时间节点 功能名称 功能描述 相关文档 20220502 海外加速 天翼云首次推出海外加速，依托遍布全球的CDN优质节点及线路，通过智能调度及传输优化等核心自研技术，为企业跨国、跨境访问提供全站加速、CDN加速、应用加速等多种业务的加速服务。满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。

本文介绍如何创建配置项。 配置项是一种用于存储应用所需配置信息的资源类型，内容由用户决定。资源创建完成后，可在容器应用中加载使用。例如，在“数据卷”中加载资源文件，使其成为容器中的文件，或者在“环境变量”中加载，使其成为容器中的环境变量。 操作步骤 1.单击左侧导航栏的【配置中心】>【配置项】，单击【创建配置项】； 2.参照下表设置新增配置参数，其中带“”标志的参数为必填参数。输入完成后，单击【创建】； 参数 参数说明 集群 配置项所在集群 命名空间 配置项所在命名空间[]( 名称 新建配置项的名称，同一个命名空间里命名必须唯一 添加项/删除项 增加/删除一对键、配置项内容 键 配置项的键值。键值只能由字母、数字、句点、连字符和下划线组成 配置项内容 配置项的内容，通过上传文件/直接输入来表示 3.单击【创建】，等待创建成功，创建成功后，服务列表中会出现已创建的配置项，后续可进行编辑配置项、编辑YAML、删除配置项等操作。

功能名称 功能描述 站点自动开通 22个人工环节优化为3个，IPRAN/OTN接入7个工作日开通，具备自动化能力的云资源池分钟级开通。 新增应用场景 支持大中小企业客户全国境内/外广域组网、入云。 差异化QoS分级 标准服务可提供“钻石、白金、金、银、铜、BE”6个QoS等级，保障客户不同应用的指标要求。 业务全流程可视化 实现客户自助查看业务开通进展、业务完整网络拓扑、电路运行状态、故障告警提醒、电路流量监测，提供多种产品增值功能，多维度持续提升客户满意度。 支持调整站点的接入电路速率 在创建完成站点后，可以在公共传输通道的控制台页面对指定站点的接入电路速率进行调整。 支持对站点接入电路速率的随选调整 在创建完成站点后，可以在公共传输通道的控制台页面对指定站点的接入电路速率在约定时间内进行变更。 支持查看站点的开通进度 用户在创建站点或发起站点变更功能后，可以在站点列表页的“状态”列中查看当前业务的开通进度。

角色标签 对工作负载的业务或其他条件定义的标签，弱化IP 的依赖，从业务的角度赋予工作负载的名称，方便后期策略的制定和使用。 组标签 组标签用于定义一个工作组，分别是位置，应用，环境。 访问者 指访问的发起方，即访问来源。 提供者/服务者 指提供服务的工作负载，与访问者一同理解。 预阻断日志 在切换成测试状态时，工作负载记录到的不符合策略（未阻断）的流量日志。（工作负载需开启日志收集） 阻断日志 在切换成防护状态时，工作负载记录到的不符合策略（被阻断）的流量日志。（工作负载需开启日志收集）

一、引言 1.1 工具概述 EvalScope是一款专为大模型部署后性能评估设计的压力测试工具，支持多并发场景下的吞吐量、延迟、稳定性等核心指标测试。通过配置输入/输出Token长度、并发数等参数，可模拟真实业务负载，验证模型服务在不同上下文场景下的性能表现。工具基于Apptainer容器化部署，确保环境一致性，降低依赖冲突风险。 注意：该工具只有x86架构适配版(适用于NVIDIA GPU)，无法直接在ARM架构（昇腾 910B）下使用，因此实际测试时需要在X86架构机器上通过ssh执行。 1.2 使用须知 环境依赖 ：需预先安装Apptainer（若物理机使用Galaxy镜像，默认已集成），如需安装，具体安装指南见Apptainer官方文档。 网络配置 ：被测模型服务需暴露HTTP接口（如 资源要求：测试过程可能产生高I/O和网络负载，建议在独立测试环境中执行，避免影响生产服务。 1.3 应用场景 模型部署验证：确认模型服务在指定并发和上下文长度下的响应能力。 性能瓶颈定位：通过多并发和Token配置组合，识别吞吐量下降或延迟突增的临界点。 服务稳定性测试：长时间高负载下验证服务是否存在内存泄漏、连接超时等异常。 二、测试过程

域名组是多个域名或泛域名的集合。您可以通过添加域名组批量对域名或泛域名进行防护。 提供以下两种类型： 应用域名组：支持域名 或泛域名的防护；适用应用层协议，支持HTTP、HTTPS的应用协议类型；通过域名匹配。 网络域名组：支持单个域名 或多个域名的防护；适用网络层协议，支持所有协议类型；通过解析到的IP过滤。 匹配策略 应用域名组：CFW会将会话中的HOST字段与应用型域名进行比对，如果一致，则命中对应的防护规则。 网络域名组：CFW会在后台获取DNS服务器解析出的IP地址（每15s获取一次），当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中（已从DNS服务器解析中获取到IP地址），则命中对应的防护规则。 单个域名最大支持解析1000条IP地址；每个域名组最大支持解析1500条IP地址。解析结果达到上限，则无法再将新域名添加到域名组中。 说明 映射地址量大或映射结果变化快的域名建议优先使用应用域名组（如被内容分发网络（CDN）加速的域名）。 约束条件 域名组成员不支持添加中文域名格式。 域名组中所有域名被“防护规则”引用最多40000次，泛域名被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

本文介绍算力市场。 概述 算力市场是基于容器化技术的GPU算力服务平台，专注于为需要大规模、高性能算力的企业与研究机构提供垂直优化的AI算力资源池与开放兼容的接入生态。作为底层智算生态算力的核心构建者，算力市场将强大的AI算力转化为如同“水电煤”一样的可按需取用的基础设施，支撑大模型训练推理、前沿AI研发等核心场景，驱动AI技术创新与产业落地。 功能特性 按需计费 提供秒级计费、稳定可靠的GPU算力服务，支持按需创建释放，无需预先准备底层资源。 开箱即用 支持通过模版快捷创建智算容器实例，从而实现服务的一键部署。 多框架AI开发支持 全面兼容Deepseek等主流AI框架，提供开箱即用的AI开发环境。 多层次GPU资源配置 支持多种类型的智算容器实例，适于不同应用场景下的不同业务规模。

基于业务日志的运维分析 背景 Nginx日志是运维网站的重要信息，用于记录服务器活动和请求信息，Nginx服务器通常将Nginx日志输出到本地的文件中。传统模式下，运维人员查询日志时，需要登录服务器，通过操作系统的文件查看工具进行日志查询，由于日志分布在各个服务器上，且存在命令行操作易出错、服务器权限等限制因素，存在日志查询效率低下的问题。本实践将以Nginx日志为例，介绍日志采集、查询、分析与告警的过程。 优势 使用云日志服务，对比传统的日志模式，可以获得以下优势： 数据集中存储，无需登录多台服务器查询，在微服务架构下尤为重要 快速检索日志，告别繁琐的命令行操作，提升故障处理效率 实时检测异常日志，设置告警，提升故障响应时效 实践步骤 步骤一：创建日志项目与日志单元 开通云日志服务后，登录日志服务控制台，创建日志项目与日志单元。详细操作步骤请查看创建日志项目与日志单元。 1. 创建日志项目：日志项目是用于管理日志服务的资源单元，通常可将某个独立项目/业务的日志对应至一个日志项目中。 2. 创建日志单元：日志单元是进行日志数据的采集、存储、检索和分析的基本单元，日志数据以日志单元的方式进行管理，通常可将一个应用/服务下的日志采集至一个日志单元中。此处可为Nginx日志单独创建一个日志单元。

本节主要介绍分布式消息服务Kafka如何创建应用用户 场景描述 用户：主要用于规定生产消费指定加密主题的策略而需要，例如规定用户A可生产消费加密Topic1，用户B可生产消费加密Topic2，用户C可生产消费加密Topic1、Topic2，则需要为这三个用户创建用户，并分配加密主题权限。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入用户管理页面，点击新建用户。 （5）在 新建用户的窗口中填入集群名、用户、密码、描述，然后保存。 批量创建用户 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面。 （5）点击“批量创建用户”后，出现如下上传文件界面，文件格式件批量下载说明。 （6）点击“上传”完成批量创建。 下载批量创建用户模板 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入用户管理页面。 （5）点击“下载模板”右侧下拉倒三角“下载模板”，内容如下图。 （6）参数说明。 参数 说明 username 用户名 password 密码 description 备注或描述

本节主要介绍如何在智能视图服务控制台接入RTMP设备。 添加设备 点击左侧导航栏的【设备管理】，点击【添加设备】，进入添加设备页面，包含接入配置和设备配置两个步骤。 在接入配置页面中，填入设备名称，接入协议选择【RTMP】，选择视频流接入方式（目前仅支持推流方式），完成服务配置后点击【下一步】，进入到设备配置页面。 进入到设备配置页面，选择厂商、接入区域、设备地址和所属行业等相关信息后，点击【提交】可以看到在平台上成功创建的RTMP设备。 查看推流地址 设备创建完成后，进入设备详情页面可获取RTMP推流地址。用户可以使用该推流地址向平台进行推流，成功后即可使用实时预览、录像回放和AI应用等功能。

本页介绍了文档数据库服务如何修改参数组。 文档数据库服务产品支持用户修改参数组，包括当前实例的应用参数和参数组。 修改当前实例参数 修改步骤： 1. 进入TeleDB数据库控制台。 2. 点击左侧“DDS”，选择需要修改参数实例的实例ID，进入到实例详情。 3. 点击“参数设置”栏，对需要修改的参数进行设置，完成后点击“保存”。 修改参数组 修改步骤： 1. 进入TeleDB数据库控制台。 2. 点击左侧“DDS”>“参数组管理”菜单，点击“自定义参数模板”页签，进入到自定义参数组列表页。 3. 选择需要修改的参数组，点击参数组名称后进入参数列表，对需要的参数进行修改后点击“保存”。 4. 您也可以选择需要修改的参数组，点击“描述”按钮的符号，对参数组的描述进行修改，描述不能超过256位，且不能包含回车和特殊字符 > ! < " & ' 。 说明 仅支持修改自定义参数组模板，无法修改系统参数组。

方案优势 简化训练和部署的复杂流程：一站式智算服务平台通过整合全链路的工具组件，实现了训练与部署流程的极大简化，为科研人员提供了一站式解决方案。用户无需再为繁杂的工具和环境配置而烦恼，只需专注于模型的核心研发工作。智算开发平台不仅降低了大模型开发的使用门槛，更让AI技术的普及和应用变得更加便捷和高效。 开箱即用，降低调优成本：一站式智算服务平台为用户带来了便利，通过平台，用户无需进行任何额外的配置或调试，开箱即用。平台预置了丰富的预训练模型和镜像环境，针对不同场景提供了多样化预置数据集，确保用户能够迅速投入工作。同时，平台集成了大模型微调训练工具，适用于专属大模型的快速训练。此外，平台还支持分布式训练和Deepspeed加速框架，提供断点续训功能，支持小样本微调，使用户能够轻松定制专属模型，极大地降低了调优成本，提高了研发效率。 平台化全流程管理：一站式智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。

本章节会介绍如何创建参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 注意 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见5.6.9 应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见5.6.7 复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。

服务部署支持在推理场景将平台预置模型和模型仓库模型部署为模型在线服务。 前置条件 如果预置镜像不满足开发要求，需要基于自有镜像，需要完成镜像文件准备，详见我的镜像。 如果需要使用代码包，需要完成代码包准备，详见我的代码包。 创建在线服务 1. 登录训推智算服务平台。 2. 创建在线服务入口： 入口一：在左侧菜单选择“模型服务”“服务部署”，点击“部署模型”，进入在线服务创建页面。 入口二：在左侧菜单选择“模型管理”，点击模型卡片的“部署”，进入在线服务创建页面。 3. 当前模型部署支持将不同来源、不同类型的模型转化为可对外提供服务的模型应用，满足多样化的业务场景需求： 自定义部署：部署的模型来自于模型管理中用户通过开发机和训练任务生成的个性化的自有模型，或者是平台预置模型。选择“我的模型”列表下的目标模型文件，要求客户对自有模型的训练逻辑、 部署时的资源规格有清晰的认知，否则会直接影响部署效果。“我的模型”只适用于单机部署，如果想使用多机部署，请选择”预置模型“。 参数名 说明 服务名称 必填，在线服务名称。 模型文件 选择自定义配置，则可选择模型管理中“我的模型”或者“预置模型”下的模型文件。 模型选择 选择模型管理中的“我的模型”或者“预置模型”文件，挂载到容器内路径。 镜像来源 支持选择系统预置镜像、自定义镜像、他人分享镜像和镜像地址输入。 代码包选择 非必填，可以选择目标代码包。 环境变量 输入变量名称和值。 运行命令 必填，用以启动镜像的运行命令和端口号（例如：启动镜像的运行命令脚本。示例如下：cd /work/mount/code

本页介绍了文档数据库提升数据库的读写性能的方法。 常见的提高数据库读写能力方式： 1. 使用索引：确保你的文档数据库服务的数据库中有适当的索引，以加快查询速度。根据查询模式和数据访问模式创建合适的索引，避免全表扫描。 2. 写入优化： 1. 批量写入：对于大量数据的写入操作，使用批量写入可以减少写入操作的次数，提高写入性能。 2. 使用Unordered Bulk Write：对于不需要按顺序执行的批量写入操作，使用Unordered Bulk Write可以提高写入性能。 3. 关闭日志：对于写入密集的场景，可以考虑关闭写入日志（journal），以提高写入性能。但需要权衡数据的耐久性和丢失数据的风险。 3. 读取优化： 1. 使用读写分离：如果有高并发的读请求，可以使用文档数据库服务的读写分离策略，将读请求分发给多个Secondary节点，减轻Primary节点的读负载。 2. 选择合适的Read Preference：在读取操作中，根据数据的一致性要求，选择合适的Read Preference，平衡性能和数据一致性。 4. 调整连接池大小：根据应用程序的并发连接数和服务器硬件资源，适当调整文档数据库服务的连接池大小，以避免连接资源浪费和性能瓶颈。 5. 使用WiredTiger存储引擎：WiredTiger存储引擎在性能和存储方面通常优于MMAPv1引擎。对于大多数应用，推荐使用WiredTiger存储引擎。 6. 数据分片：如果数据规模非常大，可以考虑使用文档数据库的分片集群，将数据分散到多个节点上，实现水平扩展和负载均衡。 7. 硬件升级：确保文档数据库服务运行在性能良好的硬件上，包括CPU、内存和磁盘。SSD硬盘通常比传统机械硬盘更适合文档数据库，因为它可以提供更快的读写速度。 8. 维护：定期进行数据库维护操作，例如索引重建、压缩数据、日志清理等，可以优化数据库性能。

在同一区域中，VPC终端节点可以建立终端节点（VPC内云资源）到终端节点服务（用户私有服务、云服务）的便捷、安全、私密连接通道。 基于上述功能，VPC终端节点主要应用于以下场景。 高速上云 本地数据中心可以通过VPN或者云专线连通VPC，利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 如上图所示，本地数据中心通过VPN或者云专线与VPC 1连通，实现： 利用终端节点1，通过内网访问云服务（如OBS、DNS等）。 利用终端节点2，访问VPC 1的云资源（如ECS 1）。 利用终端节点3，跨VPC访问VPC 2的云资源（如ECS 2）。 这种场景具有以下优势： 简单快速 本地数据中心直连终端节点服务，无需经过公网，访问时延小，效率高。 成本低廉 本地数据中心访问云上资源不占用用户的公网资源，降低使用成本。 跨VPC连接 在同一区域中，由于VPC之间逻辑隔离，不同VPC内的云资源不能直接通信。利用在不同VPC间建立的终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 如上图所示，利用终端节点与终端节点服务建立的跨VPC连接通道，实现VPC 1中的云资源（如ECS）通过内网访问VPC 2中的云资源（如ELB）。 这种场景具有以下优势： 性能高效 每个网关节点可支持百万级会话。 简化操作 资源秒级创建，快速生效，操作简单。 具体示例请参考： 配置跨VPC通信的终端节点（同一帐号） 配置跨VPC通信的终端节点（不同帐号）

本文主要介绍云日志服务如何创建日志项目与日志单元。 在采集日志前，您需要先创建日志项目与日志单元。 日志项目是云日志服务的资源管理单位，您可使用日志项目管理不同的应用、产品或项目中的数据。每个日志项目下可创建多个日志单元，是您访问云日志服务资源的入口。 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。 本文主要介绍云日志服务如何创建日志项目与日志单元。 前提条件 已开通云日志服务。详情请参考开通云日志服务 操作步骤 1. 登录云日志服务控制台。 2. 创建日志项目。 1. 在日志项目列表中，点击【创建项目】。 2. 在创建项目界面中，输入项目的名称，项目名称全局唯一，且创建后不可修改。 3. 点击确定，日志项目创建成功，即可在日志项目列表下方生成一条日志项目信息。 3. 创建日志单元。 1. 点击日志项目名称对应的下拉按钮，点击【创建单元】。 2. 在创建日志单元界面，输入以下参数： 1. 日志单元名称：输入单元名称，注意单元名称在当前项目内不可重复，且创建后不可修改。 2. 日志存储时间：指日志采集后在云日志服务中的存储时长，超出存储时长后，日志数据将被老化删除。目前最长保存时间为365天。 3. 点击保存，日志单元创建成功，即可在目标日志项目下方生成一条日志单元信息。

功能介绍 在多集群的网格环境下，不同集群之间的服务之间如果需要互相访问，需要在不同集群下部署相同的服务，因为istio仅在服务名称一致的情况下，才会将集群中的端点信息推送给其他集群的pod； 因此当两个集群中服务不同的时候，需要通过DNS代理才能发现其他集群的服务；比如，在从集群中部署了sleep服务，在主集群中部署了productpage服务，istio控制面并不会将productpage的服务信息下发给从集群中的sidecar，这是因为从集群中没有与productpage同名的服务； 当打开了DNS代理功能后，从sleep发起的对prodcutpage的请求，sidecar会透明的拦截和解析productpage的pod地址，使其能够正常访问； 前提条件 在同一资源池下创建两个容器集群，并将其中一个作为主集群安装网格实例，具体步骤参考：多集群网络规划 在从集群中不存在名为 productpage 的 Service，因为这会导致 istio 向从集群下发网格中 productpage 信息，从而无法验证DNS代理功能； 部署环境 步骤一：在主集群中部署productpage应用 使用以下配置在主集群default命名空间部署productpage； plaintext apiVersion: v1 kind: ServiceAccount metadata: name: productpage apiVersion: v1 kind: Service metadata: name: productpage labels: app: productpage service: productpage spec: ports: name: productpage port: 9080 targetPort: 9080 selector: app: productpage apiVersion: apps/v1 kind: Deployment metadata: name: productpage spec: replicas: 1 selector: matchLabels: app: productpage template: metadata: labels: app: productpage sidecar.istio.io/inject: "true" spec: serviceAccountName: productpage containers: image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinfoproductpagev1:1.16.2' imagePullPolicy: IfNotPresent name: productpage ports: containerPort: 9080

客户端加密 SDK 是一个用于数据加密和解密的 Java算法库，支持多种加密算法和密钥管理策略。本 SDK 提供了简单易用的API，帮助开发者快速实现数据的安全加密和解密操作。 前提条件 已开通KMS包周期服务。 已完成应用接入点创建，获取KMS应用接入点地址。 已完成访问凭证AKSK创建。 已完成用户主密钥资源创建。 下载SDK 请点击下载SDK：客户端加密SDK.zip 安装与配置 STEP1 安装依赖 下载编译好的jar包，在项目根目录创建lib目录，并将jar包放入项目lib目录。 然后执行以下maven命令安装到本地仓库。 plaintext 安装kms终端节点sdk mvn install:installfile Dfilelib/ctyunencryptionsdkjava1.0.0.jar DgroupIdcn.ctyun DartifactIdctyunencryptionsdkjava Dversion1.0.0 Dpackagingjar STEP2 添加依赖 安装完成之后在 pom.xml 中添加以下依赖： plaintext cn.ctyun ctyunencryptionsdkjava 1.0.0 STEP3 配置文件 在项目资源目录resources的根目录下创建 cryptoconfig.yaml 文件，配置加密参数： plaintext ctyun: crypto: useUniqueDataKeyPerEncrypt: true keyProvider: KMSCMK local: cmk: X0UawdOxtOMbt89jbznSEg kms: ak: 09bc65a7aeea902c67dfa006c797795f sk: 2e10dd702651e2442fe478f2d9777db5 endpoint: ip:port cmkId: e64b31c03877445f9865bce1b6aacdef dekId: b0a116edde0149bbb2a74706fcd9b420

上下游分析可以查看上下游应用的请求量、平均延时、错误数信息。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用详情」或「接口调用」等其他分析视角，您可以在应用详情页面切换至「上下游分析」页签，在左侧关键指标中选择不同的应用实例/接口等，可查看该应用实例/接口相应的上下游信息。 功能说明 上游应用 上游应用是当前应用/SQL的调用者。上游应用向当前应用/SQL发起请求，并等待当前应用/SQL返回结果。通过上游应用分析可以查看上游应用/SQL的请求量、平均延时、错误数信息。 以卡片形式显示该应用实例在当前筛选时间段内的上游应用，默认全部展开，可以操作展开/收起，每个卡片上显示一个应用的应用名称、请求量、平均延时（即：耗时/响应时间）和错误数。 支持对应用名称进行搜索，支持对请求量/平均延时/错误数进行排序。 下游应用 下游应用指当前应用的被调用方。当前应用程序向下游应用发起请求，并等待下游应用返回结果。通过下游应用分析可以查看下游应用的请求量、平均延时、错误数信息。 以卡片形式显示该应用实例在当前筛选时间段内的下游应用，默认全部展开，可以操作展开/收起，每个卡片上显示一个应用的应用名称、请求量、平均延时（即：耗时/响应时间）和错误数。 支持对应用名称进行搜索，支持对请求量/平均延时/错误数进行排序。 通过记录上游应用和下游应用，可以在应用性能监控系统中查看应用程序与应用/SQL/接口之间的调用链路，并追踪请求和响应的流程。

本文介绍如何在云应用引擎控制台创建、查看、编辑和删除应用。 创建应用 云应用引擎支持以下2种方式创建应用。 常规创建方式：用户能够通过表单方式进行应用配置，快速初始化应用实例 YAML创建方式：通过内置的应用模板或者导入用户已有的YAML文件来快速创建应用 常规创建 1.在云应用引擎控制台，单击左侧导航栏选择 应用管理 > 应用列表，即可查看所有命名空间或指定命名空间下的应用列表。 2.在应用创建基础信息引导页面中进行应用基础信息设置（如命名空间、部署方式、网络配置等）、容量设置（应用资源限制、实例数等）以及高级设置，最后单击创建应用按钮以创建应用实例。 YAML方式创建 在云应用引擎控制台，左侧导航栏中选择应用管理>应用列表，单击使用YAML部署应用按钮。在页面中，可以基于提供的模板进行修改后部署，也可以上传用户已有的K8s YAML文件进行部署。 说明 目前YAML方式创建仅支持namespace、configmap、secret以及deployment资源。 查看应用 在云应用引擎控制台，单击左侧导航栏选择应用管理>应用列表即可查看指所有/定命名空间下的应用列表。 您可以在列表中单击目标应用名称，查看目标应用详情。 编辑应用 在云应用引擎控制台的应用详情页面，单击右上角修改应用配置按钮，您可以修改应用的配置信息。 删除应用 在云应用引擎控制台的应用详情页面，单击右上角更多>删除应用按钮，然后您需要确认删除的相关依赖资源，并进行应用删除。

本文介绍如何在云应用引擎控制台创建、查看、编辑和删除应用。 创建应用 云应用引擎支持以下2种方式创建应用。 常规创建方式：用户能够通过表单方式进行应用配置，快速初始化应用实例 YAML创建方式：通过内置的应用模板或者导入用户已有的YAML文件来快速创建应用 常规创建 1.在云应用引擎控制台，单击左侧导航栏选择 应用管理 > 应用列表，即可查看所有命名空间或指定命名空间下的应用列表。 2.在应用创建基础信息引导页面中进行应用基础信息设置（如命名空间、部署方式、网络配置等）、容量设置（应用资源限制、实例数等）以及高级设置，最后单击创建应用按钮以创建应用实例。 YAML方式创建 在云应用引擎控制台，左侧导航栏中选择应用管理>应用列表，单击使用YAML部署应用按钮。在页面中，可以基于提供的模板进行修改后部署，也可以上传用户已有的K8s YAML文件进行部署。 说明 目前YAML方式创建仅支持namespace、configmap、secret以及deployment资源。 查看应用 在云应用引擎控制台，单击左侧导航栏选择应用管理>应用列表即可查看指所有/定命名空间下的应用列表。 您可以在列表中单击目标应用名称，查看目标应用详情。 编辑应用 在云应用引擎控制台的应用详情页面，单击右上角修改应用配置按钮，您可以修改应用的配置信息。 删除应用 在云应用引擎控制台的应用详情页面，单击右上角更多>删除应用按钮，然后您需要确认删除的相关依赖资源，并进行应用删除。

本节主要介绍如何在智能视图服务控制台设置推送策略。 目前，平台仅支持短信方式推送告警信息。 AI消息推送的几大先决条件： 创建子用户须填入正确手机号，且已完成短信验证。 相关资源已配置AI应用且已启用成功以及有告警产生。 创建推送策略，且开启对应的推送策略。 选择推送策略菜单后，点击右侧控制台上方的【新建推送策略】按钮，如下图： 对创建推送策略窗口的相关参数进行解释： 参数名 解释说明 策略名 推送策略的名字，也是管理相关策略的索引。 描述 对当前策略进行备注。 推送方式 邮件推送、短信推送，目前仅支持短信推送。 推送时段 全天、时间段，客户根据自身的业务需要，选择特定时间段接收消息。 推送频率 系统预置半小时、1小时、2小时、4小时、8小时、24小时。 消息类型 设备消息、平台事件消息、AI消息。 子类型 设备消息：设备离线、流离线、录制失败。 平台事件消息：设备离线。 AI消息：展示AI应用的列表信息。 以上类型均支持单选、多选。 消息内容 邮件、短信接收到的文案信息。 生效资源 支持用户选择业务组、目录及独立设备，支持单选、多选。 推送对象 支持用户选择用户组或具体子用户，支持单选、多选。 创建用户组参见访问管理模块的【用户管理】。 配置AI应用后可以在AI分析结果查看AI告警图片，如下图：

本节介绍应用市场客户端的应用安装、升级、卸载等功能。 应用管理 搜索应用 支持通过应用名称等关键字搜索相关应用，也可以根据分类与行业快速检索所需应用。 安装应用 用户找到想要安装的应用后，可点击安装按钮安装，或进入应用详情页中下载安装。 安装方式 应用的安装方式可分为“一键安装”（静默安装）和“手动安装”两种。 “一键安装”，用户无需对应用进行设置，应用将直接下载并安装至虚机系统盘； “手动安装”，需要用户根据应用的安装指引进行安装。 注：可一键安装的应用，也支持手动安装。 应用升级 当已安装的应用有新版本可更新时，“我的应用”菜单将出现红点提示，可选择指定应用升级或全部升级。 应用卸载 我的应用菜单中，还可以选择“应用卸载”。应用卸载列表中展示的是桌面内已安装的应用（和控制面板中相同）。点击“卸载”按钮，将拉起桌面内应用的卸载程序。卸载完成后，应用将从列表中消失。

本节主要介绍关系型数据库服务的关键操作列表 关系型数据库服务（Relational Database Service，以下简称RDS）是一种基于云计算平台的可即开即用、稳定可靠、按需扩展、便捷管理的在线关系型数据库服务。 通过云审计服务，您可以记录与关系型数据库服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的RDS操作列表 操作名称 资源类型 事件名称 ::: 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

在接口详情页面,主要展示该应用的通过QPS、限流QPS、异常QPS指标、RT、并发数据等 接口详情 在接口详情页面，主要展示该应用所有接口的通过QPS、限流QPS、异常QPS指标、RT、并发数据等。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择网关治理。 3. 在网关治理页面的应用卡片页签单击目标网关卡片。 4. 在左侧导航栏选择接口详情。

本节主要介绍查看IAM操作记录 开通云审计服务 云审计服务（Cloud Trace Service，以下简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件，例如创建用户、删除用户等，管理员需开启云审计服务。 操作步骤 步骤 1 管理员登录控制台。 步骤 2 选择“服务列表 > 管理与监管 > 云审计服务2.0”，如之前账号未开通过云审计服务，会进入云审计服务授权页面，单击“同意授权并开通”，进入云审计服务页面。 步骤 3 在贵州区域创建1个管理追踪器，用于记录IAM服务的管理操作事件。 在IAM进行操作，例如创建用户、用户组等，CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件，如下表所示。 表 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 创建用户 user createUser 修改用户信息 user updateUser 删除用户 user deleteUser 创建AK/SK user createCredential、addCredential 删除AK/SK user deleteCredential 停用、启用AK/SK user changeCredentialStatus 修改AK/SK user updateCredential 创建用户组 userGroup createUserGroup 更新用户组 userGroup updateGroup、updateUserGroup 删除用户组 userGroup deleteUserGroup 添加用户到用户组 userGroup addUserToGroup、updateUser/updateUserGroup 从用户组删除用户 userGroup removeUserFromGroup、updateUser/updateUserGroup 创建委托 agency createAgency 修改委托 agency updateAgency 删除委托 agency deleteAgency 切换角色 agency switchRole Token createToken 创建自定义策略 role createRole 修改自定义策略 role updateRole 删除自定义策略 role deleteRole

应用场景概述 在以下场景中，均可使用Web应用防火墙（边缘云版）有效防御以及预防，保障网站以及应用的业务安全。 数据泄漏 随着数字化推进，企业站点存储大量企业信息和个人信息，黑客可以通过Web入侵获取企业信息资产，对企业造成无法估量的损失。 网站被篡改被挂马 黑客在获取Web站点或者服务器权限后，通过插入恶意代码，使客户端用户执行恶意程序，从而实现盗取账号等恶意行为；在站点植入涉黄、涉赌等非法链接；恶意篡改网站图片和文字；对网站造成恶意影响，损坏网站运营者的形象。 恶意数据抓取 电商平台利用爬虫互相爬取商品价格详情进行研究，借此获取竞争先机。羊毛党总是能在演唱会门票发布、促销大促使得优惠券发布时秒空。 CC攻击 CC攻击会造成站点业务中断，或者造成关键门户网站不能访问，攻击者往往是采用大量的数据包淹没业务服务器，导致业务资源占用飙升，请求数量突增，从而阻塞网站正常访问甚至宕机，对业务的连续性和品牌的影响极大，而且往往运营者在被攻击时很被动。 合规资质 天翼云Web应用防火墙（边缘云版）通过信通院泰尔实验室的可信安全云认证、IPv6可用认证、中国网络安全审查技术与认证中心的IT产品信息安全认证和公安部的等保三级认证。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

云专线服务为您提供优质的服务体验,本文带您了解云专线服务的产品优势。 云专线服务具备安全承载、稳定高效、灵活接入和便捷管理的优势。 安全承载 用户通过云专线服务接入云上VPC，可独占一条网络链路与云上资源进行通信，以避免数据泄露，实现透明承载数据、语音、视频等上层综合应用。用户既可选择独占物理端口进行数据传输，与其他用户业务数据实现物理隔离；也可采用三层子接口与其他用户共享物理线路，实现业务数据逻辑隔离，从而保障用户数据传输安全，同时节约用户租用专线的成本。 稳定高效 依托中国电信高性能网络布局，云专线服务使用专用网络传输数据，避免因链路拥堵或故障绕行等问题造成的不确定性时延，提高数据的传输速率，降低网络时延，具备运营商级别的高质量网络保障。 此外，云专线服务提供冗余方案，支持链路负载和主备两种方式接入。用户可通过自定义路由策略，有效分离管理流量和业务流量，并在链路故障时自动切换链路，进一步保障业务的平稳运行。 灵活接入 中国电信具备丰富的链路资源，提供IPRAN、MSTP、MPLS VPN、OTN等多种专线类型，用户可根据业务需求灵活选择不同专线接入方式，并且每种接入方式均可与互联网接入同时使用，以适配用户不同接入场景的地理位置和环境条件。同时可满足用户多种组网需求，帮助用户便捷组网。

介绍天翼云边缘安全加速平台—安全与加速服务对QUIC协议的支持情况以及配置说明。 适用场景 目前，天翼云边缘安全加速平台—安全与加速服务开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入边缘安全加速平台—安全与加速服务。 支持的QUIC类型 目前，天翼云边缘安全加速平台—安全与加速服务同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 注意事项 如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 如果您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版以及以上版本。

当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 攻击案例 竞争对手控制数台主机，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有URL进行防护。 限速模式：选择“源限速”、“IP限速”，根据IP区分单个Web访问者。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：防止误拦截正常用户，选择“人机验证”。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 当用户访问超过限制后需要输入验证码才能继续访问。进入防护事件页面，可以查看攻击事件详情。