云服务备份产品架构 云服务备份由备份、存储库和策略组成。 备份： 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。 − 云主机备份：云主机备份提供对弹性云主机和物理机的基于多云硬盘一致性快照技术的数据保护。同时，未部署数据库等应用的服务器产生的备份为服务器备份，部署数据库等应用的服务器产生的备份为数据库服务器备份。 − 云硬盘备份：云硬盘备份提供对云硬盘的基于快照技术的数据保护。 存储库 云服务备份使用存储库来存放备份。创建备份前，需要先创建至少一个存储库，并将服务器或磁盘绑定至存储库。服务器或磁盘产生的备份则会存放至绑定的存储库中。 存储库分为备份存储库和复制存储库两种。备份存储库用于存放备份对象产生的备份，复制存储库用于存放复制操作产生的备份。 不同类型的备份对象产生的备份需要存放在不同类型的存储库中。 策略 策略分为备份策略和复制策略。 − 备份策略：需要对备份对象执行自动备份操作时，可以设置备份策略。通过在策略中设置备份任务执行的时间、周期以及备份数据的保留规则，将备份存储库绑定到备份策略，可以为存储库执行自动备份。 − 复制策略：需要对备份或存储库执行自动复制操作时，可以设置复制策略。通过在策略中设置复制任务执行的时间、周期以及备份数据的保留规则，将备份存储库绑定到复制策略，可以为存储库执行自动复制。复制产生的备份需要存放在复制存储库中。

线程分析功能通过按线程级别统计CPU耗时以及各类线程的数量分布，提供细粒度的性能洞察。周期性地（每5分钟）采集并整合线程的方法栈信息，能够有效还原真实的代码执行路径。开发者可高效识别并解决与线程相关的性能瓶颈。适用于当集群出现CPU利用率异常升高或检测到大量慢方法执行时，用于精准定位消耗CPU资源最多的线程或具体方法。 功能入口 1. 进入应用性能监控控制台。 2. 选择目标应用，进入应用监控详情页。 3. 在顶部导航栏中选择【应用诊断】【线程分析】。 进行线程分析 进入线程分析页面后，左侧列表展示应用的全部线程，可基于CPU耗时统计快速发现异常线程。选中指定异常线程后，右侧的CPU耗时和线程状态统计图可对CPU耗时与线程数变化进行分析，如分析每分钟的线程总数是否过多。 通过单击异常线程的方法栈，可查看指定时间范围内的真实运行方法栈，例如通过分析处于BLOCKED状态的线程所关联的方法，可以有针对性地重构相关代码区域，降低CPU使用率。

本节介绍印刷文字识别的用户控制台。 控制台 点击产品详情页左上角的【管理控制台】，页面跳转到控制台总览页面。 总览 点击左侧菜单栏【总览】，可以查看已开通能力、API调用排行榜以及平均响应时间等内容。 能力列表 点击左侧菜单栏【能力列表】，可以查看已有能力。 我的应用 点击左侧菜单栏【我的应用】，可以查看已经创建的应用。 应用监控 点击左侧菜单栏【应用监控】，可以查看所创建应用的请求次数、响应时间与请求流量。

本文主要介绍云硬盘服务支持审计的关键操作 云硬盘服务（Elastic Volume Service，以下简称EVS）是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。您可以在线进行操作，使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。 通过云审计服务，您可以记录与云硬盘相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的EVS操作列表 操作名称 资源类型 事件名称 创建磁盘 evs createVolume 更新磁盘 evs updateVolume 扩容磁盘 evs extendVolume 删除磁盘 evs deleteVolume 说明 表2中EVS的操作，为底层（OpenStack）服务触发；部分事件名称与表1重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表1中描述的事件。 表 云审计服务支持的EVS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建卷 volumes createVolumes 创建type types createTypes 创建快照 snapshots createSnapshots 创建备份 backups createBackups 创建一致性组 consistencygroups createConsistencygroups 创建快照一致性组 cgsnapshots createCgsnapshots 创建qosspecs qosspecs createQosspecs 创建卷传递 osvolumetransfer createOsvolumetransfer 添加卷快照的元数据 snapshots createSnapshotsMetadata 添加卷的元数据 volumes createVolumesMetadata 为卷类型创建新的扩展参数 types createTypesExtraspecs 导入卷备份记录信息 backups createBackupsImportrecord 恢复卷备份 backups createBackupsRestore 强制删除卷 volumes volumesOsforcedelete 挂载卷 volumes volumesOsattach 卸载卷 volumes volumesOsdetach 保留卷 volumes volumesOsreserve 预卸载卷 volumes volumesOsbegindetaching 回滚预卸载卷 volumes volumesOsrolldetaching 挂卷初始化连接 volumes volumesOsinitializeconnection 卸卷断开连接 volumes volumesOsterminateconnection 卷上传镜像 volumes volumesOsvolumeuploadimage 扩容卷 volumes volumesOsextend 取消保留卷 volumes volumesOsunreserve 设置为为只读 volumes volumesOsupdatereadonlyflag 更改卷的卷类型 volumes volumesOsretype 设置卷为可启动卷 volumes volumesOssetbootable 强制删除快照 snapshots volumesOsforcedelete 删除卷 volumes deleteVolumes 删除类型 types deleteTypes 删除卷快照 snapshots deleteSnapshots 删除备份 backups deleteBackups 删除卷快照的单个元数据 snapshots deleteSnapshotsSingleMetadata 删除一致性组 consistencygroups createConsistencygroupsDelete 删除快照一致性组 cgsnapshots deleteCgsnapshots 删除qosspecs qosspecs deleteQosspecs 删除卷传递过程 osvolumetransfer deleteOsvolumetransfer 删除卷的单个元数据 volumes deleteVolumesSingleMetadata 更新快照信息 snapshots updateSnapshots 更新卷 volumes updateVolumes 更新租户的配额信息 osquotasets updateOsquotasets 更新租户的配额等级 osquotaclasssets updateOsquotaclasssets 替换卷快照的元数据 snapshots updateSnapshotsMetadata 替换卷的元数据 volumes updateVolumesMetadata 更新一致性组 consistencygroups updateConsistencygroupsUpdate 更新卷的单个元数据 volumes updateVolumesSingleMetadata 更新卷快照的单个元数据 snapshots updateSnapshotsSingleMetadata

本节介绍关闭定时伸缩任务。 前置条件 1、已有推理应用，且状态为Running。 2、推理应用有关联的定时伸缩任务。 操作步骤 1、套件控制台 > AI 应用列表 > 在线推理。 2、进入某个推理应用详细页面 > 【动态伸缩】页面。可以看到伸缩任务已启用。 3、可以通过点击右侧【停止】按钮来停用当前任务。

当前开通应用服务网格CSM需要您先开通云容器引擎实例，开通服务网格时需要您先选择已经开通的云容器引擎集群，用于部署服务网格控制面。应用服务网格CSM架构图如下： 当前应用服务网格CSM支持多集群模式，主集群（Primary）用于部署网格控制面，通过ELB向其他从集群（Remote）暴露控制面服务（包括xDS、webhook等接口）。

本文主要介绍应用监控与Prometheus监控的计费说明。 目前天翼云应用性能监控包括应用监控与Prometheus监控。开通应用性能监控APM不收取费用，开通后即可使用应用监控与Prometheus监控能力，使用过程中将按照各计费项进行计费。 其中应用监控提供按量付费与资源包模式，Prometheus监控提供按需计费模式。 说明 Prometheus监控仅对自定义指标收取指标上报费用，对云容器引擎的基础指标不收取上报费用，且提供免费15天存储。 目前容器基础指标存储时间默认为15天，因此默认情况下，在云容器引擎中开启Prometheus基础指标监控不会产生额外费用，请放心使用。若额外开启自定义指标监控，请参考下文计费说明。 应用监控计费说明 按需计费 若以Javaagent方式接入，则按照以下方式进行按需计费： 总费用 Agent数量 按需计费单价时间 计费项 单位 免费额度 价格 探针时 agenthour 每月提供2200agenthour的免费额度 0.2元 注意 一个探针使用一小时收费0.2元，一天需支付4.8元。调用链数据默认存储1个月，指标数据默认存储1个月。 Agent实例使用时长不足1小时不计费。 探针时（agenthour）：1个探针可以监控1个应用实例，如一个Tomcat实例或一个Java进程。1探针时（agenthour）表示一个探针使用了1小时。 若以其他非JavaAgent方式接入,则按照以下方式进行按需计费： 总费用 上报量总费用 + 链路存储时长总费用 上报量总费用 上报数量（百万个）× 上报数量单价 链路存储时长总费用 上报数量（百万个）× 存储时长（天）× 链路储存单价 计费项 单位 免费额度 价格 Span上报量 百万个 每月提供30百万个span的免费额度 0.1元 Span存储量 百万个天 每月提供210百万个天的免费额度 0.06元 注意 产生1百万条span上报量，收费0.1元；1百万Span存储1天，收费0.06元。调用链数据默认存储1个月，指标数据默认存储1个月。 Span上报量不足1百万不计费。 Span存储量不足1百万不计费。 > Span：Trace通常指的是一个完整的调用序列，包括所有函数的调用和返回。Span则更侧重于单个函数调用或其内部逻辑的一部分，可以被视为Trace的一个子集，代表一个具体的逻辑运行单元。

版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版（停止新购） 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 × 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 免费证书 支持申请免费证书。 × √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 防护峰值：10Gbps 防护次数：1次 防护峰值：20Gbps 防护次数：2次 防护峰值：40Gbps 防护次数：2次 防护峰值：平台级尽力防 防护次数：2 防护峰值：平台级尽力防 防护次数：不限次数 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 智能防护 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 × 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 × 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志的报表查询 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 攻击溯源 全方位呈现威胁攻击状况，助力用户精准锁定攻击IP源头。 × × √ √ √ 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 × 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 × 付费支持 付费支持 付费支持 付费支持

本节主要介绍相关术语解释 指标 指标是对资源性能的数据描述或状态描述，指标由命名空间、维度、指标名称和单位组成。 其中，命名空间特指指标的命名空间，可将其理解为存放指标的容器，不同命名空间中的指标彼此独立，因此来自不同应用程序的指标不会被错误地聚合到相同的统计信息中。维度是指标的分类，每个指标都包含用于描述该指标的特定特征，可以将维度理解为这些特征的类别。下图以集群指标为例，介绍了命名空间、维度和指标的关系。 主机 AOM的每一台主机对应一台虚拟机或物理机。主机可以是您自己的虚拟机或物理机，也可以是您通过天翼云购买的虚拟机或物理机，只要主机的操作系统满足AOM支持的操作系统（AOM支持的操作系统详见操作系统使用限制）且主机已安装ICAgent，即可将主机接入到AOM中进行监控。 ICAgent ICAgent是AOM的采集器，运行在每台主机上用于实时采集指标、日志和应用性能数据。安装ICAgent是使用AOM的前提，否则将无法正常使用AOM。 告警 告警是指AOM自身或ECS、ServiceStage、CCE等外部服务在异常情况或在可能导致异常情况下上报的信息，告警会引起业务异常，您需要对告警进行处理。 告警清除方式包括自动清除和手动清除两种。 自动清除：产生告警的故障消除后，AOM会自动清除告警，您不需要做任何操作，例如：阈值告警。 手动清除：产生告警的故障消除后，AOM不会自动清除告警，您需要手动清除告警，例如：ICAgent安装失败告警。

本节主要介绍控制台如何连接Redis 分布式缓存Redis支持通过管理控制台的命令窗口功能连接Redis实例。 说明 请勿通过命令窗口输入敏感信息，以免敏感信息泄露。 当前在命令窗口下所有命令参数暂不支持中文且key和value不支持空格。 当value值为空时，执行get命令返回null。 在命令窗口中，部分命令被禁用。 前提条件 只有当实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录Redis管理控制台。 2. 在管理控制台右上角选择实例所在的区域。 3. 在需要查看的分布式缓存Redis缓存实例左侧，单击该实例的名称，进入实例的基本信息页面。 说明 在实例列表中可以查看租户当前地域所有实例。 4. 进入实例页后，单击“应用数据管理”，进入应用数据管理界面。 5. 进入应用数据管理界面后，选择要操作的DB，在右侧窗口直接输入读写命令点击【执行】按钮即可，详情请参见 应用数据管理。

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

相关操作 关闭网页防篡改 您可以在“主动防御 >网页防篡改 > 防护配置”列表的“操作”列中，单击“关闭防护”，关闭对指定主机的网页防篡改防护。 关闭网页防篡改后，HSS会自动释放防护配额。您可将空闲的配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 注意 关闭网页防篡改防护服务前，请对主机执行全面的检测，处理已知风险并记录操作信息，避免运维失误，使您的主机遭受攻击。 关闭网页防篡改防护服务后，网页应用被篡改的可能性将大大提高，请及时清理主机中的重要数据、关停主机中的重要业务并断开主机与外部网络的连接，避免因主机遭受攻击而承担不必要的损失。 执行关闭网页防篡改操作后，防护目录下的文件将不再受“网页防篡改”功能的防护，建议您提前处理防护目录下的文档，再对文档执行暂停防护、编辑或删除的相关操作。 执行关闭网页防篡改操作后，若您的文档不慎被删除，请在主机本地备份或远端主机的备份路径中查找。 当用户关闭网页防篡改时会同步关闭旗舰版防护。 解绑配额 您可以在“资产管理 >主机管理 > 防护配额”页面的“操作”列中，单击“解除绑定”，解除绑定后，该配额的使用状态将从“使用中”变更为“空闲”。HSS将自动关闭关联主机的网页防篡改防护。 您可将“空闲”的配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。

修改后端服务器组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要修改后端服务器组的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【后端服务器组】查看该负载均衡下已有的后端服务器组信息。 4. 在后端服务器组的信息列表中选中要修改的后端服务器组，并单击修改图标按钮，在修改后端服务器组弹框中修改相关信息。 修改后端服务器组的参数说明： 参数 说明 名称 修改后端服务器组的名称；同时也可以单击【添加描述】按需为后端服务器组添加相关的描述信息。 后端协议 该信息为不可修改项。 分配策略类型 修改后端服务器组的分配策略，支持的策略类型有加权轮询、IP hash和加权最少连接数，若后端协议选择为TCP或者UDP，则三种分配策略都支持，若后端协议选择为HTTP，则只支持选择加权轮询和IP hash。 会话保持 修改后端服务器组配置是否配置会话保持能力，只有分配策略类型为“加权轮询”时才支持配置会话保持，会话保持可使得来自同一 IP 的请求被转发到同一台后端服务器上。 会话保持类型 修改会话保持类型，为已开启会话保持功能的后端服务器组配置会话保持类型，其中四层协议（TCP/UDP）支持基于源 IP 地址的会话保持能力，七层协议（HTTP/HTTPS）支持基于应用程序 Cookie 的会话保持能力（由负载均衡器向客户端植入 Cookie）。 会话保持时长 修改会话保持时长，为已开启会话保持功能的后端服务器组且会话保持类型为“源IP地址”配置会话保持时间，单位为分钟，默认配置为5分钟。 Cookie名称 修改Cookie名称，为已开启会话保持功能的后端服务器组且会话保持类型为“应用程序cookie”配置Cookie名称，其中Cookie名称和后端服务器所承载应用配置的Cookie名称一致。 代理超时时长 修改后端响应的超时时间，后端协议选择为HTTP类型时，可设置此参数，默认设置为60秒。 修改后端服务器组中健康检查参数说明： 参数 说明 是否开启 修改该后端服务器组是否开启健康检查功能，通过健康检查来判断后端服务的可用性，避免后端服务异常影响前端业务，从而提高业务整体可用性。 协议 为已开启健康检查的后端服务器组配置健康检查协议，该协议和后端协议默认保持一致，不可修改。 端口 修改健康检查端口，为已开启健康检查的后端服务器组配置健康检查端口，该协议默认使用后端服务器业务端口进行检查，若需指定特定端口则需填写，范围为165535。 探测报文 修改健康检查的探测报文，为已开启健康检查且后端协议类型为UDP的后端服务器组配置健康检查的探测报文，默认为ping，其中在5秒内，会发起一次udp探测，超时时间为3秒，最大重试次数为3次。 域名 修改转发域名，已开启健康检查且后端协议类型为HTTP的后端服务器组配置转发域名。 路径 修改健康检查页面的URL，后端协议选择为HTTP类型时可设置该参数。 5. 在填写相关参数后，单击【提交】执行修改。

本文介绍事件总线EventBridge的功能特性。 功能集 功能 功能描述 参考文档 事件总线 事件源 事件源是事件的来源，将天翼云服务、自定义应用、SaaS应用等应用程序产生的事件消息投递至事件总线。 事件总线EventBridge支持天翼云官方事件源与自定义事件源。 事件源概述 天翼云官方事件源 管理自定义事件源 事件总线 事件规则 事件规则用于匹配特定类型的事件。当事件成功匹配时，事件会被路由到与事件规则关联的事件目标。 事件模式 事件内容转换 管理事件规则 事件流 事件流 事件流适用于端到端的流式数据处理场景，对源端产生的事件实时抽取、转换和分析并加载至目标端。 管理事件流 网络管理 网络端点 通过访问端点，您可以推送用户用户自定义事件至事件总线EventBridge。 访问端点

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本节介绍创建智能路由。 前提条件 已完成AI套件安装，网络组件运行正常。 已创建智能网关（同命名空间），且处于运行状态。 已创建推理应用，且处于运行状态。 约束与限制 创建智能路由依赖智能网关和推理应用，请参考创建智能网关和创建推理应用官方文档进行创建。 操作步骤 1、创建智能路由 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表> 在线推理，点击应用名称： 选择智能路由Tab页，点击创建按钮： 右侧弹框显示智能路由配置信息，说明如下： 配置项 说明 名称 智能路由名称不可编辑，命名规范：${inferenceName}scheduler。 命名空间 命名空间不可编辑，与推理应用保持一致。 网关类型 流量接入方式：智能网关（IGW）表示集群内自建网关；AI网关（AGW）表示云上AI网关产品。 网关实例 根据选择的网关类型，筛选出可用的网关实例列表。 如选择智能网关，会自动筛选出同命名空间运行中的网关实例 如果网关实例列表为空，可点击右侧立即创建按钮跳转至对应网关的创建页面 路由规则 目前支持负载感知和前缀缓存感知，后续会进一步适配LoRA、语义路由等规则 调度配置 CPU 网关实例容器CPU配置，单位核数 调度配置 内存 网关实例容器内存配置，单位Gi 调度配置 副本数 网关实例部署的副本数，一般建议设置3副本 点击创建按钮，完成智能路由创建

本文介绍如何通过Serverless集群快速部署Nginx应用。 Serverless集群不需要用户管理维护节点，让您将精力放在具体应用的开发和维护上，而不是底层基础设施的管理。本文将介绍如何在Serverless集群上实现在线Web应用的免运维托管。 前提条件 确保您已经成功创建了Serverless集群。 背景信息 Serverless集群兼容原生Kubernetes语义和API，您可以在Serverless集群中轻松创建Deployment、StatefulSet、Service、Ingress、ConfigMap或Secret等资源。此外，您也可以使用Helm部部署和管理复杂的Kubernetes应用程序的生命周期。 操作步骤 1.通过kubectl工具连接Serverless集群。 2.创建Nginx应用的YAML配置文件nginx.yaml，内容示例如下： apiVersion: v1 kind: Service metadata: name: nginxservice namespace: default spec: selector: app: nginx ports: protocol: TCP port: 30003 targetPort: 80 type: ClusterIP apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment namespace: default labels: app: nginx spec: selector: matchLabels: app: nginx replicas: 2 template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "0.5" memory: "500Mi" ports: containerPort: 80 3.通过该配置文件部署Nginx应用。 kubectl apply f nginx.yaml 预期返回为： service/nginxservice created deployment.apps/nginxdeployment created 4.查看创建Pod和Serivce的状态，查看Pod的状态信息： kubectl get pod 预期输出结果为： NAME READY STATUS RESTARTS AGE nginxdeployment7d4df6ffc852dr8 1/1 Running 0 12m nginxdeployment7d4df6ffc8gshq4 1/1 Running 0 12m 查看Service的状态信息： kubectl get svc 预期输出结果为： NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE nginxservice ClusterIP 10.96.75.52 30003/TCP 28m 5.进入容器内部，访问Nginx应用： curl 10.96.75.52:30003 预期输出结果为： Welcome to nginx! ...

本章节为您介绍什么是敏感数据链路刻画 敏感数据链路刻画模块用于展示数据源、应用系统、访问源之间的访问链接图谱。根据敏感数据类型进行追踪，如身份证、邮箱、银行卡、手机号，系统将对敏感数据出现的日志进行大模型比对分析，推测出置信度高的链接访问途径，绘制出以数据源、应用系统、访问源为节点的链接图谱； 同时还用于对特定数据内容进行追踪，如搜索身份证内容、银行卡内容、手机号内容，系统将以数据内容为中心，将数据内容流经的数据源、应用系统、访问源进行追踪，追踪该数据内容出现的所有数据源、数据表、访问的应用系统、访问源刻画成一张链接图谱进行展示。 敏感数据链路查询 在数据安全运营中心上方导航栏选择“敏感数据链路刻画”，进入敏感数据链路刻画页面。 可在查询栏根据不同数据查询。 数据类型查询：支持根据邮箱、身份证、手机号、银行卡号。 数据内容查询：可敏感数据进行查询，也可根据历史数据查询。 数据库资产查询：根据数据库资产名称检索并进行查询。 应用系统查询：根据应用系统名称检索并进行查询。

赌博类 包括但不限于以下违规内容的信息： 搭建具有博彩性质的平台，如六合彩、体育博彩等； 无证经营彩票销售、运营等具有博彩性质的网站及应用； 发布含有聚众赌博、出售赌博器具、传授赌博（千术）的技巧、方式、方法等信息，以及进行博彩活动德； 为赌博活动/网站提供技术服务，包括但不限于提供博彩网站引流、广告宣传、网站代码、应用程序等； 发布具有赌博性质的游戏机、用具（含相关作弊用具）的信息，如老虎机、遥控色子、透视扑克等。 相关法律法规参考：《中华人民共和国治安管理处罚法》、《中华人民共和国刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等相关法律法规的规定。 违法经营类 包括但不限于以下违规内容的信息： 非法分销、非法传销、非法集资、非法放贷行为； 未取得法定许可证件或牌照、未获得在先的行政许可或未符合监管部门的要求，发布、传播或从事相关经营活动的行为，包括但不限于违规发布药品或医疗器械推广内容的、违规发布证券或期货等投资类有偿咨询内容的、违规发布烟草宣传内容的； 违规经营烟草、走私、套牌、海关扣押等商品交易； 以任何形式参与、鼓励、促进或诱导他人排斥正常商业竞争的行为，或为前述行为的传播提供便利的； 其它违反国家法律法规的活动行为。 相关法律法规参考：《中华人民共和国刑法》、《中华人民共和国刑法》、《电信条例》、《中华人民共和国反不正当竞争法》、《中华人民共和国烟草专卖法》、《中华人民共和国烟草专卖法实施条例》等相关法律法规的规定。

场景描述 Kafka管理应用用户生产消费权限的场景描述如下： 应用开发和测试：在应用开发和测试阶段，需要为开发人员和测试人员提供适当的生产和消费权限，以便他们能够读取和写入Kafka主题。这样可以确保他们能够有效地测试和验证应用程序的功能。 应用部署和运维：在将应用程序部署到生产环境中时，需要为运维团队提供适当的生产和消费权限。运维团队可以使用这些权限来监控和管理Kafka集群，并处理任何可能的故障或问题。 数据分析和报告：对于数据分析师和报告人员，他们可能需要从Kafka主题中读取数据进行分析和生成报告。为他们提供适当的消费权限可以帮助他们获取所需的数据，并进行相关的数据分析和报告工作。 数据集成和同步：在数据集成和同步的场景中，可能需要为特定的应用或系统提供生产和消费权限。这样可以确保数据的可靠传输和同步，以满足不同系统之间的数据需求。 多租户环境：在多租户环境中，需要管理不同租户之间的生产和消费权限。为每个租户分配独立的权限可以确保数据的隔离和安全性，同时满足不同租户的需求。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页的操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入用户管理界面，该页面展示用户列表。 （5）选择相应的用户，点击其右侧的”用户权限“按钮进行权限管理。 （6）生产权限。先点击”添加生产权限“按钮，在弹窗的左侧选择需要添加生产权限的Topic，然后点击中间按钮，最后点击”确定“完成添加。 （7）消费权限。左上角切换消费权限，点击”添加消费权限“按钮，在弹窗的左侧选择需要添加消费权限的Topic，然后点击中间按钮，最后点击”确定“完成添加。

本节介绍了 使用cubevolcano的用户指南。 插件简介 Volcano调度器是一个基于Kubernetes的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而Kubernetes当前缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。(目前Volcano项目已经在Github开源) Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 项目开源地址： 前置条件 安装cubevolcano插件 使用示例 修改调度器配置 查看调度配置，默认开启binpack插件 修改volcano调度器配置，增加binpack得分权重，减少其他调度插件的影响 调整日志级别，查看更详细的日志 创建验证负载任务并且指定使用volcano调度器 可查看负载的YAML，确认scheduleName已设置为volcano 从控制台查看调度器日志，得知各节点的得分 从日志中知道得分最高的节点，查看pod绑定节点，预期绑定的是最高得分的节点

本节介绍了如何绑定和解绑云数据库TaurusDB实例的弹性公网IP。 操作场景 TaurusDB数据库实例创建成功后（默认未绑定“读写公网地址”），您可根据业务需要，绑定“读写公网地址”。 TaurusDB服务支持用户绑定弹性IP，用于在公共网络访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是3306，那么需确保安全组开通了3306端口的访问。 绑定弹性IP时无可选的EIP，原因可能是该EIP已被其他应用绑定，TaurusDB绑定的EIP需要是未绑定状态才可以绑定，请重新购买弹性IP。 前提条件 用户需要在VPC申请一个“读写公网地址”。 对于已绑定“读写公网地址”的实例，需解绑后，才可重新绑定其他“读写公网地址”。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的TaurusDB在同一区域的弹性云主机上。 绑定弹性IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在网络信息模块，单击“读写公网地址”后面的“绑定”。 步骤 6 在弹出框的弹性公网IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，跳转到网络控制台创建弹性IP，创建完成后请返回实例的基本信息页面绑定弹性IP。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。 步骤 7 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性IP。

本章主要介绍翼MapReduce的恢复Hive业务数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对Hive进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对Hive进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Hive任务并恢复数据。只支持创建任务手动恢复数据。 Hive备份恢复功能不支持识别用户的Hive表、索引、视图等对象在业务和结构上存在的关联关系。用户在执行备份恢复任务时，需要根据业务场景管理统一的恢复点，防止影响业务正常运行。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Hive数据。 对系统的影响 恢复过程中会停止用户认证，用户无法开始新的连接。 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，需要重新启动Hive的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 规划好恢复数据保存表的数据库，数据表在HDFS的保存位置，以及访问恢复数据的用户清单。 检查Hive备份文件保存路径。 停止Hive的上层应用。 登录FusionInsight Manager，请参见登录管理系统。

本章节介绍应用服务网格CSM的网格状态功能 一、概览 应用服务网格CSM支持对实例进行网格状态检测，用于查询Istio代理的配置状态，包括集群信息配置、监听器配置以及路由配置的同步状态。网格状态功能能够帮您快速获取网格的概况，当需要确认某个Istio代理是否接收到配置或配置是否同步时，可通过该功能进行识别和定位异常的Istio代理。 二、操作步骤 1. 登录应用应用服务网格控制台，单击应用服务网格实例的名称，进入网格详情页面 2. 在左侧导航栏，选择网格实例 > 网格状态 3. 在网格状态页面，可对需要检测状态的命名空间进行筛选 三、状态说明 在网格状态区域，会显示IstioProxy的各项配置同步状态、代理的版本等信息，其中配置同步状态的含义如表所示： 同步状态 说明 Proxy未出现在列表 proxy目前没有连接到任何Istiod SYNCED proxy已确认 Istiod 发送给它的最新配置 NOT SENT Istiod 尚未向 proxy发送任何内容。这通常是因为Istiod 没什么可发送的，并不代表proxy异常 STALE Istiod 已向 proxy发送更新配置状态，但未收到确认 STALE (Never Acknowledged) Istiod 已向 proxy发送更新配置状态，但从未收到确认 当出现代理配置同步状态出现STALE或STALE (Never Acknowledged)时，通常意味着Envoy 和 Istiod 之间存在网络问题

本节主要介绍 Linux客户端怎么和云存储网关服务端断开连接。 应用场景 Linux客户端需要断开云存储网关服务端。 前提条件 Linux客户端已经挂载了云存储网关的卷。 具体操作 在Linux 系统中，由于写入磁盘的操作通常会被缓存进行优化，因此数据在写入磁盘之前可能会留存在内存中一段时间，这样可以提高系统的性能。但是，在某些情况下，例如系统崩溃或断电，这些缓存的数据可能会丢失。为了避免这种情况发生，可以使用sync命令将缓存中的数据强制写入硬盘，以确保数据的持久化存储。 1. 执行sync命令。 说明 对于云存储网关Linux客户端，需要先执行sync命令才能断开连接，否则可能丢失数据。Linux系统的sync命令可以将内存中的缓存数据强制写入硬盘，以确保数据的持久化存储。 执行sync命令后，会将所有缓存数据写入硬盘。请注意，sync命令可能需要一些时间才能完成，具体时间取决于系统中缓存数据的大小和硬盘的速度。 sync 2. 应用停止写入后，执行umount进行卸载，使用iscsiadm断开连接。 umount DIRECTORYNAMEORPATH iscsiadm m node T iSCSITARGETIQN p SERVERIP u

本章节主要介绍 恢复元数据 。 操作场景 在用户意外修改删除、数据需要找回，对元数据组件进行重大操作（如升级、重大数据调整等）后系统数据出现异常或未达到预期结果，模块全部故障完全无法使用，或者迁移数据到新集群的场景中，需要对元数据进行恢复操作。 该任务指导用户通过MRS Manager创建恢复元数据任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的元数据。 必须使用同一时间点的OMS和LdapServer备份数据进行恢复，否则可能造成业务和操作失败。 MRS集群默认使用DBService保存Hive的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 检查OMS和LdapServer备份文件是否是同一时间点备份的数据。 检查OMS资源状态是否正常，检查LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。 停止依赖MRS集群运行的上层业务应用。 在MRS Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件是否保存在主管理节点“数据存放路径/LocalBackup/”。

随着互联网用户数量的高速增长，一个网站应用部署在一个服务器上很难经得起高并发的访问，业务拆分到多个服务器分担压力是最基本的方案。 多个服务器可以建立在同一个VPC内，云主机之间通过私网IP实现互访，私网IP会写入云主机的内部调用API接口中。此时，存在这样的问题：假如其中一个云主机发生切换，私网IP也会随之变化，这时就需要修改其他云主机代码中的API接口，并重新发布变更，维护极其不便。 这时，如果您通过内网DNS为您VPC内的每个云主机创建一个内网域名，并添加到对应私网IP的解析。这样，云主机之间可以通过内网域名进行互访。当某个云主机发生切换时，无需修改云主机的代码，只需修改对应域名的解析记录即可。 内网DNS的典型应用场景如下图所示。 图为云主机配置内网域名 在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

本节提供了可供下载的应用性能监控的产品文档。 应用性能监控APM产品文档.pdf

SQL拦截规则应用至其他实例 如果您有多个实例，且需要用到同一套拦截规则，可以在关系数据库MySQL版管理控制台使用SQL拦截规则应用至其他实例的功能。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击SQL拦截 ，进入拦截日志页签。 5. 单击拦截规则页签。 6. 在SQL拦截语句列表中，找到需要应用到其他实例的拦截规则语句，然后单击列表上方的批量应用。 7. 在SQL拦截规则 对话框中，选择想要应用到的实例，然后单击确定。

本节介绍如何创建vLLM GPU 单机推理任务。 前置条件 1. 确认智算套件已经安装并且全部运行中 2. 进入智算套件，AI应用管理，队列管理，确保队列存在并且有足够的资源(GPU,CPU,内存) [参考创建队列的文档] 操作步骤 1. 进入智算套件，AI应用列表，在线推理菜单，创建AI应用 2. 创建应用 应用类型：vLLM 推理类型选择 单机 推理框架，框架版本，推理模型，模型版本根据实际情况选择。 简单的示例： 推理框架： nvidiavllm 框架版本：v0.11.2 推理模型：deepseekr1distillqwen1.5b 模型版本：v1 资源：CPU，内存，共享内存可以不填 选择 GPU：2 队列：选择存在且资源足够的的队列 点击确认完成创建。

终端管理 AOne零信任网络提供终端管理能力，通过整合防病毒、漏洞修复、软件与外设管控、上网行为规范、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 高效防护 病毒防护为基础，以主动实时防御为核心，联动漏洞自修复引擎自动闭环高危风险，形成‘监测阻断修复’的一体化防御链路，助力企业缩减终端暴露面，提升威胁响应速度。 全面管控 终端、软件、U盘等资产看得清，员工上网行为、AI使用行为可管控，限制员工主动退出客户端行为，确保安全管控策略持续生效，保障终端系统及数据安全。 智能安全 实时监测新安装AI 应用，多视图检视AI 漏洞分布，自动生成修复建议，形成“发现 定位 处置”高效闭环管理，让AI更安全。 办公组网 深度融合“零信任安全架构”与CDN全球化网络能力，依托中国电信优质的节点资源，为企业提供安全高效的组网及加速一体化解决方案，满足企业分支互访、多云互联等多种场景。 高性能网络连接构建：基于优质边缘网络资源和应用安全加速能力，提供安全高性能网络连接服务，支持 TCP/UDP 协议及私有协议加速，满足企业多样化业务传输需求。在零信任网络架构下，组网过程充分考虑用户和设备身份，通过智能路由和安全防护技术，实现数据跨地域高速、稳定、安全传输，保障跨国企业分支机构与总部数据传输的准确及时，同时确保只有授权的用户和设备能够通过组网连接访问资源。​ 智能路由与流量优化：运用智能路由技术，实时监测网络状态和流量负载，自动选择最优路径传输数据，合理分配流量。结合零信任网络的流量控制策略，实时监控分析网络流量，及时发现解决拥塞问题，确保企业多分支机构同时访问总部资源时，各分支机构流量能快速转发，避免延迟和中断。同时，对异常流量进行精准识别和阻断，保障网络安全。​