问题描述 Service关联的所有Pod的app和version标签必须都相等。app标签在流量监控中用于流量的跟踪，version标签在灰度发布中用于区分不同版本。如果存在app或version标签不相等的Pod，则报此异常。 修复指导 Pod标签配置在Deployment的spec.template.metadata.labels中，建议配置为： labels: app: {serviceName} version: v1 修改多个Pod标签为相等的操作方法如下： 步骤 1 查看Service选择器（spec.selector）配置的标签。 kubectl get svc {serviceName} o yaml 例如，标签是app: ratings和release: istiobookinfo。 步骤 2 根据标签查找Service关联的Pod。 kubectl get pod n {namespace} l appratings,releaseistiobookinfo 说明 {namespace}和Service的namespace一致。 步骤 3根据Pod名称，找到其关联的工作负载。 kubectl get deployment {deploymentName} n {namespace} 说明 一般Pod名称格式为{deploymentName}{随机字符串}{随机字符串}。 如果根据Pod名称未查询到工作负载，可能是因为ReplicaSet有残留，需要将其删除。 判断是否存在ReplicaSet残留的方法如下： 查询Deployment的ReplicaSet。 kubectl get replicaset grep {deploymentName} 找到实例个数大于1的ReplicaSet，如果ReplicaSet个数大于1，可能是修改label导致ReplicaSet残留。需要删除旧配置的ReplicaSet。 kubectl delete replicaset {replicaSetName} n {namespace} 步骤 4请参考修复指导修改工作负载中Pod的app和version标签。 所有Pod是否都注入了sidecar 问题描述 Service管理的所有Pod都必须存在istioproxy容器，否则，“所有Pod是否都注入了sidecar”检查结果会失败。

本小节介绍管理告警白名单。 白名单管理提供告警白名单的展示与删除功能，用户可以通过配置告警白名单避免大量告警误报的发生，提升安全事件告警质量。 告警白名单用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 在“安全告警事件”页面处理告警事件时，如果告警为误报，您可以将告警加入告警白名单。告警加入白名单后，后续主机安全平台不会再对该事件进行告警和统计。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加告警白名单 添加方式 说明 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件加入“告警白名单”： 反弹Shell 勒索软件 恶意程序 Webshell 进程异常行为 进程提权 文件提权 高危命令执行 恶意软件 关键文件变更 文件/目录变更 异常Shell Crontab可疑任务 非法系统帐号 一般漏洞利用 查看告警白名单 加入告警白名单后，您可以查看已添加的告警白名单，操作步骤如下所示。 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树中，选择“入侵检测 > 白名单管理”，进入“白名单管理”页面。 4、选择“告警白名单”页签，查看已添加的告警白名单列表，参数说明如表79所示。 告警白名单列表参数说明 参数名称 参数说明 告警类型 白名单的告警类型名称。 SHA256 目标文件哈希。 路径 服务器文件路径。 数据来源 目标白名单的来源方式。

本章节主要介绍数据湖探索（DLI）的术语解释。 租户 数据湖探索支持多个组织、部门或应用共享使用资源。通过提供一个逻辑实体来统一使用不同资源和服务，这个逻辑实体就是租户。多个不同的租户统称多租户。租户对应公司。一个租户可以创建多个子用户，并可以对不同用户授予不同权限。 项目 各个服务中的一些可以访问的资源集合称为项目。一个账号可以在一个区域下创建多个项目，并基于项目进行授权。不同项目下的资源相互隔离。项目可以是一个部门或者一个项目组。 数据库 数据湖探索中数据库的概念、基本用法与Oracle数据库基本相同，它还是数据湖探索管理权限的基础单元，赋权以数据库为单位。 在数据湖探索中，表和数据库是定义底层数据的元数据容器。表中的元数据让数据湖探索知道数据所在的位置，并指定了数据的结构，例如列名称、数据类型和表名称。数据库是表的逻辑分组。 元数据 元数据（Metadata）是用来定义数据类型的数据。主要是描述数据自身信息，包含源、大小、格式或其它数据特征。数据库字段中，元数据用于诠释数据仓库的内容。 计算资源 数据湖探索服务中的队列即为计算资源，计算资源是使用数据湖探索服务的基础，用户执行的SQL作业和Spark作业都需要使用计算资源。 存储资源 存储资源是数据湖探索服务内部存储的资源，用于存储数据库和数据湖探索表，是向数据湖探索导入数据的必备条件，体现用户数据存储在数据湖探索中的数据量。

配额说明 Nacos引擎实例中可创建的资源数量限制如下表所示。 表 Nacos引擎资源配额限制 资源 最大配额 是否支持修改配额 注意事项 Nacos单实例命名空间数量 50个 否 Nacos单个配置文件大小上限 100KB 否 Nacos单个命名空间配置总计大小 10MB 否 带宽（网络流出+流入之和） 2Mbit/s 否 ServiceComb引擎实例中可创建的资源数量限制如下表所示。 表 ServiceComb引擎资源配额限制 功能 资源 最大配额 是否支持修改配额 注意事项 微服务管理 微服务版本数量（个） 10,000 暂不支持 单个实例数据量（KB） 200 支持 扩大配额后，将增加微服务发现的时延。 单个微服务契约数量（个） 500 暂不支持 配置管理 单个配置数据量（KB） 128 暂不支持 单个应用级配置数量（个） 2,000 暂不支持 微服务治理 应用级的治理策略 1,000 暂不支持 所有的应用的治理策略总和不能超过1000条。 说明 单个治理策略包含：治理规则和业务场景。治理规则和业务场景实际会等量占用配置中心的配额。 微服务版本数：微服务场景中版本用来标记微服务的迭代记录，方便对微服务的不同迭代进行管理。 微服务实例数：实例是一个微服务的最小运行和部署单元，通常对应一个应用进程。同一个微服务通过部署在多个容器或虚机，可以实现多个实例同时运行。 配置条目数：微服务场景中的配置是指对程序代码中某些变量的取值控制。比如，动态配置就是通过在微服务运行过程中对某些变量的取值进行动态变更。

为什么ServiceStage中看不到日志？ ServiceStage中看不到日志，可能是由于待查看日志的主机未安装ICAgent或者用户业务日志输出位置为非标准位置导致的。 解决方法 待查看日志的主机未安装ICAgent ServiceStage的日志查看能力是由AOM服务提供的。主机是否安装ICAgent是使用AOM的日志能力的前提，否则将无法查看ServiceStage的日志。ICAgent是AOM的采集器，分别运行在每台主机上用于实时采集指标、日志和应用性能数据。 如何为待查看日志的主机安装ICAgent，请参考。 用户业务日志输出位置为非标准位置 由于用户配置了日志策略，导致用户程序业务日志未输出到标准的输出位置。需参考如下方法进行排查处理： − 虚机部署 排查配置的日志策略，是否把用户程序业务日志输出位置写到ServiceStage默认指定的虚机日志目录（/var/log/application/ {组件名} {环境名} {随机字符串}/ {版本号}/${实例ID}/startapp.log）外的其他目录。 请查询业务代码，对日志策略进行调整。 − 容器部署 排查配置的日志策略，是否把业务日志输出到出标准输出外的其他地方。请参考进行相关配置。 替换弹性IP后应用访问方式失效 问题描述 当外网负载均衡绑定到应用时，如果把负载均衡的弹性IP替换掉，则应用访问方式上无法自动更新。 解决方法 需要手动删除之前的记录，重新添加新更换的IP，以新IP为访问地址的ELB访问方式。

本节主要介绍创建软件包构建任务 通过构建任务可以用软件包一键式生成镜像包，实现“软件包获取>镜像编译>镜像归档”的全流程自动化。 前提条件 1.已经创建集群。 2.已为构建节点绑定弹性IP。 操作步骤 1、登录ServiceStage控制台，选择“持续交付 > 构建”，单击“基于软件包构建”。 2、输入“Job名称”。 3、（可选）输入Job“描述”。 4、设置“包来源”。 支持以下上传方式： 从OBS对象存储选择对应的软件包，需要提前将软件包上传至OBS桶中。 单击“选择软件包”，选择对应的软件包。 5、选择构建方式。 系统默认 a.选择基础镜像语言，需与步骤4中选择的软件包编译语言一致。 b.选择“基础镜像版本”。 自定义Dockerfile 在编译框中输入自定义命令。 注意 请在echo、cat、debug等命令中慎用敏感信息或者进行敏感信息加密，以免造成信息泄露。 内置镜像 选择“基础镜像”，镜像语言需与步骤4中选择的软件包编译语言一致。 6、设置“镜像类型”。 公有：包含常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 7、选择“镜像归档地址”。 8、构建集群。 使用自己的集群进行构建任务，可以通过节点标签将构建任务下发到固定节点上，新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、单击“立即构建”启动构建。 单击“保存”仅保存设置，不进行构建。

第二步：创建云上注册集群，根据具体场景选择本地集群或三方云集群 进入天翼云【分布式容器云平台】产品页面，顶部切换到规划好的资源池，然后选择【集群资源】>【注册集群】，根据实际场景选择注册本地集群或注册三方云集群。 在集群订购页，选择步骤一中规划好的VPC、子网；若规划为公网方式接入注册集群，则还需启用【使用EIP暴露APIServer】，若规划为内网方式则无需启用；其他配置项按需设置即可。 最终根据指引，提交注册集群订购，并在【集群资源】>【集群管理】页面确认订购的注册集群已处于【待接入】状态。 第三步：打通用户集群到云上注册集群的网络连接 根据第一步规划的云上云下网络打通方式，参考下面指引进行实际网络打通： 网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助； 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。 在配置完网络互通策略后，用户可通过ping或telnet 注册集群网关地址，来验证实例的具体联通情况。

本节介绍了集群备份的用户指南。 执行备份 集群备份可对集群中的资源进行备份，备份粒度可是集群中所有资源，也可以加入一定筛选条件缩小备份的范围，如根据资源的命名空间及资源自身的类型来筛选。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群备份】，点击【创建备份】，在弹出框中配置备份任务的信息，录入信息后点击【创建】 名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一 命名空间 非必填，选择备份资源的命名空间，可多选 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath 在备份列表中即可查看备份任务的执行状态，及备份完成后备份包的大小。 备份列表的操作列还包含以下三个操作： 还原：把当前备份包还原到当前集群中； 下载：下载当前备份任务的备份包； 删除：删除当前备份任务。 查看备份详情 在备份任务列表中，点击备份名称，进入备份详情页面。 在备份详情页面中，同样可以对当前备份任务执行还原、下载备份包和删除操作： 备份页面展示了当前备份任务的任务名称、备份时筛选的资源类型、是否包含持久卷、备份任务创建时间、备份包的大小和备份任务的状态这些这些信息。 此外如果曾经以当前备份任务的备份包执行了还原，还原记录会展示在界面下方的“相关还原记录”中。

本文介绍数据缓存概述。 对于一些数据量较大的业务数据，例如训练模型等，ECI支持创建数据缓存（DataCache）来提前拉取数据，将数据缓存到本地，以便在创建ECI实例时可以直接挂载使用，从而减少实例启动耗时，避免数据重复下载，节约使用成本。本文为您介绍什么是数据缓存，包括功能简介、应用场景、创建和使用方式、计费说明等。 功能简介 为了解决数据加载与容器镜像加载解耦的问题，ECI提供了数据缓存的功能。在创建业务应用前，您可以提前创建数据缓存，将业务应用所需的数据缓存到本地。在创建业务应用时，可以直接挂载使用缓存好的数据。 通过数据缓存功能，您无需将数据打包进应用镜像，从而避免因数据变更而频繁更新镜像；也无需从远端的仓库下载数据，避免因下载数据导致应用启动过慢。 数据缓存流程 通过创建一个带有数据盘的ECI(中转任务实例)，拉取相关数据集和模型到数据盘后，将数据盘制作成快照。在使用数据盘的过程，即是从快照创建数据盘的过程，将创建好的数据盘给用户实例挂载上。 数据缓存生命周期 状态说明： 状态 说明 操作 Creating 创建中 资源初始化，如创建ECI实例和云盘 Loading 缓存数据中 从数据源加载数据过程 Available 创建成功 快照创建完成，可用使用数据缓存，支持更新所属Bucket、数据源、保留时长、大小等 Failed 创建失败 资源初始化失败或数据源加载失败 Updating 更新中 更新Bucket、数据源、保留时长、大小过程中 UpdateFailed 更新失败 支持更新所属Bucket、数据源、保留时长、大小等

功能说明 桶（Bucket），是用于存储对象（Object）的容器，所有的对象都必须隶属于某个桶。用户可以设置和修改存储空间属性用来设置访问权限、生命周期等，这些属性设置直接作用于该存储空间内所有对象，因此可以通过灵活创建不同的存储空间来完成不同的管理功能。用户需通过身份验证来查询自己创建的桶，且无法匿名发送请求。 ListBuckets操作列出用户创建的桶。 代码示例 plaintext using System; using System.Threading.Tasks; using Amazon.Runtime; using Amazon.S3; ​ namespace DotNetSDK.BucketOperation { public class ListBucketExample { public static async Task ListBuckets() { var accessKey " "; var secretKey " "; var endpoint " "; try { var credentials new BasicAWSCredentials(accessKey, secretKey); var conf new AmazonS3Config { ServiceURL endpoint }; ​ var s3Client new AmazonS3Client(credentials, conf); var result await s3Client.ListBucketsAsync(); if (result.HttpStatusCode ! System.Net.HttpStatusCode.OK) { Console.WriteLine("fail to list buckets, HttpStatusCode:{0}, ErrorCode:{1}.", (int) result.HttpStatusCode, result.HttpStatusCode); return; } ​ Console.WriteLine("the buckets of {0} are:", result.Owner.DisplayName); result.Buckets.ForEach(b > { Console.WriteLine(b.BucketName); }); } catch (Exception e) { Console.WriteLine(e.Message); } } } } 返回结果 ListBuckets操作返回的结果如下： 属性名 类型 说明 Buckets List 桶信息的数组，包含了每个桶的名字和创建时间 Owner Owner 桶的所有者信息 判断桶是否存在 功能说明 可以使用AmazonS3Util.DoesS3BucketExistAsync接口判断桶是否存在。

网络架构设计步骤 1. VPC划分与业务规划 1. VPC划分原则 1. 按业务单元划分：如 VPC生产环境、VPC测试环境、VPC部门A。 2. 按安全等级划分：如 VPC核心业务（高安全）、VPC边缘服务（对外暴露）。 2. 规划共享服务VPC，集中部署公共服务，例如： 1. NAT网关：为多个业务VPC提供统一公网出口。 2. 堡垒机：统一运维入口，避免各VPC单独暴露SSH/RDP。 3. CIDR规划 1. 每个VPC使用独立且不重叠的私有地址段（如 10.1.0.0/16、10.2.0.0/16）。 2. 子网按功能分层（Web层子网/应用层子网/数据库子网），并预留20%地址空间。 2. 跨VPC互联方案 1. 通过对等连接实现VPC内网互通 1. 指定两个VPC创建对等连接，需在双方VPC路由表中添加对端CIDR指向对等连接。 2. 限制互通范围：仅在有通信必要的VPC之间建立对等连接（如生产VPC与共享VPC）。 3. 路由与流量管理 1. 路由表配置 1. 业务 VPC的子网路由表（需要与其他VPC互通子网所关联的路由表） 1. 默认路由规则：目的端为0.0.0.0/0，下一跳指向连接共享VPC的对等连接。 2. 添加访问其他业务VPC的路由规则：目的端其他业务VPC CIDR，下一跳指向对应的对等连接。 2. 共享VPC的路由表 1. 默认路由规则：目的端为0.0.0.0/0，下一跳指向NAT网关。 2. 添加访问业务VPC的路由规则：目的端业务VPC CIDR，下一跳指向对应的对等连接。 2. NAT网关规则配置 1. SNAT规则：为需要访问互联网的VPC或子网网段配置SNAT规则。 2. DNAT规则：通过端口映射，将公网IP的特定端口转发至目标私有IP（如ELB或云主机）的端口。 3. 流量路径示例 1. 出公网：生产环境VPC > 对等连接 > 共享VPC NAT网关 > 互联网。 2. 跨VPC访问：共享VPC > 对等连接 > 生产环境VPC。 4. 安全策略设计 1. 跨VPC访问控制 1. 安全组规则：仅允许特定源IP（如共享VPC的日志服务器IP）访问目标端口。 2. 网络ACL：在子网级限制跨VPC流量（如拒绝非业务VPC的IP段）。 2. 流量加密 1. 跨VPC敏感数据使用SSL/TLS或IPSec加密（若需更高安全性）。

本节介绍如何解除数据集加速。 当不再需要使用加速数据时，可以通过解除加速来释放存储资源。 解除加速后，将同步删除数据源配置资源（Dataset）、加速引擎资源（Runtime）、预热资源（DataLoad），本地缓存数据将自动清理。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 确保存储插件cstorcsi运行正常。 数据集已开启数据加速。 确认已没有业务资源在使用加速数据集。 约束与限制 解除加速将清理缓存数据，业务无法再使用加速功能，请谨慎操作。 解除加速前请确认已没有业务资源在使用加速数据集，否则无法执行解除。 操作步骤 1. 解除加速 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择数据集； 进入数据集详情页 > 版本： 数据集版本列表中，对于已加速数据集，开放“解除加速”入口。点击“解除加速”，将开启清理操作。 解除加速完成，数据集加速状态将置为“未加速”。 2. 解除加速失败 Cannot decelerate, pods [XXX] are using PVC fluiddsXXX 该错误由于检查当前仍有应用在使用加速数据集导致。可根据提示pod确认是否要解除加速，如仍需解除，需首先释放占用资源，再重试解除即可。

本节介绍如何解除数据集加速。 当不再需要使用加速数据时，可以通过解除加速来释放存储资源。 解除加速后，将同步删除数据源配置资源（Dataset）、加速引擎资源（Runtime）、预热资源（DataLoad），本地缓存数据将自动清理。 前提条件 已完成AI套件安装，弹性数据集组件运行正常 确保存储插件cstorcsi运行正常 数据集已开启数据加速 确认已没有业务资源在使用加速数据集 约束与限制 解除加速将清理缓存数据，业务无法再使用加速功能，请谨慎操作 解除加速前请确认已没有业务资源在使用加速数据集，否则无法执行解除 操作步骤 1、解除加速 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择数据集； 进入数据集详情页 > 版本： 数据集版本列表中，对于已加速数据集，开放“解除加速”入口。点击“解除加速”，将开启清理操作。 解除加速完成，数据集加速状态将置为“未加速”。 2、解除加速失败 Cannot decelerate, pods [XXX] are using PVC fluiddsXXX 该错误由于检查当前仍有应用在使用加速数据集导致。可根据提示pod确认是否要解除加速，如仍需解除，需首先释放占用资源，再重试解除即可。

74 优化创建与表回收站内的同名表的建表逻辑，提高创建成功率。 310 优化公有云管理控制台和支撑组件为容器化部署，提升实例创建效率，该功能公有云租户端不可见。 问题修复 246 [DBProxy]修复使用create table创建enum类型字段的表在设置sharding规则时，报错syntax error的问题。 230、308、309、311、312、369、435 修复相关社区新增安全风险。 244 [管理平台]修复前序版本引入的创建GiServer实例失败后，偶发性zookeeper节点元数据未回滚的缺陷。 356 修复偶发性控制台批量设置分片算法时无法正常加载分片列表问题，提升使用体验。 215 [DBProxy]修复使用create table语句创建表时，建表语句中包含带/的comment字段导致的创建失败问题。 396 [DBProxy]修复部分场景下DDL语句执行含有错误语法的sharding table语句时，DDL会话卡住且无返回信息的问题。 397 [DBProxy]修复执行create table语句时表名填写为序列字段名，导致同个会话提交的DDL执行存在顺序错乱的缺陷。 379 [管理平台]修复创建表时采用Range分区且分桶方式，但创建成功后的表并未进行分桶问题。 375 [前端]修复偶发性创建库表成功以后，无法正常进入用户管理页面问题。 382 修复管理组件开源社区安全漏洞，提升实例安全性。 329 修复Apache开源社区新增安全漏洞。

如何获取AK/SK？ 每个用户最多可创建2个访问密钥（AK/SK），且一旦生成永久有效。 AK（Access Key ID）：访问密钥ID，是与私有访问密钥关联的唯一标识符。访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key）：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 操作步骤 1、登录控制台，将鼠标移动到右上方的用户名称，并在下拉列表中选择“我的凭证”。 2、在“我的凭证”页面中选择“访问密钥”页签。 3、在列表上方单击“新增访问密钥”，输入验证码或密码。 4、单击“确定”，生成并下载AK/SK。 创建访问密钥成功后，您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看秘密访问密钥（SK）。 请及时下载保存，弹窗关闭后将无法再次获取该密钥信息，但您可重新创建新的密钥。 当您下载访问密钥后，可以在浏览器页面左下角打开格式为.csv的访问密钥文件，或在浏览器“下载内容”中打开。 为了帐号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。 如何查询服务不可用时间？ 您可以进入AOM的容器监控页面，在工作负载的监控视图里查看服务在各个时间的状态值，0代表正常，非0代表异常。

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。

本文主要介绍开通云审计服务 操作场景 使用云审计服务前需要开启云审计服务，开启云审计服务后系统会自动创建一个名称为“system”，类型为“管理事件”的追踪器，系统记录的所有操作将关联在该追踪器中。 为了保存操作记录，需要将事件文件保存至对象存储服务中的存储对象的容器，即OBS桶。因此，开通云审计服务之前，需要开通对象存储服务，且用户对即将要使用的OBS桶具有完全的使用权限。云服务平台默认仅开通OBS的服务所有者能够访问OBS桶及其包含的所有对象，但服务所有者可以通过编写访问策略来向其他服务和用户授予访问权。 本节介绍如何开通云审计服务。 前提条件 已开通对象存储服务。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务信息页面。 3. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 4. 单击“开通云审计服务”。 5. 在开启云审计服务详情页面，单击“开启”，完成开启云审计服务，系统会自动分配一个追踪器。 开启云审计服务成功后，您可以在追踪器信息页面查看系统自动创建的追踪器的详细信息。 追踪器记录创建追踪器的该租户的云服务资源的相关操作。云审计服务当前支持的云服务的详细信息，请参见支持审计的服务列表。

本节主要介绍创建参数模板 数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 使用须知 文档数据库服务和关系型数据库不共享参数模板配额。 每个用户最多可以创建100个文档数据库服务参数模板，集群、副本集实例共享该配额。 集群 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“参数模板管理”。 步骤 5 在“参数模板管理”页面，单击“创建参数模板”。 步骤 6 选择数据库版本、集群实例类型和节点类型，命名参数模板，并添加参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的节点类型，例如：您需要创建config节点适配的参数模板，请选择“config”。 参数模板名称在1到64位之间，需要以字母开头，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256位，不能包含回车和>!<"&'特殊字符。 步骤 7 您可在“参数模板管理”页面的“集群”页签，查看并管理创建完成的参数模板。

本小节介绍服务器安全卫士的应用场景。 主机安全防护 主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件。有主机的地方就需要主机入侵检测。 发现新型漏洞 至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

本页面主要介绍分布式消息服务RocketMQ对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“容器与中间件”，资源类型选择“分布式消息服务Kafka”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本章节主要向您介绍如何删除安全组与安全组规则。 删除安全组 操作场景 当您的安全组不需要使用时，您可以删除不需要的安全组。 约束与限制 系统自带的默认安全组不能删除，默认安全组名称为default。 当安全组已关联至其他服务实例时，比如云主机、云容器、云数据库等，此安全组无法删除。请您将实例从安全组中移出后，重新尝试删除安全组。 当安全组作为“源地址”或者“目的地址”，被添加在其他安全组的规则中时，此安全组无法删除，需要删除该条规则或修改规则，然后重新尝试删除安全组。 比如，安全组sgB中有一条安全组规则的“源地址”设置为安全组sgA，则需要删除或者更改sgB中的该条规则，才可以删除sgA。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，选择目标安全组所在行的操作列下的“更多 > 删除”，弹出删除确认对话框。 3. 根据界面提示完成确认，确认无误后单击“确定”，删除安全组。 删除安全组规则 操作场景 当您不需要通过某条安全组规则控制流量流入/流出安全组内实例时，您可以删除安全组规则。 约束与限制 当您删除安全组规则前，请您务必了解该操作可能带来的影响，避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。

产品优势 灵活弹性：生物信息仿真任务具备较高的资源弹性需求，天翼云EHPC可提供自动弹性扩缩容能力，根据任务的提交、完成情况自动扩容、缩容节点，降低使用成本。 缓存加速：生信数据库文件大，并且涉及到反复的IO操作，对共享存储性能提出挑战。天翼云使用数据高效压缩和缓存技术，大幅降低对存储的性能要求，提升集群的节点扩展能力。 软件灵活管理：提供软件仓库和容器化能力支持，封装复杂的生信软件和运行环境，结合调度器的批量任务调度能力，大幅提升工作效率。 搭配使用产品 物理机、弹性云主机、云硬盘、对象存储、弹性文件服务、镜像服务、云监控 芯片仿真与验证 场景说明 芯片厂商普遍使用EDA（电子设计自动化）软件完成超大规模集成电路芯片的功能设计、验证等工作。天翼云弹性高性能计算可为EDA前仿真、后仿真、OPC光学邻近校正等多个阶段提供高性能、灵活接入的集群方案。 产品优势 多种算力选型：提供高性能CPU或大容量内存节点，为EDA不同阶段涉及的软件提供最佳的机型配置，提升单节点CPU能力或提升后仿真作业容量，缩短运行周期。 高性能专线接入：EDA场景对数据安全性要求高，且仿真数据一般部署在云下。天翼云提供多种专线接入方案，提供稳定的接入带宽和超低延迟。 资源统一调度：通过将LSF等调度器对接至云上资源，实现云上云下混合集群，满足本地资源不足时的资源溢出需求。

二、测试过程 2.1 环境变量配置 进入部署过程中启动的容器内，使用以下命令配置环境变量。 2.2 导入数据集 导入文本推理数据集：testdatagsm8k.jsonl 示例： {"question": " 你是中国电信星辰语义大模型，英文名是TeleChat，你是由中电信人工智能科技有限公司和中国电信人工智能研究院（TeleAI）研发的人工智能助手。n n你是一位擅长文本生成的智能助手，能够从多轮对话中理解上下文关系并提炼出用户的完整问题。请按照以下步骤处理用户的对话内容：nn1. 【识别上下文关系】：判断多轮对话问题之间是否存在关联。如果对话之间存在关联，则返回true，如果对话之间相互独立，则返回false。用【hasContext】来表示。n2. 【关联对话轮次】：将相互关联的对话轮次分组，并存储在列表中。每组应该包含相关的对话轮次。如果没有上下文关系，则直接返回空列表，用【mergeRound】来表示。n3. 【总结用户问题】：根据每组轮次的内容，概括总结出用户的完整问题。注意总结时仅关注该组的对话内容，尽量足够精简不要重复，用【contextAnswer】来表示。n4. 【构建JSON】：返回一个JSON字符串，格式如下：n {n "hasContext": "表示是否存在上下文关系", n "mergeRound": "表示需要合并的轮次",n "contextAnswer": "表示概括总结的完整问题"n }nn下面是 【河北省】 用户的多轮对话内容：n第1轮对话：我的宽带协议到期，8月1日。再续协议怎么办理？n第2轮对话：你查一下我用好多年了nn【输出结果】：n ", "answer": "{"hasContext": "true", "mergeRound": [[1, 2]], "contextAnswer": ["宽带到期怎么续约"]}"}

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

步骤 说明 实践准备 完成实践开始前的准备工作，包括注册帐号、开通软件开发生产线、创建项目、添加项目成员等操作。 管理项目规划 完成项目的整体规划，包括项目需求规划、迭代需求规划等。 管理项目配置 根据项目需求，对工作项变更的通知方式、工作项状态的流转方式等进行自定义设置。 开发代码 通过分支来进行代码的编写，包括创建分支、代码提交、合并分支等操作。 检查代码 对代码进行静态扫描，根据修复建议优化代码，提高代码质量。 构建应用 构建环境镜像、将代码编译打包成软件包。 部署应用 将构建好的环境镜像及软件包安装并运行在环境中，本文档提供两种环境的部署方法：CCE与ECS。 管理项目测试 为迭代创建测试计划、设计测试用例，并按照计划执行测试用例。 配置流水线 将代码检查、构建、部署等任务串联成流水线。当代码有更新时，可自动触发流水线，实现持续交付。 释放资源 实践完成，释放软件开发生产线、云容器引擎等资源。

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

事件总线EventBridge是天翼云提供的一款Serverless事件总线服务，支持事件在总线中路由、过滤与转换，支持天翼云服务与自定义应用以标准化、中心化的方式接入，兼容CloudEvents 1.0协议，助力分布式事件驱动架构的快速构建。 核心概念 事件总线EventBridge涉及的核心概念如下： 事件：事件源状态变化的数据记录。 事件源：事件的来源，负责生产事件。 事件目标：事件的处理终端，负责消费事件。 事件总线：事件的中转站，负责事件的中间转储。 事件规则：用于匹配特定类型的事件。当事件成功匹配时，事件会被路由到与事件规则关联的事件目标。 事件总线总体架构 事件总线EventBridge的总体架构如下图所示： 事件源：事件的来源，将天翼云服务、自定义应用、SaaS应用等应用程序产生的事件消息投递至事件总线。 事件总线：存储接收到的事件消息，并根据事件规则将事件消息路由到事件目标。 事件目标：消费事件消息。 应用场景 事件总线EventBridge的典型应用场景如下： 构建事件驱动型架构：借助事件总线EventBridge，您无需了解事件源，就可以直接筛选并发布事件。 函数计算触发器：事件总线提供了统一的事件源接入方式，为函数计算服务提供SaaS应用事件或云服务事件的标准化接入。 应用事件流转：应用产生的事件可以通过事件总线触发其它相关联的应用，从而实现事件在应用与应用之间的流转。

场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见： 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见： 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。

本文介绍了自定义集群APIServer证书SAN的用户指南。 操作场景 主题备用名称（Subject Alternative Name，缩写SAN）允许将IP地址、域名等值与证书关联。SAN通常用于TLS握手阶段客户端校验服务端证书中的SAN是否与客户端实际访问的IP地址或域名匹配。 当客户端无法直接访问集群内网私有IP地址或公网IP地址，如域名访问、DNAT访问等场景，此时可将能直接访问的IP地址或域名通过SAN的方式签入集群服务端证书，以支持客户端开启双向认证，提高安全性。 此外，跨域访问或代理访问场景可通过自定义SAN实现。域名访问场景的典型使用方式如下： 配置容器组的hostAliases或配置主机/etc/hosts，添加域名映射； 内网DNS使用，云解析服务支持配置集群弹性IP与自定义域名的映射关系； 自建DNS服务器，自行添加A记录。 添加自定义SAN 1. 登录CCE控制台； 2. 在集群列表中单击集群名称，进入集群信息页； 3. 点击“自定义证书SAN”旁的编辑按钮，在弹窗口中添加IP地址或域名，然后单击“确认”。 4. 专有版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般3到10分钟后可看到修改后的端口范围，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。 5. 托管版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般耗时3到10分钟，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。

结合云计算特性的云原生特点 云原生，是基于分布部署和统一运管的分布式云，以容器、微服务、DevOps等技术为基础建立的一套云技术产品体系。 在云计算环境中，云平台自身提供了多种技术手段，来提高整体系统的稳定性、扩展性来提高性能，这些技术手段与云计算环境密切相关，并且更具有云原生特点，领用这些技术特性解决特定的问题，会更加适应云环境。 云下一代防火墙通过与云计算平台的紧密结合，云平台监控设备的运行状态，当性能不足时，可通过增加虚拟化设备或提高设备使用的虚机资源，实现设备的弹性伸缩，保障业务网络不遇到性能瓶颈。 提供多种自动化部署方案 云下一代防火墙适合在公有云和私有云中部署，可为公有云和私有云客户提供自动化的网络安全解决方案，抵御外部的网络攻击。借助云计算的优势特性，云下一代防火墙可按需自动化部署和扩展安全服务资源，并可与现有的云计算管理平台进行紧密整合，将管理和安全防护能力直接深入到云计算架构中，可伴随着客户或虚拟业务资源的需求增长和缩减。 可为具有开发能力的客户提供完成初始化部署的方案，并提供二次开发对接接口。可为OpenStack的客户提供替换源Th vRouter以及FWaaS的整体交付方案；可为致力于方案解耦的客户提供符合国际化标准的开源开放NFV集成方案。

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

本节介绍了集群定时备份的用户指南。 操作场景：为增强集群容灾能力，提高集群可靠性。可对集群进行定时备份。 前提条件：用户需要在所操作的集群的插件市场中安装备份还原插件“ccsebackup”。 创建任务 定时备份提供按指定时间执行备份还原任务，配置操作大体与集群备份的相似。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群定时备份】,点击【创建备份】，弹出创建备份对话框。 名称、命名空间、资源和持久卷的配置与集群备份余下字段则与定时执行相关。 名称 说明 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理 时间点 必填，定时备份时执行的时间点，为整点 重复周期 必填，定时备份任务重复在一周内哪几天触发执行 说明 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理 点击“创建后”完成定时任务创建。 新建的定时备份任务会被展示在列表中，列表末端的操作列包含三个按钮： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。 任务详情 在定时任务列表中点击任务名称，进入定时任务详情页。在详情页面可以看到定时任务的名称、所备份的命名空间、资源类型、是否包含持久卷、任务创建时间、备份包的保留天数和备份任务的重复周期这些信息。此外在“相关备份任务”中展示了每次执行的任务信息。 任务信息包括了任务名称、大小，任务执行的状态，任务的执行时间等。 另外列表中还包含了一个操作列，操作包括还原、下载和删除，功能与集群备份的列表的一致。