本文介绍如何根据需求自定义设置告警规则。 操作场景 用户可以在管理与服务控制台为智能网关设置告警规则，以便及时通知用户相关异常事件，便于用户运维。 前提条件 设备已绑定天翼云SDWAN。 操作步骤 1. 登录管理与部署控制台； 2. 选择“告警服务 >告警规则”，单击“创建告警规则”； 3. 根据页面提示，选择监控对象和监控指标，并配置规则信息； 4. 点击“确定”，完成告警规则的创建。

本文主要介绍天翼云SQL Server实例的重启步骤。 重启方式 目前天翼云提供两种SQL Server实例的重启方式： 普通重启：等待当前运行的TransactSQL语句和存储过程完成后再停止数据库引擎，停止成功后重新拉起SQL Server实例。 强制重启：实例将先以普通重启方式重启实例。若普通重启成功则重启任务成功，若普通重启失败则使用强制停止命令停止数据库引擎，强制停止成功后重新拉起SQL Server实例。强制停止将在不对每个数据库执行检查点操作的情况下关闭SQL Server实例，重启后将对不完整的事务执行回滚操作。 执行时间 立即执行：任务将在提交后立即执行。 定时执行：任务将在设定的时间执行，可设置的重启时间为当前时间五分钟之后至三天的任意时间。 重启对象 数据库服务：整个数据库服务。 主节点：只重启主节点。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server版产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到需要重启的目标实例，单击列表右侧的【重启】按钮。 4. 在弹框中选择【普通重启】或者【强制重启】，选择【立即执行】或者【定时执行】并选定执行时间，再选择【数据库服务】或者【主节点】。选择完成后单击【确定】按钮，即可完成下发实例的重启任务。 5. 下发完成后，选择【SQL Server > 任务列表】，进入任务列表界面。 6. 在任务中心可以看到重启任务记录。针对定时重启任务，在【操作】列，选择【修改定时任务】可以修改定时重启任务的时间；选择【取消定时任务】可以取消定时任务。 注意 重启过程中，实例将短时间内不可用，请选择在业务低峰期进行操作。 SQL Server实例的重启任务可以在【任务列表】页面进行查看。

本节主要介绍OBS的权限管理。 如果您需要对OBS资源，为企业中的员工设置不同的用户访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有OBS的使用权限，但是不希望他们拥有删除OBS资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用OBS，但是不允许删除OBS资源的权限，控制他们对OBS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用OBS的其它功能。 IAM是云平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《天翼云统一身份认证服务用户指南》“产品介绍”章节。 OBS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如完全控制权限、只读权限，您可以直接使用这些系统策略。 OBS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问OBS时，不需要切换区域。 RBAC策略：RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限，如访问整个服务、管理整个服务，RBAC策略无法针对服务中的具体操作做权限控制。 说明 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待10~15分钟策略才能生效。 下表为OBS的所有系统策略。 策略名称 描述 策略类别 Tenant Administrator 操作权限：对帐号拥有的所有云资源执行任意操作。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 Tenant Guest 操作权限：对帐号拥有的所有云资源的只读权限。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 用户拥有OBS资源权限后，对应在OBS上可以执行的具体操作下表所示。 操作名称 Tenant Administrator权限 Tenant Guest权限 列举桶 可以 可以 创建桶 可以 不可以 删除桶 可以 不可以 获取桶基本信息 可以 可以 管理桶访问权限 可以 不可以 管理桶策略 可以 不可以 修改桶存储类别 可以 不可以 列举对象 可以 可以 列举多版本对象 可以 可以 上传文件 可以 不可以 新建文件夹 可以 不可以 删除文件 可以 不可以 删除文件夹 可以 不可以 下载文件 可以 可以 删除多版本文件 可以 不可以 下载多版本文件 可以 可以 修改对象存储类别 可以 不可以 恢复文件 可以 不可以 取消删除文件 可以 不可以 删除碎片 可以 不可以 管理对象访问权限 可以 不可以 设置对象元数据 可以 不可以 获取对象元数据 可以 不可以 管理多版本控制 可以 不可以 管理日志记录 可以 不可以 管理标签 可以 不可以 管理生命周期规则 可以 不可以 管理静态网站托管 可以 不可以 管理CORS规则 可以 不可以 管理防盗链 可以 不可以 管理跨区域复制 可以 不可以 管理图片处理 可以 不可以 设置对象ACL 可以 不可以 设置指定版本对象ACL 可以 不可以 获取对象ACL 可以 可以 获取指定版本对象ACL 可以 可以 多段上传 可以 不可以 列举已上传段 可以 可以 取消多段上传任务 可以 不可以

本节主要介绍弹性文件服务的限制类常见问题。 文件系统使用空间不足，可以扩容吗？ SFS容量型文件系统：支持在线扩容。 SFS Turbo文件系统：支持在线扩容，扩容时文件系统将会23min不可用。 文件系统中的数据是否可以跨区域迁移？ 暂时不支持直接跨区域迁移文件系统数据，您需要在购买文件系统时规划好合适的区域，或者可以将数据复制至本地后再传至另一区域。 SFS Turbo文件系统可以使用云服务备份进行备份数据，再使用备份复制的功能，将备份副本复制至另一区域再创建一个与原区域数据一致的SFS Turbo文件系统进行使用。

高级命令 replace replace命令用于对已有资源进行更新、替换。当我们需要更新resource的一些属性的时候，如果修改副本数量，增加、修改label，更改image版本，修改端口等。都可以直接修改原yaml文件，然后执行replace命令。 kubectl replace f filename 须知：名字不能被更新。另外，如果是更新label，原有标签的pod将会与更新label后的rc断开联系，有新label的rc将会创建指定副本数的新的pod，但是默认并不会删除原来的pod。所以此时如果使用get po将会发现pod数翻倍，进一步check会发现原来的pod已经不会被新rc控制。 apply apply命令提供了比patch，edit等更严格的更新resource的方式。通过apply，用户可以将resource的configuration使用source control的方式维护在版本库中。每次有更新时，将配置文件push到server，然后使用kubectl apply将更新应用到resource。kubernetes会在引用更新前将当前配置文件中的配置同已经应用的配置做比较，并只更新更改的部分，而不会主动更改任何用户未指定的部分。apply命令的使用方式同replace相同，不同的是，apply不会删除原有resource，然后创建新的。apply直接在原有resource的基础上进行更新。同时kubectl apply还会在resource中添加一条注释，标记当前的apply，类似于git操作。 kubectl apply f patch 如果一个容器已经在运行，这时需要对一些容器属性进行修改，又不想删除容器，或不方便通过replace的方式进行更新。kubernetes还提供了一种在容器运行时，直接对容器进行修改的方式，就是patch命令。 例如已存在一个pod的label为appnginx1，如果需要在运行过程中，将其修改为appnginx2。 kubectl patch pod podname p '{"metadata":{"lables":{"app":"nginx1"}}}' convent 不同的api版本之间转换配置文件。

您需要在部署天翼云TeleDB数据库之前，检查相关的机器、安装包、操作系统、端口等信息。 确保您的安装包与操作系统版本匹配。 检查机器之间是否存在通信问题或者拦截问题，确保主机之间网络互通。 确保已获取主机超级用户。 硬盘空间足够。 已安装好java运行时。 部署好ZooKeeper。

本页介绍天翼云TeleDB数据库PL/pgsql函数的返回值。 返回值可以是一个简单数据类型、复合类型、RECORD、已经存在的表行类型、表字段类型、游标、另外还可以返回一个记录集、如果不需要返回值，则可以用RETURN void。返回值的字段名及类型可以在参数OUT、INOUT模式中声明。

本页介绍天翼云TeleDB数据库PL/pgsql函数的返回值。 返回值可以是一个简单数据类型、复合类型、RECORD、已经存在的表行类型、表字段类型、游标、另外还可以返回一个记录集、如果不需要返回值，则可以用RETURN void。返回值的字段名及类型可以在参数OUT、INOUT模式中声明。

本节介绍如何创建报表模板。 报表模板，维护和定义报表模板，用户可以自定义报表的模版，每个用户需要自行管理自己的报表模版。 支持自定义指标、自定义图表以及报表预览等功能。 新建模板 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“报表中心 > 报表模板”。 3. 单击“新建”，进入新建模板页面。 4. 配置模板名称、类型、时间范围和报表内容。 其中类型指定的时间为报表自定义指标的默认数据周期时间（当自定义指标中指定了绝对时间后，会覆盖默认数据周期时间）。 5. 单击“保存”，保存模板。

本章介绍sfs turbo的监控指标相关说明。 功能说明 本节定义了弹性文件服务上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供管理控制台或API接口来检索弹性文件服务产生的监控指标和告警信息。 说明 云监控服务最大支持4个层级维度，维度编号从0开始，编号3为最深层级。 命名空间 SYS.EFS 监控指标 表 弹性文件服务Turbo支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 维度 监控周期（原始指标） clientconnections 客户端连接数 该指标用于统计测量客户端连接数。 说明 连接数统计的是活跃的客户端链接。 如果客户端长时间无 IO，网络链接会自动断开，当有 IO 时客户端会自动重新建立网络链接。 ≥ 0 Count 不涉及 efsinstanceid 1分钟 datareadiobytes 读带宽 该指标用于测量读I/O负载。 ≥ 0 bytes/s 1024(IEC) efsinstanceid 1分钟 datawriteiobytes 写带宽 该指标用于测量写I/O负载。 ≥ 0 byte/s 1024(IEC) efsinstanceid 1分钟 metadataiobytes 元数据读写带宽 该指标用于测量元数据读写I/O负载。 ≥ 0 byte/s 1024(IEC) efsinstanceid 1分钟 totaliobytes 总带宽 该指标用于测量总I/O负载。 ≥ 0 byte/s 1024(IEC) efsinstanceid 1分钟 iops IOPS 该指标用于测量单位时间内处理的I/O数。 ≥ 0 Count 不涉及 efsinstanceid 1分钟 usedcapacity 已用容量 该指标用于统计文件系统已用容量。 ≥ 0 byte 1024(IEC) efsinstanceid 1分钟 usedcapacitypercent 容量使用率 该指标用于统计文件系统已用容量占总容量的比例。 0 100 % 不涉及 efsinstanceid 1分钟 usedinode inode使用量 该指标用于统计文件系统已用inode数 ≥ 1 Count 不涉及 efsinstanceid 1分钟 usedinodepercent inode使用率 该指标用于统计文件系统已用inode数占总inode数的比率。 0 100 % 不涉及 efsinstanceid 1分钟

本文介绍如何配置RBI云端浏览器 适用场景 RBI云端浏览器通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯，主要针对互联网威胁（防钓鱼、防恶意勒索等）、企业内部数据安全管理提供轻量化、一站式的解决方案。 注意事项 注意 配置该能力前需先购买【RBI云端浏览器】服务，并保障零信任服务已接入，详情见 配置说明 如您需要配置使用RBI云端浏览器，请提交工单给天翼云客服，并提供以下信息，由其帮您配置。 配置需求 填写内容 备注 需求场景 提供具体需求场景 互联网安全访问 是否开启该能力 默认是否，若是是则开启互联网安全访问，则会提供一个互联网安全访问地址，通过该地址访问互联网资源（如www.ctyun.cn），则会经过云端浏览器进行处理。 否则不开启。 互联网安全访问 使用人员范围 互联网安全访问若开启，则需提供使用人员范围，默认全部。 互联网安全访问 访问管控：是否限制复制，粘贴，下载 互联网安全访问若开启，则需管控限制，默认全部不限制。 内网安全访问 配置应用资源 提供具体应用名称(即应用配置时的应用名称，仅针对web应用的入口地址有效)。 内网安全访问 使用人员范围 默认全部。 内网安全访问 访问管控：是否限制复制，粘贴，下载 默认全部不限制。

本页介绍天翼云TeleDB数据库如何查看操作记录。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，单击任务管理 ，进入任务管理页面。 2. 在当前实例下拉框选择您需要查找的实例，输入筛选条件，单击查询 。 3. 单击任务所在行的详情 ，进入任务详情 页面。

本页介绍天翼云TeleDB数据库查看操作记录。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，单击任务管理 ，进入任务管理页面。 2. 在当前实例下拉框选择您需要查找的实例，输入筛选条件，单击查询。 3. 单击任务所在行的详情 ，进入任务详情页面。

本文介绍数据管理服务个人信息弹窗。 前提条件 开通数据管理服务。 功能介绍 单击界面右上角用户名区域下拉菜单打开个人信息弹窗，弹窗内展示用户名、用户系统角色、当前组织ID、当前组织名等，可点击用户名 进入个人信息页查看编辑详细的个人信息，也可点击组织名进入当前组织信息页面。 说明 只有超级管理员具有编辑组织名称和用户管理权限。 在个人信息下拉菜单中，可点击 按钮来进行不同组织间的切换，您可以在“切换组织”弹窗中看到当前组织名称及可切换组织列表，您可以选中您需要切换到的组织，然后点击 完成切换，或点击 取消本次操作。 在个人信息下拉菜单中，可点击 按钮来退出当前数据管理服务登录。退出登录后，页面回到天翼云官网首页，您可以再次登录天翼云并通过数据管理服务产品详情页进入控制台。

本文介绍终端管理的使用概况。 简介 总览提供了终端管理的使用概况，方便您查看服务的整体使用情况，快速定位问题。 操作步骤 1.登录 边缘安全加速平台控制台 ，选择【终端管理】控制台。 2.在左侧导航栏，单击【总览】。 3.终端管理总览页面分为两个模块：终端态势、效能分析，默认展示终端态势。您可以通过点击对应的卡片切换不同处理列表。 终端态势 整体终端态势分为三个模块进行展示：终端资产盘点、员工办公行为分析、终端安全分析。 终端资产盘点 终端资产盘点模块用于快速了解终端设备的整体在线状态与分布情况，帮助用户掌握设备在线情况、系统类型占比、授权使用状况及未授权设备数量、软件情况等，为终端安全管理提供基础数据支撑。 设备趋势：展示不同时间段，设备数量变化趋势，支持近 7 天 、 近 15 天 、近 30 天 和 自定义 时间选便于快速查看特定周期内的趋势。 安装软件：统计对应设备的安装软件、运行的数量，以及对应软件安装、运行趋势。 注意 软件管理统计功能需要客户端版本号为2.3.x及以上。

简述IPv6功能和配置规则。 功能介绍 天翼云边缘安全加速平台安全与加速服务已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘节点。 配置说明 新增域名时，开启IPv6，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，点击“新增域名”。 3.在域名的基本信息中找到IPv6解析开关，按需开启IPv6。 域名添加完成后，如果需要变更IPv6开关的状态，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，在列表中找到目标域名。 3.变更列表中IPv6解析开关，从“停用”改为“启用”，或者从“启用”改为“停用”。 注意 当DDoS防护开关(非中国内地区域)为开启时，暂不支持开启IPv6。 配置界面 新增域名，开启IPv6： 变更IPv6状态：

本节主要介绍创建IAM用户并添加用户组 管理员可以参考以下操作分别创建IAM用户TestUserA和TestUserB，并添加至相应用户组。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，在下拉列表中单击“个人中心”。 步骤 3 个人中心左侧菜单中，单击“主子账号及授权管理”。 步骤 4 在主子账号及授权管理页，单击左侧导航菜单中的“子用户”。 步骤 5 在“子用户”管理界面中，单击“创建子用户”。 步骤 6 在弹出的创建用户对话框中，输入以下子用户信息： 用户组：在下拉菜单中选择步骤1中已创建好的用户组TestECSA，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，用户列表中将显示新创建的IAM用户。 参考步骤5至步骤7的方法，创建用户TestUserA、TestUserB，并加入对应的用户组。

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。

参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json appkey 是 String 平台应用appkey 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 详见文档： 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 详见文档： 20211221T163014Z host 是 String 终端节点域名，固定字段 aiglobal.ctapi.ctyun.cn version 是 String 固定值v2 v2 EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 签名逻辑详见文档：

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

本文主要介绍搭建可自动伸缩的web服务前期准备。 已注册天翼云账号，如还未注册，请先完成账号注册。 为应用的ECS实例创建了私有镜像，具体操作请参见使用ECS创建私有镜像。

平台侧确认注册成功 GB35114设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。

接口功能介绍 幂等接口，重复解绑会忽略并视为成功。 计算增强型云电脑功能请联系客户经理开通。 接口约束 无 URI POST /v3/ecs/unbindUser 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 desktopOid 是 String 云电脑ID 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据结构体。 returnObj 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "desktopOid":"XXXXXXXXXXXXX6925" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ } } 状态码 请参考 状态码 错误码 请参考 错误码

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本小节整体介绍 云下一代防火墙入门所需各项操作步骤。 操作步骤 操作步骤 概述 订购云主机 按需订购加载云墙镜像云主机，并为云主机绑定空闲可用弹性IP 查询序列号 登录云墙查看云墙序列号 订购云墙实例 按需订购云墙，单节点/主备、规格、功能等 云墙业务部署 按需进行初始化配置及安全防护策略配置 云墙上线风险 预知云墙上线操作及上线风险 说明 本表格仅输出当前平台侧操作，梳理工作需线下进行。 操作流程说明

专属云下购买云容器引擎与非专属云下购买云容器引擎有什么不同？ 专属云下购买云容器引擎，首先需要用户开通专属云，容器引擎的管理节点直接使用专属云计算/存储算资源，如用户的专属计算/存储资源不足，则不能继续创建云容器引擎。 专属云中可以使用云硬盘作为集群或节点的存储吗？ 可以，用户在开通集群/节点时，可选择使用专属存储或云硬盘。 专属云容器引擎中哪些资源是物理独享的？ 专属云容器引擎中，计算资源全部是物理独享的，包括集群管理节点、工作节点；存储资源如果用户选择了专属存储则也是物理独享的。

验证CPU独占与隔离 注意 FullPCPUs策略 使用FullPCPUs策略可以确保分配完整的物理CPU核心，避免跨物理核心的线程干扰 当节点剩余的逻辑CPU数量足够但完整的物理核心不足时，会继续分配 性能影响 CPU独占会减少节点上可用的CPU资源，可能影响整体资源利用率 建议只为真正需要稳定性能的关键业务应用配置CPU独占 监控与调优 定期监控CPU使用情况，根据实际负载调整资源分配 使用节点监控工具（如top、htop等）验证CPU隔离效果 兼容性 确保所有节点都正确配置了koordruntimeproxy 不同版本的Kubernetes和容器运行时可能需要不同的配置 常见问题 如何确认CPU独占是否生效？ 可以通过以下方式验证： 1. 检查Pod的注解中是否包含scheduling.koordinator.sh/resourcestatus字段。 2. 在节点上查看容器的cpuset配置是否与调度器分配一致。 3. 使用性能监控工具观察CPU使用情况。 为什么BE应用无法使用某些CPU核心？ 这是预期的行为。高优先级应用（LSE）独占的CPU核心会被排除在BE应用的cpuset之外，确保资源隔离。 如何修改已部署应用的CPU独占配置？ 需要更新应用的ColocationProfile配置，并重启相关Pod使配置生效。 CPU独占会影响节点调度吗？ 是的，调度器会考虑节点的可用CPU核心数量进行调度决策。当所有CPU核心都被独占时，新的高优先级应用将无法调度到该节点。

原因分析 1. 分片大小过大：索引分片的大小过大会导致恢复速度变慢，特别是在涉及大量数据时。数据量大意味着从存储中读取分片和将其分配到节点上的过程会花费更多时间。 2. 节点资源不足：如果集群中的节点资源（如 CPU、内存或 I/O 性能）不足，分片恢复过程可能会被资源瓶颈限制，导致恢复速度变慢。 3. 网络延迟：在集群中进行分片恢复时，如果节点之间的网络延迟较高，数据传输速度会降低，进而影响恢复时间。 4. 并发恢复限制：默认情况下，OpenSearch/Elasticsearch 会限制一次可以同时恢复的分片数量，以避免集群过载。如果这个数量设置得过低，恢复时间会因此延长。 解决方案 1. 合理设置分片大小：避免分片过大，建议单个分片的大小控制在 50GB 以下。如果索引的数据量较大，可以通过增加分片数量来分散负载，提升恢复效率。 2. 扩展集群资源：根据需求扩展节点的 CPU 和内存资源，并确保存储性能足够支撑恢复操作。 3. 优化网络配置：在分布式集群环境中，确保节点间的网络延迟尽可能低，必要时可以使用高速网络设备或调整网络配置以优化数据传输性能。 4. 提高并发恢复数：可以调整并发恢复分片的数量，以加快恢复速度。相关配置参数为cluster.routing.allocation.nodeconcurrentrecoveries，默认值通常为 2，可以适当增加该值，例如： PUT cluster/settings { "persistent": { "cluster.routing.allocation.nodeconcurrentrecoveries": 5 } }

本节介绍了节点诊断对应的检查项以及修复方案。 节点诊断主要包括ClusterComponent检查、Node检查、NodeComponent检查等检查项。 注意 使用故障诊断功能时，系统将在您的集群节点上执行数据采集程序并收集检查结果。采集的信息包括系统版本，负载、Docker、Kubelet等运行状态及系统日志中关键错误信息。数据采集程序不会采集您的业务信息及敏感数据。 根据集群配置，具体检查项可能稍有不同。实际结果请以诊断页面结果为准。 诊断项分组 说明 ClusterComponent 检查集群常见问题，检查项包括APIServer可用性、DNS可用性、集群插件版本是否最新等。 Node 检查节点实例常见问题，检查项包括节点状态、网络状态、内核日志、核心进程和服务可用性等。 NodeComponent 检查节点核心组件状态，检查项包括集群网络插件和集群存储插件。 ClusterComponent检查 检查项名称 说明 修复方案 集群Kubernetes版本过低 检查集群Kubernetes版本是否为云容器引擎当前支持的最新版本。 请通过控制台集群升级功能更新集群kubernetes版本。 集群DNS服务ClusterIP 检查集群DNS服务的Cluster IP是否正常分配，集群DNS服务异常会造成集群功能异常，影响业务。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 集群DNS服务后端端点数 检查集群DNS服务Endpoints数，数量过少时影响CoreDNS的高可用性。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 检查CoreDNS是否部署到不同节点上 检查CoreDNS是否配置了Pod反亲和，调度到不同的节点上，避免单一节点故障，提高可用性。 请检查集群CoreDNS是否配置了Pod反亲和。 检查NodeLocalDNS是否启用并给命名空间配置了自动注入 检查NodeLocalDNS插件是否安装，并给命名空间配置了自动注入，便于该命名空间下的Pod快速解析DNS。 请检查集群中是否安装了NodeLocalDNS插件并给命名空间配置了自动注入。 检查CoreDNS是否调度在Master节点上 Master节点尽量避免业务Pod调度在其上，检查CoreDNS是否配置了nodeAffinity或nodeSelector导致调度到master节点上。 请检查CoreDNS是否配置了nodeAffinity或nodeSelector导致调度到master节点上。 检查集群APISever是否可用 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 检查集群免密插件版本是否最新 检查集群免密插件版本是否为为云容器引擎当前支持的最新版本。 集群免密插件版本检查过低，请尽快升级版本。

操作场景 如果在创建弹性云主机时未设置密码，或者密码丢失或过期，您可以通过以下步骤在控制中心重置密码。 前提条件 弹性云主机处于开机状态。 弹性云主机在密码丢失或过期前已安装qemuguestagent。 弹性云主机的qemuguestagent正常运行，否则无法使用重置密码功能。Linux云主机执行 systemctl status qemuguestagent查看运行状态，Windows云主机在cmd执行 services.msc 进入服务窗口，查看运行状态。 说明 公共镜像创建的弹性云主机默认安装qemuguestagent。 没有安装qemuguestagent或未正常运行的云主机不支持重置密码，您可以通过重装云主机为其设置新密码。 弹性云主机使用的VPC网络DHCP不能被禁用。 弹性云主机的网络正常通行。 单台云主机重置密码操作步骤 1. 登录控制中心，单击顶部的，选择“地域”。 2. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 3. 将鼠标移动至目标云主机的“操作”列，选择“更多”。 4. 点击“重置密码”，在“重置密码”弹框中输入要重置的云主机新密码。 5. 点击“确定”，完成弹性云主机密码重置。 多台云主机重置密码操作步骤 1. 登录控制中心，单击顶部的，选择“地域”。 2. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 3. 选中多台需要重置密码的云主机，点击云主机列表左上角的“更多重置密码”按钮。 4. 在弹框中输入要重置的云主机新密码。 5. 点击“确定”，完成多台弹性云主机密码重置。

QoS支持 提供三种级别 QoS支持 QoS0：AtMostOnce 允许消息少量丢失，最多传输一次 QoS1：AtLeastOnce 确保消息一定到达，可少量重复 QoS2：ExactlyOnce 有且仅有一次 QoS在发布和订阅时都可以设置，以控制消息的传递可靠性。需要注意的是，消息从发布者到订阅者之间是分两步的，所以要同时设置发布者和订阅者的QoS，以确保消息可靠地传递。 离线消息 MQTT协议支持离线消息传递，这允许终端在重新连接到MQTT服务器时获取未传递的消息。这对于许多业务场景都非常有用，特别是在物联网和实时通信中，当设备可能会断线并需要在重新连接后获取之前丢失的消息时。 以下是如何在MQTT中实现离线消息获取的一般步骤： 保留消息（Retained Messages）： 在MQTT中，发布者可以标记消息为保留消息。保留消息会在Broker上保存，而不仅仅是传递给当前在线的订阅者。当一个新的订阅者订阅与保留消息相关的主题时，它会立即接收到该消息，即使该消息是在其离线期间发布的。 持久性会话（Persistent Session）： MQTT客户端可以选择创建持久性会话，以便在断线后能够重新连接并获取未传递的消息。持久性会话会在服务器上保留客户端的订阅状态和未传递的消息。当客户端重新连接时，服务器将恢复其之前的订阅状态，并将任何未传递的消息发送给它。 QoS级别（Quality of Service）： 使用QoS级别1或2可以确保消息在传递时至少被传递一次，这有助于确保断线重连后能够获取未传递的消息。QoS级别2提供最高级别的消息传递保证。 持久订阅（Durable Subscription）： 在MQTT中，客户端可以创建持久订阅，这允许它在断线后继续接收消息。持久订阅通常与持久性会话结合使用，以确保消息在离线期间不会丢失。 设置Clean Session标志： 当客户端连接到MQTT服务器时，可以设置"Clean Session"标志。如果设置为true，服务器将不会保留客户端的订阅状态和未传递的消息，这意味着客户端将从头开始，不会获取离线期间的消息。如果设置为false，则客户端可以获取离线期间的消息。

参数 说明 取值样例 主机记录 填写反向解析记录的名称。 例如，用户IP地址为192.168.1.10，则反向解析域名的完整格式为10.1.168.192.inaddr.arpa。 若创建的域名为192.inaddr.arpa，则主机记录为10.1.168。 若创建的域名为1.168.192.inaddr.arpa，则主机记录为10。 类型 记录集的类型，此处为PTR类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 PTR – 将IP地址指向域名 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 反向解析返回的域名值，只能写1个域名。 www.example.com 描述 选填字段，最多支持输入100个字符。