本章主要介绍产品定义。 软件开发生产线（CodeArts）是面向开发者提供的一站式云端DevSecOps平台，即开即用，随时随地在云端交付软件全生命周期，覆盖需求下发、代码提交、代码检查、代码编译、验证、部署、发布，打通软件交付的完整路径，提供软件研发流程的端到端支持。 产品构成 软件开发生产线由以下几个主要服务构成： 需求管理：为研发团队提供简单高效的团队协作服务，内置多种开箱即用的场景化需求模型和对象类型（需求/缺陷/任务等），可支撑DevOps、精益看板等多种研发模式，还包含跨项目协同、基线与变更管理、自定义报表、Wiki在线协作、文档管理等功能。 代码托管：面向软件开发者的基于Git的在线代码托管服务，是具备安全管控、成员/权限管理、分支保护/合并、在线编辑、统计服务等功能的云端代码仓库，旨在解决软件开发者在跨地域协同、多分支并发、代码版本管理、安全性等方面的问题。 流水线：提供可视化、可定制的自动交付流水线，帮助企业缩短交付周期，提升交付效率。 代码检查：基于云端实现代码质量管理，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量，帮助产品成功。 编译构建：为开发者提供配置简单的混合语言构建平台，实现编译构建云端化，支撑企业实现持续交付，缩短交付周期，提升交付效率。支持编译构建任务一键创建、配置和执行，实现获取代码、构建、打包等活动自动化，实时监控构建状态，让您更加快速、高效地进行云端编译构建。 部署：提供可视化、一键式部署服务，支持部署到虚拟机或者容器，提供Tomcat、SpringBoot等模板或者自由组装编排原子步骤进行部署，支持并行部署和流水线无缝集成，实现部署环境标准化和部署过程自动化。 测试计划：面向软件开发者提供一站式云端测试平台，覆盖功能测试、接口测试，融入DevOps敏捷测试理念，帮助您高效管理测试活动，保障产品高质量交付。 制品仓库：为软件开发团队提供管理软件发布过程的能力，保障软件发布过程的规范化、可视化及可追溯。 图 产品构成

本节先简要介绍了Llama2模型的基本信息，接着详述了如何在GPU云主机中搭建模型运行环境。基于此，推出了预装 LLaMA27BChat大模型和模型运行环境的GPU云主机镜像，使您能够快速搭建Llama 2推理和微调环境。 什么是Llama2 Meta在7月18日发布了可以免费用于学术研究或商业用途的Llama2开源大语言模型。 ! Llama的训练方法是先进行无监督预训练，再进行有监督微调，训练奖励模型，根据人类反馈进行强化学习。 Llama 2的训练数据比Llama 1多40%，用了2万亿个tokens进行训练，并且上下文长度是Llama 1的两倍。 目前提供7B 、13B、70B三种参数量的版本。 根据Meta公布的官方数据，Llama 2在许多基准测试上都优于其他开源语言模型，包括推理、编程、对话能力和知识测试，在帮助性、安全性方面甚至比部分闭源模型要好。 Llama 2Chat在Llama 2的基础上针对聊天对话场景进行了微调和安全改进，使用 SFT (监督微调) 和 RLHF (人类反馈强化学习)进行迭代优化，以便更好的和人类偏好保持一致，提高安全性。 Llama 2Chat更专注于聊天机器人领域，主要应用于以下几个方面： 客户服务：Llama 2Chat可以用于在线客户服务，回答关于产品、服务的常见问题，并向用户提供帮助和支持。 社交娱乐：Llama 2Chat可以作为一个有趣的聊天伙伴，与用户进行随意、轻松的对话，提供笑话、谜语、故事等娱乐内容，增加用户的娱乐体验。 个人助理：Llama 2Chat可以回答一些日常生活中的问题，如天气查询、时间设置、提醒事项等，帮助用户解决简单的任务和提供一些实用的功能。 心理健康：Llama 2Chat可以作为一个简单的心理健康支持工具，可以与用户进行交流，提供情绪调节、压力缓解的建议和技巧，为用户提供安慰和支持。

平台化全流程管理 AI训练的高效执行，依赖于大数据团队、数据标注团队、算法开发团队、性能优化团队以及算法工程化团队等多个专业角色的紧密协作。 训推智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。 管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。 丰富的算力资源 平台支持多种类型算力集群，如昇腾的910B集群，英伟达系列的H800、A10、A100、A800、L40S等算力集群，为用户提供丰富的算力资源选择；同时平台算力集群支持异构算力，即同一集群内可融合不同型号的算力显卡，并使用不同卡部署任务。

路由自动学习和分发 全网路由自动管理与学习，让网络运维不再是头疼事。 路由管理 全网实现多节点，多级路由的自动转发与学习，全网路由快速收敛。 用户配置 您不再需要进行繁重的路由配置及管理工作。 跨区域互通带宽配置 跨区域互通带宽指所规划的场景中，一个区域到另一个区域的网络带宽，可以实现两个区域之间的互通。您可以根据规划的网络连通情况，为需要进行互通的两个区域设置跨区域互通带宽。 带宽共享 多个跨区域互通带宽配置可以共用同一个带宽包。基于一个带宽包配置的多个跨区域互通带宽的总和不能超过带宽包的总带宽。 自主管理 云间高速（标准版）支持灵活分配跨区域互通带宽，可通过控制台秒级变更带宽。 与SDWAN混合组网 当本地多个数据中心需要与云上多个区域的VPC进行私网通信时，您可以将SDWAN与云间高速（标准版）进行绑定，实现混合组网，即可帮助客户快速安全地访问多个云资源池。

本文主要介绍 支持云审计的关键操作 操作场景 云审计服务（Cloud Trace Service，CTS），提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与SWR相关的操作事件，便于日后的查询、审计和回溯。 支持审计的关键操作列表 表云审计服务支持的SWR操作列表 操作名称 资源类型 事件名称 创建组织权限 usernamespaceauth createUserNamespaceAuth 修改组织权限 usernamespaceauth updateUserNamespaceAuth 删除组织权限 usernamespaceauth deleteUserNamespaceAuth 创建版本 version createVersion 修改版本 version updateVersion 删除版本 version deleteVersion 上传镜像包 image uploadImagePackage 创建组织 usernamespace createUserNamespace 删除组织 usernamespace deleteUserNamesapce 创建触发器 trigger createTrigger 修改触发器 trigger updateTrigger 删除触发器 trigger deleteTrigger 创建仓库权限 userrepositoryauth createUserRepositoryAuth 修改仓库权限 userrepositoryauth updateUserRepositoryAuth 删除仓库权限 userrepositoryauth deleteUserRepositoryAuth 创建镜像仓库 imagerepository createImageRepository 修改镜像仓库 imagerepository updateImageRepository 删除镜像仓库 imagerepository deleteImageRepository 删除镜像版本 imagetag deleteImageTag 生成登录指令 dockerlogincmd createDockerConfig 创建共享镜像 imagerepositoryaccessdomain createImageRepositoryAccessDomain 修改共享镜像 imagerepositoryaccessdomain updateImageRepositoryAccessDomain 删除共享镜像 imagerepositoryaccessdomain deleteImageRepositoryAccessDomain

本节介绍了通过管理控制台创建密钥对的操作场景、操作步骤。 操作场景 您可以通过管理控制台创建密钥对，创建完成后，公钥自动保存在系统中，私钥由用户保存在本地。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在左侧导航树中，选择“密钥对”。 5. 在“密钥对”页面，单击“创建密钥对”。 说明 密钥对包括私有密钥对和账户密钥对。私有密钥对仅限本用户使用，账户密钥对账户下其他用户也可使用。 您可以根据业务需要选择创建合适的密钥对。 6. 输入密钥名称，单击“确定”。 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 7. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID 58c5689018334b30a08ff9a3f8d5f314 autoPay 否 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订,仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 instanceNum 是 Integer 集群数量instanceNum，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID 58c5689018334b30a08ff9a3f8d5f314 autoPay 否 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订,仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 resSize 是 Integer 集群数量resSize，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

类 型 弹性云主机 轻量型云主机 轻量型云主机优势 应用场景 覆盖全量应用： 网站和应用程序托管 企业应用和业务系统 数据分析和大数据处理 游戏服务器和多媒体应用 图形渲染及高性能应用 适用于较轻量的应用： 开发和测试环境 小型网站和博客 个人项目和学习 云图、网盘等 适用于轻量型负载业务。 计费方式 包年包月、按需计费用户需分别选择实例类型规格，云盘类型规格，并单独购买弹性公网IP。 包年包月提供基础型、进阶型、随心购的资源套餐。 购买简单，价格更优惠。 管理方式 以弹性云主机服务控制台为中心，提供对于实例的管理及操作功能，用户还可分别前往云硬盘、网络、安全、备份等产品控制台对其余配套资源及服务进行管理和操作。 集成了计算、存储、网络资源控制台管理界面，实现一站式管理服务，用户通过轻量型云主机服务控制台，可完成对多方资源的管理及操作。 操作流程及方式更简单。

本节介绍如何更改日志存储时长。 默认存储日志的时间为7天，存储时间可以在1～365天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 更改日志存储时长 1. 将日志转储至LTS，操作步骤请参见“配置日志”。 2. 登录管理控制台。 3. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 5. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面，单击“修改存储时长”。 说明 支持1365天存储，超出设置时长的日志会被自动删除。 存储时长越长，占用存储容量越大，如需转储至其它云服务中长期保存，请参见“云日志服务用户指南> 日志转储”。

方式二：使用Xshell登录 1. 打开Xshell工具。 2. 通过弹性IP，执行以下命令，SSH远程连接GPU云主机。 ssh 用户名@弹性IP 示例：ssh root@192.168.0.1 3. （可选）如果系统弹窗提示“SSH安全告警”，此时需单击“接受并保存”。 4. 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 5. 在“用户密钥”窗口中，单击“导入”。 6. 选择本地保存的密钥文件，并单击“打开”。 7. 单击“确定”，登录GPU云主机。 客户端使用Linux操作系统 如果您本地使用Linux操作系统登录Linux GPU云主机，可以按照下面方式登录。下面以私钥文件是kp123.pem为例进行介绍。 1. 在您的linux计算机的命令行中执行如下命令，变更权限。下列命令的path为密钥文件的存放路径。 chmod 400 /path/kp123 2. 执行如下命令，登录GPU云主机。 ssh i /path/kp123 默认用户名@云主机 假设Linux云主机的默认用户名是linux，则命令如下： ssh i /path/kp123 linux@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为GPU云主机绑定的弹性IP地址。

本节介绍跨区域互联的开通说明和开通步骤。 产品定义 跨域互联可为客户提供同租户下不同VPC相同资源池或跨资源池互通的能力。 应用场景 场景1：同一租户下A资源池VPC1与VPC2互通。 场景2：同一租户下A资源池VPC1与B资源池VPC1互通（需要开通跨域带宽）。 使用限制 在开通跨域互联前需确认：需互通的资源池和虚拟私有云（vpc）的相关信息。VPC开通详情可查看“管理虚拟私有云”的相关操作指引。 注意 所有互通的VPC子网不可重叠，且跨域互联只能绑定同一个租户下的VPC。 跨域互联开通步骤 （1）创建跨域互联 （2）加载其他VPC或者子网 （3）开通跨域带宽并设置域间带宽 （4）设置桌面安全组与Windows防火墙

本文主要介绍CCE发布Kubernetes 1.23版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.23版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.23版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.23 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.23变更说明 不再支持webterminal插件，使用kubectl对接代替。 社区1.23 ReleaseNotes FlexVolume废弃，建议使用CSI。 HorizontalPodAutoscaler v2版本GA，HorizontalPodAutoscaler API v2在1.23版本中逐渐稳定。不建议使用HorizontalPodAutoscaler v2beta2 API，建议使用新的v2版本API。 PodSecurity支持beta，PodSecurity替代废弃的PodSecurityPolicy，PodSecurity是一个准入控制器，它根据设置实施级别的特定命名空间标签在命名空间中的Pod上实施Pod安全标准。在1.23中PodSecurity默认启用。

CCE集群类型 云容器引擎CCE深度整合高性能的计算、网络、存储等服务，支持多可用区（Available zone，简称AZ）容灾等技术构建高可用Kubernetes集群。 CCE已支持创建Kubernetes集群。 混合集群：支持虚拟机与裸金属服务器、GPU虚拟机等异构节点的混合部署，基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境。 注意 在创建、删除、扩容和缩容集群的操作中，请不要在统一身份认证服务（IAM）中执行权限变更或修改的操作，可能会导致创建、删除、扩容和缩容集群执行失败。 CCE节点的容器网络会使用一个网段作为容器网络的网段，该网段在创建集群时可配置，默认为172.16.0.0/16；docker服务也会默认创建一个docker0的网桥，docker0的默认地址为172.17.0.1。创建集群时，请确保集群中VPC（虚拟私有云）所在的网段不能和上述两个网段重复。使用VPC的对等连接功能时，对端的VPC也不能和上述两个网段重复。

本文主要介绍 Pod互访QoS限速。 操作场景 部署在同一节点上的不同业务容器之间存在带宽抢占，容易造成业务抖动。您可以通过对Pod间互访进行QoS限速来解决这个问题。 约束与限制 Pod间互访设置QoS限速支持容器隧道网络模型、VPC网络模型，其中VPC网络模型在使用Pod网络限速时需遵循以下约束： 仅支持1.19.10以上的集群版本。 仅支持普通容器（容器运行时为runc），不支持安全容器（容器运行时为kata）。 仅支持限制Pod访问Pod的场景限速，不对访问节点，对外访问产生影响。 带宽限速上限值为机型带宽上限和4.3G两者之间的最小值。 目前仅支持兆（M）级别以上的限速。 操作步骤 您可以通过对Pod添加annotations指定Pod出口带宽和入口带宽，如下所示。 apiVersion: v1 kind: Pod metadata: annotations: kubernetes.io/ingressbandwidth: 100M kubernetes.io/egressbandwidth: 100M ... kubernetes.io/ingressbandwidth：Pod的入口带宽 kubernetes.io/egressbandwidth：Pod的出口带宽 如果不设置这两个参数，则表示不限制带宽。

导入数据字典 数据字典是用户自身业务系统中已有的描述字段业务意义的文件。 1.您可以在数据源列表页选择“操作”列的“… > 上传数据字典”。 2.在弹出的窗口中，选择“样例下载”，下载模板并填写内容，包含以下字段：数据库名、Schema、表名、表注释、字段名、字段注释。其中，数据库名、Schema、表名、字段名为必填项。 其他操作 编辑数据源：在“数据源管理”页面，选择需要编辑的数据源，单击“操作”列的“编辑”按钮即可编辑数据源。 删除数据源：在“数据源管理”页面，选择需要删除的数据源，选择“操作”列的“… > 删除”按钮即可删除数据源。 同步数据源：在“数据源管理”页面，选择需要同步的数据源，单击“操作”列的“同步”按钮即可同步数据源。在数据源同步时，您可以选择“终止同步”终止数据同步。 说明 同步完成后，数据资产目录将显示该数据源的库表列结构；同时，安全评估数据库账号模块将同步得到相关数据库账号。

本节主要介绍如何已处理的任务列表。 已处理列表呈现当前您已处理的任务。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 任务中心”，进入任务中心后，选择“我已处理”页签，进入已处理任务页面。 5. 在已处理任务列表中查看已处理任务详情。 参数名称 参数说明 任务名称 该条任务的名称。 业务类型 任务属于的类型。 流程发布 剧本发布 剧本节点审核 关联对象 对应的剧本/流程名称。 创建人 创建任务的用户。 备注 该条任务的备注信息。 审核人 该剧本/流程的审核人员。 审核意见 该条任务的审核意见。 描述 该条任务的描述信息。 创建时间 该剧本/流程的创建时间。 更新时间 该剧本/流程的最近一次更新时间。

本页介绍如何查看分布式融合数据库HTAP的实例信息。 操作步骤 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择“数据库 > 分布式融合数据库HTAP”。进入分布式融合数据库HTAP控制台。 4. 点击实例管理进入实例列表界面。实例列表界面中可以看到实例ID、实例名称、版本、实例状态、连接地址、创建时间、到期时间等信息。 5. 点击操作 > 更多 > 详情 > 基础信息，可以查看实例的基础信息。 基础信息：实例ID、实例名称、平台实例ID、版本、开始时间、到期时间、部署方式、业务状态、系列、资源池编码。 费用信息：订购时长、计费方式。 实例参数：内存大小（GB）、CPU核心数、存储空间（GB）、VPC编码、VPC名称、安全组名称、subnetUuid。 6. 点击操作 > 更多 > 详情 > 部署资源，可以查看实例的部署资源信息。 全局参数：nodeExporterPort、blackboxExporterPort、deployDir 各类节点信息：主机业务IP、主机类型、占用CPU、占用内存、CPU类型、操作系统、可用区名称、可用区编码以及部署详情 部署详情包括：服务端口、其它端口、部署路径、数据存储路径、region信息等。

本页介绍了SSL证书使用常见问题。 SSL证书最长有效期是几年？可以签多年么？ 按照CA行业内标准要求SSL证书的最大有效期不能大于13个月，为了满足用户的需求以及省去不少商务流转环节，我们现推出多年的证书服务，可以咨询商务了解更多详情。 购买的是多域名证书，为什么访问时会出现“此网站出具的安全证书是为其他网站地址颁发的”的错误？ 多域名证书是用过SNI技术实现的，如果您的服务端或用户的客户端不支持SNI技术，就可能会出现改错误。 如果服务器换了IP地址，原来的SSL证书还能用吗？ SSL证书都是绑定域名的，服务器更换IP地址没有任何关系，只要域名不变，更换IP之后，只需将域名重新解析到新的IP地址即可,原来的SSL证书当然照样可以用。但如果SSL证书是为IP地址申请的，则服务器换了IP地址，原来的SSL证书就不能用了。 能申请EV的通配符证书吗？ 不行，根据规范要求不允许签发EV通配符的证书产品。

作业执行权限说明 对于开启Kerberos认证的安全集群，用户在MRS界面提交作业时，要先执行IAM用户同步操作，同步完成后会在MRS系统中产生同IAM用户名的用户。IAM同步用户是否有提交作业权限，取决于IAM同步时，用户所绑定的IAM策略，提交作业策略请参考统一身份认证用户指南中关于同步MRS的说明章节。 用户提交作业，如果涉及到具体组件的资源使用，如HDFS的目录访问、Hive表的访问等相关组件的权限时，需由admin（Manager管理员）用户进行授权，给提交作业用户赋予相关组件权限。具体操作如下： 1.使用admin用户登录Manager。 2.参考创建角色内容，增加用户具体需要的组件权限的角色。 3.参考相关任务修改提交作业用户所属的用户组，将新增的组件角色加入到该用户组中。 说明 用户所在用户组绑定的组件角色修改后，权限生效需要一定时间，请耐心等待。

本节介绍如何查看公网IP的防护状态。 购买了公网IP后，自动开启AntiDDoS“默认防护”，即自动对公网IP地址提供DDoS攻击保护。 使用限制 开启AntiDDoS防护后，不允许关闭。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在公网IP列表中查看防护状态。 说明 在“所有防护状态”搜索框中选择防护状态，“公网IP”界面将只展示对应状态的公网IP。 在搜索框中输入公网IP或公网IP的关键字，单击搜索或刷新图标，可以搜索指定的公网IP。 公网IP列表参数说明： 参数 说明 公网IP AntiDDoS防护的公网IP地址。 单击公网IP，可以跳转至该公网IP的“监控报表”页面。 防护状态 公网IP的防护状态，包括： 正常 设置中 未开启 清洗中 黑洞中 资产类型 NetInterFace 防护设置 当前公网IP的流量清洗阈值。

本章节主要介绍物理机实例概述。 实例概述 物理机实例即您创建的一台物理机服务器。不同实例类型提供不同的计算能力、存储空间、网络性能，您可以基于业务需求选择不同类型的实例。当天翼云向您交付一个实例时，您将获得这台服务器完整的控制权限，包括开机、关机、带内管理等。 实例类型 目前天翼云提供的物理机CPU，均为x86架构，根据业务需求选购不同配置的物理机服务器。 x86 V4实例（CPU采用Intel Broadwell架构） x86 V5实例（CPU采用Intel Skylake架构） x86 V6实例（CPU采用Intel Cascade Lake架构） 其他说明 基于本地盘的物理机服务器，系统盘默认RAID 1，数据盘默认直通盘。如果需要更改数据盘RAID配置，可以联系管理员变更。系统盘RAID不支持变配。 常用的RAID级别 RAID 0 RAID 0又称为条带化（Stripe）或分条（Striping），代表了所有RAID级别中最高的存储性能。RAID 0提高存储性能的原理是把连续的数据分散到多个硬盘上存取。这样，当系统有数据请求时就可以在多个硬盘上并行执行，每个硬盘执行属于它自己的那部分数据请求。这种数据上的并行操作可以充分利用总线的带宽，显著提高硬盘整体读写性能。但由于其没有数据冗余，无法保护数据的安全性，只能适用于I/O要求高，但数据安全性要求低的场合。 图1 RAID 0数据存储原理 RAID 1 RAID 1又称镜像（Mirror或Mirroring），即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时同时从工作盘和镜像盘读出。当更换故障盘后，数据可以重构，恢复工作盘正确数据。RAID 1可靠性高，但其有效容量减小到总容量一半以下，因此常用于对容错要求较高的应用场合，如财政、金融等领域。 图2 RAID 1数据存储原理 RAID 5 RAID 5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。为保障存储数据的可靠性，采用循环冗余校验方式，并将校验数据分散存储在RAID的各成员盘上。当RAID的某个成员盘出现故障时，通过其他成员盘上的数据可以重新构建故障硬盘上的数据。RAID 5既适用于大数据量的操作，也适用于各种小数据的事务处理，是一种快速、大容量和容错分布合理的磁盘阵列。 图3 RAID 5数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 6 在RAID 5的基础上，RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法，数据的可靠性非常高，即使两块磁盘同时失效也不会影响数据的使用。但RAID 6需要分配给奇偶校验信息更大的磁盘空间，相对于RAID 5有更大的“写损失”，因此“写性能”较差。 图4 RAID 6数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。 RAID 10 RAID 10是将镜像和条带进行两级组合的RAID级别，即RAID 0＋RAID 1的组合形式，第一级是RAID 1，第二级是RAID 0。RAID 10是存储性能和数据安全兼顾的方案。它在提供与RAID 1一样的数据安全保障的同时，也提供了与RAID 0近似的存储性能。 图5 RAID 10数据存储原理 RAID 50 RAID 50被称为镜像阵列条带，即RAID 5 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 5一样，也是以数据的校验位来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图6 RAID 50数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 60 RAID 60同RAID 50类似，数据采用镜像阵列条带分布方式，即RAID 6 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 6一样，以两个数据校验模块来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图7 RAID 60数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。

本文介绍学术加速企业版服务的总览页面。 简介 总览提供了学术加速企业版的使用概况，方便您查看学术加速企业版的整体使用情况，快速定位问题。 操作步骤 1.登录 边缘安全加速平台控制台 ，选择【学术加速】控制台。 2.在左侧导航栏，单击【总览】。 3.学术加速企业版总览页面分为两个模块：用量分析、终端分析，默认展示用量分析。您可以通过点击对应的卡片切换不同处理列表。 AOne学术加速 用量分析 统计企业使用学术加速服务的用量使用情况，支持按照单用户、带宽、流量粒度进行查询。快速查询支持按照昨日，今日，7天，30天粒度，也可指定时间范围查询。 用户流量排名：指企业在指定时间范围内使用流量最多的账号，按照总使用流量从大到小排序。同时展示对应的登录用户名（账号名）、终端类型、总流量大小。支持下拉框快速查询最近24小时，最近3天，最近7天，最近30天的对应数据统计。 应用流量排名：指企业在指定时间范围内被访问的应用中，访问流量最多的应用名称以及其被访问流量的大小，按照流量的大小进行降序排序。支持下拉框快速查询最近24小时，最近3天，最近7天，最近30天的对应数据统计。

功能介绍 零信任管理中心通过配置角色权限，再给用户授权实现权限的管理。 角色的权限支持控制到二级菜单粒度，可以实现不同员工管理不同菜单的管理模式。 身份用户与组织菜单支持更细粒度的分权管理，支持到数据粒度，可以分配不同的组织部门，实现一个部门一个管理员的管理模式。 应用应用配置菜单支持更细粒度的分权管理，支持到数据粒度，可以分配不同的应用，实现一个应用一个管理员的管理模式。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【AOne零信任】。 2. 在左侧导航栏，选择管理员权限，进入相关页面进行操作。 3. 可根据业务需求进行相关配置。 配置管理员角色 1.创建角色 点击创建角色按钮，根据指引填写角色信息选择权限预览并确认。 2.添加管理员 选择指定管理员角色，点击添加管理员，支持添加多个，授权主体支持用户组和用户。 3.查看详情 选择指定管理员角色，点击详情。 可查看/编辑管理员角色下的管理员列表及角色权限。

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

如何安装PostgreSQL客户端 PostgreSQL官网提供了针对不同操作系统的不同版本的客户端安装包，用户可以根据自己的需要选择适合自己的客户端并使用。此处以CentOS弹性云主机（ECS）为例，介绍如何在ECS上安装下PostgreSQL 12版本客户端，并访问实例数据库。 1.打开PostgreSQL官网客户端下载页面。 2.选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install y PostgreSQL官网地址/pub/repos/yum/reporpms/EL7x8664/pgdgredhatrepolatest.noarch.rpm sudo yum install y postgresql12server 3.登录连接实例。 在连接数据库之前，请确保您的ECS和RDSPostgreSQL实例在同一VPC下且配置安全组放通数据库对应端口，确保网络通畅。 在ECS上执行以下命令登录连接实例，其中username是实例的用户名、host是实例的ip、port是实例的连接端口和dbname是实例的数据库。在执行该命令后按照提示输入数据库账号的密码即可登录连接实例。 psql U username h host p port d dbname

本文将从功能简介、背景信息、前提条件、防护逻辑等方面介绍如何进行扫描防护。 功能介绍 边缘云WAF提供的扫描防护功能支持自动识别常见扫描器特征，一旦发现扫描器访问将对其进行拦截。 注意 目前控制台尚未开放扫描防护功能，如有防护需求请通过 背景信息 边缘云WAF安全团队基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用扫描器防护功能 扫描防护逻辑 针对扫描器防护功能，边缘云WAF支持扫描器特征识别与扫描器访问拦截两个模块。 扫描器特征识别 通过请求中的扫描器或自动化工具特征识别扫描器，形成两百余条扫描器识别规则，能够满足常见的扫描器识别需求。

操作名称 资源类型 事件名称 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

敏感数据规则创建完成后，可根据需要编辑规则，对规则组的名称、类型、描述等进行修改。 前提条件 已添加敏感数据规则。 约束条件 DSC内置的敏感数据规则不可编辑。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 5. 在敏感数据规则列表中，在需要编辑的规则所在行的“操作”列，单击“编辑”，系统弹出“编辑规则”的对话框。 6. 在“编辑规则”对话框中，根据您的需求，编辑规则参数，如下图所示，相关参数说明如下表所示。 参数 参数说明 取值样例 规则名称 您可以自定义敏感数据规则名称。 规则名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则名称不能与已有的规则名称重复。 规则类型 可选择“关键字”和“正则表达式”。 关键字：通过关键字来执行该条敏感规则。 正则表达式：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。 关键字 关键字包含 “规则类型”设置为“关键字”时，显示该参数。 逻辑：需要选择关键字的逻辑： AND：关键字都需要包含。 OR：仅需要包含其中一个关键字。 内容：输入关键字。单击可添加关键字，最多可添加10项关键字。 and，张三 正则表达式 “规则类型”设置为“正则表达式”时，显示该参数。 风险等级 选择该条规则的风险等级。 风险等级分为110级。13级属于低风险，47级属于中风险。810级属于高风险。 5（中风险） 最小匹配次数 规则命中次数。同一个规则达到命中次数，则被标记为敏感信息。 2 规则描述 可选参数。该规则的备注信息，用于区别其他规则。 7. 单击“确定”，完成敏感数据规则的编辑。

定义敏感数据识别规则组操作将多个零散的规则组合成为一个有业务逻辑的规则组，该操作是用户后续进行敏感数据发现任务操作的前提。 约束条件 敏感数据规则分为自定义的规则和内置的规则，内置的规则不可新增、编辑和删除。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 5. 在规则列表的左上角，单击“新增规则”，进入“新增规则”页面。 6. 在“新增规则”对话框中配置规则基本信息，如下图所示，相关参数说明如下表所示。 参数 参数说明 取值样例 规则名称 您可以自定义敏感数据规则名称。 规则名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则名称不能与已有的规则名称重复。 规则类型 可选择“关键字”和“正则表达式”。 关键字：通过关键字来执行该条敏感规则。 正则表达式：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。 关键字 关键字包含 “规则类型”设置为“关键字”时，显示该参数。 逻辑：需要选择关键字的逻辑： AND：关键字都需要包含。 OR：仅需要包含其中一个关键字。 内容：输入关键字。单击可添加关键字，最多可添加10项关键字。 and，张三 正则表达式 “规则类型”设置为“正则表达式”时，显示该参数。 风险等级 选择该条规则的风险等级。 风险等级分为110级。47级属于中风险，8~10级属于高风险。 5（中风险） 最小匹配次数 规则命中次数。同一个规则达到命中次数，则被标记为敏感信息。 2 规则描述 可选参数。该规则的备注信息，用于区别其他规则。 7. 单击“确定”，完成敏感数据规则的创建。

本文为您介绍分布式消息服务MQTT的产品优势。 分布式消息服务MQTT（Message Queuing Telemetry Transport）是一种轻量级的、发布/订阅模式的消息传递协议，通常用于分布式消息服务和物联网（IoT）应用。以下是MQTT的一些优势： 轻量级协议： MQTT是一种非常轻量级的协议，适用于各种网络环境，包括低带宽、高延迟或不稳定的网络。这使得它非常适合在IoT设备之间传递消息，因为这些设备通常有限的资源和能源。 发布/订阅模式： MQTT采用发布/订阅模式，允许客户端订阅感兴趣的主题，以接收与这些主题相关的消息。这种模式具有灵活性，能够支持多对多的通信，而不需要直接点对点的连接。 异步通信： MQTT允许异步通信，客户端可以发布消息而不必等待接收方的响应。这有助于提高系统的响应速度和吞吐量。 保留消息： MQTT支持保留消息，这意味着最新的消息可以保留在主题中，以便新订阅者可以立即获取到最新数据，而不必等待下一个消息发布。 服务质量（QoS）： MQTT允许设置不同级别的服务质量，从不保证消息送达（QoS 0）到确保消息送达且不重复传递（QoS 2）。这使得可以根据应用的需求选择适当的传递质量。 可伸缩性： MQTT协议可以在大规模分布式系统中轻松扩展，支持成千上万的客户端同时连接到Broker，使其适用于大型IoT解决方案。 消息过滤： MQTT支持使用通配符来订阅主题，这允许客户端根据特定模式匹配多个主题，以接收相关消息。 支持遗愿消息： MQTT支持遗愿消息（Will Messages），允许客户端指定在异常断开连接时发送一条预定义消息。这对于检测设备在线状态非常有用。 跨平台和多语言支持： MQTT具有广泛的跨平台和多语言支持，因此可以在各种设备和编程语言上使用，使得它非常灵活。 安全性： MQTT可以与安全机制（如TLS/SSL）结合使用，确保消息在传输过程中的安全性和隐私。 总的来说，MQTT是一种高效、灵活和可靠的协议，特别适用于分布式消息传递和IoT应用，因此在物联网、远程监控、实时通信等领域得到广泛应用。它的轻量级特性和异步通信使得它成为连接数众多的设备的理想选择。

本文主要介绍权限管理。 如果您需要对云服务平台上购买的DMS for Kafka资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for Kafka的使用权限，但是不希望他们拥有删除Kafka实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用Kafka实例，但是不允许删除Kafka实例的权限策略，控制他们对DMS for Kafka资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for Kafka的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 DMS for Kafka权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for Kafka部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for Kafka时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for Kafka服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，DMS for Kafka支持的API授权项请参见《分布式消息服务Kafka API参考》的“权限策略和授权项”章节。 如下表所示，包括了DMS for Kafka的所有系统权限。 表 DMS for Kafka系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS VPCAccess 分布式消息服务租户委托时需要授权的VPC操作权限。 系统策略 无 DMS KMSAccess 分布式消息服务租户委托时需要授权的KMS操作权限。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 说明 系统策略有包含OBS授权项，由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的系统策略后，大概需要等待5分钟系统策略才能生效。 下表列出了DMS for Kafka常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √