容器判断 函数 说明 oplen 计算文本字符串中的字符数，可用于字符串和其他返回元组、列表、字典的表达式。 opin 判断字符串、元组、列表或字典中是否包含特定元素，返回True或False。 opnotin 判断字符串、元组、列表或字典中是否不包含特定元素，返回True或False。 opslice 对指定字符串、数组、元组进行截取。 opindex 根据字符串、数组、元组的下标返回其对应的元素。 一般性多值操作 函数 说明 opadd 计算多个值的和，可以是字符串或者数字等。 opmax 计算多个字段或表达式表示的数值的最大值。 opmin 计算多个字段或表达式表示的数值的最小值。

添加服务到网关 进入云原生网关控制台，选择目标实例，进入服务来源菜单，将容器集群添加为服务来源； 再进入服务管理菜单，选择 创建服务，选择服务所在的命名空间，选择刚才部署的reviewsv1和reviewsv2服务，添加为网关服务。 创建路由 进入路由配置菜单，选择创建路由。 基于请求特征访问灰度版本 在请求头部匹配规则处可以添加规则EndUser头部为jason时访问reviewsv2版本，这样在请求带上EndUser: jason头部时将访问到v2版本。 基于比例做灰度流量控制 创建路由时选择多服务路由，选择路由目标为reviewsv1和reviewsv2，并配置流量比例，这样在请求时会按照指定的比例访问到对应版本的服务。

应用场景 云容器引擎监控体系集成集群拓扑能力，通过安装cubekindling插件可以实现集群中网络的架构感知和流量追踪。通过监控面板可以查看集群拓扑的图表。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 集群已安装cubekindling插件，可参考 用户指南 > 插件章节 。 节点内核版本为：5.4.2241 。 监控界面查看网络拓扑 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 选择 运维管理 > 监控 > 网络监控 > Topology 查看集群拓扑面板，通过namespace、workload对命名空间、工作负载进行筛选。

本节介绍如何上传文件，用于IaC安全扫描。 在kubernetes系统中，各类资源均需要通过编排文件构建，编排文件编写是否规范，将直接影响到构建资源的安全性、规范性与可用性。系统支持通过本地上传、自动发现或通过对接第三方平台的方式同步K8S manifests、dockerfile、Configmap，并根据扫描结果指出编排文件中存在风险或不规范的配置项，给出修复建议，保障资源合规且安全的创建。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择检查的文件类型。 4. 单击“上传文件”。 5. 可将本地需要扫描检查的K8S manifests、dockerfile、Configmap，文件上传到系统内进行检查。

本节主要介绍弹性文件服务的应用场景。 SFS容量型文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 SFS Turbo文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等场景。为多个业务节点提供共享的日志输出目录，方便分布式应用的日志收集和管理。

本文主要介绍工作负载升级配置。 在实际应用中，升级是一个常见的场景，Deployment、StatefulSet和DaemonSet都能够很方便的支撑应用升级。 设置不同的升级策略，有如下两种。 RollingUpdate：滚动升级，即逐步创建新Pod再删除旧Pod，为默认策略。 Recreate：替换升级，即先把当前Pod删掉再重新创建Pod。 升级参数说明 最大浪涌（maxSurge） 与spec.replicas相比，可以有多少个Pod存在，默认值是25%，比如spec.replicas为 4，那升级过程中就不能超过5个Pod存在，即按1个的步伐升级，实际升级过程中会换算成数字，且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment支持配置。 最大无效实例数（maxUnavailable） 与spec.replicas相比，可以有多少个Pod失效，也就是删除的比例，默认值是25%，比如spec.replicas为4，那升级过程中就至少有3个Pod存在，即删除Pod的步伐是1。同样这个值也可以设置成数字。 仅Deployment支持配置。 实例可用最短时间（minReadySeconds） 指定新创建的Pod 在没有任意容器崩溃情况下的最小就绪时间， 只有超出这个时间 Pod 才被视为可用。默认值为 0（Pod 在准备就绪后立即将被视为可用）。 最大保留版本数（revisionHistoryLimit） 用来设定出于回滚目的所要保留的旧 ReplicaSet 数量。 这些旧 ReplicaSet 会消耗 etcd 中的资源，并占用 kubectl get rs 的输出。 每个 Deployment 修订版本的配置都存储在其 ReplicaSets 中；因此，一旦删除了旧的 ReplicaSet， 将失去回滚到 Deployment 的对应修订版本的能力。 默认情况下，系统保留 10 个旧 ReplicaSet，但其理想值取决于新 Deployment 的频率和稳定性。 升级最大时长（progressDeadlineSeconds） 指定系统在报告Deployment 进展失败 之前等待 Deployment 取得进展的秒数。 这类报告会在资源状态中体现为 TypeProgressing、StatusFalse、 ReasonProgressDeadlineExceeded。Deployment 控制器将持续重试 Deployment。 将来，一旦实现了自动回滚，Deployment 控制器将在探测到这样的条件时立即回滚 Deployment。 如果指定，则此字段值需要大于.spec.minReadySeconds 取值。 缩容时间窗（terminationGracePeriodSeconds）： 优雅删除时间，默认为30秒，删除Pod时发送SIGTERM终止信号，然后等待容器中的应用程序终止执行，如果在terminationGracePeriodSeconds时间内未能终止，则发送SIGKILL的系统信号强行终止。

本文介绍如何在科研助手中在在开发机中引用数据集。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【开发机】。 3. 在【开发机 】页面中，点击左上角【创建开发机】 4. 在【创建开发机 】页面，【数据集 】中，点击【添加】按钮。 5. 此时在下拉条中，可以选择之前已经创建好的数据集，若还未创建数据集，可单击【创建数据集】按钮。 6. 在选择完挂载数据集之后，用户可自定义填入例如“/tmp”类似的容器挂载路径。 7. 若不需要挂载数据集，也可点击右方删除操作，取消挂载数据集。

本文简述如何配置源站信息。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 注意事项 一个加速域名最多配置60个源站。 配置说明 1.登录边缘安全加速控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置” 4.点击“添加源站”，输入源站地址，在“层级”下拉框中选择“主或备”，即可添加源站。 5.如需对已经添加的源站信息进行修改，可直接在配置项中进行修改。 6.也可以点击对应源站后面的“删除”键删除对应源站。

本章节介绍边缘重保服务基于高考保障场景下的最佳实践案例。 客户背景 客户作为某大省高等教育招生考试委员会的办事机构，主要负责全省普通高校、职业院校、成人高校、研究生招生及考试的组织实施、评价分析、命题管理等工作。 该省份为国内的人口大省，参与高考的学生约占全国高考学生的5%。为了保障高考分数查询、志愿填报工作的顺利开展，客户对相关的保障工作给予了高度重视。 业务痛点 志愿填报并发高、流量大 2024年6月高考成绩发布后，60万左右数量的考生将分批次在有限时间内进行志愿填报，由于集中时间填报，存在访问并发高、流量大、后端服务器压力过载的风险，如何在保障正常业务运行的同时进行有效地流量分发和负载均衡，成为一大业务难题。 安全要求高 在应对大流量访问冲击的同时，由于志愿填报和历年高校招生数等数据具有高度敏感性，常常被国内外恶意组织或个人爬取敏感信息和流量攻击，及时有效地通过安全防护手段全面保障业务安全，对客户形成了巨大的挑战。 解决方案 专家团队重保护航服务 由资深运营专家团队实施全流程协同管控，通过深度访谈与多轮实地调研，精准把握客户核心诉求，科学制定个性化运营保障方案。 全程协助客户完成产品功能的配置，并参与完整的功能、性能测试，提供优化方案，有效确保业务系统的顺利部署及高效上线。 针对关键业务节点，重保专项团队提前部署应急预案，于查分当日派遣资深专家进驻客户现场，实施7×24小时无缝化值守保障机制，显著纾解客户在系统稳定性与安全防护层面的双重保障压力。

本文介绍在远程零信任办公场景下,如何给用户配置应用访问授权。 零信任远程办公服务帮助您管理企业员工，合作伙伴，项目合作方等不同角色人员对内部系统的访问权限，支持精细化的应用授权管理，可以按照用户组，角色，组织架构，用户粒度进行应用系统授权。您的员工用户可以在登录远程零信任办公服务客户端后，点击左侧我的应用查看具备访问权限的系统列表。 前提条件 完成身份管理用户与组织配置，具体步骤，请参见用户与组织。 完成应用管理应用配置，具体步骤，请参见应用配置。 若需按照用户组进行授权，需完成身份管理用户组管理配置，具体步骤，请参见用户组管理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 在左侧导航栏，应用应用授权，查看应用访问策略。 应用授权 可通过应用授权列表进行查看和管理应用授权策略。 字段 字段说明 策略名称 策略的名称，便于进行区分和记忆。 备注 策略的说明。 到期时间 授权策略的有效期，超过有效期时间，授权策略将自动禁用。 策略状态 禁用，则策略不生效，启用则策略生效。 应用权限 目前只支持授权访问动作，即允许访问，生效范围内的应用进行流量牵引回连接器（内网）进行访问。 生效用户 可根据用户组、用户、组织进行同时选择生效。 生效应用 可选择对应的应用进行生效。

概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。

本文简述天翼云应用加速全网带宽控制功能及配置方式。 功能介绍 天翼云应用加速全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 适用场景 1.存在带宽突发场景，希望突发情况下应用加速带宽费用可以进行有效控制。 2.对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意 1.可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 2.不支持对泛域名配置带宽控制功能。 3.由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略选择拒绝，默认拒绝响应SESSIONDENIED状态码。 如您需要配置应用加速全网带宽控制功能，请提交工单申请。

通过本文您可以详细了解websocket加速的资源包种类、价格及使用须知。 资源包计费（预付费） websocket加速、上传加速、全站加速是三个独立的服务。 websocket加速资源包计费项：边缘下行流量包。 如果域名除websocket业务外，同时还有下行http/https分发业务，则需要增加全站加速的计费项，详见：全站加速资源包计费。 中国内地价格 计费项 阶梯/规格 标准资费（元/个） 有效期 websocket流量包 100GB 292元 一年 websocket流量包 500GB 1416元 一年 websocket流量包 1TB 2750元 一年 websocket流量包 5TB 13335元 一年 websocket流量包 10TB 24990元 一年 websocket流量包 50TB 111105元 一年 使用须知 使用条件： 您可按需购买任意资源包。 只有配置了websocket加速类型的域名，且使用了websocket协议才会抵扣websocket流量包内的流量。 配置了websocket加速类型的域名，但未使用websocket协议时，将会抵扣全站加速流量包、动态请求包、静态https请求包。 带宽计费客户如需使用对应的流量包，需将计费方式变更为流量计费。 可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 续订：为保障业务稳定，请于“资源包用尽”或“有效期结束”前，及时购买资源包。

1.3 部署脚本下载与解压 将部署所需脚本包下载至服务运行目录并解压，其中Qwen332B目录包含服务启停脚本（appstart.sh、appstop.sh等）、配置文件（config.json）及相关运行目录。 plaintext cd /mnt/nvme0n1 wget tar xvf qwen332bhw1nodev20250728.tar 1.4 MindIE 容器镜像准备 MindIE 容器镜像是模型推理的运行环境载体，需按以下步骤准备： 1、创建镜像存储目录并下载镜像： plaintext mkdir p /mnt/nvme1n1/apptainer cd /mnt/nvme1n1/apptainer wget 2、在服务运行目录创建软链接，便于服务调用镜像： plaintext cd /mnt/nvme0n1/Qwen332B ln s /mnt/nvme1n1/apptainer/mindie2.0.RC2800IA2py311openeuler24.03ltsqwen3.sif . 1.5 下载模型文件 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，并配置模型文件访问权限为750，确保服务可正常读取： plaintext [root@new ~] ls l /mnt/nvme1n1/model/Qwen332B total 64004232 rwxrx 1 root root 728 Jul 24 11:23 config.json rwxrx 1 root root 73 Jul 24 11:23 configuration.json rwxrx 1 root root 239 Jul 24 11:23 generationconfig.json rwxrx 1 root root 1671853 Jul 24 11:23 merges.txt rwxrx 1 root root 3957109648 Jul 24 11:36 model00001of00017.safetensors 。。。。。。 rwxrx 1 root root 3055341992 Jul 24 11:50 model00017of00017.safetensors rwxrx 1 root root 58330 Jul 24 11:46 model.safetensors.index.json rwxrx 1 root root 16636 Jul 24 11:46 README.md rwxrx 1 root root 9732 Jul 24 11:46 tokenizerconfig.json rwxrx 1 root root 11422654 Jul 24 11:46 tokenizer.json rwxrx 1 root root 2776833 Jul 24 11:46 vocab.json 二、起停服务

这节主要介绍Account、Service、Bucket、Object的概念。 对象存储（经典版）Ⅰ型的主要概念有： Account（账户）：用户登录时OOS使用的账户。 Service（服务）：OOS为注册成功用户提供的服务。 Object（文件）：用户存储在OOS上的每个文件都是一个Object。 Bucket（存储桶）：存储Object的容器。 它们之间的关系如下所示。 在使用OOS之前，首先需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册成功之后，联系天翼云客服工作人员开通OOS服务，OOS会为该账户提供服务（Service），在该服务下，用户可以创建1个或多个Bucket（存储桶），每个存储桶中可以存储不限数量的Object（文件）。 Account 在使用OOS之前，需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册时邮箱、密码和手机号码是必填项。正确填写所需信息并进行实名认证之后，联系天翼云客服人员（客服电话：4008109889）申请开通OOS服务。开通OOS服务成功之后，用户可以用该账户登录并使用OOS服务。 Service Service是OOS为注册成功用户提供的服务，该服务为用户提供弹性可扩展的存储空间，用户可以根据自己的业务需要建立1至10个的存储桶（Bucket）。 Bucket 存储桶（Bucket）是存储文件（Object）的容器。对象存储的每个文件（Object）都必须包含在一个存储桶中。对象存储提供的是基于桶和文件的扁平化存储方式，桶中的所有文件都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 您可以设置存储桶的属性，用来控制数据存储位置、访问权限、生命周期等，这些属性设置直接作用于该存储桶内的所有文件，因此您可以通过灵活的属性设置，来创建不同的存储桶，完成不同的管理功能。每个用户最多可以建立10个存储桶。用户只有对Bucket拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。

本节介绍SNAT规则的创建和管理。 概述 SNAT规则为对应子网下的所有边缘虚拟机实例提供外网访问能力，可创建多条SNAT规则，为VPC下的不同子网下多个的实例提供公网访问，有效缓解弹性IP资源不足的情况。 设置SNAT规则 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>NAT网关】，进入NAT网关列表。 3. 在NAT网关列表单击NAT网关名称或者在操作栏单击【设置SNAT】进入到NAT网关详情页面。 4. 在【SNAT】页签，单击【添加SNAT规则】。 5. 在【添加SNAT规则】页面，配置以下参数： 参数 说明 子网 使用SNAT规则出网的子网，必选项。 公网IP NAT网关绑定的EIP，且未用于所有端口的DNAT规则，必选项。同一个EIP仅支持关联一条SNAT规则。 名称 SNAT规则名称，名称系统自动生成。 描述 SNAT规则的描述信息，非必填项。 6. 查看已添加的SNAT规则，对于SNAT规则所选择的子网网段下，且未单独绑定公网IP的虚拟机均通过SNAT规则绑定的公网IP访问公网。 7. 删除SNAT规则后，对应网段下的未绑定公网IP的虚拟机等实例将不能访问公网，请谨慎操作。 查看SNAT规则 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>NAT网关】，进入NAT网关列表。 3. 在NAT网关列表单击NAT网关名称或者在操作栏单击【设置SNAT】进入到NAT网关详情页面。 4. 单击【SNAT】页签，查看已添加的SNAT规则，包括状态、网段、弹性公网IP等信息。

说明如何快速使用云电竞服务。 快速注册步骤 1.您需要访问天翼云官网，注册并登录中国电信天翼云。 2. 鼠标悬停【产品】，在下拉选项中找到【CDN与边缘】，在右侧展开菜单中点击【云电竞】，跳转新页面后，点击【立即开通】完成云电竞的开通流程。 3.选择您所需要购买的服务内容，点击【确定】并完成支付流程。 4.访问云电竞控制台，获取您的客户端激活码并下载云电竞客户端【 Esports】。 5.启动云电竞客户端【Esports】，为该客户端命名后，输入您的天翼云账号及客户端激活码并点击【登录】即可使用，登录前，还可以进入设置界面，调整您所需要的画面参数。 账号与客户端激活码可通过控制台的订单查询页面获取 6.使用过程中，如果需要更换账号可同时按下 “ctrl+shift+alt+Q”返回本地电脑，点击右上角【设置】按钮，进入【管理员设置】，输入密码“Ctyunesports”，即可【重新注册】更换账号。

websocket加速介绍 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 配置说明 1. 登录客户控制台。 2. 在【域名管理】【域名列表】页面，点击【添加域名】。 3. 【加速类型】下拉框，选择【全站加速】。 4. 【域名类型】选择【全站加速websocket加速】。 说明 当选择【加速类型】为【全站加速】后，这时才会弹出【域名类型】的配置框。 配置界面 其他相关配置 配置了websocket加速类型的域名，还可以配置websocket回源发送超时时间、websocket回源连接超时时间、websocket回源响应超时时间。其中，websocket回源连接超时时间可在控制台自助配置，websocket回源发送超时时间和websocket回源响应超时时间需要您提交工单申请配置。 如您不需要单独配置websocket的超时时间，则无需配置，全站加速将默认使用http/https的回源发送超时时间、回源连接超时时间、回源响应超时时间。

本文介绍如何在科研助手中在在开发机中引用数据集。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【开发机】。 3. 在【开发机】页面中，点击左上角【创建开发机】 4. 在【创建开发机】页面，【存储配置】【数据集】中，点击【添加】按钮。 5. 此时在下拉条中，可以选择之前已经创建好的数据集，若还未创建数据集，可单击【创建数据集】按钮。 6. 在选择完挂载数据集之后，用户可自定义填入例如“/tmp”类似的容器挂载路径。 7. 若不需要挂载数据集，也可点击右方删除操作，取消挂载数据集。

生产者 是用来构建并传输数据到服务端的逻辑概念，负责把数据放入消息队列。 订阅器 用于订阅态势感知（专业版）管道消息，一个管道可由多个订阅器进行订阅，态势感知（专业版）通过订阅器进行消息分发。 消费者 是用来接收并处理数据的运行实体，负责通过订阅器把态势感知（专业版）管道中的消息进行消费并处理。 消息队列 是数据存储和传输的实际容器。 威胁检测模型 是一种被训练的AI智能识别算法模型。能针对特定威胁，自动化的完成数据汇聚、分析和报警，这种检测模式具备较好的泛化能力，防躲避能力强，可在不同业务系统中发挥同等效果，应对复杂的新型攻击。

本文主要介绍 iptables与IPVS如何选择。 kubeproxy是Kubernetes集群的关键组件，负责Service和其后端容器Pod之间进行负载均衡转发。 CCE当前支持iptables和IPVS两种转发模式，各有优缺点。 IPVS: 吞吐更高，速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。 iptables: 社区传统的kubeproxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。 约束与限制 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 iptables iptables 是一个 Linux 内核功能，提供了大量的数据包处理和过滤方面的能力。它可以在核心数据包处理管线上用 Hook 挂接一系列的规则。iptables 模式中 kubeproxy 在 NAT prerouting Hook 中实现它的 NAT 和负载均衡功能。 kubeproxy 的用法是一种 O(n) 算法，其中的 n 随集群规模同步增长，这里的集群规模，更明确的说就是服务和后端 Pod 的数量。 IPVS IPVS(IP Virtual Server)是在Netfilter上层构建的，并作为Linux内核的一部分，实现传输层负载均衡。IPVS可以将基于TCP和UDP服务的请求定向到真实服务器，并使真实服务器的服务在单个IP地址上显示为虚拟服务。 IPVS 模式下，kubeproxy 使用 IPVS 负载均衡代替了 iptables。这种模式同样有效，IPVS 的设计就是用来为大量服务进行负载均衡的，它有一套优化过的 API，使用优化的查找算法，而不是简单的从列表中查找规则。 kubeproxy 在 IPVS 模式下，其连接过程的复杂度为 O(1)。换句话说，多数情况下，他的连接处理效率是和集群规模无关的。 IPVS 包含了多种不同的负载均衡算法，例如轮询、最短期望延迟、最少连接以及各种哈希方法等。而 iptables 就只有一种随机平等的选择算法。 IPVS相较于iptables的优势大致如下： 1. 为大型集群提供了更好的可扩展性和性能 2. 支持比iptables更好的负载均衡算法 3. 支持服务器健康检查和连接重试等功能

云服务名称 是否支持条件键 云通信短信 否 弹性文件服务 否 分布式消息服务Kafka 否 账务 是 分布式消息服务RabbitMQ 否 分布式消息服务RocketMQ 否 云硬盘 是 天翼云电脑（政企版） 是 内网DNS 否 CRM业务中台 是 分布式缓存服务Redis版 否 弹性云主机 是 弹性负载均衡 否 镜像服务 是 云监控 否 弹性伸缩服务 否 虚拟私有云 是 物理机 否 云硬盘备份 否 云主机备份 否 服务器安全卫士（原生版） 否 密钥管理 否 云间高速 否 统一身份认证 是 客服工单 是 容器云服务引擎CCSE 是 微服务应用平台MSAP 否 活动与券 是 消息管理 是 Web应用防火墙（原生版） 否 云审计 否 企业组织 是 VPC终端节点 否 NAT网关 是

函数计算公共请求头 自定义容器从函数计算中接收到的公共请求头如下表所示。 说明 事件函数和HTTP函数均包含公共请求头Headers。 Header 描述 xfcrequestid Request ID，用于标识一次请求，便于日志追踪，通常是唯一的 xfcreqcosttime 请求耗时 xfcreqarrivetime 请求到达时间 函数计算环境变量 如果您需要访问天翼云其他服务，可以在函数配置 >权限，选择相关的角色，该角色的临时AK，SK会放在环境变量 KEY 描述 FCCTYUNACCESSKEY 如果函数配置了权限，选择的角色的临时AK会放在该环境变量 FCCTYUNSECRETKEY 如果函数配置了权限，选择的角色的临时SK会放在该环境变量 函数日志格式 建议您在创建函数时启用日志功能，自定义运行时函数中所有打印到标准输出（Stdout）的日志会自动收集到您指定的日志服务中。

Tomcat配置参数名称 Tomcat配置参数含义 应用端口 端口范围为1024~65535，小于1024的端口需要Root权限才能操作。 因为容器配置的是Admin权限，所以请填写大于1024的端口。如果不配置，则默认为18080。 Tomcat Context 选择应用的访问路径。 程序包名字 ：无需填写自定义路径，应用的访问路径是JAR包或WAR包名称。 根目录 ：无需填写自定义路径，应用的访问路径是/。 自定义 ：需要在下面的自定义路径中填写自定义的路径。 最大线程数 配置连接池的连接数大小，对应参数为maxThreads，默认大小是400。 Tomcat编码 Tomcat的编码格式，包括UTF8、ISO88591、GBK和GB2312。如果不设置则默认为ISO88591。

参数 参数说明 服务名称 设置访问服务的名称。 访问方式 设置访问服务的方式，支持： 集群内访问：提供支持TCP/UDP协议的被同一集群内其他服务访问的入口。 VPC内网访问：提供支持TCP/UDP协议的可被同一VPC下的其他服务访问的入口。 公网访问：提供支持TCP/UDP协议的Internet访问入口，包含弹性IP方式。 VPC内网负载均衡 “访问方式”选择“VPC内网访问”时有效。 访问类型 “访问方式”选择“VPC内网访问”且开启“VPC内网负载均衡”后有效。 “访问方式”选择“公网访问”后有效。 服务亲和 “访问方式”选择“VPC内网访问”或者“公网访问”后有效。 端口映射 设置访问服务的“协议”、“容器端口”、“访问端口”。

本文介绍如何管理白名单，包括新增、修改白名单等操作。 新增白名单 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 单击镜像管理页面右上角的“白名单管理”，进入白名单管理页面。 4. 单击列表右上角的“新增白名单”，可以新增白名单。 5. 新增完成，可以在列表中看到刚才新增的白名单。 白名单列表上方支持按照“白名单名称”、“内容”模糊搜索，按照“类型”定向筛选查询。 编辑白名单 单击操作列的“编辑”，即可查看或移除已添加到白名单中的镜像、漏洞、文件、软件、环境变量信息。 删除白名单 若不需要白名单时，可以单击操作列的“删除”，删除白名单。 注意 删除白名单后不支持恢复，请谨慎操作。

为什么视频没有原来清晰? 为什么视频没有原来清晰？ 观众观看视频感觉不清晰，可能是从两个角度阐述主观感受。（1）画面尺寸过小，很难看清画面细节。（2）画面较为模糊，画面边缘不清晰或存在较多色块（马赛克）。 第一种情况，可能是用户在转码时对画面的分辨率进行了调整，例如将原先高清1920x1080的画面调整成了720x480。播放器将视频渲染在显示窗口占用的显示面积缩小，观众就难以看清部分画面细节。解决这种问题，可以考虑提供用户较高分辨率的视频进行观看。如果使用了HLS格式，在播放端网络环境不佳时，播放器为了保证视频播出的流畅度，也可能自动选择清晰度较低的文件进行播放。这种情况下观众侧需要排查自身的网络情况，改善网络环境。在网速恢复正常后，播放器会拉取分辨率较高的文件片段继续播放，则观影体验会得到改善。 第二种情况，一般是由于文件在转码过程中为了压降视频体积，编码器将画面中部分细节做了模糊处理，以减少记录该细节所需要的数据量，由此导致画面看起来较为模糊，部分背景或细节丰富的地方（例如毛发、草丛等）会出现较多色块。改善该问题的办法是在设定转码模板时，尽量将视频目标码率调整得高一些，以尽量增加视频细节。但这样可能会增加网络传输的成本，需要用户自行斟酌。

本节主要介绍智能视图服务的产品定义。 智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品。依托天翼云遍布全国的资源节点，可实现设备上云全链路的就近接入、就近存储、就近分发及就近分析，通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。 产品能力 天翼云智能视图服务支持IPC、NVR和第三方监控平台等监控设备接入，支持GB28181/GB35114/GA1400/RTMP/RTSP/EHOME等多种接入协议，为用户提供就近的边缘节点接入设备，提供多种AI算法满足不同应用场景的AI检测需求（人脸识别/人体识别/场景识别等）。在播放端，智能视图服务支持RTMP/FLV/HLS/WebRTC多协议实时播放和低延迟播放，用户可便捷地通过Web端、APP和PC客户端实时观看视频。 产品架构图 使用方式 天翼云智能视图服务的使用如下： 通过天翼云官网购买并开通产品。 通过进入控制台管理和访问您的监控设备和监控流。 通过配置AI应用实现对视频流的智能AI分析。 通过消息推送可以开启短信推送告警信息。 详细使用方法可查看【快速入门使用流程】和【用户指南】。

训推用一体 内置端到端大模型“训推用”全链路工具平台，深度融合DeepSeekR1/V3/蒸馏版系列大模型，为用户提供模型训练、推理、应用全套工具，实现大模型从训练到应用的一体化解决方案。 算力多样化 采用先进的硬件架构，集成高性能计算服务器，支持多种AI芯片，如NVIDIA、昇腾等主流品牌，为DeepSeek系列大模型提供强大的算力支持，满足不同用户对算力的多样化需求。 高效能 裸金属直接部署容器运行环境，无虚拟化开销，释放硬件最大效能，提高DeepSeek系列大模型的训练和推理效率，降低能耗和成本。 极简运维 提供7×24小时在线运维服务，一二三线运维服务全覆盖，全面监控实例、任务、资源的使用情况和调度情况，及时发现异常，降低运维难度和成本。

本章节介绍应用服务网格CSM产品优势 开源增强 100% 兼容istio服务网格，并在开源基础上做了功能增强，提供了丰富的流量治理和安全管控能力；无缝对接天翼云容器引擎，支持多集群统一治理。 流量治理 支持基于istio CRD资源的流量治理；基于开源扩展了本地限流功能以及流量打标和全链路灰度能力。 安全 一键开启mTLS安全链路，支持丰富的请求认证和授权策略；一键集成外部授权服务和OPA策略引擎，提供更加丰富和灵活的安全管控策略。 无侵入 提供基于webhook的sidecar注入能力，sidecar自动拦截业务流量实现丰富的服务治理能力，无需修改任何业务代码。 优化能力 具备Sidecar资源定义、服务发现范围以及自适应配置分发能力，满足多样的网格优化需求。

计费模式 服务类型 计费方式 计量维度 描述 订购方式 适应场景 按量计费 （后付费） 基础服务 按流量 流量 按照每小时的实际流量计费。 支持官网订购。 适用于流量曲线波动较大，有带宽尖峰，且全天内带宽利用率小于30%的客户。 按量计费 （后付费） 基础服务 按带宽 日带宽峰值 按照每日带宽峰值计费，按账户每5分钟统计一个带宽值，每日得到288个值，取其中的最大值作为当日的日带宽峰值计费点。 支持官网订购。 适用于流量曲线较为平稳，且全天内带宽利用率大于30%的客户。 按量计费 （后付费） 基础服务 按带宽 月平均日带宽峰值 按照自然月结算，在每个自然日内，按账户每5分钟统计一个带宽值，对所有有效带宽值进行降序排列，取其中的最大值作为日带宽峰值计费点。最后对所有有效日的日带宽峰值求和取平均，获得当月的月平均日带宽峰值。 需 适用于月消费金额大于10万元，或预期大于10万元的客户。 备注： 更多按带宽峰值计费的具体单价可通过 按量计费 （后付费） 基础服务 按带宽 月带宽峰值 在一个自然月内，按账户每5分钟统计一个带宽值，对所有有效带宽值进行降序排列，取其中的最大值作为当月的月带宽峰值计费点。 以一月30天为例，默认均为有效取值点，每5分钟1个带宽取值点，每天288个取值点，每月总取值点数为 288x30 8640个，取其中的最大值作为当月的月带宽峰值计费点。 需 适用于月消费金额大于10万元，或预期大于10万元的客户。 备注： 更多按带宽峰值计费的具体单价可通过 按量计费 （后付费） 基础服务 按带宽 月95带宽峰值 在一个自然月内，按账户每5分钟统计一个带宽值，对所有有效带宽值进行降序排列，将带宽数值最高的 5% 的点去掉，剩余最高带宽即为月95带宽峰值计费值。 以一月30天为例，默认均为有效取值点，每5分钟1个带宽取值点，每天288个取值点，每月总取值点数为 288 x 30 8640个；将所有的点按带宽数值降序排列，去掉前5%的点（8640 x 5% 432），即第433个点为当月的月95带宽峰值计费点。 需 适用于月消费金额大于10万元，或预期大于10万元的客户。 备注： 更多按带宽峰值计费的具体单价可通过 按量计费 （后付费） 增值服务 按请求数 静态HTTPS/QUIC请求数 客户的域名开启HTTPS或QUIC功能后，将根据访问CDN产生的静态HTTPS请求数或静态QUIC请求数计费。 支持官网订购。 天翼云CDN加速产品的增值服务是通过增值功能来满足客户特定需求的一种方式。开通使用后，需额外付费。 按量计费 （后付费） 增值服务 按张数 内容审核 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 支持官网订购。 天翼云CDN加速产品的增值服务是通过增值功能来满足客户特定需求的一种方式。开通使用后，需额外付费。 按量计费 （后付费） 增值服务 按流量/带宽 高性能网络 当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，可起到跨境加速效果。 支持官网订购。 天翼云CDN加速产品的增值服务是通过增值功能来满足客户特定需求的一种方式。开通使用后，需额外付费。 按量计费 （后付费） 增值服务 按函数执行次数 边缘函数 边缘函数功能可以让企业研发人员将自定义的代码秒级一键部署到天翼云CDN边缘节点上，实现可编程CDN能力，快速满足不同客户的个性化定制需求。 支持官网订购。 天翼云CDN加速产品的增值服务是通过增值功能来满足客户特定需求的一种方式。开通使用后，需额外付费。 资源包 （预付费） 基础服务 流量包 流量 当前CDN加速支持订购的资源包均为一次性预付费，有效期为一年，当前无按月计费周期的资源包。 支持官网订购。 相较于按量计费，流量包具有一定的优惠折扣。相关优惠活动，详情请见： 资源包 （预付费） 增值服务 静态HTTPS请求包 静态HTTPS请求数 当前CDN加速支持订购的资源包均为一次性预付费，有效期为一年，当前无按月计费周期的资源包。 支持官网订购。 相较于按量计费，流量包具有一定的优惠折扣。相关优惠活动，详情请见：

本章节介绍网关治理中的流量治理功能 标签路由 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：应用设置标签。 为云容器引擎集群应用设置标签，为应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由。 登录微服务治理中心控制台。 在左侧导航栏选择 微服务治理中心 >网关治理。 在网关治理页面单击目标应用卡片。 在网关页面左侧导航栏选择流量治理 标签路由，查看服务标签。 在标签路由页点击流量分配，为标签按比例分配流量。 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。