资源编排ROS和 Terraform 有什么关系？ 资源编排ROS基于 Terraform 引擎进行封装，用户可以通过控制台或 API 使用 Terraform 语法（HCL）来描述云上资源。服务负责资源创建、更新、销毁的生命周期管理，无需用户本地安装 Terraform。 资源编排如何收费 资源编排ROS本身不收取服务费。但是，通过本服务创建和管理的一切天翼云资源（如ECS、EIP、CCSE、Mysql等），都会按照各自产品的标准计费规则进行收费。 服务支持的 Terraform 版本是多少？ 当前支持的Terraform版本号是1.5.7 使用资源编排ROS需要哪些权限？ 用户需具备对应云资源的创建、查询、删除权限，以及对资源编排ROS本身的访问权限（例如：模板管理、资源栈管理）。 Terraform Provider 的 AK/SK 是如何管理的？ 对于AK/SK：控制台会自动使用您当前登录的账号权限，生成委托ak/sk, 以您的权限进行资源的开通，无需在模板中指定。 我的Terraform状态文件存储在哪里？ 状态文件由资源编排ROS后端统一托管。您无需关心其存储位置和备份问题。这种机制保证了状态文件的安全性和多用户协作时的一致性。 如何将天翼云上已经存在的资源纳入到资源栈中进行管理？ 当前版本暂时不支持，我们正在抓紧迭代中。

本章节主要围绕云原生网关为入口,介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以云原生网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版 需开通云原生网关实例 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 配置云原生网关转发规则 在左侧导航栏，资源管理 > 云原生网关。查看已导入云原生网关列表，点击资源ID跳转到云原生网关界面配置规则。不存在云原生网关实例需先订购，然后点击导入按钮，进行导入。 1. 配置服务来源 进入左侧服务来源导航栏。点击创建服务按钮，来源类型选择MSE Nacos，集群名称选择provider 和 consumer 应用注册到nacos集群。 2. 配置服务列表 进入左侧服务列表导航栏。点击创建服务按钮，服务来源选择MSE Nacos，命名空间选择provider 和 consumer注册到nacos的命名空间。勾选上msap.nacos.provider和msap.nacos.consumer。 3. 创建路由配置 进入左侧导航栏。点击创建路由，匹配路径填写/nacos/consumer/,目标服务选择标签路由，目标服务选择msap.nacos.consumer，版本选择base，权重 100。

模板市场是云容器引擎基于Kubernetes Helm标准的模板提供统一的资源管理与调度，高效地实现了模板的快速部署与后期管理，大幅简化了Kubernetes资源的安装管理过程。 说明：Helm是管理Kubernetes应用程序的打包工具。更多详情请查看[]( " ")Helm官网文档。 我的模板是通过自定义Helm模板来简化工作负载部署的服务。 本章节指导您如何通过自定义模板创建工作负载，通过CCE控制台，您可通过多种方式创建编排模板。 约束与限制 单个用户可以上传模板的个数有限制，请以各个资源池控制台界面中提示的实际值为准。 模板若存在多个版本，则消耗对应数量的模板配额。 由于模板的操作权限同时具有较高的集群操作权限，因此租户应当谨慎授予用户对于模板生命周期管理的权限，包括上传模板的权限，以及创建、删除和更新模板实例的权限。

本节介绍云容器引擎的最佳实践:容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

本节介绍了什么是DDoS高防（边缘云版）。 产品定义 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务。该产品依托于丰富的边缘云清洗节点，采用自主研发的高性能负载均衡服务，可实现网络层、CC等应用层防护，保障客户在大规模流量攻击的同时业务稳定、安全运行。 产品架构 DDoS 高防（边缘云版）采用的是分布式架构，将防护能力赋能于更下沉的边缘节点，使用云原生为内核，结合智能调度，可以实现边缘就近清洗，动态扩容，可以满足业务突发、大规模流量攻击。 支持大规模流量清洗，清洗能力达到T级以上。 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护。 依托强大的自研防护集群优势，结合 AI 智能引擎持续优化防护策略、IP 画像、行为模式分析、Cookie 挑战等多维算法，实现大数据联动防护。 提供可视化管理界面，结合云原生、智能调度能力，实现资源动态扩容，满足三网防护需求。

版本功能列表 下表描述了WAF主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 防护 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 WebSocket防护 支持防护使用WebSocket协议的网站。 √ √ √ √ √ 业务接入 智能负载均衡 通过智能调度，实现网络自动容灾的高可靠性，提供智能路由选路+缓存能力，满足用户"加速"需求。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 √ √ √ √ √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 支持IP、URI、METHOD、PATH字段 支持IP、URI、METHOD、PATH、IP段、区域字段 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 √，10条/域名 √，20条/域名 √，50条/域名 √，100条/域名 √，200条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √ √ √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 √ √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 基础安全防护 特殊字符拦截 若请求的URI携带特殊字符，支持对其请求进行防护 × √ √ √ √ 业务安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 业务安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × × × √ √ 业务安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × × √ √ 业务安全防护 广告防护 实现广告防护和监测功能。 × × × × √ 业务安全防护 账户安全 支持防护暴力破解、批量注册。 × √ √ √ √ 业务安全防护 防web挖矿 防止占用用户终端设备的系统资源和网络资源进行挖矿。 × × × × √ 业务安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 业务安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 业务安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 业务安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 √ √ √ √ √ 产品服务 监控告警 支持自定义监控告警。 × √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

添加公网ELB访问 在云应用引擎部署应用后，默认无法从公网访问应用。为解决上述问题，您可以为应用绑定公网ELB，实现通过一个固定的公网IP访问应用，并实现应用实例间的负载均衡。 1. 在应用访问设置 区域中，选择基于 ELB 访问页签。 2. 单击添加公网ELB访问。 3. 为应用绑定公网ELB实例：您可以新建ELB实例或绑定已有ELB实例。 4. 参考以下说明，至少配置一个监听。如果您需要添加多条监听，请单击添加下一条监听 配置项 说明 示例值 HTTP协议 HTTP端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 HTTP端口 ：80 容器端口 ：8080（Web服务的默认端口） HTTPS协议 HTTPS端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 SSL证书：SSL协议证书，在下拉列表中选择已创建的SSL证书。 容器端口：进程监听端口，由程序定义。 HTTPS端口 ：443 SSL证书：在下拉列表中选择已创建的SSL证书。 容器端口 ：8080（Web服务的默认端口） TCP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：21 容器端口 ：8080（Web服务的默认端口） UDP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：49152 容器端口 ：8080（Web服务的默认端口） 5. 完成配置后，单击确定。 6. 等待ELB绑定完成，在公网访问地址区域，可以查看应用的IP地址和端口。

本文介绍如何通过CRD采集应用日志。 本文介绍如何在Serverless集群中配置CRD并进行应用日志采集管理。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 注意事项 通过云日志服务CRD开启日志采集仅对后续创建的ECI Pod生效。如果想要采集存量Pod的日志，需要对存量Pod进行一次滚动发布。 操作步骤 您需要先在集群内安装ctglogoperator插件，再通过日志采集配置CRD来配置应用日志采集。 步骤一：安装ctglogoperator日志插件 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 等待ctglogoperator插件安装完成。 步骤二：创建日志采集配置 1. 编写日志采集配置CRD的YAML配置文件。 说明 创建日志采集配置的 CRD 资源后，您可以在云日志服务控制台查看相应的日志项目和采集配置。请注意，直接在云日志服务控制台上修改这些通过 CRD 创建的配置，其更改不会同步回 CRD 资源本身。因此，若您后续需要更新配置，请直接编辑并应用 CRD 资源，避免在云日志服务控制台进行操作，以防止配置出现不一致的情况。 CtyunLogConfig CRD 配置文件，logstdout.yaml示例如下： shell apiVersion: sce.ctyun.cn/v1 kind: CtyunLogConfig metadata: name: simplestdoutexample

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本节介绍了如何创建云数据库GaussDB 的参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置，数据库参数模板可应用于一个或多个数据库实例。 如果您在创建数据库实例时未指定客户创建的数据库参数模板，系统将会为您的数据库实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算规格及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 须知： 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见“复制参数模板”。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 某些参数需要重启才能生效，这些参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，禁止对参数组进行边界测试，否则会导致实例异常，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明： 每个项目最多可以创建100个云数据库GaussDB 数据库参数模板，各云数据库GaussDB 引擎共享该配额。

本章节介绍如何新建云原生网关 概述 MSE云原生网关同时具备传统的流量网关和业务网关功能，提供全局性和独立业务域级别的流量管理策略，支持Nacos和K8s等多种服务发现方式，本文介绍如何新建云原生网关。 操作步骤 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 单击网关列表页面左上角创建网关按钮 5. 在云原生网关订购页选择您要订购的配置，并单击右下角下一步按钮 云原生网关订购配置说明 参数 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生网关到期后无法使用。 自动续期购买时长 当开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 系列 支持基础版和集群版。 基础版：只支持单可用区部署，且节点数量为1。 集群版：自动将控制节点以及工作节点平均分配部署至各可用区，且节点数量不少于2。 实例规格 架构支持X86（通用、海光）、ARM（通用、鲲鹏、飞腾），具体以当前资源池提供的选项为准。 实例规格支持2C4G 、4C8G 、8C16G 、16C32G规格，规格支撑能力说明请参照产品规格。 数据盘 支持超高IO ，最低大小50G，可根据实际需求自定义填写，填写值必须为50的倍数。 节点数量 基础版固定1个节点，无需填写；集群版您可以根据实际需求填写节点数量，节点数量不少于2。 部署方式 用户无需修改，基础版固定选中单可用区部署。 集群版时，如果当前资源池支持多可用区且节点数量大于2时，则默认为多可用区部署，单可用区部署置灰，否则为单可用区部署。 可用区 基础版需要选择任意一个可用区进行部署。 集群版会自动将控制节点以及工作节点平均分配部署至各可用区。 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。

多活容灾是否只要做好入口流量分发和底层数据同步？ 否。入口流量分发和底层数据同步是实现多活能力的重要步骤，但并不能完全保证系统具备多活能力。 要具备完整的多活能力，首先做好架构规划与演进，其次要有配套的管控能力，包括集中管理、流量控制、数据同步、数据保护等。 如何保障业务在多活场景下的数据一致性？ 默认使用异步复制和最终一致性模型，通过流量纠错和禁写保护避免脏写，有更高要求建议使用分布式数据库。 微服务是如何实现跨集群发现的？ 微服务通过注册中心数据同步来实现跨集群服务发现，服务调用时根据路由规则计算路由命中来选择跨单元或跨站点调用。 微服务在多活场景该如何处理？ 尽可能单元内自封闭，若无法自封闭，可配置HTTP/DUBBO的解析规则对微服务进行打标，流量通过路由规则计算后实现跨单元调用。 消息在多活场景该如何处理？ 生产侧在消息的header或body打标，消费侧根据路由规则进行过滤或接管，消息在站点间同步，避免数据丢失。 缓存在多活场景该如何处理？ 应用读写本地缓存集群，缓存本身不建议同步，本地数据中心的缓存不包含其他中心的数据，当流量切换到新中心时可通过数据库重建缓存。 任务调度在多活场景该如何处理？ 您可以考虑以下两个方案： 数据双活：2个站点均开启定时任务，捞取全量数据，过滤掉非本单元的数据后再执行。 应用双活：2个站点均开启定时任务，通过配置中心开关控制任务执行的主、备站点角色，由主站点执行全量定时任务。

前言 随着 DeepSeek 新春爆火，带动又一轮大模型热潮；用户访问量突增导致 DeepSeek 服务器繁忙，卡顿或无响应导致用户体验不佳；如何顺畅的体验使用这些大模型服务成为一个挑战。 本文介绍如何使用天翼云函数计算服务快速部署 DeepSeekR1 大模型，构建个人私有的 AI 大模型应用；通过 OpenWebUI 页面与 Ollama 运行的本地大模型交互，体验到极致流畅的 DeepSeek 能力。 关键名词 OpenWebUI 是一个开源可扩展、功能丰富且用户友好的自托管 AI 平台，专为生成式人工智能模型的交互而设计；它支持多种大型语言模型（LLM）运行器，兼容 Ollama 和 OpenAI 兼容的 API；还支持自定义模型创建，集成特定提示词、知识库等；并内置了 RAG 推理引擎；旨在实现完全离线运行。 Ollama 是一款开源工具（大模型管理工具），旨在简化大型语言模型（LLM）在本地计算机上的运行、部署和交互；它支持多种流行的预训练模型，如 LLaMA 2、Gemma 等；可以有效降低打语音模型的使用门槛，推动 AI 技术的普惠。 天翼云函数计算（FAAS）是一项由事件驱动的全托管 Serverless 计算服务，用户无需管理基础设施，只需编写上传代码；由平台负责计算资源与代码运行，并提供高弹性、高可用、安全稳定、免运维、按需付费的云计算服务。FAAS 平台提供 GPU 函数支持一键创建部署大模型应用，帮助用户快速体验最新大模型。

此小节介绍企业主机安全。 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 企业主机安全工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443 。 每日凌晨定时执行检测

参数 说明 适用场景 max degree of parallelism 每个执行语句的CPU最大并行度，参数值默认为0。当您在使用实例时，SQL Server会通过查询引擎自动的给每一个请求分配CPU执行计划，以通过并行执行的方式有效提升实例的执行性能。 1、当用户的本地实例主要用于查询获取结果，参数值可设置为0。 2、当用户的本地实例主要用于写入，更新，删除等操作，参数值可设置为1。 max server memory (mb) 用于控制实例上SQL Server数据库服务占用整个服务器的最大内存的上限。 RDS for SQL Server已经根据您的实例进行了适当配置，该参数值可保持默认值。 如果需要修改，有以下限制条件： 1、不低于2GB。 2、不高于实例最大内存的95%。 user connections 用于控制实例上用户发起的最大连接数。 据实际情况进行调整。 1、设置为0，该实例连接数将不受限制。 2、不能设置110之间的值。

使用限制 Cubecni IPVLAN模式下，基于eBPF实现NetworkPolicy，有如下限制： 1. IP Blocks即使包含Pod地址，这些Pod地址也不会加入白名单，需通过PodSelector或NamespeceSelector选择Pod； 2. IP Blocks的except支持不佳，不建议使用except关键字； 3. 若配置egress规则，会限制Pod访问所在节点以及其上HostNetwork类型Pod，即使白名单配置了所在Host地址也无效。 使用示例 网络策略详细使用方式可参考Kubernetes社区文档，下文以Nginx应用为例，介绍使用方式。 准备示例应用 使用YAMl方式创建示例应用，YAML定义如下： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 无状态； d. 选择default命名空间，点击新增YAML ，默认为一Nginx示例，将image字段替换为{镜像拉取地址}/opensource/nginx:1.26alpineslim，点击保存； e. 等待服务启动完成。 示例一：限制服务只能被带有特定标签的应用访问 通过控制台操作如下： 1. 登录云容器引擎控制台，左侧导航栏选择集群； 2. 在集群列表页面，单击目标集群名称，进入集群管理页面； 3. 左侧导航栏，选择网络 > 网络策略 ，选择default命名空间，点击创建网络策略； 创建面板配置说明如下： 配置名 说明 示例 名称 网络策略的名称。 example1 Pod选择器 单击+ 选择工作负载添加标签，设置使用网络策略的Pod。 若不配置Pod选择器，则对命名空间下所有Pod生效。 示例设置如下： 设置工作类型为：Deployment 设置工作负载为：nginxdeployment 设置标签为：appnginx 来源 配置入站规则（igress）列表，用于声明谁可以访问目标Pod。每个列表项包含规则和端口。 每个规则表示一组允许的来源，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为入站流量来源； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其入站流量来源； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作入站流量来源。 端口：支持TCP和UDP协议。 本示例不添加任何来源规则。 去向 配置出站规则（egress）列表，用于声明目标Pod可以访问哪些地址。每个列表项包含规则和端口。 每个规则表示一组允许的去向，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为出站流量目的地； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其出站流量目的地； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作出站流量目的地。 端口：支持TCP和UDP协议。 本示例不添加任何去向规则。 4. 点击下一步 ，点击确认； 5. 在另一个命名空间（例如demo）部署demo服务（可使用Nginx镜像），登陆容器，测试与示例Nginx的通信。可见，网络策略没有允许demo服务访问，导致访问会超时： 6. 修改网络策略为允许demo服务访问，点击编辑，在来源右侧，单击+添加，规则设置如下： 配置名 示例值 选择器 namespaceSelector 命名空间 demo 标签 kubernetes.io/metadata.name: demo 点击下一步 ，点击确认； 7. 登陆容器，测试与示例Nginx的通信。可见，网络策略允许demo服务访问，访问正常：

本节介绍了云数据库TaurusDB的实例说明。 数据库实例规格 表 X86性能规格 规格 vCPU（个） 内存（GB） ::: 独享版 2 16 独享版 4 32 独享版 8 64 独享版 16 128 独享版 32 256 独享版 64 512 数据库实例规格请以实际环境为准。 说明 可通过调整maxconnections参数值来修改最大连接数。具体操作请参见编辑参数模板 数据库实例状态 数据库实例状态 数据库实例状态是数据库实例的运行情况。用户可以使用管理控制台查看数据库实例状态。 表 状态及说明 状态 说明 正常 数据库实例正常和可用。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 重启中 正在重启数据库实例。 实例名称修改中 正在修改数据库实例名称。 端口修改中 正在修改数据库实例的数据库端口。 规格变更中 正在变更数据库实例的CPU和内存规格。 添加只读中 正在进行数据库实例添加只读节点。 删除只读中 正在进行数据库实例删除只读节点。 只读升主中 只读节点正在切换为主节点。 备份中 正在备份数据库实例。 证书配置变更中 正在进行数据库实例证书配置变更。 已删除 数据库实例已被删除，对于已经删除的实例，将不会在实例列表中显示。 数据库引擎和版本 TaurusDB目前支持的数据库引擎和版本如下表所示。 表 数据库引擎和版本 数据库引擎 兼容的数据库版本 TaurusDB MySQL 8.0

资源类型 配置项 配置内容 说明 DRS迁移任务 迁移任务名 DRSmysql 自定义 DRS迁移任务 源数据库引擎 MySQL 本示例中源数据库为自建MySQL，即在天翼云弹性云主机上安装社区版MySQL。 DRS迁移任务 目标数据库引擎 MySQL 本示例中目标数据库也是MySQL，使用的天翼云RDS实例。 DRS迁移任务 网络类型 公网网络 本示例中采用“公网”。

有安全经验的使用者如何配置符合自己网站的安全策略 如果您有了解过网站安全的相关知识，或者有网站安全运维的经验，那么当你的网站遭到Web攻击时，您可以根据边缘安全加速平台控制台的安全报表、攻击日志等内容进行快速排查定位，并及时修改安全防护配置解决问题，防止问题严重性进一步扩大。根据上述描述推荐您在域名接入到边缘安全加速平台的安全服务后，根据实际业务场景使用如下防护功能： 配置规则 当您的域名存在误报情况时，您可以设置域名规则白名单来减少误报，对于符合白名单规则的请求，安全防护引擎可以根据您的配置直接放行请求。 操作导航：在控制台的“安全能力 > Web应用防火墙>防护规则引擎”页面中选中具体规则添加白名单，完成相关配置。 您也可以通过防护控制模块设置具体的防护模块白名单，加白部分防护模块，使域名防护更加精确。 配置访问控制策略 您可以使用访问控制功能针对指定的IP地址，IP段或者地区来源的访问请求进行封禁。或者只允许指定部分IP、IP段、地区访问您的业务，例如：封禁海外IP地址。您也可以使用访问控制功能限制某些接口请求频率不能过高。 针对具体攻击场景的防护策略配置 您也可以配置CC攻击防护、攻击挑战、敏感词、网页防篡改等策略来应对各种Web攻击场景，维持网站稳定，如下图所示： 特殊的防护配置 如果您存在特殊的配置在页面上无法进行配置时，可以联系我们天翼云安全专家，沟通具体的解决方案。

本节介绍了插件市场的用户指南。 操作场景 插件市场展示的是云容器引擎提供的插件，用于丰富集群的能力，满足用户特定的功能需求。 前提条件 在安装插件前，您需要存在一个可用集群。若没有可用集群 ，请参照集群管理>新建集群中内容进行创建。 操作步骤 安装插件： 步骤 1，登录云容器引擎控制台，在左侧导航栏中选择“集群”并选择一个可用的集群。 步骤 2，在左侧二级导航栏中选择“插件”“插件市场”。 步骤 3，在插件列表中选择要安装的插件，点击“安装”按钮。 步骤 4，在右侧的弹窗中选择“插件版本”，选择“超时时间”，点击“安装”按钮。 卸载插件： 步骤 1，登录云容器引擎控制台，在左侧导航栏中选择“集群”并选择一个可用的集群。 步骤 2，在左侧二级导航栏中选择“插件”“插件市场”。 步骤 3，在插件列表中选择要卸载的插件，点击“卸载”按钮。 步骤 4，在弹窗中点击“确认”按钮。

概述 本章节主要介绍创建和更新浏览器沙箱模板、浏览器沙箱实例调试和录制回放功能。浏览器沙箱为浏览器智能体提供的安全页面渲染环境。在该类型沙箱实例中您可以通过可视化方式查看浏览器运行画面， 也可以通过自动化接口对页面进行程序化操作，该类型沙箱适用于调试、测试、流程自动化等场景。 创建浏览器沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写浏览器沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 浏览器沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 浏览器类型 是 目前只支持Chromium类型。 窗口分辨率 是 浏览器沙箱中VNC窗口分辨率，目前只支持12801024规格。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。

本节介绍了设置资源配额与限制的用户指南。 资源配额与限制是对用户资源使用量的管控机制，主要用于实现资源的合理分配管理、成本的有效控制以及系统整体稳定性的保障。通过配额管理，云容器引擎能够对容器的计算、存储等资源进行统一的配额管控，确保不同项目或团队间的资源公平分配，防止因误操作或恶意行为导致的资源过度消耗，同时避免单用户过度占用资源而影响平台性能。您可为命名空间配置包括CPU、内存、Pod数量等资源的额度，更多信息请参见资源配额。 操作步骤 1. 登录云容器引擎控制台，单击集群名称进入集群。 2. 在左侧导航栏中选择“命名空间”。 3. 单击对应命名空间后的“更多”，下拉点击"设置资源配额"。 4. 在弹出的弹窗中设置资源配额与资源限制，然后单击“确定”。 参数说明 资源配额 资源类型 说明 CPU申请(requests.cpu) 所有非终止状态的 Pod，其 CPU 申请总量不能超过该值 CPU限制(limits.cpu) 所有非终止状态的 Pod，其 CPU 限制总量不能超过该值 内存申请(requests.memory) 所有非终止状态的 Pod，其内存申请总量不能超过该值 内存限制(limits.memory) 所有非终止状态的 Pod，其内存限制总量不能超过该值 存储空间(requests.storage) 所有持久卷声明的申请总量不能超过该值 持久卷声明数量(persistentvolumeclaims) 在该命名空间中允许存在的 PVC 的总数上限 配置项数量(configmaps) 在该命名空间中允许存在的 ConfigMap 总数上限 容器组数量(pods) 在该命名空间中允许存在的非终止状态的 Pod 总数上限 服务数量(services) 在该命名空间中允许存在的 Service 总数上限 负载均衡型服务数量(services.loadbalancers) 在该命名空间中允许存在的 LoadBalancer 类型的 Service 总数上限 主机端口型服务数量(services.nodeports) 在该命名空间中允许存在的 NodePort 或 LoadBalancer 类型的 Service 的 NodePort 总数上限 保密字段数量(secrets) 在该命名空间中允许存在的 Secret 总数上限 RC数量(replicationcontrollers) 在该命名空间中允许存在的 ReplicationController 总数上限 资源配额数量(resourcequotas) 在该命名空间中允许存在的 ResourceQuota 总数上限 Deployment数量(deployments.apps) 在该命名空间中允许存在的无状态负载(Deployment)的总数上限 Daemenset数量(daemonsets.apps) 在该命名空间中允许存在的守护进程(Daemonset)的总数上限 Statefulset数量(daemonsets.apps) 在该命名空间中允许存在的有状态负载(Statefulset)的总数上限 Job数量(jobs.batch) 在该命名空间中允许存在的任务(Job)的总数上限 Cronjob数量(cronjobs.batch) 在该命名空间中允许存在的定时任务(Cronjob)的总数上限

概述 本章节主要介绍创建和更新浏览器沙箱模板、浏览器沙箱实例调试和录制回放功能。浏览器沙箱为浏览器智能体提供的安全页面渲染环境。在该类型沙箱实例中您可以通过可视化方式查看浏览器运行画面， 也可以通过自动化接口对页面进行程序化操作，该类型沙箱适用于调试、测试、流程自动化等场景。 创建浏览器沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写浏览器沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 浏览器沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 浏览器类型 是 目前只支持Chromium类型。 窗口分辨率 是 浏览器沙箱中VNC窗口分辨率，目前只支持12801024规格。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。

基于cstorcsi插件，支持使用云硬盘、弹性文件和对象存储等天翼云云存储服务。本文介绍云存储类型和如何使用云存储。 云存储介绍 天翼云提供针对各种存储资源（块、文件和对象）的低成本、高可靠、高可用的存储服务，您可以根据业务负载的存储需求，考虑数据量、数据访问频率、IOPS和吞吐量等因素，来选择合适的云存储服务。常用的云存储服务如下： 云硬盘 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 挂载云存储 云存储 说明 云容器引擎集群 云硬盘 云硬盘为非共享存储，一块云硬盘只能挂载到一个Pod上。 挂载时，支持静态数据卷 云硬盘存储 弹性文件 弹性文件为共享存储，一个文件系统可以挂载到多个Pod上。 挂载时，支持静态数据卷 弹性文件存储 对象存储 对象存储为共享存储，一个对象桶可以挂载到多个Pod上。 挂载时，支持静态数据卷 对象存储

参数 描述 计费模式 选择“包年/包月”或“按需计费”。 包年/包月 − 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 − 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。 按需计费 − 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 − 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。 可用区 可用区是指在同一区域下，电力、网络隔离的物理区域，可用区内部网络互通，不同可用区之间物理隔离。 如果业务要求实例之间的网络延时较低，则建议您选择单可用区，将实例的组件部署在同一个可用区内。实例选择单可用区部署时，会默认配置为反亲和部署。反亲和部署是出于高可用性考虑，将您的Primary、Secondary和Hidden节点分别创建在不同的物理机上。 如果业务需要较高的容灾能力，建议您选择3可用区。此时，实例下的dds mongos节点、shard节点和config节点分别部署在3个不同的可用区内。 实例名称 实例名称允许和已有名称重复。 该实例名称为购买完成后进行创建的实例名称。实例名称长度在4个到64个字节之间，必须以字母或中文字开头，区分大小写，可以包含字母、数字、中划线、下划线或中文（一个中文字符占用3个字节），不能包含其他特殊字符。 创建成功后，可修改实例名称。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 5.0 4.4 4.2 4.0 3.4 CPU类型 当前文档数据库实例的CPU架构支持x86和鲲鹏两种类型。 x86 x86类型的CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏 鲲鹏类型的CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于X86类型的CPU架构具有更加均衡的性能功耗比。 鲲鹏类型CPU架构的优势是高密度低功耗，可以提供更高的性价比，满足重载业务场景使用。 存储类型 超高IO 存储引擎 WiredTiger 规格类型 x86 CPU架构。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE(千兆以太网)智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 性能规格 当用户创建的实例的CPU和内存规格无法满足业务需要时，可以进行CPU和内存的规格变更。 存储空间 存储空间最小10GB，节点规格小于8U时，最大扩容到的磁盘容量为5000GB，节点规格为8U及以上时，最大扩容到的磁盘容量为10000GB，用户选择大小必须为10的整数倍。创建成功后可进行扩容。

本节介绍云容器引擎的最佳实践:搭建IPv4/IPv6双栈集群。 本教程将指引您搭建一个IPv6网段的VPC，并在VPC中创建一个带有IPv6地址的集群和节点，使节点可以访问Internet上的IPv6服务。 简介 使用IPv6可以有效弥补IPv4网络地址资源有限的问题。如果当前集群中的工作节点（如ECS）使用IPv4，那么启用IPv6后，工作节点可在双栈模式下运行，即工作节点可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务，您可使用IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，您必须使用IPv6双栈。 使用IPv6双栈请参考IPv4/IPv6双栈网络、IPv6弹性公网IP。 通过控制台搭建IPv4/IPv6双栈集群 步骤 1 创建虚拟私有云，且创建已开启了IPv6的子网 创建VPC时需开启IPV6 创建子网时需开启IPV6

本文介绍Service概述。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

本节介绍了如何Service管理。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

本节介绍智算安全专区的应用场景。 大模型安全卫士 模型输入输出内容违规 场景特点：使用者输入违规内容（如违法犯罪、暴力色情等），诱导模型生成不相关或非法内容，造成不良影响。 解决方案：内置大模型内容安全引擎，在输入阶段评估提示词，防止生成非法结果；在输出阶段检测违规内容，及时阻断并进行事后审计。支持模型接口代理方式实时检测与阻断，通过三道过滤防线保障内容安全。 敏感数据安全脱敏 场景特点：在问答结果输出阶段，应用可能带出个人简历、薪资情况等敏感信息，导致泄露。 解决方案：在数据输入阶段介入脱密信息处理，使进入RAG 语料库的资料均为脱敏后材料，基于大模型的智能脱敏在保护敏感信息的同时保留数据可用性。 大模型安全测评 面向部署于息壤智算云平台并通过互联网提供服务的大模型系统，提供专业的安全评估服务。通过云端检测平台对暴露在公网的大模型进行全方位的安全检测与分析。该方案的制定基于以下核心考量： 业务必要性：大模型服务需通过互联网对外开放接口 安全挑战：面临来自互联网侧的黑客攻击与安全威胁 防护体系：通过构建管理规范、技术防护和运营保障三位一体的安全防御机制，实现风险的有效管控与消减 大模型安全护栏

本节介绍如何开启数据加速。 您可以在创建数据集或者数据集版本时，开启数据加速功能。 开启数据加速将同步生成数据源配置资源（Dataset）与后端加速引擎资源（Runtime）；两者就绪后，数据集进入加速状态，将远端数据加载至本地缓存并创建加速 PVC，业务应用通过挂载该 PVC 即可获得数据访问加速能力。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 确保存储插件cstorcsi运行正常。 建议开启加速前进行缓存节点和路径规划，以合理利用节点资源，提升集群稳定性。 约束与限制 数据加速引擎使用开源社区的模板与镜像，使用过程中可能存在缺陷，我们会定期同步社区版本来修复已知漏洞。请评估是否满足您的业务场景要求。 目前，仅支持通过Alluxio底层存储引擎使用数据缓存的能力。alluxio 是一个面向基于云的数据分析和人工智能的开源的数据编排技术。 它为数据驱动型应用和存储系统构建了桥梁, 将数据从存储层移动到距离数据驱动型应用更近的位置从而能够更容易被访问。 选择存储介质为SSD，存储路径不能配置根目录。 选择存储介质为MEM，存储路径开头配置为/dev/shm 或 /run/shm。 操作步骤 1. 创建数据集 登录云容器引擎管理控制台 在集群列表页点击进入指定集群 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择创建数据集 在新建数据集页面，首先完成基础信息配置，参考 创建数据集 进行数据加速配置： 配置项说明如下： 配置项 说明 加速类型 选择 本地缓存。 存储类型 缓存层级所使用的存储介质类型，当前支持SSD、MEM，默认使用SSD。 存储路径 缓存介质的本地挂载 / 存储路径。 注意 1. 选择SSD存储，路径不能配置根目录，更进一步，建议不适用系统盘路径 2. 选择MEM存储，路径开头配置为/dev/shm 或 /run/shm 缓存配额 可使用的本地缓存存储配额（即本地缓存的最大容量限制），单位可选GiB、MiB。 立即预热 提前将远程存储系统中的数据拉取到本地缓存，使得消费该数据集的应用能够在首次运行时即可享受到缓存带来的加速效果。 高级选项 实例副本数 指定 缓存引擎Worker 节点数量，Replica 数量越多，缓存容量总和越大。默认为 1个节点。 高级选项 节点亲和性 指定 缓存引擎节点需要部署在符合特定条件的 K8s 节点上，可以控制缓存节点的部署位置，提升数据访问效率、合理利用节点资源。 高级选项 预留空间上限 当前缓存层级的缓存容量上限阈值（以百分比形式表示，取值 0~1 之间，如 0.95 对应 95%）。 当缓存数据占用量达到对应的百分比时，缓存引擎会自动触发缓存淘汰机制（默认 LRU 策略），开始清理（淘汰）不常用的缓存数据，防止缓存容量超出配额。 高级选项 预留空间下限 当前缓存层级的缓存容量下限阈值（以百分比形式表示，取值 0~1 之间，如 0.7 对应 70%）。 作为缓存淘汰机制的停止阈值，当缓存数据占用量因淘汰机制降至对应的百分比时，停止缓存淘汰，保留当前可用缓存数据。

本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider:

备案过程中任何问题都可以电话、工单、在线的形式咨询备案专员。 电话：40081098893 工单：天翼云官网（www.ctyun.cn）——右上角“我的”——工单管理——新建工单 在线客服：点击官网智能客服 1、登录天翼云门户www.ctyun.cn，点击备案 2、点击开始备案。 3、选择立即备案，填写单位信息 4、点击“详情”去录入信息 5、如实填写主办单位信息，单位名称要和取得域名的单位名称要保持一致 6、填写单位负责人信息，即单位的法人 7、点击下一步“填写网站/APP信息” 8、注意，如果单位的经营范围（以经营执照上的内容为准）涉及到前置审批，需要额外上传相应的经营许可证，如政府部门颁发的网络游戏许可证、金融许可证等。 9、填写备案的IP，如果IP在此提交备案的账号下，可以选择“使用自有接入服务号”，会直接弹出该IP的信息。如果IP不在此账号下，可以选择“使用他人接入服务号”。 他人接入服务号查询路径：登录IP所属天翼云账号，天翼云官网（ctyun.cn）首页备案我的备案接入服务号管理。 以上方法如无法查询到接入服务号，可以提交工单，工单中写明公网IP地址，由备案客服后台查询告知您接入服务号，多个服务号之间用英文分号分隔。 10、确认备案信息，点击“下一步，上传备案材料” 11、建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，免去传统备案方式的邮寄幕布拍照过程，缩短备案所需时长，方便快捷 12、扫描二维码，进入微信小程序，以下操作均由网站负责人进行，务必使用网站负责人的手机和微信号进行操作 13、弹出如下界面 14、选择授权 15、上传单位负责人（法人）的身份证照片、营业执照的照片（要用高清照片拍摄，否则会提示翻拍导致识别失败），请在识别文字后确认单位名称文字显示是否准确，单位名称中带有标点符号，请注意输入格式 16、网站负责人进行活体验证，需要手机开启摄像头，进行点头，摇头等操作。注意，需要用白色背景拍摄 17、完成图片采集完成后会自动生成 18 位验证码，需将验证码填报至下图指定位置后，点击“确定”按钮，系统会自动将图片对应到相应位置 18、检查图片并提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。 审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行审核；提交管局后，请主体和网站负责人收到验证短信后（发信号码12381），在24 小时内按照短信指引完成，否则会被管局退单；反之，审核拒绝，退回备案信息给备案发起人进行修改。