如何处理作业的OBS Bucket没有授权？ 用户在执行一个作业，提示OBS Bucket没有授权时，用户需要进行如下操作： 1.在“全局配置 ”>“服务授权”页面配置“Tenant Administrator（全局服务）”权限。 2.单击“作业管理”，找到操作的作业名称。 3.单击“操作”列表中的“编辑”，进入“作业编辑”页面。 4.用户需要在该作业的“作业编辑”页面进行“运行参数配置”。 a.选择“开启Checkpoint”或“保存作业日志”。 b.选择“OBS桶”。 c.单击“OBS授权”。 DLI Flink作业提交运行后（已选择保存作业日志到OBS桶），提交运行失败的情形（例如：jar包冲突），有时日志不会写到OBS桶中 DLI Flink作业提交或运行失败时，对应生成的作业日志保存方式，包含以下三种情况： 提交失败，只会在submitclient下生成提交日志。 运行失败且在1分钟内的日志，可以直接在管理控制台页面查看，具体如下： 在“作业管理”>“Flink作业”页面，单击对应的作业名称，进入作业详情页面，单击“运行日志”可以查看实时日志。 运行失败且超过1分钟(日志转储周期1分钟)，会在applicationxx下生成运行日志。 另外，由于DLI服务端已经内置了Flink的依赖包，并且基于开源社区版本做了安全加固。为了避免依赖包兼容性问题或日志输出及转储问题，打包时请注意排除以下文件： 系统内置的依赖包，或者在Maven或者Sbt构建工具中将scope设为provided 日志配置文件（例如l：“log4j.properties”或者“logback.xml”等） 日志输出实现类JAR包（例如：log4j等） 在此基础上，taskmanager.log会随日志文件大小和时间滚动。

本章节介绍OPA策略 概述 OPA（Open Policy Agent）是一个通用的策略引擎，通过声明式的Rego语言实现丰富的授权策略。应用服务网格提供一键集成OPA引擎功能，整体架构如下： 其中OPA控制面包括： 1，OPA webhook服务，用于实现OPA sidecar的注入； 2，OpaPolicy controller监听OPA策略CRD，用于实现OPA策略分发； 业务pod内除了业务容器和istioproxy之外还会注入OPA sidecar，外部请求pod时流量被istioproxy拦截，根据定义的授权策略请求OPA sidecar，实现对请求的授权。 注意 注意：OPA sidecar当前使用8181端口管理OPA策略，使用9191端口提供外部鉴权服务，业务pod注意避开这两个端口。 开启OPA功能 使用OPA功能时首先要在打开开关，进入服务网格控制台，选择网格管理 > 自定义配置，勾选启用OPA 即可。 关闭OPA功能 进入服务网格控制台，选择网格管理> 自定义配置，取消勾选 启用OPA即可。 进入服务网格控制台，选择网格管理> OPA开关，关闭即可。 OPA策略管理 CSM服务网格采用自定义CRD（OpaPolicy）方式管理OPA策略，主要包括OPA策略生效的工作负载选择以及OPA策略（Rego），下面的配置对default命名空间下标签包含version: v1的工作负载生效，策略中定义了guest和admin两个角色，分别给两个角色定义了访问权限，同时还定义了两个用户bob和alice，分别赋予了特定角色；策略执行时会从请求中解析出用户，结合用户的权限和请求信息对访问进行鉴权。 apiVersion: istio.ctyun.cn/v1beta1 kind: OpaPolicy metadata: name: objectpolicy namespace: default spec: policy: package istio.authz import input.attributes.request.http as httprequest import input.parsedpath allow { rolesforuser[r] requiredroles[r] } rolesforuser[r] { r : userroles[username][] } requiredroles[r] { perm : roleperms[r][] perm.method httprequest.method perm.path httprequest.path } username parsed { [, encoded] : split(httprequest.headers.authorization, " ") [parsed, ] : split(base64url.decode(encoded), ":") } userroles { "alice": ["guest"], "bob": ["admin"] } roleperms { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } workloadSelector: labels: version: v1

本小节介绍DDoS高防IP术语解释。 DDoS攻击 分布式拒绝服务（Distributed Denial of Service，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。 攻击者通常使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。 网络层攻击 比较典型的攻击类型是UDP反射攻击，例如NTP Flood攻击。这类攻击主要利用大流量拥塞被攻击者的网络带宽，导致被攻击者的业务无法正常响应客户访问。 传输层攻击 比较典型的攻击类型包括SYN Flood攻击、连接数攻击等。这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。 会话层攻击 比较典型的攻击类型是SSL连接攻击。这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。 应用层攻击 比较典型的攻击类型包括DNS Flood攻击、HTTP Flood攻击（即CC攻击）、游戏假人攻击等。这类攻击占用服务器的应用处理资源，极大地消耗服务器计算资源，从而达到拒绝服务的目的。

本文主要介绍约束与限制 测试资源组的说明与使用约束 测试资源组包含共享资源组和私有资源组两种类型，共享资源组为系统默认提供，私有资源组需要自行创建。 共享资源组的执行节点已绑定弹性IP，当被测应用有网络访问限制时，建议创建私有资源组。 当并发大于10000或者40000QPS或者总带宽大于100Mb时，建议创建私有资源组。 JMeter测试任务只可以使用私有资源组。 节点使用建议 用于测试资源组的节点不要运行任何应用或做其他用途，可能会导致应用运行异常。 至少需要2台空节点，1台用于压测资源组的调试机（即调试执行机的节点），1台用于压测资源组的执行机（即在压测过程中能够提供自身性能数据的施压目标机器）。请根据需要压测的并发用户数，创建对应规格的节点，节点规格推荐请参考下表。 如需要压测外部服务，请为执行节点绑定弹性IP。如需要调试外部服务，请为调试节点和执行节点都绑定弹性IP。 节点规格推荐 并发用户数 所需规格 数量 ::: 05000 调试节点：4U8G 1 05000 执行节点：4U8G 1 500110000 调试节点：4U8G 1 500110000 执行节点：8U16G 1 1000120000 调试节点：4U8G 1 1000120000 执行节点：8U16G 2 2000130000 调试节点：4U8G 1 2000130000 执行节点：8U16G 3 3000140000 调试节点：4U8G 1 3000140000 执行节点：8U16G 4 4000150000 调试节点：4U8G 1 4000150000 执行节点：8U16G 5 50001以上 调试节点：4U8G 1 50001以上 执行节点：8U16G 说明 每台8U16G的执行节点可支撑10000并发。 说明 以上节点规格推荐是通用规格，仅供参考。实际压测时，资源规格的需求受思考时间、压测的协议类型、请求和响应的大小数量、响应时间、结果验证等因素影响，用户可根据实际情况进行调整。 压测外部服务时，执行节点需要绑定弹性IP，测试带宽受限于创建的EIP带宽。 当集群上的节点已经被部署上了应用，创建私有资源组时，该节点无法被选用。 JMeter引擎不适用该规格。

负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数。 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTPS协议的会话保持方式如下： 重写Cookie/植入Cookie。 植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。 重写Cookie（APPCOOKIE）：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机。 选择植入Cookie时，可设置会话保持超时时间。缺省3600s。 选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s。 超时时间 健康检查超时时间，缺省2s。 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’ HTTP方法 可选GET或HEAD。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本文帮助您了解如何查看终端节点相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 VPC终端节点监控支持终端节点维度的监控。您可以通过云监控依据细颗粒度的监控指标获得有关终端节点的各种监控数据信息, 也可以通过设置适当的报警阈值和报警策略，及时发现并处理潜在的问题。 使用须知 云监控服务不需要开通，会在您使用VPC终端节点服务后自动启动。 查看监控数据 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“管理与部署>云监控”。 4. 在云监控控制台左侧导航栏，点击“VPC终端节点监控”，即可进入VPC终端节点服务监控页面。 5. 在VPC终端节点监控页面选择终端节点页签，点击要查看的终端节点的名称/ID进入该终端节点监控详情页面。 6. 在终端节点监控数据界面中，可查看该终端节点的各项监控指标，分别为流入带宽、流出带宽、流入数据包速率、流出数据包速率、流入丢弃带宽、流出丢弃带宽、流入丢弃数据包速率、流出丢弃数据包速率、并发连接。 监控指标说明 这些监控指标可以帮助您了解终端节点的网络性能以及数据流量情况。 监控指标 说明 流入带宽 终端节点流入的数据带宽大小。 流出带宽 终端节点流出的数据带宽大小。 流入数据包速率 终端节点每秒钟流入的数据包数量。 流出数据包速率 终端节点每秒钟流出的数据包数量。 流入丢弃带宽 终端节点流入时被丢弃的数据带宽大小。 流出丢弃带宽 终端节点流出时被丢弃的数据带宽大小。 流入丢弃数据包速率 终端节点每秒钟流入时被丢弃的数据包数量。 流出丢弃数据包速率 终端节点每秒钟流出时被丢弃的数据包数量。 并发连接 终端节点的并发连接数。

返回值示例 请求成功返回值示例 plaintext { "statusCode": 0, "message": "success", "returnObj": { "eye": "True", "faceleft": "False", "faceright": "False", "faceupdown": "False", "mouth": "False", "valid": "True" } } 请求失败返回值示例 plaintext { "statusCode": 500001, "message": "服务接口异常，请联系管理员", "details": "需要联系管理员处理", "error":"AIOP500001" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 6 位错误码。4 开头为业务错误码，5 开头为服务错误码。 错误码 错误信息 错误描述 CTAPI10000 API Not Found CTAPI0009 无效json的body参数 AIOP400005 请求体类型错误 请求体需为字典，不能为其他类型 AIOP400006 必传的参数未传 必须的参数（Action、ActionType 或 VideoBase64）未传 AIOP400008 请求体的参数字段类型错误 Action 字段应该是 string 类型 VideoBase64 字段应该是 string 类型 ActionType 字段应该是 string 类型 AIOP400009 请求体的参数字段值为空 Action、ActionType 或 VideoBase64 字段值为空字符 AIOP400010 请求体的参数字段值设置错误 Action、ActionType 值设置错误 AIOP400011 视频时长不符合要求 视频时长不符合要求，限制为 1 ~ 8秒 AIOP400012 视频编码后大小不符合要求 视频编码后大小不符合要求，要求小于11M AIOP400013 视频帧率不符合要求 视频帧率限制为 10fps ~ 30fps AIOP400015 视频封装格式不符合要求 视频封装格式请参考接口文档说明 AIOP400016 视频读取失败 视频文件损坏读取失败 AIOP400017 视频Base64数据处理异常 视频Base64字符串转换字节码异常 AIOP400018 视频未检测到人脸 视频未检测到人脸 AIOP400019 视频光线过暗 视频光线过暗，请提高亮度 AIOP400020 视频光线过亮 视频光线过亮，请降低亮度 AIOP400021 视频清晰度过低 视频清晰度过低，请提高清晰度 AIOP500001 服务接口异常，请联系管理员 需要联系管理员处理

本文主要介绍概述 概述 APM Agent会周期性采集一些性能指标数据，用来衡量应用的总体健康状况。可以采集JVM、GC、服务调用、异常、外部调用、数据库访问以及其他中间件的指标调用等数据，帮助用户全面掌握应用的运行情况。 APM对指标数据的采集有严格的定义，每一种采集的数据类型对应一个采集器，比如采集java应用的JVM数据，那么对应有JVM采集器，一个采集器会采集多个指标集的数据。 采集器被部署到环境后形成监控项，在数据采集的时候监控项决定了采集的数据结构和采集行为。 采集周期：监控项具有数据采集器的周期属性。当前数据采集周期为一分钟，不支持用户调整。 监控项状态：默认为enable状态，用户可以将监控项设置为disable状态，这样Agent就不会拦截该指标数据，也不会上报数据。 采集状态：采集实例和监控项会有一个采集状态信息。如果出现采集错误，可以通过采集状态查看。常见错误是主键太多，导致客户端数据汇聚异常。 监控项类型 Agent会自动发现系统采集的插件类型，并且将采集器实例化，形成监控项。监控项是实例化在一个环境上的。 由于采集器种类较多，会导致用户区分困难。系统后台会定义一些类型，每种采集器都会归到一种类型下，这样方便用户查看数据。 根据采集器的作用可以将监控项分为以下几种类型： 接口调用：是指外部服务调用当前应用的监控类型。 基础监控：是用来监控系统性能的基础监控指标的监控类型。 异常：用来监控应用的异常信息。 外部调用：是指当前应用调用外部服务的监控类型。 数据库：是对数据库的访问进行监控。 缓存：是对Redis等缓存系统的监控，会采集指令级别的细粒度的指标数据。 web容器：是对tomcat等web容器的监控，一般会采集系统总的处理线程数，busy线程数，连接数等；用于衡量系统总的容量。 消息队列：是对kafka、RabbitMq等消息系统的监控，包含发送端和接收端的监控。在接收端的处理函数，可以产生调用链信息。 通信协议：是对websocket等通信协议的监控。

本文主要介绍资源组管理类问题 测试资源配置建议 测试资源组的说明与使用约束 测试资源组包含共享资源组和私有资源组两种类型，共享资源组为系统默认提供，私有资源组需要自行创建。 共享资源组的执行节点已绑定弹性IP，当被测应用有网络访问限制时，建议创建私有资源组。 当并发大于10000或者40000QPS或者总带宽大于100Mb时，建议创建私有资源组。 JMeter测试任务只可以使用私有资源组。 节点使用建议 用于测试资源组的节点不要运行任何应用或做其他用途，可能会导致应用运行异常。 至少需要2台空节点，1台用于压测资源组的调试机（即调试执行机的节点），1台用于压测资源组的执行机（即在压测过程中能够提供自身性能数据的施压目标机器）。请根据需要压测的并发用户数，创建对应规格的节点，节点规格推荐请参考下表。 如需要压测外部服务，请为执行节点绑定弹性IP。如需要调试外部服务，请为调试节点和执行节点都绑定弹性IP。 节点规格推荐 并发用户数 所需规格 数量 ::: 05000 调试节点：4U8G 1 05000 执行节点：4U8G 1 500110000 调试节点：4U8G 1 500110000 执行节点：8U16G 1 1000120000 调试节点：4U8G 1 1000120000 执行节点：8U16G 2 2000130000 调试节点：4U8G 1 2000130000 执行节点：8U16G 3 3000140000 调试节点：4U8G 1 3000140000 执行节点：8U16G 4 4000150000 调试节点：4U8G 1 4000150000 执行节点：8U16G 5 50001以上 调试节点：4U8G 1 50001以上 执行节点：8U16G n 说明 每台8U16G的执行节点可支撑10000并发。 说明 以上节点规格推荐是通用规格，仅供参考。实际压测时，资源规格的需求受思考时间、压测的协议类型、请求和响应的大小数量、响应时间、结果验证等因素影响，用户可根据实际情况进行调整。 压测外部服务时，执行节点需要绑定弹性IP，测试带宽受限于创建的EIP带宽。 当集群上的节点已经被部署上了应用，创建私有资源组时，该节点无法被选用。 JMeter引擎不适用该规格。

本章介绍如何创建函数流触发器 本节介绍创建函数流触发器，函数流触发器当前支持APIG触发器、定时触发器。 创建定时触发器 1. 登录FunctionGraph控制台，进入“函数流”页面。 2. 在“函数流”流程列表页面，选择需要创建触发器的流程，单击“编辑”，进入编辑页面。 3. 单击“开始”节点，在右侧弹出的属性页面添加触发器，触发器类型选择“定时触发器”。 4. 填写触发器配置信息。如下表所示，带参数为必填项。 定时触发器配置信息 配置项 说明 触发规则 定时触发器的触发规则，当前只支持Cron表达式 Cron表达式 用于表示任务调度的表达式，能够表示特定周期进行的特定的时间、日期等。 附加信息 附加信息为json格式，输入必须包含input，在input内输入需要的json体。 input的内容会作为流程的输入参数。 5. 单击“创建”，完成定时触发器创建。 创建APIG（共享版）触发器 说明 首次使用API网关的用户不再支持共享版服务，老用户仍可继续使用共享版服务。即API网关当前已不提供共享版，目前只有存量用户可以使用共享版。 函数流APIG触发器目前仅支持IAM认证方式。 1. 登录FunctionGraph控制台，进入“函数流”页面。 2. 在“函数流”流程列表页面，选择需要创建触发器的流程，单击“编辑”，进入编辑页面。 3. 单击“开始”节点，在右侧弹出的属性页面添加触发器，触发器类型选择“APIG触发器（共享版）”。 4. 填写触发器配置信息。如下表所示，带参数为必填项。 5. 单击“创建”，完成APIG（共享版）触发器创建。 APIG触发器（共享版）信息 字段 填写说明 分组 API分组相当于一个API集合，API提供方以API分组为单位，管理分组内的所有API。 选择“APIGrouptest”。 发布环境 API可以同时提供给不同的场景调用，如生产、测试或开发。 API网关服务提供环境管理，在不同的环境定义不同的API调用路径。 选择“RELEASE”，才能调用。 API类型 API类型： 路径 接口请求的路径。 格式如：/users/projects 请求方式 接口调用方式：GET、POST、DELETE、PUT、PATCH、HEAD、OPTIONS、ANY 其中ANY表示该API支持任意请求方法。

本章节会介绍RDS for PostgreSQL如何修改实例参数 为确保关系型数据库服务发挥出最优性能，用户可根据业务需求对用户创建的参数模板中的参数进行调整。 您可以修改用户创建的数据库参数模板中的参数值，但不能更改默认数据库参数模板中的参数值。对用户创建的参数模板参数模板中的参数所做的更改，将应用于与此数据库参数模板关联的所有数据库实例。 如果您更改一个参数值，则所做更改的应用时间将由该参数的类型决定。 关系型数据库服务的管理控制台显示与数据库实例关联的数据库参数模板的状态。例如，如果数据库实例未使用与其关联的数据库参数模板所做的最新更改，则关系型数据库服务的管理控制台将显示状态为“参数变更，等待重启”。您将需要手动重启数据库实例，以使最新的参数更改对该数据库实例生效。 说明 系统提供的默认参数模板不允许修改，只可单击参数模板名进行查看。当用户参数设置不合理导致数据库无法启动时，可参考默认参数模板重新配置。 修改当前实例的参数 步骤1：登录管理控制台。 步骤2：单击管理控制台左上角的，选择区域和项目。 步骤3：选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4：在“实例管理”页面，选择指定的实例，单击实例名称。 步骤5：在左侧导航栏中选择“参数修改”，在“参数”页签修改相应参数。 可进行的操作如下： 注意 根据参数列表中“是否需要重启”提示，进行相应操作： 是：在实例列表中，查看“运行状态”，如果显示“参数变更，等待重启”，则需重启实例使之生效。 修改主实例的某些参数（如果是主备实例，备实例的参数也会被同步修改），需重启主实例使之生效。 修改只读实例的某些参数，需要重启该只读实例使之生效。 否：无需重启，立即生效。 单击“保存”，在弹出框中单击“确定”，保存修改。 单击“取消”，放弃本次设置。 单击“预览”，可对比参数修改前和修改后的值。 参数修改完成后，您可查看参数修改历史。

本章节介绍如何设置自动备份策略。 操作场景 创建关系型数据库实例时，系统默认开启自动备份策略，用户也可以关闭备份，但是对于生产环境，强烈推荐开启备份，因为恢复功能依赖备份的打开。实例创建成功后，您可根据业务需要设置自动备份策略。关系型数据库服务按照用户设置的自动备份策略对数据库进行备份。 关系型数据库服务的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。备份以压缩包的形式存储在对象存储服务上，以保证用户数据的机密性和持久性。由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段启动自动备份。 关系型数据库默认开启的自动备份策略设置如下： 保留天数：默认为7天。 备份时间段：默认为24小时中，间隔一小时的随机的一个时间段 ，例如01:00～02:00，12:00～13:00等。备份时间段以UTC时区保存。如果碰到夏令时/冬令时切换，备份时间段会因时区变化而改变。 备份周期：默认为一周内的每一天。 开启或修改自动备份策略 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏，单击“备份恢复”，单击“修改备份策略”，如需开启自动备份策略，单击。保留天数是指自动备份可保留的时间，增加保留天数可提升数据可靠性，请根据需要设置。 减少保留天数的情况下，该备份策略对已有备份文件同时生效，即超出备份保留天数的已有备份文件会被删除。 保留天数为全量自动备份和Binlog备份的保留时长，范围为1～732天，备份时间段为间隔1小时，建议根据业务情况，选择业务低峰时段，备份周期默认全选，可修改，且至少选择一周中的1天。 步骤 6 单击“确定”，确认修改。

本文介绍天翼云分布式缓存服务Redis版的产品版本差异 分布式缓存服务Redis版在创建实例的时候，可选择“实例类型”、“版本号”。 说明 选型说明： 1. 版本类型选型：优先选择基础版主备或基础版Cluster主备，选型优先级 基础版 > 增强版 > 经典版 2. 版本号选型：版本号共有2.8，4.0，5.0，6.0，7.0版本可以选择，其中版本号5.0只支持基础版，6.0及以上才支持增强版，若业务对性能与吞吐有较高需求，建议选择增强版。 3. 集群选型：经典版集群(代理集群)承担着路由转发、负载均衡和故障转移等职责，能够实现架构转换，帮助您如同在使用标准版一样地使用集群版，但在命令的使用上有部分限制(详细请参考开源命令兼容性章节)。如果想更贴近开源使用方式且对业务性能与吞吐要求较高，可选择基础版或增强版Cluster集群(直连集群)，该模式下业务请求直接绕过代理服务器直接请求后端Redis分片，从而降低了网络IO开销提升了整体性能。 分布式缓存服务Redis版各个版本号区别如下表所示。 比较项 Redis 5.0 （基础版） Redis 6.0 Redis 7.0 Redis 2.8 / 4.0 /5.0 (经典版) 兼容开源版本 Redis 5.0 兼容开源5.0.5版本 Redis 6.0兼容开源6.2.12版本 Redis 7.0兼容开源7.0.14版本 Redis 5.0 兼容开源5.0.5版本 实例类型 单机、主备 Cluster单机、Cluster主备 单机、主备 Cluster单机、Cluster主备读写分离 单机、主备 Cluster单机、Cluster主备 读写分离 单机、主备 集群单机、集群主备 版本类型 基础版 基础版、增强版 基础版、增强版 经典版 实例部署模式 云主机 云主机 云主机 云主机 QPS 单节点约10万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 单节点约10万QPS 公网访问 支持 支持 支持 支持 域名连接 支持 支持 支持 支持 可视化数据管理 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 离线全量key分析 支持 支持 不支持 支持 账号管理 不支持 支持 支持 仅集群支持 SSL管理 不支持 仅基础版支持 仅基础版支持 不支持 扩容/缩容 支持 支持 支持 支持 实例数据迁移 支持 支持 支持 支持 支持多数据库（DB） Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 支持256 备份恢复 支持 支持 支持 支持

本节指导用户通过密钥管理界面创建自定义密钥。 约束条件 用户最多可创建20个自定义密钥，不包含默认密钥。 创建的对称密钥使用的是AES256加解密算法，密钥长度为256bit，可用于小量数据的加解密或用于加解密数据密钥。 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。 因为默认密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为“/default”。 数据加密服务不限定主密钥的调用次数。 应用场景 对象存储服务中对象的服务端加密。 云硬盘中数据的加密。 私有镜像的加密。 自定义密钥直接加解密小数据。 用户应用程序的DEK加解密。 非对称密钥可用于数字签名及验签。 创建密钥 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击界面右上角“创建密钥”。 步骤 5 在弹出的“创建密钥”对话框中，填写密钥参数。 别名：待创建密钥的别名。 说明 输入字符支持数字、字母、“”、“”、“:”和“/”。 支持长度为1 ~ 255个字符。 密钥算法：选择密钥算法。KMS支持的密钥算法说明如下表所示。 密钥类型 算法类型 密钥规格 说明 用途 对称密钥 AES AES256 AES对称密钥 小量数据的加解密或用于加解密数据密钥。 对称密钥 SM4 SM4 国密SM4对称密钥 小量数据的加解密或用于加解密数据密钥。 非对称密钥 RSA RSA2048、RSA3072、RSA4096 RSA非对称密钥 小量数据的加解密或数字签名。 非对称密钥 ECC ECP256、ECP384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名 非对称密钥 SM2 SM2 国密SM2非对称密钥 小量数据的加解密或数字签名。 密钥用途：可选择“SIGNVERIFY”或“ENCRYPTDECRYPT”。 对于对称密钥，默认值“ENCRYPTDECRYPT”。 对于RSA非对称密钥，可选择“ENCRYPTDECRYPT”或“SIGNVERIFY”，省略参数为默认值“SIGNVERIFY”。 对于ECC非对称密钥，默认值“SIGNVERIFY”。 对于SM2非对称密钥，可选择“ENCRYPTDECRYPT”或“SIGNVERIFY”，省略参数为默认值“SIGNVERIFY”。 说明 创建密钥时请选择“密钥用途”，密钥创建后不可修改。 （可选）描述：可根据自己的需要为自定义密钥添加描述。 企业项目：该参数针对企业用户使用。 如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default” 未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。 步骤 6 （可选）用户可根据自己的需要为自定义密钥添加标签，输入“标签键”和“标签值”。 说明 当用户在创建密钥时，没有为该自定义密钥添加标签。若用户需要为该自定义密钥添加标签，可单击该自定义密钥的别名，进入密钥详情页面，单击“标签”，为该自定义密钥添加标签。 同一个自定义密钥下，一个标签键只能对应一个标签值；不同的自定义密钥下可以使用相同的标签键。 用户最多可以给单个自定义密钥添加20个标签。 当同时添加多个标签，需要删除其中一个待添加的标签时，可单击该标签所在行的“删除”，删除标签。 步骤 7 单击“确定”，在页面右上角弹出“创建密钥成功”，则说明密钥创建完成。 用户可在密钥列表上查看已完成创建的密钥，密钥默认状态为“启用”。

本文介绍了RDSPostgreSQL支持的实例连接方式。 RDSPostgreSQL服务提供使用内网、公网、天翼云DMS的连接方式。 RDSPostgreSQL连接方式： 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与RDSPostgreSQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDSPostgreSQL的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDSPostgreSQL实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与RDSPostgreSQL实例。 直接使用公网访问，灵活性好。但安全性不如内网连接。 推荐使用内网连接。 DMS连接 开箱即用，无需安装本地客户端，通过浏览器即可操作数据库，数据管理服务DMS提供的可视化管理功能，使得数据库管理变得更加简单和高效，降低用户的学习成本和操作难度。 操作便捷，无需其他服务器或软件即可随时随地连接实例。 说明： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 若弹性云服务器和RDSPostgreSQL实例处于同一个虚拟私有云的子网内，则无需申请外网地址。

firewallcmd listall 4. 执行以下命令，在防火墙中添加端口1234，并重启防火墙服务。 firewallcmd addport1234/tcp permanent zonepublic firewallcmd reload

备案域名注意事项 域名实名认证注意事项 备案前域名必须实名认证吗？ 根据《工业和信息化部关于规范互联网信息服务使用域名的通知》，必须通过域名实名认证后方可备案。 域名实名认证需注意什么？ 域名实名认证成功后进行备案时，域名实名认证信息与域名备案主体负责人信息需一致，否则将被管局驳回备案申请。 域名如何进行实名认证？ 在天翼云购买的域名 请登录天翼云域名控制台进行实名认证操作。 在其他服务商处购买的域名 请联系您的域名提供商，咨询域名实名认证的操作流程。

本文介绍一站式智算服务平台及相关服务在产品功能、性能和使用方面的限制。 限制概述 多资源池限制：不同地域的资源池间的数据、模型、镜像等资产独立使用，无法跨资源池共享。 模型创建限制：创建模型时，通过本地上传，文件大小超过 2GB，会导致上传不成功。 模型使用限制：通过体验中心或调用API使用模型时，每个模型在上下文长度、最大输出长度、并发数、最大TPM/RPM数等方面均有不同数值的限制，部分限制信息可参见模型广场模型卡片信息。

针对一站式智算服务平台退订操作,为您进行说明。 服务开通后7天内如未使用则支持退订，退订后即可关闭。 平台开通的实例资源数据退订后保留15天，如15天期间届满仍未续订和续费，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。 退订地址：我的—费用中心—订单管理—退订管理。 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。

后续操作 保存至模型管理：将当前训练任务实例中的模型文件保存到模型仓库中统一管理，模型仓库中会新增一个来源为“训练任务”的模型。后续可以基于此模型进行开发机、训练任务和服务部署任务。

本节介绍iBox边缘盒子的计费模式说明。 iBox边缘盒子提供租赁服务，到期后设备回收处理。 产品按照不同的规格型号进行收费，标准产品出账模式为xx元/年或xx元/3年。 支付方式支持：包括后付费和预付费，根据用户需要灵活选择。

本文主要介绍弹性IP绑定/解绑类问题。 如何通过外部网络访问绑定弹性IP的弹性云主机？ 为保证弹性云主机的安全性，每个弹性云主机创建成功后都会加入到一个安全组中，安全组默认Internet对内访问是禁止的，所以需要在安全组中添加对应的入方向规则，才能从外部访问该弹性云主机。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云主机需要提供由公网可以访问到的服务且知道对端IP地址或无需提供由公网可以访问到的服务时，建议根据业务需要，将源地址设置为允许已知IP地址所在的网段访问该安全组。 当弹性云主机需要提供由公网可以访问到的服务且不知道对端的IP地址时，建议使用默认的源地址0.0.0.0/0，再通过配置端口提高网络安全性。 建议将不同公网访问策略的弹性云主机划分到不同的安全组。 说明：源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的弹性云主机。 如何通过扩展网卡绑定的弹性IP访问公网？ 弹性IP绑定扩展网卡后，进入弹性云主机，执行route命令查询路由： route命令如果不清楚可以使用 route help 。 图查看路由信息 执行ifconfig命令查看网卡信息。 图查看网卡信息 配置默认通过扩展网卡访问公网。 a. 执行如下命令删除主网卡默认route。 route del net 0.0.0.0 gw 192.168.0.1 dev eth0 说明：此操作会导致虚拟机流量中断，请谨慎操作，推荐您参考步骤4配置。 b. 执行如下命令配置扩展网卡默认route。 route add default gw 192.168.17.1 按照访问的目标地址配置扩展网卡访问。 配置通过扩展网卡访问某一网段（xx.xx.0.0/16，该网段请按实际情况设置）： route add net xx.xx.0.0 netmask 255.255.0.0 gw 192.168.17.1

导入到已有分组注意事项 将API定义导入到一个已有的分组，导入过程中不会删除分组中已有的API，只是将新增的API导入分组。 适用于将一个新的API或者一个修改后的API导入到已有的分组。 导入API前，请注意以下事项： API网关中API的配额满足需求。 导入的API定义与已有的API定义冲突时，您可以选择使用导入的API定义覆盖已有的API定义，或者保留已有的API定义，此时导入的API定义会显示导入失败。 如果选择扩展覆盖，当导入API的扩展定义项名称与已有策略（ACL，流量控制等）名称相同时，则会覆盖已有策略（ACL，流量控制等）。 导入的API不会自动发布到环境，导入时可以选择“立即发布”或者“稍后发布”，您可以自行选择策略。 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API列表”。 步骤 4 单击导入API。 您也可以参考以下示例导入API到API网关： 导入HTTP类型后端服务API示例 导入HTTP VPC类型后端服务API示例 导入MOCK类型后端服务API示例 导入HTTP类型后端服务API示例 包含IAM认证和请求参数编排的GET方法API定义，后端服务类型为HTTP。 Swagger示例： swagger: "2.0" info: title: "importHttpEndpoint10" description: "import apis" version: "1.0" host: "api.account.com" paths: '/http/{userId}': get: operationId: "getUser3" description: "get user by userId" security: apigauthiam: [] schemes: https parameters: name: "test" description: "authorization token" type: "string" in: "header" required: true name: "userId" description: "user id" type: "string" in: "path" required: true responses: "200": description: "user information" xapigatewayrequesttype: "public" xapigatewaycors: true xapigatewaymatchmode: "NORMAL" xapigatewaybackend: type: "HTTP" parameters: name: "userId" value: "userId" in: "query" origin: "REQUEST" description: "user id" name: "XInvokeUser" value: "apigateway" in: "header" origin: "CONSTANT" description: "invoke user" httpEndpoints: address: "example.com" scheme: "http" method: "GET" path: "/users" timeout: 30000 securityDefinitions: apigauthapp: in: header name: Authorization type: apiKey xapigatewayauthtype: AppSigv1 apigauthiam: in: header name: unused type: apiKey xapigatewayauthtype: IAM OpenAPI示例： openapi: 3.0.0 info: title: importHttpEndpoint10 version: '1.0' servers: url: > url: > paths: '/http/{userId}': get: description: get user by userId operationId: getUser3 parameters: description: authorization token example: '' in: header name: test required: true schema: maxLength: 0 maximum: 0 minimum: 0 type: string xapigatewaypassthrough: always description: user id example: '' in: path name: userId required: true schema: maxLength: 0 maximum: 0 minimum: 0 type: string xapigatewaypassthrough: always responses: defaultcors: description: response example xapigatewayresultfailuresample: '' xapigatewayresultnormalsample: '' security: apigauthiam: [] servers: url: > xapigatewaybackend: httpEndpoints: address: example.com description: '' enableClientSsl: false method: GET path: /users retryCount: '1' scheme: http timeout: 30000 parameters: description: invoke user in: HEADER name: XInvokeUser origin: CONSTANT value: apigateway description: user id in: QUERY name: userId origin: REQUEST value: userId type: HTTP xapigatewaycors: true xapigatewaymatchmode: NORMAL xapigatewayrequesttype: public xapigatewayresponse: default components: responses: defaultcors: description: response example headers: AccessControlAllowOrigin: schema: default: '' type: string securitySchemes: apigauthapp: in: header name: Authorization type: apiKey xapigatewayauthtype: AppSigv1 apigauthappheader: in: header name: Authorization type: apiKey xapigatewayauthopt: appcodeauthtype: header xapigatewayauthtype: AppSigv1 apigauthiam: in: header name: unused type: apiKey xapigatewayauthtype: IAM xapigatewayresponses: default: {}

使用场景 针对使用多种云产品的用户，通过资源分组功能将同一业务相关的弹性云主机、物理机、云硬盘、弹性IP、带宽、数据库等资源添加到同一资源分组中。从分组角度查管理资源，管理告警规则，可以极大的降低运维复杂度，提高运维效率。 限制与约束 一个用户最多可创建10个资源分组。 一个资源分组可添加11000个云服务资源。 一个资源分组对不同类型资源有可选数量限制，具体请参见控制台提示。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击页面右上角的“创建资源分组”按钮。 6. 按照界面提示，填写分组名称并选择企业项目。 选择了企业项目后，只有拥有该企业项目权限的用户才可以查看并管理资源分组，权限划分更合理更细致。 7. 选择需要添加的云服务资源。 8. 单击“立即创建”，完成资源分组的创建。

本章节主要介绍使用GDS从远端服务器导入数据的最佳实践。 教程指引 本教程旨在演示使用GDS（General Data Service）工具将远端服务器上的数据导入DWS中的办法，帮助您学习如何通过GDS进行数据导入的方法。 在本教程中，您将： 生成本教程需要使用的CSV格式的数据源文件。 将数据源文件上传到数据服务器。 创建外表，用于对接GDS和DWS，及将数据服务器上的数据引流到DWS集群中。 启动DWS并创建数据库表后，将数据导入到表中。 根据错误表中的提示诊断加载错误并更正这些错误。 准备ECS作为GDS服务器 创建Linux弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“创建弹性云主机”。创建后，请参见《弹性云主机用户指南》中的“登录Linux弹性云主机”章节进行登录。 说明 l ECS操作系统必须是GDS工具包所支持的操作系统。 l ECS与DWS处于同一区域、同一虚拟私有云和子网。 l ECS安全组规则需放通DWS集群的访问，即安全组入规则： l 协议：TCP l 端口范围：5000 l 源地址：选择“IP地址”，输入DWS 集群地址，例如“192.168.0.10/32”。 l ECS内部如果启用了防火墙，需要保证防火墙打开了GDS服务的监听端口： iptables I INPUT p tcp m tcp dport j ACCEPT

参数 类型 说明 ETag string 本次上传对象后对应的Entity Tag Bucket String 执行分片上传的桶的名称 Key String 上传文件到对象存储服务后对应的key Location String 合并生成对象的URL信息

参数 类型 说明 ETag string 本次上传对象后对应的Entity Tag Bucket String 执行分片上传的桶的名称 Key String 上传文件到对象存储服务后对应的key Location String 合并生成对象的URL信息

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文介绍如何为OpenClaw挂载持久化存储。 概述 OpenClaw（原Clawdbot）是一款开源的本地优先AI 代理与自动化平台。您可以通过OpenClaw将多渠道通信能力与大语言模型深度集成，创建拥有持久记忆与主动执行能力的定制化 AI 助理。本文介绍为OpenClaw挂载持久化存储。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。 步骤一：部署OpenClaw 1. 在应用托管部署OpenClaw，详见 通过应用托管部署OpenClaw 。 步骤二：创建存储

本文介绍如何操作病毒查杀、实时防护、黑白名单等能力。 背景 终端作为企业日常办公、业务处理、系统维护的设备，承载着企业重要的数据。在复杂严峻的外部网络环境中，极易遭遇非法访问、病毒入侵以及信息泄露等诸多安全风险。如今，移动办公与远程办公需求持续攀升，这无疑让终端安全面临着前所未有的挑战。因此，怎样强化终端的安全管理，有效抵御外来攻击，切实保障数据安全，已然成为终端安全领域的共同迫切诉求。 功能说明 企业管理员可以在控制台的终端防病毒页面，手动或者周期性配置病毒扫描策略，远程对员工客户端所在的环境进行扫描检测，最终在控制台对病毒进行统计和管理。 注意 终端防病毒扫描功能客户端版本号为2.3.x及以上，扫描病毒进行自动查杀需客户端版本为2.6.x以上，支持的操作系统为Windows、麒麟、统信。如有需要，请 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务

云点播计费类问题。 云点播服务支持哪些计费方式？ 支持按量计费方式。如离线转码按转码输出文件时长计费，截图按API接口调用次数计费。存储在云点播媒体库的音视频、图片按照存储时长和占用空间收取存储空间费用，按照公网读取数据流量计算流出流量费用。详情请参见【购买指南】【计费项目】。 云点播是否支持退款？ 云点播为按需模式，根据实际用量结算，共用天翼云账号预存余额。在退订时，只需确保停止使用即可，无需单独退订退款。 云点播计费是否有免费试用？ 云点播暂不提供免费试用。您在开通服务后，即按照正常计费模式开始商用。具体转码价格详情请参见【购买指南】【计费项目】。 云点播是否有转码包？ 云点播暂不提供转码包。目前仅支持按量计费一种计费模式。具体转码价格详情请参见【购买指南】【计费项目】。 添加水印是否收费？ 添加水印和转码操作是同时进行的，本质上水印操作也是转码操作的一部分，因此不单独计费，只会按照转码收取一次费用。具体转码价格详情请参见【购买指南】【计费项目】。

本节通过人脸比对业务实例，详细介绍业务接入的基本流程和操作方案建议，消除客户业务操作实践困惑，帮助客户快速获得更优的体验。 背景信息 对于首次使用人脸比对业务的用户，如希望快速的解决业务需求问题，可参照本实践案例，通过应用场景、产品功能、前提条件、前期准备、实践步骤等说明，实现业务快速接入。 应用场景 身份验证： 在商业机构或者服务场所，人脸比对可以用于验证用户的身份，确保他们具有合法的访问权限。 考勤管理： 在企业、学校等地方，人脸比对可以用于员工或学生的考勤管理，准确记录出勤情况。 产品功能 高精度1：1人脸匹配，轻松应对身份验证、门禁系统的人脸比对等业务场景。通过高维度特征抽取，计算相似度，可以根据设定阈值自主准确判断是否为同一人。 实践流程 前提条件 购买人脸比对相关产品，订购流程详情请查看产品购买； 创建人脸比对应用及开通人脸比对应用，开通服务流程详情请查看创建应用及开通应用； 查看购买人脸比对产品情况，产品整体情况请查看用户控制台。