本文将介绍如何在控制台中管理配置项。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 创建配置项 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群” 。 2. 在集群列表页面中，单击目标集群名称，并在左侧导航栏中选择“配置管理” 。 3. 选择“配置项” ，在配置项页面中，您可以通过以下两种方式创建配置项。 1. 通过配置项菜单创建。 1. 单击配置项页面左上角的“创建配置项”。 2. 在配置项新增页面中，填写配置项名称以及配置项内容，包括变量名和对应的变量值，允许添加多个配置项。同时支持从文件导入配置项内容。 2. 使用YAML创建资源。 1. 单击配置项页面左上角的“新增YAML”。 2. 在使用模版部署的页面填写配置项内容，即ConfigMap的相关信息；或者选择“从文件导入” ，然后单击保存 。 相关操作 配置项创建完成后，您可以在配置项页面中进行以下操作： 在目标配置项选项卡点击单击“查看与更新” ，可以查看、修改或删除该配置项信息。 在目标配置项选项卡单击“删除”，可以删除不需要的配置项。 在目标配置项选项卡单击“查看YAML”，看查看该配置项对应的YAML文件。

本节介绍云容器引擎的最佳实践：容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

本节介绍了云容器引擎的最佳实践： 通过配置kubeconfig文件实现集群权限精细化管理。 集群权限精细化管理的背景 云容器引擎默认给用户的kubeconfig文件对集群操作的权限相当于root级别，这样的权限级别对于某用户来说过大，很不便于对集群的精细化管理。为了达到对集群精细化管理的目标，我们可以通过kubeconfig设置特定的用户，然后给用户赋予集群的部分操作权限（如：增、查、改）。 注意事项 下面配置步骤操作前，请先确保您的机器上有kubectl工具，若没有请到社区下载与集群版本对应的或者最新的kubectl。 基于Role实现集群权限精细化管理的配置步骤 说明 下述示例创建一个用户，并且该用户只能查看default下的Pod，不能查看其他namespace下的Pod且不能删除default下的任何Pod。 1. 配置ServiceAccount，名称为testsa，命名空间为default kubectl create sa testsa n default 3. 创建Role，并配置针对不同资源相对应的操作权限 vi addRole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: testrole namespace: default rules: apiGroups: "" resources: pods verbs: get list watch apiGroups: apps resources: pods verbs: get list watch kubectl create f addRole.yaml 4. 配置RoleBinding，将sa绑定到Role上，让sa获取相应权限 vi addRoleBinding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myrolebinding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: testrole subjects: kind: ServiceAccount name: testsa namespace: default kubectl create f addRoleBinding.yaml 5. 配置集群访问信息 4.1 通过sa的名称testsa获取sa对应的密钥，第一列testsatokennttvl即为密钥名 kubectl get secret n default grep testsa 4.2 将密钥中的ca.crt解码后导出 kubectl get secret testsatokend6b4q n default oyaml grep ca.crt: awk '{print $2}' base64 d > ca.crt 4.3 设置集群访问方式，其中dev 为需要访问的集群名称，10.50.208.30为集群ApiServer地址，test.config为配置文件的存放路径 （1）如果通过内部ApiServer地址，执行命令如下： kubectl config setcluster dev server certificateauthorityca.crt embedcertstrue kubeconfigtest.config （2）如果通过公网ApiServer地址，执行命令如下： kubectl config setcluster dev server kubeconfigtest.config insecureskiptlsverifytrue 集群ApiServer地址为内网ApiServer地址，绑定弹性IP后也可为公网ApiServer地址。如下图： 5. 配置集群认证信息 5.1 获取集群的token信息 token$(kubectl describe secret testsatokend6b4q n default awk '/token:/{print $2}') 5.2 设置使用集群的用户uiadmin kubectl config setcredentials uiadmin token$token kubeconfigtest.config 7. 配置集群认证访问的上下文信息，uiadmin@test为上下文的名称 kubectl config setcontext uiadmin@test clusterdev useruiadmin kubeconfigtest.config 8. 设置上下文 kubectl config usecontext uiadmin@test kubeconfigtest.config

本小节介绍微隔离防火墙产品定义和产品优势。 产品定义 微隔离防火墙（CTMIFW Microisolation Firewall）面向数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理，能够帮助用户快速便捷的实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补，实现纵深防御。 产品优势 基础架构无关 与基础架构无关，与系统适配。 Linux 发行版 CentOS: 5.X(有限支持)/ 6.X/ 7.X/ 8.3.2011； Ubuntu: 14/ 16/ 18.04 LTS/ 20； Debian: 8/ 9/ 10； Suse: 11.4/ 12SP1/ 12SP5； Open Suse: 42.3/ 13.2/ Leap15.0。 Windows Server Windows Server 2008R2； Windows Server 2012/ R2； Windows Server 2016； Windows Server 2019。 国产操作系统 UOS:V20Debian10/V20CentOS7.7/V20CentOS8.2； Kylin: V4/ V7/ V10； EulerOS: SP5； OpenEulerOS: 20.09/ 21.09。 容器平台 K8S+Docker； K8S+CIRO。 系统影响小 采用安全可靠架构设计 全用户态设计，不侵蚀系统内核； 单向控制通信，不额外开放端口； 客户端防卸载、防删除、防停用。 智能优化系统性能开销 连接、阻断关系合并上报； 防火墙策略对象智能聚合。 多项资源占用保护机制 CPU单核占用率降级阈值设定； 连接、阻断关系内存占用限制； Conntrack最大容量动态调整； TCP / UDP超时时间智能调整。

具体步骤 首先，需进行告警规则的配置及启用，步骤同上，下文主要介绍创建共享带宽及弹性IP加入该共享带宽的步骤。 一、创建共享带宽 1. 登录网络控制台。 2. 在系统首页，单击“网络>虚拟私有云”。 3. 在网络控制台选择“共享带宽”，进入共享带宽页面。 4. 在共享带宽页面，单击“购买共享带宽”，进入订购页面，按照提示配置参数。 二、将弹性IP加入共享带宽 1. 登录网络控制台。 2. 在顶部菜单栏，选择地域。 3. 在左侧导航栏，选择“共享带宽”，进入共享带宽页面，找到目标共享带宽实例，在操作列单击添加弹性IP。 4. 在添加弹性IP对话框，根据以下信息添加弹性IP，然后单击确定 。 注意 已创建弹性IP且计费方式为按量付费。 弹性IP的地域与要加入的共享带宽的地域相同。 弹性IP与共享带宽线路类型需一致。 场景二： 场景说明 若用户当前使用按固定带宽计费的弹性IP或共享带宽实例已经达到默认的带宽配额上限，可通过提交工单的方式提升带宽配额上限，详见下方说明。 配额说明 产品 计费方式 默认配额 提升配额 弹性IP 包周期/按需按带宽计费 [1Mbps，300Mbps] 提交工单，最大值可提至2000Mbps 共享带宽 包周期/按需计费 [5Mbps，1000Mbps] 提交工单，最大值可提至2000Mbps

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本节介绍集群联邦概述。 集群联邦 集群联邦基于多云容器编排能力，旨在管理跨云、跨地域场景下的多集群应用，为您提供多集群统一管理、应用部署、服务发现、弹性伸缩、故障迁移等能力。 功能优势 完全兼容Kubernetes原生API，支持从单集群到多集群零改造升级，无缝集成现有Kubernetes工具链生态。 丰富的多集群调度策略：集群亲和性调度、多集群拆分/再平衡调度，多维度的高可用部署，包括多Region、多AZ、多集群、多云供应商 。提供自动化的多集群故障优雅迁移能力，对故障集群实例进行集中式或分散式的迁移，保证服务实例不跌零 多集群流量分发：多集群Service实现跨集群的服务发现和访问。多集群Ingress提供跨集群的负载均衡和流量路由机制，支持自动切流，可自动摘除故障集群上的流量，保障服务的可用性 。 多集群弹性伸缩：基于工作负载的系统指标变动、自定义指标变动或固定的时间周期，实行多集群统一的负载伸缩策略，提升工作负载的可用性和稳定性 。 全域容器智能分析：实时监控应用及资源，采集各项指标及事件等数据以分析应用健康状态，提供多集群统一的全栈监控视图，对业务提供端到端追踪和可视化，提供集群健康诊断能力，缩短问题分析定位时间 。

本文介绍弹性文件服务入门相关流程。 天翼云弹性文件服务提供按需扩展的高性能文件存储，可为云上多个弹性云主机提供大规模共享访问，具备高可用性和高数据持久性。下面我们以创建文件系统、挂载文件系统到数据读写为例介绍弹性文件服务的整体入门流程，具体流程见下图： 1. 首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 设置天翼云弹性文件服务控制台所给出的配置项，包括存储类型、存储协议等信息，具体步骤请参见创建文件系统。 3. 创建好的文件系统需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载文件系统。 4. 文件系统挂载完成后，您可以为文件系统配置监控告警规则，监控带宽、IOPS等数据，赋能业务，配置参考创建告警规则和开启一键告警。 5. 您可以将本地或其他存储设备上的数据迁移至文件系统共享与管理。具体步骤可参考NAS文件系统之间的迁移。 6. 您可以像访问本地数据一样读写文件系统中存储的数据。

本文主要介绍弹性负载均衡健康检查常见问题。 健康检查为什么会导致负载均衡器会频繁向后端云主机发送探测请求？ ELB是高可用集群部署的，集群内的所有的转发节点会同时向后端云主机发送探测请求，检查间隔用户可配，健康检查会根据检查间隔一直探测，所以每隔几秒会有访问。您可以通过修改健康检查配置的周期来控制访问后端云主机的频率。 健康检查什么时候启动？ 后端云主机新加入后，在第一个周期内随机一个时间开始检测，后续按照“检查间隔”启动。 “最大重试次数”是否包括健康检查失败的场景？ 是，最大重试次数既是健康最大重试次数，也是不健康最大重试次数。 如何处理健康检查导致的大量日志？ 可以增加健康检查间隔时间，但延长健康检查的间隔时间后，后端云主机出现故障时，负载均衡发现故障云主机的时间也会增长。 可以关闭健康检查，但关闭健康检查后，负载均衡不再检查后端云主机，一旦某台后端云主机发生故障，则无法实现访问流量自动切换至其它正常的后端云主机。 切换健康检查协议，配置方法： 进入控制台，选择弹性负载均衡，选择需要配置的实例，选择后端云主机，点击配置健康检查配置，切换健康检查协议。 但负载均衡将只检查监听端口状态，不检查HTTP状态，会导致负载均衡无法实时获知HTTP应用是否出现问题。

2.1 环境准备 2.1.1 安装Apptainer（Galaxy相关镜像环境默认已安装，可跳过此步骤） 根据操作系统类型选择对应安装方式（以Ubuntu为例）： 安装依赖 sudo aptget update && sudo aptget install y libseccompdev squashfstools 下载并安装Apptainer wget sudo dpkg i apptainer1.2.81amd64.deb 2.1.2 下载测试工具 创建工作目录并获取EvalScope容器镜像： mkdir p /root/ctyun/log cd /root/ctyun wget （需联系公有云事业部，获取sif文件） 2.2 全量测试脚本配置与执行 2.2.1 脚本参数说明 编辑 run.sh脚本（vim run.sh，可按需调整参数）： !/bin/bash 定义日志输出路径 logdir"/root/ctyun/log" 请替换为实际的日志存储路径 mkdir p "$logdir" 如果目录不存在，则创建 定义parallel的取值 parallelvalues(1 10 20 32 40 64 128) 定义inputtokens和outputtokens的取值 tokenpairs("255 256" "255 1024" "255 2048" "511 512" "511 1024" "1023 1024" "1023 2048" "2047 2048" "4095 1024" "4095 4096") tokenpairs("20480 8192") 获取当前时间戳，格式为 YYYYMMDDHHMMSS timestamp$(date +"%Y%m%d%H%M%S") 外循环：遍历inputtokens和outputtokens的取值 for tokens in "${tokenpairs[@]}"; do

智慧工地 适用于管理系统与安防系统不配套，信息化程度较低，员工管控便利性不足，无法投入大量人力保障工地现场的场景。通过纳管所有工地视频，AI算法高效识别现场情况，预防事故的发生，有效降低事故率，助力实现“云监工”。智能视图服务具备以下优势： 建设周期短，成本低廉，云端汇聚组网方式更加简单明了，可用性更强，后续运维简单可靠。 大规模部署推流接入点，就近接入，满足多种形态视频资源的稳定接入。 集成AI内容审核，进行人脸识别，人员聚集检测、车辆牌号检索等工地现场管控。 智慧零售 适用于门店分散、加盟店多、人员管理难；客流客群数据统计难，难以判断市场动向；难以判断营销活动效果的门店智慧化改造。通过视频信息的数据化采集与应用为业务运营降本增效，积累行业智慧数据，快速支撑连锁门店的运营决策，提高企业收益率。智能视图服务具备以下优势： 前端设备、平台公网/专线接入，设备统一接入与管理。 根据业务特点，随时随地播放实时流、历史流，查看截图，支持监控内容的按需播放与调取，实现远程巡店。 支持多种算法部署升级、算力弹性扩容，智能统计分析客流情况，智能预警。

本章节介绍故障演练服务中演练任务管理功能。 概述 演练是指通过向系统的特定目标注入指定故障，并观察其影响，从而验证和提升系统可用性与韧性的过程。 新建演练 在目标应用的演练管理 页面，单击新建演练按钮，即可开始编排一个新的演练任务。 1、填写基本信息 在基本信息 页面，填写演练名称 、演练描述 和关联应用等。 说明 配置关联应用 可在当前演练任务中选择关联应用的资源进行故障演练。 2、配置演练对象 单击下一步 进入演练对象配置 页面。在此页面，可以配置一个或多个动作组，它们是故障注入的基本流程单元。 2.1 配置动作组 填写动作组名称 和描述。 单击动作组 右上角的复制图标，可以快速克隆出一个新的动作组。 说明 一个演练任务 可创建多个动作组。 2.2 添加实例到动作组 为动作组 选择一个资源类型（如弹性云主机）。 单击添加实例，在弹出的对话框中选择需要执行演练的资源对象。 说明 同一个动作组内仅可针对同一资源类型进行故障注入操作，不同资源类型可选择的实例个数也有不同的限制。 2.3 添加故障动作到动作组 在动作列表 中单击立即添加 ，选择需要注入的故障动作。 在弹出的对话框中，配置该故障动作的具体参数。

协议服务提供标准NFS协议访问HPFS文件系统的能力，本文介绍查询协议服务的场景说明和操作步骤。 场景说明 您可以查看文件系统下协议服务的基本信息，支持按协议服务ID或描述关键字查看指定的协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击协议服务页签，即可进入协议服务页面。 4. 在协议服务列表页查看所有协议服务的基本信息，参数说明如表所示： 参数 说明 协议服务ID 协议服务的ID，创建时自动生成，不支持修改。 状态 协议服务状态： 创建中、创建失败、可用、删除中、异常。 规格 通用型。 协议类型 NFS协议，默认支持NFSv3和NFSv4。 VPC挂载地址 导出的NFS的挂载地址。 VPCE挂载地址 若创建时选择开启终端节点（VPCE），则展示VPCE挂载信息，返回通常需要1~3分钟。 注意 如果您删除了终端节点，则VPCE的挂载地址将会失效。 VPC名称/ID 协议服务绑定的虚拟私有云（VPC），VPC的名称可以点击跳转到对应详情页面。 创建时间 协议服务的创建时间。 描述 协议服务的描述信息。 操作 仅支持删除操作。

敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

本文介绍如何查看WAF账单。 客户可以在费用中心按月查看在天翼云的消费概况，详情请参见账单概览。 账单说明 WAF产品为包年包月计费产品，包年包月产品采用预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 说明 当月最终账单将在次月3日生成，在次月4日10点后可查看和导出。 WAF属于按月结算的产品，当月消费可在次月3日查看账单。 操作步骤 1. 登录天翼云控制中心。 2. 在页面右上角用户名称处，选择“费用中心”。 3. 在左侧菜单栏选择“账单管理 > 账单概览”，进入账单概览页面，可按产品类型汇总查看产品账单。 4. 在左侧菜单栏选择“账单管理 > 账单详情”，进入账单详情页面。按如下筛选条件，即可查看到产品的账单详情。 统计维度选择“产品”。 统计周期选择“按账期”。 计费模式选择“包周期”。 账期选择需要查看的账单时间。

本文为您介绍如何使用ECI快速部署Tensorflow。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 准备工作 准备训练数据和容器镜像。 训练数据：本文以Github的一个TensorFlow训练任务为例。 容器镜像：在最佳实践中，ECI已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 创建镜像缓存。 在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。

单点执行手动检测 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航栏中，选择“主机管理”，在云服务器列表的“操作”列中，单击“查看详情”，进入指定主机的详情页面。 查看详情 手动收集软件信息 选择“资产管理”页签，在页面下侧“软件信息”中，手动检测主机中的软件信息。 手动执行漏洞检测 选择“漏洞管理”页签，在“Linux软件漏洞管理”和“WebCMS漏洞管理”中，手动检测主机中的软件漏洞和WebCMS漏洞。 说明 软件漏洞检测和软件信息管理任意一个手动检测都会触发收集服务器上的软件信息。 选择“漏洞管理”页签，选择系统软件漏洞，单击“手动检测”，系统将立即执行一次系统软件漏洞检测。 系统软件漏洞检测 选择“漏洞管理”页签，选择WebCMS漏洞，单击“手动检测”，系统将立即执行一次WebCMS漏洞检测。 WebCMS漏洞检测

本小节介绍证书管理服务证书部署类常见问题。 SSL证书对服务器端口是否有限制？ 证书签发前：证书签发前的域名验证阶段，如使用的是文件验证，必须通过http 80端口/https 443 端口 来完成文件验证。 证书签发后：部署证书阶段对服务器端口没有限制，证书只匹配域名，不限制端口。 注意 证书部署在 https 443的默认端口，则 域名加端口的形式去访问 SSL证书支持在哪些服务器上部署？ SSL证书不限制部署环境，只要对应web服务器运行的中间件支持ssl模块来部署证书即可。 说明 常见的部署环境比如：支持在云防护平台、WAF、VPN、F5等设备上使用该证书，支持包括Apache、Nginx、IIS、Tomcat等主流web服务器 SSL证书支持在哪些地域部署？ 证书签发后会获取一对证书公私钥文件，只要部署环境的域名与证书域名一致，即可使用。 如何验证部署的SSL证书是否生效？ 直接浏览器访问对应网址，访问到的证书是匹配的证书即可。步骤如下：

本节主要介绍产品价格 专享版API网关计费说明 专享版API网关分两个维度计费：版本，以及带宽，二者同时计入收费。 实例版本分为基础版、专业版、企业版、铂金版。不同版本收费价格不一，目前支持包周期（包年包月）和按需（小时）两种计费方式。包年优惠政策为1 年 85 折、2 年 7 折、3 年 5 折。 实例规格 每秒最大请求次数 包月价格（元/个） 按需价格（元/个/小时） :::: 基础版 2000 2960 4.76 专业版 4000 7980 12.88 企业版 6000 11980 19.36 铂金版 10000 28680 46.28 带宽指您的API后端服务部署在公网时，另外收取的API请求出公网带宽费用。出公网带宽费用按带宽大小以及使用时长计费。公网带宽采用分段累计计价。 产品规格 按需标准价格（元/M/小时） :: 05M带宽部分 0.056 5M以上带宽部分 0.1 如：购买15M带宽，则按需价格为0.0565+（155）0.1 1.28元/小时 说明 专享版实例部署在虚拟私有云中，如果您的后端服务也部署在相同虚拟私有云，可直接通过私有地址访问，无需购买带宽。 专享版实例的API如仅在VPC内调用，无需购买/绑定弹性公网IP。 API如从公网调用，实例需绑定一个弹性公网IP，作为公网入口。弹性公网IP需要单独购买。

如何处理表中存在主键重复的数据 场景 DRDS实例的逻辑表中已存在主键数据类型边界值的记录，如果插入的数据超过主键数据类型的范围，表中会出现主键重复的数据。 处理方法 1、登录云服务管理控制台。 2、在RDS for MySQL的“实例管理”页面，查找DRDS实例对应的RDS for MySQL实例，单击目标RDS for MySQL实例名称，进入实例的“基本信息”页面。 3、在基本信息页面的左侧导航栏中选择“参数修改”。 4、在“参数”页签搜索“sqlmode”，单击“值”列中的下拉框，勾选“STRICTALLTABLES”或“STRICTTRANSTABLES”方式，单击“保存”。 5、在“DRDS实例管理”页面，重启DRDS实例。 如何通过show full innodb status指令查询RDS for MySQL相关信息 通过MySQL客户端连接DRDS实例后，可直接输入show full innodb status指令查询该DRDS实例所关联的RDS for MySQL实例信息。可查询信息如： 当前的时间及自上次输出以来经过的时长。 可以使用命令show full innodb status来查看master thread的状态信息。 如果有高并发的工作负载，您需关注SEMAPHORES信号量，它包含了两种数据：事件计数器以及可选的当前等待线程的列表，如果有性能上的瓶颈，可使用这些信息来找出瓶颈。

本文向您介绍企业版VPN中公网地址类常见问题。 VPN网关删除后公网地址是否可以保留？ 按需VPN网关如果绑定了按需EIP，则VPN网关删除后会同步删除绑定的按需EIP。 如果需要保留EIP，请在删除VPN网关前对EIP进行解绑操作。 EIP能作为VPN的网关IP吗？ 可以。 用户可以在创建VPN网关时绑定EIP作为网关IP。 通过VPN互访的主机需要购买EIP吗？ 如果用户本地的主机通过VPN访问云上的ECS，此时ECS不需要购买EIP。 如果ECS要向公网用户提供服务，需要购买EIP。 为什么我开通VPN后，云端ECS会有公网IP的访问信息？ 可能原因：在VPN对接之前，ECS已经绑定了EIP。该场景下，用户除了通过VPN，也可通过公网地址直接访问该ECS。 如果ECS主机只允许VPN内的主机访问，可在完成VPN对接后将ECS的EIP解绑。 用户侧数据中心的网关设备没有固定的公网IP可以吗？ 可以。 用户数据中心与云进行VPN对接时，如果用户购买的VPN网关规格支持非固定IP接入能力，对端网关设备就可以使用非固定IP接入。 说明 VPN网关是否支持非固定IP接入能力，以管理控制台实际显示区域为准。

本章介绍天翼云关系型数据库的产品类型分类。 目前，云数据库RDS的实例分为如下几个类型： 单机实例 主备实例 集群版实例 不同系列支持的引擎类型和实例规格不同，请以实际界面为准。 实例类型简介 实例类型 简介 使用说明 适用场景 :::: 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 个人学习。 微型网站。 中小企业的开发测试环境。 主备实例 采用一主一备的经典高可用架构，支持跨AZ高可用，选择主可用区和备可用区不在同一个可用区（AZ）。主实例和备实例共用一个IP地址。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 大中型企业的生产数据库。 覆盖互联网、物联网、零售电商、物流、游戏等行业的应用。 集群版实例 采用微软AlwaysOn高可用架构，支持1主1备5只读集群模式，拥有更高可用性，可靠性，可拓展能力。 仅限RDS for SQL Server使用。 金融行业。 互联网行业。 酒店行业。 在线教育。

本章节会介绍如何在控制台配置和修改数据库内网地址。 操作背景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 配置内网IP 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 修改内网IP 对于创建完成的关系型数据库实例，支持更改内网地址。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 5 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。 步骤 6 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”页面中，在“连接信息”模块“内网地址”处，单击“修改”。 在“修改内网地址”弹出框中进行修改。单击“确定”，保存修改内容。 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 已使用IP地址列表中使用情况为“待使用”的IP地址表示已被占用，不允许被当前实例使用。

概述 金丝雀发布是指在应用发布时，可以为新版本的应用打上gray的标签，通过按流量比例路由或按内容路由的方式，将灰度流量引入带有gray标签的应用中，从而达到小规模验证的目的。 操作步骤 假设有两个服务appa和appb，调用关系为appa>appb，这两个服务都已接入微服务治理中心。此时appb有灰度应用需要发布，需要实现在appa调用appb的过程中，将灰度流量引入到appb的灰度应用中进行小规模验证。 部署appb灰度应用 部署appb灰度应用，需为灰度应用打上灰度标签，可以通过为目标应用创建灰度应用时添加灰度标签。 查看金丝雀页面 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 金丝雀标签。 设置灰度规则并引入流量 金丝雀提供两种灰度规则，分别是按比例路由和按内容路由，按比例路由指的是将指定比例的流量路由到灰度应用，按内容路由是指针对请求头、请求参数或请求体中的内容做匹配，将满足匹配规则的流量路由到灰度应用。

云应用引擎 CAE（Cloud App Engine）是一款面向容器应用的 Serverless 全托管平台，提供完整的微服务应用托管和治理能力。CAE 可帮助您将微服务应用便捷地容器化并托管，实现秒级部署与全自动弹性伸缩，按使用量计费，大幅提高业务交付效率和系统可用性。作为 Serverless 架构中承载复杂应用的核心组件，CAE 让您聚焦业务逻辑，免运维底层基础设施，开箱即用监控、日志、服务治理等企业级能力，全面提升应用的可管理性与弹性。 产品架构 CAE产品架构如下所示。更多信息，请参见基本概念。 底层基于Kubernetes，实现了Serverless架构与微服务架构的完美结合。 支持Spring Cloud多种微服务框架、多种部署方式（ZIP包、镜像）和多种技术栈语言（Java、PHP、Python等）。 产品功能 功能 说明 应用全生命周期管理 提供从创建到运行的应用全生命周期管理服务，支持分批、灰度等多种发布策略，支持按流量秒级灰度。 无侵入应用监控 提供无侵入的应用监控和告警能力，支持任意语言和任意框架。 无侵入微服务治理 支持Spring Cloud零代码改造迁移至云应用引擎。提供服务注册与发现、环境隔离、配置管理、限流降级、应用无损上下线、服务鉴权、全链路灰度等能力。 一键启停开发测试环境 中大型企业包含多套环境，测试环境如果长期保有应用实例，会导致闲置浪费高。CAE提供逻辑隔离运行环境，通过一键启停开发测试环境能力，有效节省硬件成本。

云应用引擎 CAE（Cloud App Engine）是一款面向容器应用的 Serverless 全托管平台，提供完整的微服务应用托管和治理能力。CAE 可帮助您将微服务应用便捷地容器化并托管，实现秒级部署与全自动弹性伸缩，按使用量计费，大幅提高业务交付效率和系统可用性。作为 Serverless 架构中承载复杂应用的核心组件，CAE 让您聚焦业务逻辑，免运维底层基础设施，开箱即用监控、日志、服务治理等企业级能力，全面提升应用的可管理性与弹性。 产品架构 CAE产品架构如下所示。更多信息，请参见基本概念。 底层基于Kubernetes，实现了Serverless架构与微服务架构的完美结合。 支持Spring Cloud多种微服务框架、多种部署方式（ZIP包、镜像）和多种技术栈语言（Java、PHP、Python等）。 产品功能 功能 说明 应用全生命周期管理 提供从创建到运行的应用全生命周期管理服务，支持分批、灰度等多种发布策略，支持按流量秒级灰度。 无侵入应用监控 提供无侵入的应用监控和告警能力，支持任意语言和任意框架。 无侵入微服务治理 支持Spring Cloud零代码改造迁移至云应用引擎。提供服务注册与发现、环境隔离、配置管理、限流降级、应用无损上下线、服务鉴权、全链路灰度等能力。 一键启停开发测试环境 中大型企业包含多套环境，测试环境如果长期保有应用实例，会导致闲置浪费高。CAE提供逻辑隔离运行环境，通过一键启停开发测试环境能力，有效节省硬件成本。

本文介绍了如何管理前缀列表的条目信息。 操作场景 您可以管理前缀列表，根据需求新增、修改或删除前缀列表条目。 前缀列表被资源引用后，如安全组规则，那么当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建好前缀列表。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 在右侧前缀列表页面，选择目标前缀列表，点击名称进入前缀列表详情。 6. 根据您的需求新增、修改、删除前缀列表条目。 新建前缀列表条目 前缀列表条目页签下，单击【新增】按钮。 在新增弹窗中添加CIDR地址块和描述信息，然后单击 保存 。 如果需要添加多个条目，可点击弹窗中的【新增条目】批量添加。 修改前缀列表条目 在前缀列表详情页，找到目标条目，单击【修改】。 修改条目的CIDR地址块和描述信息，然后单击 保存 。 删除前缀列表条目 删除单个条目：在目标条目的操作列，单击操作列【删除】。 批量删除条目：选中多个目标条目，单击顶部的【批量删除】。

本文主要介绍XEN实例迁移最佳实践。 背景信息 当前天翼云上XEN实例已经停售（详情可见XEN实例停止售卖说明及常见问题），建议还在使用XEN实例的客户迁移至更新的产品系列上，以获取更优的性能，以及更高的可靠性。 迁移准备 如何判断是否在使用XEN实例 可以通过判断当前使用的规格名称，来确定自己是否在使用XEN实例。 当前XEN实例的规格名称包括：C1、C2、S1、M1型弹性云主机。 驱动安装 如果当前XEN实例使用的是Linux镜像，可参考以下方案中的步骤安装驱动。 XEN实例变更为KVM实例（Linux自动配置）中的步骤1~步骤2 XEN实例变更为KVM实例（Linux手动配置）中的步骤1~步骤3 XEN实例变更为KVM实例（Linux批量自动配置）中的步骤1~步骤2 如果当前XEN实例使用的是Windows镜像，可参考以下方案中的步骤安装驱动。 XEN实例变更为KVM实例（Windows）中的步骤1~步骤3 迁移过程 如果当前XEN实例使用的是Linux镜像，请参考XEN实例变更为KVM实例（Linux自动配置）中的步骤3来进行规格变更。 如果当前XEN实例使用的是Windows镜像，请参考XEN实例变更为KVM实例（Windows）中的步骤4来进行规格变更。

本文向您介绍Linux启动sshd服务出现/var/empty/sshd无法访问的解决方案。 问题现象 /var/empty/sshd属主属组异常或目录缺失，导致Linux操作系统sshd服务启动失败。 适用场景 本节操作以CentOS7/CtyunOS系统为示例，其他Linux系统可能存在差异。 场景一：/var/empty/sshd属主非root导致sshd启动失败 1. 执行systemctl restart sshd时，服务重启失败，云主机无法正常远程连接。 systemctl restart sshd 2. 执行以下命令，查看journal日志。 journalctl xe 提示“/var/empty/sshd must be owned by root”，从日志内容分析，由于/var/empty/sshd目录属主非root用户导致sshd服务启动失败。 3. 执行以下命令，查看/var/empty/sshd文件属主信息。 ls alF /var/empty/sshd 4. 修改/var/empty/sshd属主及其权限。 chown R root.root /var/empty/sshd chmod R 711 /var/empty/sshd 5. 执行以下命令重启sshd服务： systemctl restart sshd 场景二：/var/empty/sshd文件缺失导致sshd启动失败 1. 执行以下命令，打开journal日志，查看服务失败原因。 journalctl xe 从下图示例中可知由于/var/empty/sshd缺失导致sshd启动失败。 2. 执行以下命令，手动创建/var/empty/sshd目录。 mkdir p /var/empty/sshd 3. 重启sshd服务。 systemctl restart sshd

本文介绍日志告警常见问题。 日志告警支持设置哪些触发条件？ 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警 。 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 日志告警的检查频率是多少？ 您可自定义检查频率，目前支持固定频率与固定时间： 固定频率：按固定的时间间隔执行一次监控任务时间间隔，支持设置分钟、小时、天的频率。 固定时间：按固定的时间点，每天执行一次监控任务。 如何基于关键字设置告警？ 您将日志采集到云日志服务后，可通过日志告警功能实现基于日志关键字的告警。详情可查看最佳实践出现关键字触发告警。 为什么设置了多个触发条件，只有一个生效？ 告警服务将按照触发条件的顺序逐条匹配。若您设置了多个触发条件，当查询结果符合第一个触发条件后，将不会再匹配后面的触发条件。建议您根据告警严重程度，从较高级别的严重度开始配置。

本文主要介绍URL函数。 云日志服务支持如下URL函数。 函数列表 函数名称 语法 说明 urlencode urlencode(x) 对URL进行编码。 urldecode urldecode(x) 对URL进行解码。 urlextractfragment urlextractfragment(x) 从URL中提取Fragment信息。 urlextracthost urlextracthost(x) 从URL中提取Host信息。 urlextractparameter urlextractparameter(x) 从URL的查询部分中提取指定参数的值。 urlextractpath urlextractpath(x) 从URL中提取访问路径信息。 urlextractport urlextractport(x) 从URL中提取端口信息。 urlextractprotocol urlextractprotocol(x) 从URL中提取协议信息。 urlextractquery urlextractquery(x) 从URL中提取查询部分的信息。 urlencode函数 对URL进行编码。 语法 plaintext urlencode(x) 参数说明 参数名称 说明 类型 是否必选 x 参数值为具体的URL地址 string类型 是 返回值类型 string 示例 select urlencode(' urldecode函数 对URL进行解码。 语法 plaintext urldecode(x) 参数说明 参数名称 说明 类型 是否必选 x 参数值为编码过的URL地址 string类型 是 返回值类型 string 示例 plaintext select urldecode('https%3A%2F%2Fwww.ctyun.cn%2Fh5%2Fauth%2Flogin') urlextractfragment函数 从URL中提取Fragment信息。