 记录集的类型，此处为MX类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 MX – 将域名指向邮件服务器地址 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 填写邮箱服务器地址，最多可以输入8个不重复地址，每行一个。格式: [优先级] [邮箱服务器域名地址]。 10 mailserver.example.com 描述 选填字段，最多支持输入100个字符。

本文介绍边缘接入服务的加速节点分布。 天翼云CDN，在中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市；在海外、中国香港、中国澳门和中国台湾拥有节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达160Tbps。 全球节点具体分布详见：节点分布。

参数 参数类型 说明 示例 下级对象 noticeTemplateID String 通知模板ID 315c7f8c3e4311ed8ef2005056898fe0 name String 通知模板名称 bzmcV service String 服务 ecs dimension String 维度 ecs contents Array of Objects 通知模板 content isDefault Boolean 是否为自定义默认通知模板 false createTime Integer 创建时间，时间戳，精确到秒 1667459789 updateTime Integer 最近更新时间，时间戳，精确到秒 1667459789

本节介绍边缘裸金属自定义镜像制作。 自定义镜像制作 1. 登录ECX控制台。 2. 单击导航栏【边缘裸金属>镜像服务>镜像列表】。 3. 进入【自定义镜像】管理页面。 4. 单击【+上传自定义镜像】，填写相关信息并上传自定义镜像。 注意 目前裸金属自定义镜像仅支持iso格式。 请根据《创建自定义镜像指引》生成满足规范的镜像，否则资源可能无法正常启动和管理。

项目 描述 LUN Name 包括卷名称和卷编号。括号内容表示卷编号。卷编号：LUN在target下的编号，由存储系统分配，对应客户端挂载存储设备时设备地址中的LUN ID。如果target下只有一个LUN，LUN的编号一般为0。 Storage Mode 卷的存储类型： Local：本地模式，数据全部保留在本地。 Cache：缓存模式，本地保留部分热数据，全部数据异步存储到对象存储中。 Storage：存储模式，本地保留全部数据，并异步存储到对象存储中。 Capacity 卷容量。 Status 卷的状态： Normal：正常。 Deleting：卷正在删除中。 DeleteFailed：卷删除失败。 Recovering：卷正在还原中。 RecoverFailed：卷还原失败。 Rollbacking：卷正在回滚。 Flattening：与快照的关系链断开过程中，表示克隆卷正在复制源卷的数据，复制完成之后将变成独立卷，不再依赖快照和源卷。 Importing：正在导入备份数据。 Wiping：卷正在清空数据。 WipeFailed：清空数据失败。 Suspended：卷挂起。 Suspending：卷正在挂起。 SuspendFailed：卷挂起失败。 Failed Reason 失败原因：卷还原失败的原因（卷状态为RecoverFailed时显示），卷删除失败的原因（卷状态为DeleteFailed时显示），卷清空失败的原因（卷状态为WipeFailed显示），或者卷挂起失败的原因（卷状态为SuspendFailed显示）。 Auto Failback 针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 iSCSI Target 卷关联的target，包括target IQN、target IP、target端口号、卷对应的target的状态（Active：主target；Standby：热备target；offline：离线target；ColdStandby：冷备target）。 Create Time 卷创建的时间。 Local Storage Class 卷冗余模式（仅集群版支持）： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M+分片大小。 Minimum Replicas 最小副本数（仅集群版支持）。 Redundancy Overlap 卷的折叠副本数（仅集群版支持）。 Local Sector Size 扇区大小。 Cache Storage Pool 缓存存储池（仅集群版支持）。 Storage Pool 存储池（仅集群版支持），表示最终存储池，卷数据最终落在该存储池内。 Data Health 卷的数据健康度，包括：正常数据的比例（normal）、降级数据的比例（low redundancy）、错误数据的比例（error）。 如果存在降级状态的数据，会给出数据重建进度（low redundancy reconstruction progress）。 High Availability 卷的高可用类型（仅集群版支持）： ActiveStandby：启用主备，该卷关联对应target下的所有IQN。 Disabled：不启用主备，该卷关联对应target下的1个IQN。 Write Policy 卷的写策: WriteBack：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。 WriteThrough：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。 WriteAround：绕写，指数据直接写到磁盘，不写入内存。 WWID 卷的唯一标识符。 如果客户端连接卷的时候，HBlock端有多个卷，可以通过WWID标识符来确认所要连接的卷。 UUID 卷的唯一识别码。 Path 存储卷数据的数据目录（仅单机版支持）。 Source Snapshot 克隆卷关联的快照（仅克隆卷支持）。 Source LUN 克隆卷的源卷名称（仅克隆卷支持）。 Snapshot Count 卷的快照个数（仅本地卷支持）。 Snapshot Size 卷关联的快照大小的总和（仅本地卷支持），即快照记录的数据量。 注意 卷异常或上游快照删除等因素可能导致快照大小波动。 Object Storage Info 卷上云信息，包括：Provider、Bucket Name、Prefix、Endpoint、Signature Version、Region、Storage Class、Access Key、Object Size、Compression。 Provider 对象存储服务名称： OOS：天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 Bucket Name 存储桶名称。 Prefix 卷数据存储在对象存储的前缀名称。 如果未设置，则不显示此项。 Endpoint 对象存储服务的Endpoint。 Signature Version 上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 Region 对象存储服务的Endpoint资源池所在区域。如果是V2签名，此处为空。 Storage Class 对象存储服务的的存储类型： STANDARD：标准存储。 STANDARDIA：低频访问存储。 Access Key 对象存储服务的AccessKeyID。 Object Size 数据存储在对象存储中的大小。 Compression 是否压缩数据上传至对象存储： Enabled：压缩数据上传至对象存储。 Disabled：不压缩数据上传至对象存储。

本节介绍了云容器引擎的应用场景,便于用户选择业务场景使用。 微服务架构 企业应用通过微服务拆分和容器化改造后，推荐使用云容器引擎+容器镜像服务+微服务云应用平台+注册配置中心的产品组合，实现一站式云原生应用托管，加速企业业务迭代。 持续集成交付 提供从开发到上线一致的运行环境，借助第三方工具进行流水线开发测试，自动完成从代码变更到代码构建、测试、镜像构建和应用部署的DevOps完整流程。进行持续交付，替代传统部署方式，提高交付效率。 弹性伸缩 企业应用按业务流量自动扩缩容，不需要人工干预，预防流量激增时导致的业务不可用风险，并且减少对闲置资源的浪费和费用支出。

记录集类型 使用场景 描述 A 内网域名 指定域名对应的IPv4地址，用于将域名路由到IPv4地址。 CNAME 内网域名 指定域名的别名，用于将多个域名映射到同一主机上。 MX 内网域名 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 AAAA 内网域名 指定域名对应的IPv6地址，用于将域名路由到IPv6地址。 TXT 内网域名 用于对域名进行标识和说明，可填写任意的信息。主要用于以下场景： 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。 SRV 内网域名 记录了具体某台计算机对外提供哪些服务，供用户查询使用。 SOA 内网域名 指定该域名的主权威DNS服务器，系统默认创建，不支持手工创建。 PTR 内网域名 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云主机。