事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 GPU SRAM存在 Uncorrectable ECC告警 SRAMUncorrectableEccError 重要 GPU卡SRAM出现Uncorrectable ECC Error硬件故障。 如果业务受损，请提交工单。 可能GPU硬件问题导致SRAM故障，导致业务异常退出 主机重启 osReboot 重要 物理机实例重启。 包括： 1. 在管理控制台进行重启操作 2. 通过API接口下发重启指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常重启 serverReboot 重要 物理机实例异常重启。 包括： 1. 操作系统异常导致重启 2. 主机硬件故障导致重启 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 主机关机 osShutdown 重要 物理机实例关机。 包括： 1. 在管理控制台进行关机操作 2. 通过API接口下发关机指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常关机 serverShutdown 重要 物理机实例异常关机。 包括： 1. 主机异常下电 2. 主机硬件故障导致关机 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 网络中断 linkDown 重要 物理机网络中断。 包括： 1. 主机异常关机、重启 2. 交换机故障引起的网络中断 3. 网关节点故障引起的中断 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 PCIE异常 pcieError 重要 物理机PCIe设备硬件故障。 包括： 1. 主板故障 2. PCIe设备故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响网络或硬盘读写业务 硬盘故障 diskError 重要 物理机磁盘故障。 包括： 1. 硬盘背板故障 2. 硬盘本身故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 云存储连接异常 storageError 重要 物理机云硬盘链接异常。 包括： 1. SDI卡故障 2. 远端存储故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 GPU存在infoROM告警 gpuInfoROMAlarm 重要 GPU可能存在硬件问题，导致驱动读取不到inforom信息。 业务可以继续使用该GPU卡，不敏感业务可以继续使用，敏感业务请提交工单处理。 对业务暂时没有影响，当GPU硬件出现ECC故障时，可能无法自动完成故障页隔离，导致业务受损。 GPU发生double bit ECC告警 doubleBitEccError 重要 GPU硬件存在double bit ECC故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU隔离页过多告警 gpuTooManyRetiredPagesAlarm 重要 GPU硬件存在过多ECC隔离页。 如果业务受损，请提交工单。 GPU硬件存在过多ECC故障，可能频繁影响业务运行。 GPU A100 硬件发生ECC告警 gpuA100EccAlarm 重要 GPU卡出现ECC硬件故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU ECC内存页隔离失败告警 eccPageRetirementRecordingFailure 重要 GPU硬件存在ECC故障，驱动自动隔离这些页时失败。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离隔离失败，可能导致业务无法使用GPU。 GPU ECC页隔离告警 eccPageRetirementRecordingEvent 一般 存在ECC硬件错误，发生内存页自动隔离。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 一般随ECC故障告警出现，单独出现不影响业务。 GPU single bit ECC过多告警 highSingleBitEccErrorRate 重要 ECC硬件存在过高ECC single bit错误。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 single bit的错误能够自动恢复，一般不影响GPU相关应用程序。 GPU驱动掉卡告警 gpuDriverLinkFailureAlarm 重要 GPU链路正常，NVIDIA驱动找不到GPU硬件。 建议尝试重启虚拟机恢复业务。如果业务仍然无法恢复，请提交工单。 一般驱动问题导致找不到对应位置的GPU。 GPU卡链路故障告警 gpuPcieLinkFailureAlarm 重要 GPU链路异常，通过lspci无法查看GPU硬件信息。 如果业务受损，请提交工单。 硬件问题导致GPU卡链路异常，驱动无法使用GPU。 虚拟机GPU丢卡告警 vmLostGpuAlarm 重要 虚拟机实际有的GPU卡数量比规格里应分配的GPU卡数量少。 如果业务受损，请提交工单。 虚拟机GPU卡丢失。 GPU显存页告警 gpuMemoryPageFault 重要 GPU显存页发生故障，故障可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致显存故障，导致业务异常退出 GPU图像引擎异常告警 graphicsEngineException 重要 GPU图像引擎发生故障，可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致图像引擎故障，导致业务异常退出。 GPU温度过高告警 highTemperatureEvent 重要 GPU硬件温度过高。 如果业务受损，请提交工单。 GPU温度超过温度阈值，可能会引起GPU卡性能下降 GPU NVLINK链路错误告警 nvlinkError 重要 NVLINK的链路出现硬件故障。 如果业务受损，请提交工单。 NVLINK链路故障，影响业务使用GPU nvlink能力。 nvidiasmi命令卡住 nvidiaSmiHangEvent 重要 nvidiasmi命令超时，该命令可能卡住 如果业务受损，请提交工单。 可能是命令执行过程中，触发驱动问题，导致命令卡住，同时可能出现业务使用驱动报错问题。

AI模型的部署 AI模型的选择和通用模型的配置 “分析Claw”和“文案Claw”使用自然语言模型即可，“美工Claw”需要在自然语言模型的基础上增加识图、文生图和图生图能力。在此，我们推荐的部署方式是，使用自然语言模型在天翼云控制台进行部署，然后与龙虾对话，让其引用新的模型能力。通用语言模型我们在此案例中使用GLM5。 1. 点击云主机名称进入对应云主机详情页 2. 点击应用管理，进入应用管理详情界面 3. 点击应用配置 4. 在模型侧，替换为已购的模型，或使用自定义模型，请参考++《++ ++OpenClaw模型配置指南++++》++将龙虾使用的主模型替换为GLM5。如果您使用的是其他渠道自购模型，请将模型来源改为自定义，并填入对应信息。 模型填写之后，选择添加并应用。向机器人发送hi，当机器人能正常响应时，则模型成功切换，否则，根据报错信息，在模型供应商处排查模型信息是否有误，并重新替换模型。此处，为了避免限流和彼此之间的任务收发影响，建议不同Agent选用不同的模型KEY。重复此操作，为所有的三台主机替换基础模型。

本节介绍如何创建vLLM GPU多机PD分离任务。 前置条件 1. 确认智算套件已经安装并且全部运行中 2. 进入智算套件，AI应用管理，队列管理，确保队列存在并且有足够的资源(GPU,CPU,内存,rdma/rdmashareddevicea) [参考创建队列的文档] 操作步骤 创建任务 进入智算套件，AI应用列表，在线推理菜单，创建AI应用 基本信息 应用类型：vLLM 开启PD分离选择：静态PD分离 推理类型选择：多机 配置信息 推理框架，框架版本，推理模型，模型版本，Prefill 实例数和副本数，Decode 实例数和副本数，根据实际情况选择。 注意 Prefill 实例数和副本数，Decode 实例数和副本数用默认参数即可。 Prefill 菜单中的 PrefillMaster, PrefillWorker，Decode 菜单中的 DecodeMaster，DecodeWorker 启动参数用默认参数即可。 Prefill 菜单中的 PrefillMaster, PrefillWorker 中的资源都要填 GPU 和自定义资源 rdma/rdmashareddevicea。 Decode 菜单中的 DecodeMaster，DecodeWorker 中的资源都要填 GPU 和自定义资源 rdma/rdmashareddevicea。 简单的示例： 推理框架： nvidiavllm 框架版本：v0.11.2 推理模型：deepseekr1distillqwen1.5b 模型版本：v1 队列：选择存在且资源足够的的队列

本节介绍如何创建vLLM GPU多机PD分离任务。 前置条件 1. 确认智算套件已经安装并且全部运行中 2. 进入智算套件，AI应用管理，队列管理，确保队列存在并且有足够的资源(GPU,CPU,内存,rdma/rdmashareddevicea) [参考创建队列的文档] 操作步骤 创建任务 进入智算套件，AI应用列表，在线推理菜单，创建AI应用 基本信息 应用类型：vLLM 开启PD分离选择：静态PD分离 推理类型选择：多机 配置信息 推理框架，框架版本，推理模型，模型版本，Prefill 实例数和副本数，Decode 实例数和副本数，根据实际情况选择。 简单的示例： 推理框架： nvidiavllm 框架版本：v0.11.2 推理模型：deepseekr1distillqwen1.5b 模型版本：v1 队列：选择存在且资源足够的的队列 注意 Prefill 实例数和副本数，Decode 实例数和副本数用默认参数即可。 Prefill 菜单中的 PrefillMaster, PrefillWorker，Decode 菜单中的 DecodeMaster，DecodeWorker 启动参数用默认参数即可。 Prefill 菜单中的 PrefillMaster, PrefillWorker 中的资源都要填 GPU 和自定义资源 rdma/rdmashareddevicea。 Decode 菜单中的 DecodeMaster，DecodeWorker 中的资源都要填 GPU 和自定义资源 rdma/rdmashareddevicea。

云硬盘备份出现异常该如何处理？ 目前异常状态主要为云硬盘备份状态异常。当处于这些状态时，请参考下面处理建议。 异常状态 建议 错误 您可以删除错误状态的云硬盘备份后，再重新创建。 状态卡顿 请联系客服解决。客服会主动帮您解决此问题，在此之前建议不要对该备份数据做其他操作。如果您对客服响应速度有要求，请主动联系。 为什么子用户订购存储库跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。 云硬盘备份是否支持一致性备份？ 备份一致性通常包括不一致备份、崩溃一致性备份和应用一致性备份。云硬盘备份支持多磁盘批量备份，但不保证多个磁盘备份在同一时间点。因此，云硬盘单盘备份属于崩溃一致性备份，多盘备份属于不一致备份。 不一致备份：备份的文件或磁盘数据不在同一个时间点。在这种情况下，数据可能处于不同状态，例如部分数据已更新而其他数据未更新。通常发生在未同步备份多个磁盘或文件时，例如使用云硬盘备份对多个云硬盘单独备份，可能因备份时间不同步，而产生不一致数据。 崩溃一致性备份：备份数据在同一时间点捕获磁盘上的状态，但不备份内存数据，且不静默应用系统。恢复后的效果类似系统崩溃后重启的效果，内存的脏数据会丢失，但不保证应用层的一致性。 应用一致性备份：备份数据在同一时间点捕获，并静默应用系统、备份内存数据，确保应用层的事务完整性。恢复后无需额外恢复操作（如数据库日志回滚），直接可用。

本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

应用场景 Calico IPIP隧道容器网络适用如下场景： 1. 性能要求不高：由于引入了额外的IPIP隧道封包解包，相对于cubecni容器网络存在大约5%15%性能损失，适用于对性能要求不是特别高的业务场景，例如访问量不大的管理后台服务等； 2. 大规模组网：由于构建的覆盖（overlay）容器网络不占用任何VPC资源，所以在容器网络层面，集群节点数不受VPC资源限制；BGP Peer默认使用全互联模式，为减少节点数上升对BGP连接数的指数级消耗，当节点数大于100时，可使用路由反射模式，引入中心化的路由反射节点，将BGP连接数增长降为O(N)增长，最大可支持1000节点规模。 容器IP地址段分配 订购使用Calico容器网络插件的集群时，由于pod网段限制了节点和pod规模，建议选择使用一个大网段。如下所示，把172.16.0.0/12作为Pod网段： 集群创建时，云容器引擎使用该网段作为Calico的私有IP地址池，如下所示： 节点网段由kubecontrollermanager分配，默认每个节点会分配到一个掩码为24的地址段，可分配网段数直接决定集群节点规模上限，例如pod网段为172.16.0.0/18，则支持添加256个节点。若不考虑其它资源限制，单个节点理论上最多可创建256个Pod。 可以通过以下方式查看节点分配的pod网段： [root@CCSEAGENTvmAggbkVfL paasdp]

两个VPC实例都已加载至云间高速，但VPC实例下的云主机实例之间无法互通怎么办？ 1. 排查云主机实例所属的VPC实例是否加入了同一个云网关实例。需要将参与互通的云主机实例所属的VPC实例加入到同一个云间高速实例下。 2. 如果2个VPC实例位于不同的地域，需确保您已经在两个云网关之间创建了跨地域连接。 3. 请排查2个VPC实例是否配置了网络ACL，需确保网络ACL允许云主机实例之间互相访问。 4. 请排查2个VPC实例应用的安全组规则，需确保安全组规则允许云主机实例之间互相访问。 5. 请排查2个VPC实例下要互相访问的网段是否已被发布至云网关。 6. 请排查2个VPC实例连接的云网关路由表下是否存在路由策略，需确保路由策略允许要互通的网段通过。 7. 请排查2个VPC实例连接的云网关路由表与VPC实例的路由表下是否存在路由条目冲突。如果有冲突需解决产生路由冲突的网段。 8. 如果问题还是存在，请云主机实例中进行抓包排查，查看是否收到数据包。 创建完云专线（CDA），云间高速无法加载？ 1. 能加载进入云间高速的云专线不能与VPC建立连接，请修改云专线的开通单，VPC部分内容，请把配置信息置空。 2. 检查专线开通状态，是否属于服务正常状态。

FTP防火墙故障的解决步骤 1. 在开始中搜索IIS，在Internet信息服务（IIS）管理器界面中找到FTP防火墙设置。 图5 打开FTP站点的防火墙 2. 双击FTP防火墙支持，设置数据通道端口范围（可指定的有效端口范围是102565535），防火墙的外部IP地址中输入该云主机的公网IP地址，设置完成后点击右侧的应用。 图6 调整FTP防火墙中的数据通道端口范围 3. 重启云主机使FTP防火墙配置生效。 云主机设置安全组及防火墙 在云主机内搭建好FTP站点后，需要在云主机安全组的入方向添加一条放行FTP端口的规则，请按以下步骤进行操作。 1. 进入弹性云主机的管理控制台页面，进入云主机控制台，在顶端菜单栏处选择云主机所在的地理区域，在云主机列表中找到内部搭建了FTP的云主机，点击云主机的名称进入详情页面。 图7 打开云主机的安全组 2. 在云主机详情页面，选择“安全组”，点击云主机当前的安全组，确定安全组入口规则中有TCP协议的开放端口中涵盖了本文中“FTP防火墙故障的解决步骤”中步骤2指定的端口范围。如无请按本文中“云主机安全组规则添加的解决步骤”进行处理。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本文介绍CDN内容审核增值服务的适用场景和申请方法。 功能介绍 CDN内容审核是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来并邮件通知客户，同时支持对违规内容做自动封禁，实现“净网分发”。 适用场景 适用于需要在内容分发过程中，实现图片内容审核的场景，一般用于UGC（User Generated Content）类网站，或需要上传个人头像、照片类网站及应用。 注意事项 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。 仅对在CDN节点中首次被访问的图片文件做内容审核，如果开启内容审核时大部分文件已缓存，则这部分文件不再进行内容审核，仅在下次文件更新后再做审核。 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 某个URL文件一旦被CDN内容审核系统鉴定为违规内容，将可能被CDN系统自动封禁，用户请求时将返回403；相关URL将自动通过邮件发送到客户指定邮箱。 内容审核为异步操作，不影响正常的CDN内容分发。 该功能为增值服务，配置开启后将产生相应费用。具体收费规则，详情请见：CDN内容审核计费。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 1. 待审核图片类型：目前内容审核功能开启后，支持的图片类型包含：jpggifjpegbmppng。 2. 是否自动封禁：CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。这里的是否自动封禁，主要指对于确定违规部分内容，是否由CDN自动进行封禁。 说明 CDN内部存在内容审核机制，即使用户未开启内容审核及其自动封禁功能，如发现并确定用户网站存在涉嫌违规内容，内部仍会进行封禁，同时通知用户。

本章节主要介绍如何创建数据治理中心DataArts Studio的增量包。 DataArts Studio采用基础包+增量包的模式。如果创建的基础包无法满足您的使用需求，您可以额外创建增量包。在创建增量包前，请确保您已创建DataArts Studio实例。 当前DataArts Studio支持如下增量包： 批量数据迁移增量包 批量数据迁移集群提供数据上云和数据入湖的集成能力，全向导式配置和管理，支持单表、整库、增量、周期性数据集成。DataArts Studio实例中不包含数据集成集群，如果您需要使用数据集成的功能，需要创建批量数据迁移增量包。 批量数据迁移增量包支持通过按需计费方式购买：按需计费方式比较灵活，可以即开即停，按实际使用时长计费。 数据服务专享集群增量包 数据服务定位于标准化的数据服务平台，提供一站式数据服务开发、测试部署能力，实现数据服务敏捷响应，降低数据获取难度，提升数据消费体验和效率，最终实现数据资产的变现。使用数据服务专享版需要在购买DataArts Studio基础包实例后，购买专享版集群增量包。 按需计费方式创建数据集成集群 购买“按需计费”增量包，系统会按照您所选规格自动创建一个数据集成CDM集群。 1. 单击已开通实例卡片上的“创建增量包”。 2. 进入创建DataArts Studio增量包页面，参见表1 进行配置。 表1 配置数据集成的增量包 参数 说明 增量包类型 选择批量数据迁移增量包。 计费方式 选择按需计费。 可用区 第一次DataArts Studio实例或增量包时，可用区无要求。 再次创建DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 l如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 l如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 工作空间 选择需要使用批量数据迁移增量包的工作空间。只有在关联了工作空间后，才能在此工作空间中使用创建的CDM集群。 企业项目 当关联了多个工作空间后，需要为CDM集群指定一个企业项目。 集群名称 自定义数据集成集群名称。 实例类型 目前数据集成集群支持以下部分规格供用户选择： lcdm.large：8核CPU、16G内存的虚拟机，最大带宽/基准带宽为3/0.8 Gbps，集群作业并发数上限为16。 lcdm.xlarge：16核CPU、32G内存的虚拟机，最大带宽/基准带宽为10/4 Gbps，集群作业并发数上限为32，适合使用10GE高速带宽进行TB级以上的数据量迁移。 lcdm.xlarge.dec：16核CPU、32G内存的虚拟机，最大带宽/基准带宽为10/4 Gbps，集群作业并发数上限为32，适合使用10GE高速带宽进行TB级以上的数据量迁移。 l购买DataArts Studio赠送的4核CPU、8G内存的虚拟机，仅支持作业单并发运行。 虚拟私有云 DataArts Studio实例中的数据集成CDM集群所属的VPC。VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 说明 目前CDM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 DataArts Studio实例中的数据迁移CDM集群所属的子网。通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 说明 目前CDM实例创建完成后不支持切换子网，请谨慎选择所属子网。 安全组 DataArts Studio实例中的数据集成CDM集群所属的安全组。安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 说明 目前CDM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。 IPv6双栈支持 当配置的子网支持IPv6后，可选择是否开启IPv6双栈支持。 IPv6双栈后，集群内网IP支持IPv4和IPv6，可通过IPv4或IPv6内网地址访问集群。 说明 开启IPv6双栈后，仅支持选择已开启IPv6网段的子网。如果待选择的子网未开启IPv6网段，则需要在虚拟私有云VPC服务中开启。 仅支持为内网IP启用IPv6双栈，暂不支持为公网IP启用IPv6双栈。 说明 集群创建好以后不支持修改规格，如果需要使用更高规格，需要重新创建。 3. 单击“立即创建”，确认规格后单击“创建”。 4. 创建成功后，即可返回对应的工作空间查看已创建的数据集成集群。

域名信息模板创建：在新域名服务界面点击“控制台”进入到创建模板页面。具体有如下两种方式： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“控制台”进入控制台页面。 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“控制台”进入控制台页面。 在控制台模版界面，点击“域名信息模版管理” → “创建模版”进入创建模版页面。 在创建模板页面输入域名服务需要的相关信息。 点击“提交”，即可完成域名信息模板创建，等待模版实名认证通过后即可购买域名。 注：域名所有者证件类型和上传的证件扫描件保持一致，模版审核一般5个工作日内可以完成，若模版实名被拒绝，请修改或者新建模版 。

对比 项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。

本文介绍为云主机配置内网域名的最佳实践概述。 背景 内网域名是指仅在VPC内生效的虚拟域名，无需购买和注册，无需备案。云解析服务提供的内网域名功能，可以让您在VPC中拥有权威DNS，且不会将您的DNS记录暴露给互联网，解析性能更高，时延更低，并且可以防护解析劫持。我们可以将VPC内承担内网域名解析功能的DNS称为内网DNS。 内网域名功能支持为VPC内每个云主机创建一个内网域名，实现： 通过内网域名访问VPC内的云主机，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云主机切换时，只需通过修改内网域名解析记录即可，无需修改代码。 操作场景 本实践为内网DNS典型应用场景，如图所示。 图逻辑组网 方案优势 上图展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

高效部署 支持云磁盘作为系统盘快速发放；分钟级发放物理机，不受资源约束，满足用户对资源弹性和快速部署需求。 基于统一console控制台，支持自助式资源生命周期管理和运维管理。 快速响应 专业的运维团队，硬件、网络故障将被直接处理，快速响应。 监控可视化，配件齐全，一旦出现故障及时替换，保证用户可用性。 灵活组合 支持与云主机混合组网，操作简单，满足不同业务部署需求。 高可靠存储 采用云磁盘作为数据持久化，支持服务器重建，整体可用性、可靠性高于传统服务器。 支持在线挂载、卸载云硬盘，满足用户对弹性存储的诉求。 支持云磁盘作为系统盘和数据盘、硬盘备份恢复能力。 支持共享磁盘，更好地满足搭建集群高可用场景的应用。

本节主要介绍怎么通过控制台查看桶的信息。 您可以通过OBS管理控制台直接查看某个桶的详情。 操作步骤 1. 在桶列表单击待操作的桶，进入“对象”页面。 2. 在左侧导航栏，单击“概览”进入“概览”页面。 3. 在页面上方可查看桶的部分信息，包含桶名称、存储类别、数据冗余存储策略、所属区域、创建时间。 4. 在页面右上方可查看桶的基本信息，包含对象个数、存储用量、桶版本号、所属企业项目和账号ID。 5. 在“用量分析”下查看桶的存储信息、流量信息和请求信息，以及对应信息的月环比。 6. 在“监控告警”下查看桶的告警类型及次数，单击右上角“告警详情”可进入“云监控服务告警记录”页面查看详情。 7. 在“域名信息”下查看桶的域名信息，包含Endpoint(终端节点)（双栈地址、IPv4地址）、访问域名（双栈地址、IPv4地址）、静态网页托管域名，可在操作列进行相关的操作。 8. 在“基本信息”下查看桶的基本信息，包含对象个数、桶版本号、所属企业项目和账号ID。 说明 1. “用量统计”统计数据非实时数据，大约存在一个小时左右的延迟，仅供参考。查看请求次数和流量统计，需要用户拥有桶所属区域的CES ReadOnlyAccess权限或其他更大的CES权限。当该桶不支持用量统计时，“用量分析”卡片在此处不展示。 2. 当该桶不支持用量统计时，“监控告警”卡片在此处不展示。 参数 说明 桶名称 桶的名称。 存储类别 桶的存储类别，有标准存储、低频访问存储、归档存储三种类别。 桶版本号 桶的版本号。 区域 桶所在的区域。 存储用量 桶中存储的对象占用的存储空间，为桶中最新版本对象和所有历史版本对象的容量总和。 对象数量 桶中存储的对象数量，为桶内文件夹、最新版本对象和所有历史版本的对象总和。 帐号ID 桶的拥有者全局唯一标识，与“我的凭证”页面的“帐号ID”相同。 创建时间 桶的创建时间。 多版本控制 多版本控制的状态。 Endpoint 桶所在区域的终端节点。OBS为每个区域提供一个终端节点，终端节点可以理解为OBS在不同区域的区域域名，用于处理各自区域的访问请求。 访问域名 OBS会为每一个桶分配默认的访问域名。访问域名是桶在互联网中的域名地址，可应用于直接通过域名访问桶的场景，比如：云应用开发、数据分享等。格式：BucketName .Endpoint 数据冗余存储策略 桶的数据冗余存储策略，包括多AZ存储和单AZ存储。数据冗余存储策略无法修改。 企业项目 桶所属的企业项目。

本小节介绍 Web应用防火墙自定义防护策略。 自定义防护策略配置入口 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入WAF防护配置页面。 3. 在WAF防护配置列表中，单击防护域名操作列的“自定义防护配置”，进入自定义防护配置页面。 1.基础防护配置 通过此界面可以将WAF当前防护模式进行调整，可以由阻断模式调整到观察模式。 可通过设置当前网站的应用系统与编程语言等业务信息，制定更加符合业务场景的Web入侵防护规则集。 2.一键关站 一键关站支持快速关闭外部流量对源站的访问，并自定义网站响应内容。 3.AI智能学习模式 AI学习引擎通过自动学习网站的流量特征与访问模式，同时对业务数据进行分类训练，提高对已知与未知Web安全威胁的防护效果。 4.CC防护策略 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。

本章节介绍Kubernetes配置相关能力 概述 Kubernetes配置目前支持K8s配置项、K8s保密字典和配置模板，通过Kubernetes配置来管理K8s的配置项、保密字典以及自定义添加配置模板。可以使用配置项来保存不需要加密的配置信息，例如jvm相关参数信息；使用保密字典来保存一些敏感信息，例如token数据；也可以通过配置模板提前创建好模板，方便在配置项或保密字典中引用。 K8s配置项 创建配置项 在配置项页面，点击“创建配置项”。创建配置项需要填写如下内容： 配置项名称：输入配置项名称 K8s集群：下拉选择目标云容器引擎K8s集群 K8s命名空间：自动带出 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s配置项键值 值： K8s配置项内容value 编辑K8s配置项，只能修改配置项键值内容。 删除K8s配置项，点击更多选择删除按钮，根据提示完成删除操作即可 说明 删除K8s配置项，前提是这个配置项没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s配置项使用情况。 K8s保密字典 在保密字典页面，点击“创建保密字典”。创建保密字典需要填写如下内容： 保密字典名称 云容器引擎K8s集群：选择目标K8s集群 K8s命名空间：根据K8s集群自动带入 base64编码数据：勾选后，secret须配置base64编码的数据 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s保密字典键值 值： K8s保密字典内容value 编辑K8s保密字典，只能修改保密字典键值内容。 删除K8s保密字典，点击更多选择删除按钮，根据提示完成删除操作即可。 说明 删除K8s保密字典，前提是这个保密字典没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s保密字典使用情况。

本文介绍如何创建组网配置。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通。在您要完成企业分支互联之前，您需要在零信任控制台创建组网配置进行管理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 根据业务需求进行相关配置。 组网配置列表 您可以在组网配置列表里，对不同连接器分支进行互联互访配置。 列表字段说明如下： 字段 字段说明 组网配置名称/ID 组网配置名称：展示组网配置名称和ID，支持修改。支持中文、英文大小写、数字、横杠、下划线，最大支持64字符。 组网配置ID：提供ID，代表组网配置的唯一性。 状态 展示组网启用/停用状态。 连接器集群数量 展示当前组网中有多少个用于互联的连接器集群（分支机构）。 应用数量 展示当前组网中关联允许互访的应用数量。 操作 支持快捷操作： 连接器关联：点击继续添加用于组网的新连接器集群。 链路管理：对当前组网内的所有分支链路进行管理。 网络拓扑：以图形和地图的方式展示组网拓扑。 网络指标：以图表形式记录组网链路的时延、抖动、丢包。 启用/停用按钮：快速启停组网功能。 删除：删除整张组网。

本章节为媒体存储最佳实践概览。 最佳实践部分将根据对象存储、块存储、文件存储分别介绍最佳实践。 对象存储 对象存储通过快速使用、数据安全、数据迁移与备份、操作使用分别阐述各自的最佳实践。 快速使用 通过XstorBrowser访问对象存储 数据安全 数据安全应用场景 对子用户进行桶级别的权限隔离 校验上传对象的数据一致性 使用服务端加密进行数据保护 数据迁移与备份 迁移其他云厂商数据到媒体存储 通过镜像回源迁移数据到媒体存储 备份存储桶 操作使用 通过生命周期管理对象 性能优化实践 WEB端直传媒体存储流程优化实践 移动应用使用临时凭证直传 使用预签名URL直传媒体存储 块存储 Linux主机挂载 Windows主机挂载 文件存储 NFS协议挂载 CIFS协议挂载 SMB协议挂载 Windows主机自动挂载CIFS Linux主机自动挂载CIFS/NFS

本章节内容主要介绍数据库存储 文档数据库服务存储的存储配置是什么 文档数据库服务存储采用云硬盘，具体情况请参考《云硬盘用户指南》。 文档数据库服务的备份数据存储采用对象存储服务，不占用用户购买的数据库空间。关于文档数据库实例存储的硬件配置，请参见《对象存储服务用户指南》。 数据超过了文档数据库实例的最大存储容量怎么办 如果您的应用程序所需的存储容量超过最大分配量，解决措施如下： 扩容存储空间。 社区版集群实例增加shard节点。 哪些内容会占用购买的文档数据库实例空间 以下内容占用购买的文档数据库实例空间： 除备份数据以外的用户正常的数据。 文档数据库实例正常运行所需的数据，比如系统数据库、数据库回滚日志、索引等。 文档数据库服务产生的日志输出文件，这些文件会保证文档数据库实例正常稳定地运行。比如oplog文件，默认占磁盘空间的10%，且不可修改oplog大小。 申请的文档数据库实例磁盘空间会有哪些系统开销 您申请的磁盘空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。

本节主要介绍HBlock使用的数据目录怎么自动挂载。 应用场景 服务器已使用mount命令挂载HBlock使用的数据目录，需要开机后自动挂。 前提条件 服务器已使用mount命令挂载HBlock数据目录。 具体操作 1. 使用命令lsblk f查看数据目录的文件系统信息，找到文件系统对应的UUID。 [root@server ~] lsblk f vda ├─vda1 swap 9e33bd6fc68c41c795c8703f4fe8c3d4 [SWAP] └─vda2 xfs a83f4fdc2ea14feca1e2a42016ce0afe / vdb └─vdb1 ext4 c62d513ec3cf4719b15c4366e4b52664 vdc └─vdc1 ext4 1c47025a602842ce90aa59d6f5106818 /mnt/storage01 2. 在/etc/fstab文件中新增挂载目录的信息，下次开机启动时会自动挂载该目录。 UUID1c47025a602842ce90aa59d6f5106818 /mnt/storage01 ext4 defaults 1 1

本文介绍使用容器安全卫士防护云原生应用的流程。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷地解决业务容器化后带来的安全问题。 使用容器安全卫士防护云原生应用的流程如下：

本文介绍如何在组网配置中管理链路。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，可支持在链路管理中精细化管理链路配置。在您要完成企业分支互联之前，您需要在零信任控制台将连接器关联到组网配置中。首次创建组网会根据关联的连接器分支自动生成所有链路。您可以在链路管理中对互联链路进行增删改查。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击链路管理。 链路管理 您可以在链路管理里，查看已关联的链路以及对应的链路配置。 列表字段说明如下： 字段 字段说明 链接名称/区域 针对双向连接的连接器集群的名称、对应区域。 链接类型 加速链路：即通过POP节点进行加速选路。 连接链路：即仅两个连接器互联，不经过加速POP。 链路状态 异常：即链路不互通，可能存在一定问题，需要进行分析、查看。 正常：正常运行中。 关联连接器/应用 连接器集群名称以及对应下的应用情况。 当前时延 展示当前的时延情况。 当前丢包 展示当前的丢包情况。 当前抖动 展示当前的抖动情况。

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时， 用户可以将两台弹性云主机设置为内网互通后再拷贝资源。 安全组配置方法： 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 在两台弹性云主机所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 协议 方向 端口范围/ICMP协议类型 源地址 设置内网互通时使用的协议类型（支持TCP/UDP/ICMP/All） 入方向 设置端口范围或者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个安全组的ID 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

开启定时漏洞扫描 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击定时扫描右侧的“设置”，页面右侧弹出定时扫描设置窗口，可进行定时扫描设置。 4. 设置选项包括漏洞类别、漏洞等级、定期检测周期、设置生效范围，详细参数说明如下。 参数 说明 定时扫描 开启或关闭定时扫描。 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“WebCMS漏洞”和“应用漏洞”。 定期检测周期 设置后会在周期选定的时间点开始定期检测。 扫描周期：选择每天、3天或7天。 扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。 设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。 说明 以下服务器不能被选中执行漏洞扫描： 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确定”，设置完成。

访问控制日志 字段 类型 描述 ruleid string 触发规则的ID srcip string 源IP地址。 srcport string 源端口号。 dstip string 目的IP地址。 dstport string 目的端口号。 srcregionname string 源地区名称。 srcregionid string 源地区ID。 dstregionname string 目的地区名称。 dstregionid string 目的地区ID。 logtype string 日志类型。 internet：互联网边界流量日志 nat：NAT边界流量日志 vpc：VPC间流量日志 dsthost string 目的域名。 vsys long 防火墙防护方向。 1：南北向 2：东西向 protocol string 协议类型。 app string 应用类型。 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 防火墙当前的响应动作。 permit：放行 deny：阻断 hittime long 访问发生的时间。 流量日志 字段 类型 描述 srcip string 源IP地址。 srcport string 源端口号。 dstip string 目的IP地址。 dstport string 目的端口号。 protocol string 协议类型。 app string 应用类型。 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 防火墙当前的响应动作。 permit：放行 deny：阻断 srcregionname string 源地区名称。 srcregionid string 源地区ID。 srcvpc string 源IP地址所在VPC的ID dstregionname string 目的地区名称。 dstregionid string 目的地区ID。 dstvpc string 目的IP地址所在VPC的ID logtype string 日志类型。 internet：互联网边界流量日志 nat：NAT边界流量日志 vpc：VPC间流量日志 dsthost string 目的域名。 vsys long 防火墙防护方向。 1：南北向 2：东西向 hittime long 访问发生的时间。 tosbytes long 客户端向服务端发送的字节数。 tocbytes long 服务端向客户端发送的字节数。 tospkts long 客户端向服务端发送的报文数。 tocpkts long 服务端向客户端发送的报文数。 bytes long 防护流量的字节数。 packets long 防护流量的报文数。 starttime long 流开始时间 endtime long 流结束时间

本节介绍了云数据库TaurusDB产品咨询相关问题。 使用TaurusDB要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户使用应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及TaurusDB服务使用的弹性云主机（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对TaurusDB服务的后台管理系统可见。 3. 查看实例列表时请确保与实例选择的区域一致。 4. 申请TaurusDB后，您还需要做什么。 申请TaurusDB实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： a. TaurusDB实例的CPU、内存等资源是否足够，如果资源不足需及时变更规格。 b. TaurusDB实例的数据存储空间是否足够，如资源不足需及时扩容。（超出时会自动扩容，但超出部分是按需收费，价格比自行扩容贵）。 c. TaurusDB实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 为何使用了TaurusDB后网站登录较慢 推荐您做如下两个处理： 通过TaurusDB服务的管理控制台查看TaurusDB实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和TaurusDB的差异。 TaurusDB如何自动进行故障切换 创建TaurusDB实例时，除主节点外，默认创建了一个只读节点。当主节点故障时，系统会自动切换到只读节点，只读节点提升为主节点，原来故障的主节点也会自动恢复为只读节点。

本页介绍了常见的实例故障节点处理和规避方法。 集群实例 集群实例包含 mongos, config 和 shard 3 类节点。 其中 config 和 shard 节点都采用 3 节点副本集架构，如果某个节点发生故障，系统会自动进行高可用切换操作，选取一个正常节点继续提供服务，后台会对故障节点进行检查和修复。config 和 shard 的自动切换操作对用户来说不需要任何干预，整个过程会在 1 分钟内完成，用户请求如果出现报错可以进行重试。 每个 mongos 是独立运行的，如果节点出现故障，则该节点不可用。用户在创建实例时会分配多个 mongos 节点，因此推荐客户端使用 Connection URI 连接所有 mongos 节点，而不是单个 mongos 节点。客户端会自动对所连接的 mongos 进行探活检查，并自动将请求分散到正常的 mongos 节点上。 连接示例如下： mongo "mongodb:// : @ , /admin?authSourceadmin" 副本集实例 一个副本集实例包含多个 mongod 节点。比如 3 节点副本集包含 1 个 Primary，1 个 Secondary 和 1 个 Hidden 节点。如果 Primary 节点故障，系统会自动选择另外正常的 Secondary 节点成为新的 Primary 节点，后台会对故障节点进行检查和恢复。 整个切换和恢复过程不需要用户干预，在此期间可能会产生 1 分钟以内的连接闪断和请求失败，用户可以对出现报错的请求进行重试。 建议客户端使用 Connection URI 连接文档数据库时，连接所有正常节点，并指定 replicaSet 参数。避免在出现单个节点故障时，影响应用的正常请求。 连接示例如下： mongo "mongodb:// : @ , /admin?authSourceadmin&replicaSet "

Redis Cluster集群实例，为直连集群版，兼容开源Redis的Cluster，基于去中心化集群部署架构，Cluster中每一个节点存储一部分数据。 Redis Cluster集群实例的特点如下： 支持智能客户端JedisCluster的使用方式。 对比单机规格，整体性能与Redis分片数近乎线性增长。 架构示意图 Cluster集群的去中心化架构中，数据存储和处理负载不再由单一中心节点来管理，而是由多个节点共同参与。这种架构设计旨在提高系统的可伸缩性、可用性和容错性。 数据分布在多个节点上，从而实现更好的性能和可靠性。 数据分片 在Cluster集群中，数据分片是指将整个数据集划分为多个片段，并分别存储在不同的节点上。这种分片机制带来了一系列好处，包括横向扩展性、负载均衡和提高系统性能。Cluster会预先分配16384个slot，每个Redis的server存储所有slot与redis server的映射关系。 适用场景 数据量较大 可以支持单个Redis分片规格164G自由选择，Redis分片数量从364G可选，最大可支持4TB规格，可有效满足业务扩展要求。 QPS压力较大的场景 采用多节点部署，突破Redis单线程的性能瓶颈，可较好支撑QPS较大的场景。 吞吐密集型应用场景 提供高性能、高可用性和横向扩展性，适用于需要处理大量读写请求的需求场景。 对Redis协议兼容性要求较高的场景 兼容Redis社区原生Cluster集群，各业务可实现平滑迁移。 缓存数据无高可用场景 由于Cluster单机实例采用单副本集群部署架构，不具备高可用性与服务连续性，若使用请务必确认风险。

密码问题 密码输入错误时，端口可以连接上，但鉴权认证会失败。如果忘记了密码，可以重置缓存实例密码。 实例配置问题 连接Redis时存在拒绝连接，可登录分布式缓存服务控制台，进入实例详情页面，调整实例参数maxclients的配置，具体操作可参考修改实例配置参数。 客户端连接问题 （1）在使用Rediscli连接Cluster集群时，连接失败。 解决方法：请检查连接命令是否加上 c ，在连接Cluster集群节点时务必使用正确连接命令。 Cluster集群连接命令： ./rediscli h {dcsinstanceaddress} p 6379 a {password} c 单机、主备、Proxy集群连接命令： ./rediscli h {dcsinstanceaddress} p 6379 a {password} 具体连接操作，请参考Rediscli连接。 （2）出现Read timed out或Could not get a resource from the pool。 解决方法： 排查是否使用了keys命令，keys命令会消耗大量资源，造成Redis阻塞。建议使用scan命令替代，且避免频繁执行。 排查实例是否是Redis 3.0，Redis 3.0底层用的是sata盘，当Redis数据持久化即AOF时，会触发偶现的磁盘性能问题，导致连接异常，可更换Redis实例为4.0 和5.0版本，其底层是ssd盘，磁盘性能更高，或若不需要持久化可关闭AOF。 （3）出现unexpected end of stream错误，导致业务异常。 解决方法： Jedis连接池调优，建议调整连接池参数。 排查是否大key较多。 连接断开。 解决方法： 调整应用超时时间。 优化业务，避免出现慢查询。 建议使用scan命令替代keys命令。 （4）Jedis连接池问题，请参考使用Jedis连接池报错如何处理？。