本页面主要介绍了MySQL实例版本相关的问题。 如何查看MySQL实例的版本号 可以进入控制台实例管理页面，点击实例名称进入实例详情页面，看到数据库引擎字段的版本号。 登录数据库，执行查看数据库版本的SQL命令：select @@version;。 MySQL实例是否支持版本升级 关系数据库MySQL版支持升级数据库版本，支持升级内核小版本升级。 升级数据库版本请参考实例管理升级数据库版本。 升级内核小版本请参考实例管理升级数据库内核小版本。 MySQL实例是否支持降版本 暂不支持版本降级。 如果您需要从关系数据库MySQL版的8.0版本的实例降到关系数据库MySQL版的5.7版本的实例，您可以重新创建关系数据库MySQL版的5.7版本的新实例，使用mysqldump将数据迁移到新实例中，详细操作请参考数据迁移使用mysqldump迁移MySQL数据。

本节介绍如何选择/切换策略类型。 策略介绍 NetworkPolicy适用于为指定资源设置允许进出站访问的场景。 OVS模式仅限于OpenShift环境，可为指定的访问源与访问目标设置拒绝规则。 IPtables模式可为指定的访问源与访问目标设置访问规则，由策略优先级决定允许或拒绝。 选择策略类型 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 当首次添加集群时，系统会要求用户选择一种策略类型。在完成策略类型的选择后，点击“确定”按钮，系统会跳转至“策略管理”页面。 当再次进入“策略管理”页面时（非初次进入），系统将会默认显示上次选择的策略类型。在“策略管理”页面中，可以查看当前所选策略类型的相关信息，还可以对集群和策略类型进行切换。 3. 在“策略管理”页面中，可以查看当前所选策略类型的相关信息，还可以对集群和策略类型进行切换。 4. 在弹出的对话框中，选择策略类型，单击“确定”。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本小节介绍服务器安全卫士的功能使用。 Agent安装完成后，您可使用服务器安全卫士相关功能。 1.您可以在资产清点页面，查看对应操作系统服务器资产清点信息，包括：账号、进程、端口、web服务、数据库等信息。 2.您可以在风险发现总览界面，查看您 服务器风险概览情况 ，包括风险项统计、风险分布、风险趋势等。 3.您可以在风险发现下， 使用安全补丁、漏洞检测、弱密码检查、应用风险、系统风险、账号风险功能 。支持从风险维度和主机维度两种视图下，查看风险信息。 安全补丁：对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 漏洞检测：精准本地分析漏洞，包含精准POC探测和版本漏洞探测；支持CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 弱密码检查：弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 应用风险：检测Linux关键攻击路径上常用应用的配置型风险。 系统风险：检测linux上由于系统配置的产生的安全风险 账号风险：检测linux系统中的由于账号的配置产生的安全风险。 4.您可以在入侵检测下， 使用暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行功能 。 暴力破解：实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力，支持自动封停和手动封停，可设置白名单。 异常登录：实时异常登录监控，发现异常IP、区域、时间等的异常登录，在使用前，必须先设置正常登录规则，否则异常登录功能不起作用，无法进行监控。支持封停和解封。 反弹shell：实时监控主机上反向连接的行为，并提供详细的攻击记录，支持设置白名单规则，支持对反弹shell行为进行阻断。 本地提权：支持实时进程提权监测，支持进程提权过程详细记录。 后门检测：精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 Web后门：多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 可疑操作：实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则 Web命令执行：能够发现Web RCE和进程异常的执行事件 5.您可以在病毒查杀下， 设置查杀引擎和处置方式 ，支持对单台或多台服务器产生的病毒进行自动处置和手动处置。 6.您可以在合规基线下，根据等保、CIS的基线要求 设置基线检查任务 ，支持定时检查，可导出检查结果。

参数 参数类型 说明 示例 下级对象 createTime String 创建时间 20230921 17:49:52 prodDbEngine String 数据库实例引擎 prodInstId String 实例id 169528973574900007 prodInstName String 实例名称 testpg1 prodRunningStatus Integer 实例当前的运行状态 0:运行中 1:重启中 2:备份中 3:恢复中 1001:已停止 1006:恢复失败 1007:VIP不可用 1008:GATEWAY不可用 1009:主库不可用 1010:备库不可用 1021:实例维护中 2000:开通中 2002:已退订 2005:扩容中 2011:冻结 0 alive Integer 实例是否存活,0:存活，1：异常 0 prodOrderStatus Integer 订单状态，0：正常，1：冻结，2：删除，3：操作中，4：失败,2005:扩容中 0 prodType Integer 实例部署方式 0：单机，1：一主一备，2：一主两备，3：只读实例 1 readPort Integer 读端口 9304 vip String 虚拟ip地址 writePort String 写端口 9304 readonlyInstnaceIds Array of Strings 只读实例id列表 [] instanceType String 实例类型，primary:主实例，readonly:只读实例 primary toolType Integer 备份工具类型，1：pgbaseback，2：pgbackrest，3：s3 1

大语言模型 针对特定任务，对大语言模型进行优化，使其更符合你的应用场景。大语言模型管理为您提供统一的模型接入、代理与观测能力，支持将商业模型、开源模型或私有模型整合至同一平台，并通过模型代理策略实现成本优化、性能提升和稳定性保障。 核心概念 模型：对后端大模型服务的逻辑封装，定义了模型来源、访问凭证和基础配置。 模型代理：部署在高性能 LLM 网关上的代理服务，提供统一访问入口，并执行路由、容灾和并发控制等策略。 代理模式：单目标反向代理模式，绑定一个后端模型，所有请求直接转发至该模型，适用于简单、单一模型场景。 负载模式：多目标负载均衡模式，可绑定多个后端模型，根据轮询或加权策略分发请求，适用于组合使用多个模型的复杂场景。 查看模型列表 1. 登录智能体引擎控制台。 2. 左侧菜单选择模型 ，在页面顶部点击大语言模型标签页，查看已添加的模型列表。 页面右上角提供添加模型 按钮和搜索模型名称搜索框，支持快速查找已有模型。模型以卡片形式展示，显示模型名称、服务提供商、API 端点和更新时间。

大语言模型 针对特定任务，对大语言模型进行优化，使其更符合你的应用场景。大语言模型管理为您提供统一的模型接入、代理与观测能力，支持将商业模型、开源模型或私有模型整合至同一平台，并通过模型代理策略实现成本优化、性能提升和稳定性保障。 核心概念 模型：对后端大模型服务的逻辑封装，定义了模型来源、访问凭证和基础配置。 模型代理：部署在高性能 LLM 网关上的代理服务，提供统一访问入口，并执行路由、容灾和并发控制等策略。 代理模式：单目标反向代理模式，绑定一个后端模型，所有请求直接转发至该模型，适用于简单、单一模型场景。 负载模式：多目标负载均衡模式，可绑定多个后端模型，根据轮询或加权策略分发请求，适用于组合使用多个模型的复杂场景。 查看模型列表 1. 登录智能体引擎控制台。 2. 左侧菜单选择模型 ，在页面顶部点击大语言模型标签页，查看已添加的模型列表。 页面右上角提供添加模型 按钮和搜索模型名称搜索框，支持快速查找已有模型。模型以卡片形式展示，显示模型名称、服务提供商、API 端点和更新时间。

产品架构 智算一体机产品架构包括算力层、平台层、模型层，内容囊括了硬件+训推工具+预置模型+典型应用。 算力层 采用先进的硬件架构，集成高性能计算服务器，支持多种AI芯片，如NVIDIA、昇腾等主流品牌。裸金属直接部署容器运行环境，无虚拟化开销，释放硬件最大效能。 平台层 内置端到端大模型“训推用”全链路工具平台，涵盖数据管理、模型开发与训练、模型评估、模型管理、服务部署等模块，为用户提供模型训练、推理、应用全套工具。 模型层 预置丰富的基座大模型和数据集，支持国产化算力，提供算子加速与模型加速，极大提升大模型训练推理效率。 产品计费 产品按照不同的规格型号进行收费，订购时长为3年～5年，更多信息请见计费模式。

本文主要介绍 Kafka相关概念。 云服务平台使用Kafka作为消息引擎，以下概念基于Kafka进行描述。 Topic 消息主题。消息的生产与消费，围绕消息主题进行生产、消费以及其他消息管理操作。 Topic也是消息队列的一种发布与订阅消息模型。生产者向消息主题发布消息，多个消费者订阅该消息主题的消息，生产者与消费者彼此并无直接关系。 生产者（Producer） 向Topic（消息主题）发布消息的一方。发布消息的最终目的在于将消息内容传递给其他系统/模块，使对方按照约定处理该消息。 消费者（Consumer） 从Topic（消息主题）订阅消息的一方。订阅消息最终目的在于处理消息内容，如日志集成场景中，监控告警平台（消费者）从主题订阅日志消息，识别出告警日志并发送告警消息/邮件。 代理（Broker） 即Kafka集群架构设计中的单个Kafka进程，一个Kafka进程对应一台服务器，因此手册中描述的代理，还包括对应的存储、带宽等服务器资源。 分区（Partition） 为了实现水平扩展与高可用，Kafka将Topic划分为多个分区，消息被分布式存储在分区中。 副本（Replica） 消息的备份存储。为了确保消息可靠，Kafka创建Topic时，每个分区会分别从代理中选择1个或多个，对消息进行冗余存储。 Topic的所有消息分布式存储在各个分区上，分区在每个副本存储一份全量数据，副本之间的消息数据保持同步，任何一个副本不可用，数据都不会丢失。 每个分区都随机挑选一个副本作为Leader，该分区所有消息的生产与消费都在Leader副本上完成，消息从Leader副本复制到其他副本（Follower）。 Kafka的主题和分区属于逻辑概念，副本与代理属于物理概念。下图通过消息的生产与消费流向，解释了Kafka的分区、代理与主题间的关系。 图 Kafka消息流

本章节主要介绍如何管理向量索引缓存。 ES的向量检索引擎使用C++实现，使用的是堆外内存，该插件提供了接口对向量索引的缓存进行管理。 查看缓存统计信息 GET /vector/stats 在向量插件实现中，向量索引与Lucene其他类型索引一样，每一个segment构造并存储一份索引文件，在查询时，该索引文件会被加载到堆外内存中。插件使用缓存机制对这些堆外内存进行管理。上述API能够查询当前堆外内存使用量、缓存命中次数、加载次数等信息。 预加载向量索引 PUT /vector/warmup/{indexname} 使用上述接口能将指定indexname的向量索引预加载至堆外内存供查询使用。 清除缓存 PUT /vector/clear/cache PUT /vector/clear/cache/indexname 在使用向量索引时，缓存机制会限制堆外内存使用量。当总索引大小超出缓存大小限制时，将会发生索引项的换进换出，此时将会影响查询的性能。通过清除缓存API能够将不再使用的索引缓存清空，保证热数据索引的查询性能。

本文将简单介绍如何开通函数计算服务以及快速创建幷测试执行函数。 前提条件 已注册天翼云账号，并完成实名认证 账号可正常使用，未欠费停服 操作步骤 开通函数计算 1. 进入天翼云官网函数计算产品页，点击【开通服务】。 2. 进入函数计算服务开通页面，按页面引导开通函数计算，开通成功后点击进入控制台。 说明 若显示余额不足，请充值至保持余额在100元以上。 3. 若未创建内联委托，点击创建 ，进入函数计算控制台。 创建函数 1. 依次点击 函数 创建函数 ，如图所示。 2. 进入创建函数页面，选择或填写相关数据，如图所示。 字段 用法 校验规则 创建函数的方式 标准运行时：使用内置的运行时和默认的接口定义程序，适用于demo演示或者比较简单的业务场景。自定义运行时：选择某个流行的框架如Flask、SpringBoot等部署函数，适用于Web应用等业务场景。容器镜像：选择某个容器镜像部署函数，适用于应用迁移或者AI模型、GPU应用等业务场景。 函数名称 函数名称是函数的唯一标识，同一个租户，同一个region，函数名称必须保证唯一性。 长度在1~40个字符。只能包含字母、数字、下划线和中划线。只能字母开头。 请求处理程序类型 当选择标准运行时时才有处理事件请求：定义了函数的处理程序是响应某个事件event，具体可以参考示例程序的源码。处理Http请求：定义了函数的处理程序是响应Http请求，具体可以参考示例程序的源码。 运行环境 函数的运行环境或运行时，下拉可以根据实际需求，选择Python, Go, Java, NodeJs等多种运行环境。 代码上传方式 有以下选择：1. 选择示例代码：主要做演示用，使用内置的代码进行函数部署，可以通过阅读源码了解如何写一个简单的函数。2. 通过zip包上传代码：可以参考示例代码的规范写好函数业务代码，把业务代码整个打包为.zip后上传。 更多参数详情见操作指南函数创建。

本节介绍如何进行Syslog集成设置。 外部集成页面提供了系统数据同步的集成方式，用户可通过该页面功能与外部数据库同步数据。 目前支持Syslog集成配置，Syslog服务器可以对多个设备的Syslog消息进行统一的存储，解析其中的内容做相应的处理。 添加syslog集成设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 外部集成”，进入外部集成页面。 3. 单击Syslog卡片，进入Syslog集成列表页面。 4. 单击右上方的“添加集成设置”，进入Syslog集成设置页面，可添加新的Syslog集成设置。 输入名称，选择需要的告警日志级别，配置Syslog服务器地址和端口号，选择数据存放模块，配置数据标签（数据标签的设置便于数据获取），还可输入描述信息便于管理查看。 5. 配置完成后，单击“确认”，回到Syslog集成列表页面，查看已经配置的Syslog集成列表。 相关操作 在Syslog集成列表页面，单击操作列的编辑按钮，可查看并修改所选集成设置。

2.3 下载脚本 需将脚本包下载并解压至/home目录： plaintext $ cd /home $ wget $ tar xvf lsep8nodev20250901.tar 解压完成后，可通过以下命令查看目录结构： plaintext $ ll total 840 rwrr 1 root root 860160 Sep 1 17:55 lsep8nodev20250901.tar drwxrxrx 8 root root 255 Sep 1 17:52 lsepdeepseek 2.4 下载 MindIE 需将 MindIE 容器存放至各节点的/mnt/nvme1n1目录，操作步骤如下： plaintext $ mkdir p /mnt/nvme1n1/apptainer/ $ cd /mnt/nvme1n1/apptainer/ $ wget 下载完成后，可通过以下命令查看文件： plaintext $ ll /mnt/nvme1n1/apptainer/ total 5032820 rwrr 1 root root 5153607680 Sep 1 10:54 mindie2.1.RC1800IA2py311openeuler24.03ltsfix.sif 为方便后续调用，需在/home/lsepdeepseek目录下创建软链接： plaintext $ cd /home/lsepdeepseek $ ln s /mnt/nvme1n1/apptainer/mindie2.1.RC1800IA2py311openeuler24.03ltsfix.sif . 2.5 下载模型文件 需将模型文件下载并存储在各节点的/mnt/nvme1n1/model/目录，以下以量化版 DeepSeekR1 模型为例展示目录结构： plaintext $ ll /mnt/nvme1n1/model/DeepSeekR10528W8A8/ total 658940180 rwxrx 1 root root 1802 Jul 7 10:49 config.json rwxrx 1 root root 48 Jun 5 10:58 configuration.json rwxrx 1 root root 14707 Jun 5 10:58 md5sums.txt rwxrx 1 root root 10712695936 Jun 5 14:22 mtpfloat1.safetensors rwxrx 1 root root 10716492808 Jun 5 14:22 mtpfloat2.safetensors rwxrx 1 root root 5497763368 Jun 5 14:22 mtpfloat3.safetensors rwxrx 1 root root 10289502 Jun 5 10:58 quantmodeldescriptionw8a8dynamic.json rwxrx 1 root root 4287134112 Jun 5 14:22 quantmodelweightw8a8dynamic00001of00158.safetensors rwxrx 1 root root 4291084296 Jun 5 14:22 quantmodelweightw8a8dynamic00002of00158.safetensors ... rwxrx 1 root root 1853358176 Jun 5 14:22 quantmodelweightw8a8dynamic00158of00158.safetensors rwxrx 1 root root 17224440 Jun 5 10:58 quantmodelweightw8a8dynamic.safetensors.index.json rwxrx 1 root root 1680 Jun 5 10:58 README.md rwxrx 1 root root 3957 Jun 5 10:58 tokenizerconfig.json rwxrx 1 root root 7847602 Jun 5 10:58 tokenizer.json 注意 如需快速完成模型罐装，可联系公有云事业部通过对等连接方式实现。

连接线 拓扑中每条连接线均代表此元素对于工作负载的访问连接，拓扑中的元素包括外网、地址表、工作负载。 单击连接线，可查看该元素与此工作负载的所有连接情况，包括服务、端口、次数等信息。 单击组间连线，可展开连线两端的工作组，并查看两组间的所有组间访问。 红色连线说明此条连线中存在不合规的访问，绿色线为两元素之间的访问均符合规则。 单击某条连线，还可直接查看或添加安全策略。 元素拖动 工作负载以及工作组均可进行拖动，以便根据业务需求调整拓扑。 工作负载移动到其他工作组时，自适应引擎会自动计算并将新工作组的安全策略动态的加载到该工作负载。

分布式缓存Redis管理控制台支持用户自定义实例参数模板信息，您可以根据业务需求创建不同参数配置的自定义参数模板，并应用到目标实例。 目前已提供以下系统默认模板，您可在系统模板的基础上自定义参数模板内容： DefaultRedisOriginal4Template：适用于Redis 4.0。 DefaultRedisOriginal5Template：适用于Redis 5.0。 DefaultRedisOriginal67Template：适用于Redis 6.0 和 Redis 7.0。 操作步骤 1. 登录 Redis管理控制台。 2. 选择左侧菜单栏的“参数模板”，进入“参数模板”页面 3. 在“参数模板”>"系统默认"页面，根据引擎版本选择系统默认模板并创建为自定义模板，即可打开参数配置界面。 4. 配置好参数后，点击保存按钮，生成自定义模板参数。 5. 在“参数模板”>"自定义"页面，可查询自定义模板，如需将自定义模板应用到目标实例，可单击“应用”，选择目标实例，并保存。 模板中的配置参数说明见参数配置

本文主要介绍分布式消息服务RabbitMQ的相关概念。 天翼云分布式消息服务RabbitMQ作为消息引擎，RabbitMQ是一个生产者和消费者模型，主要负责接收、存储和转发消息。以下概念基于RabbitMQ进行描述。 消息 消息一般分为两部分，消息体和标签，标签主要用来描述这条消息，消息体是消息的内容，是一个JSON体或者数据等。 生产者发送消息，消费者消费消息，生产者与消费者彼此并无直接关系。 生产者（Producer） 即向队列发送消息的一方。发布消息的最终目的在于将消息内容传递给其他系统/模块，使对方按照约定处理该消息。 消费者（Consumer） 接收消息的一方。消费者订阅RabbitMQ的队列，当消费者消费一条消息时，只是消费消息的消息体。在消息路由的过程中，会丢弃标签，存入到队列中的只有消息体。 队列（Queue） 队列是用于存储消息的，生产者将消息送到队列，消费者从队列中获取和消费消息。多个消费者可以同时订阅同一个队列，队列里的消息分配给不同的消费者。 代理（Broker） 消息中间件的服务节点。

约束条件 实例中存在异常节点，无法升级小版本。 升级主备实例时，升级顺序依次是备实例、主实例。 不支持的小版本： − 对于RDS for PostgreSQL 11版本，如果内核小版本小于11.2，则不支持小版本升级。 只支持立即升级，不支持小版本延迟升级。 只读实例不允许独立升级。 已经是最新版本的实例不支持升级。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称，在“基本信息”页面，“数据库信息”模块的“数据库引擎版本”处，单击“补丁升级”。 步骤 5 在右侧弹窗中，输入“升级”，单击“确定”，系统会立即升级您的数据库内核版本到当前最新版本。 步骤 6 查看升级结果。 升级过程中，实例状态为“实例小版本升级中”。升级完成后，实例状态变为“正常”，版本号为当前最新内核小版本。 结束

功能项 功能说明 标准版 专业版 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

工作原理 Nginx Ingress由资源对象Ingress、Ingress控制器、Nginx三部分组成，Ingress控制器用以将Ingress资源实例组装成Nginx配置文件（nginx.conf），并重新加载 Nginx使变更的配置生效。当它监听到Service中Pod变化时通过动态变更的方式实现Nginx上游服务器组配置的变更，无须重新加载Nginx进程。工作原理如下图所示。 Ingress：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，Ingress实例被存储在对象存储服务etcd中，通过接口服务被实现增、删、改、查的操作。 Ingress控制器（Ingress controller）：用以实时监控资源对象Ingress、Service、Endpoint、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，自动对Nginx进行相应的操作。 Nginx：实现具体的应用层负载均衡及访问控制。 Nginx Ingress工作原理 使用约束 仅支持在1.15及以上版本的CCE集群中安装此插件。 通过api调接口创建的Ingress annotation必须添加kubernetes.io/ingress.class: "nginx"，如果是对接老的Ingress，annotation需添加为kubernetes.io/ingress.class: "cce"。 独享型ELB规格必须支持网络型（TCP/UDP），且网络类型必须支持私网（有私有IP地址）。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群，请参照“购买CCE集群”中的步骤创建。

参数 参数说明 队列 作业所属队列的名称。 用户名 执行该作业的用户名。 类型 作业的类型，包括如下。 l IMPORT：导入数据到DLI的作业。 l EXPORT：从DLI导出数据的作业。 l DCL：包括传统DCL，以及队列权限相关的操作。 l DDL：与传统DDL操作一致，即创建和删除数据库，创建和删除表的作业。 l QUERY：执行SQL查询数据的作业。 l INSERT：执行SQL插入数据的作业。 l UPDATE：更新数据。 l DELETE：删除SQL作业。 l DATAMIGRATION：数据迁移。 l RESTARTQUEUE：重启队列。 l SCALEQUEUE： 队列规格变更（扩容/缩容）。 状态 作业的状态信息，包括如下。 l 提交中 l 运行中 l 已成功 l 已取消 l 已失败 l 规格变更中 执行语句 作业的具体SQL语句以及导出、建表的操作，此处展示操作的描述。 单击 可复制对应的语句。 运行时长 作业的运行时长。 创建时间 每个作业的创建时间，可按创建时间顺序或倒序显示作业列表。 操作 l 编辑：重新编辑修改该作业。 l 终止： − 当作业状态在“提交中”和“运行中”时，“终止”按钮才生效。 − 当作业状态为“已成功”、“已失败”、“已取消”的作业不能终止。 − 当“终止”按钮为灰色时，表示无法执行终止操作。 l 重新执行：重新执行该作业。 l SparkUI：单击后，将跳转至Spark任务运行情况界面。 说明 l 新建队列，运行作业时会重新拉集群，大概需要10分钟左右才能拉好集群，在集群创建好之前单击SparkUI会导致缓存空的projectID，从而导致无法查看SparkUI。建议使用专属队列，集群不会被释放，就不会有该问题，或者提交作业后等一段时间再查看SparkUI，确保集群已经拉好了，不要立即单击SparkUI。 l 目前DLI配置SparkUI只展示最新的100条作业信息。 l QUERY作业和异步DDL作业除上述操作外，还包括： − 查看结果：查看作业运行结果。 − 导出结果：将作业运行结果导出至用户创建的OBS桶中。具体操作请见导出查询结果。 l EXPORT作业除上述操作外，还包括： − 立即下载 l 归档日志：将作业日志保存到系统创建的DLI临时OBS数据桶中。 说明 default队列下运行的作业或者该作业为同步作业时不支持归档日志操作。

本节主要介绍锁&事务。 InnoDB锁等待 当前功能展示了当前时刻(实时)数据库的DML操作之前的锁等待的信息，可以快速帮助定位多个会话因同时更新同一条数据，而产生的会话等待和阻塞，并且支持快速终止持有锁的源头会话，从而恢复被阻塞的操作。 说明 DDL锁(Metadata Lock, MDL)，不在当前功能的范围之内，可以使用元数据锁进行分析和查看。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 选择“锁&事务”下的“InnoDB锁等待”，即可查看是否存在锁等待。

如何确认SSL根证书的有效期 如果您正在使用SSL连接MySQL，想要知道ssl根证书是否到期，可以执行如下命令： show status like '%sslserver%'; 有效期位于Sslservernotbefore和Sslservernotafter范围内。 数据库中数据被损坏的可能原因有哪些 数据被篡改 有很多安全措施保证只有经过认证的用户才能操作数据库表数据，只能通过指定的数据库服务端口来访问数据库表。 主备数据库在同步过程中有传输包校验功能，所以不会出现数据被篡改。关系数据库MySQL版使用InnoDB引擎，不容易出现数据损坏。 可能会出现实例服务器突然停电，导致数据库有页损坏，数据库无法启动。 当主机出现故障时，系统会在1～5分钟切换到备机，继续为您服务。切换过程中关系数据库MySQL版实例不可访问，需要您设置好程序跟服务的自动重连，避免因为切换导致服务不可用。

分布式缓存Redis缓存实例创建后，支持在控制台上升级实例的Redis小版本。目前仅部分Redis内核支持部分小版本升级。 前提条件 1. Redis缓存实例处于“运行中”状态。 影响须知 实例小版本升级不会更改实例的规格，仅升级Redis内核的小版本。 实例小版本执行升级时会出现1~2次30秒内的连接闪断。 实例小版本执行升级一般需要几分钟，升级期间控制台其他功能不可用，建议在业务低峰期操作。 升级完成后，实例的实例ID、连接地址、数据、白名单配置以及已创建的账号密码配置等均不会改变。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 在实例详情页面，点击“小版本升级”按钮，选择需要升级的版本，点击保存，提交升级任务。 说明： 如果没有小版本升级按钮，表明该实例引擎没有可升级的小版本。 5. 升级一般需要几分钟完成。

选择入侵防御页签，可对终端设置暴力破解行为、扫描行为检测。 防暴力破解是指对系统登录行为进行一定的限制，防止账号被爆破。 配置防暴力破解 功能 ：通过AI哨兵引擎提供的多种异常检测算法，根据真实的业务数据对暴力破解行为进行AI大模型上下文分析、跨终端关联分析。支持SSHFTPRDPSMBMSSQLWINRM多种类型。 使用场景：适用于需要自定义修改配置策略模板防暴力破解场景。 1. 选择防暴力破解页签。 2. 点击防暴力破解图标，置于开启状态（开启AI哨兵模式、开启普通模式），即可开启防暴力破解。 配置效果验证 1. 在防暴力破解策略中自定义配置并下发策略至客户端。 2. 对终端的系统账户进行登录操作，并且多次使用错误的口令尝试。 3. 在管理平台日志查看日志。 1. 当登录失败次达到设置阀值后锁定该IP地址。 2. 用户可以查看并解除已临时锁定的IP清单。 3. 生成防爆力破解日志。

为什么一定要定义服务契约？ 企业级系统规模普遍较大，微服务组件众多，所以对服务间接口进行统一管理是企业的关键需求。微服务引擎通过契约管理满足这一需求。 管理角度：通过契约管理，企业中的接口管理者可以统一定义微服务的契约文件（符合接口描述标准的接口定义文件），从而做到规范并协调多个开发团队的接口开发，降低沟通成本且避免后期的混乱。 开发角度：在微服务开发的时候，不同团队甚至不同ISV间，可以基于统一的契约文件开发同一应用或系统，从而方便整体系统一致性的维护。具体表现在，单体应用中模间是代码级调用，在编译期就可以解决API不兼容问题，修复成本也极低。微服务解耦后，服务间变为了远程调用，接口不一致通常发现时间较晚，会造成更大的修复成本。有了契约可以保证架构师设计契约，严格审查变更，并反向生成代码，保证兼容性。 另外，对于规模较小、统一管理要求不高的系统，产品支持从接口代码自动生成契约文件。

天气预报微服务应用提供天气预报、紫外线和天气湿度展示等功能。本文通过天气预报应用，展示了微服务架构设计理念的应用场景，以及使用ServiceStage管理运行环境、搭建流水线和治理微服务的最佳实践。 天气预报由前端应用和后端应用组成。前端应用weathermapweb采用Node.js进行开发，通过Mesher技术接入微服务引擎，实现前端应用发现后端应用。 后端应用采用Java微服务开发框架实现，包括fusionweather、forecast、weather、weatherbeta等微服务。其中： · fusionweather是一个聚合微服务，通过访问weather和forecast服务，提供全方位的天气预报功能。 · forecast实现未来几天天气预报查询功能。 · weather实现天气湿度查询功能。 · weatherbeta微服务是weather微服务的新版本，新增了查询指定城市紫外线情况的功能。 天气预报源码仓库地址：< 仓库分支 组件名称 采用技术 master weathermapweb Node.js fusionweather ServiceComb ServiceComb forecast ServiceComb ServiceComb weather ServiceComb ServiceComb 天气预报的逻辑组网和调用关系图如下：

本文为您介绍如何集群外Ingress访问请求会话保持。 背景信息 7层的模式下可以开启基于http cookie和app cookie的会话保持 ，在ingress上开启基于cookie的会话保持需要满足以下条件： 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：创建工作负载 创建一个nginx工作负载，并确保工作负载的实例个数大于1，部署2个副本，工作负载不需要其他的额外特殊配置。 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“工作负载”下的“无状态”，点击“创建deployment”。 也可以使用yaml创建工作负载，创建nginx工作负载参考如下： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine imagePullPolicy: Always name: nginx ports: containerPort: 80 protocol: TCP 步骤二：创建service服务 为nginx工作负载创建service，注意Session Affinity不需要设置，保持默认值即可。参考如下： apiVersion: v1 kind: Service metadata: name: nginxservice namespace: default spec: ports: port: 30003 protocol: TCP targetPort: 80 selector: app: nginx type: ClusterIP

本小节介绍日志审计(原生版)产品优势。 一站式审计 具备日志采集范围广、检索速度快、审计分析维度深、数据展示视图全、风险报表模板多、响应处置效率高等一站式日志审计功能。 强大的关联分析能力，可以让安全运维人员从几十分钟甚至小时级别的日志审计溯源耗时缩小到分钟级别，甚至秒级，大大提升安全审计效率。 搜索引擎是针对日志所设计的架构，比通用的ES搜索引擎更安全，效率更高，稳定性更好，还可节省一半硬件资源。 满足等保合规 符合国家等级保护制度中对于安全审计的技术要求，具备完整的日志审计分析报告，满足用户多样化报表和监管要求。 通过统一数据采集，统一数据备份，满足企业合规要求，如中国电信《中国电信云运〔2021〕58号》。 满足《网络安全法》对日志审计要求，满足等级保护二级，三级对日志的相关要求。 便捷部署 为用户提供开箱即用的自动化配置、更新和管理功能，减少了人工干预和操作的需要，降低了用户在部署和配置方面的难度。 通过自动化配置、更新和管理功能，用户可以快速设置和调整系统，无需手动进行繁琐的配置过程。这大大简化了系统的部署和配置过程，并减少了人为错误的可能性。 确保部署流程简单高效，减少人工干预，提高管理工作效率，降低运维工作负担，让安全运维部署工作效益上升一个台阶。

添加MCP工具 本文介绍如何在工具列表页面添加 MCP（Model Context Protocol）工具。MCP 是一种标准协议，用于将外部工具和数据源接入智能体，使其能够调用 MCP Server 提供的能力。 核心概念 MCP（Model Context Protocol）：一种标准协议，用于将外部工具和数据源接入智能体，使模型能够调用 MCP Server 提供的能力。 MCP Server：提供具体工具能力的服务端，支持远程（SSE/Streamable HTTP）通信方式。 SSE（ServerSent Events）：一种服务器推送协议，适用于已有 SSE 实现的 MCP Server。 Streamable HTTP：HTTP 流式模式，兼容性好，推荐使用。 进入创建页面 1. 登录智能体引擎控制台，在左侧菜单中选择工具。 2. 在工具列表页面，点击右上角的添加工具按钮。 配置工具类型 在弹出的创建工具对话框中，配置以下信息： 字段 是否必填 说明 工具类型 必填 选择 MCP工具 导入方式 必填 选择 MCP配置，通过粘贴 MCP Server 的 JSON 配置来导入 调用方式 必填 选择 远程，通过网络连接 MCP Server 配置 MCP Server 在 MCP配置编辑器中，粘贴 MCP Server 的 JSON 配置。 SSE 协议 通过网络连接到 MCP Server，使用 SSE（ServerSent Events）协议通信。 plaintext { "mcpServers": { "webreader": { "transportType": "sse", "url": " } } }

添加MCP工具 本文介绍如何在工具列表页面添加 MCP（Model Context Protocol）工具。MCP 是一种标准协议，用于将外部工具和数据源接入智能体，使其能够调用 MCP Server 提供的能力。 核心概念 MCP（Model Context Protocol）：一种标准协议，用于将外部工具和数据源接入智能体，使模型能够调用 MCP Server 提供的能力。 MCP Server：提供具体工具能力的服务端，支持远程（SSE/Streamable HTTP）通信方式。 SSE（ServerSent Events）：一种服务器推送协议，适用于已有 SSE 实现的 MCP Server。 Streamable HTTP：HTTP 流式模式，兼容性好，推荐使用。 进入创建页面 1. 登录智能体引擎控制台，在左侧菜单中选择工具。 2. 在工具列表页面，点击右上角的添加工具按钮。 配置工具类型 在弹出的创建工具对话框中，配置以下信息： 字段 是否必填 说明 工具类型 必填 选择 MCP工具 导入方式 必填 选择 MCP配置，通过粘贴 MCP Server 的 JSON 配置来导入 调用方式 必填 选择 远程，通过网络连接 MCP Server 配置 MCP Server 在 MCP配置编辑器中，粘贴 MCP Server 的 JSON 配置。 SSE 协议 通过网络连接到 MCP Server，使用 SSE（ServerSent Events）协议通信。 plaintext { "mcpServers": { "webreader": { "transportType": "sse", "url": " } } }

本章节介绍微服务注册配置中心常见问题 MSE注册配置中心如何使用？ 微服务引擎注册配置中心是面向业界主流开源微服务项目，致力于帮助用户发现、配置和管理微服务，实现动态服务发现、服务配置、服务元数据及流量管理等功能。 MSE注册配置中心是否支持公网访问？ 默认不可以公网访问，但可以通过绑定ELB实现公网访问。 MSE注册配置中心是否具备自动续费功能？ MSE支持自动续费功能。 注册配置中心如何开启IPv6访问？ 1、确保当前注册配置中心实例所处的vpc已具备IPv6子网；如不具备，跳转至vpc网络控制台，创建或者开启IPv6子网； 2、开启实例IPv6，在实例订购页，网络配置中选择某个vpc，勾选IPv6（第一步具备时才可勾选），选择好其他配置后提交订购即可； IPv4如何升级IPv6? 当前只有新开实例支持IPv6，存量IPv4实例暂不支持升级。 如何通过IPv6访问实例？ 实例的IPv6访问有两种方式：1、通过内网IPv6地址访问，访问地址在实例详情中的基础信息页中已展示。2、通过ELB访问，此方式需要确保ELB实例本身已开启IPv6访问，目前注册配置中心实例暂只支持ELB的内网IPv6访问。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。