节点池管理 支持创建自定义节点池，借助节点池基本功能方便快捷地创建、管理和销毁节点，而不会影响整个集群。节点池中所有节点的参数和类型都彼此相同，您无法在节点池中配置单个节点，任何配置更改都会影响节点池中的所有节点。 工作负载 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 亲和/反亲和性调度 云容器引擎提供工作负载和可用区、工作负载和节点以及工作负载间的亲和性/反亲和调度。您可根据业务需求设置亲和性，实现工作负载的就近部署，容器间通信就近路由，减少网络消耗；您也可以对同个工作负载的多个实例设置反亲和部署，减少宕机影响，对互相干扰的应用反亲和部署，避免干扰。 网络访问方式 云容器引擎通过将Kubernetes网络和VPC深度集成，提供了稳定高性能的网络访问方式，能够满足多种复杂场景下工作负载间的互相访问。

本节介绍OpenSSL漏洞修复最佳实践。 OpenSSL简介 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。 OpenSSL用途 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。 SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。 依赖OpenSSL的软件或协议 MongoDB 4.4 Nginx KeepAlived Https OpenSSH SSH VPN 电子邮件 OpenSSL漏洞扫描 您可以参考漏洞扫描最佳实践进行漏洞扫描。 OpenSSL常见漏洞 CVE20160705 OpenSSL DSA代码双重释放漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20160799 OpenSSL‘BIOprintf’函数安全漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIOprintf函数的实现上存在内存破坏漏洞，可导致内存泄露等。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162842 OpenSSL doaproutch函数拒绝服务漏洞 漏洞危害 OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/bprint.c/doaproutch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。 影响版本 OpenSSL 1.0.1 < 1.0.1s OpenSSL 1.0.2 < 1.0.2g 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162108 OpenSSL ASN.1编码器内存破坏漏洞 漏洞危害 OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到VASN1NEGINTEGER和VASN1NEGENUMERATED标签时，ASN.1解析器也会将其视作ASN1ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。 影响版本 OpenSSL Project OpenSSL 1.0.2 OpenSSL Project OpenSSL 1.0.1 不受影响版本 OpenSSL Project OpenSSL 1.0.2c OpenSSL Project OpenSSL 1.0.1o 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：<

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考

《计算机信息网络国际联网安全保护管理办法》（公安部第33号令） （1997年12月11日国务院批准 1997年12月30日公安部第33号令发布） 第一章 总则 第一条 为了加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定，制定本办法。 第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理，适用本办法。 第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。 第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。 第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： (一) 煽动抗拒、破坏宪法和法律、行政法规实施的； (二) 煽动颠覆国家政权，推翻社会主义制度的； (三) 煽动分裂国家、破坏国家统一的； (四) 煽动民族仇恨、民族歧视，破坏民族团结的； (五) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七) 公然侮辱他人或者捏造事实诽谤他人的； (八) 损害国家机关信誉的； (九) 其他违反宪法和法律、行政法规的。 第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动： (一) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的； (二) 未经允许，对计算机信息网络功能进行删除、修改或者增加的； (三) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； (四) 故意制作、传播计算机病毒等破坏性程序的； (五) 其他危害计算机信息网络安全的。 第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。 第二章 安全保护责任 第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。 第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位，应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。 第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责： (一) 负责本网络的安全保护管理工作，建立健全安全保护管理制度； (二) 落实安全保护技术措施，保障本网络的运行安全和信息安全； (三) 负责对本网络用户的安全教育和培训； (四) 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核； (五) 建立计算机信息网络电子公告系统的用户登记和信息管理制度； (六) 发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告； (七) 按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。 第十一条 用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。 第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。 前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。 第十三条 使用公用账号的注册者应当加强对公用账号的管理，建立账号使用登记制度。用户账号不得转借、转让。 第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时，应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网，应当采取相应的安全保护措施。 第三章 安全监督 第十五条 省、自治区、直辖市公安厅（局），地（市）、县（市）公安局，应当有相应机构负责国际联网的安全保护管理工作。 第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况，建立备案档案，进行备案统计，并按照国家有关规定逐级上报。 第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。 公安机关计算机管理监察机构在组织安全检查时，有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题，应当提出改进意见，作出详细记录，存档备查。 第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除。 第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件，对违反本办法第四条、第七条规定的违法犯罪行为，应当按照国家有关规定移送有关部门或者司法机关处理。 第四章 法律责任 第二十条 违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。 第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。 (一) 未建立安全保护管理制度的； (二) 未采取安全技术保护措施的； (三) 未对网络用户进行安全教育和培训的； (四) 未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的； (五) 对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的； (六) 未建立电子公告系统的用户登记和信息管理制度的； (七) 未按照国家有关规定，删除网络地址、目录或者关闭服务器的； (八) 未建立公用账号使用登记制度的； (九) 转借、转让用户账号的。 第二十二条 违反本办法第四条、第七条规定的，依照有关法律、法规予以处罚。 第二十三条 违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不超过六个月的处罚。 第五章 附则 第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理，参照本办法执行。 第二十五条 本办法自发布之日起施行。

本文介绍了如何配置对WebSocket应用进行加速。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持对WebSockett协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有WebSocket加速，您无需拆分域名，使用天翼云边缘安全加速平台安全与加速服务就可以实现对域名下http/https协议的应用和WebSocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，WebSocket协议的应用多为动态业务，对实时性要求很高，天翼云边缘安全加速平台安全与加速服务的动态探测选路能力可以为WebSocket应用选择最快的回源路径，提升WebSocket业务的访问效果。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版以及以上版本。 配置说明 1.登录边缘安全加速平台控制台。 2.在【域名】【基础配置】页面，点击目标域名。 3.进入WebSocket页面，单击“编辑配置”。 4.开启WebSocket功能开关，开启后默认连接超时时间5秒、请求超时时间15秒。 配置页面 参数名 说明 WebSocket回源连接超时时间 WebSocket回源连接超时时间的配置范围支持1~300秒。

本文向您介绍对等连接的基本概念和创建流程。 对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 您可以通过对等连接构建不同的组网，常见的使用示例请参见对等连接配置示例。 接下来，通过下图的组网示例，为您介绍对等连接的基础使用场景。 在区域A内，您的两个VPC分别为VPCA和VPCB，VPCA和VPCB之间网络不通。 您的业务服务器ECSA01和ECSA02位于VPCA内，数据库服务器RDSB01和RDSB02位于VPCB内，此时业务服务器和数据库服务器网络不通。 您需要在VPCA和VPCB之间建立对等连接PeeringAB，连通VPCA和VPCB之间的网络，业务服务器就可以访问数据库服务器。 图对等连接组网 说明 当前VPC对等连接暂不收取您的任何费用。 对等连接创建流程 对等连接可以连通相同账户或者不同账户下的VPC，连通的VPC位于同一个区域即可，创建流程如下： 相同账户下的VPC对等连接创建流程如下图所示。 创建对等连接的具体操作，请参见创建相同账户下的对等连接。

本页介绍天翼云TeleDB数据库订购实例相关操作。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择 实例管理> 创建实例 ，进入实例开通页面。 说明 您也可以在左侧导航树上，选择实例管理 > 实例列表，然后在实例列表上方单击创建实例。 3. 在实例开通页面，按照界面参数配置实例信息，创建实例。 实例配置信息如下： 基本信息 引擎选项中，选择 生态工具 ，可以看到TeleDBDTS，默认展示当前最新版本； 选择规格为 数据迁移 ； 性能规格可以根据客户迁移数据量测算，数据量较小或测试时可选择默认“1核2G”； 根据当前用户添加的主机类型（如何给当前用户添加主机可参数DCP管理平台相关说明），选择相应的CPU和操作系统。例如，当前用户下添加了一台鲲鹏 + kylin的国产化主机，按如下设定。 实例名称填写一个方便识别的名称，确认无误后单击下一步。 主机配置 配置基本信息后，进入主机配置页面，根据业务选择当前用户的主机所在的主机组； 选择主机组中的一台机器作为DTS工作节点，安装目录选择该主机用户具有权限的一个目录，通信端口和下载端口填写一个该主机中不冲突的端口，然后单击 提交工单 。 开通实例成功后，在工单列表可以看到施工结果为 成功 。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 oraclelink 数据库服务器 配置为要连接的数据库的IP地址或域名。 192.168.0.1 端口 配置为要连接的数据库的端口。 默认端口：1521 数据库连接类型 选择Oracle数据库连接类型： Service Name：通过SERVICENAME连接Oracle数据库。 SID：通过SID连接Oracle数据库。 SID 实例名称 配置Oracle实例ID，用于实例区分各个数据库。“数据库连接类型”选择“SID”时才有该参数。 dbname 数据库名称 配置为要连接的数据库名称。“数据库连接类型”选择“Service Name”时才有该参数。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择管理Agent中已创建的Agent。 Oracle版本 创建Oracle连接时才有该参数，根据您Oracle数据库的版本来选择。当出现“java.sql.SQLException: Protocol violation异常”时，可以尝试更换版本号。 高于12.1 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 Oracle到DWS迁移时，可能出现目的端写太久导致迁移超时的情况。此时请减少Oracle源端“一次请求行数”参数值的设置。 1000 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 开源MySQL数据库支持useCursorFetch参数，无需对此参数进行设置。 阿里云AnalyticDB(ADB)数据库对useCursorFetch参数有兼容问题，在配置与ADB连接时需要关闭useCursorFetch开关，即添加连接属性“useCursorFetch”，对应属性值设置为“false”。如不进行此设置，会出现日期转换出错的情况。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

本页为您介绍从ECS自建数据库迁移/同步数据到天翼云数据库，不同资源池情况下，通过公网网络接入的方法。 不同资源池由于分处不同的地域，网络不互通且无法通过VPC对等连接等进行网络互通，目前支持基于公网IP通过公网网络的方式进行网络打通。 以下分别介绍网络通信方式，DTS实例的配置流程和数据库实例绑定公网IP与网络安全策略的配置流程。 网络通信方式 网络通信方式，如下图： DTS实例的配置流程 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 订购DTS实例 在管理控制台点击“创建实例”进入订购页面，根据业务情况选择对应参数配置，在“网络配置”>"直接指定VPC"时，用户可选择“使用IPv4地址连接”或“使用IPv6地址连接”，下单成功后，在管理控制台点击“数据迁移”或“数据同步”进入实例列表页面，看到新增的“待配置”任务。 3. 为DTS实例开启公网接入能力 （1）选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“数据库来源”选择“公网IP”时，【打通网络配置】中可看到“连接方式”，使用“IPv4地址”打通公网时，可以点击“绑定弹性IP”按钮，在“绑定弹性IP”弹框中选择IP地址为DTS实例绑定公网EIP，具体操作如下： （2）订购页选择IPv6地址创建DTS实例后，进入对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，【打通网络配置】中可看到“连接方式”，使用“IPv6地址”打通公网时，可以点击“绑定带宽”按钮，在“绑定IPv6带宽”弹框中选择带宽为DTS实例地址绑定的IPv6带宽，具体操作如下：

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库，不同资源池情况下，通过公网网络接入的方法。 不同资源池由于分处不同的地域，网络不互通且无法通过VPC对等连接等进行网络互通，目前支持基于公网IP通过公网网络的方式进行网络打通。 以下分别介绍网络通信方式，DTS实例的配置流程和数据库实例绑定公网IP与网络安全策略的配置流程。 网络通信方式 网络通信方式，如下图： DTS实例的配置流程 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 订购DTS实例 在管理控制台点击“创建实例”进入订购页面，根据业务情况选择对应参数配置，在“网络配置”>"直接指定VPC"时，用户可选择“使用IPv4地址连接”或“使用IPv6地址连接”，下单成功后，在管理控制台点击“数据迁移”或“数据同步”进入实例列表页面，看到新增的“待配置”任务。 3. 为DTS实例开启公网接入能力 （1）选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“数据库来源”选择“公网IP”时，【打通网络配置】中可看到“连接方式”，使用“IPv4地址”打通公网时，可以点击“绑定弹性IP”按钮，在“绑定弹性IP”弹框中选择IP地址为DTS实例绑定公网EIP，具体操作如下： （2）订购页选择IPv6地址创建DTS实例后，进入对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，【打通网络配置】中可看到“连接方式”，使用“IPv6地址”打通公网时，可以点击“绑定带宽”按钮，在“绑定IPv6带宽”弹框中选择带宽为DTS实例地址绑定的IPv6带宽，具体操作如下：

本页为您介绍从本地数据库迁移/同步数据到天翼云数据库，本地数据库通过公网网络接入到天翼云的方法。 本地数据库接入天翼云，需要通过公网网络进行网络打通，包括本地数据库具备公网IP，天翼云DTS实例具备公网IP。 以下从网络通信方式，DTS实例的配置流程和本地数据库的配置流程等3个方面分别进行描述。 网络通信方式 网络通信方式，如下图所示： DTS实例的配置流程 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 订购DTS实例 在管理控制台点击“创建实例”进入订购页面，根据业务情况选择对应参数配置，在“网络配置”>"直接指定VPC"时，用户可选择“使用IPv4地址连接”或“使用IPv6地址连接”，下单成功后，在管理控制台点击“数据迁移”或“数据同步”进入实例列表页面，看到新增的“待配置”任务。 3. 为DTS实例开启公网接入能力 （1）选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“数据库来源”选择“公网IP”时，【打通网络配置】中可看到“连接方式”，使用“IPv4地址”打通公网时，可以点击“绑定弹性IP”按钮，在“绑定弹性IP”弹框中选择IP地址为DTS实例绑定公网EIP，具体操作如下： （2）订购页选择IPv6地址创建DTS实例后，进入对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，【打通网络配置】中可看到“连接方式”，使用“IPv6地址”打通公网时，可以点击“绑定带宽”按钮，在“绑定IPv6带宽”弹框中选择带宽为DTS实例地址绑定的IPv6带宽，具体操作如下：

案例背景 某电商平台订单处理系统采用分布式微服务架构，其概要结构图如下，核心流程通过分布式消息服务Kafka集群实现异步解耦： 订单创建：用户在前端提交订单，请求经过负载均衡器转发至订单服务集群。订单服务处理业务逻辑，生成包含订单详情的消息数据，并将该消息可靠地发送至Kafka集群的特定Topic。 下游处理：库存服务（负责扣减库存）、支付服务（负责发起支付请求）和物流服务（负责生成物流配送单）是主要的下游消费者。它们各自订阅Kafka集群中的相应Topic，并行地拉取并处理消息。 Kafka集群作为异步通信的核心，其稳定性和性能对整个订单系统的可用性至关重要。在高并发的场景下，Kafka Broker可能会面临各种异常情况，其中CPU负载过高是常见的一种，可能由突发流量洪峰、JVM垃圾回收或底层基础设施瓶颈等原因引起。Kafka Broker的CPU高负载会直接影响消息的处理速度，导致生产和消费的延迟，甚至引发整个系统的不稳定。 故障演练服务提供了分布式消息服务KafkaBroker节点CPU高负载演练动作，通过模拟这种真实的故障场景，我们可以量化分析Kafka集群在Broker节点CPU受限时的表现，验证订单处理系统及其下游服务对Kafka异常的容忍度和应对能力，并提升团队在真实故障发生时的异常响应与恢复能力。

本文简述边缘安全加速节点无需部署私钥的情况下如何加速HTTPS业务，适用场景、注意事项等。 功能介绍 通常情况下，HTTPS协议的域名，如果需要在边缘安全加速平台配置加速服务，需要将HTTPS公钥和私钥部署到边缘安全加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到边缘安全加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案原理如上图，具体过程如下： 1A: 客户端发起https请求，与边缘加速节点进行ssl握手，边缘加速节点将相应的SSL证书公钥传送给客户端，客户端使用公钥加密客户端生成的随机密码后发往边缘加速节点。 1B: 边缘加速节点与源站的私钥服务器建连，通过双方约定的加密方式将客户端发来的公钥加密的随机密码发往源站的私钥服务器，私钥服务器使用私钥解密获取随机密码，然后再将随机密码通过双方约定的加密方式返回给边缘安全加速节点，边缘加速节点解密后获取随机密码。 2A: 边缘加速节点与客户端双方都拥有随机密码后，即可以正常通信发送加密数据了。 2B: 边缘加速节点回源请求，与源站真实服务器建立https连接获取源站内容。

RabbitMQ支持双向认证吗？ 不支持。 RabbitMQ实例是否支持扩容？ 不支持。 RabbitMQ实例是否支持修改可用区？ 不支持，您可以重新购买实例，以满足可用区要求。 RabbitMQ客户端连接报错原因分析？ RabbitMQ客户端连接失败，可能原因包括地址、端口填错、用户名或者密码填错。 连接地址不正确 Exception in thread "main"java.net.SocketTimeoutException: connect timed out at java.net.PlainSocketImpl.socketConnect(NativeMethod) at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350) 端口不正确 Exception in thread "main"java.net.ConnectException:Connection refused (Connection refused) at java.net.PlainSocketImpl.socketConnect(NativeMethod) at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350) at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206) 用户名或密码错误 Exception in thread "main"com.rabbitmq.client.AuthenticationFailureException: ACCESSREFUSED Login was refused using authentication mechanism PLAIN. For details see the broker logfile. at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:351) at com.rabbitmq.client.impl.recovery.RecoveryAwareAMQConnectionFactory.newConnection(RecoveryAwareAMQConnectionFactory.java:64) RabbitMQ实例是否支持不同的子网？ 支持。 客户端与实例在相同VPC内，可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 客户端与实例在不同VPC时，需建立VPC对等连接。 客户端是否可以连接同个RabbitMQ下多个Vhost？ 客户端可以连接同个RabbitMQ下多个Vhost。 Vhost（Virtual Hosts虚拟主机）是RabbitMQ的基本特性，每个Vhost相当于一个独立的虚拟消息服务器，每个Vhost数据目录不同，拥有自己的队列、交换器和权限控制机制。性能上，连接多个Vhost和单独使用一个Vhost差别不大。

本章节介绍微服务治理中心安全治理相关能力 全局鉴权 微服务治理中心提供全局鉴权能力，通过创建鉴权规则，无需变更所有服务即可便捷地实现多个微服务之间通信的身份验证，搭建微服务架构安全访问体系。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧栏选择安全治理，单击全局鉴权。 相关操作 创建鉴权规则：单击 创建鉴权 ，配置鉴权信息，单击确认完成创建。 查看鉴权规则：单击目标鉴权规则操作列的详情 ，查看鉴权规则信息。 开启鉴权规则：单击目标鉴权规则操作列的开启 ，使鉴权规则生效。 关闭鉴权规则：单击目标鉴权规则操作列的关闭 ，关闭鉴权规则。 编辑鉴权规则：单击目标鉴权规则操作列的编辑 ，编辑鉴权规则。 删除鉴权规则：单击目标鉴权规则操作列的删除 ，删除鉴权规则。 JWT鉴权 JWT（JSON Web Token）用于网络应用间以JSON安全传输信息，该信息可以由使用密钥（使用 HMAC 算法）或使用RSA密钥对进行签名，因此JWT是可以被信任和验证的。 微服务治理中心的JWT鉴权能力基于JWT标准实现了一套服务安全调用的身份验证机制，无需中心化的鉴权服务，只需接入微服务治理中心并配置JWT鉴权，应用即可通过Token验证请求者的身份。

本文为您介绍如何使用目的路由。 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 前提条件 您已经创建了IPsec连接，请参见创建和管理IPsec连接。 使用限制 不支持添加目标网段为0.0.0.0/0的目的路由。 添加目的路由 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击目标VPN网关名称。 5. 在目的路由页签，单击“添加路由条目”。 6. 在添加路由条目面板，根据以下信息配置目的路由，然后单击“确定”。 配置 说明 取值样例 目标网段 输入要访问的私网网段。 172.16.1.0/24 下一跳类型 选择IPsec连接。 IPsec 连接 下一跳 选择需要建立IPsec VPN连接的IPsec连接。 connection2 是否发布 选择是否将新添加的路由发布到VPC路由表。 是（推荐）：将新添加的路由发布到VPC路由表。 否：不发布新添加的路由到VPC路由表。 说明如果您选择否，添加目的路由后，您还需执行发布的操作。 是 主备路由 路由的主备属性。 主

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

iSCSI Target iSCSI Target是位于iSCSI服务器上的存储资源。它是一个通过IP网络基础设施来连接数据存储设备的协议，允许将远程存储设备映射到本地主机，提供了一种基于网络的存储解决方案。 iSCSI目标门户 iSCSI目标门户即HBlock服务器的目标门户，用于与HBlock不在同一局域网的Initiator通信。 如果与HBlock不在同一局域网的Initiator想访问HBlock某一服务器，需要先进行网络配置（如NAT等），确保Initiator可以通过该IP地址访问HBlock服务器，然后将该地址配置为HBlock服务器的目标门户，之后Initiator即可通过配置的目标门户访问HBlock服务器。 存储池 存储池：硬件提供的存储资源的集合，物理上通常指的是同一种介质的硬盘(跨多台服务器)的集合。也可以根据自己的需要将不同机房、机柜的服务器上的数据目录组成存储池。 基础存储池：初始化时默认创建的存储池为基础存储池。通过3.7之前的版本升级上来的物理资源也都属于基础存储池。 QoS策略 QoS（Quality of Service，服务质量）策略通过令牌桶算法精确调控IOPS与吞吐量，在拥塞出现前就完成流量整形，从源头避免网络拥塞。 该策略可以根据实际需求，应用下列场景： 关键业务保障：通过限制周边业务的I/O，间接保障核心业务服务质量。 存储分层优化：在不同性能层(如SSD和HDD)之间合理分配I/O资源，优化混合存储环境中的性能表现。 突发流量处理：允许短时间超出基准限制，平滑处理突发I/O而不直接拒绝请求。

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

RPC异常（所以服务端组件均可能出现） 问题原因：使用非组件RPC协议访问导致，比如用http协议、或者telnet等，均可导致decode错误。 解决方案：无需解决，应服务端及客户端RPC请求均无影响。 应用客户端 连接拒绝Connect faild 解决方案：当出现这类问题时，检查当前网络并无异常时，并排查下ulimit –a openfiles是否为1024，修改至65535。 超时异常RemotingTimeoutException 服务器端日志出现RemotingTimeoutException：wait response on the channel timeout, 3000ms。 解决方案：这类情况一般由于客户端与服务端通信出现问题，可以ping Ip 以及telnet ip port 来排查这类，同时也要检查防火墙的问题。 找不到路由No route info of this topic 问题可能原因： 没创建topic。 name server填错了。 网络问题无法获取路由。 解决方案： 在管理台创建topic。 检查客户端配置的namesrv的地址是否配错了。 检查网络是否正常。 备不可用SLAVENOTAVAILABLE 当生产者发送消息时，出现“status:SLAVENOTAVAILABLE”，说明从节点发生状况。 解决方案： 从节点机器出现问题，重启从节点，并查看网络连接。 在多网卡情况下，broker配置文件properties中，需增加配置项，例如：brokerIP110.4.246.130，brokerIP210.4.246.130 防止网卡ip读取错误，取不到从节点信息。

HDFS HDFS（Hadoop Distributed File System）是Hadoop生态系统的一个重要组成部分，是Hadoop中的的存储组件。它是一个分布式文件系统，提供对应用程序数据的高吞吐量访问。 Hive Hive数据仓库软件通过SQL实现对分布式存储中的大型数据集的读写和管理。Hive提供命令行工具和JDBC驱动程序连接用户。Hive对SQL语句编译和解析，生成相应的MapReduce任务对数据进行操作。 Kafka Apache Kafka是一个优秀的分布式事件流平台，被广泛用于高性能数据管道、流分析、数据集成和任务关键型应用程序中。 Kerberos Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。 Kerberos是第三方认证机制，其中用户和服务依赖于第三方（Kerberos服务器）来对彼此进行身份验证。 Kibana Kibana是一个开源的数据分析和可视化平台，它被设计用于与Elasticsearch协同工作。您可以使用Kibana对Elasticsearch索引中的数据进行搜索、查看和交互操作。 Kyuubi Kyuubi是一个提供JDBC/ODBC SQL查询能力的分布式SQL引擎管理者，主要是为Spark Thrift Server提供多租户以及HA能力，同时为其他引擎（例如Flink或Trino等）提供SQL等查询服务。 OpenLDAP OpenLDAP是轻型目录访问协议（Lightweight Directory Access Protocol，LDAP），通过IP协议提供访问控制和维护分布式信息的目录信息。

一、引言 随着大语言模型（LLM）在自然语言处理（NLP）领域的广泛应用，如何准确评估这些模型在不同配置参数下的推理性能和精度成为了一个重要的研究课题。为了满足这一需求，我们使用了服务化的MindIE Benchmark工具。该工具通过部署昇腾服务化配套包后，以调用终端命令的方式进行测试，能够全面评估大语言模型在各种配置下的推理表现，并将结果以直观的表格形式展示。 1.1 工具概述 服务化的MindIE Benchmark工具不仅支持多种推理模式，还提供了详细的统计分析功能。它能够测量并记录模型在各个阶段的推理耗时，例如FirstTokenTime、DecodeTime等，并计算出对应时延的平均值、最小值、最大值、75分位（P75）、90分位（P90/SLOP90）和99分位（P99）概率统计值。最终，所有计算结果将被保存到本地的CSV文件中，便于进一步分析和对比。 1.2 使用须知 在使用MindIE Benchmark之前，有几个关键点需要注意： 1. 路径权限 ：Benchmark当前运行路径的属主和属组必须与当前用户所在组相对应。可以通过 ls l 查看指定路径的属主和属组，并使用 chown : 更改指定路径的属主和属组。日志文件、权重配置文件和用户配置文件等通常涉及文件或目录属主/属组检验。 2. 网络波动影响：在Client模式下，MindIE Client与ServerEndpoint之间的通信会受到网络波动的影响，这可能会对最终统计的性能结果产生一定影响。

本文介绍Redis连接失败问题排查和解决 概述 本章节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 公网连接Redis 密码问题 实例配置问题 客户端连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 在连接Redis和ECS之间存在一些常见的问题，需要确保它们在同一个VPC内并能够正常通信。 未正确配置安全组规则： 问题描述：Redis和ECS的安全组可能没有正确配置，导致连接失败。 解决方法：需要配置ECS和Redis实例所在安全组规则，确保允许Redis实例被访问。详细的配置步骤可以参考配置安全组。 白名单功能开启导致连接失败： 问题描述：如果实例开启了白名单功能，客户端连接时需要确保客户端IP在白名单内，否则将无法连接。 解决方法：需要按照实例实例白名单配置文档操作，确保客户端IP在白名单内。注意，如果客户端IP发生变化，需要将新的IP加入白名单。 不同VPC导致连接失败： 问题描述：如果Redis实例和ECS不在同一个VPC，它们之间的网络是不相通的。 解决方法：可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。有关VPC对等连接的创建和使用，请参考VPC对等连接说明。

一个VPC最多支持购买多少个私网NAT网关实例？ 当前单个VPC最多支持购买5个私网NAT网关，如需增加配额可通过提交工单来解决，具体操作步骤请参见提交工单。 私网NAT网关支持创建的SNAT规则和DNAT规则数能否增加？ 可以，通过变配为更高规格的私网NAT网关实例可以增加SNAT规格和DNAT规则数，具体操作步骤请参见管理私网NAT网关。 私网NAT网关变配时，是否会中断用户业务？ 在提升私网NAT网关配置规格时，对存量会话无影响；当需降低私网NAT网关配置规格时，请在业务低峰时进行调整，避免因超过配置规格所支持的并发连接数上限，而影响到业务。 当多条SNAT规则的源网段重叠时，如何匹配SNAT规则的优先级？ 系统会根据最长掩码匹配规则确定优先进行SNAT转换服务，掩码位数越大，优先级越高。 如下SNAT配置规则，来自源地址为192.168.2.2的报文会优先匹配上ID为ngwsrr722welrzd的SNAT规则，转换后的源IP地址为192.168.2.4。 私网NAT网关是否支持跨帐号使用？ 私网NAT网关本身不支持跨帐号使用，但可以通过对等连接实现不同帐户间VPC通信，将需使用私网NAT网关的流量引流到私网NAT网关所在VPC，实现跨帐号共享私网NAT网关。

本章节主要介绍操作类问题中有关数据库使用的问题。 如何调整分布列？ 在数据仓库类型的数据库中，大表的分布列选择对于数据库和语句查询性能都有至关重要的影响。 如果表的分布列选择不当，在数据导入后有可能出现数据分布倾斜，进而导致某些磁盘的使用明显高于其他磁盘，极端情况下会导致集群只读。 对于Hash分表策略，存在数据倾斜情况下，查询时出现部分DN的I/O短板，从而影响整体查询性能。 在对已经创建的表，该如何进行分布列的调整，也是我们经常思考的课题。 采用Hash分表策略之后需对表的数据进行数据倾斜性检查，以确保数据在各个DN上是均匀分布的。一般来说，不同DN的数据量相差5%以上即可视为倾斜，如果相差10%以上就必须要调整分布列。 针对分布不均匀的表，尽可能通过调整分布列，以减少数据倾斜，避免带来潜在的数据库性能问题。 选择合适的分布列 Hash分布表的分布列选取至关重要，需要满足以下基本原则： 列值应比较离散，以便数据能够均匀分布到各个DN。例如，考虑选择表的主键为分布列，如在人员信息表中选择身份证号码为分布列； 在满足第一条原则的情况下尽量不要选取存在常量filter的列； 在满足前两条原则的情况，考虑选择查询中的连接条件为分布列，以便Join任务能够下推到DN中执行，且减少DN之间的通信数据量； 支持多分布列特性，可以更好地满足数据分布的均匀性要求。

收发TPS说明 收发TPS（每秒事务处理量）指标具有重要的意义，特别是在物联网和实时通信应用中。以下是收发TPS的作用： 性能评估： 收发TPS是衡量MQTT系统性能的关键指标之一。它可以告诉您系统每秒处理多少条消息，帮助您评估MQTT代理服务器、网络和应用程序的性能。通过监控和分析收发TPS，您可以确定系统的性能是否足够满足实际需求，并及时识别性能瓶颈。 负载均衡和容量规划： 收发TPS数据可以用来规划系统的容量和负载均衡策略。如果TPS持续增加，您可能需要考虑增加服务器资源、使用负载均衡来分散流量，或者优化消息处理逻辑，以确保系统能够承受更高的负载。 故障检测和故障排除： 收发TPS的突然下降或波动可能表明系统中存在故障或问题。通过实时监控TPS，您可以更早地发现问题并快速采取措施来排除故障，以减少服务中断时间。 服务级别协议（SLA）的监测： TPS数据可以用于监测和验证SLA。您可以使用TPS数据来确保服务提供商满足合同中规定的性能指标。 优化消息传输： 通过分析TPS数据，您可以识别哪些主题或设备产生了高消息流量，从而可以采取措施来优化消息传输，减少不必要的消息传递或者改进消息过滤机制。 MQTT的收发TPS数据对于监控、优化性能、规划容量、故障排除和满足SLA等方面都具有重要的意义。它们提供了有价值的洞察，帮助您确保MQTT系统在各种条件下都能够稳定运行并满足需求。

Redis命令执行不生效 如果客户端代码业务异常，怀疑是Redis命令不生效，则可以通过Rediscli命令进行命令执行和数据查看，判断Redis命令执行是否异常。 以下列举两个场景： 场景一：通过设置key值和查看key值，即可判断该命令是否生效。 Redis通过set命令写String类型数据，但是数据未变化，则可以使用Rediscli命令访问Redis实例，执行如下命令： 场景二：通过expire命令设置过期事件，但是怀疑过期时间不对，则可以执行如下操作: 设置10秒过期时间，然后执行ttl命令查看过期时间，如下图表示，执行ttl命令时，过期时间剩下7秒。 说明 Redis客户端和服务端通过二进制协议进行通信，使用Rediscli、Jedis、Python客户端并没有差异。 因此如果怀疑Redis有问题，但是使用Rediscli排查没问题，那就很可能是业务代码存在问题，如果日志没有明显错误信息，则建议在代码添加日志支撑进一步分析。 Redis命令执行是否有超时时间？超时了会出现什么结果？ Redis命令超时分为客户端超时和服务端超时。 客户端超时时间一般由客户端代码自行控制，业务侧需要根据自己的业务特点选择合适的超时时间（例如Java的Lettuce客户端，该参数名为timeout）。 Redis服务端Timeout默认配置为0，不会主动断开连接，如果需要修改配置，可以参考修改实例配置参数。

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

参数 描述 示例 [DSN] 数据源的名称。 [gaussdb] Driver 驱动名，对应odbcinst.ini中的DriverName。 DriverDRIVERN Servername 服务器的IP地址。 Servername10.145.130.26 Database 要连接的数据库的名称。 Databasepostgres Username 数据库用户名称。 Usernameomm Password 数据库用户密码。 Password说明ODBC驱动本身已经对内存密码进行过清理，以保证用户密码在连接后不会再在内存中保留。但是如果配置了此参数，由于UnixODBC对数据源文件等进行缓存，可能导致密码长期保留在内存中。推荐在应用程序连接时，将密码传递给相应API，而非写在数据源配置文件中。同时连接成功后，应当及时清理保存密码的内存段。 Port 服务器的端口号。 Port8000 Sslmode 开启SSL模式 Sslmodeallow UseServerSidePrepare 是否开启数据库端扩展查询协议。可选值0或1，默认为1，表示打开扩展查询协议。 UseServerSidePrepare1 UseBatchProtocol 是否开启批量查询协议（打开可提高DML性能）；可选值0或者1，默认为1。当此值为0时，不使用批量查询协议（主要用于与早期数据库版本通信兼容）。当此值为1，并且数据库supportbatchbind参数存在且为on时，将打开批量查询协议。 UseBatchProtocol1 ConnectionExtraInfo GUC参数connectioninfo中显示驱动部署路径和进程属主用户的开关。 ConnectionExtraInfo1说明默认值为0。当设置为1时，ODBC驱动会将当前驱动的部署路径、进程属主用户上报到数据库中，记录在connectioninfo参数中。

本章节主要介绍天翼云物理机的物理网络。 物理机有四种网络类型，分别是VPC网络、高速网络（HB）、自定义vlan网络(QINQ)和IB网络，四种网络之间相互隔离不互通。其中，VPC网络接口和高速网络接口是基于系统维护vlan网卡组建bond后创建的vlan子接口。自定义vlan网络网卡和IB网络网卡由用户进行自定义管理配置。 说明 图中的ToR表示服务器机柜的布线方式，接入交换机放在机架顶部，服务器放在下方。HB表示高速网络。QinQ表示802.1Q隧道。 VPC网络接口和HB高速网络接口由系统生成，租户不可修改。这两个网络接口属于同一个网卡Bond。 弹性云主机和物理机之间可以通过VPC网络通信，只有VPC网络支持安全组、弹性IP和弹性负载均衡能力。 对于高速网络和自定义vlan网络，同一网络中的物理机实例之间仅提供2层连接。

本文介绍了如何使用天翼云弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows 2012 Standard R2 64位中文版为例。 Windows实例搭建FTP站点具体操作步骤 1. 添加IIS的角色和功能。 2. 创建FTP服务用户名及密码。 3. 设置共享文件权限。 4. 配置FTP站点。 5. 配置FTP防火墙。 6. 配置安全组规则及防火墙策略。 7. 客户端进行连接测试。 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：Windows 2012 Standard R2 64位中文版 公网弹性IP带宽：1Mbps 操作步骤 1. 添加IIS的角色和功能。 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器”以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 1. 添加IIS的角色和功能 2. 添加IIS的角色和功能 3. 添加IIS的角色和功能 4. 添加IIS的角色和功能 2. 创建FTP服务用户名及密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 >用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftp”为例。 3. 设置共享文件权限。 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“share”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 4. 配置FTP站点。 1. 在“服务器管理器”中，选择“仪表板 > 工具 >Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“ftp”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置。 SSL根据需要进行设置。 无： 不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 5. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名：允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本：需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 6. 绑定弹性云主机的公网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定。 5. 配置FTP防火墙支持。 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 配置相关参数，数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535，请根据实际需求进行设置，此处配置50006000，防火墙的外部IP地址：输入该弹性云主机的公网IP地址，并单击“应用”。 重启云主机使防火墙配置生效。 6. 配置安全组规则及防火墙策略。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024~65535间的端口（根据上文配置，此处50006000） 0.0.0.0/0 7. 客户端进行连接测试。 打开客户端的计算机，在路径栏输入“ftp://FTP服务器IP 地址 :FTP 端口 ”（如果不填端口则默认访问21端口）。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对FTP文件进行相应权限的操作，share文件夹下创建工作事项.txt文件，在本地访问共享文件夹可以查看并下载。

功能特性 分布式消息服务RabbitMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，提供交换器、队列增删查改等管控工作。管理控制台上进行的操作用于对交换器、队列、用户、策略等增删查改等管控工作。 队列能力 （1）优先级队列：相比低优先级的消息，要优先投递给消费者进行处理。 （2）延迟队列：延时消息，实现秒级精准定时；简单易用，在代码上只需一个参数设置即可完成，解决开源 RabbitMQ 无延时队列的痛点。 （3）死信队列：支持被拒绝消息、TTL 过期消息、队列达到最大长度（消息队列 AMQP 队列长度无上限）等 3 种类型消息自动进入死信队列的能力，确保消息不丢失。 消息能力 （1）广播消息：在同一个消费组内对所有消费者投递相同消息。 （2）事务消息：支持事务消息，可用于分布式应用。 （3）定时消息：支持消息延迟发送。解决开源 RabbitMQ 无延时队列的痛点。 安全防护 可追溯租户管理操作的记录。 起源于金融系统，支持权限控制和SSL协议。 运维监控 提供集群、交换器、队列的管理；集群、信道、连接、交换器、队列多维度指标监控。 更多信息请参见功能特性。 应用场景 分布式消息服务RabbitMQ适用于电子商务、金融服务、电信、物流和供应链管理、社交媒体、游戏开发、科学和研究领域等行业，通常用于业务的应用解耦、错峰流控与流量削峰、异步通信等场景。更多信息请参见应用场景。