本节主要介绍分布式消息服务Kafka主子账号和IAM权限管理 分布式消息服务Kafka已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本页介绍分布式融合数据库HTAP的主子账号和IAM权限管理功能。 操作场景 分布式融合数据库HTAP产品已对接天翼云统一身份认证服务（IAM），可实现在控制台按钮、菜单功能、OpenAPI等维度上对用户访问、操作资源的权限控制， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明请参见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

数据备份与恢复 为应对数据丢失或损坏对用户业务造成不利影响，在异常情况下快速恢复系统，翼MR根据用户业务的需要提供全量备份、增量备份和恢复功能。 自动备份 翼MR对集群管理系统Manager上的数据提供自动备份功能，根据制定的备份策略可自动备份集群上的数据，包括LdapServer、DBService的数据。 手动备份 在系统进行扩容、打补丁等重大操作前，需要通过手动备份集群管理系统的数据，以便在系统故障时，恢复集群管理系统功能。 为进一步提供系统的可靠性，在将Manager、HBase上的数据备份到第三方服务器时，也需要通过手动备份。 节点可靠性 操作系统健康状态监控 周期采集操作系统硬件资源使用率数据，包括CPU、内存、硬盘、网络等资源的使用率状态。 进程健康状态监控 翼MR提供业务实例的状态以及业务实例进程的健康指标的检查，能够让用户第一时间感知进程健康状态。 硬盘故障的自动处理 翼MR对开源版本进行了增强，可以监控各节点上的硬盘以及文件系统状态。如果出现异常，立即将相关分区移出存储池；如果硬盘恢复正常（通常是因为用户更换了新硬盘），也会将新硬盘重新加入业务运作。这样极大简化了维护人员的工作，更换故障硬盘可以在线完成；同时用户可以设置热备盘，从而极大缩减了故障硬盘的修复时间，有利于提高系统的可靠性。

可管理自动处理的设置和病毒引擎的设置。本小节介绍服务器安全卫士设置管理。 自动处理设置 可设置全局的自动处理配置，也可针对某些主机进行特殊的设置，特殊设置后的主机配置结果将展示在列表中。 具体操作： 1.全局设置：用于控制全部主机的自动处理，该配置为长期生效的状态，对全部主机持续生效，包含新安装的主机。如果单独设置了某主机上的自动处理操作，则以单独设置的处理为准。 2.批量设置：用于批量下发主机上的特殊设置，该配置下发为一次生效的机制，设置的对象为下发时刻的主机范围，不持续生效。设置后的结果会展示在列表中，支持对全部主机、业务组和主机三种类型的范围进行下发。 3.设置：用于修改主机上的特殊设置。 杀毒引擎设置 可设置各病毒引擎的开关状态，方便用户管理杀毒引擎。目前支持小红伞病毒引擎、ClamAV病毒引擎、TSec反病毒引擎和青藤自研病毒引擎。

本节主要介绍CCE发布Kubernetes 1.27版本 云容器云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.27集群。本文介绍Kubernetes 1.27版本相对于1.25版本所做的变更说明。 主要特性 Kubernetes 1.27版本 SeccompDefault特性已进入稳定阶段 如需使用SeccompDefault特性，您需要为每个节点的kubelet启用seccompdefault命令行标志。如果启用该特性，kubelet将为所有工作负载默认使用RuntimeDefault seccomp配置文件，该配置文件由容器运行时定义，而不是使用Unconfined（禁用seccomp）模式。 Job可变调度指令 该特性在Kubernetes 1.22版本中引入，当前已进入稳定阶段。在大多数情况下，并行作业Pod希望在一定的约束下运行，例如希望所有Pod在同一可用区。该特性允许在Job开始前修改调度指令。您可以使用suspend字段挂起Job，在Job挂起阶段，Pod模板中的调度部分（例如节点选择器、节点亲和性、反亲和性、容忍度）允许修改。 Downward API HugePages已进入稳定阶段 在Kubernetes 1.20版本中，Downward API引入了 requests.hugepages 和 limits.hugepages ，HugePage可以和其他资源一样设置资源配额。 Pod调度就绪态进入Beta阶段 Pod创建后，Kubernetes调度程序会负责选择合适的节点运行pending状态的Pod。在实际使用时，一些Pod可能会由于资源不足长时间处于pending状态。这些Pod可能会影响集群中的其他组件运行（如Cluster Autoscaler）。通过指定/删除Pod的.spec.schedulingGates，您可以控制Pod何时准备好进行调度。 通过Kubernetes API访问节点日志 此功能当前处于Alpha阶段。集群管理员可以直接查询节点上的服务日志，可以帮助调试节点上运行的服务问题。如需使用此功能，请确保在该节点上启用了NodeLogQuery特性门控，并且kubelet配置选项enableSystemLogHandler和enableSystemLogQuery都设置为true。 ReadWriteOncePod访问模式进入Beta阶段 在Kubernetes 1.22版本中，PV和PVC提供了一种新的访问模式ReadWriteOncePod，该功能当前进入Beta阶段。卷可以被单个Pod以读写方式挂载。如果您想确保整个集群中只有一个Pod可以读取或写入该PVC，请使用ReadWriteOncePod访问模式。 Pod拓扑分布约束中matchLabelKeys字段进入Beta阶段 matchLabelKeys是一个Pod标签键的列表，用于选择需要计算分布方式的Pod集合。使用matchLabelKeys字段，您无需在变更Pod修订版本时更新pod.spec。控制器或Operator只需要将不同修订版的标签键设为不同的值。调度器将根据matchLabelKeys自动确定取值。 快速标记SELinux卷标签功能进入Beta阶段 默认情况下，容器运行时递归地将SELinux标签赋予所有Pod卷上的所有文件。 为了加快该过程，Kubernetes使用挂载可选项 o context 可以立即改变卷的SELinux标签。 VolumeManager重构进入Beta阶段 重构的VolumeManager后，如果启用NewVolumeManagerReconstruction特性门控，将会在kubelet启动期间使用更有效的方式来获取已挂载卷。 服务器端字段校验和OpenAPI V3已进入稳定阶段 Kubernetes 1.23中添加了对OpenAPI v3的支持，1.24版本中已进入Beta阶段，1.27已进入稳定阶段。 控制StatefulSet启动序号 Kubernetes 1.26为StatefulSet引入了一个新的Alpha级别特性，可以控制Pod副本的序号。 从Kubernetes 1.27开始，此特性进入Beta阶段，序数可以从任意非负数开始。 HorizontalPodAutoscaler ContainerResource类型指标进入Beta阶段 Kubernetes 1.20在HorizontalPodAutoscaler (HPA) 中引入了ContainerResource类型指标。在 Kubernetes 1.27中，此特性进阶至Beta，相应的特性门控 (HPAContainerMetrics) 默认被启用。 StatefulSet PVC自动删除进入Beta阶段 Kubernetes v1.27提供一种新的策略机制，用于控制StatefulSets的PersistentVolumeClaims（PVCs）的生命周期。这种新的PVC保留策略允许用户指定当删除StatefulSet或者缩减StatefulSet中的副本时，是自动删除还是保留从StatefulSet规约模板生成的PVC。 磁盘卷组快照 磁盘卷组快照在Kubernetes 1.27中作为Alpha特性被引入。 此特性允许用户对多个卷进行快照，以保证在发生故障时数据的一致性。 它使用标签选择器来将多个PersistentVolumeClaims分组以进行快照。 这个新特性仅支持CSI卷驱动器。 kubectl apply裁剪更安全、更高效 在Kubernetes 1.5版本中，kubectl apply引入了prune标志来删除不再需要的资源，允许kubectl apply自动清理从当前配置中删除的资源。然而，现有的prune实现存在设计缺陷，会降低性能并导致意外行为。 为NodePort Service分配端口时避免冲突 在Kubernetes 1.27中，您可以启用新的特性门控ServiceNodePortStaticSubrange，为NodePort Service使用不同的端口分配策略，减少冲突的风险。当前该特性处于Alpha阶段。 原地调整Pod资源 在Kubernetes 1.27中，允许用户调整分配给Pod的CPU和内存资源大小，而无需重新启动容器。 加快Pod启动 在Kubernetes 1.27中进行了一系列的参数调整，以提高Pod的启动速度，例如并行镜像拉取、提高Kubelet默认API每秒查询限值等。 KMS V2进入Beta阶段 Kubernetes中的密钥管理KMS v2 API进入Beta阶段，对KMS加密提供程序的性能进行了重大改进。

容器镜像服务是一种支持容器镜像生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。

服务网段 Service也是Kubernetes内的概念，每个Service都有自己的地址，在CCE中创建集群时，可以指定service的地址段（即服务网段）。同样，服务网段也不能和子网网段重合，而且服务网段也不能和容器网段重叠。服务网段只在集群内使用，不能在集群外使用。 容器网段、服务网段、子网网段和VPC网段关系请参见下图： 单VPC+单集群场景 这是最简单的情形。VPC网段在创建VPC的时候就已经确定，创建CCE集群时，选择目标VPC网段即可。 单VPC+多集群场景 一个VPC下创建多个CCE集群。 在“VPC网络”模式下，Pod的报文需要通过VPC路由转发，CCE会自动在VPC路由上配置到每个容器网段的路由表。 注意 • VPC地址还是创建VPC时确定的，当创建集群时，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段不能重叠，但服务网段可以重叠。在此情况下CCE集群部分互通，一个集群的Pod可以直接访问另外一个集群的Pod，但不能访问另外一个集群的Service。 • VPC网络模式下每个节点占用一条VPC路由规则，组网规模受限于VPC路由表配额。 在“容器隧道网络”模式下，容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，获得了通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 注意 • VPC地址还是创建VPC时确定的，创建集群时，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段可以重叠，服务网段也可以重叠。 • 跨集群的容器之间访问，建议通过ELB实现。 VPC互联场景 两个VPC网络互联的情况下，可以通过路由表配置哪些报文要发送到对端VPC里。 在“VPC网络”模式下，创建对等连接后，需要在两端VPC内添加对等连接路由信息，才能使两个VPC互通。 注意 • VPC地址是在创建VPC的时候确定的，创建集群的时候，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段不能重叠，但服务网段可以重叠。 • 对等连接的路由表中需要添加对端容器网段的地址。示例操作如下： 同样，在“容器隧道网络”模式下，创建对等连接后，您需要在两端VPC内添加对等连接路由信息，才能使两个VPC互通。 注意 • VPC地址是在创建VPC的时候确定的，创建集群的时候，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段可以重叠，服务网段也可以重叠。 • 对等连接的路由表中需要添加对端集群节点子网网段的地址。 VPC网络到IDC的场景 和VPC互联场景类似，同样存在VPC里部分地址段路由到IDC，则CCE集群的Pod地址就不能和这部分地址重叠。IDC里如果需要访问集群里的Pod地址，同样需要在IDC端配置到专线VBR的路由表。

为了更方便部署,当前多地域资源池可使用云主机启动模版部署DeepSeekR1大模型。通过创建启动模板,可以一键从模板开通多台云主机,快速拉起服务。 当前功能邀测中,您可提交工单进行申请。 前置步骤 进入创建云主机启动模板页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“产品服务列表>弹性云主机”，进入计算控制台，单击“云主机启动模板”，进入启动模板列表页。 3. 单击“创建启动模板”，进入云主机实例模版创建页。 大模型服务器启动模板配置 1. 根据业务需求配置“计费模式”、“地域”、“可用区”、“企业项目”、“虚拟私有云”等。 2. 选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型pi7"、"规格"为"pi7.4xlarge.4"。 3. 选择镜像。“镜像类型”选择“镜像市场”，在云镜像市场中选择预置了DeepSeekR1模型的DeepSeekR17BUbuntu22.04镜像。 注意 本镜像推荐配置：内存≥8G、显存≥16G。 注意 目前提供了预装多种量化精度、多种参数量的模型，如您有需求，也可在云镜像市场中进行选择。 4. 设置云盘类型和大小。 5. 根据需要设置网络，包括"网卡"、"安全组"，同时配备 "弹性IP" 用于下载和访问模型；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 6. 填写此模板名称，创建启动模板。

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

函数计算公共请求头 自定义容器从函数计算中接收到的公共请求头如下表所示。 说明 事件函数和HTTP函数均包含公共请求头Headers。 Header 描述 xfcrequestid Request ID，用于标识一次请求，便于日志追踪，通常是唯一的 xfcreqcosttime 请求耗时 xfcreqarrivetime 请求到达时间 函数计算环境变量 如果您需要访问天翼云其他服务，可以在函数配置 >权限，选择相关的角色，该角色的临时AK，SK会放在环境变量 KEY 描述 FCCTYUNACCESSKEY 如果函数配置了权限，选择的角色的临时AK会放在该环境变量 FCCTYUNSECRETKEY 如果函数配置了权限，选择的角色的临时SK会放在该环境变量 函数日志格式 建议您在创建函数时启用日志功能，自定义运行时函数中所有打印到标准输出（Stdout）的日志会自动收集到您指定的日志服务中。

使用ollama运行模型 plaintext ollama run deepseekr1:14b 4. 通过web界面进行交互 a.安装openwebui plaintext docker pull ghcr.io/openwebui/openwebui:main b.启动容器 plaintext docker run d nethost e PORT3000 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse v openwebui:/app/backend/data name openwebui restart always ghcr.io/openwebui/openwebui:main 后续请参考上文“快速体验DeepSeek——步骤二：使用deepseek模型” 。 FAQ 盘不够了，我应该怎么办？ 如果您在模型部署过程中发现云盘的容量不够，可以采取如下措施: 1. 根据云硬盘扩容概述云硬盘用户指南扩容云硬盘 天翼云对已有云盘进行扩容。 2. 新建一块数据盘并挂载，相关操作见挂载云硬盘云硬盘快速入门 天翼云、初始化数据盘弹性云主机快速入门 天翼云。 如何修改ollama模型的存储位置？ 在linux环境下，ollama默认模型存储目录是 /usr/share/ollama/.ollama/models/，我们建议您使用云硬盘独立挂载数据盘，将模型存储到数据盘中。模型存储位置是由环境变量控制的，我们需要修改ollama的环境变量重启服务才能修改存储目录，我们以 /data/ollama/models 目录为例： 1. 打开 ollama.service 文件 plaintext vi /etc/systemd/system/ollama.service 注意 请确保 ollama 用户组中的 ollama 用户具备访问该目录的读写权限 2. 新增相关环境变量 3. 重启服务 plaintext systemctl daemonreload systemctl restart ollama

3、存储引擎检查 失败原因 处理建议 :: 部分待迁移表的存储引擎不是InnoDB或MyISAM。 1. 将不支持的表更换到支持的存储引擎: alter table engineInnoDB; 2. 根据失败详情，从待迁移对象中移出那些存储引擎不支持的表。

查看SWR企业版镜像敏感信息报告 1、登录管理控制台。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。 5、选择“敏感信息”，查看敏感信息报告。 您可以查看目标镜像中含有敏感信息的文件的路径、敏感信息内容、危险程度。 忽略敏感信息提示：在目标敏感信息文件所在行的“操作”列，单击“忽略”，忽略您认为安全的敏感信息提示。 配置敏感文件过滤路径 a.单击“敏感文件过滤路径管理”，右面弹出敏感信息过滤路径管理弹窗。 b.在弹窗中设置不需要检测的文件路径（Linux路径），并单击“确定”。最多可自定义20个路径，多路径配置时不同路径之间用回车符号进行分隔。 查看SWR企业版镜像软件合规报告 1、登录管理控制台。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。 5、选择“软件合规”，查看软件合规报告。 您可以查看不合规软件的名称、路径、镜像层信息。 查看SWR企业版镜像基础镜像信息报告 1、登录管理控制台。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。 5、选择“基础镜像信息”，查看基础镜像信息报告。 您可以查看未使用基础镜像构建的业务镜像的名称、版本、镜像层路径信息。

立即备份（一次性备份） 前提条件 已创建至少一台云主机，且云主机的状态为“运行中”或“已关机”。 云主机上挂载的云硬盘状态为“已挂载”或“未挂载”。 已创建至少一个存储库，且存储库的状态为“可用”。 使用须知 如果备份的云硬盘为加密云硬盘，则云主机备份会自动继承加密属性，创建加密的备份副本。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 选择指定的存储库，点击操作列下的“创建备份”，对云主机进行备份。 6. 在跳转的云主机备份界面，从“云主机列表”中选择需要立即备份的云主机，将其选入“已选云主机”列表中。 7. 在“备份配置”板块，立即备份为默认选中状态，立即备份将会对选中的云主机立即进行一次备份。用户可以选择是否启用全量备份，还需要为备份设置备份名称，备份多块磁盘时，系统将会自动为备份名称增加后缀，例如备份0001、备份0002。本示例中保持默认名称。 注意 若不启用全量备份，默认在选中的存储库的首次备份进行全量备份，非首次备份进行增量备份。若启用了全量备份，此次立即备份将会执行全量备份。 全量备份仅上线华东1、华北2资源池。 8. 点击“下一步”，进入到“创建云主机备份”确认页面，确认信息无误，勾选“我已阅读并同意相关协议《天翼云云主机备份服务协议》”，点击“确认下单”。 9. 返回云主机备份页面，在备份副本列表中，您可查看备份创建的状态，待状态变为“可用”时，则表示备份创建完成。

本文通过示范例子，向您介绍天翼云云搜索服务Elasticsearch实例可以提供的检索和分析服务。 这里，我们以一个示范的例子，向您简单介绍天翼云Elasticsearch实例可以提供的检索和分析服务，包括创建索引、数据导入、数据搜索、筛选排序等。 操作步骤 创建实例 1. 在“云搜索服务”产品页，单击“立即开通”。 2. 在云搜索服务实例创建页面选择实例类型为Elasticsearch、订购周期、当前区域（即资源池）、可用区、填写实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按确认信息页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为成功。 导入数据 Elasticsearch实例支持多种导入方式，常用的业务场景是把Logstash作为源接入搜索实例，在此，为了演示方便，我们以商品检索为例子，从Kibana的DevTools控制台里调用Rest API导入数据。 注意：Kibana需要预先链接公网使用，具体配置方法请参考实例公网访问。 1. 先在Kibana的左边栏里选择“Dev Tools“，进入控制台，其中左边屏幕为命令行调用API栏，右边屏幕为调用结果返回栏。 2. 首先，在console界面，我们创建索引productsfruits来定义存储数据的Schema。 具体语句如下： plaintext PUT /productsfruits { "mappings": { "properties": { "name": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignoreabove": 256 } } }, "price": { "type": "long" } } }, "settings": { "numberofshards": "1", "numberofreplicas": "0" } } 3. 然后在console里执行bulk插入语句，来将数据导入到索引里。 返回结果里errors为false，表示数据全部导入，具体语句如下： plaintext PUT /productsfruits/bulk {"index":{"id":1}} {"name": "苹果", "price": 10} {"index":{"id":2}} {"name": "香蕉", "price": 20} {"index":{"id":3}} {"name": "菠萝", "price": 15} {"index":{"id":4}} {"name": "火龙果", "price": 25}

本文通过示范例子，向您介绍天翼云云搜索服务OpenSearch实例可以提供的检索和分析服务。 这里，我们以几个示范的例子，向您简单介绍天翼云OpenSearch实例可以提供的检索和分析服务，包括创建索引、数据导入、数据搜索、筛选排序等。 操作步骤 创建实例 1. 在【云搜索服务】产品页，单击【立即开通】。 2. 在云搜索服务实例创建页面选择计费模式、订购周期、当前区域（即资源池）、可用区、实例类型、实例版本、实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按确认信息页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为成功。 导入数据 OpenSearch实例支持多种导入方式，常用的业务场景是把Logstash作为源接入搜索实例，在此，为了演示方便，我们以商品检索为例子，选择从Dashboards的DevTools控制台里调用Rest API导入数据。 注意：Dashboards需要预先链接公网使用，具体配置方法请参考实例公网访问。 1. 先在Dashboards的左边栏里选择“DevTools”，进入控制台。其中左边屏幕为命令行调用API栏，右边屏幕为调用结果返回栏。 2. 首先，在console界面，我们创建索引productsfruits来定义存储数据的Schema。 具体语句如下： plaintext PUT /productsfruits { "mappings": { "properties": { "name": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignoreabove": 256 } } }, "price": { "type": "long" } } }, "settings": { "numberofshards": "1", "numberofreplicas": "0" } } 3. 然后我们，在console里执行bulk插入语句，来将数据导入到索引里。 返回结果里errors为false，表示数据全部导入，具体语句如下： plaintext PUT /productsfruits/bulk {"index":{"id":1}} {"name": "苹果", "price": 10} {"index":{"id":2}} {"name": "香蕉", "price": 20} {"index":{"id":3}} {"name": "菠萝", "price": 15} {"index":{"id":4}} {"name": "火龙果", "price": 25}

故障诊断和调试命令 describe describe类似于get，同样用于获取resource的相关信息。不同的是，get获得的是更详细的resource个性的详细信息，describe获得的是resource集群相关的信息。describe命令同get类似，但是describe不支持o选项，对于同一类型resource，describe输出的信息格式，内容域相同。 说明：如果发现是查询某个resource的信息，使用get命令能够获取更加详尽的信息。但是如果想要查询某个resource的状态，如某个pod并不是在running状态，这时需要获取更详尽的状态信息时，就应该使用describe命令。 kubectl describe po logs logs命令用于显示pod运行中，容器内程序输出到标准输出的内容。如果要获得tail f的方式，需使用f选项。 kubectl logs f podname exec 与docker的exec用法相似，如果一个pod中，有多个容器，需要使用c选项指定容器。 kubectl exec it podname bash kubectl exec it podname c containername bash portforward 转发一个或多个本地端口至一个pod。 例如： 转发pod中的6000端口到本地的5000端口： kubectl port forward podname 5000:6000 proxy 运行一个proxy到kubernetes api server。 例如： 控制节点开启HTTP Rest接口： kubectl proxy accepthosts’.’ port8001 address’0.0.0.0’ cp 拷贝文件或目录到容器： cp filename newfilename auth 检查授权。 attach attach命令效果类似于logs f，退出查看使用ctrlc。如果一个pod中有多个容器，要查看具体的某个容器的输出，需要在pod名后使用c containername指定运行的容器。 kubectl attach podname c containername

ECI能为Kubernetes提供基础的容器Pod运行环境，每个ECI实例相当于一个Pod。本文介绍ECI Pod的配置和创建方式。 基本配置 基于Kubernetes社区的Virtual Kubelet技术，ECI支持以虚拟节点（VK）的形式接入到Kubernetes集群中。一个ECI实例相当于一个Pod，包含以下几部分配置： 实例规格 一个ECI实例主要包括vCPU和内存规格。创建实例时，可以指定ECI规格（直接指定vCPU和内存），也可以指定ECS规格来满足GPU、增强网络能力等特殊需求。 容器镜像 一个ECI实例由一个或者多个容器组成，部署容器应用时，需要准备好容器镜像。容器镜像包含容器应用运行所需的程序、库文件、配置等。拉取镜像时，需要保证网络畅通，推荐您使用镜像缓存功能来节约实例的启动耗时。 网络 一个ECI实例将占用所属VPC下的子网的一个弹性网卡资源，默认具备一个内网IP地址。如果需要连接公网，例如需要拉取公网镜像。则需要为ECI实例绑定EIP，或者为所属VPC绑定NAT网关。 存储 一个ECI实例默认有40 GiB的临时存储空间，您可以根据需要增加临时存储空间。如果想要保留存储的文件，建议使用外挂数据卷，支持挂载云盘、弹性文件和对象存储等天翼云存储数据卷。 创建方式 根据业务场景和使用场景，ECI支持两种实例的定义方式： 1. 指定vCPU和内存：您创建ECI实例时可以按需指定vCPU和内存。 2. 指定ECS规格：您创建ECI实例时可以按需指定ECI实例底层使用ECS规格族，来获取相应规格族的指定能力。

本章介绍函数工作流如何使用容器镜像部署函数。 概述 用户直接打包上传容器镜像，由平台加载并启动运行。与原本上传代码方式相比，用户可以使用自定义的代码包，不仅灵活也简化了用户的迁移成本。您可以选择“事件函数”类型创建自定义镜像函数，也可以选择“HTTP函数”类型创建自定义镜像函数。 支持的功能： 下载用户镜像 用户镜像储存在自己的SWR服务中，需要SWR Admin权限才能下载，FunctionGraph会在创建pod前使用swr api生成并设置好临时登录指令。 环境变量 设置FunctionGraph函数的加密配置和环境变量。 挂载外部数据盘 支持挂载外部数据盘。 预留实例 支持预留实例。 前提条件 创建一个包含“SWR Admin容器镜像服务（SWR）管理员”权限的委托，因为用户镜像储存在SWR服务中，只有拥有“SWR Admin”权限，才能调用与获取，拉取镜像。 操作步骤 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 单击右上方的“创建函数”，进入“创建函数”页面。 3. 选择“容器镜像”，参见下表。 配置信息 参数 说明 函数类型 选择函数类型。 事件函数：通过触发器来触发函数执行。 HTTP函数：用户可以直接发送 HTTP 请求到 URL 触发函数执行。 说明 自定义容器镜像需包含HTTP Server，监听端口为8000。 HTTP函数只允许创建APIG/APIC的触发器类型，其他触发器不支持。 事件函数需创建一个HTTP Server并实现Method为POST和Path为/invoke的函数执行入口，可实现Method为POST和Path为/init的函数初始化入口 区域 选择要部署代码的区域。 函数名称 函数名称，命名规则如下： 可包含字母、数字、下划线和中划线，长度不超过60个字符。 以大/小写字母开头，以字母或数字结尾。 企业项目 选择已创建的企业项目，将函数添加至企业项目中，默认选择“default”。 容器镜像 输入镜像URL，即用于函数的容器镜像的位置。您可以单击“查看镜像”，查看自有镜像及共享镜像。 容器镜像覆盖 CMD：容器的启动命令，例如"/bin/sh"。该参数为可选参数，不填写，则默认使用镜像中的Entrypoint/CMD。字符串数组，以逗号分开。 Args：容器的启动参数，例如"args,value1"。该参数为可选参数，不填写，则默认使用镜像中的CMD。字符串数组，以逗号分开。 Working Dir：容器的工作目录。该参数为可选参数，不填写，则默认使用镜像中的配置。文件夹路径，以/开头。 用户ID：镜像运行时的用户ID，若不填写，默认为1003。 用户组ID：镜像运行时的用户组ID，若不填写，默认为1003。 现有委托 选择包含SWR Admin权限的委托。 说明 Command、Args、Working dir三个参数之和不能超过5120。 初次执行时需要从SWR中拉取镜像，且冷启动时需要启动容器，所以自定义镜像冷启动比较慢。后续每次冷启动，如果节点上没有镜像，都需要从SWR中拉取。 镜像需要选择为“公开”。 自定义容器镜像开放端口限定为8000。 可支持的镜像包最大为2G，当镜像包过大时可以采取一些方式缩容，比如在线题库场景中，可以把原本加载在容器中的题库数据通过外部文件系统挂载盘方式挂载到容器中。 FunctionGraph通过LTS日志采集容器输出到控制台的所有日志，可以通过标准输出或者开源日志框架重定向到控制台的方式打印业务信息。打印的内容建议包括系统时间、组件名称、代码行、关键数据等来方便定位。 oom错误时，内存占用大小可以在函数执行结果中查看。 用户函数需要返回一个合法的http响应报文。 示例： 使用容器镜像部署函数，开发HTTP函数示例，请参见开发HTTP函数示例。 使用容器镜像部署函数，开发事件函数示例，请参见开发事件函数示例。

电脑端投屏 天翼云电脑电脑客户端作为投屏端，可以通过输入投屏码方式进行投屏操作。 操作步骤： 1.登录天翼云电脑客户端，在云电脑列表选择进入投屏的云电脑； 2.进入云电脑后，在顶部工具栏，点击“控制中心”“偏好设置””工具栏设置“，开启“翼投屏”功能（首次使用可选择显示入口或显示入口+投屏码）； 3.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 4.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 5.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

云应用引擎支持用户白屏化地使用Nacos注册中心，本文介绍如何通过云应用引擎控制台为应用配置内置Nacos服务注册与发现功能。 说明 云应用引擎通过自动注入相关环境变量以及借助Java Agent修改字节码的技术，支持自动修改程序的注册中心与配置中心地址。因此，您无需对程序做任何修改即可将其直接部署到云应用引擎。 功能入口 场景不同，操作入口也有所不同 使用限制 1、您的应用已经存在Nacos服务注册发现配置 2、若您使用Spring Cloud框架应用需要使用云应用引擎内置Nacos功能进行服务注册发现，推荐您的客户端使用如下的版本搭配。 Spring Cloud Alibaba Spring Cloud Spring Boot 2.2.9.RELEASE Hoxton.SR12 2.3.12.RELEASE 配置服务注册发现功能 在创建应用高级配置界面中，找到并展开服务注册发现区域，启用Nacos注册中心服务发现功能

计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算。 后付费 按照引擎实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 适用计费项 ServiceComb引擎实例规格。 ServiceComb引擎实例规格。 冻结计费 按订单的购买周期计费。引擎冻结对包年/包月计费无影响。 引擎实例冻结后，不计费。 变更计费模式 不支持变更为按需计费模式。 当包年/包月资费模式到期后，按需的资费模式才会生效。 支持变更为包年/包月计费模式。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于需求波动的场景，可以随时开通，随时删除。

计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算。 后付费 按照引擎实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 适用计费项 ServiceComb引擎实例规格。 ServiceComb引擎实例规格。 冻结计费 按订单的购买周期计费。引擎冻结对包年/包月计费无影响。 引擎实例冻结后，不计费。 变更计费模式 不支持变更为按需计费模式。 当包年/包月资费模式到期后，按需的资费模式才会生效。 支持变更为包年/包月计费模式。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于需求波动的场景，可以随时开通，随

本文为您介绍如何续订Web应用防火墙（原生版）实例。 为避免Web应用防火墙（原生版）实例到期后，防护服务自动停止，需要在实例到期前为实例手动续费，或设置到期自动续费。 到期说明 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 说明 保留期内，平台会冻结WAF服务，用户配置的各类防护策略将不再生效，云WAF只转发流量。 保留期满，用户若仍未续费，平台会清除实例资源，用户所添加域名的所有配置将会被删除，同时云WAF将不再转发业务流量，若用户未及时将DNS指回服务器源站IP，网站业务流量将无法正常转发。 续订说明 服务支持手动续订，需要在服务到期前进入控制台操作。 在购买云WAF时，支持开启“自动续订”，开启自动续订后，在服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 说明 若购买云WAF时勾选了“自动续订”，系统将会默认设置续费周期： 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期，当自动续订周期达1年或以上时，将可享受包年折扣。

本文介绍高级回源的功能介绍、配置说明及注意事项。 功能介绍 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。开启高级回源后，全站加速节点在接收到客户端请求后，读取请求中对应信息进行判断并回源到不同源站。目前天翼云全站加速支持的高级回源功能包括如下： 支持区分IPV4/IPV6回源。 支持分区域分运营商回源。 支持分不同目录回源：例如可设置某加速域名下：/abc/a目录回源站A，/def/d目录回源站B。 支持分不同文件后缀名回源：例如可设置某加速域名下：.apk文件回源站A，.mp4文件回源站B。 注意事项 上述高级回源维度可以相互组合，例如可设置如下：/abc/a目录下的.apk文件回源站A，/abc/a目录下的.mp4文件回源站B。 如客户同时在控制台配置了回源URI改写功能，且其中涉及目录或文件后缀名的改写，可能会造成分目录回源和分文件后缀名回源效果与预期不符。 高级回源功能支持在具体某个条件下设置多个源站，且支持多个源站之间设置主备、权重。 高级回源功能必须搭配源站配置功能一起使用，在某个请求未匹配至所有高级回源条件时，将按照基础回源配置回源。

一键优化 当AI云电脑遇到卡顿情况时，可以进行检测优化 ，点击“一键优化”开启优化程序。 网络检测 点击“检测网速”，可以检测当前网络的下载带宽，上传带宽，网络时延，抖动，丢包率，以及过去的网络时延变化统计。 家庭管理 “翼家”默认对天翼量子AI云电脑（公众版）开放，家长可通过手机号邀请成员或管理员加入家庭管理。组建家庭关系后，家长和管理员可对家庭成员AI云电脑查看学习、绿色管控、远程接入、解绑AI云电脑等操作，详细见翼家帮助文档。 注意：政企版翼家功能默认关闭，如需开通请联系运维或邮件申请，将【企业租户账号】和【所在资源池】通过翼连>AI云电脑项目支撑中心>工作台>AI云电脑附加功能申请或邮箱发送至clouddesktop@chinatelecom.cn。

本章节主要介绍翼MapReduce运行kafka作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。本章节教您在翼MR集群后台如何提交一个新的kafka作业。 通过后台提交作业 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 创建kafka的topic。 plaintext /usr/local/kafka/bin/kafkatopics.sh zookeeper :2181/kafka topic create 7. 当前集群默认开启Kerberos认证，执行以下命令添加认证信息。 plaintext export KAFKAOPTS"Djava.security.krb5.conf/etc/krb5.conf Djava.security.auth.login.config/usr/local/kafka/config/kafkajaas.conf" 8. 向topic中写入消息。 plaintext /usr/local/kafka/bin/kafkaconsoleproducer.sh brokerlist :9092 topic producer.config /usr/local/kafka/config/producer.properties 9. 消费topic中的消息。 plaintext /usr/local/kafka/bin/kafkaconsoleconsumer.sh bootstrapserver :9092 topic consumer.config /usr/local/kafka/config/consumer.properties frombeginning maxmessages 5 注意 frombeginning：只能消费未被消费的历史数据，已消费数据不会出现。 maxmessages：最多消费多少条数据。

本章节内容主要介绍购买类常见问题 购买迁移任务的数量限制？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制，如：一个数据库复制服务帐号，您最多可以创建5个任务。 如果受当前资源配额限制，无法满足业务使用需求，您可以申请扩大配额，通过提工单方式。 购买数据库复制是否支持包周期？ 当前还仅具备按配置费、数量传输费两个收费项的按需订购，不迁移时不收费； 后续将根据技术发展，考虑增加包周期的收费方式，敬请期待。 扩大带宽是否会对DRS正在进行的任务产生影响？ 扩大云连接带宽时需要重建带宽链路，则会导致网络断开，此时是否会对DRS任务产生影响取决于网络断开的时间以及源库IP有没有发生变化。 例如针对MySQL引擎而言，如果网络断开1天，而在这1天时间内源库binlog被清理了（MySQL都有binlog清理策略，用户侧自己配置的），就无法进行任务续传，需要重置任务。 如果网络中断的时间很短，并且带宽链路更换完成后源库的VPN内的IP地址没有变，则是可以继续续传任务，不会对DRS任务产生影响。

为了保证翼加密的正常使用，在使用之前，请您务必认真阅读以下注意事项。 客户端兼容性 (1)翼加密支持的Windows镜像版本是server 2016，暂不支持server 2008及win7操作系统版本。 (2)如果您的AI云电脑需要安装杀毒软件，建议使用“火绒”杀毒软件。 注意：翼加密目前不兼容腾讯电脑管家、非最新版本的360卫士以及其他第三方杀毒软件。使用这类杀毒软件可能会造成加密文件无法正常读写等问题。 加密规则和使用说明 透明加密&落盘加密 加密AI云电脑内传输、下载、编辑保存的符合加密策略的文件会被自动加密。加密全程无感知，不影响员工正常办公。 在AI云电脑内可正常打开已加密文件，在AI云电脑外打开是乱码。 同租户内加密文件互通 加密文件只要满足密级权限要求，在同租户下的加密AI云电脑可以互通，明文读写。外发到非加密的外部电脑打开为密文数据。如需外发请通过翼加密客户端提交脱密申请。 部分预览功能可能会被影响 浏览器、邮箱、OA办公或IM软件等的预览功能可能存在无法正常预览加密文件的情况。因为这些软件的预览功能一般是下载到本地后打开预览。文件下载后会被自动落盘加密，故无法正常打开。加密文件仅可以被加密策略中配置的相关应用程序明文打开。

本节介绍了容器镜像服务:通过内网域名跨地域或从IDC环境访问容器镜像服务。 操作场景 当您需要跨地域或从IDC环境通过内网域名访问容器镜像服务时，可按以下步骤操作。 操作步骤 1.参考 内网访问 创建容器镜像服务的VPCE和对象存储的VPCE（容器镜像文件存储再对象存储，拉取镜像需要访问对象存储） 示例说明（域名和IP仅用来说明，请以实际为准）： 在华东1的VPC中为容器镜像服务创建VPCE，内网域名testregistryhuadong1.crsinternal.ctyun.cn解析至VPCE IP 192.168.0.11 为对象存储创建VPCE，内网域名huadong1internal.zos.ctyun.cn解析至VPCE IP 192.168.0.21 2.使用云间高速或云专线等产品打通网络，确保源资源池或者IDC环境能访问目标资源池的容器镜像服务 VPCE IP和对象存储的VPCE IP。注意：拉取镜像和访问对象存储都是使用域名，需要确保在访问侧可以解析容器镜像和对象存储的内网域名。 通过专线/VPN打通与华东1 VPC的网络 配置本地DNS，将容器镜像服务内网域名指向192.168.0.11，对象存储内网域名指向192.168.0.21 3.验证与使用 执行nslookup testregistryhuadong1.crsinternal.ctyun.cn确认域名解析正确 在Docker配置中指定内网镜像地址即可正常拉取镜像

本节介绍委托、IAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。 根据权限类型，分布式云容器平台的权限包括服务角色、IAM权限策略和RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式云容器平台的功能。 权限类型 权限类型 是否必须授权 授权说明 委托 使用开通订购功能时必须授权，使用主账号或子账号授权一次即可。 授权后分布式云容器平台才能访问其他关联的云服务资源。 IAM系统权限策略 主账号默认拥有所有权限，无需额外授权。而子账号必须授权后才能访问分布式云容器平台。 授权后子账号才能使用分布式云容器平台系统功能。 RBAC权限 主账号默认拥有所有权限，无需额外授权。子账号可以根据需求授予权限，如果没有授权，则采用默认只读权限。 授权后，子账号才能对分布式云容器平台集群内的K8s资源进行操作。 委托 云服务委托是指，在特定业务场景下，云服务为实现特定功能目标，通过获取其他云服务的访问权限，自动化管理关联资源，从而优化整体服务质量的一种协作机制。 例如，分布式云容器平台上订购注册集群后，需要关联创建ELB、安全组等资源。分布式云容器平台通过委托机制获取关联服务权限，从而自动地完成配置和关联资源创建，提升订购功能的使用体验。 分布式云容器平台目前提供以下服务角色，具体的策略内容请参见IAM控制台。 委托名称 权限说明 CtyunAssumeRoleForCCEONE 分布式云容器平台在集群管控操作中使用该角色访问您在ELB、EIP、安全组等服务中的资源。

大模型安全卫士共提供了三道引擎防线： 维度 敏感词引擎 语义检索引擎 大模型引擎 功能介绍 检测内容是否命中检测分类中所包含的关键词规则 检测内容是否命中检测分类中所包含的语义规则，与规则中的内容语义大于配置的相似度即为命中 使用大模型引擎进行推理判断内容是否命中检测分类中包含的模型推理规则 原理/算法 AC自动机 + Trie树 向量存储 + 余弦相似度计算 大模型推理 依赖 嵌入式向量模型 （已内置） 基础模型 效率 ⭐⭐⭐⭐⭐ ⭐⭐⭐ ⭐⭐ 准确率 ⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ 稳定性 ⭐⭐⭐⭐⭐ ⭐⭐⭐ ⭐⭐ 成本 ⭐⭐⭐⭐⭐ ⭐⭐⭐ ⭐ 抗规避能力 ⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ 维护成本 ⭐⭐ ⭐⭐⭐ ⭐⭐⭐⭐ 实时性 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐ 可扩展性 ⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ 综合优势 效率极高 成本极低 稳定性强 准确率较高 抗规避能力强 准确率最高 智能程度高 综合劣势 准确率有限 易被规避 效率中等 成本较高 效率最低 成本最高