通用型 提供均衡的计算、存储以及网络配置，支持挂载可弹性扩展的云硬盘，满足资源专享、网络隔离、性能有基本要求的业务场景：如数据库、企业ERP系统、容器、大数据计算等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.c6s.xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 192GiB 无 SDI3.0 physical.c6s.3xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 384GiB 无 SDI3.0 physical.c6sd.3xlarge 大数据存算分离 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,3.0 GHz） 384GiB 43.2T NVMe SDI3.0（225GE） physical.s6.xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 无 SDI3.0（225GE） physical.s6.3xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 无 SDI3.0（225GE） 本地存储型 系统盘和数据盘均使用本地磁盘，针对数据量大，对计算性能、稳定性、实时性等要求很高的业务场景：如大数据、分布式缓存等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.d6.xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 1210TB SATA HDD SDI3.0（225GE） physical.d6.3xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 1210TB SATA HDD SDI3.0（225GE）

通知项 通知内容 通知内容说明 每日告警通知：每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给您添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 需紧急修复漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 基线检查 配置检查 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 基线检查 经典弱口令 检测MySQL、FTP及系统帐号的弱口令。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 入侵检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 入侵检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 入侵检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时告警通知：事件发生时，及时发送告警通知。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。 您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 非法系统帐号 检测主机系统中的帐号，列出当前系统中的可疑帐号信息，帮助用户及时发现非法帐号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 账户登录 登录成功 对登录成功的账户进行通知。

本节介绍了集群备份的用户指南。 执行备份 集群备份可对集群中的资源进行备份，备份粒度可是集群中所有资源，也可以加入一定筛选条件缩小备份的范围，如根据资源的命名空间及资源自身的类型来筛选。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群备份】，点击【创建备份】，在弹出框中配置备份任务的信息，录入信息后点击【创建】 名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一 命名空间 非必填，选择备份资源的命名空间，可多选 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath 在备份列表中即可查看备份任务的执行状态，及备份完成后备份包的大小。 备份列表的操作列还包含以下三个操作： 还原：把当前备份包还原到当前集群中； 下载：下载当前备份任务的备份包； 删除：删除当前备份任务。 查看备份详情 在备份任务列表中，点击备份名称，进入备份详情页面。 在备份详情页面中，同样可以对当前备份任务执行还原、下载备份包和删除操作： 备份页面展示了当前备份任务的任务名称、备份时筛选的资源类型、是否包含持久卷、备份任务创建时间、备份包的大小和备份任务的状态这些这些信息。 此外如果曾经以当前备份任务的备份包执行了还原，还原记录会展示在界面下方的“相关还原记录”中。

ACL支持和子网关联后对子网流量进行过滤防护,本文帮助您快速熟悉ACL关联子网的操作流程。 使用场景 ACL是一个子网级别的防护能力，需要和子网进行关联才可以对子网的流量进行过滤防护。 注意 可用区资源池需要在ACL创建后关联子网；地域资源池需在创建ACL时指定与子网的关联关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 仅可用区资源池支持，实际情况以控制台展现为准。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击列表页的“关联子网”。 7. 在弹出的关联子网页面，选择需要关联的子网，单击“确定”。 注意 已被网络ACL关联的的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再进行重新关联。 仅可用区资源池支持在ACL创建后关联子网。 地域资源池需创建ACL时指定与子网的关联关系。 对于地域资源池来说，一个子网同一时间仅支持一个ACL，一个ACL仅支持关联一个子网。 对于可用区资源池来说，一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。

本节主要介绍升级内核小版本。 GeminiDB Influx支持补丁升级，补丁升级涉及性能提升、新功能或问题修复等。 当GeminiDB Influx发布新的涉及性能提升、新功能或问题修复等补丁版本时，客户可以根据自身的业务特点，选择合适的时机升级至最新版本。 天翼云有新的补丁版本发布时，您可以在“实例管理”页面如图1“兼容接口”列看到补丁升级提示，单击“补丁升级”进行补丁版本升级。 图1 补丁升级 使用须知 当有对应的补丁更新时（定期同步开源社区问题、漏洞修复），请及时进行升级。 补丁升级会采用滚动升级的方式，升级过程中会依次重启每一个节点，重启期间业务会由其他节点接管，每次接管会产生510s闪断，请在业务低峰变更，避免实例过载，并建议业务添加自动重连机制，确保重启后连接及时重建。 基础组件升级约需15分钟，数据组件升级与节点数量有关，约12min每节点。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB接口”。 3. 在“实例管理”页面，选择指定的实例，单击“兼容接口”列的“补丁升级”。 图2 补丁升级 您也可以单击实例名称，进入基本信息页面，在“数据库信息 > 兼容接口”处单击“补丁升级”。 图3 补丁升级 4. 在弹出框中，确认信息无误后，单击“确定”。 图4 确认信息 5. 在“实例管理”页面，查看补丁升级情况。 升级过程中，实例运行状态为“补丁升级中”。 升级完成后，实例运行状态变为“正常”。

本文主要介绍弹性伸缩概述。 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。 背景介绍 随着Kubernetes已经成为云原生应用编排、管理的事实标准，越来越多的应用选择向Kubernetes迁移，用户也越来越关心在Kubernetes上应用如何快速扩容面对业务高峰，以及如何在业务低谷时快速缩容节约资源与成本。 在Kubernetes的集群中，“弹性伸缩”一般涉及到扩缩容Pod个数以及Node个数。Pod代表应用的实例数（每个Pod包含一个或多个容器），当业务高峰的时候需要扩容应用的实例个数。所有的Pod都是运行在某一个节点（虚机或裸机）上，当集群中没有足够多的节点来调度新扩容的Pod，那么就需要为集群增加节点，从而保证业务能够正常提供服务。 弹性伸缩在CCE上的使用场景非常广泛，典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 CCE弹性伸缩 CCE的弹性伸缩能力分为如下两个维度： 工作负载弹性伸缩 ： 即调度层弹性，主要是负责修改负载的调度容量变化。例如，HPA是典型的调度层弹性组件，通过HPA可以调整应用的副本数，调整的副本数会改变当前负载占用的调度容量，从而实现调度层的伸缩。 节点弹性伸缩 ： 即资源层弹性，主要是集群的容量规划不能满足集群调度容量时，会通过弹出ECS等资源的方式进行调度容量的补充。 两个维度的弹性组件与能力可以分开使用，也可以结合在一起使用，并且两者之间可以通过调度层面的容量状态进行解耦。

本文主要介绍如何创建工作负载弹性伸缩（CustomedHPA）。 CustomedHPA策略是自研的弹性伸缩增强能力，能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能如下： 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 前提条件 使用CustomedHPA策略必须安装ccehpacontroller。若ccehpacontroller版本低于1.2.11，则必须安装prometheus插件；若版本大于或等于1.2.11，则需要安装能够提供Metrics API的插件，如kubeprometheusstack、metricsserver或Prometheus。 约束与限制 CustomedHPA策略：仅支持1.15及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 ccehpacontroller插件的资源使用量主要受集群中总容器数量和伸缩策略数量影响，通常场景下建议每5000容器配置CPU 500m, 内存1000Mi资源，每1000伸缩策略CPU 100m，内存500Mi。 若ccehpacontroller插件版本低于1.2.11，不支持使用kubeprometheusstack插件提供Metrics API来实现工作负载弹性伸缩。

说明：本章节会介绍如何什么是只读实例 产品简介 目前，云数据库MySQL 5.6/5.7版的实例支持只读实例和开通读写分离功能。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有备节点），采用MySQL的原生复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响，只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 功能限制 1个主实例最多可以创建5个只读实例。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库。 帐号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。

日志包含了系统性能及业务等信息，例如关键词ERROR的多少反应了系统的健康度，关键词BUY的多少反应了业务的成交量等，当您需要了解这些信息时，可以通过快速分析功能，指定查询日志关键词，LTS能够针对您配置的关键词进行统计，并生成指标数据，以便您实时了解系统性能及业务等信息。 注意事项 快速分析的对象为结构化日志中提取的关键字段，创建快速分析前请先对原始日志进行结构化配置。 创建快速分析 可通过日志结构化打开“快速分析”按钮进行创建。也可通过如下步骤进行创建。 步骤 1 登录云日志服务控制台，在左侧导航栏中选择“日志管理”。 步骤 2 快速分析以日志流为单位，请在“日志管理”页面选择目标日志组和日志流。 步骤 3 单击“创建快速分析”或 按钮，在展开的“管理快速分析”界面，选择快速分析的字段。 步骤 4 单击“确定”，快速分析创建完成。 表示String类型字段。 表示float类型字段。 表示long类型字段。 快速分析的字段长度最大为2000字节。 快速分析字段展示前100条数据。 单击快速分析右侧的 ，可以修改或者删除已添加的字段。如果您在结构化界面删除了某一字段，或者对字段名称进行了修改，快速分析会同步更新。 在快速分析的字段中，当结构化配置的字段在该时间段中不存在时，则会显示为null。 当字段为float或long类型时，单击null添加到搜索框中将显示为字段 : 0 OR NOT 字段 : 。 当字段为String类型时，单击null添加到搜索框中将显示为字段 : null OR NOT 字段 : 。

本文介绍了:云容器引擎发布Kubernetes 1.31版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.31 版本Changelog 1. StatefulSet 起始序号（GA），允许用户自定义 Pod 的起始序号（默认从 0 开始），例如设置为 100，适用于需要固定编号或特定顺序的应用场景（如分布式数据库）。 2. 弹性索引 Job（GA），支持在索引 Job 创建后动态调整 .spec.completions 和 .spec.parallelism 字段，实现任务弹性伸缩，无需重新创建 Job。 3. Pod 失效策略（GA），可根据 Pod 失效原因（如被抢占、节点删除、kubelet 终止等）分别配置处理逻辑（重试或忽略），避免不必要的 Pod 重启，降低运行成本。 4. Pod 干扰状况（GA），在 Pod 的 Condition 中新增 DisruptionTarget 类型，明确标记 Pod 失效原因（如被高优先级 Pod 抢占），结合 Job 的失效策略实现更精细的任务管理。 5. Job成功策略（Beta），JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 6. 持久卷回收策略（Beta），确保 PV 的回收策略（如 Delete）在 PVC 删除后仍被强制执行，通过添加 Finalizer 防止存储资源泄漏，即使 PV 和 PVC 的删除顺序混乱也能保证一致性。 7. ServiceAccountTokenNodeBinding（Beta），创建绑定到特定节点的 Token，包含节点信息声明，并在 Token 使用时验证节点存在性。若节点被删除，Token 自动失效，降低凭证泄露风险。 8. 容器重启优化，当 Pod 配置变更但镜像未更新时，kubelet 不再强制重启容器，避免因非关键配置更新导致的不必要中断。 9. OCI 镜像卷（Alpha），允许将 OCI 镜像直接挂载为卷，简化 AI/ML 工作负载中模型和数据的访问，例如通过更换镜像快速更新模型权重。 更多信息请参考：Kubernetes 1.31 Changelog

本节介绍了创建普通任务(Job)的用户指南。 基本概念 普通任务：即kubernetes中的“Job”，普通任务是一次性运行的短任务，部署完成后即可执行。使用场景为在创建工作负载前，执行普通任务，将镜像上传至镜像仓库。 操作场景 普通任务是一次性运行的短任务，部署完成后即可执行。正常退出（exit 0）后，任务即执行完成。 普通任务是用来控制批处理型任务的资源对象。批处理业务与长期伺服业务（Deployment、Statefulset）的主要区别是： 批处理业务的运行有头有尾，而长期伺服业务在用户不停止的情况下永远运行。Job管理的Pod根据用户的设置把任务成功完成就自动退出了。成功完成的标志根据不同的spec.completions策略而不同，即： 单Pod型任务有一个Pod成功就标志完成。 定数成功型任务保证有N个任务全部成功。 工作队列型任务根据应用确认的全局成功而标志成功 前提条件 在创建任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“任务”，在右上角单击“创建任务”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择普通任务Job。工作负载类型的介绍请参见工作负载概述。 负载名称：输入负载的名称，名称长度为1到63个字符，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。

本节介绍了容器垂直伸缩(VPA)的用户指南。 通过在容器集群上部署安装ccseverticalpodautoscaler组件，云容器引擎可以提供垂直的容器伸缩的功能。VPA会基于Pod的资源使用情况自动调整集群中容器的资源请求和限制，从而可以让Pod调度到有充足资源的最佳节点上。 前提条件 请确保您已完成以下操作： 已创建一个Kubernetes集群，且Kubernetes版本高于1.23。 已使用命令行工具连接集群。 已卸载集群中已经部署的VPA，以避免新安装的VPA与旧版VPA冲突而导致VPA不可用。 背景信息 注意 容器垂直伸缩功能目前处于试验阶段，请谨慎使用。 更新正在运行的Pod资源配置是VPA的一项试验性功能，会导致Pod的重建和重启，而且有可能被调度到其他的节点上。 VPA不会驱逐没有在副本控制器管理下的Pod。目前对于这类Pod，Auto模式等同于Initial模式。 目前VPA不能和监控CPU和内存度量的Horizontal Pod Autoscaler （HPA）同时运行，除非HPA只监控其他定制化的或者外部的资源度量。 VPA使用admission webhook作为其准入控制器。如果集群中有其他的admission webhook，需要确保它们不会与VPA发生冲突。准入控制器的执行顺序定义在API Server的配置参数中。 VPA会处理出现的绝大多数OOM（Out Of Memory）的事件，但不保证所有的场景下都有效。 VPA的性能还没有在大型集群中测试过。 VPA对Pod资源requests的修改值可能超过实际的资源上限，例如节点资源上限、空闲资源或资源配额，从而造成Pod处于Pending状态无法被调度。同时使用集群自动伸缩（ClusterAutoscaler）可以一定程度上解决这个问题。 多个VPA同时匹配同一个Pod会造成未定义的行为。

本节介绍了用户指南: 本地存储概述。 云容器引擎支持使用本地存储卷。当前cstorcsi插件支持通过LVM和LocalPV的方式动态使用容器集群节点上的硬盘或者文件系统。 功能介绍 本地存储卷包含以下几种方式，可以根据业务需求及存储特点进行选择。 类型 存储卷类型 能力供应 特点 LocalPV 动态存储卷 cstorcsi插件 使用节点上已有数据目录，动态创建子路径绑定到PV上，供业务使用。 LocalPV 静态存储卷 Kubernetes原生 通过手动创建PV，指定节点亲和性及本地存储设备的方式使用本地存储。pod无需手动调度指定的节点。 HostPath Kubernetes原生 将主机节点文件系统上指定文件或目录挂载到 Pod 中。 LVM 动态存储卷 cstorcsi插件 基于节点上的数据盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘跟用户容器使用。 约束与限制 cstorcsi插件本地存储功能需要插件版本>3.3.3； 请勿在节点上手动删除存储池或卸载数据盘，否则会导致数据丢失等异常情况； 请勿对本地存储资源自行执行增删改等操作，否则会导致PVC不可用或者无法达到使用预期。 本地存储资源包括存储池管理的VG，PV，LV，或者基于硬盘构建的文件系统；或者自行申领的文件系统等； 重置或缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用； 本地存储并非高可用存储卷，只适用于一些临时数据的保存及应用自带高可用的场景； LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

流程执行简介 概述 工作流执行是指对流程的一次具体运行。创建流程后，您可以多次执行同一个流程，每次执行可根据实际需求传入不同的输入参数。 执行属性 下文列出了执行的属性，除了 执行名称 和 执行输入 是开始执行输入外，其他是执行的输出信息。 执行名称(executionName): 执行的名称。可以为空。 工作流执行时定义 (executionWorkflowDsl): 执行时对应工作流定义的快照,工作流定义详情见工作流定义。 执行输入(input): 执行的输入,不可为空，必须是JSON对象格式。 执行输出(output): 执行完成后的输出，JSON对象格式。 执行模式(executionMode): 执行模式。包含 快速模式(express)、标准模式(standard)。 执行状态(status): 执行的状态。包含started、completed、faulted、canceled 执行开始时间(startTime): 执行的开始时间。 执行结束时间(endTime): 执行的结束时间。 执行事件历史 通常，一个流程包含多个步骤。在执行过程中，每个步骤都会产生相应的事件，这些事件详细记录了步骤的执行状态。通过这些事件，您可以清晰了解流程当前所处的步骤、输入输出、执行时长及失败原因等信息。同时，云工作流服务会利用这些状态数据实时跟踪流程执行，保障系统的高可用性。 您可以通过下述信息了解执行事件（Event）的属性。其中，事件详情（EventDetail）为 JSON 对象格式字符串，不同事件类型（Type）对应的事件详情内容可能有所差异。 事件类型(eventType): 事件类型。包含 started、 submitted、failed、succeeded 。 状态名称(taskName)：步骤名称。对应流程定义语言中的步骤名称。 状态类型(taskType): 步骤类型，如http、cloudflow:executionworkflow、cf:invokeFunction、noop、sleep、switch、parallel、foreach。 事件执行时间(eventTime): 事件发生时间。 执行输入(input): 事件发生时的输入。 执行输出(output): 事件发生时的输出。

本节介绍了如何绑定和解绑弹性公网IP。 操作场景 云数据库GaussDB 实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是1611，那么需确保安全组开通了1611端口的访问。 注意事项 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块处，单击内网地址后的“绑定”。 步骤 4 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“是”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 步骤 5 在“连接信息”模块的内网地址处，查看结果。 如需关闭，请参见解绑弹性公网IP。 说明： 绑定成功后，您还可以单击内网IP前的 查看弹性公网IP详细信息。 解绑弹性公网IP 步骤 1 登录管理控制台。 步骤 2 对于已绑定EIP的实例，在“实例管理”页面，选择指定实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块，单击IP地址后面的“解绑”，在弹出框中单击“是”，解绑EIP。 步骤 4 在“连接信息”模块的内网地址处，查看结果。 如需重新绑定，请参见绑定弹性公网IP。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和节点的亲和性 > 与节点的反亲和性”下的“添加”。 步骤 2 勾选工作负载不希望部署到的节点，单击“确定”。 若勾选多个节点，工作负载将不会部署到这些节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和节点反亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: nodeName node中lable 的key operator: NotIn notin说明不部署 values: testnode1 node中对应key 的value 工作负载创建完成后设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 单击工作负载名称进入详情页，单击“调度策略 > 简易调度策略 > 添加反亲和对象”。 步骤 3 对象类型选择“节点”，勾选工作负载不希望部署到的节点，设置完成后当前工作负载不会部署到已选择的节点上。 图添加反亲和对象节点 说明：该方法可新增、编辑和删除调度策略。

本文介绍CCE集群弹性引擎。 插件简介 CCE集群弹性引擎（autoscaler）是Kubernetes中非常重要的一个Controller，它提供了微服务的弹性能力，并且和Serverless密切相关。 弹性伸缩是很好理解的一个概念，当微服务负载高（CPU/内存使用率过高）时水平扩容，增加pod的数量以降低负载，当负载降低时减少pod的数量，减少资源的消耗，通过这种方式使得微服务始终稳定在一个理想的状态。 云容器引擎简化了Kubernetes集群的创建、升级和手动扩缩容，而集群中应用的负载本身是会随着时间动态变化的，为了更好的平衡资源使用率以及性能，Kubernetes引入了autoscaler插件，它可以根据部署的应用所请求的资源量自动的动态的伸缩集群，详情请了解创建节点伸缩策略。 开源社区地址： 插件说明 autoscaler可分成扩容和缩容两个方面： 自动扩容 集群的自动扩容有以下两种方式实现： 当集群中的Pod由于工作节点资源不足而无法调度时，会触发集群扩容，扩容节点与所在节点池资源配额一致。此时需要满足以下条件时才会执行自动扩容： 节点上的资源不足。 Pod的调度配置中不能包含节点亲和的策略（即Pod若已经设置亲和某个节点，则不会自动扩容节点），节点亲和策略设置方法请参见调度策略（亲和与反亲和）。 当集群满足节点伸缩策略时，也会触发集群扩容。 说明 当前该插件使用的是最小浪费策略，即若Pod创建需要3核，此时有4核、8核两种规格，优先创建规格为4核的节点。

本文将为您展示创建一台包年包月的云主机的模板示例。 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } 支持配置资源池、可用区和企业项目，若不配置资源池，则会使用页面选定的资源池 ak/sk无需配置，会自动获取当前账号的ak/sk provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" azname "cnhuadong1jsnj1Apublicctcloud" env "prod" } 创建vpc resource "ctyunvpc" "vpctest" { name "vpcforecs" cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } 在vpc下创建子网 resource "ctyunsubnet" "subnettest" { vpcid ctyunvpc.vpctest.id name "subnetforecs" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8" ] enableipv6 true } 查询可用镜像 data "ctyunimages" "imagetest" { name "CentOS Linux 8.4" visibility "public" pageno 1 pagesize 10 } 查询可用规格 data "ctyunecsflavors" "ecsflavortest" { cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } 导入密钥对 resource "ctyunkeypair" "keypairtest" { name "keypairforecs" publickey "sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAjUnAnTid4wmVtajSmElMtH03OvOyY81ybfswbUu9Gt83DVVzDnwb3rcQW1us8SeKm/gRINkgdrRAgfXAmTKR7AorYtWWc/tzb6kcDpL2E8Qk+n6cyFAxXNoX2vXBr4kC9wz1uwjGyxoSlpHLIpscfI0Ef652gMlSyfODehAJHj3JPMr8pvtPIUqsZI3JOGTUzxaA2JVC0LxQegphYYf2TxGd9GLRUv1p/0BUAPCMg1NaITXNVEj3A11hk1nrFoJMmvIwIUkLmRuQcxuNAdxeLB7GXXVjKpnKIJL4L64dyA9GWa3Gb7gCJyRaBc5UhK4hT57wmukCrldHHtdF1IJr" } resource "ctyunecs" "ecstest" { instancename "ecsdemo" displayname "ecsdemo" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id cycletype "month" cyclecount 1 subnetid ctyunsubnet.subnettest.id keypairname ctyunkeypair.keypairtest.name isdestroyinstance true

本文将介绍如何在Serverless集群中创建服务。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 背景信息 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象。Service是⼀种资源，提供了我们访问单个或多个容器应用的能力。每个服务在其生命周期内，都拥有⼀个固定的IP地址和端口。每个服务对应了后台的⼀个或多个Pod，通过这种方式，客户端就不需要关心Pod所在的位置，方便后端进行Pod的扩容、缩容等操作，更多详细原理可参阅Kubernetes官网的Service部分。 步骤一：创建Deplyoment 使用镜像创建一个Deployment，详细操作步骤请参阅使用镜像创建应用。 步骤二：创建服务 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“网络” ，并选择“服务” 。 5. 在服务页面单击左上角的“创建服务”。 6. 进行相关参数的配置： 1. 填写服务的基本信息： 2. 填写访问设置信息。包括填写端口映射的名称、容器端口、服务端口以及选择协议类型为TCP或者UDP。 3. 进行工作负载绑定，选择在步骤一中创建的Deplyoment进行绑定。 7. 创建完成后，您可以在服务页面下对已有服务进行更新、删除以及查看YAML等操作。

本文为您介绍BOT防护功能说明,以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如： 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 配置内容安全网关代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”即可。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

创建HTTP转化MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击HTTP转化MCP服务页签。 4. 在HTTP转化MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的HTTP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布并保存。

本文将为您介绍为伸缩组更换伸缩配置的具体操作流程。 操作场景 您可以根据实际业务需求，为伸缩组更换伸缩配置，同时也为伸缩组内的弹性云主机更换规格。 注意 更换伸缩配置时，若伸缩组正在进行伸缩活动，当前伸缩活动中的实例依旧遵循更换前的配置，更换之后的伸缩配置将在下一次伸缩活动实例配置时生效。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在待更换伸缩配置的伸缩组所在行，单击“操作”列的“更多”，在下拉框中选择“更换伸缩配置”。 5. 在弹出的“更换伸缩配置”窗口中，勾选您需要更换的配置，并点击“确定”，即可为弹性伸缩组更换伸缩配置： 1）一个伸缩组可绑定多个伸缩配置，最大支持绑定10个。绑定多个伸缩配置时，按选择的顺序扩容。 2）伸缩配置选择的顺序，代表伸缩活动时扩容创建实例模板的优先级。伸缩优先按顺序靠前的有效伸缩配置创建实例，当优先级高的配置失效时，则使用次之的伸缩配置扩容实例，提升伸缩活动成功率。 注意 若伸缩配置列表中无合适的伸缩配置，您可以自行创建新的伸缩配置再参照本文进行更换，具体操作请参见

DTS如何迁移MySQL中的MyISAM表到天翼云RDS for MySQL？ 如果源库是天翼云RDS for MYSQL，则默认的存储引擎为InnoDB，不存在需要迁移MyISAM表的情况。 如果源库是他云MySQL产品或用户本地自建MySQL，此时如果源端存在待迁移的MyISAM表，根据目标端版本不同进行如下操作： 目标端是MySQL 5.7，请您先手工将源端的MyISAM存储引擎改为InnoDB再进行迁移。 目标端是MySQL 8.0，DTS会自动将存储引擎MyISAM转换成InnoDB。 如何将MySQL低版本数据迁移至MySQL8.0？ 当前DTS在实施MySQL的数据迁移时，支持从低版本迁移至高版本的8.0。具体说来就是： MySQL 5.6部分版本 > MySQL 8.0 MySQL 5.7 > MySQL 8.0 另外，由于DTS支持MySQL的表、索引、存储过程、视图、函数、事件、触发器等的迁移，所以在实施MySQL 5.6/5.7数据迁移至MySQL 8.0时，用户需要做一些额外的确认工作，具体如下： 待迁移对象中是否有被移除的函数？ 在MySQL8.0中，有一些原本存在于低版本中的内置函数已经被废除，具体可参照如下MySQL官方链接。 < 所以在迁移一些复合对象时，请确保源对象中没有引用一些已经被废除的函数。如果有，待DTS迁移完成之后，用户需自行修改目标端的已迁移对象，做一些适配。具体如下表： 名称 作用 是否已废除 [DECODE()](

本文向您介绍如何创建企业版VPN对端网关。 场景描述 如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，创建VPN连接之前，需要创建对端网关。 约束与限制 国密型对端网关标识仅支持网关IP，且该网关IP地址值必须是静态地址。 FQDN类型标识的对端网关只支持策略模板模式对接。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，单击“创建对端网关”。 4. 根据界面提示配置参数，单击“立即创建”。 表对端网关参数说明 参数 说明 取值样例 名称 对端网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 cgw001 BGP ASN 请输入用户数据中心或私有网络的ASN。 对端网关的BGP ASN与VPN网关的BGP ASN不能相同。 65000 CA证书（可选） 使用国密型网关时，需要上传对端网关的CA证书，用于和VPN网关建立VPN连接。 上传证书：手动输入，以“BEGIN CERTIFICATE”作为开头，以“END CERTIFICATE”作为结尾。 使用已上传证书：查看并勾选已上传证书，请注意证书到期时间。 BEGIN CERTIFICATE CA证书 END CERTIFICATE 标签 VPN服务的标识，包括键和值，最大可以创建20对标签。 标签设置时，可以选择预定义标签，也可以自定义创建。 预定义标签可以通过单击“查看预定义标签”进行查看。 5. （可选）如果存在两个对端网关，请参见上述步骤添加另一个网关标识对应的对端网关。

本节介绍如何配置网关代理。 网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 内容安全代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

本节主要介绍如何使用API挂起卷。 此操作用来挂起HBlock上云卷。 挂起卷适用于“多集群轮流写入同一上云卷”的场景，例如：A集群把卷挂起后，B集群立即原地还原并写入新数据；待B集群再次挂起，A集群恢复卷即可直接看到B集群的最新写入，实现“一写一挂、交替接管”。 注意 挂起后将立即冻结该卷的所有读写请求。请确保卷的所有数据已持久化，即如果卷已经被客户端挂载，需确保客户端的数据都已经同步到卷上。恢复前，依赖此卷的业务将不可用。 卷在挂起状态下，仅允许挂起、修改卷配置、修改上云配置、恢复、删除、查询。 卷处于Suspended、Suspending、SuspendFailed状态时，不支持读写。 挂起卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 仅卷处于Normal、Suspended、Suspending、SuspendFailed状态时，才可以执行此操作。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/suspend HTTP/1.1 Date: date ContentLength: length Host: ip:port Authorization:authorization { "force": force } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要挂起卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 force Boolean 是否强制挂起卷。 注意 强制挂起卷，会产生本地数据未被上传到云端的风险，请谨慎操作。 取值： true：强制挂起卷。 false：不强制挂起卷。 默认值为false。 否

参数 说明 取值样例 计费模式 计费模式分为以下两种： 包年/包月 按需计费 按需计费 区域 不同区域的资源之间内网不互通。 请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 创建EIP时所选择的区域即为EIP的归属地。 公网带宽 选择按需计费时，需要选择公网带宽的计费方式。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。适用于流量较大或较稳定场景使用。 按流量计费：指定带宽上限，按实际使用的出公网流量计费，与使用时间无关。适用于流量小或流量波动较大的场景。 加入共享带宽：带宽可以加入多个弹性IP，带宽被多个弹性IP地址共用。适用于多业务流量错峰分布场景。 按带宽计费 带宽大小 带宽大小，单位Mbit/s。 100 带宽名称 带宽的名称。 bandwidth 企业项目 申请弹性IP时，可以将弹性IP加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 高级配置 单击下拉箭头，可配置弹性公网IP的高级参数，包括带宽名称、标签等。 标签 用于标识弹性IP地址。包括键和值。标签的命名规则请参考表。 l 键：Ipv4key1l 值：192.168.12.10 购买量 选择包年包月计费模式时，需要选择购买时长。 选择按需计费模式时，需要选择弹性IP数量。 1

创建HTTP转化MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击HTTP转化MCP服务页签。 4. 在HTTP转化MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的HTTP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布并保存。

本文主要介绍定位请求异常原因 背景信息 在外部请求激增、负载突变等场景下，极易出现应用性能问题，比如外部请求响应变慢、部分请求异常等。快速识别发现、定位处理应用性能问题成为越来越常见的日常运维场景。 APM作为云应用性能问题诊断服务，拥有强大的分析工具，通过拓扑图、调用链可视化地展现应用状态、调用过程、用户对应用的各种操作，快速定位问题和改善性能瓶颈。 例如，通过APM拓扑功能可视化服务间的调用关系，迅速找到有问题的实例；通过APM调用链功能下钻到服务内部，根据出现问题的方法调用链路，确认问题根因。 适用场景 应用日常巡检，监控应用时延、吞吐量、错误数等性能指标。 应用异常调用快速定位。 操作步骤 步骤 1 登录应用性能管理控制台。 步骤 2 在左侧导航栏选择“应用监控 > 指标”。 步骤 3 选择“接口调用”页签，进入监控页面，查看接口调用页面中各类指标，调用次数、错误次数、时延等信息。 图 查看接口调用 步骤 4 单击出现问题的url请求，进入调用链搜索界面。 图 接口详情 步骤 5 在调用链搜索界面，查看失败/高时延调用链。 图 查看调用链 步骤 6 单击url，获取调用链详细信息，确定问题根因。 图 调用链详情

本节介绍划词工具的使用方法。 划词工具适用于在办公场景中，当用户在文档、网页等内容里看到需要进一步处理（如搜索、翻译、生成相关内容等）的文字时，通过划选文字，快速调用工具进行操作，提升信息处理效率，比如在阅读资料时划选陌生概念进行搜索，或者划选外文进行翻译等。 1、开启关闭划词工具：在设置划词工具页面，可以开启或者关闭划词工具。 方式一：划词操作 2、划词搜索 / 翻译 / 生成等，在文档、网页等界面中，用鼠标划选需要处理的文字内容。划选后，会弹出划词工具栏，根据需求点击 “搜索”“翻译”“生成” 等相应功能按钮，即可对划选文字进行对应操作，比如点击 “搜索”，会跳转到搜索页面展示相关结果；点击 “翻译”，会显示翻译后的文字内容。 2、划词生成内容插入：划选文字后，在划词工具栏选择 “生成” 相关功能，设置好生成内容的类型（如文案、总结等）。 3、生成内容后，可点击 “继续提问” 按钮，可以进入云智助手中继续对话。 方式二：系统右键菜单入口 1、唤起右键菜单；在弹出的右键菜单中，找到划词“问问AI”功能，点击。 2、在对话页面，文件列表中，出现对应选择的文件，进行解析完成后可引用文件进行提问。