本文介绍访问DDoS高防（边缘云版）域名资源出现404状态码的排查过程。 问题现象 在使用天翼云DDoS高防（边缘云版）时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：网站配置未正确配置：如果网站配置未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么边缘节点将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到访问出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查网站配置是否正确：控制台网站配置的回源域名/回源IP、回源HOST、回源端口、回源协议等配置是否正确。 1、回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2、回源HOST配置错误：回源HOST用于指定边缘节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了回源时建连的具体IP地址。 回源HOST：指边缘节点回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3、回源端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站HTTP服务端口为81，则需要修改回源配置，自定义【源站端口】为HTTP 81，同时需要修改回源协议为HTTP。 源站HTTPS服务端口为82，目前HTTPS服务端口不支持自助自定义，请提交工单联系天翼云客服进行配置。 源站仅单一协议存在资源（HTTP默认80端口，HTTPS默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

自定义监控展示用户所有自主定义上报的监控指标。用户可以针对自己关心的业务指标进行监控，将采集的监控数据通过使用简单的API请求上报至云监控服务进行处理和展示。 查看自定义监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“自定义监控”。 4. 在“自定义监控”页面，可以查看当前用户通过API请求上报至云监控服务的相关数据，包括自定义上报的服务，指标等。 说明 当用户通过API添加监控数据后，云监控服务界面才会显示自定义监控数据。 5. 选择待查看的云服务资源所在行的“查看监控指标”，进入“监控指标”页面。 在这个页面，用户可以选择页面左上方的时间范围按钮，查看该云服务资源“近1小时”、“近3小时”、“近12小时”、“近1天”和“近7天”的监控原始数据曲线图，同时监控指标视图右上角会动态显示对应时段内监控指标的最大值与最小值。 添加自定义告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 在“告警 > 告警规则”界面，单击“创建告警规则”。 4. 在“创建告警规则”界面，根据界面提示配置参数。 1. 选择监控对象，根据界面提示配置参数，如表11所示。 表11 配置参数 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 归属企业项目 告警规则所属的企业项目。只有拥有该企业项目权限的用户才可以查看和管理该告警规则。 资源类型 配置告警规则监控的云服务资源名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：云主机 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 ： 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 资源分组不支持通过模板创建告警规则。 分组 当监控范围为资源分组时需配置此参数。  b. 选择监控指标，选择“自定义创建”，参照表12完成参数配置。 表12 配置参数 参数 参数说明 取值样例 选择类型 选择自定义创建。 自定义创建 指标名称 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 CPU使用率 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信通知用户，可以选择“是” （推荐选择）或者“否”。选择“否”，就不会发送邮件、短信通知用户，选择“是”，就需要选择已有的主题或者新建主题。 是 选择主题 消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。

本文为您介绍分布式消息服务MQTT的快速入门创建实例。 实例介绍 MQTT实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占MQTT实例，可根据业务需要可定制相应规格的MQTT实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息MQTT页面。 2、 创建实例，注意选择产品规格。 （1）填写实例名称，长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()。 （2）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （3）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （4）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （5）设置节点数，可选择3/5/7/9。MQTT 的节点数是指MQTT 集群中的节点数量。在MQTT 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的MQTT 服务器实例。 （6）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （7）选择实例规格，分布式消息服务MQTT提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （8）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （9）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （10）选择已有子网，若无子网，点击创建跳转到子网页面新增，了解更多内容参见虚拟私有云子网管理 创建子网。 （11）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增，了解更多内容参见虚拟私有云安全组 创建安全组。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看MQTT实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

实例类型 规格变更类型 实例规格变更的影响 单机、主备和读写分离实例 扩容/缩容 Redis 4.0及以上版本实例，扩容期间连接会有秒级中断，大约1分钟的只读，缩容期间连接不会中断。 Redis 3.0实例，规格变更期间连接会有秒级中断，5~30分钟只读。 如果是扩容，只扩大实例的内存，不会提升CPU处理能力。 单机实例不支持持久化，变更规格不能保证数据可靠性。在实例变更后，需要确认数据完整性以及是否需要再次填充数据。如果有重要数据，建议先把数据用迁移工具迁移到其他实例备份。 主备和读写分离实例缩容前的备份记录，缩容后不能使用。如有需要请提前下载备份文件，或缩容后重新备份。 Proxy和Cluster集群实例 扩容/缩容 水平扩容（分片数增加）： − 连接不中断，但会占用CPU，导致性能有20%以内的下降。 − 分片数增加时，会新增数据节点，数据自动负载均衡到新的数据节点，访问时延会增大。 水平缩容（分片数减少）： − 分片数减少时，会删除节点。Cluster集群实例缩容前，请确保应用中没有直接引用这些删除的节点，否则可能导致业务访问异常。 − 删除节点会导致连接闪断，请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后可能需要重启客户端应用。 垂直扩容（分片数不变，分片容量增加）： − 如果节点所在的虚拟机内存容量不足，会发生节点迁移，迁移时业务连接会有闪断和只读。 − 如果虚拟机内存容量充足，则直接扩大节点容量，对业务无影响。 垂直缩容（分片数不变，分片容量减少）：无影响。 实例缩容前，每个节点的已用内存要小于缩容后节点最大内存的70%，否则将不允许变更。 实例规格变更期间，可能会进行数据迁移，访问时延会增大。Cluster集群请确保客户端能正常处理MOVED和ASK命令，否则会导致请求失败。 实例规格变更期间，如果有大批量数据写入导致节点内存写满，将会导致变更失败。 在实例规格变更前，请先使用缓存分析中的大key分析，确保实例中没有大key存在，否则在规格改变后，节点间进行数据迁移的过程中，单个key过大（≥512MB）会触发Redis内核对于单key的迁移限制，造成数据迁移超时失败，进而导致规格变更失败，key越大失败的概率越高。 Cluster集群实例扩容或缩容时，请确保客户端开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。Lettuce客户端开启集群拓扑自动刷新配置请参考 主备、读写分离和Cluster集群实例 副本数变更 Cluster集群实例增加或删除副本时，如果您使用的是Lettuce客户端，请确保开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。开启集群拓扑自动刷新配置请参考

数据卷（Volume）使用方式 常见的容器存储数据卷使用方式如下： 静态存储卷：静态存储卷一般是指由管理员创建的PV。所有的数据卷（Volume）都支持创建静态存储卷。静态存储卷先由集群管理员分析集群中存储需求，并预先分配一些存储介质（例如云盘、NAS盘等），同时创建对应的PV对象。创建好的PV对象等待PVC来消费。如果负载中定义了PVC需求，Kubernetes会通过相关规则实现PVC和匹配的PV进行绑定，这样就实现了应用对存储服务的访问能力。 动态存储卷：动态存储卷一般是指通过存储插件自动创建的PV。动态卷一般由集群管理员配置好后端的存储池，并创建相应的模板（StorageClass），当有PVC需要消费PV的时候，根据PVC定义的需求，并参考StorageClass的存储细节，由存储插件动态创建一个PV。StorageClass的定义如下： StorageClass：当您声明一个PVC时，如果在PVC中添加了StorageClassName字段，意味着当PVC在集群中找不到匹配的PV时，会根据StorageClassName的定义触发相应的Provisioner插件创建合适的PV供绑定，即创建动态数据卷。动态数据卷由Provisioner插件创建，并通过StorageClassName与PVC进行关联。StorageClass可译为存储类，表示为一个创建PV存储卷的模板。在PVC触发自动创建PV的过程中，即使用StorageClass对象中的内容进行创建。其内容如下： apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name:aliclouddisktopology parameters: type:cloudssd provisioner:diskplugin.csi.ctyun.com reclaimPolicy:Delete allowVolumeExpansion:true volumeBindingMode:WaitForFirstConsumer 参数 描述 reclaimPolicy 用来指定创建PV的persistentVolumeReclaimPolicy字段值，支持Delete和Retain。 l Delete表示动态创建的PV，在销毁的时候也会自动销毁。 l Retain表示动态创建的PV，不会自动销毁，而是由管理员处理。 allowVolumeExpansion 定义由此存储类创建的PV是否运行动态扩容，默认为false。是否能动态扩容是由底层存储插件来实现的，这里只是一个开关。 volumeBindingMode 表示动态创建PV的时间，支持Immediate和WaitForFirstConsumer，分别表示立即创建和延迟创建。 延迟绑定：针对某类存储（例如天翼云云盘）在挂载属性上有所限制，只能挂载相同可用区的数据卷和节点，不在同一个可用区不可以挂载。这种类型的存储卷通常遇到如下问题： 1、创建了A可用区的数据卷，但是A可用区的节点资源已经耗光，导致Pod启动无法完成挂载。 2、集群管理员在规划PVC、PV的时候不能确定在哪些可用区创建多个PV来备用。 3、StorageClass中的volumeBindingMode字段正是用来解决此问题，如果将volumeBindingMode配置为WaitForFirstConsumer值，则表示存储插件在收到PVC Pending的时候不会立即进行数据卷创建，而是等待这个PVC被Pod消费的时候才执行创建流程。 动态存储卷的优势： 1、动态存储卷让Kubernetes实现了PV的自动化生命周期管理，PV的创建、删除都通过Provisioner完成。 2、自动化创建PV对象，减少了配置复杂度和系统管理员的工作量。 3、动态卷可以实现PVC对存储的需求容量和Provisioner出来的PV容量一致，实现存储容量规划最优。 4、挂在SubPath卷：Kubernetes提供了volumeMounts.subPath属性配置，可用于指定所引用的卷内的子路径，而不是其根路径。

本文帮助您了解对象存储创建桶的操作步骤。 操作场景 创建桶是对象存储中的一项重要操作，它提供了一个容器来组织和管理对象。您需要先创建一个桶，然后才能在桶中存储数据。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表页面点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限），然后点击“下一步”，继续填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。创建桶的全部配置参数说明可见下表： 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 Bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，这有可能造成数据的外泄 以及费用激增，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 选择加密方式。取值范围如下： 关闭 : 不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS : 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见服务端加密。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 说明 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建数据密钥 generateDataKey 创建数据密钥（无明文） generateDataKeyWithoutPlaintext 导出数据密钥 exportDataKey 创建并导出数据密钥 generateAndExportDataKey 数据加密 encrypt 数据解密 decrypt 禁用主密钥 disableKey 启用主密钥 enableKey 创建主密钥 createKey 计划删除密钥 scheduleKeyDeletion 取消计划删除密钥 cancelKeyDeletion 密钥删除保护 deleteProtect 取消密钥删除保护 cancelDeleteProtect 转加密 reEncrypt 创建默认密钥 createDefaultKey 非对称签名 asymmetricSign 非对称验签 asymmetricVerify 非对称加密 asymmetricEncrypt 非对称解密 asymmetricDecrypt 获取公钥 getPublicKey 获取密钥列表 listAliasKeys 获取密钥详情 describeKey 更新密钥描述 updateKeyDescription 获取对称密钥详情 listSymmetricKeys 查询数据密钥详情 getDataKey 创建非对称密钥版本 createKeyVersion 查询密钥版本列表 listKeyVersions 获取密钥版本详情 describeKeyVersion 更新密钥轮转策略 updateRotationPolicy 创建密钥别名 createAlias 更新密钥别名 updateAlias 删除密钥别名 deleteAlias 获取别名列表 listAlias 获取密钥别名 listAliasByUuid 计算hmac hmaccompute 计算SM3摘要 messageDigest 获得导入密钥材料 getParametersForImport 导入密钥 importKeyMaterial 删除导入密钥材料 deleteKeyMaterial 证书公钥加密 certificatePublicKeyEncrypt 证书私钥解密 certificatePrivateKeyDecrypt 证书私钥签名 certificatePrivateKeySign 证书公钥验签 certificatePublicKeyVerify 获取随机数 getRandom Ukey证书公钥验签 certificatePublicKeyVerifyForUsbKey 创建证书csr createCertificate 更新证书状态 updateCertificateStatus 删除证书 deleteCertificate 获取证书详情 describeCertificate 获取证书链详情 describeCertificateChain 查询证书 getCertificate 导入证书 importCertificate 导入PKCS12证书 importCertificateByPKCS12 导出证书私钥 exportCertificatePrivatkey 查询证书列表 listCertificate 导入Ukey证书 importCertificateForUK 查询Ukey证书列表 listCertificateForUk 获取Ukey证书详情 describeCertificateForUk 查询Ukey证书信息 getCertificateForUk 更新Ukey证书状态 updateCertificateStatusForUk 删除Ukey证书 deleteCertificateForUk 获取vpc列表 listVpc 获取子网列表 listSubnet 创建应用接入点 createApplicationAccessPoint 查询接入点的接口权限列表 listAllUri 获取接入点的接口权限详情 listPointUriPolicy 接入点的接口权限变更 changePointUriPolicy 删除应用接入点 deleteApplicationAccessPoint 查询应用接入点列表 listApplicationAccessPoint 接入点的资源权限变更 changePointResourcePolicy 查询接入点的资源权限列表 listPointResourcePolicy 获取接入点的资源权限详情 describeResourcePolicy 关闭接入点权限控制 closePolicyCheck 检查接入点是否开启权限控制 policyCheckIsOpen 添加终端节点白名单 addEndpointWhitelist 查询终端节点白名单列表 showEndpointWhitelist 云产品关联检测 detectAssociation 创建租户ak createUserAk 启用租户ak enableUserAk 禁用租户ak disableUserAk 删除租户ak deleteUserAk 查询租户ak列表 listUserAk 查询资源信息 resourceInfo

lsinitramfs /boot/initrd.imguname r grep virtio lib/modules/3.5.023generic/kernel/drivers/scsi/virtioscsi.ko 说明： 如果误将builtin形式存在内核中的驱动添加到initrd或initramfs文件中，不会影响虚拟机正常使用，这里全写进去只是为了修改的方便，但是使用lsinitrd命令无法检查到。可使用如下方法确定这些驱动是否以builtin形式存在内核中，例如： [root@ CTU10000xxxxx home] cat /boot/configuname r grep CONFIGVIRTIO grep y CONFIGVIRTIOBLKy CONFIGVIRTIONETy CONFIGVIRTIOy CONFIGVIRTIORINGy CONFIGVIRTIOPCIy CONFIGVIRTIOMMIOCMDLINEDEVICESy [root@ CTU10000xxxxx home] cat /boot/configuname r grep CONFIGXEN grep y CONFIGXENBLKDEVFRONTENDy CONFIGXENNETDEVFRONTENDy 修改grub文件磁盘标识方式为UUID 以Ubuntu 20.04为例，执行blkid命令获取root分区对应的UUID并记录下来，编辑“/boot/grub/grub.cfg”文件，使用root分区的UUID来配置boot项。如果root分区已经使用UUID形式则不需要修改。具体操作方法如下： 1、使用root用户登录虚拟机。 2、执行以下命令，列出当前系统中所有已挂载文件系统的类型以及对应设备的UUID 。 blkid 回显信息如下所示。 /dev/xvda1: UUID"ec51d86034bf4374ad46a0c3e337fd34" TYPE"ext3" /dev/xvda5: UUID"7a44a9ce92814740b95fc8de33ae5c11" TYPE"swap" 3、执行以下命令，查看“grub.cfg”文件： cat /boot/grub/grub.cfg 回显信息如下所示： ……menuentry 'Ubuntu Linux, with Linux 3.13.024generic' class ubuntu class gnulinux class gnu class os unrestricted $menuentryidoption 'gnulinux3.13.024genericadvancedec51d86034bf4374ad46a0c3e337fd34' { recordfail loadvideo gfxmode $linuxgfxmode insmod gzio insmod partmsdos insmod ext2 if [ x$featureplatformsearchhint xy ]; then search nofloppy fsuuid setroot ec51d86034bf4374ad46a0c3e337fd34 else search nofloppy fsuuid setroot ec51d86034bf4374ad46a0c3e337fd34 fi echo 'Loading Linux 3.13.024generic ...' linux /boot/vmlinuz3.13.024generic root/dev/xvda1 ro echo 'Loading initial ramdisk ...' initrd /boot/initrd.img3.13.024generic } 4、根据“/boot/grub/grub.cfg”配置文件里标记的root分区，查找是否包括“root/dev/xvda1”或者“rootUUIDec51d86034bf4374ad46a0c3e337fd34”信息。 存在“rootUUIDec51d86034bf4374ad46a0c3e337fd34”，即root分区以UUID的表示形式，无需修改。 存在“root/dev/xvda1”，即root分区以设备名称表示的形式，请执行步骤5。 5、根据“root/dev/xvda1”，即root分区对应的设备名称，以及blkid命令获取的分区信息，找到root分区设备名称对应的UUID。 6、执行以下命令，打开“grub.cfg”文件。 vi /boot/grub/grub.cfg 7、按“i”进入编辑模式，将root分区改成UUID形式，本例中将“root/dev/xvda1”修改为“rootUUIDec51d86034bf4374ad46a0c3e337fd34”。 8、按“Esc”后，输入:wq，按“Enter”， 保存设置并退出vi编辑器。 执行以下命令，确认修改结果。 cat /boot/grub/grub.cfg 回显信息如下所示表示修改成功，即root分区以UUID的形式表示。 ……menuentry 'Ubuntu Linux, with Linux 3.13.024generic' class ubuntu class gnulinux class gnu class os unrestricted $menuentryidoption 'gnulinux3.13.024genericadvancedec51d86034bf4374ad46a0c3e337fd34' { recordfail loadvideo gfxmode $linuxgfxmode insmod gzio insmod partmsdos insmod ext2 if [ x$featureplatformsearchhint xy ]; then search nofloppy fsuuid setroot ec51d86034bf4374ad46a0c3e337fd34 else search nofloppy fsuuid setroot ec51d86034bf4374ad46a0c3e337fd34 fi echo 'Loading Linux 3.13.024generic ...' linux /boot/vmlinuz3.13.024generic rootUUIDec51d86034bf4374ad46a0c3e337fd34 ro echo 'Loading initial ramdisk ...' initrd /boot/initrd.img3.13.024generic }

弹性云主机的操作系统无法正常启动是什么原因？ 1. 查看用户的镜像类型，如果是公共镜像则排除私有镜像的源镜像问题。 2. 单击“申请服务器”，查看能否创建出此镜像的弹性云主机，申请完成后未出现此镜像对应的弹性云主机，则此类镜像可能已经下线，属于老镜像。 3. 控制台不支持使用老镜像继续购买弹性云主机，您需要将弹性云主机的操作系统切换为当前在线的操作系统。 针对Intel处理器芯片存在的Meltdown和Spectre安全漏洞，应该如何规避？ 问题描述 北京时间1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 严重程度：高危 漏洞描述：CPU内核高危漏洞Meltdown（CVE20175754）和Spectre（CVE20175715/CVE20175753）爆发，攻击者可利用这两组漏洞，绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 背景信息 受影响的操作系统官方补丁发布状态，请参见云平台安全公告。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 更新补丁。 方式一：使用Windows自动更新功能安装补丁 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装 根据背景信息，下载官方发布的补丁并进行安装。 步骤 3 重启弹性云主机，使补丁生效。 步骤 4 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 Linux弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 判断Linux弹性云主机是否安装了Tools（以操作系统SUSE 11 SP1为例）。 1. 在任意目录下执行以下命令，查询弹性云主机的驱动信息，如下图所示。 lsmod grep xen 图 查询驱动信息 2. 执行以下命令，查询驱动路径（以磁盘驱动为例），如下图所示。 modinfo xenvbd 图 查询驱动路径 3. 查看回显，根据驱动路径中是否带有“pvdriver”字段信息，判断弹性云主机是否安装了Tools。 − 是，如图所示，执行步骤3。 − 否，执行步骤4。 步骤 3 卸载Tools。 1. 执行以下命令，切换至root用户。 su root 2. 执行以下命令，在根目录下卸载Tools。 /etc/.uvpmonitor/uninstall 3. 执行以下命令，重启弹性云主机。 reboot 步骤 4 更新补丁，升级kernel内核，具体升级方式请参见背景信息。 说明 升级kernel内核后，请务必执行reboot命令重启弹性云主机。 步骤 5 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 说明 补丁更新后，弹性云主机使用的驱动是由操作系统自带。此时，Linux弹性云主机不再支持监控指标：内存使用率、磁盘使用率，对其他特性和功能无影响。如需继续支持监控指标内存使用率、磁盘使用率，请联系客服。

本节介绍了创建有状态工作负载(StatefulSet)的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 约束与限制 当您删除或扩缩有状态负载时，为保证数据安全，系统并不会删除它所关联的存储卷。 当您删除一个有状态负载时，为实现有状态负载中的Pod可以有序停止，请在删除之前将副本数缩容到0。 您需要在创建有状态负载的同时，创建一个Headless Service，用于解决有状态负载Pod互相访问的问题，详情请参见Headless Service。 节点不可用时，Pod状态变为“未就绪”，此时需要手工删除有状态工作负载的Pod，Pod实例才会迁移到正常节点上。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。

本文介绍公网IPv4或IPv6加入共享带宽的操作指南。 使用说明 仅允许添加同类型的IP地址。 一个公网IP一次仅能加入到一个共享带宽，若要加入到其他共享带宽，则需要先把公网IP在当前的共享带宽移除。 公网IP加入共享带宽后，公网IP原有绑定的独享带宽计费方式不再生效。 如果待加入的IP地址已绑定实例，绑定实例关联的VPC必须与共享带宽所属的VPC一致才允许添加。 共享带宽带宽上限为所有已加入IP地址绑定实例的带宽总和的上限。 前提条件 已购买共享带宽。 已拥有公网IPv4地址或IPv6地址。 共享带宽添加公网IPv4 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，在【共享带宽列表】选择需要操作的地域，选择地址类型为IPv4的共享带宽实例。 3. 单击【添加公网IPv4】，在添加公网IPv4界面，按需要选择一个或多个IP，单击【添加】，即可绑定成功。 4. 共享带宽添加公网IP后，在共享带宽详情会显示绑定的公网IP列表。 共享带宽添加公网IPv6 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，在【共享带宽列表】选择存在共享带宽的地域，选择地址类型为IPv6的共享带宽实例。 3. 单击【添加公网IPv6】，在添加公网IPv6界面，按需要选择一个或多个IP，单击【添加】，即可绑定成功。 4. VPC IPv6地址加入共享带宽后，IPv6地址可提供公网访问，IPv6地址绑定的虚拟机实例支持访问公网。

场景四：在线教育 在线教育场景为老师与学生提供实时互动的视频教育体验，需要在边缘侧提供区域间稳定互联的低时延通信链路，从而有效支撑师生间多点对多点实时互动。ECX具有以下优势： 低时延：用户就近接入边缘计算节点，最大限度减少公网损耗。 弹性灵活：新业务敏捷启动，有效应对业务洪峰。 场景五：自建CDN 当前互联网企业或服务商自建CDN网络时，大多采取租赁IDC的模式，需要建设和维护遍布多地域的大量站点。ECX提供依托中国电信国内的边缘算力网络，具有丰富的机房、网络资源优势，以及全局管理和自动化运维能力，帮助用户快速搭建和维护CDN网络。 如何申请更多节点开通和查看权限？ 请您提前准备好您的业务场景、资源需求规模、资源分布等信息，联系您的客户经理，或者提交客服工单，或者直接拨打客服热线将您的需求告知相关人员，审核通过，权限开放后会有运营人员联系您。 ECX支持开放边缘云节点权限，提供专享节点，亦或按您的需求新增建设节点。 ECX虚拟机支持自定义规格吗？ 支持自定义规格，例如2vCPU 6GB内存。您可以联系您的客户经理，或者提交客服工单。一般建议您使用内存GB数量为vCPU核数的2倍或4倍，以便实现较高性价比。 ECX实例带宽资源有哪些类型？ ECX实例带宽有单线、三线、BGP资源，主要以电信线路为主，不同集群资源不同。如需三线、BGP资源您可以联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。

本文介绍如何创建及管理自动快照策略等。 创建自动快照策略 1. 登录ECX控制台。 2. 单击左侧导航栏【边缘存储>快照】。 3. 单击【自动快照策略】进入自动快照策略列表，单击【新建】按钮，输入【策略名称】，选择快照的所属【地域】以及【可用区】。自动快照支持设置按周重复，每周可选择多天执行，然后设置好具体的执行时间。生成的快照在【保留时间】项设置需要保留的时间，超过设置时间将自动删除。点击【确认】按钮完成创建。 4. 创建后可点击【边缘存储>快照】，单击【自动快照策略】，进入自动快照策略列表查看刚刚生成的自动快照策略。 注意 每个云盘最多生成10个自动快照，当自动快照数达到10个时，继续生成自动快照时会自动删除最早的自动快照。 修改自动快照策略 1. 登录ECX控制台。 2. 单击左侧导航栏【边缘存储>快照】，单击【自动快照策略】进入自动快照策略列表。 3. 单击操作栏【修改】按钮，支持修改【策略名称】、【重复周期】、【执行时间】以及【保留时间】等，单击【确认】按钮，完成策略修改。 自动快照策略关联云盘 1. 登录ECX控制台。 2. 单击【边缘存储>快照】进入快照列表，单击【自动快照策略】，进入自动快照策略列表。 3. 选择需要修改的策略，单击操作【关联云盘】。 4. 弹窗中展示的是还没有关联策略的云盘，根据需要选择关联的云盘后，单击【确认】按钮，保存策略。 注意 每个云盘只能关联一个策略，未挂载过虚拟机的云盘暂不支持创建自动快照。 冻结云盘关联的自动快照策略会自动关闭，且无法开启。

本文介绍如何在边缘虚拟机如何安装NVIDIA Data Center/Tesla类型驱动。 适用情况 驱动类型 适配芯片 操作系统 NVIDIA Data Center/Tesla A10 T4 Ubuntu 18.04 Ubuntu 20.04 Ubuntu 22.04 Ubuntu 24.04 NVIDIA驱动版本说明 NVIDIA驱动版本 说明 nvidiadriverxxx 桌面用专有驱动 nvidiadriverxxxopen 桌面用开源驱动 nvidiadriverxxxserver 服务器用专有驱动 nvidiadriverxxxserveropen 服务器用开源驱动 驱动安装快速安装 安装前准备 查询是否安装nouveau驱动，若是，禁用nouveau驱动。 步骤1、查询驱动安装情况。 shell lsmod grep nouveau 步骤2、若已安装nouveau驱动需禁用。 shell sudo bash c "echo 'blacklist nouveau' >> /etc/modprobe.d/blacklistnouveau.conf" sudo updateinitramfs u 安装步骤 步骤1、执行以下命令，添加NVIDIA图形驱动程序仓库。 shell sudo bash c "echo 'blacklist nouveau' >> /etc/modprobe.d/blacklistnouveau.conf" sudo updateinitramfs u 步骤2、同步远程存储库的最新软件包信息。 shell sudo apt update 步骤3、查找和安装NVIDIA的图形驱动程序。 shell sudo apt search nvidiadriver 步骤4、安装特定版本的NVIDIA驱动程序。 shell sudo apt install nvidiadriverxxxserveropen 步骤5、查看驱动安装结果。 shell nvidiasmi 驱动安装通用安装 说明 该安装方式为直接通过NVIDIA官网下载驱动进行安装。

本文主要介绍边缘裸金属服务器挂载NFS协议类型的文件存储的方案。 应用场景 边缘裸金属服务器挂载文件存储，可以有多个应用场景，例如在数据密集型处理场景中，如气象数据分析、基因测序等，可将大量数据存储于文件存储，供多台边缘裸金属服务器快速读取和写入，提升数据处理效率。在需要共享存储的分布式计算场景里，如分布式数据库集群，通过挂载文件存储，各边缘裸金属服务器节点可共享配置文件、数据文件等资源，保障集群协同工作。 文件存储可提供高带宽、低延迟的数据访问，满足边缘裸金属服务器对存储性能的要求： 高可用性，文件存储具备冗余机制，能有效保障数据安全与业务连续性。 扩展性强，可依据业务增长灵活扩展存储容量，无需中断服务。 易于管理，集中化存储便于统一管理监控，降低运维难度。 前提条件 边缘裸金属服务器需和文件存储网络互通，需要采用 underlay vpc 网络。创建 underlay vpc 流程如下： 1. 登录ECX控制台。 2. 点击左侧【边缘网络】，选择【虚拟机私有云 > vpc和子网】 3. 点击【+创建虚拟私有云】，在基础信息中，类型需要选择为underlay，子网类型为underlay并填写规划好的 vlan 号。 创建边缘裸金属服务器和文件存储时，均要选择对应创建的 underlay vpc 网络。

云主机可通过绑定弹性IP访问互联网,本文帮助您将弹性IP绑定至云主机。 前提条件 要绑定的云资源没有绑定其他弹性公网IP。 被绑定的弹性公网IP没有绑定其他云资源。 操作须知 绑定弹性IP不需要对虚拟机进行关机，绑定成功后实时生效。 操作步骤 1. 进入控制台，在服务列表中点击“弹性IP”按钮。 2. 在弹性IP列表找到待绑定弹性IP地址，单击操作列中的“绑定”按钮。 3. 在弹出窗口中，如果需要绑定云主机，选择“一对一映射”；如果需要绑定负载均衡，选择“负载均衡”；选择完毕后点击“确定”按钮。 4. 在弹窗中的资源列表中，选择需要绑定的主机资源或负载均衡资源，选择完毕后点击【确定】完成绑定操作。 5. 绑定后，在控制台列表中，该弹性公网IP状态显示“已绑定”。 说明 后绑定的弹性IP和云资源如果计费方式、到期时间不一致，可能导致其中一方到期而影响整体业务。包年包月订购的资源您需要格外关注资源到期时间，并在到期前进行资源续费。按量计费的资源需要关注账户余额，在余额用尽前及时充值。 常见问题 为什么EIP无法绑定到云主机实例上？ EIP无法绑定到云主机实例的常见原因如下： 1. EIP和云主机实例不在同一个地域。 2. 云主机实例已经分配了固定公网IP或绑定了其他EIP。 3. 云主机实例状态异常，只有运行中或已停止状态的云主机实例才能绑定EIP。

本节主要介绍HBlock主要概念。 iSCSI iSCSI（Internet Small Computer System Interface，互联网小型计算机系统接口）是⼀种基于TCP/IP及SCSI3协议下的存储技术，用来建立和管理IP存储设备、主机和客户机等之间的相互连接，并创建存储区域⽹络（SAN）。 卷 LUN（Logical Unit Number，卷 )是逻辑单元号，用于标识逻辑单元的数字。可以根据需求，创建本地卷（本地模式）和上云卷（缓存模式和存储模式）： 本地模式：数据全部保留在本地。 缓存模式：本地保留部分热数据，全部数据异步存储到对象存储中。 存储模式：本地保留全部数据，并异步存储到对象存储中。 最小副本数：对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须

来自：

帮助文档

存储资源盘活系统

产品简介

主要概念

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

本节介绍印刷文字识别的相关术语解释。 OCR Optical Character Recognition，光学字符识别，一种通过扫描后将文本转换为可编辑数字文本的技术。通过使用图像处理和机器学习等技术，OCR可以将印刷文本转换为计算机可读的数字文本，从而实现对文本的数字化处理和自动化识别。 分段 Segmentation，图像预处理的一个步骤，将文本块从整个图像中分离出来。 二值化 Binarization，将文本图像转换为只包含黑色和白色像素的图像。这种处理方法的优点是能够简化图像处理过程，提高处理效率。 切割 Snapping，将图像中的字符切割成单独的字符，方便后续的字符识别和处理。 识别率 Recognition rate，OCR系统正确识别字符的比率。识别率的计算公式为：（正确识别的字符数 / 总字符数） × 100%。识别率越高，说明OCR系统的性能越好，识别效果越准确。在实际应用中，识别率是评价OCR系统性能的重要标准之一，也是用户选择OCR系统的重要依据之一。 特征提取 Feature extraction，指从原始图像中提取出一些具有代表性的特征，这些特征可以用于描述图像的内容和结构。在文本图像识别中，特征提取是关键步骤之一，它可以帮助机器更好地理解和识别文本信息。 文本框检测 Text frame detection，在图像中识别和定位文本框的位置和大小的过程，可以帮助确定需要识别的文本区域，使OCR只检测感兴趣区域，从而减少OCR系统的计算量和误差。

本文为您介绍弹性高性能计算产品相关名词的主要含义。 高性能计算平台 集群 集群指由一组计算机和必要的管理软件组成的计算机系统，能够提供单节点无法提供的强大计算能力，集群中通常包含管理节点、计算节点、调度器、应用软件等。用户可以根据实际业务需求对集群进行扩容、缩容。 节点 节点是集群的组成单元，在集群中通常分为管理节点、计算节点。在EHPC中，每个节点对应一台实例，用户可以根据实际业务和作业情况对集群节点进行扩容、缩容。 作业 作业指通过调度器提交的承载业务逻辑的运算单元，在调度器的管理下，一个集群中可运行多个作业，并根据多种调度策略进行作业编排。在EHPC中，支持通过命令行、Portal页面提交作业。 调度器 调度器指负责监控和管理集群中资源和作业的软件系统，当前版本支持Slurm调度器。 镜像 镜像是一个包含了软件及必要配置的主机模板，至少包含操作系统，还可以包含应用软件和私有软件。 队列 队列指一组具有相同或相似架构、性能的节点，一个集群中支持配置多个队列。用户可根据需求对计算节点进行分类，配置为不同的队列，便于运行相应的作业、配置相应的权限。 自动伸缩 自动伸缩是一种自动伸缩策略，可以根据您配置的伸缩策略动态分配计算节点，系统可以根据调度器感知到的集群负载自动增加或减少计算节点。可以帮您合理利用资源，优化使用成本。 高性能计算集群

CTCCL兼容NCCL环境变量,常使用的CTCCL环境变量如下,推荐值仅供参考,具体使用以实际情况为准。 环境变量 描述 推荐值 NCCLIBGIDINDEX RDMA协议使用的GID 3 NCCLIBHCA RDMA通信使用的网卡 mlx5 NCCLIBTIMEOUT RDMA连接超时时间，合理配置可以提高训练任务的容错能力 22 NCCLSOCKETIFNAME 使用该端口建立连接 bond0 NCCLDEBUG 日志级别 INFO/WARN NCCLDEBUGSUBSYS 打印的info信息子类别，设置为REPORT可以输出网卡对带宽信息（若带宽统计功能开启）、事件上报日志（若上报功能开启） REPORT NCCLIBQPSPERCONNECTION 单连接使用的并行传输QP数量。若要使用QP切换与重传功能，请不要配置为1 8 NCCLNETPLUGIN 配置网络插件 none CTCCLERRREPORT 默认为0，配置为1后，CTCCL内部发现异常上报云骁平台。使用云骁智能平台拉起训练任务时，该功能默认打开。 0 CTCCLBWREPORT 默认为0，配置为1后，统计网卡对集合通信带宽信息并记录在日志中，日常正常训练不建议开启。使用云骁智能平台拉起训练任务时，该功能默认打开。 0 CTCCLIBLBUPLINK 默认为0，RoCE组网下，推荐配置为leaf交换机上行链路数。IB环境下请配置为0，或不做配置。 IB：0 RoCE：上行链路数 CTCCLQPTIMEREPORT 默认为0，要使用慢节点检测工具时请配置为1，必须搭配慢节点检测工具套件使用。 0

本文主要介绍如何添加或移除后端云主机(独享型) 在使用负载均衡服务时，确保至少有一台后端云主机在正常运行，可以接收负载均衡转发的客户端请求。如果请求的需求流量上升，用户需要向负载均衡器添加更多后端云主机处理需求。 移除负载均衡器绑定的后端云主机，后端云主机将不再收到负载均衡器转发的需求，但不会对云主机本身产生任何影响，只是解除了后端主机和负载均衡器的关联关系。您可以在业务增长或者需要增强可靠性时再次将它添加至后端云主机组中。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。 添加后端云主机 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加后端云主机的负载均衡名称。 5. 切换到“后端主机组”页签，单击目标后端主机组名称。 6. 单击右侧页面中的“添加云主机”、“添加跨VPC后端”。 7. 根据需要添加的后端类型选择相应的操作。 添加普通后端：在“添加云主机”界面选择后端云主机所在的子网，勾选需要添加的后端云主机，并选择“私网IP地址”，然后单击下一步，设置后端端口和云主机的权重，单击“完成”，完成添加。 添加跨VPC后端：在“添加跨VPC后端”界面设置业务端口和云主机的权重等配置，单击“确定”，完成添加。

本节介绍漏洞扫描服务的相关术语。 术语 说明 漏洞（Vulnerability） 硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。 网站（Website） 网站(Website)开始是指在因特网上根据一定的规则，使用HTML（标准通用标记语言下的一个应用）等工具制作的用于展示特定内容相关网页的集合。简单地说，网站是一种沟通工具，人们可以通过网站来发布自己想要公开的资讯，或者利用网站来提供相关的网络服务。 Web应用（Web App） Web应用程序是可使用任何Web浏览器访问的软件或程序。Web应用程序是具有功能和交互式元素的网站。 主机（Host） 连接了硬盘、硬盘子系统或者文件服务器，并能在其上存储数据和I/O访问的计算机系统。大型机、服务器、工作站以及个人电脑，甚至多处理器机器和集群计算机系统都被称为主机。 安全配置基线（Security Configuration Baseline） 安全配置基线即针对不同的产品或者系统，依据安全评估标准，形成一系列固化的检查规则、评估方法，为安全管理人员在实际的安全配置工作中提供参考和标杆。 NVD National Vulnerability Database国家安全漏洞库。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 安全通告（Security Advisory） 安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。一般用于厂商披露器产品直接相关的漏洞。

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

介绍分布式消息服务RabbitMQ删除虚拟主机的操作内容。 场景描述 在RabbitMQ中，删除虚拟主机（Virtual Host）的场景描述如下： 应用迁移或清理：当需要迁移应用或进行系统清理时，可能需要删除不再使用的虚拟主机。例如，如果某个应用已经停用或迁移到其他环境，可以删除相关的虚拟主机，以释放资源和减少管理工作。 安全审计和合规性要求：根据安全审计和合规性要求，可能需要删除不再需要的虚拟主机。例如，当某个虚拟主机涉及敏感数据或权限配置存在问题时，可以选择删除该虚拟主机以避免安全风险。 故障处理和恢复：在某些情况下，当虚拟主机发生故障或出现严重问题时，可能需要删除虚拟主机并重新创建。这可以作为一种故障处理和恢复的手段，以解决虚拟主机相关的问题并恢复正常运行。 系统资源管理和优化：如果虚拟主机过多或占用了过多的系统资源，可能需要删除一些不再使用或不需要的虚拟主机。这有助于优化系统资源的利用和提高整体性能。 需要注意的是，在删除虚拟主机之前，务必确保相关的队列、交换机和绑定等对象已经被删除或迁移。否则，删除虚拟主机可能会导致数据丢失或系统异常。 操作步骤 （1）在虚拟主机管理页面，在目标虚拟主机行点击“删除”，即可删除虚拟主机。 注意事项： 删除虚拟主机会删除该虚拟主机内所有数据且不可恢复，请谨慎操作。

本节介绍计算机增强型云电脑的相关管理操作。 创建计算增强型AI云电脑 1. 登录并打开“天翼AI云电脑（政企版）”产品详情页； 2. 点击控制台按钮，跳转后选择对应的资源池； 3. 点击“计算增强型AI云电脑”菜单，选择创建计算增强型AI云电脑； 4. 订购类型选择“资源包”或“单实例”； 5. 根据需求选择相应的“规格类型”； 6. 根据实际情况选择“镜像类型”，即开通计算增强型AI云电脑实例的操作系统； 7. 根据实际情况选择实例所在的“VPC”和“子网“； 8. 选择安全组和填写实例的账号密码； 9. 确认相关的配置信息，单击“确定”，即完成计算增强型AI云电脑实例的开通。 基本操作 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击进入“计算增强型AI云电脑”页面； 3. 在需要进行操作的计算增强型AI云电脑所在行，点击“操作”，可对AI云电脑进行“开机/关机/重启”操作。 规格变更 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要变更规格的实例所在行，点击“管理”，选择“规格变更”操作； 4. 根据需求选择需要变更的规格； 5. 点击“立即创建”，即完成实例的规格变更。 注意 （1）实例支持规格升级和降级，规格变更的操作不会对实例已有数据产生影响； （2）规格变更操作将导致AI云电脑自动重启，请谨慎操作。

故障事件 说明 OOMKilling 检查oom事件发生并上报。可能原因：用户在ECS侧误操作卸载数据盘。处理建议：排查项一：节点负载过高。 TaskHung 检查taskHung事件发生并上报 KernelOops 检查内核0指针panic错误 ConntrackFull 检查连接跟踪表是否满 FrequentKubeletRestart 检测kubelet频繁重启 FrequentDockerRestart 检测docker频繁重启 FrequentContainerdRestart 检测containerd频繁重启 CRIProblem 检查容器CRI组件状态 KUBELETProblem 检查Kubelet状态 NTPProblem 检查ntp服务状态 PIDProblem 检查Pid是否充足 FDProblem 检查文件句柄数是否充足 MemoryProblem 检查节点整体内存是否充足 CNIProblem 检查容器CNI组件状态 KUBEPROXYProblem 检查Kubeproxy状态 ReadonlyFilesystem 检查系统内核是否有Remount root filesystem readonly错误。可能原因：用户在ECS侧误操作卸载数据盘、节点vdb盘被删除。处理建议： 排查项六：检查磁盘是否异常 排查项九：检查节点中的vdb盘是否被删除 DiskReadonly 检查系统盘、docker盘、kubelet盘是否只读可能原因：用户在ECS侧误操作卸载数据盘、节点vdb盘被删除。处理建议： 排查项六：检查磁盘是否异常 排查项九：检查节点中的vdb盘是否被删除 DiskProblem 检查磁盘使用量与关键逻辑磁盘挂载检查系统盘、docker盘、kubelet盘磁盘使用率，检查docker盘、kubelet盘是否正常挂载在虚拟机上。 PIDPressure 检查PID是否充足。处理建议：PID不足时可调整PID上限。 MemoryPressure 检查容器可分配空间（allocable）内存是否充足 DiskPressure 检查kubelet盘和docker盘的磁盘使用量及inodes使用量。处理建议：扩容数据盘。

本页介绍分布式融合数据库HTAP的计算节点监控信息。 计算节点监控简介 计算节点监控页面可以查看慢日志、实时长查询和DDL记录，为SQL优化、故障溯源和性能分析提供帮助。 前提条件 分布式融合数据库HTAP实例正常运行。故障、删除状态的实例，无法在监控中查看其监控指标。当分布式融合数据库HTAP实例再次启动或恢复后，即可正常查看。 注意事项 若慢日志的查询时间范围太大，慢日志较多，可能会导致慢日志查询超时，请缩短查询的时间范围。 计算节点监控 慢日志 输入搜索参数，查询、展示计算节点的慢SQL日志。可搜索参数包括： 关键字：搜索关键字，不填表示不做关键字过滤。 schemas：搜索schema列表，不填表示不做schema过滤，支持多选。 排序列：搜索结果按所选的排序列进行排序。 TopNs：搜索结果展示数量。 时间范围：搜索的时间范围。 计算节点实例 ：搜索的目标计算节点，默认不填，表示搜索所有计算节点，支持多选指定目标计算节点列表。 实时长查询 实时长查询用于查找计算节点在途的执行时间较长的查询，用于诊断、定位问题。 结果记录的字段说明： 实例：计算节点ID。 info：正在处理的请求语句。 数据库名：当前连接的默认数据库名。 命令类型：当前 PROCESS 执行的命令类型。 状态：当前连接的状态。 持续时间：当前 PROCESS 的已经执行的时间，单位是秒。 用户名：执行当前 PROCESS 的用户名。 客户机：客户连接的地址。 使用内存：正在处理的请求已使用的内存，单位是 byte。 开始时间：显示事务的开始时间。

本章节主要介绍数据湖探索（DLI）的应用场景。 DLI服务适用于海量日志分析、异构数据源联邦分析、大数据ETL处理。 海量日志分析 游戏运营数据分析 游戏公司不同部门日常通过游戏数据分析平台，分析每日新增日志获取所需指标，通过数据来辅助决策。例如：运营部门通过平台获取新增玩家、活跃玩家、留存率、流失率、付费率等，了解游戏当前状态及后续响应活动措施；投放部门通过平台获取新增玩家、活跃玩家的渠道来源，来决定下一周期重点投放哪些平台。 优势 高效的Spark编程模型：使用DLI直接从DIS中获取数据，进行数据清理等预处理操作。只需编写处理逻辑，无需关心多线程模型。 简单易用：直接使用标准SQL编写指标分析逻辑，无需关注背后复杂的分布式计算平台。 按需计费：日志分析按时效性要求按周期进行调度，每次调度之间存在大量空闲期。DLI按需计费只在使用期间收费，成本较独占队列降低50%以上。 建议搭配以下服务使用： OBS，DWS，RDS。 异构数据源联邦分析 车企数字化服务转型 面临市场新的竞争压力及出行服务不断变革，车企通过构建车联云平台和车机OS，将互联网应用与用车场景打通，完成车企数字化服务转型，从而为车主提供更好的智联出行体验，增加车企竞争力，促进销量增长。例如：通过对车辆日常指标数据（电池、发动机，轮胎胎压、安全气囊等健康状态）的采集和分析，及时将维保建议回馈给车主。

$%^&()+[{}]:'", /?和空格，并且不能以开头。 非弱密码（如果不能确定哪些是弱密码，请在替换证书对话框中输入密码，系统会自动判定是否为弱密码）。 出现如下提示信息时，输入“y”。 Trust this certificate？ 步骤 4 执行以下命令，通过CA创建一个客户端的Truststore证书。 keytool keystore client.truststore.jks alias CARoot import file cacert 按照提示信息输入客户端证书的Truststore密码。此密码用于客户端连接Kafka实例时，配置文件中“ssl.truststore.password”参数的值。 出现如下提示信息时，输入“y”。 Trust this certificate？ 步骤 5 执行以下命令，为服务器证书签名。 1. 导出服务器证书“server.certfile”。 keytool keystore server.keystore.jks alias localhost certreq file server.certf 按照提示信息输入步骤1中设置的keystore密码。 2. 通过CA给服务器证书进行签名处理。 openssl x509 req CA cacert CAkey cakey in server.certfile out server.certsigned days 3650 CAcreateserial 按照提示信息输入步骤2中设置的PEM密码。 3. 将CA证书导入到服务器keystore。 keytool keystore server.keystore.jks alias CARoot import file cacert 按照提示信息输入步骤1中设置的keystore密码。 出现如下提示信息时，输入“y”。 Trust this certificate？ 4. 将已签名的服务器证书导入到服务器keystore。 keytool keystore server.keystore.jks alias localhost import file server.certsigned 按照提示信息输入步骤1中设置的keystore密码。 步骤 6 导出证书“server.keystore.jks”和“server.truststore.jks”到本地PC机。 图 证书目录

寒武纪系列为国产AI加速卡,本节为您介绍寒武纪计算加速型云主机的相关规格,目前在广州6资源池上线。 PCH1型云主机 PCH1型寒武纪计算加速型云主机采用专为AI推理打造的MLU370S4加速卡，国产X86架构海光CPU，独享宿主机的CPU资源，实例间无CPU争抢，没有进行资源超配，属于计算加速型（直通）规格，云主机的CPU/内存配比为1：4，可广泛支持视觉、语音、自然语言处理等高度多样化的人工智能应用，帮助AI推理平台实现超高密度。 规格特点 规格名称 CPU型号 AI加速卡型号 AI加速卡数量 单卡性能 磁盘类型 寒武纪计算加速型PCH1 海光 7285(主频2.0GHz) MLU370S4 1、2、3、4 72 TFLOPS半精度浮点计算 192 TOPS INT8计算 普通IO 高IO 通用型SSD 超高IO 规格 系列 CPU 内存 GPU显卡类型 显存 最大带宽/基准带宽（Gbit/s) 网络收发包（万PPS） 多队列 pch1.4xlarge.4 16 64 Cambricon MLU370 s4 124G 18/11.5 200 8 pch1.6xlarge.4 24 96 Cambricon MLU370 s4 124G 18/11.5 200 8 pch1.9xlarge.4 36 144 Cambricon MLU370 s4 224G 30/22.5 400 16 pch1.12xlarge.4 48 192 Cambricon MLU370 s4 324G 30/22.5 400 16 pch1.21xlarge.3 84 252 Cambricon MLU370 s4 424G 47/45 800 32

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。