本文介绍官方模板相关操作。 创建智算容器组时可以选择模板，支持选择控制台预置的官方模板，其中官方模版只能查看以及使用，不能进行修改，删除等操作。 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组实例管理”，可以查看官方模板列表。 2. 点击“模板详情”可以查看模板情况。

本节主要介绍删除迁移任务 对于已结束或者配置失败的任务，您可选择删除迁移任务。被删除后的任务将不会再出现在任务列表中，请谨慎操作。 前提条件 已登录数据复制服务控制台。 已结束或者配置失败的迁移任务。 删除任务 步骤 1 在“实时迁移管理”页面的迁移列表中，选择需要删除的任务，单击操作列“删除”按钮。 步骤 2 单击“确定”，提交删除任务。

前提条件 管理员已明确业务需求，并规划好不同系统的域名。 域名只能包含大写字母、数字、圆点（.）及下划线（），且只能以字母或数字开头。 Manager内所有集群全部组件的运行状态均为“良好”。 Manager内所有集群的ZooKeeper服务的“acl.compare.shortName”参数需确保为默认值“true”。否则请修改该参数为“true”后重启ZooKeeper服务。 操作步骤 1.登录FusionInsight Manager。 2.选择“系统 > 权限 > 域和互信”。 3.修改相关参数。 表 相关参数 参数名 描述 本端域 填写本系统规划好的域名。 密码后缀 “人机”用户密码重置后的用户设置密码部分，必填，默认值为Admin@123。 说明 该参数只有在修改了“本端域”参数后，才会生效。且需满足以下条件： 密码字符长度为8到16位。 至少需要包含大写字母、小写字母、数字、特殊字符中的三种类型字符。支持的特殊字符为~!@ $%^&()+ 4.单击“确定”，等待修改配置完成后再继续执行后续步骤，完成前请勿提前执行后续步骤。 5.以omm用户登录主管理节点。 6.执行以下命令，重启更新域配置。 sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh 提示以下信息表示命令执行成功。 Modify realm successfully. Use the new password to log into FusionInsight again. 说明 重启后部分主机与服务可能无法访问并触发告警，执行“restartRealmConfig.sh”后大约需要1分钟自动恢复。 7.使用重置后的admin用户及密码（例如Admin@123Admin@123）登录FusionInsight Manager，单击主页上待操作集群名称后的，单击“重启”，重启集群。 在弹出窗口中输入当前登录的用户密码确认身份，然后单击“确定”。 在确认重启集群的对话框中单击“确定”，等待界面提示“操作成功。”，单击“完成”。 8.退出FusionInsight Manager，重新登录正常表示配置已成功。 9.使用omm用户登录主管理节点，执行以下命令刷新作业提交客户端配置： sh /opt/executor/bin/refreshclientconfig.sh

关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 文件操作授权”，进入“文件操作授权”页面。 3.单击“新增”，配置文件操作授权相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 允许 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 选择需要做限制的文件操作动作。可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 说明 例如您只想限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 例如您想限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 0.0.0.0 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 普通 说明 策略匹配顺序为：允许 > 阻断； 配置时至少需要关联至少一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本节主要介绍扩容卷。 在“卷管理”页面，选择需要扩容的卷，点击“操作”>“扩容”，进行卷扩容。 注意 卷扩容，除了在服务器端进行扩容外，还需要在客户端进行操作，详细操作可以参考命令行扩容卷示例。 图1 扩容卷

与云点播功能关联的云产品。 若您需要使用云点播实现主子账号分权管理、CDN分发等功能，您还需要开通其它依赖服务，如下表所示。 交互功能 相关服务 相关链接 主子账号功能 CTIAM 主子账号体系 CDN加速 CDN加速 CDN加速

如您选择使用云点播原生接口接入（推荐）： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【原生密钥】，即可获取AK/SK，作为调用云点播原生接口的凭证使用。

名称 类型 是否必选 示例值 描述 templateCode String 是 SMS73419576145 短信模板CODE。您可以在控制台 模板管理 页面或API接口 AddSmsTemplate 的返回参数中获取短信模板CODE。 action String 否 DeleteSmsTemplate 系统规定参数。取值： DeleteSmsTemplate 。

本章节主要介绍数据治理中心的数据目录的数据权限简介。 为确保数据使用安全可控，使用数据表需要先申请权限。数据权限模块为用户提供便捷的权限管控能力，提供可视化申请审批流程，并可以进行权限的审计和管理。提高数据安全的同时，还可以方便用户进行数据权限管控。

本文帮助您了解对象存储删除文件的操作场景及方式。 操作场景 为节省空间和成本，您可以在对象存储（简称ZOS）管理控制台上手动删除无用的文件。您可以通过控制台、API、SDK等多种方式删除对象。 约束与限制 若未开启多版本管理，删除后的文件无法找回，请谨慎操作。 删除文件方式 访问方式 删除文件方法 控制台 通过控制台删除文件 SDK 具体可参考开发者文档 API 具体可参考删除对象

本节主要介绍AK/SK获取方法 1、登录天翼云控制台。 2、鼠标移动到右上角用户名，在下拉菜单选择“我的凭证”。 3、在导航栏，单击“管理访问密钥”页签。 4、单击“新增访问密钥”，通过身份认证后成功创建AK/SK。 5、单击“立即下载”。 下载成功后，在credentials文件中获取AK和SK信息: Access Key Id的值即为AK。 Secret Access Key的值即为SK。 注意 每个用户仅允许保留2个有效的访问秘钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请妥善保管访问密钥。

此小节介绍如何登录云堡垒机系统。 背景介绍 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。 前提条件 实例的运行状态为“运行”，CBH系统在使用授权期内; 实例已绑定EIP，且EIP可用; 已获取登录CBH系统的登录地址，以及登录验证信息。 通过Web浏览器登录云堡垒机 1. 启动浏览器，在Web地址栏中输入CBH系统登录地址，进入系统登录页面。 登录地址： 或私网IP 。例如， 注意 未绑定EIP时，可通过私网IP登录，需确保用户本地网络与云堡垒机私网网络通畅； 受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。 2. 选择登录认证方式，如下图。 系统所有用户可选择配置“手机短信”、“手机令牌”、“USBKey”和“动态令牌”多因子认证。 配置多因子认证后，“密码登录”方式认证失效。 Web浏览器登录验证说明 登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户登录名和密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 手机短信 输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。 需要已经为用户帐号配置可用手机号码。 手机令牌 输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 USBKey 插入并选择已签发过的USBKey，并输入对应的PIN码。 需已为用户签发USBKey。 动态令牌 输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 需已为用户签发动态令牌。 3. 单击“登录”，成功登录云堡垒机系统进行管理和运维操作。 系统管理员admin为CBH系统第一个可登录用户，拥有系统最高操作权限，且无法更改权限配置，请妥善保管帐号信息。 在首次登录系统成功后，请所有用户按照系统提示修改密码和绑定手机号码，否则无法进入系统运行页面。登录系统后，可在个人中心修改用户基本信息。

本节主要介绍如何在智能视图服务控制台新建GA1400凭证。 进入凭证管理页面，点击【新建GA1400凭证】，按照下图输入用户名和密码并确认密码，即可完成GA1400凭证的创建。用户需牢记新建凭证时设置的密码，在设备侧配置注册时需要在密码处正确填写。

本节主要介绍如何在智能视图服务控制台新建GA1400凭证。 进入凭证管理页面，点击【新建GA1400凭证】，按照下图输入用户名和密码并确认密码，即可完成GA1400凭证的创建。用户需牢记新建凭证时设置的密码，在设备侧配置注册时需要在密码处正确填写。

本页介绍天翼云TeleDB数据库查询指引相关操作。 平台提供了多个进入查询窗口页面的入口，包括从控制台首页进入、从菜单栏的开发空间 > 查询窗口进入、从菜单栏实例收藏夹进入、从元数据管理页面进入等。 从控制台首页进入 1. 单击功能简介 模块中的查询窗口进入，详见查询窗口首页章节。 2. 单击最近访问的库 / 模式 、最近打开的脚本列表中的查询操作进入。 从查询窗口首页进入 1. 在左侧导航栏中，选择开发空间 > 查询窗口 ，进入查询窗口首页。 2. 选择库/模式后，单击查询按钮，或者单击“>”图标进入查询窗口操作页面。 从实例收藏夹进入 1. 在左侧导航栏中，选择实例收藏夹 ，打开实例收藏夹列表。 2. 双击库/模式名称进入查询窗口操作页面或右击库/模式名后单击查询窗口进入。 从元数据管理页面进入 1. 在左侧导航栏中，选择数据源管理 > 元数据管理 ，进入元数据管理页面。 2. 单击实例列表中的查询操作进入查询窗口操作页面。

本节介绍了配置安全组规则的操作场景、操作步骤、结果验证。 操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云主机。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云主机访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“安全组”页签，展开安全组，查看安全组规则。 6. 单击安全组ID。系统自动跳转至安全组页面。 7. 在入方向规则页签，单击“添加规则”，添加入方向规则。 单击“+”可以依次增加多条入方向规则。 添加入方向规则 入方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 若源地址为安全组，则选定安全组内的云主机都遵从当前所创建的规则。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 8. 在出方向规则页签，单击“添加规则”，添加出方向规则。 单击“+”可以依次增加多条出方向规则。 添加出方向规则 表 出方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 允许：允许安全组内的服务器按照该出方向规则进行出网访问 拒绝：拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 目的地址 目的地址：可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 9.单击“确定”，完成安全组规则配置。

添加共享型负载均衡HTTP监听器 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加监听器的负载均衡名称。 5. 切换到“监听器”页签，单击“添加监听器”，配置监听器。 共享型负载均衡配置监听器参数说明表 参数 说明 示例 ::: 名称 监听器名称。 listenerpnqy 前端协议/端口 负载分发的协议和端口。 协议选择HTTP，端口取值范围[165535]。 HTTP/80 重定向 重定向开关是否开启。 协议类型为HTTP时，可根据需要设置该项。需要保证业务建立安全连接时，若同时创建了HTTPS监听器和HTTP监听器，可以通过重定向功能，将HTTP监听器访问重定向至HTTPS监听器。 HTTP监听器被重定向后，会返回301返回码。 重定向至 选择需要重定向HTTPS监听器的名称。 listener9ecd（HTTPS/443） 高级配置 访问策略 支持通过白名单和黑名单进行访问控制： 允许所有IP访问 黑名单 白名单 白名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 空闲超时时间（秒） 如果在超时时间内一直没有访问请求，负载均衡会中断当前连接，直到下一次请求到来时再重新建立新的连接。 时间取值范围[04000]。 60 请求超时时间（秒） 客户端向负载均衡发起请求，如果在超时时间内客户端没有完成整个请求的传输，负载均衡将放弃等待关闭连接。 时间取值范围[1300]。 60 响应超时时间（秒） 负载均衡向后端云主机发起请求，如果超时时间内接收请求的后端云主机无响应，负载均衡会向其他后端云主机重试请求。如果重试期间后端云主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 时间取值范围[1300]。 说明： 当开启了会话保持功能时，响应超时时间内如果对应的后端云主机无响应，则直接会返回HTTP 504错误码。 60 描述 对于监听器描述。 字数范围：0/255。 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 6. 单击“下一步”，配置后端主机组及配置健康检查。 共享型负载均衡配置后端主机组参数说明表 参数 说明 示例 后端主机组 把具有相同特性的后端云主机放在一个组。说明：使用已有后端主机组时，请确保此后端主机组未被使用。并且只能选择前端协议匹配的后端主机组。例如前端协议是TCP时，后端协议只能是TCP。 新创建 名称 后端主机组名称。 servergroupsq4v 后端协议 云云主机开通的协议。前端协议为HTTP时，后端协议默认为HTTP，不支持修改。 HTTP 分配策略类型 负载均衡采用的算法。说明：用户可以根据自身需求选择相应的算法来分配用户访问流量， 提升负载均衡能力。对于加权轮询算法和加权最少连接，当云主机的权重为“0”时，将不会被分发访问请求。 加权轮询算法 会话保持 开启会话保持后，弹性负载均衡将属于同一个会话的请求都转发到同一个云主机进行处理。 说明：当分配策略类型为“加权轮询算法”时，可配置会话保持。 会话保持类型 共享型负载均衡，HTTP和HTTPS协议支持负载均衡器cookie、应用程序cookie类型。 负载均衡cookie cookie名称 当会话保持选择应用程序cookie时，需要填写cookie名称。 cookieNameqsps 会话保持时间（分钟） 当分配策略类型选择“加权轮询算法”或“加权最少连接”，会话保持开启后，需添加会话保持时间。 四层会话保持的会话保持时间取值范围为[1，60]。七层会话保持的会话保持时间取值范围为[1，1440]。 20 描述 后端主机组的描述。字数范围：0/255。 7. 配置健康检查参数。 共享型负载均衡配置健康检查参数说明表 参数 说明 示例 ::: 是否开启 开启或者关闭健康检查。 协议 健康检查支持TCP、HTTP协议，设置后不可修改。 HTTP 域名 健康检查的请求域名。 默认值为空，由数字、字母、‘’、‘.’组成的字符串，只能以数字或字符开头。 只有健康检查协议为HTTP时，需要设置。 www.elb.com 高级配置 检查间隔（秒） 每次健康检查响应的最大间隔时间。 取值范围[150]。 5 超时时间（秒） 每次健康检查响应的最大超时时间。取值范围[150]。 3 检查路径 指定健康检查的URL地址。当“协议”为HTTP时生效。检查路径只能以/开头，长度范围[180]。 支持使用英文字母、数字和‘’、‘/’、‘.’、‘%’、‘&’以及特殊字符~';@$+,!:()。 例如： 访问链接为： 访问链接为： /index.html 最大重试次数 健康检查最大的重试次数，取值范围[110]。 3 8. 单击“完成”。

查看需紧急修复的漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“需紧急修复的漏洞”下方的数字，页面下方漏洞列表将筛选出修复优先级为“高”，待处理的漏洞。 修复漏洞 注意 主机系统在进行漏洞修复过程中，无论修复成功或者失败，都有一定风险将导致应用业务中断，因此建议您在修复漏洞前为云主机手动创建快照并进行测试，快照支持系统回滚，可进行恢复。 执行漏洞修复前，请确认对应操作系统发行版的软件源已配置好（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 内核漏洞修复成功后，需要重启服务器使新内核生效。针对Linux软件漏洞、Windows系统漏洞，可根据漏洞公告前的标签进行判断，若有“需要重启”标签，表示漏洞修复成功后，还需要重启云服务器。 一键自动修复 注意 购买企业版或旗舰版后，才支持一键自动修复漏洞。 WebCMS漏洞、应用漏洞暂不支持一键修复，请手动修复相关漏洞。 当漏洞处理状态为“未修复”、“修复失败”时，可执行“修复”操作。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，选择修复所需软件源、确认待修复的漏洞数量和影响资产数量。 软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 您可以在修复对话框中查看漏洞公告、查看影响服务器数量。 5. 单击“确定”，开始自动修复漏洞。

使用限制 科研文件规格 可用区 限制内容 限制 科研文件专业入门版 厦门4、北碚1、哈密1 最低容量 10 GB 科研文件专业入门版 厦门4、北碚1、哈密1 步长 1 GB 科研文件专业性能版 北京11 最低容量 512 GB 科研文件专业性能版 北京11 步长 1 GB 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 最低容量 10 GB 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 步长 1 GB

使用限制 科研文件规格 可用区 限制内容 限制 科研文件专业入门版 厦门4、北碚1、哈密1 最低容量 10 GB 科研文件专业入门版 厦门4、北碚1、哈密1 步长 1 GB 科研文件专业性能版 北京11 最低容量 512 GB 科研文件专业性能版 北京11 步长 1 GB 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 最低容量 10 GB 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 步长 1 GB

本文主要介绍产品规格差异 APM产品规格包括免费版和企业版，当前支持Java应用接入APM。各版本支持的功能详见下表。 版本 免费版 企业版 ::: 版本说明 完全免费，最多可接入10个Agent在线，每过15天需要用户重新激活 所有功能完全开放 数据存储时长 7天 30天 应用拓扑 √ √ 调用链 √ √ 跨Region调用链跟踪 √ √ 指标监控 √ √ URL跟踪分析 √ √ 告警 √ √ CMDB √ √ 说明（是否支持，√表示支持，x表示不支持）

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 当前仅支持同版本、同实例规格内变更资产规格，不支持跨版本变更或跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。

介绍分布式消息服务Kafka重置消费位置功能操作内容。 场景描述 Kafka重置消费位置的场景包括以下几个： 初次消费：当一个新的消费者加入到Kafka集群时，它需要从某个位置开始消费消息。在这种情况下，可以将消费位置重置为最早的消息或最新的消息。 消费者组重置：当消费者组中的消费者发生变化，如新增或退出消费者，可能需要重置消费位置。在这种情况下，可以将消费位置重置为最早的消息或最新的消息。 消费者出现故障：当消费者发生故障，并且需要将其替换或修复时，可能需要重置消费位置。在这种情况下，可以将消费位置重置为最早的消息或最新的消息，以确保新的消费者能够从正确的位置开始消费。 消费者重新处理消息：在某些情况下，消费者可能需要重新处理之前已经消费过的消息。这可能是由于消费者的处理逻辑发生变化，或者需要重新计算之前的结果。在这种情况下，可以将消费位置重置为指定的消息位置，以便消费者重新处理消息。 消费者消费速度过慢：当消费者的处理能力不足，无法及时消费消息时，可能需要重置消费位置。在这种情况下，可以将消费位置重置为最新的消息，以便消费者能够跳过堆积的消息，从最新的消息开始消费。 操作步骤 Tips：目前消费只能重置72小时内的消息，可选择72小时内时间点重置。 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“消费组管理”后进入消费组管理页面。 （5）在目标消费组所在行，点击其右侧的“更多”，在下拉框中单击“重置消费位置”。 （6）出现重置消费位置窗口后，可以选择从最新点位开始消费、从最旧点位开始消费、按时间点进行消费位置重置、重置消费点位到附近n条。 四种重置方式试用场景如下： 从最新点位开始消费：将消费者的消费位置重置为最新的消息。这意味着消费者将从当前Kafka主题的最新消息开始消费，忽略之前已经产生的消息。这种方式适用于只关注最新消息的场景，如实时监控或日志记录。 从最旧点位开始消费：将消费者的消费位置重置为最早的消息。这意味着消费者将从当前Kafka主题的最早消息开始消费，包括之前已经产生的消息。这种方式适用于需要处理全部消息历史记录的场景，如数据重播或数据分析。 按时间点进行消费位置重置：将消费者的消费位置重置为指定的时间点。这意味着消费者将从指定时间点之后的消息开始消费，可以精确地选择消费的起始位置。这种方式适用于需要从特定时间点开始消费的场景，如数据回溯或重新处理。 重置消费点位到附近n条：将消费者的消费位置重置到指定的消费位点上，这个是分区级别的，因此可以更加精确地选择消费的起始位置。这种方式适用于需要从特定位点开始消费的场景，如数据回溯或重新处理。

介绍在CTS事件列表查看云审计事件。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 使用限制 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。 查看审计事件 步骤1、登录管理控制台。 步骤2、单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 步骤3、单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 步骤5、选择完查询条件后，单击“查询”。 步骤6、在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 步骤7、在需要查看的事件左侧，单击展开该记录的详细信息。 步骤8、在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

在告警发送历史页面中，您可以筛选并查看根据通知策略分派的告警发送历史，并进行告警管理。 功能入口 1. 登录应用性能监控控制台。 2. 在左侧导航栏选择 告警管理 >告警发送历史。 告警发送列表 告警页面显示了告警的等级、名称、处理人等告警基本信息。 在告警页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，查看对应的告警发送历史。 字段 说明图 告警名称 创建的告警规则的名称。 告警状态 告警目前的处理状态，共有以下3种状态： 待认领 处理中 已解决 告警等级 告警的严重级别。可以在创建时指定告警规则产生的告警的级别，告警级别有以下几种： 一般 次要 重要 紧急 处理人 告警的处理人。 通知策略 告警对应的通知策略。 集成类型 告警事件对应的集成类型。 日志服务：日志服务上报的告警事件。 ARMS前端监控：ARMS前端监控上报的告警事件。 ARMS应用监控：ARMS应用监控上报的告警事件。 ARMSPrometheus：ARMS Prometheus上报的告警事件。 创建时间 告警产生的时间段。 单击告警名称，可以查看目标告警的详细信息。更多信息，请参见下方【告警详情】。 对于未解决的告警，可以认领、解决、指定告警处理人或修改告警等级。具体操作，请参见下方【处理告警】。

本章节介绍故障演练服务中演练执行管理功能。 概述 演练执行阶段，用户可以手动触发故障、实时观测系统指标、恢复已经注入的故障，并记录最终演练结论。 发起新演练 1. 在演练管理 列表中找到希望执行的演练任务 ，单击操作列的执行演练 按钮，进入演练执行记录页面。 2. 在演练执行记录 页面，单击左上角的发起新演练按钮。 3. 在弹出的对话框中，为本次执行实例填写一个明确的名称 ，然后单击确定。 4. 系统将自动跳转到本次演练的运行详情 页，也可以在演练执行记录 列表中找到对应执行实例，并单击详情进入。 环境预检测 进入演练运行详情 页后，系统会自动执行环境预检测，以检查探针状态、网络通路等前置条件。 可以点击查看检测详情，查看整体预检测情况。 可以点击重新检测，手动触发新一轮环境检测。 可以在每个动作组卡片上查看其独立的检测结果。 说明 发起演练时，系统会对所有演练资源进行故障注入依赖检查，可在导航栏查看所有动作组资源的检查情况，也可在各个动作组的环境预检测结果处查看指定动作组的资源检查情况。 环境检测不通过仍然可以执行演练，只是在演练过程中可能会有部分故障动作执行失败，由业务自行抉择。

本节介绍了开启APIServer审计日志的用户指南。 应用场景 Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。通过APIServer审计日志可以追踪用户对集群的操作行为。更进一步的，通过使用日志中心可以将集群的APIServer审计日志持久化到云日志服务，从而长时间追踪APIServer请求。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 。若已有集群，无需重复操作。 拥有集群master节点的root或sudo权限，能够远程登录节点执行命令。 操作步骤 以下步骤需要在集群所有master节点执行（可在集群菜单 节点管理 > 节点 查看master节点，一般有3个或5个） 增加apiserver审计策略文件 在集群master节点，新增 /etc/kubernetes/auditpolicy.yaml 文件 plaintext apiVersion: audit.k8s.io/v1 This is required. kind: Policy 不要为RequestReceived阶段中的所有请求生成审核事件。 omitStages: "RequestReceived" rules: 以下请求被手动确定为高容量和低风险，因此请取消这些请求。 level: None users: ["system:kubeproxy"] verbs: ["watch"] resources: group: "" core resources: ["endpoints", "services"] level: None users: ["system:unsecured"] namespaces: ["kubesystem"] verbs: ["get"] resources: group: "" core resources: ["configmaps"] level: None users: ["kubelet"]

管理Ingress 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“网络” ，然后单击“路由” 。 5. 在路由详情页面中，可以在目标路由的操作列中进行更新、删除以及查看YAML等操作。 6. 在路由详情页面中可以查看所有已经创建路由，点击目标路由名称可进一步看到该路由详情。 方式二：Kubectl操作指导 创建Ingress 1. 创建 testingress.yaml文件，示例内容如下： YAML apiVersion: apps/v1 kind: Deployment metadata: name: myapp spec: replicas: 3 selector: matchLabels: app: myapp template: metadata: labels: app: myapp spec: containers: name: myapp image: nginx:latest ports: name: http containerPort: 8080 apiVersion: v1 kind: Service metadata: name: myappservice spec: selector: app: myapp ports: name: http port: 8080 targetPort: 8080 type: ClusterIP apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: myappingress spec: rules: host: myapp.example.com http: paths: path: /myapp/ pathType: Prefix backend: service: name: myappservice port: number: 8080 2. 执行以下命令对相关对象进行创建。 PowerShell kubectl apply f testingress.yaml 查看Ingress 执行以下命令查看Ingress。 PowerShell kubectl get ingress 更新Ingress 执行以下命令更新Ingress。 PowerShell kubectl edit ingress myappingress

本节主要介绍切换角色（被委托方操作） 当其他帐号与您创建了委托关系，即您是被委托方，您以及分配了委托权限的用户，可以切换角色至委托方帐号中，根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 步骤 1 使用被委托方账号或已分配委托权限的IAM用户登录天翼云，单击页面顶部“控制台”。 说明 只有被委托的账号及该账号下被分配委托权限的IAM用户具有管理委托的权限，可以切换角色。 步骤 2 单击右上方已登录的账号，在下拉菜单中选择“切换角色”。 步骤 3 在“切换角色”页面中，输入委托方的账号、委托名称。 说明 输入账号名称后，系统将会按照顺序自动匹配委托名称，如果自动匹配的是没有授权的委托，系统将提示您没有权限访问，您可以删除委托名称，在下拉框中选择已授权的委托名称。 步骤 4 单击“确定”，切换至委托方账号中。 后续操作 单击右上角切换的委托账号，选择“切换角色”，可以返回到被委托方的账号。

本节介绍如何创建MindIE NPU多机PD分离任务。 本示例基于 MindIE 推理框架，选用 DeepSeekV3.1w8a8c8QuaRot 模型进行多机 PD（Prefill/Decode）分离部署。整体采用 1P × 1D 架构，其中 Prefill 阶段部署 1 个实例，由 1 个 master + 1 个 worker 角色组成，每个角色占用 8 张 NPU 卡；Decode 阶段部署 1 个实例，由 1 个 master + 3 个 worker 角色组成，每个角色占用 8 张 NPU 卡。因此，本任务共使用 6 台机器、48 张 NPU 卡，通过 Prefill 与 Decode 解耦调度，有效降低首 Token 时延并提升整体吞吐性能。 前置条件 1. 确认智算套件已经安装并且全部运行中。 2. 进入智算套件，AI应用管理，队列管理，确保队列存在并且有足够的资源(NPU,CPU,内存)[参考创建队列的文档]。 操作步骤 创建应用 进入智算套件，AI应用列表，在线推理菜单，创建AI应用。 基本信息 应用类型：MindIE 开启PD分离选择 静态PD分离

本节介绍了GeminiDB Redis的恢复备份到新实例操作说明。 操作场景 GeminiDB Redis支持使用已有的备份，将备份数据恢复到新实例，您可根据业务需要进行恢复。 操作步骤 1.登录云数据库 GeminiDB控制台。 2.恢复备份。 方法一 1.在“实例管理”页面，单击目标实例的名称。 2.在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“恢复”。 方法二 在“备份管理”页面，单击目标备份对应操作列中的“恢复”。 1.在“恢复实例”弹出框中确认当前实例信息及恢复方式，单击“确定”，跳转到“恢复到新数据库实例”的服务选型页面。 新实例的接口类型和版本，默认与原实例相同，不可修改。 数据库密码需重新设置。 其他参数，用户可修改，具体请参见各引擎快速入门中购买创建实例的内容。 2.查看恢复结果。 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 创建或恢复完成后，系统会自动执行一次全量备份。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。