参数 说明 内存申请 容器使用的最小内存需求，作为容器调度时资源分配的判断依赖。只有当节点上可分配内存总量 ≥ 容器内存申请数时，才允许将容器调度到该节点。 内存限制 容器能使用的内存最大值。当内存使用率超出设置的内存限制值时，该实例可能会被重启进而影响工作负载的正常使用。

本文介绍如何查看防御容器的运行状态，及如何下载防御容器日志。 查看防御容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 运行状态”，进入运行状态页面。 3. 该页面显示平台内所有防御容器的运行状态。平台容器列表内，支持按照“防御容器名称”、“防御容器IP”、“集群名称”、“节点名称”、“健康状态”、“降级状态”进行筛选查询。 参数 说明 防御容器名称 容器的名称。 所在集群 容器所属集群。 所在节点 容器运行所在节点。 节点IP 容器运行所在节点的IP地址。 CPU CPU占用内核数量，单位M：代表“千分之一核心”。例如，50M的含义是指50/1000核心，即5%。 Memory 防御容器占用的存储空间。 健康状态 健康状态分为“在线”状态和“离线”状态。 降级状态 降级状态分为已降级、未降级。 用户可查看防御容器降级状态，并且通过操作来恢复已降级的防御容器。 说明 未降级或已离线的防御容器不支持恢复。 更新时间 容器状态更新的时间。

状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知： 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 步骤 4 单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 关闭“公网访问”开关。 步骤 4 在弹出对话框单击“确定”。

本章节主要介绍产品规格 Nacos引擎实例规格 您可根据实际需要选择合适的Nacos引擎实例规格。 表 Nacos引擎实例规格 微服务实例数 容量单元 客户端连接数 500实例 10个 1,000个 1,000实例 20个 2,000个 2,000实例 40个 2,000个 ServiceComb引擎实例规格 您可根据需要托管的微服务实例数量，参考下表来选择ServiceComb引擎实例规格。 如表所示，不同微服务实例数配额的ServiceComb引擎实例会赠送相应数量的配置条目数配额和最大支持微服务版本总数。 表 ServiceComb引擎实例规格 微服务实例数配额 配置条目数配额 100实例 600 200实例 600 500实例 3,000 2,000实例 12,000

如何管理已注册服务 注册配置中心各引擎均提供服务管理能力，详情请参考注册配置中心菜单下各引擎子菜单中的管理服务功能。目前Nacos和Eureka引擎支持对服务进行上下线操作，Zookeeper引擎仅支持对服务进行查询。 操作步骤如下： 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击实例名称或者ID进入基础信息页面。 4. 基础信息页面左侧菜单栏选择点击服务管理，即可查看以注册的服务。 如何管理配置 点击查看按注册配置中心Nacos、Zookeeper提供配置管理能力，详情请参考注册配置中心菜单下Nacos、Zookeeper引擎子菜单中的配置管理功能。 Nacos引擎支持在配置管理页面根据DataID和group等条件进行查询，查询到的配置可以对应进行删除，同步，修改操作，修改操作可以改变其值，值类型，以及数据加密等，详细操作请参考Nacos引擎配置管理 。 Zookeeper引擎，配置可以通过Znode的方式进行存储和获取，详细操作请参考ZooKeeper引擎数据管理。

本文介绍ECI实例如何设置探针进行健康检查。 ECI实例支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中为每个容器设置探针。支持在容器启动后特定时间开始探测，支持设定探测超时的时间。检查方式支持命令行、Http请求、TCPSocket等多种探测手段。

本文介绍如何查看ECI实例日志、监控信息。 前提条件 部署ECI实例后，您可以通过弹性容器实例控制台查看该ECI实例的日志信息和监控信息。 操作步骤 查看日志信息 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击日志页签查看该实例的日志信息。参考如下图： 查看监控信息 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击监控页签查看该实例的监控信息。参考如下图：

本章介绍关系数据库的引擎和版本支持情况。 关系型数据库服务目前支持的数据库引擎和版本如下表所示。 新应用上线，建议您使用数据库引擎对应的最新大版本，以RDS for MySQL为例，建议您选择MySQL 8.0； 用户创建实例时，不可选择小版本，如MySQL 8.0.17，RDS会提供最优的小版本； 实例创建成功，您可在console“实例管理”页面实例列表中的“数据库引擎版本”列，查看具体的小版本号。 数据库引擎和版本请以实际环境为准。 数据库引擎和版本 数据库引擎 单机实例 主备实例 集群版实例 :::: MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

复制策略 通过复制策略，可以快速添加一个和已有策略类似的策略。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“复制策略”，进入复制策略页面。 4. 策略配置的详细说明请参考添加策略。 编辑策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“编辑”，进入编辑策略页面。 4. 在策略编辑界面，可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。 批量管理策略 支持批量对策略进行管理，包括启用、禁用、删除。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，勾选入侵行为名称前的复选框，选择要操作的策略。 4. 单击选择列表上方的“批量”按钮，展开批量操作。 5. 根据需要选择执行的操作，支持批量启用、禁用、删除。

服务凭证管理 服务凭证指的是在智能体引擎平台运行的智能体，在访问外部的第三方服务（如大语言模型、云服务 API 等）时所需要提供的凭证。您可以在服务凭证管理页面安全方便地管理您的第三方服务凭证，并在需要的智能体内引用，以避免每次在新建或更新智能体时，都需要重新编码或保存具有敏感信息的第三方服务凭证。 服务凭证类型 智能体引擎提供了三种服务凭证的管理，分别是API Key, AK/SK和自定义Headers。 服务凭证可以通过以下入口创建： 通用 凭证管理 服务凭证 +创建凭证 API Key 当智能体需要调用第三方大语言模型服务（如天翼云息壤大模型、OpenAI等）时，可以配置对应大语言模型服务所提供的API Key进行访问。API Key是简单通用且安全的认证方式，适合大多数第三方API服务。 字段 功能含义 规则限制 凭证名称 只能包含字母、数字、中划线和下划线，必须以字母开头，长度在 132之间。 描述 凭证描述 128个字符之内 API key 第三方模型服务提供的API key 256个字符之内 AK/SK 当智能体需要调用主流云服务商（如阿里云、AWS、腾讯云等）的API时，可以配置对应云服务商提供的AK/SK进行访问。AK/SK是高安全性的认证方式，常用于云服务鉴权。 字段 功能含义 规则限制 凭证名称 只能包含字母、数字、中划线和下划线，必须以字母开头，长度在 132之间。 描述 凭证描述 128个字符之内 AccessKeyId 云服务商提供的访问密钥 ID（AK） AccessKeySecret 云服务商提供的访问密钥（SK） 账户ID 部分云服务商需要的额外身份标识

步骤 3 将新购买的独享引擎实例添加到ELB的后端服务器上。 以添加共享型后端服务器为例说明，添加后端服务器操作步骤如下。 1. 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙（独享版）”，进入“安全总览”页面。 2. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 3. 在目标实例所在行的“操作”列，单击“更多 > 添加到ELB”。 4. 在“添加到ELB”页面中，选择原独享引擎实例配置的“ELB（负载均衡器）”、“ELB监听器”和“后端服务器组”。 5. 单击“确认”，为WAF实例配置业务端口，“业务端口”需要配置为原WAF独享引擎实例实际监听的业务端口。 步骤 4 在ELB管理控制台上，将原独享引擎实例的流量权重设置为“0”。新的请求不会转发到权重为0的后端。 步骤 5 待业务流量降下来后，删除原独享引擎实例。查看独享实例的云监控信息，“新建连接数”较小时（例如，小于5），说明业务流量已经降下来。 1. 在WAF控制台的左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 2. 在目标实例所在行的“操作”列，单击“更多 > 删除”。 3. 在弹出的提示框中，单击“确认”。 删除实例后，该实例上的资源将被释放且不可恢复。 多独享引擎实例节点升级 如果您的业务部署了多个独享引擎实例，请参照以下操作升级实例。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本文介绍如何更新容器列表。 容器运行时安全是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有防护手段无法发现针对容器层面的攻击行为。容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、反弹shell、端口扫描、启动挖矿程序、启动远程木马程序时，根据预设策略对存在异常的容器进行报警或暂停，并支持对容器所在的Pod进行隔离或重启。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 在该页面单击容器列表右侧的“更新列表”，实时获取集群内的容器信息。

数据备份与恢复 为应对数据丢失或损坏对用户业务造成不利影响，在异常情况下快速恢复系统，翼MR根据用户业务的需要提供全量备份、增量备份和恢复功能。 自动备份 翼MR对集群管理系统Manager上的数据提供自动备份功能，根据制定的备份策略可自动备份集群上的数据，包括LdapServer、DBService的数据。 手动备份 在系统进行扩容、打补丁等重大操作前，需要通过手动备份集群管理系统的数据，以便在系统故障时，恢复集群管理系统功能。 为进一步提供系统的可靠性，在将Manager、HBase上的数据备份到第三方服务器时，也需要通过手动备份。 节点可靠性 操作系统健康状态监控 周期采集操作系统硬件资源使用率数据，包括CPU、内存、硬盘、网络等资源的使用率状态。 进程健康状态监控 翼MR提供业务实例的状态以及业务实例进程的健康指标的检查，能够让用户第一时间感知进程健康状态。 硬盘故障的自动处理 翼MR对开源版本进行了增强，可以监控各节点上的硬盘以及文件系统状态。如果出现异常，立即将相关分区移出存储池；如果硬盘恢复正常（通常是因为用户更换了新硬盘），也会将新硬盘重新加入业务运作。这样极大简化了维护人员的工作，更换故障硬盘可以在线完成；同时用户可以设置热备盘，从而极大缩减了故障硬盘的修复时间，有利于提高系统的可靠性。

为了保证翼加密的正常使用，在使用之前，请您务必认真阅读以下注意事项。 客户端兼容性 (1)翼加密支持的Windows镜像版本是server 2016，暂不支持server 2008及win7操作系统版本。 (2)如果您的AI云电脑需要安装杀毒软件，建议使用“火绒”杀毒软件。 注意：翼加密目前不兼容腾讯电脑管家、非最新版本的360卫士以及其他第三方杀毒软件。使用这类杀毒软件可能会造成加密文件无法正常读写等问题。 加密规则和使用说明 透明加密&落盘加密 加密AI云电脑内传输、下载、编辑保存的符合加密策略的文件会被自动加密。加密全程无感知，不影响员工正常办公。 在AI云电脑内可正常打开已加密文件，在AI云电脑外打开是乱码。 同租户内加密文件互通 加密文件只要满足密级权限要求，在同租户下的加密AI云电脑可以互通，明文读写。外发到非加密的外部电脑打开为密文数据。如需外发请通过翼加密客户端提交脱密申请。 部分预览功能可能会被影响 浏览器、邮箱、OA办公或IM软件等的预览功能可能存在无法正常预览加密文件的情况。因为这些软件的预览功能一般是下载到本地后打开预览。文件下载后会被自动落盘加密，故无法正常打开。加密文件仅可以被加密策略中配置的相关应用程序明文打开。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,不同资源池情况下,通过公网网络接入的方法。 不同资源池由于分处不同的地域，网络不互通且无法通过VPC对等连接等进行网络互通，目前支持基于公网IP通过公网网络的方式进行网络打通。 以下分别介绍网络通信方式，DTS实例的配置流程和数据库实例绑定公网IP与网络安全策略的配置流程。 网络通信方式 网络通信方式，如下图： DTS实例的配置流程 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 订购DTS实例 在管理控制台点击“创建实例”进入订购页面，根据业务情况选择对应参数配置，在“网络配置”>"直接指定VPC"时，用户可选择“使用IPv4地址连接”或“使用IPv6地址连接”，下单成功后，在管理控制台点击“数据迁移”或“数据同步”进入实例列表页面，看到新增的“待配置”任务。 3. 为DTS实例开启公网接入能力 （1）选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“数据库来源”选择“公网IP”时，【打通网络配置】中可看到“连接方式”，使用“IPv4地址”打通公网时，可以点击“绑定弹性IP”按钮，在“绑定弹性IP”弹框中选择IP地址为DTS实例绑定公网EIP，具体操作如下： （2）订购页选择IPv6地址创建DTS实例后，进入对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，【打通网络配置】中可看到“连接方式”，使用“IPv6地址”打通公网时，可以点击“绑定带宽”按钮，在“绑定IPv6带宽”弹框中选择带宽为DTS实例地址绑定的IPv6带宽，具体操作如下：

本文主要介绍容器网络模型对比。 容器网络为集群内Pod分配IP地址并提供网络服务，CCE支持如下几种网络模型，您可在创建集群时进行选择。 容器隧道网络 VPC网络 云原生网络2.0 网络模型对比 主要介绍CCE所支持的网络模型，您可根据实际业务需求进行选择。 注意： 集群创建成功后，网络模型不可更改，请谨慎选择。 表 网络模型对比 对比维度 容器隧道网络 VPC网络 云原生网络2.0 适用场景 一般容器业务场景。 对网络时延、带宽要求不是特别高的场景。 对网络时延、带宽要求高。 容器与虚机IP互通，使用了微服务注册框架，如Dubbo、CSE等。 对网络时延、带宽要求高，高性能场景。 容器与虚机IP互通，使用了微服务注册框架的，如Dubbo、CSE等。 核心技术 OVS IPVlan，VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE集群 CCE集群 CCE Turbo集群 网络隔离 Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB直通容器 否 否 是 IP地址管理 容器网段单独分配l 节点维度划分地址段，动态分配（地址段分配后可动态增加） 容器网段单独分配 节点维度划分地址段，静态分配（节点创建完成后，地址段分配即固定，不可更改） 容器网段从VPC子网划分，无需单独分配 网络性能 基于vxlan隧道封装，有一定性能损耗。 无隧道封装，跨节点通过VPC 路由器转发，性能好，媲美主机网络。 容器网络与VPC网络融合，性能无损耗 组网规模 最大可支持2000节点 默认支持200节点，受限于VPC路由表能力。VPC网络模式下，集群每添加一个节点，会在VPC的路由表中添加一条路由（包括默认路由表和自定义路由表），因此集群本身规模受VPC路由表上限限制。 最大可支持2000节点 注意 VPC路由网络集群实际支持规模受限于VPC的路由表路由条目配额，创建前请提前评估集群规模。 云原生网络2.0集群实际支持规模受限于网络平面选择的VPC子网网段大小，创建前请提前评估集群规模。 VPC路由网络默认支持容器与同一VPC的虚拟机直接互访，与其他VPC的主机在配置对等连接策略后可以支持直接互访。此外，云专线/VPN等混合组网场景在合理规划后可以支持对端直接与容器互访。 请勿在创建集群后修改VPC侧的主网段掩码大小，若强行修改会导致VPC集群新建节点的部分网络功能异常。

本文介绍弹性文件存储卷概述。 Serverless集群支持使用天翼云弹性文件存储卷。当前cstorcsi插件支持使用弹性文件静态存储卷，通过将弹性文件存储卷挂载到容器指定目录下，以实现数据持久化需求。 弹性文件提供按需扩展的高性能文件存储，可为云上多个弹性云主机、容器、物理机等计算服务提供大规模共享访问，具备高可用性和高数据持久性。提供标准的POSIX文件访问接口，可以将现有应用与文件存储无缝集成。 使用限制 规格类型 当前cstorcsi插件支持SFS Turbo标准型、SFS Turbo性能型。 文件协议 当前cstorcsi插件仅支持NFS协议。 容量 单个文件系统最小容量为500GB。 文件系统加密 当前暂不支持使用加密。 性能规格 SFS Turbo标准型、SFS Turbo性能型规格对比：弹性文件性能对比。 说明 最大IOPS、最大带宽两个参数的值均为读写总和，比如最大IOPSIOPS读+IOPS写。 最大IOPS大小与容量无关。 时延是指低负载情况下的最低延迟，非稳定时延。 使用场景 根据业务需求，弹性文件类型的存储常见以下使用场景： 使用弹性文件动态存储卷（暂不支持）：即用户无需预先创建文件系统和PV，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建文件系统及对应PV资源，推荐使用。 使用弹性文件静态存储卷：即用户预先创建文件系统，并创建对应的PV资源。之后在创建PVC时选择已有PV进行挂载。适用于已有可用的底层存储或底层存储需要包周期的场景。 有状态负载挂载弹性文件：支持有状态负载通过PVC模版的方式，实现为每一个Pod关联一个独有的PVC及PV，当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。

本节介绍了RabbitMQ元数据迁移的实践。 RabbitMQ元数据迁移指将用户线下实例的rabbitmq实例元数据迁移到线上实例。 背景信息 RabbitMQ集群元数据是指RabbitMQ集群的信息，包括User、Vhost、Queue、Exchange、Binding Key、Permission、Parameter等信息。RabbitMQ集群元数据存储于RabbitMQ集群的内部数据库，在集群的各个节点之间自动复制。集群中的每个节点都有自己的元数据副本。当某个节点的元数据变更时，所有节点的元数据都会同步更新。因此，集群的各个节点的元数据被导出时都是相同的。RabbitMQ集群元数据可以被导出成一份JSON文件，然后被导入另一个RabbitMQ集群，实现RabbitMQ集群元数据备份。 迁移元数据上云是指将开源RabbitMQ集群的元数据迁移到天翼云分布式消息服务RabbitMQ实例。分布式消息服务RabbitMQ是天翼云提供的全托管消息队列服务，兼容开源RabbitMQ。您可以将RabbitMQ集群元数据导出，然后导入分布式消息服务RabbitMQ实例，分布式消息服务RabbitMQ会根据成功导入的元数据在目标分布式消息服务RabbitMQ实例中创建对应的Vhost、Queue、Exchange、Binding，实现RabbitMQ集群元数据迁移上云。您可以将全部Vhost信息导入分布式消息服务RabbitMQ实例，也可以根据需要将某个Vhost信息导入分布式消息服务RabbitMQ实例中的Vhost。 迁移元数据 （1）在RabbitMQ WebUI页面查看，如图所示。 Overview视图中，点击“Download broker definitions”按钮下载集群元数据。得到rabbitmq元数据的json文件。 （2）上线rabbitmq实例导入元数据。 如上图所示，先点击选择文件，选择上一步骤导出的json文件，再点击导入配置。 注意：在线下的Rabbitmq集群中不能含有用户名rabbitmq，否则会被覆盖。用户名rabbitmq是天翼云Rabbitmq内部使用的管理账号。

应用场景 对性能要求不高：由于需要额外的VXLAN隧道封装，相对于另外两种容器网络模式，性能存在一定的损耗。大概有5%15%的性能损失。所以容器隧道网络适用于对性能要求不是特别高的业务场景，比如：web应用、访问量不大的数据中台、后台服务等。 大规模组网：相比VPC路由网络受限于VPC路由条目配额的限制，容器隧道网络没有网络基础设施的任何限制；同时容器隧道网络把广播域控制到了节点级别，容器隧道网络最大可支持2000节点规模。 容器IP地址管理 容器隧道网络按如下规则分配容器IP： 容器网段需单独分配，与节点网段无关 节点维度划分地址段，集群的所有节点从容器网段中分配一个或多个固定大小（默认16）的IP网段 当节点上的IP地址使用完后，可再次申请分配一个新的IP网段 容器网段依次循环分配IP网段给新增节点或存量节点 调度到节点上的Pod依次循环从分配给节点的一个或多个IP网段内分配IP地址 图 容器隧道网络IP地址分配 按如上IP分配，容器隧道网络的集群最多能创建节点数量 容器网段IP数量 ÷ 节点从容器网段中一次分配的IP网段大小（默认为16） 比如容器网段为172.16.0.0/16，则IP数量为65536，一次分配16，则最多可创建节点数量为65536/164096。当然，这是一种极端情况，如果创建4096个节点，则每个节点最多只能创建16个Pod，因为给每个节点只分配了16个IP的网段。另外集群能创建多少节点，还受节点网络和集群规模的影响。 图 网络模型选择（创建集群时配置）

本页介绍了关系数据库MySQL版存储相关问题和解决方法。 MySQL实例支持哪些存储引擎 推荐您使用InnoDB引擎。关系数据库MySQL版只有InnoDB引擎支持完整的备份、恢复等服务。 您也可以登录数据库然后执行 show engines;命令查看数据库支持的存储引擎或参考下图选择。 为什么MySQL实例不支持MyISAM引擎? 1. MyISAM引擎表不支持事务，读写操作会相互冲突，仅支持表级别锁。 2. MyISAM引擎对数据完整性的保护存在缺陷，且这些缺陷会导致数据库数据的损坏甚至丢失。这种设计带来的缺陷，目前没有比较好的解决方案。 3. MyISAM引擎在出现数据损害情况下，多数都需要人为介入进行修复，无法通过产品控制台提供的恢复功能自动进行恢复。 4. MyISAM引擎向InnoDB的迁移代价低，大多数基本不需要改动建表的语句。 5. MyISAM引擎在I/O操作上的性能相对于InnoDB的引擎优势不大。 MySQL实例使用的什么存储 关系数据库MySQL版本备份数据存储有两种方式，一种是采用云硬盘的方式，另一种是采用对象存储服务的方式。两种方式存储备份数据均不占用用户的数据库空间。 关系数据库MySQL版存储采用云硬盘。关于云硬盘的信息请参考云硬盘。 关于对象存储服务的信息请参考对象存储。

使用ollama运行模型 plaintext ollama run deepseekr1:14b 4. 通过web界面进行交互 a.安装openwebui plaintext docker pull ghcr.io/openwebui/openwebui:main b.启动容器 plaintext docker run d nethost e PORT3000 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse v openwebui:/app/backend/data name openwebui restart always ghcr.io/openwebui/openwebui:main 后续请参考上文“快速体验DeepSeek——步骤二：使用deepseek模型” 。 FAQ 盘不够了，我应该怎么办？ 如果您在模型部署过程中发现云盘的容量不够，可以采取如下措施: 1. 根据云硬盘扩容概述云硬盘用户指南扩容云硬盘 天翼云对已有云盘进行扩容。 2. 新建一块数据盘并挂载，相关操作见挂载云硬盘云硬盘快速入门 天翼云、初始化数据盘弹性云主机快速入门 天翼云。 如何修改ollama模型的存储位置？ 在linux环境下，ollama默认模型存储目录是 /usr/share/ollama/.ollama/models/，我们建议您使用云硬盘独立挂载数据盘，将模型存储到数据盘中。模型存储位置是由环境变量控制的，我们需要修改ollama的环境变量重启服务才能修改存储目录，我们以 /data/ollama/models 目录为例： 1. 打开 ollama.service 文件 plaintext vi /etc/systemd/system/ollama.service 注意 请确保 ollama 用户组中的 ollama 用户具备访问该目录的读写权限 2. 新增相关环境变量 3. 重启服务 plaintext systemctl daemonreload systemctl restart ollama

本文主要介绍云监控服务Java SDK接入指南。 一、前言 安装使用JAVA SDK可以帮助开发者快速接入并使用天翼云的监控服务相关功能。 二、使用条件 2.1 先决条件 用户需要具备以下条件才能够使用LTS SDK Java版本： 1. 开通了天翼云的云监控服务。 2. 已获取AccessKey 和 SecretKey。 3. 已安装JDK1.8及以上环境。 2.2 下载及安装 安装jar包有如下两种方式： 1、源码编译：下载 ctyunmonitorjavasdk1749785225503.zip 压缩包，放到相应位置后并解压，把包放在本地目录： 。如果您想直接使用SDK，可以不做修改，直接使用SDK源码，示例代码为example/SamplePutlogs.java。 1. 把SDK源码构建成jar包，可通过构建工具构建 2. 把生成的jar包引入本地maven仓库。可以通过例如idea的maven工具install 到maven仓库。或者通过命令构建安装（在jar包所在目录执行下面命令）。 plaintext // 构建 jar 命令（保证已经到 ctyunmonitorjavasdk1749785225503 工程根目录） mvn clean package am amd Dmaven.test.skiptrue Dcheckstyle.skiptrue // 将生成的jar包引入本地maven仓库 mvn install:installfile Dfile./target/ctyunjavasdk1.0.0SNAPSHOT.jar DgroupIdcom.ctyun DartifactIdctyunjavasdk Dversion1.0.0SNAPSHOT Dpackagingjar 其中： Dfile 指定 jar 文件的路径。 2、直接联系天翼云客户经理获取jar包，拿到 jar 包后使用如下命令将 jar 包引入本地maven仓库 plaintext // 将生成的jar包引入本地maven仓库 mvn install:installfile Dfilexxx/ctyunjavasdk1.0.0SNAPSHOT.jar DgroupIdcom.ctyun DartifactIdctyunjavasdk Dversion1.0.0SNAPSHOT Dpackagingjar 其中： Dfile 指定 jar 文件的路径。 执行上述命令后，如果成功会出现如下提示：

按需合同申请 按需合同适用于已购买天翼云按需产品并生成最终账单的合同归档。 线上申请的电子合同带有天翼云电子合同章，具有法律效力，可以直接使用。 前期条件 只有通过实名认证的客户，才可以申请线上合同。 已购买天翼云按需产品并生成最终账单才可申请。 操作流程 登录官网，在首页点击“管理中心”，选择进入“合同管理”页面，可执行以下操作申请按需合同： 1、申请合同 进入合同管理页面，点击按钮“合同申请”。 2、选择“按需合同” 3、选择账期 选择账期申请按需合同。选择需申请按需合同的账期后，单击“下一步”。现支持选择多个账期按需费用生成一份合同。 4、添加合同信息 确认要申请合同的账期和消费金额，并添加您的合同信息。此信息即作为联系人地址、联系人姓名、联系人电话。甲方抬头系统默认为您的实名认证名称。 信息填写确认完毕后，您可以选择生成草稿合同或者正式合同。草稿合同支持下载，可预览您生成的合同内容。 5、完成 草稿合同创建成功后，您可以在完成页面下载，也可以在合同列表页找到该草稿合同进行下载。建议您预览草稿合同确认后，转正式合同。 如您发现草稿合同信息有误，可作废该草稿合同，重新申请。如草稿信息确认无误，可转为正式合同，正式合同盖有具备法律效力的电子签章。

本页介绍天翼云TeleDB数据库扩容实例、规格扩容和磁盘扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 操作步骤 1. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多 > 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 4. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 2. 按规格扩容实例机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容，即可完成机器规格扩容。 3. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 4. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

一键优化 当AI云电脑遇到卡顿情况时，可以进行检测优化 ，点击“一键优化”开启优化程序。 网络检测 点击“检测网速”，可以检测当前网络的下载带宽，上传带宽，网络时延，抖动，丢包率，以及过去的网络时延变化统计。 家庭管理 “翼家”默认对天翼量子AI云电脑（公众版）开放，家长可通过手机号邀请成员或管理员加入家庭管理。组建家庭关系后，家长和管理员可对家庭成员AI云电脑查看学习、绿色管控、远程接入、解绑AI云电脑等操作，详细见翼家帮助文档。 注意：政企版翼家功能默认关闭，如需开通请联系运维或邮件申请，将【企业租户账号】和【所在资源池】通过翼连>AI云电脑项目支撑中心>工作台>AI云电脑附加功能申请或邮箱发送至clouddesktop@chinatelecom.cn。

本文介绍ECI实例如何设置容器生命周期回调。 ECI实例支持为容器配置生命周期回调，主要包括容器类应用的生命周期事件应采取的动作，分为以下两类： 启动后处理（PostStart）：在容器被创建之后，此回调会被调用。但是不能保证回调会在容器入口点（ENTRYPOINT）之前执行。 停止前处理（PreStop）：在容器被终止之前，此回调会被调用。 如果容器已经处于Terminated或者Finished状态，则对 preStop 回调的调用将失败。在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。容器组的终止宽限周期在 PreStop 回调被执行之前即开始计数， 所以无论回调函数的执行结果如何，容器最终都会在终止宽限期内被终止。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中设置生命周期回调。其中包括“启动后处理”和“停止前处理”回调，设定当容器被创建后将执行的命令，以及容器被终止之前将执行的命令。

电脑端投屏 天翼云电脑电脑客户端作为投屏端，可以通过输入投屏码方式进行投屏操作。 操作步骤： 1.登录天翼云电脑客户端，在云电脑列表选择进入投屏的云电脑； 2.进入云电脑后，在顶部工具栏，点击“控制中心”“偏好设置””工具栏设置“，开启“翼投屏”功能（首次使用可选择显示入口或显示入口+投屏码）； 3.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 4.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 5.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

容器IP地址管理 VPC网络按如下规则分配容器IP： 容器网段需单独分配 节点维度划分地址段，集群的所有节点从容器网段中分配一个固定大小（用户自己配置）的IP网段 容器网段依次循环分配IP网段给新增节点 调度到节点上的Pod依次循环从分配给节点的IP网段内分配IP地址 图 VPC网络IP地址管理 按如上IP分配，VPC网络的集群最多能创建节点数量 容器网段IP数量 ÷ 节点从容器网段中分配IP网段的IP数量 比如容器网段为172.16.0.0/16，则IP数量为65536，节点分配容器网段掩码为25，也就是每个节点容器IP数量为128，则最多可创建节点数量为65536/128512。当然，集群能创建多少节点，还受节点网络和集群规模的影响。 图 容器网段配置（创建集群时配置） 网段规划建议 在集群网络构成中介绍集群中网络地址可分为节点网络、容器网络、服务网络三块，在规划网络地址时需要从如下方面考虑： 三个网段不能重叠 ，否则会导致冲突。且集群所在VPC下所有子网（包括扩展网段子网）不能和容器网段、服务网段冲突。 保证 每个网段有足够的IP地址可用 。 节点网段的IP地址要与集群规模相匹配，否则会因为IP地址不足导致无法创建节点。 容器网段的IP地址要与业务规模相匹配，否则会因为IP地址不足导致无法创建Pod。每个节点上可以创建多少Pod还与其他参数设置相关，具体请参见节点最多可以创建多少个 Pod。 例如集群规模为200节点，容器网络模型为VPC网络。 则此时选择节点子网的可用IP数量需要超过200，否则会因为IP地址不足导致无法创建节点。 容器网段为10.0.0.0/16，可用IP数量为65536，如容器IP地址管理中所述，VPC网络IP分配是分配固定大小的网段（使用掩码实现，确定每个节点最多分配多少容器IP），例如上限为128，则此时集群最多支撑65536/128512个节点，然后去掉Master节点数量，最终结果就是509个。 图 容器网段配置（创建集群时配置）

想用天翼AI云电脑（政企版）打游戏可以吗，可以做图形渲染吗？ GPU天翼AI云电脑（政企版）具有图形加速能力，支持更多3D渲染，图像加速软件使用场景，满足企业图形设计、图形渲染、3D制作、游戏等需求，为天翼AI云电脑（政企版）提供更多的使用场景。 天翼AI云电脑是否支持本地磁盘映射？ 支持，如需本地磁盘映射到天翼AI云电脑（政企版），请联系管理员在控制台中开启“文件重定向”策略。2.0版本支持Windows客户端、MAC客户端、Ubuntu瘦终端、安卓瘦终端、安卓移动端的终端系统盘重定向到天翼AI云电脑（政企版），iOS移动端暂不支持。 文件重定向功能与Windows系统的“Server”服务冲突，如需使用文件重定向功能，请确保在天翼AI云电脑（政企版）中已关闭“Server”服务并重启天翼AI云电脑（政企版）（天翼AI云电脑（政企版）开通时，此服务缺省为关闭状态）。关闭Windows“server服务”会影响您向其他天翼AI云电脑（政企版）提供共享文件、共享打印机、AD域控等功能。 如果开启server服务，文件重定向功能将不能使用。Windows系统中的服务管理及“Server”服务：

本文介绍如何在天翼云函数计算控制台查看和编辑应用环境的流水线。 查看流水线 每个应用的环境都会搭配一条流水线，用于构建代码并发布至函数计算。 您可以在函数计算控制台，点击左上角导航栏选择应用 ，进入应用列表。然后点击对应的应用以及环境，进入环境详情页面，通过点击流水线管理 页签，进入流水线管理页面。页面包含流水线配置 、流水线环境变量 、流水线执行历史等模块。 编辑流水线 编辑流水线 在应用环境详情页面流水线管理 页签，点击流水线配置 旁边的编辑链接，进入流水线配置页面。您可以配置： 流水线触发方式 流水线触发方式，支持分支Push触发、Tag创建触发、分支合并触发三种方式。 资源描述YAML Serverless Devs的资源描述文件，默认为s.yaml。 执行环境 流水线的运行环境。 编辑流水线环境变量 在应用环境详情页面流水线管理 页签，点击流水线环境变量 旁边的编辑链接，进入流水线环境变量配置页面。支持使用表单编辑和使用JSON格式编辑。