如何在模型开发JupyterLab和VSCode中使用自定义镜像？ 需要将对应的软件安装包打包进您的自定义镜像中，具体方式见下方。 在docker file中具体执行命令。 plaintext VSCode curl fsSL sh codeserver installextension mspython.python plaintext Jupyterlab pip install jupyterlab 将打包好的镜像在本地起起来，然后运行如下命令安装软件，安装完成后，执行 docker commit {容器名称}，打包成新镜像后，即可上传。 plaintext VSCode curl fsSL sh codeserver installextension mspython.python plaintext Jupyterlab pip install jupyterlab 我想基于自己的模型进行二次训练微调怎么做？ 可以先在模型管理中导入自己的模型，在JupyterLab和VSCode创建训练任务，在挂载模型的选项中选择【模型管理】，选择已导入需要二次训练微调的模型，即可挂载自己的模型进行训练。 训推智算服务平台是否支持IB和NVlink？ 当前昇腾集群暂不支持。 如何给子账号配置资源使用的限额？ 主账号管理员进入运营后台，在配置设置模块，可支持设置单用户最大同时使用的GPU/CPU数量以及并行文件存储初始分配额度。 创建基础数据集或在开发机及训练任务中增加存储配置时，为什么不填ZOS/HPFS路径会报错？ 请检查您的账号类型，这可能是平台权限策略所导致的。 若您是管理员用户，您可以挂载到整桶或者文件系统粒度，路径对您来说是选填项； 若您是普通子账号，您必须填写具体的已被授权的路径，路径对您来说是必填项，若不填写则无法提交。

【管理用户】操作 在队列列表右侧【操作】列，点击【管理用户】，则弹出管理用户窗口，搜索要添加的用户，搜到后选中，一次可选多个，然后选择角色，默认是【成员】，可改成管理员。对于已在队列里的用户，也可以删除，找到该用户，取消勾选即可。 【编辑】操作 在队列列表右侧【操作】列，点击【更多】会出现下拉菜单，展示了具体的操作项，选择【编辑】，则弹出队列编辑窗口，可修改队列名称、描述。 【更配】操作 在队列列表右侧【操作】列，点击【更多】会出现下拉菜单，展示了具体的操作项，选择【更配】，则弹出队列更配窗口，可修改队列的负载类型、实例规格、实例数。 注意 负载类型修改：该队列支持的任务类型按最新修改生效，比如之前支持大模型评估，修改后不支持了，则后续评估任务选队列时，则不再展示该队列。 实例规格修改：若该队列的存量任务中存在正在运行的任务以及排队中的任务，则不能修改，反之可以修改。 实例数修改：实例数调大，上限是 资源池内可支持的上限，比如资源池里还有100卡没有划分到队列，则实例数最大就是100除以规格向下取整。若用户设置的超过这个数，则给出报错提示。实例数调小，下限是队列里已分配的卡数与该队列里排队中的任务中单任务所需的最大卡数的较小值。若用户设置的低于这个数，则给出报错提示。 【启动/停止】操作 在队列列表右侧【操作】列，点击【更多】会出现下拉菜单，展示了具体的操作项，选择【启动/停止】，点击即可。 注意 停止队列：则不可以继续往该队列里提交任务，存量任务还是会执行完。 启动队列：则可以继续向该队列里提交任务。

Linux操作系统 请根据如下原因逐一进行排查： 步骤 1 检查安全组出方向80端口是否放通。 1. 登录控制台。 2. 选择需要检查的弹性云主机，并进入“弹性云主机”详情页面。 3. 检查“安全组”中，“出方向”的“80”端口是否放通。 默认的安全组规则“出方向”为Any 、Any，即端口放通。 步骤 2 检查弹性云主机VPC的DHCP是否启用。 选择“网络 > 虚拟私有云"，打开对应VPC的详情页面，选择“子网”页签，检查是否启用DHCP。 步骤 3 如果安全组配置、DHCP均正常，但一键重置密码功能仍未生效，请尝试使用原密码登录弹性云主机。 如果原密码失效，可以进入单用户模式下进行密码重置。 如果原密码有效，可以用原密码登录弹性云主机后进入操作系统内进一步排查： a. 使用原密码登录Linux弹性云主机。 b. 执行 curl 返回为“true”，表示可以一键重置密码。 返回其他，表示不支持重置密码或网络异常。 步骤 4 如果原密码有效，可以用原密码登录弹性云主机，检查是否已安装“CloudResetPwdAgent”。 1. 检查弹性云主机的根目录下，是否存在“CloudrResetPwdAgent”目录。 − 是，请执行步骤4.2 − 否，说明当前弹性云主机没有安装一键重置密码插件。 安装方法请参见安装一键式重置密码插件（可选）。 2. 执行以下命令，查看“CloudResetPwdAgent”的状态。 service cloudResetPwdAgent status 如果回显信息是“unrecognized service”说明当前弹性云主机没有安装一键重置密码插件。 安装方法请参见安装一键式重置密码插件（可选）。

风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。

本节主要介绍部署HBlock集群版。 部署HBlock的步骤主要步骤为： 1. 安装前准备：在每台服务器上准备一个或多个目录作为HBlock数据目录，用来存储HBlock数据。 说明 为了避免相互影响，建议数据目录不要与操作系统共用磁盘或文件系统。 2. 解压缩安装包，并进入解压缩后的文件夹路径。 3. 安装并初始化HBlock。 4. 获取软件证书并导入。 5. 创建iSCSI Target并查询。 6. 创建卷并查询。 说明 下面以x86服务器的HBlock安装部署举例，ARM服务器、龙芯服务器的安装部署与x86服务器的安装部署相同。 详细步骤 1. 请先完成以下准备工作：在每台服务器上准备一个或多个目录作为HBlock数据目录（每台服务器上的目录可以不同），用来存储HBlock数据，如：/mnt/storage01，/mnt/storage02。 2. 将安装包放到服务器欲安装HBlock的目录下并解压缩，进入解压缩后的文件夹（以HBlock 4.0.0为例）。 说明 建议安装目录不要与数据目录共用磁盘或文件系统。 plaintext unzip CTYUNHBlockPlus4.0.0x64.zip cd CTYUNHBlockPlus4.0.0x64 3. 安装并初始化HBlock： 1. 安装HBlock。 注意 安装HBlock和执行HBlock管理操作的应该属于同一用户。 在每台服务器上安装HBlock。 ./stor install [ { a apiport } APIPORT ] [ { w webport } WEBPORT ] APIPORT ：指定API端口号，默认端口号为1443。 WEBPORT ：指定WEB端口号，默认端口号为2443。 2. 初始化HBlock。 初始化HBlock具体命令行详见初始化HBlock。 ./stor setup { n storname } STORNAME [ { u username } USERNAME ] { p password } PASSWORD { { s serve r } { SERVERIP [:PORT ][:PATH] & } & topologyfile TOPOLOGYFILE } [ {C clusternetwork } CIDR ] [ { P publicnetwork } CIDR ] [ faultdomain FAULTDOMAIN ] [ iscsiport ISCSIPORT ] [portrange PORT1PORT2 ] [ dataport 1 DATAPORT1 ] [ managementport1 MANAGEMENTPORT1 ] [ managementport2 MANAGEMENTPORT2 ] [ managementport3 MANAGEMENTPORT3 ] [ managementport4 MANAGEMENTPORT4 ] [ managementport5 MANAGEMENTPORT5 ] [ managementport6 MANAGEMENTPORT6 ] [ metadataport1 METADATAPORT1 ] [ metadataport2 METADATAPORT2 ] [ metadataport3 METADATAPORT3 ] [ metadataport4 METADATAPORT4 ] [ metadataport5 METADATAPORT5 ] [ metadataport6 METADATAPORT6 ] [ metadataport7 METADATAPORT7 ] [ metadataport8 METADATAPORT8 ] [ cs SERVERIP,SERVERIP,SERVERIP ] [ mdm SERVERIP,SERVERIP ] [ ls SERVERIP,SERVERIP,SERVERIP ] 说明 可以通过web、命令行和API进行初始化HBlock。可以在已经安装的HBlock的任一台服务器上执行初始化。 3. 查询服务器。 ./stor server ls [ { n server } SERVERID ] [ port ] 4. 获取软件许可证并导入。 HBlock软件提供30天试用期，过期后仅部分功能可用，详见软件许可证到期（试用期或订阅模式）后仍可用的功能。您可以通过下列步骤获取软件许可证。 1. 获取HBlock序列号： ./stor info { S serialid } 2. 联系HBlock软件供应商获取软件许可证，获取的时候需要提供HBlock序列号。 3. 获取软件许可证后，执行导入。 ./stor license add { k key } KEY 5. 创建iSCSI Target并查询。 1. 创建iSCSI Target。 创建iSCSI Target命令行详见创建iSCSI Target。 ./stor target add { n name } TARGETNAME [ maxsessions MAXSESSIONS ] [ { c chapname } CHAPNAME { p password } CHAPPASSWORD { s status } STATUS ] [ num SERVERNUMBER ] [ server SERVERID & ] 说明 如果允许iSCSI Target下的IQN建立多个会话，可以通过配置参数maxsessions MAXSESSIONS 来实现。 2. 查询iSCSI Target。 ./stor target ls [ c connection ] [ { n name } TARGETNAME ] 6. 创建卷并查询 1. 创建卷 创建卷命令行详见创建卷。 本地卷 ./stor lun add { n name } LUNNAME { p capacity } CAPACITY { t target } TARGETNAME [ pool POOL ] [ cachepool CACHEPOOL ] [ { a ha } HIGHAVAILABILITY ] [ { c localstorageclass } LOCALSTORAGECLASS ] [ minreplica MINREPLICA ] [ ecfragmentsize ECFRAGEMENTSIZE ] [ { o sectorsize } SECTORSIZE ] [ { w writepolicy } WRITEPOLICY ] [ { m mode } STORAGEMODE ] 上云卷 ./stor lun add { n name } LUNNAME { p capac ity } CAPACITY { t target } TARGETNAME [ pool POOL ] [ cachepool CACHEPOOL ] [ { a ha } HIGHAVAILABILITY ] [ { c localstorageclass } LOCALSTORAGECLASS ] [ minreplica MINREPLICA ] [ ecfragmentsize ECFRAGEMENTSIZE ] [ { o sectorsize } SECTORSIZE ] [ { w writepolicy } WRITEPOLICY ] { m mode } STORAGEMODE { B bucket } BUCKETNAME { A ak } ACCESSKEY { S sk } SECRETKEY [ { C cloudstorageclass } CLOUDSTORAGECLASS ] { E endpoint } ENDPOINT [ signversion VERSION ] [ region REGION ] [ { M cloudcompression } CLOUDCOMPRESSION ] [ { O objectsize } OBJECTSIZE ] [ { X prefix } PREFIX ] 2. 查询卷 ./stor lun ls [ { n name } LUNNAME ]

本章节主要介绍DataArts Studio权限管理。 如果您需要对的DataArts Studio资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identityand Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DataArts Studio的使用权限，但是不希望他们拥有删除工作空间等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DataArts Studio服务，但是不允许删除工作空间的权限，控制他们对DataArts Studio资源的使用范围。 DataArts Studio权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DataArts Studio时，需要先切换至授权区域。 DataArts Studio 仅支持基于系统角色的授权，不支持策略授权 。为了实现精细的权限管控，DataArts Studio提供了系统角色 + 工作空间角色授权的能力，由工作空间角色授权具体的操作权限，并支持自定义不同权限点的工作空间角色。 说明 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 IAM角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如图110和表11所示，DataArts Studio的IAM系统角色包括DAYU Administrator和DAYU User；工作空间角色是基于IAM角色DAYU User进一步授予的，权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系，您可以参照这些权限列表选择合适的角色。 图110 权限体系 表11 DataArts Studio系统角色 系统角色名称 描述 类别 DAYU Administrator 实例管理员，拥有对DataArts Studio实例及工作空间的所有管理权限、依赖服务权限，以及所有工作空间内的所有业务操作权限。 说明 Tenant Administrator具有除统一身份认证服务外，其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。 系统角色 DAYU User 普通用户，具备DataArts Studio实例及工作空间的查看权限，以及依赖服务权限。普通用户需要被授予任一工作空间角色后，才能拥有对应角色的业务操作权限。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 l 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 l 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 l 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 l 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 l 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 l 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色

资源名称 废弃API版本 替代API版本 变更说明 MutatingWebhookConfiguration ValidatingWebhookConfiguration admissionregistration.k8s.io/v1beta1 admissionregistration.k8s.io/v1 （该API从社区v1.16版本开始可用） l webhooks[].failurePolicy 在v1版本中默认值从 Ignore 改为 Fail 。 l webhooks[].matchPolicy 在v1版本中默认值从 Exact 改为 Equivalent 。 l webhooks[].timeoutSeconds 在v1版本中默认值从 30s 改为 10s 。 l webhooks[].sideEffects 的默认值被删除，并且该字段变为必须指定； 在v1版本中可选的值只能是 None 和 NoneOnDryRun 之一。 l webhooks[].admissionReviewVersions 的默认值被删除，在v1版本中此字段变为必须指定（ AdmissionReview 的被支持版本包括v1和v1beta1）。 l webhooks[].name 必须在通过 admissionregistration.k8s.io/v1 创建的对象列表中唯一。 CustomResourceDefinition apiextensions.k8s.io/v1beta1 apiextensions/v1 （该API从社区v1.16版本开始可用） l spec.scope 的默认值不再是 Namespaced ，该字段必须显式指定。 l spec.version 在v1版本中被删除，应改用 spec.versions 。 l spec.validation 在v1版本中被删除，应改用 spec.versions[].schema 。 l spec.subresources 在v1版本中被删除，应改用 spec.versions[].subresources 。 l spec.additionalPrinterColumns 在v1版本中被删除，应改用 spec.versions[].additionalPrinterColumns 。 l spec.conversion.webhookClientConfig 在v1版本中被移动到 spec.conversion.webhook.clientConfig 中。 l spec.conversion.conversionReviewVersions 在v1版本中被移动到 spec.conversion.webhook.conversionReviewVersions l spec.versions[].schema.openAPIV3Schema 在创建v1版本的 CustomResourceDefinition 对象时变成必需字段，并且其取值必须是一个结构化的Schema。 l spec.preserveUnknownFields: true 在创建v1版本的 CustomResourceDefinition 对象时不允许指定；该配置必须在Schema定义中使用 xkubernetespreserveunknownfields: true 来设置。 l 在v1版本中， additionalPrinterColumns 的条目中的 JSONPath 字段被更名为 jsonPath 。 APIService apiregistration/v1beta1 apiregistration.k8s.io/v1 （该API从社区v1.10版本开始可用） TokenReview authentication.k8s.io/v1beta1 authentication.k8s.io/v1 （该API从社区v1.6版本开始可用） LocalSubjectAccessReview SelfSubjectAccessReview SubjectAccessReview SelfSubjectRulesReview authorization.k8s.io/v1beta1 authorization.k8s.io/v1 （该API从社区v1.16版本开始可用） spec.group 在v1版本中被更名为 spec.groups CertificateSigningRequest certificates.k8s.io/v1beta1 certificates.k8s.io/v1 （该API从社区v1.19版本开始可用） certificates.k8s.io/v1 中需要额外注意的变更： l 对于请求证书的API客户端而言： − spec.signerName 现在变成必需字段， 并且通过certificates.k8s.io/v1 API不可以创建签署者为 kubernetes.io/legacyunknown 的请求。 − spec.usages 现在变成必需字段，其中不可以包含重复的字符串值， 并且只能包含已知的用法字符串。 l 对于要批准或者签署证书的API客户端而言： − status.conditions 中不可以包含重复的类型。 − status.conditions[].status 字段现在变为必需字段。 − status.certificate 必须是PEM编码的，而且其中只能包含CERTIFICATE数据块。 Lease coordination.k8s.io/v1beta1 coordination.k8s.io/v1 （该API从社区v1.14版本开始可用） Ingress networking.k8s.io/v1beta1 extensions/v1beta1 networking.k8s.io/v1 （该API从社区v1.19版本开始可用） l spec.backend 字段被更名为 spec.defaultBackend 。 l 后端的 serviceName 字段被更名为 service.name 。 l 数值表示的后端 servicePort 字段被更名为 service.port.number 。 l 字符串表示的后端 servicePort 字段被更名为 service.port.name 。 l 对所有要指定的路径， pathType 都成为必需字段。 可选项为 Prefix 、 Exact 和 ImplementationSpecific 。 要匹配v1beta1版本中未定义路径类型时的行为，可使用 ImplementationSpecific 。 IngressClass networking.k8s.io/v1beta1 networking.k8s.io/v1 （该API从社区v1.19版本开始可用） ClusterRole ClusterRoleBinding Role RoleBinding rbac.authorization.k8s.io/v1beta1 rbac.authorization.k8s.io/v1 （该API从社区v1.8版本开始可用） PriorityClass scheduling.k8s.io/v1beta1 scheduling.k8s.io/v1 （该API从社区v1.14版本开始可用） CSIDriver CSINode StorageClass VolumeAttachment storage.k8s.io/v1beta1 storage.k8s.io/v1 l CSIDriver从社区v1.19版本开始在 storage.k8s.io/v1 中提供。 l CSINode从社区v1.17版本开始在 storage.k8s.io/v1 中提供。 l StorageClass从社区v1.6版本开始在 storage.k8s.io/v1 中提供。 l VolumeAttachment从社区v1.13版本开始在 storage.k8s.io/v1 中提供。

操作场景 在配置VPC对等连接时您需要避免以下无效的配置场景： VPC网段重叠且全部子网重叠 在这种情况下，无法使用VPC对等连接。由于VPC网段和子网完全重叠，无法建立有效的对等连接。 VPC网段重叠但部分子网重叠 在这种情况下，无法创建指向整个VPC网段的对等连接，但可以创建指向子网的对等连接。需要注意的是，对等连接两端的子网网段不能包含重叠子网。 约束与限制 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信，您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 VPC网段重叠可能导致对等连接不生效 VPC网段重叠可能会导致对等连接无法生效，主要是由于路由冲突的原因。以下为您提供一些相关说明和建议： VPC网段重叠，且全部子网完全重叠 如果您的VPCA（网段为10.0.0.0/16）包含了两个子网，分别是SubnetA01（网段为10.0.0.0/24）和SubnetA02（网段为10.0.1.0/24）。VPCB的网段和子网和VPCA完全重叠，创建对等连接后，路由表中的系统路由和对等连接路由的目的地址会发生冲突。这会导致VPCA内部的流量在VPCA内部转发，无法到达VPCB。在这种情况下，您需要重新规划VPC的网段和子网。 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.0.0/16 (VPCB) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为VPCB的网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16 (VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 VPC网段重叠，且部分子网重叠 如果您的VPCA（网段为10.0.0.0/16）包含了两个子网，分别是SubnetA01（网段为10.0.0.0/24）和SubnetA02（网段为10.0.1.0/24）。VPCB的网段与VPCA的网段重叠，且子网SubnetB01和VPCA的子网SubnetA01重叠。在这种情况下，要避免创建指向整个VPC网段的对等连接，因为VPCA和VPCB的网段重叠，这将导致对等连接无效。 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.2.0/24 (SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02子网网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.2.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/24 (SubnetA01) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为SubnetA01子网网段，下一跳为PeeringAB。 鉴于以上情况，您可以选择创建一个对等连接来连接VPCA的SubnetA02和VPCB的SubnetB02。确保SubnetA02和SubnetB02的网段没有重叠，这样路由就不会冲突，并且对等连接将会生效。这样做可以实现VPCA和VPCB之间的互通，使得位于不同VPC中的子网能够相互访问和通信。

元字符 说明 . 匹配除“n”之外的任何单个字符，如果要匹配包括“n”在内的任意字符，需使用诸如“[sS]”之类的模式。 ^ 匹配输入字符串的开始位置，不匹配任何字符，要匹配“^”字符本身，需使用“^”。 $ 匹配输入字符串结尾的位置，不匹配任何字符，要匹配“$”字符本身，需使用“$”。 零次或多次匹配前面的字符或子表达式，“ ”等效于“{0,}”，如“^ b”可以匹配“b”、“^b”、“^^b”、…。 一次或多次匹配前面的字符或子表达式，等效于“{1,}”，如“a+b”可以匹配“ab”、“aab”、“abb”“aaab”、…。 ? 零次或一次匹配前面的字符或子表达式，等效于“{0,1}”，如“a[cd]?”可以匹配“a”、“ac”、“ad”； 当此字符紧随任何其他限定符“”、“+”、“?”、“{n}”、“{n,}”、“{n,m}”之后时，匹配模式是“非贪心的”。“非贪心的”模式匹配搜索到的、尽可能短的字符串，而默认的“贪心的”模式匹配搜索到的、尽可能长的字符串。如，在字符串“oooo”中，“o+?”只匹配单个“o”，而“o+”匹配所有“o”。 将两个匹配条件进行逻辑“或”（Or）运算，如正则表达式“(himher)”匹配“it belongs to him”和“it belongs to her”，但是不能匹配“it belongs to them”。 将下一字符标记为特殊字符、文本、反向引用或八进制转义符，如“n”匹配字符“n”，“n”匹配换行符，序列“”匹配“”，“(”匹配“(”。 w 匹配字母或数字或下划线，任意一个字母或数字或下划线，即Az，az,0~9，中任意一个。 W 匹配任意不是字母、数字、下划线的字符。 s 匹配任意的空白符，包括空格、制表符、换页符等空白字符的其中任意一个，与“[ fnrtv]”等效。 S 匹配任意不是空白符的字符，与“[^fnrtv]”等效。 d 匹配数字，任意一个数字，0~9中的任意一个，等效于“[09]”。 D 匹配任意非数字的字符，等效于“[^09]”。 b 匹配一个字边界，即字与空格间的位置，也就是单词和空格之间的位置，不匹配任何字符，如“erb”匹配“never”中的“er”，但不匹配“verb”中的“er”。 B 非字边界匹配，“erB”匹配“verb”中的“er”，但不匹配“never”中的“er”。 f 匹配一个换页符，等价于“x0c”和“cL”。 n 匹配一个换行符，等价于“x0a”和“cJ”。 r 匹配一个回车符，等价于“x0d”和“cM”。 t 匹配一个制表符，等价于“x09”和“cI”。 v 匹配一个垂直制表符，等价于“x0b”和“cK”。 cx 匹配“x”指示的控制字符，如“cM”匹配“ControlM”或回车符，“x”的值必须在“AZ”或“az”之间，如果不是这样，则假定c就是“c”字符本身。 {n} “n”是非负整数，正好匹配n次，如“o{2}”与“Bob”中的“o”不匹配，但与“food”中的两个“o”匹配。 {n,} “n”是非负整数，至少匹配n次，如“o{2,}”不匹配“Bob”中的“o”，而匹配“foooood”中的所有“o”，“o{1,}”等效于“o+”，“o{0,}”等效于“o”。 {n,m} “n”和“m”是非负整数，其中n<m，匹配至少n次，至多m次，如“o{1,3}”匹配“fooooood”中的头三个o，“o{0,1}”等效于“o?”，注意，不能将空格插入逗号和数字之间；如“ba{1,3}”可以匹配“ba”或“baa”或“baaa”。 xy 匹配“x”或“y”，如“zfood”匹配“z”或“food”；“(zf)ood”匹配“zood”或“food”。 [xyz] 字符集，匹配包含的任一字符，如“[abc]”匹配“plain”中的“a”。 [^xyz] 反向字符集，匹配未包含的任何字符，匹配除了“xyz”以外的任意字符，如“[^abc]”匹配“plain”中的“p”。 [az] 字符范围，匹配指定范围内的任何字符，如“[az]”匹配“a”到“z”范围内的任何小写字母。 [^az] 反向范围字符，匹配不在指定的范围内的任何字符，如“[^az]”匹配任何不在“a”到“z”范围内的任何字符。 ( ) 将“(”和“)”之间的表达式定义为“组”group，并且将匹配这个表达式的字符保存到一个临时区域，一个正则表达式中最多可以保存9个，它们可以用“1”到“9”的符号来引用。 (pattern) 匹配pattern并捕获该匹配的子表达式，可以使用$0…$9属性从结果“匹配”集合中检索捕获的匹配。 (?:pattern) 匹配pattern但不捕获该匹配的子表达式，即它是一个非捕获匹配，不存储供以后使用的匹配，这对于用“or”字符“()”组合模式部件的情况很有用，如“industr(?:yies)”是比“industryindustries”更简略的表达式。 (?pattern) 非获取匹配，正向肯定预查，在任何匹配pattern的字符串开始处匹配查找字符串，该匹配不需要获取供以后使用。如“Windows(?9598NT2000)”能匹配“Windows2000”中的“Windows”，但不能匹配“Windows3.1”中的“Windows”。预查不消耗字符，也就是说，在一个匹配发生后，在最后一次匹配之后立即开始下一次匹配的搜索，而不是从包含预查的字符之后开始。 (?!pattern) 非获取匹配，正向否定预查，在任何不匹配pattern的字符串开始处匹配查找字符串，该匹配不需要获取供以后使用。如“Windows(?!9598NT2000)”能匹配“Windows3.1”中的“Windows”，但不能匹配“Windows2000”中的“Windows”。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

本节介绍了如何设置云数据库GaussDB 的自动备份策略。 操作场景 创建GaussDB实例时，系统默认开启实例级自动备份策略。实例创建成功后，您可根据业务需要修改实例级自动备份策略。GaussDB按照用户设置的自动备份策略对数据库进行备份。 约束限制 GaussDB单副本实例V2.03.0以下版本不支持设置实例级自动备份策略。 为了满足时间点恢复的需求，超出备份保留天数最近的一次全量备份不会被立即删除。 示例：设置自动备份策略为每天备份1次，保留天数为1天，即11.1号生成备份1，11.2号生成备份2并保留备份1；11.3号生成备份3，并保留备份2及删除备份1。 修改自动备份策略 【方式一：单个实例修改自动备份策略】 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏，选择“备份恢复”，单击“修改备份策略”。您可以查看到已设置的备份策略，如需修改备份策略，请调整以下参数的值。 步骤 6 按照界面提示修改实例级备份策略。 表 全量备份策略 参数 说明 保留天数 保留天数是指自动备份可保留的时间，增加保留天数可提升数据可靠性，请根据需要设置。 对于系统中最近一个全量备份文件，如果在新的全量备份未超过保留天数前系统会一直保留，直至新的全量备份超过保留天数后才会删除。 增加保留天数，可提升数据可靠性，请根据需要设置。 减少保留天数，会针对已有的备份文件生效，即超出备份保留天数的已有备份文件（包括全量备份和增量备份）会被自动删除，但手动备份不会自动删除，请您谨慎选择。 全量备份文件自动删除策略： 已有备份文件超出备份天数后会自动删除，考虑到数据完整性，自动删除时仍然会保留最近的一次超过保留天数的全量备份，保证在保留天数内的数据可正常恢复。 假如备份周期选择“周一”、“周二”，保留天数设置为“2”，备份文件的删除策略如下： 本周一产生的全量备份，会在本周四当天自动删除。原因如下： 本周二的全量备份在本周四当天超过保留天数，按照全量备份文件自动删除策略，会保留最近的一个超过保留天数的全量备份（即本周二的备份会被保留），因此周四当天删除本周一产生的全量备份文件。 本周二产生的全量备份，会在下周三当天自动删除。原因如下： 下周一产生的全量备份在下周三超过保留天数，按照全量备份文件自动删除策略，会保留最近的一个超过保留天数的全量备份（即下周一的备份会被保留），因此下周三当天删除本周二产生的全量备份。 备份流控 控制备份数据从实例数据盘上传至备份存储设备（例如OBS）的速率，默认75MB/s，0表示上传不限速，但是备份实际上传速率仍然受到网络、实例规格、磁盘IO等因素制约。 是否启用备机备份 如果启动备机备份，实例全量备份、差量备份在备DN所在主机进行备份。 备份时间段 默认为24小时中，间隔一小时的随机的一个时间段 ，例如01:00～02:00，12:00～13:00等。备份时间段以UTC时区保存。如果碰到夏令时/冬令时切换，备份时间段会因时区变化而改变。 备份周期 可选范围为周一至周天，默认全选。可根据需要进行选择，并且最少需要选择一天。 保留天数范围为1～732天。 备份时间段区间以1个小时为单位，共24个时间区可选。建议根据业务情况，选择业务低峰时段，备份周期默认全选，可修改，且至少选择一周中的1天。 实例创建完成后，会立即触发一次全量备份，之后会按照策略中的备份时间段和备份周期进行全量备份和差量备份策略。备份时间段请选择为业务峰值较低的时间段。全量备份会在此时间段进行。 表 差量备份策略 参数 说明 备份周期 需要选择差量备份的周期，即每隔多长时间进行一次差量备份。默认30分钟一次。 差量预取页面个数 控制差量备份时读取磁盘上表文件增量修改页面的预取页面个数，默认64。当差量修改页面非常集中时（如数据导入场景），可以适当调大该值；当差量修改页面非常分散时（如随机更新），可以适当调小该值。当调大差备预取页面个数时，差备在读取磁盘上表文件的预取页面会变多，所占用的IO变大，此时会影响其他业务，导致数据库性能有一定的下降。 分片大小 全量、差量备份时产生的备份文件会根据分片大小进行拆分，可设置范围为0~1024GB，需设置为4的倍数，默认4GB，0GB表示不限制大小。 步骤 7 单击“确定”，确认修改。 步骤 8 查看修改结果。 任务提交成功后，您可以单击“修改备份策略”，查看设置的备份策略，检查修改是否成功。 结束 【方式二：批量实例修改自动备份策略】 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击“批量修改备份策略”。 步骤 5 在“批量修改备份策略”界面，您可以按照界面提示设置实例级备份策略。 步骤 6 单击“确定”，确认修改。 说明 批量修改备份策略最多可以选择30个实例。 所选择的实例中，如有未开启备份策略的实例，批量修改备份策略操作将不会修改其备份策略。 因备份时间段和备份周期以UTC时区保存，如您需要修改策略中的“备份时间段”或“备份周期”，建议同时修改“备份时间段”和“备份周期”，再下发修改，以避免修改后的备份时间段和周期在您的时区不符合预期。 步骤 7 查看修改结果。 任务提交成功后，您可以单击实例名称，在左侧导航栏选择“备份恢复”，单击“修改备份策略”，查看到已设置的备份策略，检查该实例的备份策略修改是否成功。 结束

本文主要介绍管理JMeter测试报告 测试报告说明 JMeter测试报告提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。 JMeter测试报告说明如下表所示。 测试报告展现了测试过程中被测系统在模拟高并发用户的响应性能，为了更好阅读测试报告，请参考以下信息： 统计维度： 测试报告的TPS、RPS、响应时间、并发等统计维度均为单个线程组，如线程组中有请求多个报文，只有在多个请求报文均正常返回会认为成功，响应时间也是多个请求报文的求和值。 响应超时： 出现该情况是在设置的响应超时时间内（Jmx自定义），对应的TCP连接中没有响应数据返回时，会将本次线程组请求统计为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败： 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 带宽统计： 本报告统计的是性能测试服务执行端的带宽，上行表示从性能测试服务发出的流量，下行表示接收到的流量。如果是外网压测场景，您需要关注执行机的EIP带宽是否可以满足上行带宽的要求。而下行带宽需要关注单台执行机是否超过1GB。 TPS： TPS是指云性能测试服务在统计周期内每秒从被测服务器获取到的响应用例实时统计，TPS统计周期内的正常返回数/统计周期。 RPS： RPS是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 如何判断被测应用优劣： 根据应用本身的服务质量定义，理想状态是没有任何响应失败、校验失败的情况，如果有，需要在服务质量定义范围之内，通常情况下不超过1%，同时响应时间越低越好（2s内体验较好，5s内可以接受，超过5s则需要考虑优化），TP90、TP99指标可以客观反映出90%、99%用户的体验响应时间。 JMeter测试报告说明 概念 解释 各项指标总量 所有线程组各项指标总量的汇总。 最大并发：最大并发操作的虚拟用户数。 RPS：RPS请求总数/响应总时长。 正常返回：如设置了检查点，检查点通过的事务响应数，如未设置默认为返回2XX的事务响应数。 响应时间：指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应码：记录压测任务进行中响应码分布的情况。 带宽：记录压测任务运行所消耗的实时带宽变化。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的事务响应数。 SLA事件：SLA中定义的事件发生情况。 平均RPS 是指性能测试在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 平均RT 记录压测任务平均响应时间的变化。 并发数 记录压测任务运行时，当前并发操作的虚拟用户数的变化。 带宽（KB/S） 记录压测任务运行所消耗的实时带宽变化。 上行带宽：从JMeter测试执行机往外发送出去数据的速度。 下行带宽：JMeter测试执行机接收到数据的速度。 响应状态分布 正常返回、解析失败、校验失败、响应超时的每秒处理事务数，该项指标与思考时间、并发用户、服务器响应能力均有关，比如思考时间为500ms，如果服务器对于当前用户的上个请求响应时间小于500ms，则该用户每秒请求2次。 正常返回：如设置了检查点，检查点通过的事务响应数，如未设置默认为返回2XX的事务响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 解析失败：HTTP响应无法被正常解析的数量。l校验失败：如设置了检查点，检查点未通过的事务响应数，如未设置，返回不是2XX的事务响应数。 响应超时：是在设置的响应超时时间内，对应的TCP连接中没有响应数据返回的用例请求数量。 连接被拒绝：发送报文建立连接时，服务器拒绝连接数。 其他错误：不属于以上几种错误的数量。 响应码分布 1XX/2XX/3XX/4XX/5XX。 响应时间区间比例 用例的响应时间区间比例。 TP最大响应时间 指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取对应的百分比的那个值作为TPXX的最大响应时间。 TP50：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第50%的那个值作为TP50的值。 TP75：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第75%的那个值作为TP75的值。 TP90：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第90%的那个值作为TP90的值。 TP95：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第95%的那个值作为TP95的值。 TP99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99%的那个值作为TP99的值。 TP99.9：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.9%的那个值作为TP99.9的值。 TP99.99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.99%的那个值作为TP99.99的值。

操作场景 普通任务是一次性运行的短任务，部署完成后即可执行。正常退出（exit 0）后，任务即执行完成。 普通任务是用来控制批处理型任务的资源对象。批处理业务与长期伺服业务（Deployment、Statefulset）的主要区别是： 批处理业务的运行有头有尾，而长期伺服业务在用户不停止的情况下永远运行。Job管理的Pod根据用户的设置把任务成功完成就自动退出了。成功完成的标志根据不同的spec.completions策略而不同，即： 单Pod型任务有一个Pod成功就标志完成。 定数成功型任务保证有N个任务全部成功。 工作队列型任务根据应用确认的全局成功而标志成功。 前提条件 已创建资源，具体操作请参见购买节点。若已有集群和节点资源，无需重复操作。 步骤 1 （可选）普通任务需要基于镜像创建，若选择私有镜像，用户首先需要将镜像上传至镜像仓库。 步骤 2 登录CCE控制台，在左侧导航栏中选择“工作负载 > 普通任务 Job”，单击“创建普通任务”。 步骤 3 参照下表配置任务基本信息，其中带“”标志的参数为必填参数。 参数 参数说明 任务名称 新建任务的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 容器集群 新建任务所在的集群。 命名空间 新建任务所属的命名空间，默认为default。 实例数量 任务的实例数量。任务可以有一个或多个实例，用户可以设置具体实例个数，默认为1。 每个任务实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，任务还能正常运行。 任务描述 任务描述信息。 步骤 4 单击“下一步：添加容器”，添加容器和镜像。 1. 单击“选择镜像”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建任务。使用第三方镜像时，请确保任务运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像地址”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像参数。 参数 说明 镜像 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认0.5GiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见6.10.2 设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. （可选）高级设置。 参数 参数说明 生命周期 生命周期脚本定义，主要针对容器类任务的生命周期事件采取的动作。 启动命令：输入容器启动命令，容器启动后会立即执行。详细步骤请参见容器设置。 启动后处理：任务启动后触发。详细步骤请参见设置容器生命周期。 停止前处理：任务停止前触发。详细步骤请参见设置容器生命周期。 环境变量 在容器中添加环境变量，一般用于通过环境变量设置参数。在环境变量页签，单击“添加环境变量”。当前支持三种类型。 手动添加：输入变量名称、变量/变量引用。 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 数据存储 支持挂载本地磁盘或者云存储到容器中，以实现数据文件的持久化存储。 详细步骤请参见存储管理。 容器日志 CCE支持配置工作负载日志策略，便于日志收集分析，以及按周期防爆处理。详细步骤请参见采集容器标准输出日志。 4. （可选）一个任务实例包含1个或多个相关容器。若您的任务包含多个容器，请单击“添加容器”，再执行添加容器的操作。 步骤 5 配置完成后，单击“创建”。 待状态为“执行中”，普通任务创建成功。 使用kubectl创建Job Job的配置参数如下所示。 spec.template格式与Pod相同。 RestartPolicy仅支持Never或OnFailure。 单个Pod时，默认Pod成功运行后Job即结束。 .spec.completions表示Job结束需要成功运行的Pod个数，默认为1。 .spec.parallelism表示并行运行的Pod的个数，默认为1。 spec.backoffLimit表示失败Pod的重试最大次数，超过这个次数不会继续重试。 .spec.activeDeadlineSeconds表示Pod运行时间，一旦达到这个时间，Job即其所有的Pod都会停止。且activeDeadlineSeconds优先级高于backoffLimit，即到达activeDeadlineSeconds的Job会忽略backoffLimit的设置。 根据.spec.completions和.spec.Parallelism的设置，可以将Job划分为以下几种类型。 任务类型 Job类型 说明 使用示例 一次性Job 创建一个Pod直至其成功结束 数据库迁移 固定结束次数的Job 依次创建一个Pod运行直至completions个成功结束 处理工作队列的Pod 固定结束次数的并行Job 依次创建多个Pod运行直至completions个成功结束 多个Pod同时处理工作队列 并行Job 创建一个或多个Pod直至有一个成功结束 多个Pod同时处理工作队列 以下是一个Job配置示例，保存在myjob.yaml中，其计算π到2000位并打印输出。 apiVersion: batch/v1 kind: Job metadata: name: piwithtimeout spec: completions: 50

账单详情(按需),面向企业项目管理员提供按需计费资源的全维度费用透明化管理能力,支持按账期、用户维度精准查询消费明细,实现项目成本的精细化管控与追溯。暂不包含包周期费用详情。 前置条件： 注意： 该功能针对特定用户开放，请联系客户经理开启。 消费数据筛选 1. 点击项目空间列表页“详情”按钮，进入空间详情页。 2. 点击详情页中“账单详情（按需）“按钮，支持多维度精准筛选消费数据，满足不同管理场景的查询需求： 1. 账期筛选：下拉选择目标账期（示例：202604），默认展示当前自然月数据。说明：出账账期不等于费用发生账期。预付费用户费用当月出账。后付费用户按需类型费用次月出账，其他类型当月出账。 2. 用户筛选：下拉选择项目内指定用户，支持按单用户维度查询消费明细 3. 在消费统计看板中，可视化展示当前筛选条件下的按需计费资源消费总览，直观呈现项目成本结构。 消费统计看板 可视化展示当前筛选条件下的按需计费资源消费总览，直观呈现项目成本结构： （1）累计消耗费用：当前筛选周期内，项目 / 用户的按需计费资源累计总消耗费用； （2）分资源类型消费明细：按核心资源维度拆分消费数据，清晰展示各资源的用量与费用： 资源类型 计量单位 说明 GPU 卡 时 GPU 资源的使用量与对应费用 CPU 核 时 CPU 资源的使用量与对应费用 内存 GB 时 内存资源的使用量长与对应费用 存储 GB 时 存储资源的使用量与对应费用 说明：所有资源费用均为按需计费维度的实时统计，不包含包周期账单数据。

本节主要介绍使用在线迁移Redis实例 在满足DCS源Redis和目标Redis的网络相通、源Redis放通SYNC和PSYNC命令这两个前提下，支持使用在线迁移的方式，将DCS源Redis中的数据全量或增量迁移到目标Redis中。 约束与限制 在线迁移不支持公网方式直接迁移。 将高版本Redis实例数据迁移到低版本Redis实例可能失败。 较早建立的实例如果密码中包含单引号（'），则该实例不支持进行在线迁移，建议修改实例密码或使用其他迁移方式。 如果是单机/主备等多DB的源实例迁移到Proxy集群实例，Proxy集群默认仅有一个DB0，请先确保源实例DB0以外的DB是否有数据，如果有，请先参考开启多DB操作开启Proxy集群多DB。 如果是单机/主备等多DB的源端实例迁移到Cluster集群实例，Cluster集群不支持多DB，仅有一个DB0，请先确保源端实例DB0以外的DB是否有数据，如果有，请将数据转存到DB0，否则会出现迁移失败，将数据转存到DB0的操作请参考使用Rump在线迁移。 进行在线迁移时，建议将源端实例的参数repltimeout配置为300秒，clientoutputbufferslavehardlimit和clientoutputbufferslavesoftlimit配置为实例最大内存的20%。 在线迁移，相当于临时给源端Redis增加一个从节点并且做一次全量同步到迁移机，建议在业务低峰期执行迁移，否则可能导致源端实例CPU瞬时冲高，时延增大。

用户可在通过本接口向云点播新增一组拼接模板。 接口功能介绍 用户可在通过本接口向云点播新增一组拼接模板。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /stitching/template/create 请求体 body 参数 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 拼接模板名称 测试拼接模板1 head 否 Array of Objects 片头视频，但head与tail两个选填入参至少需要传一个。 head tail 否 Array of Objects 片尾视频，但head与tail两个选填入参至少需要传一个。 tail video 是 String 拼接视频信息 video audio 是 String 音频信息 audio remark 否 String 拼接模板备注 测试拼接模板1 表 head 参数 是否必填 参数类型 说明 示例 下级对象 visitUrl 是 String 片头视频列表，必须为云点播存储地址 表 tail 参数 是否必填 参数类型 说明 示例 下级对象 visitUrl 是 String 片尾视频列表，必须云点播存储地址 表 video 参数 是否必填 参数类型 说明 示例 下级对象 follow 是 Boolean 拼接视频分辨率是否跟随主视频 true/false bitRate 是 String 主视频视频部分预设码率 512kb height 是 Integer 主视频预设分辨率高度 1024 width 是 Integer 主视频预设分辨率宽度 768 表 audio 参数 是否必填 参数类型 说明 示例 下级对象 remove 是 Boolean 是否去掉拼接视频音频 true/false bitRate 是 String 主视频音频部分预设码率，建议从以下值选择输入 128K/192K/256K/320K，>128k,<10000k。 128kb

本文介绍了如何在科研助手中使用Open WebUI对LLM模型推理。 概述： Open WebUI 是一个可扩展、功能丰富且用户友好的自托管 WebUI，旨在完全离线运行。它支持各种 LLM 运行程序，包括 Ollama 和 OpenAI 兼容的 API。 准备环境： 1.【开发机】创建开发机 1. 填入名称“openwebui”选择队列及可用区 2. 【资源配置】 【GPU加速型】在单选框中选择“NVIDIA A100” （规格根据实际情况修改 GPU类型可选择A10 A100 3060 3080） 3. 框架版本选择【社区镜像】的“vncopenwebuicuda11.3” 2.点击【确认订单】 启动开发机并登录VNC： 1. 【开发机】刷新状态，等待openwebui开发机状态进入到【运行中】状态后点击右侧操作栏【打开】。 2. 点击【打开】跳转到vnc开发机，成功进入到远程桌面中。 3. 启动Open WebUI，准备模型： 1. 点击桌面上【OI】图标，等待弹窗浏览器（第一次启动时间较长） 2. 在窗口点击【注册】输入用户名，邮箱，和密码 （信息保存在VNC开发机中，重启后需要重新注册） 3. 在窗口点击【登录】输入用户名，密码，进入对话界面 4. 在【选择一个模型】下拉框输入模型，如【llama:8b】,选择【从 Ollama.com 拉取“llama3:8b”】

操作场景 在配置VPC对等连接时您需要避免以下无效的配置场景： VPC网段重叠且全部子网重叠 在这种情况下，无法使用VPC对等连接。由于VPC网段和子网完全重叠，无法建立有效的对等连接。 VPC网段重叠但部分子网重叠 在这种情况下，无法创建指向整个VPC网段的对等连接，但可以创建指向子网的对等连接。需要注意的是，对等连接两端的子网网段不能包含重叠子网。 约束与限制 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信，您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 VPC网段重叠可能导致对等连接不生效 VPC网段重叠可能会导致对等连接无法生效，主要是由于路由冲突的原因。以下为您提供一些相关说明和建议： VPC网段重叠，且全部子网完全重叠 如果您的VPCA（网段为10.0.0.0/16）包含了两个子网，分别是SubnetA01（网段为10.0.0.0/24）和SubnetA02（网段为10.0.1.0/24）。VPCB的网段和子网和VPCA完全重叠，创建对等连接后，路由表中的系统路由和对等连接路由的目的地址会发生冲突。这会导致VPCA内部的流量在VPCA内部转发，无法到达VPCB。在这种情况下，您需要重新规划VPC的网段和子网。 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.0.0/16 (VPCB) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为VPCB的网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16 (VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 VPC网段重叠，且部分子网重叠 如果您的VPCA（网段为10.0.0.0/16）包含了两个子网，分别是SubnetA01（网段为10.0.0.0/24）和SubnetA02（网段为10.0.1.0/24）。VPCB的网段与VPCA的网段重叠，且子网SubnetB01和VPCA的子网SubnetA01重叠。在这种情况下，要避免创建指向整个VPC网段的对等连接，因为VPCA和VPCB的网段重叠，这将导致对等连接无效。 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.2.0/24 (SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02子网网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.2.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/24 (SubnetA01) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为SubnetA01子网网段，下一跳为PeeringAB。 鉴于以上情况，您可以选择创建一个对等连接来连接VPCA的SubnetA02和VPCB的SubnetB02。确保SubnetA02和SubnetB02的网段没有重叠，这样路由就不会冲突，并且对等连接将会生效。这样做可以实现VPCA和VPCB之间的互通，使得位于不同VPC中的子网能够相互访问和通信。

本节主要介绍如何配置生命周期规则。 您可以为某个桶或某些对象设置生命周期规则。 标准对象可以转换为低频访问、归档对象。 低频访问对象可以转换为归档对象。 指定对象过期删除。 归档对象不能通过设置生命周期规则来转换存储类别。 您可以新建生命周期规则，也可以从其他桶复制已有生命周期规则。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 在左侧导航栏，单击“概览”，进入“概览”页面。 步骤 3 在“数据管理”区域下，单击“生命周期规则”卡片，系统跳转至“生命周期规则”界面。 或您可以直接在左侧导航栏单击“数据管理>生命周期规则”，进入“生命周期规则”界面。 步骤 4 单击“创建”，系统弹出如下图所示对话框。 步骤 5 配置生命周期管理规则。 基本信息： “状态”：选中“启用”，启用本条生命周期规则。 “规则名称”：用于识别不同的生命周期配置，其长度需不超过255字符。 “前缀”：可选。 填写前缀：满足该前缀的对象将受生命周期规则管理，输入的对象前缀不能包括 :?"<>特殊字符，不能以/开头，不能两个/相邻。 未填写前缀：桶内所有对象都将受生命周期规则管理。 说明 当按前缀配置时，如果指定的前缀名与某条已配置的生命周期规则指定的前缀名存在包含关系，OBS会将两条规则视为同一条，而禁止您配置本条规则。例如，系统中已存在指定前缀名为“abc”的规则，则不允许再配置指定前缀以“abc”字段开头的规则。 如果已存在按前缀配置的生命周期规则，则不允许再新增配置到整个桶的规则。 当前版本或历史版本： 若桶未启用“多版本控制”，仅可配置“当前版本”。 若桶开启过“多版本控制”，配置界面可见“当前版本”和“历史版本”。 “历史版本”配置项默认不展示，只有当桶开启过“多版本控制”，即多版本控制状态为“已启用”或“暂停”时才会展示。 说明 “当前版本”与“历史版本”是针对“多版本控制”而言的。若开启了“多版本控制”功能，同名的对象上传到同一路径下时，则会产生不同的版本号。最新版本的对象称之为“当前版本”，历史时间上传的对象称之为“历史版本”。 “当前版本”与“历史版本”至少配置一个，也可以两个版本同时配置。 转换为低频访问存储：指定在对象最后一次更新后多少天，受规则影响的对象将转换为低频访问存储。至少设置为30天。 转换为归档存储：指定在对象最后一次更新后多少天，受规则影响的对象将转换为归档存储。若同时设置转换为低频访问存储和转换为归档存储，则转换为归档存储的时间要比转换为低频访问存储的时间至少长30天。若单独设置转换为归档存储，则没有时间限制。 对象过期删除天数：指定在对象最后一次更新后多少天，受规则影响的对象将过期并自动被OBS删除。过期时间必须大于前两个转换时间的最大值。 例如，您于2015年1月7日在OBS中存储了以下几个文件： log/test1.log log/test2.log doc/example.doc doc/good.txt 您于2015年1月10日在OBS中存储了以下几个文件： log/clientlog.log log/serverlog.log doc/work.doc doc/travel.txt 若您在2015年1月10日设置前缀为“log”的对象，过期删除的时间设置为一天，可能出现如下情况： 1月7日上传的两个对象“log/test1.log”和“log/test2.log”，会在最近一次系统自动扫描后被删除，可能在1月10日当天，也可能在1月11日，这取决于系统的下一次扫描在何时进行。 1月10日上传的两个对象“log/clientlog.log”和“log/serverlog.log”，每下一次系统扫描均会判断距上一次对象更新是否已满一天。如果已满一天，则在本次扫描时删除；如果未满一天，则会等到下次扫描再判断，直到满一天时删除，一般可能在1月11日或1月12日删除。 若您在某天设置前缀为“log”的对象，转换为低频访问存储的时间设置为30天，转换为归档存储的时间设置为60天，过期删除的时间设置为100天，OBS将会在“log/clientlog.log”、“log/serverlog.log”、“log/test1.log”和“log/test2.log”这四个对象上传满30天后转换为低频访问存储，满60天后转换为归档存储，满100天后自动删除。 说明 对象上传后，系统会将下一个UTC零点作为对象存储的起始时间开始计算生命周期。生命周期规则执行最长耗时24小时。因此，存储类别的转换以及过期被删除可能会存在延时，且一般不会超过48小时。配置生命周期规则后，如果期间修改了生命周期配置，会重新计算生效时间。 步骤 6 单击“确定”，完成生命周期规则配置。

操作场景 在配置VPC对等连接时您需要避免以下无效的配置场景： VPC网段重叠且全部子网重叠 在这种情况下，无法使用VPC对等连接。由于VPC网段和子网完全重叠，无法建立有效的对等连接。 VPC网段重叠但部分子网重叠 在这种情况下，无法创建指向整个VPC网段的对等连接，但可以创建指向子网的对等连接。需要注意的是，对等连接两端的子网网段不能包含重叠子网。 约束与限制 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信，您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 VPC网段重叠可能导致对等连接不生效 VPC网段重叠可能会导致对等连接无法生效，主要是由于路由冲突的原因。以下为您提供一些相关说明和建议： VPC网段重叠，且全部子网完全重叠 如果您的VPCA（网段为10.0.0.0/16）包含了两个子网，分别是SubnetA01（网段为10.0.0.0/24）和SubnetA02（网段为10.0.1.0/24）。VPCB的网段和子网和VPCA完全重叠，创建对等连接后，路由表中的系统路由和对等连接路由的目的地址会发生冲突。这会导致VPCA内部的流量在VPCA内部转发，无法到达VPCB。在这种情况下，您需要重新规划VPC的网段和子网。 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.0.0/16 (VPCB) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为VPCB的网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16 (VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 VPC网段重叠，且部分子网重叠 如果您的VPCA（网段为10.0.0.0/16）包含了两个子网，分别是SubnetA01（网段为10.0.0.0/24）和SubnetA02（网段为10.0.1.0/24）。VPCB的网段与VPCA的网段重叠，且子网SubnetB01和VPCA的子网SubnetA01重叠。在这种情况下，要避免创建指向整个VPC网段的对等连接，因为VPCA和VPCB的网段重叠，这将导致对等连接无效。 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.2.0/24 (SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02子网网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.2.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/24 (SubnetA01) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为SubnetA01子网网段，下一跳为PeeringAB。 鉴于以上情况，您可以选择创建一个对等连接来连接VPCA的SubnetA02和VPCB的SubnetB02。确保SubnetA02和SubnetB02的网段没有重叠，这样路由就不会冲突，并且对等连接将会生效。这样做可以实现VPCA和VPCB之间的互通，使得位于不同VPC中的子网能够相互访问和通信。

本文主要介绍创建节点伸缩策略。 CCE的自动伸缩能力是通过节点自动伸缩组件autoscaler实现的，可以按需弹出节点实例，支持多可用区、多实例规格、多种伸缩模式，满足不同的节点伸缩场景。 当节点伸缩中创建的策略和autoscaler插件中的配置同时生效时（比如不可调度和指标规则同时满足时），将优先执行不可调度扩容。 若不可调度执行成功，则会跳过指标规则逻辑，进入下一次循环。 若不可调度执行失败，将执行指标规则逻辑。 前提条件 使用节点伸缩功能前，需要安装autoscaler插件，插件版本要求1.13.8及以上。 约束限制 仅按需计费节点池支持弹性伸缩。 弹性伸缩的策略作用在节点池，当节点池中节点为0时，且按CPU/内存弹性伸缩时，不会触发节点伸缩。 缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。缩容节点时使用了本地持久存储卷的Pod会从缩容的节点上被驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。 操作步骤 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“节点伸缩”，进入创建节点伸缩策略页面。 若插件名称后方显示“未安装”，请单击插件后方的“安装”，根据业务需求配置插件参数后单击“安装”，等待插件安装完成。 若插件名称后方显示“已安装”，则说明插件已安装成功。 步骤 3 单击右上角“创建节点伸缩策略”，参照如下参数设置策略。 策略名称：新建策略的名称，请自定义。 关联节点池：选择要关联的节点池。您可以关联多个节点池，以使用相同的伸缩策略。 说明 节点池新增了优先级功能，弹性扩容时CCE将按照如下策略来选择节点池进行扩容： 1. 通过预判算法判断节点池是否能满足让Pending的Pod正常调度的条件，包括节点资源大于Pod的request值、nodeSelect、nodeAffinity和taints等是否满足Pod正常调度的条件；另外还会过滤掉扩容失败（因为资源不足等原因）还处于15min冷却时间的节点池。 2. 有多个节点池满足条件时，判断节点池设置的优先级（优先级默认值为0，取值范围为0100，其中100为最高，0为最低），选择优先级最高的节点池扩容。 3. 如果有多个节点池处于相同的优先级，或者都没有配置优先级时，通过最小浪费原则，根据节点池里设置的虚拟机规格，计算刚好能满足Pending的Pod正常调度，且浪费资源最少的节点池。 4. 如果还是有多个节点池的虚拟机规格都一样，只是AZ不同，那么会随机选择其中一个节点池触发扩容。 5. 如果出现优先选择的节点池资源不足，会按照优先级顺序自动选择下一个节点池。 节点池优先级功能详情请参见创建节点池。 执行规则：单击“添加规则”，在弹出的添加规则窗口中设置如下参数： 规则名称： 请输入规则名称，可自定义。 规则类型： 可选择“指标触发”或“周期触发”，两种类型区别如下：指标触发： 触发条件：请选择“CPU分配率”或“内存分配率”，输入百分比的值。该百分比应大于autoscaler插件中配置的缩容百分比。 说明 分配率 节点池容器组（Pod）资源申请量 / 节点池Pod可用资源量 (Node Allocatable) 。 如果多条规则同时满足条件，会有如下两种执行的情况： 如果同时配置了“CPU分配率”和“内存分配率”的规则，两种或多种规则同时满足扩容条件时，执行扩容节点数更多的规则。 如果同时配置了“CPU分配率”和“周期触发”的规则，当达到“周期触发”的时间值时CPU也满足扩容条件时，较早执行的A规则会将节点池状态置为伸缩中状态，导致B规则无法正常执行。待A规则执行完毕，节点池状态恢复正常后，B规则也不会执行。 配置了“CPU分配率”和“内存分配率”的规则后，策略的检测周期会因autoscaler每次循环的处理逻辑而变动。只要一次检测出满足条件就会触发扩容（当然还要满足冷却时间、节点池状态等约束条件）。 周期触发： 触发时间：可选择每天、每周、每月或每年的具体时间点，如下图所示，则为每天15:00触发。 图 周期触发时间 执行动作 ：与上述“触发条件”或“触发时间”相对应，达到触发条件或触发时间值后所要执行的动作。 您可以单击“添加规则”，设置多条节点伸缩策略。您最多可以添加1条CPU使用率指标规则、1条内存使用率指标规则，且规则总数小于等于10条。 步骤 4 设置完成后，单击“确定”。

本章节主要介绍数据仓库服务如何使用Cloud Eye监控集群。 功能说明 用户需要查看集群的监控指标信息时，可以通过云监控（Cloud Eye）确认集群各项指标情况。通过监控集群运行时的各项指标，用户可以识别出数据库集群状态异常的时间段，然后在数据库日志中，分析可能存在问题的活动，从而优化数据库性能。本章节定义了数据仓库服务上报云监控服务的监控指标的命名空间、监控指标列表和维度定义。用户可以通过云监控服务提供的管理控制台或API接口来检索数据仓库服务产生的监控指标和告警信息，详情请参见云监控服务的《用户指南》和《API参考》。 本章节包含如下内容： 命名空间 集群监控指标 维度 查看集群监控和节点监控信息 多节点间的监控指标对比 创建告警规则 配置OBS转储 命名空间 SYS.DWS 集群监控指标 通过云监控提供的数据仓库服务相关监控指标，用户可以获取有关集群运行状况和性能的信息，并深入了解节点级别的对应信息。 数据仓库服务相关监控指标，具体请参见下表。 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） dws001sharedbufferhitratio 缓存命中率 该指标用于表示需要访问的数据，在内存中可以直接获取的数据量比例，以百分比为单位。 0%～100% 数据仓库集群 4分钟 dws002inmemorysortratio 内存中排序比率 该指标用于表示在数据进行排序时，可以直接在内存中排序的数据量比例，以百分比为单位。 0%～100% 数据仓库集群 4分钟 dws003physicalreads 文件读取次数 该指标用于表示读取数据库文件的累计次数。 > 0 数据仓库集群 4分钟 dws004physicalwrites 文件写入次数 该指标用于表示写入数据库文件的累计次数。 > 0 数据仓库集群 4分钟 dws005physicalreadspersecond 每秒文件读取次数 该指标用于表示每秒读取数据库文件的次数。 ≥0 数据仓库集群 4分钟 dws006physicalwritespersecond 每秒文件写入次数 该指标用于表示每秒写入数据库文件的次数。 ≥0 数据仓库集群 4分钟 dws007dbsize 数据量大小 该指标用于表示数据库中所有数据总量大小。 单位：兆字节（MB） ≥0MB 数据仓库集群 4分钟 dws008activesqlcount 活跃SQL数 该指标用于表示数据库当前活动的SQL个数。 ≥0 数据仓库集群 4分钟 dws009sessioncount 会话数 该指标用于表示数据库当前访问的连接个数。 ≥0 数据仓库集群 4分钟 dws010cpuusage CPU使用率 该指标用于统计每个集群节点的CPU使用率，以百分比为单位。 0%～100% 数据仓库节点 1分钟 dws011memusage 内存使用率 该指标用于统计每个集群节点的内存使用率，以百分比为单位。 0%～100% 数据仓库节点 1分钟 dws012iops IOPS 该指标用于统计每个集群节点每秒处理的I/O请求数量。 ≥0 数据仓库节点 1分钟 dws013bytesin 网络输入吞吐量 该指标用于统计每秒从网络输入每个集群节点的数据总量。 单位：字节/秒 ≥0字节/秒 数据仓库节点 1分钟 dws014bytesout 网络输出吞吐量 该指标用于统计从每个节点每秒发送到网络的数据总量。 单位：字节/秒 ≥0字节/秒 数据仓库节点 1分钟 dws015diskusage 磁盘利用率 该指标用于统计每个集群节点的磁盘使用情况，以百分比为单位。 0%～100% 数据仓库节点 1分钟 dws016disktotalsize 磁盘总大小 该指标用于统计每个集群节点的数据磁盘总大小。 单位：吉字节（GB） 100GB～2000GB 数据仓库节点 1分钟 dws017diskusedsize 磁盘使用量 该指标用于统计每个集群节点的数据磁盘已用大小。 单位：吉字节（GB） 0GB～3600GB 数据仓库节点 1分钟 dws018diskreadthroughput 磁盘读吞吐量 该指标用于统计集群节点数据磁盘每秒读取的数据量。 单位：字节/秒 ≥0字节/秒 数据仓库节点 1分钟 dws019diskwritethroughput 磁盘写吞吐量 该指标用于统计集群节点数据磁盘每秒写入的数据量。 单位：字节/秒 ≥0字节/秒 数据仓库节点 1分钟 dws020avgdisksecperread 磁盘读耗时 该指标用于统计集群节点数据磁盘每次读取数据的平均耗时。 单位：秒 > 0秒 数据仓库节点 1分钟 dws021avgdisksecperwrite 磁盘写耗时 该指标用于统计集群节点数据磁盘每次写入数据的平均耗时。 单位：秒 > 0秒 数据仓库节点 1分钟 dws022avgdiskqueuelength 磁盘平均队列长度 该指标用于统计每个集群节点数据磁盘平均的I/O队列长度。 ≥0 数据仓库节点 1分钟

本章节主要介绍如何购买SQL Server实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版 ，进入关系数据库SQL Server产品页面。然后单击立即订购，进入TeleDB数据库购买页面。 2. 在顶部菜单栏，分别选择目标区域 和项目。然后在创建页面，根据业务需求，设置实例相关配置。参数详见下表： 基础配置 参数 说明 组件引擎 请选择SQL Server以及下方的引擎版本，支持2014WEB版 、2014标准版 、2014企业版 、2016WEB版 、2016标准版 、2016企业版、2017WEB版、2017标准版、2017企业版、2019WEB版、2019标准版 、2019企业版 、2022WEB版 、2022标准版 、2022企业版 等多种版本。 根据实际业务需求选择合适的数据库引擎版本，建议您选择当前可用的最高引擎版本。 区域 实例所在区域，如需切换区域可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 计费模式 支持包年/包月 和按需两种模式。 包年/包月：用户选购完服务配置后，需设置购买时长，系统将一次性按照购买价格对账户余额进行扣费。 按需：用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 实例类型 支持单机版 和一主一备 两种类型，更多说明请详见实例类型。 可用区 部分资源池支持多可用区，请以实际界面为准。 实例字符集 数据库字符集，支持的字符集包括： 1.ChinesePRCCIAS； 2.ChinesePRCCSAS； 3.ChinesePRCCIAI； 4.SQLLatin1GeneralCP1CIAS； 5.ChinesePRC90CIAI； 6.CyrillicGeneralCIAS； 7.THAICIAS。 实例规格 参数 说明 性能类型 节点规格支持3种类型，分别是通用型 、计算增强型 和内存优化型 。 为了使所购买的SQL Server实例能更好地满足应用需求，您需要根据业务需求，评估所需要的服务能力和规模，选择合适的性能类型。 说明 对应的主机类型提供对应六代机、七代机、八代机，代系越高整体性能越佳。 性能规格 请根据业务需求选择实例的CPU和内存。 存储类型 实例的存储类型影响了实例的读写熟读。支持的存储类型包括： 高IO：磁盘类型SAS。 超高IO：磁盘类型SSD。 极速型SSD：磁盘类型ESSD。 更多说明请详见存储类型。 存储空间 SQL Server实例存储空间的大小。存储空间支持配置100GB到32TB。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅部分资源池支持，以订购页实际显示为准。更多资源池信息，请参见功能概览。 备份空间 用作数据备份，支持选择对象存储和云硬盘两种类型，建议优先选择对象存储。 对象存储：备份空间赠送与存储空间同等大小的免费额度。且选择对象存储类型，支持下载备份以及跨域备份等高级功能。 云硬盘：默认为用户开通所订购存储空间同等大小，类型为普通IO、高IO、超高IO，无免费额度，且不支持下载备份以及跨域备份等高级功能。 企业项目 参数 描述 企业项目 企业项目是对主账号下的资源进行统一分配管理的工具，不同企业项目下的资源相互逻辑隔离，但不影响业务关联。 在不同企业项目下的用户组，相互间无法看到彼此资源。 同一个用户组可以绑定多个企业项目。用户组通过绑定企业项目实现资源的逻辑隔离，策略通过绑定用户组，实现不同用户组的权限分配。 网络 参数 说明 虚拟私有云 SQL Server实例所在的虚拟专用网络，可对不同业务进行网络隔离，您可以根据需求选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效。 安全组 安全组限制实例的安全访问规则，加强SQL Server与其他服务间的安全访问。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 注意 目前SQL Server实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 集群配置 参数 说明 实例名称 SQL Server实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 设置密码 可选择“现在设置”或“创建后设置”，选择“现在设置”时会在开通时修改默认管理员账号密码。 管理员账号 登录名默认为root，不支持修改。 管理员密码 设置密码选择“现在设置”时才能配置管理员密码。 确认密码 确认密码与管理员密码一致。 参数模板 可选择自定义参数模板或系统参数模板，参数模板的版本需要与数据库引擎版本保持一致。 购买量 参数 说明 购买时长 当计费模式选择“包年/包月”时，才需要选择购买时长。系统会自动计算对应的配置费用，购买时间越长，折扣越多。 自动续订 按月购买：自动续订周期为1个月。 按年购买：自动续订周期为1年。 购买数量 SQL Server服务支持批量创建实例，单次最多可批量购买50个实例。 3. 实例信息设置完成后，可以在右侧的当前配置中，进行配置确认。 4. 请仔细阅读《关系型数据库服务等级协议》和《天翼云关系型数据库服务协议》后，如您接受并理解，请勾选相关协议。 5. 单击确认订单，提交订单。 6. 在订单支付详情页面，确认订单信息无误后，选择付费方式，单击立即支付，开始创建实例。 7. SQL Server实例创建成功后，用户可以通过实例管理 > 管理，对实例进行查看和管理。

在分布式消息服务RocketMQ中，消费者消费消息时，可能会出现消费过快导致下游业务来不及处理的情况，进而影响系统的稳定性。本章节介绍在消费端进行限流的示例代码，以保障系统的稳定。 import java.util.List; import java.util.concurrent.TimeUnit; import com.google.common.util.concurrent.RateLimiter; import org.apache.rocketmq.client.consumer.DefaultMQPushConsumer; import org.apache.rocketmq.client.consumer.listener.ConsumeConcurrentlyContext; import org.apache.rocketmq.client.consumer.listener.ConsumeConcurrentlyStatus; import org.apache.rocketmq.client.consumer.listener.MessageListenerConcurrently; import org.apache.rocketmq.client.exception.MQClientException; import org.apache.rocketmq.common.consumer.ConsumeFromWhere; import org.apache.rocketmq.common.message.MessageExt; public class ConsumerLimitExample { public static void main(String[] args) throws InterruptedException, MQClientException { DefaultMQPushConsumer consumer new DefaultMQPushConsumer("GroupTest"); consumer.subscribe("TopicTest", ""); consumer.setConsumeFromWhere(ConsumeFromWhere.CONSUMEFROMFIRSTOFFSET); RateLimiter rateLimiter RateLimiter.create(200); consumer.registerMessageListener(new MessageListenerConcurrently() { @Override public ConsumeConcurrentlyStatus consumeMessage(List msgs, ConsumeConcurrentlyContext context) { if (!rateLimiter.tryAcquire(msgs.size(),3, TimeUnit.SECONDS)) { return ConsumeConcurrentlyStatus.RECONSUMELATER; } System.out.printf("%s Receive New Messages: %s %n", Thread.currentThread().getName(), msgs); return ConsumeConcurrentlyStatus.CONSUMESUCCESS; } }); consumer.start(); System.out.printf("Consumer Started.%n"); } }

本文介绍如何创建有状态应用。 有状态应用与无状态应用的创建流程相似，有状态应用（StatefulSet）包含pod一致性、稳定的持久化存储、稳定的网络标志、稳定的次序。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 若基于私有镜像创建应用，用户首先需要将镜像上传至镜像仓库。将镜像上传至容器镜像仓库的具体操作请参考客户端上传私有镜像。 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【有状态应用】，进入有状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）单击【下一步】，进入添加服务页面>【添加服务】； 有状态应用必须填写【实例间发现服务】，请输入服务名称、端口名称、端口号完成添加； （可选）点击【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略。 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。 访问通道、容器端口与访问端口映射如下图所示。 图集群内访问 工作负载创建时设置 您可以在创建工作负载时通过CCE控制台设置Service访问方式，如下： 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“集群内访问 ( ClusterIP )”。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 2 单击“下一步”进入“高级设置”页面，直接单击“创建”。 步骤 3 单击“查看工作负载详情”，在“访问方式”页签下获取访问地址，例如10.247.74.100:8080。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 4 设置集群内访问参数。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 5 单击“创建”。工作负载已添加“集群内访问 ( ClusterIP )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 登录工作负载所在集群的任意节点。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。您可以通过IP或者域名的方式来验证。 方式一：通过IP 地址验证。 curl 10.247.74.100:8080 其中10.247.74.100:8080为步骤3中获取的访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 方式二：进入容器，在容器内通过域名验证。 curl nginx.default.svc.cluster.local:8080 其中nginx.default.svc.cluster.local为步骤3中获取的域名访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在“更新Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 3 更新集群内访问参数。 Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 4 单击“更新”，工作负载已更新Service。

本节将介绍如何创建并编辑告警模型。 操作场景 态势感知（专业版）支持利用模型对管道中的日志数据进行监控，如果数据信息在模型范围内容，将产生告警提示。 新建模型可以使用已有内置模型模板进行创建模型，同时，也支持自定义新建告警模型： 使用已有模型模板创建告警模型 自定义新建告警模型 编辑模型 使用已有模板创建告警模型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型列表左上角单击“新建模型”，进入新建告警模型页面。 6. 在新增告警模型页面中，配置告警模型基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 请根据此页面的“描述”中的“使用约束”中描述的管道来选择该告警模型的执行管道。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。 可以设置致命、高危、中危、低危、提示级别。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示：对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 8. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句分析语句，查询分析语句语法详细内容请参见查询与分析语法。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 10. 预览确认无误后，单击页面右下角“确定”。

本文为您介绍本地到对象存储的相关内容介绍。 概要 本地到对象存储：将生产数据中的目录、文件同步到对象存储中，在创建规则时，根据需要同步的生产数据的目录结构和数量，管理员可以配置一条或多条规则来分组同步，必要情况下可以使用多台同步主机进行并发传输。 应用场景：将本地文件系统/NAS存储上的数据，同步至对象存储上桶或桶下目录中。 前置条件 DTO管理基本功能需要一些环境要求，分别如下： 1. 添加“DTO主机”前，需要安装DTO软件程序。 2. 在MDR控制台中添加对象存储。详见存储管理·对象存储。 3. 在MDR控制台中添加“DTO主机”并处于在线状态。详见数据源·DTO主机。 4. MDR控制台需具备有DTO的许可，并且该DTO许可剩余允许传输量不为0。 新建本地到对象存储 1. 点击左侧菜单栏“资源同步管理”“对象存储数据灾备”“本地到对象存储”，进入本地到对象存储列表页，点击“新建”按钮，进入新建页面。 2. 基本设置页面各配置项说明如下： 名称：用户自定义的规则名称，支持中文和英文字符。 同步主机：下拉框中会列出已注册至MDR控制台的DTO同步主机供选用。 规则类型：目前仅有静态文件同步：每次启动规则时会扫描源路径下的所有文件。首次同步时，会同步源路径下的所有文件。 同步策略类型：“手动同步”、“定期同步”和“间隔同步”。 手动同步：需手动启动规则。 定期同步：可指定每个月的某几天或者每个星期的某几天中的某几个时间点开始同步，规则会在设置的时间自动开始运行。 间隔同步：可指定从某个时间点开始每间隔多久自动启动一次规则，最小间隔时间为1秒钟，规则会在设置的时间自动开始运行。 定期同步策略：用户自行添加定期同步策略。可以设定多个不重叠的定时同步策略，彼此独立。 间隔同步策略：指的是从上一次规则完成到下一次规则启动之间的间隔，最小间隔时间单位为秒。 同步路径映射：用户自行配置需要同步的数据路径。同步路径支持手动输入路径。 排除路径：用户自行选择将同步数据路径中的某些子路径设置为排除路径，排除路径中的数据不进行传输。 快照时间点：此配置在选择同步路径后显示，仅在规则源路径为ZFS文件系统时需要配置；当源路径为ZFS文件系统时，点击“选择快照”按钮，可对该文件系统下的快照点进行查看、搜索和选择，然后将选择的快照点数据同步至目标路径中。 文件后缀名过滤：以后缀名为过滤条件，格式为“文件扩展名”，若多个过滤条件则用逗号隔开，如：“.txt”，“.doc”，“.rtf”。 排除：不同步源路径中该过滤项中定义的文件类型。 包含：只同步源路径中该过滤项中定义的文件类型。 文件日期过滤：通过正则表达式对同步路径下文件的日期进行筛选，文件日期符合正则表达式要求的文件被过滤出来。 排除：不同步源路径中符合筛选条件的文件。 包含：只同步源路径中符合筛选条件的文件。 3. 同步设置页面各配置说明如下： 比较类型：数据比对时的校验方式。 文件属性检验（大小+修改时间）：通过文件大小和修改时间进行比较。 MD5校验：通过文件的MD5值进行比较。 传输线程数量：可以指定传输线程个数。 ACL同步：此配置默认关闭，开启后可将本地文件系统中记录有ACL信息的文件同步到目标对象存储中（需要先由对象存储到本地规则将带有ACL信息的对象同步到本地，并记录ACL信息）。 备端文件压缩：指的是在本地将文件进行压缩，压缩完后传输到对象存储。 备端文件加密：将同步到目标端数据加密存储。 标准加密：通过设置的加密密钥对源端文件加密后存放到目标端。 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 COS服务端加密：通过对接COS对象存储API接口，上传到该对象存储桶的文件都自动加密，需额外选择加密密钥类型： 加密密钥类型：支持两种加密密钥类型： SSECOS：使用SSECOS加密密钥类型进行加密，无需额外配置； SSEC：使用SSEC加密密钥类型进行加密，需要额外填写加密密钥； 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 记录流水：默认关闭，开启后会将规则同步的所有文件相关信息（大小、MD5/etag、传输耗时、修改/更新时间）记录在同步主机/usr/drbksoft/dto/data/db/ .db文件中（默认路径），可供审计查看。 4. 带宽配置页面各配置说明如下： 全选：开启后，将会选择一周内的所有时间。此选项默认关闭。 时间范围：用户自行勾选具体的生效日。 选择带宽：根据用户需求选择需要执行限速的时间段，可以设定多个不重叠的限速规则，彼此独立，如果带宽设定为0，表示禁止传输。

云上安全体系建立必要性 在当今数字化浪潮下，云服务已成为企业运营与发展的关键基础设施，云上安全体系的构建也显得尤为重要。一方面，企业将业务迁移至云端后，面临着复杂多变的网络安全威胁，包括数据泄露、黑客攻击、恶意软件等，这些威胁可能给企业带来巨大的经济损失和声誉损害。另一方面，云计算环境的复杂性使得安全防护难度大幅增加，涉及物理基础设施、虚拟化层、网络、数据等多个层面，任何一个环节出现漏洞都可能导致严重的安全事件。 天翼云作为云服务提供商，致力于为用户提供更安全、可靠的云平台环境，保障客户应用和服务的高性能、稳定、安全与合规，避免宕机风险，这涵盖了从物理基础设施、虚拟化系统到云服务平台等方面进行深度安全保障、同时，天翼云还通过提供多样化的安全工具和产品功能，如防火墙、DDos防护、安全卫士等，辅助客户进行云上资源的安全防护，降低客户的云上安全配置复杂度，助力客户在数字化转型过程中实现业务的安全、稳定运行，为企业的云端之旅保驾护航。 云主机安全体系模型：责任共担 安全并非某一方的单方面义务，需要云厂商与用户的协同合作共建。云厂商主要保证“云本身”可靠（云平台安全，即云主机服务所依赖的底层平台），用户需进行云上资源的防护。双方联动形成互补防线，共担风险。天翼云负责保障云平台基础设施、底层架构及云资源自身的安全，包括物理服务器、网络设备、存储设备、虚拟化层等的防护；用户则需对自身在云平台上部署的应用、数据、操作系统、网络配置等云上内容的安全负责。双方协同合作，共同构建云主机的全方位安全防线。

如何在模型开发JupyterLab和VSCode中使用自定义镜像？ 需要将对应的软件安装包打包进您的自定义镜像中，具体方式见下方。 在docker file中具体执行命令。 VSCode curl fsSL sh codeserver installextension mspython.python Jupyterlab pip install jupyterlab 将打包好的镜像在本地起起来，然后运行如下命令安装软件，安装完成后，执行 docker commit {容器名称}，打包成新镜像后，即可上传。 VSCode curl fsSL sh codeserver installextension mspython.python Jupyterlab pip install jupyterlab 我想基于自己的模型进行二次训练微调怎么做？ 可以先在模型管理中导入自己的模型，在JupyterLab和VSCode创建训练任务，在挂载模型的选项中选择【模型管理】，选择已导入需要二次训练微调的模型，即可挂载自己的模型进行训练。 一站式智算服务平台是否支持IB和NVlink？ 当前昇腾集群暂不支持。 如何给子账号配置资源使用的限额？ 主账号管理员进入运营后台，在配置设置模块，可支持设置单用户最大同时使用的GPU/CPU数量以及并行文件存储初始分配额度。 在我的代码包、我的模型或标注数据集中，选择目的地路径为自有对象存储时，为何本地上传方式会报错（例如：Network Error）？ 首先确认您已开通存储桶并完成委托授权。 其次检查您相应桶的跨域访问设置。如您需要通过前端页面上传，需要管理员（有存储控制台权限）对相应的桶开启跨域访问设置，并在暴露headers设置ETag后，才可在本页面上传。 示例：点击【去创建】跳转至存储控制台，点击Bucket名称进入详情页，下拉常用设置跨域访问跨域设置设置创建策略，填写您所需的策略。

功能概述 依托中电信量子安全加密体系，深度集成量子安全服务平台，基于“量子软模块/量子安全盾+云电脑”，提供更高级别的量子安全防护。 客户端（V3.1.1版本以上）已全面集成量子安全软模块，用户可通过管理控制台免费开通。 开通后，即可享受两大核心安全升级： 量子级身份认证：结合量子安全介质，为终端接入提供量子安全级身份认证保障; 动态量子加密传输：采用"一次一密"量子会话密钥机制，每次连接使用一个量子会话密钥，会话结束后立即销毁，保障端到端数据传输安全。 功能优势 量子身份认证：结合量子软模块/安全盾，提供终端接入的量子身份认证保护。 “一次一密”量子加密保护：每次连接使用一个量子会话密钥，会话结束后立即销毁，从根本上杜绝暴力破解风险。 使用场景 政务领域：XC、党政办公 政务领域涉及大量国家机密、政策文件及敏感数据，安全要求高； 金融领域：金融办公、服务外包办公 金融行业涉及客户数据、交易记录、财务信息等高度敏感数据，需更高的安全保护； 科研领域：高校、科研办公 科研机构对知识产权保护有更高要求，近年来科研数据泄露成重灾区。

本文介绍SQL规范功能，DMS会对用户在查询窗口、SQL变更等模块中提交的SQL语句进行规范审核，符合规范要求的才可执行，这样可以提前识别一些错误或者不规范的SQL，降低异常SQL对数据库造成的风险。 前提条件 时间字段分区表须确定生命周期制定规则和数据清理表 新建索引需要加参 数initrans 时间字段分区表须确定生命周期制定规则和数据清理表 时间字段分区表须确定生命周期制定规则和数据清理表 规则类型 适用的数据库 适用的SQL语句 规则名称 在线/离线规则 库 MySQL、PostgreSQL CREATE DATABASE 限制创建库的字符集 离线 库 Oracle CREATE DBLINK 禁止所有用户拥有创建dblink权限 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 表要有主键 离线 表 MySQL、PostgreSQL CREATE TABLE 表要有备注 离线 表 MySQL、PostgreSQL CREATE TABLE 限制表名大小写 离线 表 MySQL CREATE TABLE 限制表存储引擎 离线 表 MySQL、PostgreSQL CREATE TABLE 禁止使用分区表 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 表要包含哪些列 离线 表 MySQL CREATE TABLE 限制表字符集 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 表名不能是关键字 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 限制表字段数量 离线 表 Oracle CREATE TABLE 新建表表名不能带有日期格式 离线 表 Oracle CREATE TABLE 建表时指定表空间名字前缀不能为关键字 离线 表 Oracle CREATE TABLE 时间字段分区表须确定生命周期制定规则和数据清理表 离线 表 Oracle CREATE TABLE 表名中带关键字的表必须进行分区 离线 表 Oracle CREATE TABLE 新建表需要加参数initrans 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 字段名不能是关键字 离线 列 MySQL、PostgreSQL CREATE TABLE 限制字段名大小写 离线 列 MySQL CREATE TABLE 不能设置列的字符集 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 限制列不能使用部分数据类型 离线 列 MySQL、PostgreSQL CREATE TABLE 列要有注释并限制长度 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 限制char类型字段长度 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 限制varchar类型字段长度 离线 索引 PostgreSQL CREATE INDEX 建议以create index concurrently方式创建索引 离线 索引 MySQL、PostgreSQL CREATE TABLE 限制单表中索引数量 离线 索引 Oracle CREATE INDEX 索引命名必须以关键字命名 离线 索引 Oracle CREATE INDEX 索引创建必须显式指定表空间，且指定的表空间为数据表空间 在线 索引 Oracle CREATE INDEX 索引创建不能nologging 离线 索引 Oracle CREATE INDEX 分区表创建的索引必须为LOCAL类型 在线 索引 Oracle CREATE INDEX 索引的表空间名称必须以关键字开头 离线 索引 Oracle CREATE INDEX 新建索引需要加参数initrans 离线 更新 MySQL、DRDS UPDATE/DELETE update/delete语句限制多表关联的数量 离线 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update/delete语句建议指定where条件 离线 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update/delete语句检测where条件是否包含子查询 离线 更新 MySQL、DRDS UPDATE/DELETE update/delete语句不能有order by子句 离线 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update/delete语句检测涉及表/字段是否存在 在线（检测该规则需连接数据库实例） 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE 限制某些表UPDATE/DELETE单个语句的总影响行数 在线（检测该规则需连接数据库实例） 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update语句检测是否更新了主键 在线（检测该规则需连接数据库实例） 更新 PostgreSQL UPDATE/DELETE update语句检测是否更新了唯一键 离线 更新 DRDS UPDATE/DELETE 禁止使用truncate table语句 离线 更新 DRDS UPDATE/DELETE update/delete语句不能带limit条件 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句建议指定insert字段列表 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句中insert字段名不能重复 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句中insert字段列表要和值列表匹配 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句限制一条insert values的总行数 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句检测insert的表/字段是否存在 在线（检测该规则需连接数据库实例） 写入 PostgreSQL INSERT 插入语句不能为not null列插入null值 在线（检测该规则需连接数据库实例） 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议group by或order by表达式或函数 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议order by多个字段使用不同方向排序 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议使用having子句 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议使用order by rand() 离线 查询 MySQL、DRDS、PostgreSQL、Oracle SELECT select语句不建议使用select 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议使用union 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议对不同的表group by或order by 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句建议指定where条件 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句限制limit的offset大小 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句限制多表关联的数量 离线 查询 MySQL、DRDS SELECT 多表关联的select语句建议指定where条件 离线 查询 PostgreSQL SELECT 多表关联的select语句建议指定关联条件 离线 对象 PostgreSQL CREATE 对象名称禁止包含中文 离线 对象 PostgreSQL CREATE 对象名称禁止以pg、pgxc、sys、或者数字开头 离线 对象 PostgreSQL CREATE 对象名称禁止使用双引号 离线 对象 PostgreSQL CREATE 限制对象名长度 离线 对象 PostgreSQL CREATE 禁止使用触发器 离线 对象 PostgreSQL CREATE 禁止使用函数 在线（检测该规则需连接数据库实例） 对象 PostgreSQL CREATE 禁止使用存储过程 离线 对象 Oracle CREATE 新建序列需要设置cache 离线 系统 PostgreSQL ALTER 禁止关闭autovacuum 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 禁止在where条件中使用前缀是%的like语法 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 使用IS NULL判断是否为NULL值 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 禁止在where条件中使用<>或者!操作符 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 不建议使用cascade 离线 语句 MySQL、DRDS、PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 where条件中不建议使用反向查询（not in/not like） 离线 语句 MySQL、DRDS、PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 where条件中检测是否通过“or”操作符连接过滤条件 离线 用户需要具有进入SQL规范 界面的菜单权限。菜单权限请参考权限说明。 SQL规范为企业版功能，目前支持MySQL、PostgreSQL、DRDS、Oracle三种数据库类型。