本节介绍如何对弹性云主机进行开机操作。 操作场景 开机操作可以将弹性云主机从关机状态切换为运行状态，以便正常运行应用程序和服务。 对单台云主机进行开机的操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在云主机列表中，使用搜索功能输入云主机的名称、ID或IP地址以定位目标云主机。 5. 选择目标云主机，点击云主机列表左上角的开机操作按钮。 6. 在弹出的提示信息中，确认操作是否正确。 注意 请注意云主机状态的说明。如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。 对多台云主机进行开机的操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在云主机列表中，选择需要开机的多台云主机。 5. 点击云主机列表左上角的开机操作按钮。 6. 在弹出的提示信息中，确认操作是否正确。 注意 请注意云主机状态的说明。如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。

过滤类型 过滤规则配置方式 文件 1.精确地指定“过滤路径”到对应的文件级别。2. 系统会自动选择“文件”单选按钮作为过滤类型。3. 单击“确定”按钮，即可成功添加该文件的过滤规则。注意：该规则会将此文件过滤，务必谨慎操作。 目录 1. 精确指定“过滤路径”到对应的目录级别。2. 手动选择“目录”单选按钮作为过滤类型。3. 在保留项配置中，选择保留目录下的文件、目录以及目录树。4. 单击“确定”按钮，完成目录过滤规则的添加。注意：该规则会默认对该目录下除保留项外的所有文件和目录进行过滤，务必谨慎操作。 正则 1. 精确指定“过滤路径”到对应的目录级别。2. 手动选择“正则”单选按钮作为过滤类型。3. 在递归选项中，选择是否将规则重复调用应用于该目录下的子目录。4. 单击“添加”按钮，添加正则规则，支持根据需要添加多条表达式。5. 单击“确定”按钮，完成正则过滤规则的添加。注意：该规则会默认对该目录下所有匹配正则表达式的文件和目录进行过滤，务必谨慎操作。 通配符 1. 精确指定“过滤路径”到对应的目录级别。2. 手动选择“通配符”单选按钮作为过滤类型。3. 在递归选项中，选择是否将规则重复调用应用于该目录下的子目录。4. 单击“添加”按钮，添加通配符规则，支持根据需要添加多条表达式。5. 单击“确定”按钮，完成通配符过滤规则的添加。注意：该规则会默认对该目录下所有匹配通配符表达式的文件和目录进行过滤，务必谨慎操作。

文件过滤规则的配置方式 1. 精确地指定“过滤路径”到对应的文件级别。 2. 系统会自动选择“文件”单选按钮作为过滤类型。 3. 单击“确定”按钮，即可成功添加该文件的过滤规则。 注意 该规则会将此文件过滤，务必谨慎操作。 目录过滤规则的配置方式 1. 精确指定“过滤路径”到对应的目录级别。 2. 手动选择“目录”单选按钮作为过滤类型。 3. 在保留项配置中，选择保留目录下的文件、目录以及目录树。 注意 该规则会默认对该目录下除保留项外的所有文件和目录进行过滤，务必谨慎操作。 正则过滤规则的配置方式 1. 精确指定“过滤路径”到对应的目录级别。 2. 手动选择“正则”单选按钮作为过滤类型。 3. 在递归选项中，选择是否将规则重复调用应用于该目录下的子目录。 4. 单击“添加”按钮，添加正则规则，支持根据需要添加多条表达式。 5. 单击“确定”按钮，完成正则过滤规则的添加。 注意 该规则会默认对该目录下所有匹配正则表达式的文件和目录进行过滤，务必谨慎操作。 通配符过滤规则的配置方式 1. 精确指定“过滤路径”到对应的目录级别。 2. 手动选择“通配符”单选按钮作为过滤类型。 3. 在递归选项中，选择是否将规则重复调用应用于该目录下的子目录。 4. 单击“添加”按钮，添加通配符规则，支持根据需要添加多条表达式。 5. 单击“确定”按钮，完成通配符过滤规则的添加。 注意 该规则会默认对该目录下所有匹配通配符表达式的文件和目录进行过滤，务必谨慎操作。

组名已经创建 当消息生产端/消费端运行时，报错The producer/consumer group has been created。 问题原因：在同一个jvm里面只允许一个producerGroupName被加载一次 （consumerGroupName同理），否则就会报错。 解决方案： 如果使用同一个producerGroupName，部署多个实例（起多个进程）。 在一个进程里，起多个线程，共用一个Producer对象实例。 Subscription group not exist或者抛出%retry%的topic没有路由信息 问题原因：没有建立消费关系或者没有创建相关订阅组。 解决方案：在管理台或命令行创建对应订阅组。 Messgae already acked，ackMessage failed 解决方案：这种异常表明该消息已被签收，直接跳过即可。 重试签收调用次数 ackMessageRetry重试签收是只需要调一次就够了，还是需要调多次。例如：签收失败后，调用重试签收，如果重试签收也失败，是否需要再次调用重试签收，还是会自动重试签收。 现有版本接口不会自动帮你重试签收的， 重试签收失败后，需要自己再次调用重试签收接口。 签收时出现不确定异常，如发生超时，或者网络异常时，是需要应用判断消息是否已经签收成功 解决方案： 通过管理台“即时查询”模块，查询这消息是否已经签收成功，看结果再做处理。 重试签收，如果已经签收会抛已签收异常。主要还是看应用的自己处理。 客户端注册失败 客户端日志报No matched consumer for the PullRequest PullRequest。 问题原因：客户端实例注册失败。 解决方案：检查客户端代码，重启客户端进程。

参数 参数类型 说明 示例 下级对象 id Integer id 687 createTime Long 创建时间 1729734246000 sourceIp String 来源ip 192.168.10.5 targetIp String 目标ip 100.126.9.172 sourcePort String 来源端口 37282 targetPort String 目标端口 21 flow Double 流量数 2.59 agreement String 协议 TCP direction String 方向 OUT attackApp String 攻击应用 MYSQL

本章节为您介绍企业路由器的应用场景。 企业客户的业务A部署在VPC1内，业务B部署在VPC2内，出于安全考虑，业务A和业务B互访的流量需要经过防火墙过滤清洗。 客户痛点 希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙，通过将VPC和云防火墙关联至企业路由器中不同的路由表，控制VPC1和VPC2互访流量经过防火墙。

本节包含了通用计算增强型C3弹性云主机的概述、规格、适用场景。 概述 C3型弹性云主机是新推出的一系列性能更高、计算能力更稳定的弹性云主机规格，搭载英特尔® 至强® 可扩展处理器，配套高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 类型 CPU基频/睿频 CPU型号 ::: C3 3.0GHz/3.4GHz 6151(72HT) 适用场景 对稳定性要求较高的中小型数据库、缓存和搜索集群，以及多种类型和规模的企业级应用场景。 规格 表 C3型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 虚拟化类型 ::::::: c3.large.2 2 4 1.5/0.6 30 2 KVM c3.xlarge.2 4 8 3/1 50 2 KVM c3.2xlarge.2 8 16 5/2 90 4 KVM c3.4xlarge.2 16 32 10/4 130 4 KVM c3.8xlarge.2 32 64 15/8 260 8 KVM c3.15xlarge.2 60 128 17/16 500 16 KVM c3.large.4 2 8 1.5/0.6 30 2 KVM c3.xlarge.4 4 16 3/1 50 2 KVM c3.2xlarge.4 8 32 5/2 90 4 KVM c3.4xlarge.4 16 64 10/4 130 4 KVM c3.8xlarge.4 32 128 15/8 260 8 KVM c3.15xlarge.4 60 256 17/16 500 16 KVM

操作步骤 1. 进入“组织策略管理>全部组织策略”页面。 2. 在策略列表选择已有策略，点击右侧操作栏的“编辑”按键，进入策略编辑页面。 3. 根据需要，编辑策略名称、策略描述后，点击“下一步”。 4. 选择“可视化视图”或“JSON视图”编辑自定义策略内容，策略内容的编辑详见策略语法。点击“保存”完成编辑。 删除企业组织策略 约束与限制 您只能对自定义策略进行删除，删除自定义策略前，请解除该策略在用户组、用户上的授权关系。 操作步骤 1. 进入“组织策略管理>全部组织策略”页面。 2. 点击策略管理列表操作栏的“删除”。 3. 在弹出的二次确认提示框中，点击“确认”即可删除成功。 绑定/解绑企业组织策略 绑定企业组织策略 1. 进入“组织策略管理>组织对应策略”页面。 2. 选择组织后，点击“绑定策略”。 3. 可在弹窗页面搜索选择策略，点击“确认”后则绑定成功，该组织应用的策列列表显示该策略信息。 解绑企业组织策略 1. 进入“组织策略管理>组织对应策略”页面。 2. 选择组织后，可查看组织绑定的策略，选择待解绑的策略，点击操作列的“取消绑定”。 3. 在弹出的二次确认提示框中，点击“确认”后则解绑成功，该组织应用的策列列表清除该策略信息。

帐户余额充足 帐户余额不足或欠费 APM状态 可正常使用APM 冻结，不再采集并展示欠费后的应用数据，但之前的数据仍可展示、查询。 续费说明 此期间续订特惠包，可正常使用APM。 如果充值，APM自动解除冻结，按需计费。如果您需要特惠包，需要重新购买。否则，APM按需计费。 续费说明 如果不续订特惠包，APM自动将收费方式转为按需计费。 如果不充值，超出保留期后，所有资源被释放，此期间APM不计费。

本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

本节介绍了:创建一个应用集群——退订集群的用户指引。 在云容器引擎控制台，在集群选项卡可以点击 更多 > 退订对集群实例进行退订。 说明 退订容器集群，可选择删除集群订购时选择的IaaS资源，建议DELETE删除全部IaaS资源，否则需到对应的云产品控制台进行手动清理。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

操作步骤 1. 按需编辑应用 YAML，添加读写带宽或 IOPS 限制注解。 2. 应用 YAML 到集群： plaintext kubectl apply f .yaml 3. 部署后，Pod 启动时自动生效，无需额外操作。 4. 若需调整限速参数，修改注解后重新部署/滚动升级 Pod。 测试与验证流程 1. 部署带磁盘限速注解的测试 Pod（如上 YAML 示例）。 2. 进入 Pod 内部，运行 fio 工具进行磁盘性能测试： plaintext kubectl exec it n demo sh fio namefiotest ioenginelibaio direct1 filename/test/fiotest bs4k rwrandrw rwmixread50 size1G timebased runtime60 iodepth8 numjobs1 groupreporting 3. 观察 fio 输出，确认读写带宽与 IOPS 已被限制在注解设定范围内。 4. 可对比未限速和限速下的 fio 测试结果，验证限速效果。 常见问题与说明 注解配置无效？ 请确认集群和节点已启用磁盘限速能力，且注解拼写正确。 查存储卷类型，部分类型（如 hostPath）受限速支持影响。 限速效果与预期不符？ 实际带宽/IOPS 受节点硬件、存储类型等多因素影响，建议多次测试取均值。 Pod 启动报错或无效？ 检查注解单位和格式，确保符合规范。 注意 建议仅对有实际需求的业务配置磁盘限速，避免资源浪费。 修改限速参数需滚动升级或重建 Pod 以生效。 测试时建议隔离环境，避免影响其他业务。

本节介绍创建智能网关。 前提条件 已完成AI套件安装，网络组件运行正常。 约束与限制 智能网关依赖ELB，可登录网络控制台弹性负载均衡页面创建资源。 操作步骤 1、创建智能网关 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 智能网关，选择创建智能网关 在创建智能网关页面，首先完成基础信息配置： 配置项说明如下： 配置项 说明 实例名称 集群内命名空间下唯一，名称长度大于1，小于253个字符 命名空间 集群命名空间 标签 标签遵循K/V格式，其中Key规范如下： Key 的结构： Key 可以分为两部分：可选的前缀（prefix）和标签名（name），两者之间用 / 分隔。例如：example.com/mykey。 前缀规则： 前缀是可选的，如果存在，则必须是一个 DNS 子域名格式，例如 example.com。 前缀长度不能超过 253 个字符。 标签名规则： 标签名部分是必须的。 标签名长度不能超过 63 个字符。 标签名只能包含字母（az、AZ）、数字（09）、连字符（）、下划线（）、点（.）。 标签名必须以字母或数字开头和结尾。 注解 注解遵循K/V格式，其中Key规范如下： 结构组成： 注解键由两部分组成：可选前缀（Prefix）和名称（Name），格式为 / 。 如果没有指定前缀，则键被视为用户私有的。 前缀规则： 前缀必须是 DNS 子域名格式，即由点（.）分隔的 DNS 标签组成，总长度不超过 253 个字符。 例如：example.com 或 mycompany.com/myapp。 名称规则： 名称部分是必需的，不能包含前缀。 名称长度不能超过 63 个字符。 名称只能包含字母（az、AZ）、数字（09）、连字符（）、下划线（）、点（.）。 名称必须以字母或数字开头和结尾。 键值对限制： 注解中的键和值都必须是字符串类型。 不支持数字、布尔值、列表等其他类型。 描述 网关实例的附加描述信息 配置信息 CPU 网关实例容器CPU配置，单位核数 配置信息 内存 网关实例容器内存配置，单位Gi 配置信息 副本数 网关实例部署的副本数，大于1，小于100 访问控制 类型 表示智能网关流量暴露方式，默认是LoadBalance类型的Service 访问控制 负载均衡 支持私网访问和公网访问两种模式，对应私网类型ELB和公网类型ELB 访问控制 监听器配置 网关实例至少配置一个监听器，包括接入协议（目前支持HTTP）、服务端口（与推理应用容器端口保持一致）、接入范围（同命名空间）

本页介绍天翼云TeleDB数据库元数据pgtransparentcryptpolicytablespace的内容。 存储管理和配置透明加密策略在表空间级别的应用。 名称 类型 定义 spcoid Oid 表空间的OID algorithmid int16 加密算法的ID option text 加密选项的参数（可变长度字段）

在线加密 在线加密是对称密钥加密的场景，适用于保护小型敏感数据（小于6KB），如口令、证书、身份信息、后台配置文件等。通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 信封加密 信封加密是对称密钥加密的场景，是一种应对海量数据的高性能加解密方案。这种技术不再使用用户主密钥（CMK）直接加密和解密数据，而是通过生成加密数据的数据密钥（DEK），将其封入信封中（即通过CMK加密）存储、传递和使用，由KMS确保数据密钥的随机性和安全性。 实际使用时，用户无需将大量业务数据上传至KMS服务端，直接通过离线的数据密钥在本地实现加解密，有效避免安全隐患，保证了业务加密性能的要求。 签名验签 数字签名技术是非对称加密算法的另一种典型应用。用户可在KMS中创建非对称用户主密钥（CMK），其由一对关联的公钥和私钥构成。公钥可以被分发给任何人，而私钥由KMS确保安全性，不提供任何接口导出非对称密钥的私钥。 使用者仅能通过接口调用私钥进行签名运算。 实际使用时，签名者将验签公钥分发给消息接收者，签名者使用签名私钥，对数据产生签名，签名者将数据以及签名传递给消息接收者，消息接收者获得数据和签名后，使用公钥针对数据验证签名的合法性。

目前，轻量型云主机主要为用户提供公共镜像。公共镜像当前包含常用的系统镜像和应用镜像，提供类型可参考帮助文档支持的镜像。 注意 该表内为各资源池全量镜像，部分资源池支持镜像数目不一致，请以控制台实际情况为准。

本章节会介绍关系型数据库查看性能时遇到的常见问题。 RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 为何使用了RDS后网站登录较慢 推荐您做如下两个处理： 通过关系型数据库服务的管理控制台查看关系型数据库实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和关系型数据库的差异。

本章节介绍普通消息的收发方法和示例代码。其中，普通消息发送方式分为同步发送、异步发送、单向发送。 同步发送：同步发送是指消息发送方发出一条消息后，会在收到服务端同步响应之后才发下一条消息的通讯方式。 异步发送：异步发送是指发送方发出一条消息后，不等服务端返回响应，接着发送下一条消息的通讯方式。 单向发送：发送方只负责发送消息，不等待服务端返回响应且没有回调函数触发。 收发消息前，请参考收集连接信息收集RocketMQ所需的连接信息。 准备环境 开源的Java客户端支持连接分布式消息服务RocketMQ版，推荐使用的客户端版本为4.9.7。 通过以下任意一种方式引入依赖： 1. 使用Maven方式引入依赖。 org.apache.rocketmq rocketmqclient 4.9.7 org.apache.rocketmq rocketmqacl 4.9.7 2. 点击下载依赖JAR包：rocketmqall4.9.7binrelease.zip 同步发送 同步发送是最常用的方式，是指消息发送方发出一条消息后，会在收到服务端同步响应之后才发下一条消息的通讯方式，可靠的同步传输被广泛应用于各种场景，如重要的通知消息、短消息通知等。 参考如下示例代码 import org.apache.rocketmq.acl.common.AclClientRPCHook; import org.apache.rocketmq.acl.common.SessionCredentials; import org.apache.rocketmq.client.producer.DefaultMQProducer; import org.apache.rocketmq.client.producer.SendResult; import org.apache.rocketmq.common.message.Message; import org.apache.rocketmq.remoting.RPCHook; import org.apache.rocketmq.remoting.common.RemotingHelper; public class ProducerNormalExample { private static RPCHook getAclRPCHook() { return new AclClientRPCHook(new SessionCredentials( "accessKey", // 分布式消息服务RocketMQ控制台用户管理菜单中创建的用户ID "accessSecret" // 分布式消息服务RocketMQ控制台用户管理菜单中创建的密钥 )); } public static void main(String[] args) throws Exception { DefaultMQProducer producer new DefaultMQProducer("YOUR GROUP ID", getAclRPCHook()); // 填入控制台获取NAMESRV接入点地址 producer.setNamesrvAddr("XXX:xxx"); ; // 如果需要开启SSL，请增加此行代码 producer.start(); for (int i 0; i < 128; i++) try { { Message msg new Message("YOUR TOPIC", "TagA", "Hello RocketMQ".getBytes(RemotingHelper.DEFAULTCHARSET)); SendResult sendResult producer.send(msg); System.out.println(sendResult); } } catch (Exception e) { e.printStackTrace(); } producer.shutdown(); } }

本文为您介绍云主机快照的常见问题。 云主机快照是否支持跨可用区，地域使用？ 不支持。有此类需求可以考虑使用镜像，云主机备份，云硬盘备份，云备份等产品。 云主机重装系统，云主机快照是否还支持使用？ 不支持。云主机重装前需要先删除云主机快照。 云主机退订，删除，云主机快照是否还支持使用？ 不支持。云主机退订，删除前需要先删除云主机快照。 本地盘云主机支持创建快照吗？ 不支持。建议您在应用层做好数据冗余处理，或者为集群创建部署集，提高应用的高可用性。 一个云主机可以绑定几个快照策略？ 一个云主机只支持绑定一个快照策略。当云主机已经绑定云主机快照策略A时，再次绑定到云主机快照策略B，云主机将会自动解绑策略A。 云主机快照能否下载或导出到本地？ 云主机快照不能下载或导出到本地。有下载需求，请参考镜像相关功能。 文件系统一致性快照和非一致性快照的区别？ 区别主要在于选择制作文件系统一致性快照时会尝试同步未落盘数据和冻结文件系统，保证多个云硬盘数据的时序一致。具体数据使用上的区别跟用户具体应用有关，建议用户根据业务自行判断和验证。 注意 文件系统一致性快照表示创建时会尝试同步未落盘数据，冻结文件系统，同步或冻结失败时会生成非一致性快照。创建时会对业务系统造成影响，如需避免影响建议使用非一致性方式或系统空闲时使用。 非一致性快照表示创建时不会同步未落盘数据，冻结文件系统。 关机情况下系统已满足同步数据和冻结文件，会生成一致性快照。开机情况下Windows系统不支持同步数据和冻结文件，会生成非一致性快照。

本章节主要介绍如何创建分布式消息服务RabbitMQ实例。 RabbitMQ是一款基于AMQP协议的开源服务，用于在分布式系统中存储转发消息，服务器端用Erlang语言（支持高并发、分布式以及健壮的容错能力等特点）编写，支持多种语言的客户端，如：Python、Ruby、.NET、Java、JMS、C、PHP、ActionScript、XMPP、STOMP、AJAX等。 AMQP，即Advanced Message Queuing Protocol，高级消息队列协议，是应用层的一个开放标准协议。 前提条件 在创建RabbitMQ专享版实例前，需要保证存在可使用的虚拟私有云。创建虚拟私有云的方法，请参考《虚拟私有云用户指南》。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 为RabbitMQ授权 如果RabbitMQ实例需要开启IPv6功能，在创建实例前，需要授予RabbitMQ操作VPC终端节点的权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess 操作步骤 步骤1 登录管理控制台。 步骤2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的应用服务相同的区域。 步骤3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务>RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤4 单击页面右上方的“购买RabbitMQ实例”。 每个项目默认最多可以创建100个RabbitMQ专享版实例，如果您想创建更多实例，请联系客服申请增加配额。 步骤5 选择“计费模式”、“区域”、“项目”和“可用区”。 步骤6 设置“实例名称”和“企业项目”。 步骤7 设置实例信息。 1. 版本：RabbitMQ的版本号，当前仅支持3.8.35。 2. 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 3. 鲲鹏实例：“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 4. 规格：根据实际情况选择规格。 说明 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 5. 代理个数：根据实例情况选择代理个数。 6. 存储空间：选择RabbitMQ实例的磁盘类型和存储空间总量。 单机实例的取值范围：100GB ~ 30000GB 集群实例的取值范围为：100GB 代理数 ~ 30000GB 代理数 7. 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 说明 虚拟私有云和子网在RabbitMQ实例创建完成后，不支持修改。 子网开启IPv6后，RabbitMQ实例支持IPv6功能。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 8. 安全组：在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 图1 设置实例信息 步骤8 设置连接RabbitMQ实例的用户名和密码。 步骤9 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤10 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性IP页面，购买弹性IP。 图2 购买RabbitMQ实例时公网访问设置 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，相应RabbitMQ实例的公网访问功能会自动关闭。 2. 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启 。 3. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签。 4. 设置实例的描述信息。 步骤11 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 步骤12 确认实例信息无误且阅读并同意《分布式消息服务RabbitMQ服务等级协议》、《天翼云分布式消息服务协议》后，提交请求。 步骤13 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的RabbitMQ实例，然后重新创建。如果重新创建仍然失败，请联系客服。

RDSPostgreSQL系统策略 RDSPostgreSQL默认提供三种系统策略供用户选择，策略仅包括数据库管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。RDSPostgreSQL的三种默认策略分别是PostgreSQL管理员策略（PostgreSQLadmin），普通用户策略（PostgreSQLuser），只读用户策略（PostgreSQLreviewer），三种策略的权限模型具体如下： 功能模块 权限名称 权限三元组 默认策略 功能模块 权限名称 产品编码 服务编码 操作标识 admin user reviewer 实例管理 PG查询实例列表 pgsql inst list Y Y Y 实例管理 PG数据库清理操作 pgsql remote clean Y 实例管理 PG实例操作 pgsql inst operate Y 实例管理 PG修改实例参数 pgsql params alter Y Y 实例管理 PG查询实例节点 pgsql node query Y Y Y 实例管理 PG实例节点相关操作 pgsql node operate Y Y 实例管理 PG exporter操作 pgsql exporter operate Y Y 备份恢复 PG全量备份 pgsql backup create Y Y 备份恢复 PG复制全量备份 pgsql backup copy Y Y 备份恢复 PG删除全量备份 pgsql backup delete Y 备份恢复 PG从备份恢复 pgsql backup recover Y Y 备份恢复 PG获取备份任务信息 pgsql backup tasklist Y Y 备份恢复 PG查看备份配置 pgsql backup settings Y Y 备份恢复 PG保存备份配置 pgsql backup save Y Y 数据库管理 PG查询数据库 pgsql database query Y Y Y 数据库管理 PG操作数据库 pgsql database operate Y Y 数据库管理 PG查询数据库编码方式 pgsql database encoding Y Y Y 账号管理 PG重置实例用户密码 pgsql user password Y 账号管理 PG查询实例用户列表 pgsql user list Y Y Y 账号管理 PG实例用户相关操作 pgsql user operate Y 参数模板管理 PG查询参数模板 pgsql template list Y Y Y 参数模板管理 PG查询模板具体参数 pgsql template detail Y Y Y 参数模板管理 PG操作参数模板 pgsql template operate Y Y 参数模板管理 PG应用参数模板 pgsql template apply Y Y 参数模板管理 PG修改模板内参数 pgsql template update Y Y 数据库审计 PG审计日志设置 pgsql audit set Y Y 数据库审计 PG查询审计日志设置 pgsql audit setting Y Y 数据库审计 PG查询审计日志 pgsql audit record Y Y Y 白名单管理 PG白名单查询 pgsql whitelist list Y Y Y 白名单管理 PG白名单操作 pgsql whitelist operate Y Y 企业项目管理 查看企业项目 ctiam project query Y Y Y

本章节主要介绍如何运行Flink作业。 用户可将自己开发的程序提交到MRS中，执行程序并获取结果。本章节指导用户在MRS集群页面如何提交一个新的Flink作业。Flink作业用于提交jar程序处理流式数据。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至OBS系统或HDFS中。 通过界面提交作业 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.若集群开启Kerberos认证时执行该步骤，若集群未开启Kerberos认证，请无需执行该步骤。 在“概览”页签的基本信息区域，单击“IAM用户同步”右侧的“同步”进行IAM用户同步。 说明 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时，由于集群节点的SSSD（System Security Services Daemon）缓存刷新需要时间，因此同步完成后，请等待5分钟，等待新修改策略生效之后，再进行提交作业。否则，会出现提交作业失败的情况。 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时，由于集群节点的SSSD缓存刷新需要时间，因此同步完成后，请等待5分钟，新修改策略才能生效。 4.单击“作业管理”，进入“作业管理”页签。 5.单击“添加”，进入“添加作业”页面。 6.“作业类型”选择“Flink”，参考下表配置Flink作业信息。 作业配置信息 参数 参数说明 作业名称 作业名称，只能由字母、数字、中划线和下划线组成，并且长度为1～64个字符。 说明 建议不同的作业设置不同的名称。 执行程序路径 待执行程序包地址，需要满足如下要求： 最多为1023字符，不能包含;l&>, <'$特殊字符，可为空。 注意 若输入带有敏感信息（如登录密码）的参数可能在作业详情展示和日志打印中存在暴露的风险，请谨慎操作。 服务配置参数 可选参数，用于为本次执行的作业修改服务配置参数。该参数的修改仅适用于本次执行的作业，如需对集群永久生效，请参考配置服务参数页面进行修改。 如需添加多个参数，请单击右侧增加，如需删除参数，请单击右侧“删除”。 常用服务配置参数如下表“服务配置参数”。 命令参考 用于展示提交作业时提交到后台执行的命令。 运行程序参数 参数 参数说明 取值样例 ytm 设置每个TaskManager容器的内存（单位可选,默认单位：MB）。 1024 yjm 设置JobManager容器内存（单位可选，默认单位：MB）。 1024 yn 设置分配给应用程序的Yarn容器的数量，该值与TaskManager数量相同。 2 ys 设置TaskManager的核数。 2 ynm 自定义Yarn上应用程序名称。 test c 设置程序入口点的类（如“main”或“getPlan(）”方法）。该参数仅在JAR文件未指定其清单的类时需要。 com.bigdata.mrs.test 说明 针对MRS 3.x及之后版本，运行程序参数不支持“yn”。 服务配置参数 参数 参数说明 取值样例 fs.obs.access.key 访问OBS的密钥ID。 fs.obs.secret.key 访问OBS与密钥ID对应的密钥。 7.确认作业配置信息，单击“确定”，完成作业的新增。 作业新增完成后，可对作业进行管理。

关闭Topic日志 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用服务 > 分布式消息服务Kafka”，进入Kafka总览页面。 4. 在左侧导航栏单击“Kafka实例”，进入Kafka实例列表页面。 5. 单击Kafka实例的名称，进入实例详情页面。 6. 在左侧导航栏选择“日志管理 > Topic日志”，进入“Topc日志”页面。 7. 在页面右上角单击“关闭日志”，弹出确认关闭对话框。 8. 单击“确定”，自动跳转到“后台任务管理”页面，“状态”为“成功”时，表示关闭Topic日志成功。 关闭Topic日志只是停止Topic日志上报功能，LTS控制台的日志组和日志流仍然保留，还会继续收费，如不需要保留该日志，可以在LTS控制台删除对应的日志组和日志流。

本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

概述 内存优化型宿主机上开通的云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，提供接近物理服务器的强劲稳定性能。CPU和内存配比可达1:8，适用于高内存计算应用，如大数据分析、核心数据库等。 内存优化型类别的宿主机上可部署m3型、m6型、m7型的弹性云主机，提供更好性价比。 宿主机规格 内存优化型专属云规格： 宿主机规格 超配比 CPU信息 虚拟CPU核数（vCPUs） 内存（GB） 内存优化型M3 1:1 第二代英特尔®至强®可扩展处理器2.3GHZ 16 core（cascade lake) 40 456 内存优化型M3 1:1 第二代英特尔®至强®可扩展处理器2.1GHZ 20 core(cascade lake) 56 444 内存优化型M6 1:1 第二代英特尔®至强®可扩展处理器3.0GHZ 24 core(cascade lake) 72 673 内存优化型M7 1:1 第三代英特尔®至强®可扩展处理器 2.8GHZ 38 core(ice lake) 128 902 说明 计算专属云规格中的vCPUs计算公式：vCPUs槽位数 CPU核数 单核线程数 CPU开销 由于实际部署的主机网络功能的软件版本差异，内存优化型M3 虚拟CPU核数调整。

本文介绍如何管理HTTPS证书。 新增证书 1. 进入Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入WAF防护配置页面。 3. 选择“https证书管理”，进入https证书管理页面。 4. 单击“新增”，弹出新增证书对话框。 5. 配置证书名称、证书公钥、证书私钥。 6. 单击“确定”，完成新增证书操作。 删除证书 单击“删除证书”，即可删除已新增的证书。 注意 删除证书前，请确保证书未在使用中，且未在“WAF防护配置”中配置。

G7型云主机 G7型云主机基于NVIDIA GRID虚拟化GPU技术，能够提供全面的专业级的图形加速能力。G7型云主机使用NVIDIA A10 Tensor Core GPU显卡，能够支持DirectX、OpenGL、Vulkan接口，提供6/12/24 GB三种显存规格，支持 76804320分辨率 ，满足从入门级到专业级的图形处理需求。 规格名称 vCPU 内存（GB） GPU 显存（GB） 虚拟显卡数 物理显卡数 虚拟化类型 最大带宽（Gbps）/基准带宽(Gbps) 网卡多队列数 最大收发包能力（万PPS） g7.2xlarge.4 8 32 A106Q 6 1 1/4 KVM 8/2.5 4 110 g7.4xlarge.4 16 64 A1012Q 12 1 1/2 KVM 15/4.5 8 220 g7.8xlarge.4 32 128 A1024Q 24 1 1 KVM 20/9 16 440 G7型云主机功能如下： 处理器与内存配比为1:4 支持图形加速接口： DirectX 12, Direct2D, DirectX Video Acceleration(DXVA) OpenGL 4.5 Vulkan 1.0 支持CUDA和OpenCL 支持Quadro vDWS特性，为专业级图形应用提供加速 支持NVIDIA A10 GPU卡 支持图形加速应用 提供GPU硬件虚拟化（vGPU） 提供和弹性云主机相同的申请流程 自动化的调度G7型弹性云主机到装有NVIDIA A10 GPU卡的可用区 可以提供最大显存24GB，分辨率为76804320的图形图像处理能力

本节包含了图形加速增强型云主机G6的概述、规格。 概述 G6型弹性云主机使用NVIDIA Tesla T4 GPU显卡，能够支持DirectX、OpenGL、Vulkan接口，提供16/32GiB显存，理论性能Pixel Rate：101.8GPixel/s，Texture Rate：254.4GTexel/s，满足专业级的图形处理需求。 类型 CPU基频/睿频 CPU型号 ::: G6 3.0GHz/3.4 GHz 第二代英特尔® 至强® 可扩展处理器 6266 请按需选择您所需要的类型和规格。 规格 表 G6型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列 GPU 显存（GiB） 虚拟化类型 ::::::::: g6.9xlarge.7 36 252 25/15 200 8 1T4 16 KVM g6.18xlarge.7 72 504 30/30 400 8 2T4 32 KVM G6型弹性云主机功能如下： 处理器：第二代英特尔® 至强® 可扩展处理器 6266，主频3.0GHz，睿频3.4GHz。 支持图形加速接口： − DirectX 12, Direct2D, DirectX Video Acceleration (DXVA) − OpenGL 4.5 − Vulkan 1.0 支持CUDA和OpenCL。 支持NVIDIA T4 GPU卡。 支持图形加速应用。 支持CPU重载推理应用。 提供和弹性云主机相同的申请流程。 自动化的调度G6型弹性云主机到装有NVIDIA T4 GPU卡的可用区。 内置1个NVENC和2个NVDEC。

本节介绍如何创建多机训练任务。 创建训练任务 1. 在集群列表页，选择指定集群 2. 在左侧导航栏，选择“智算套件/AI应用列表” 3. 智算控制台页面选择“离线训练”，单击“创建AI应用”。 2. 在创建详情页根据需要修改任务基本的信息，比如任务名、任务类型（PyTorch/TensorFlow/MinSpore）、命名空间等配置。 3. 选择多机训练任务。 4. 选择框架，这里会根据选择的任务类型筛选出所有对应的框架镜像。 说明 这里使用nvidiapytorchexample框架，此框架内置了用于演示的Mnist训练数据集和代码。 5. 选择框架镜像版本，如下所示此演示镜像支持多架构。 6. 选择队列，队列用于限制一组任务所使用的资源。 说明 若没有队列则单击去创建，并设置各类资源配额。 7. 配置Master资源及启动参数等信息，如果需要使用RDMA加速训练则将RDMA资源通过自定义方式进行挂载。 8. 配置Worker资源及启动参数等信息，如果需要使用RDMA加速训练则将RDMA资源通过自定义方式进行挂载。 9. 启动参数及环境变量说明。 启动命令如下：可调整对应训练轮次参数，若使用 GPU， backend 建议设置为 nccl。 shell python3 /opt/mnist/src/mnist.py epochs5 backendnccl PyTorch任务环境变量设置 shell PROTOCOLBUFFERSPYTHONIMPLEMENTATION:python 设置完成后单击确认创建训练任务。

本节介绍业务请求类常见问题。 QPS超过当前WAF版本支持的峰值时有什么影响？ 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。 独享版WAF支持的QPS规格说明： 单实例规格的正常业务请求峰值： WAF实例规格选择WI500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 CC攻击防护峰值： WAF实例规格选择WI500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI100，参考性能： 防护峰值：4,000QPS 如何查看防护网站的入带宽和出带宽信息？ 在“安全总览”页面，您可以查看防护网站或实例的带宽信息，操作步骤如下。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在网站或实例下拉列表中，选择要查看的网站或实例，并选择查看的时间段（昨天、今天、3天、7天、30天）。 步骤 5 在“安全统计”区域框中，选择“发送/接收字节数”页签，可以查看防护网站或实例的入带宽和出带宽信息。

本文简述传递用户ip回源功能的原理和配置方法。 功能介绍 使用应用加速产品后，源站获取到的客户端IP会变为应用加速回源节点的IP。如果源站需要获取真实的客户端IP地址，有两种方式： 1.proxyprotocol（简称PP），对内核无要求，需要源站进行修改，解析对应的文本字符串以获取真实的客户端IP。目前，Nginx和HAProxy已经支持，因此Nginx和HAProxy源站推荐使用该方式获取客户端IP。proxyprotocol的v1版本仅支持tcp协议，v2版本同时支持tcp和udp协议。 2.tcpoption传递用户IP回源的方式，该方式仅适用于tcp协议。选择该方式时，Linux系统需要安装我们提供的toa内核模块来获取真实客户端地址，该方式无需源站进行修改即可获取到真实的客户端IP。 配置说明 新增域名，配置传递用户IP回源步骤： 1.登录客户控制台。 2.在域名列表页面，点击右上角“添加域名”。 3.找到传递用户IP回源模块，打开开关。 4.选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时,您需要下载适配源站系统版本的toa模块,并安装到源站后才可正常使用该功能。 编辑域名，配置传递用户IP回源步骤： 1.登录客户控制台。 2.在域名列表页面，点击编辑目标域名。 3.找到传递用户IP回源模块，打开或者关闭开关；打开时需选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。