本节介绍如何创建并管理容器防篡改策略。 添加文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在新建策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），设置监控路径。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行查看、编辑、删除、开启、关闭。

本页介绍天翼云TeleDB数据库扩容实例、规格扩容和磁盘扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 操作步骤 1. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多 > 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 4. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 2. 按规格扩容实例机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容，即可完成机器规格扩容。 3. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 4. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务MQTT已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务RabbitMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目：将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本节主要介绍数据库引擎及操作系统更新 。 当前GeminiDB Redis服务数据库引擎及OS暂不支持租户侧维护窗口自助升级，如果需要升级，您可以联系客服，由工程师在给出升级分析评估后进行升级。 备注：通过热补丁方式及时修复对数据库引擎及操作系统影响重大的漏洞。

名称 描述 是否必须 WebsiteConfiguration 请求的容器。 类型：容器。 子节点：IndexDocument、ErrorDocument、RoutingRules或RedirectAllRequestsTo。 注意 IndexDocument和RedirectAllRequestsTo互斥。如果填写了RedirectAllRequestsTo，则IndexDocument、ErrorDocument、RoutingRules都不能填写。 是 IndexDocument Suffix元素的容器。 注意：如果未填写RedirectAllRequestsTo，则IndexDocument必填。 类型：容器。 父节点：WebsiteConfiguration。 子节点：Suffix。 否 Suffix 在请求website endpoint上的路径时，Suffix会被加在请求的后面。例如，如果suffix是Index.html，而你请求的是bucket/images/，那么返回的响应是名为images/index.html的Object。 类型：字符串。 父节点：IndexDocument。 是 ErrorDocument Key的容器。 类型：容器。 父节点：WebsiteConfiguration。 子节点：Key。 否 Key 如果出现4XX错误，会返回指定的Object。 类型：字符串。 有效值：长度为1~1024的字符串。 父节点：ErrorDocument。 是 RoutingRules 托管模式配置到当前Bucket的重定向规则容器。 注意 如果RoutingRules下有多个RoutingRule，各RoutingRule之间无影响，按照配置的先后顺序向下执行，当有一个满足条件时，就不再继续向后匹配。如果都没有匹配，就不使用重定向规则。 类型：容器。 父节点：WebsiteConfiguration。 子节点：RoutingRule。 否 RoutingRule 重定向规则的容器。一条重定向规则包含一个Condition和一个Redirect，当Condition匹配时，Redirect生效。容器中至少要有一个重定向规则。 注意 一个RoutingRule下，出现多个Condition和Redirect时，以最后一个为准。 类型：容器。 父节点：RoutingRules。 子节点：Condition、Redirect。 是 Condition 描述重定向规则匹配的条件的容器。如果重定向规则匹配的条件未配置，则重定向规则将应用于所有请求。 注意 该容器可以不配置，如果配置，则至少应该包含HttpErrorCodeReturnedEquals、KeyPrefixEquals中的一个。 类型：容器。 父节点：RoutingRule。 子节点：HttpErrorCodeReturnedEquals、KeyPrefixEquals。 否 HttpErrorCodeReturnedEquals 指定Redirect生效时的HTTP错误码。当发生错误时，如果错误码等于这个值，那么Redirect生效。 注意 ErrorCodeReturnedEquals和KeyPrefixEquals同时存在时，只有都匹配时，Redirect才生效。 类型：字符串。 有效值：[ 400, 417 ]，[ 500, 505]。 例如：当返回的http错误码为404时重定向到NotFound.html，可以将Condition中的HttpErrorCodeReturnedEquals设置为404，Redirect中的ReplaceKeyWith设置为NotFound.html。 父节点：Condition。 否 KeyPrefixEquals 重定向规则生效时的文件名的前缀。 注意 HttpErrorCodeReturnedEquals 和KeyPrefixEquals同时存在时，只有都匹配时，Redirect才生效。 类型：字符串。 取值：长度为01024的字符串。 父节点：Condition。 否 Redirect 重定信息容器。 注意 Redirect配置包含的元素可以为空，也可以包含以下元素:Protocol、HostName、ReplaceKeyPrefixWith、ReplaceKeyWith。当某一元素存在多条值时以最后一条为准。 类型：容器。 父节点：RoutingRule。 子节点：Protocol、HostName、ReplaceKeyPrefixWith、ReplaceKeyWith。 是 Protocol 重定向请求时使用的协议。 类型：字符串。 有效值：http、https，默认值为http。 父节点：Redirect或者RedirectAllRequestsTo。 否 HostName 重定向请求时使用的站点名。 如果父节点为RedirectAllRequestsTo，此项必须填写。 类型：字符串。 有效值：1~1024个字符，不能包含空格。父节点为Redirect，也不能包含斜杠(/)。 父节点：Redirect或者RedirectAllRequestsTo。 否 ReplaceKeyPrefixWith 重定向请求时使用的文件名前缀。 注意 ReplaceKeyPrefixWith与ReplaceKeyWith不能同时存在。 类型：字符串。 有效值：0~1024个字符。 父节点：Redirect。 否 ReplaceKeyWith 指定重定向请求时使用的文件名。 注意 ReplaceKeyPrefixWith与ReplaceKeyWith不能同时存在。 类型：字符串。 有效值：0~1024个字符。 父节点：Redirect。 否 RedirectAllRequestsTo 托管模式为重定向请求的容器。 注意 如果未填写IndexDocument，则RedirectAllRequestsTo必填。如果填写了RedirectAllRequestsTo，则IndexDocument、ErrorDocument、RoutingRules都不能填写。 父节点：WebsiteConfiguration。 子节点：HostName、Protocol。 否

本章节主要介绍翼MR Manager的指标查询特性。 进入到翼MR Manager以后，点击菜单“监控与告警 > 指标查询”，进入指标查询页面。如图所示： 页面上方为查询区域，各种查询条件进行组合查询。 支持查询角色实例级、主机级的监控指标。 支持指标结果的绘图操作，让用户更直观获取监控项变化。

本节介绍翼甲控制台的日志分析操作介绍。 日志配置 日志配置界面可查看当前日志存储的使用量，并提供日志容量扩容入口及支持日志保存时长的。 启用IP溯源功能：开启IP溯源后，翼甲卫士将会记录云桌面访问外网的网络日志。 日志审计 日志审计功能支持用户按照不同维度查看日志信息，可按照具体业务需求对日志条目进行筛选查看。

方式二：IAM控制台创建自定义策略 您也可以直接在IAM 控制台创建自定义策略。 1. 使用天翼云账号登入IAM控制台[]( 2. 在左侧导航栏，选择策略管理 创建自定义策略。 3. 输入策略名称和策略描述（可选），点击下一步。 4. 设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限）。 云服务 ：搜索关键字容器镜像服务。 操作：根据需求勾选需要配置的操作（即权限）。 资源 ：具体见CRS资源权限管控。 条件 ：该配置参考IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看 ，进入用户界面，选择权限管理 标签页，选择个人权限 的新增权限。 4. 搜索框 输入自定义权限策略名称，勾选创建的自定义权限策略。 5. 点击下一步，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击确定，即可完成为子账户授权。

本文为您介绍Serverless集群的域名DNS解析异常常见问题。 域名解析失败，如何定位处理？ 问题现象：域名解析失败。 可能原因：域名解析失败可能有如下4种情况：Serverless集群内是否已经安装了coreDNS插件、coreDNS服务是否正常、集群使用的安全组是否已经放开udp规则、pod容器到coreDNS网络是否连通。 解决方法： 1. 判断当前的异常原因。 2. 检查业务Pod的DNS配置，是否已经接入CoreDNS。 3. 检查CoreDNS Pod运行状态进行诊断。 4. 检查CoreDNS运行日志进行诊断。 5. 检查pod是否能访问CoreDNS。 6. 检查安全组是否已经放开UDP协议的53端口。 CoreDNS插件已安装但是在pod内部无法解析 kubernetes等service域名 问题现象：在容器内部是可以ping通coredns pod的ip，查看容器内部的/etc/resolv.conf也是正常的，但是nslookup kubernetes就是不能解析出ip。 可能原因：在nslookup kubernetes的时候，容器先通过/etc/resolv.conf中的nameserver写的coredns的serviceIP找到dns服务器，再通过dns服务器解析内部service域名。首先得确保coredns的service正常工作，使用curl 10.96.0.10:9153测试coredns的service明显不通。 解决方法：需要排查kubeproxy是否正常。 安装CoreDNS插件后并没有修改容器内部的/etc/resolv.conf 问题现象：查看随便一个pod，进入容器内部查看cat /etc/resolv.conf，发现并没有被coredns修改。 可能原因：可能是CoreDNS工作不正常。检查coredns pod是否有事件报错健康检查失败。 解决方法：检查coredns日志是否正常，重启coreDNS。

本文介绍使用Rediscli迁移自建Redis(AOF文件) 迁移介绍 Rediscli 是 Redis 自带的命令行客户端工具，它允许用户通过命令行与 Redis 服务器进行交互。 在本章节中，我们将重点介绍如何使用 Rediscli 工具以 AOF 文件的方式，将自建的 Redis 数据迁移到 DCS 缓存实例。 说明 进行迁移操作前，建议暂停相关业务，以避免数据丢失或不完整。 建议业务空闲时间进行迁移操作。 步骤1：生成AOF文件 使用以下命令来开启缓存持久化并生成 AOF 持久化文件： ./rediscli h {redisaddress} p {redisport} a {password} config set appendonly yes 如果 AOF 文件的大小不再变化，说明AOF文件为全量缓存数据。 说明 使用 Rediscli 工具登录 Redis 实例，输入命令“config get dir”可以查找生成的AOF文件保存路径。 如果没有进行特殊指定，该文件的文件名默认为 appendonly.aof。 如果需要关闭同步，可以使用 Rediscli 工具登录 Redis 实例，并输入命令 “config set appendonly no” 来关闭同步。 步骤2：上传AOF文件至天翼云ECS 为节省传输时间，请先压缩AOF文件再传输。 将压缩文件（如以SFTP/SCP等方式）上传到天翼云ECS。 说明 ECS需保证有足够的磁盘空间，供数据文件存储，同时需要与缓存实例网络互通，通常要求相同VPC和相同子网，且安全组规则不限制访问端口。 步骤3：导入数据 ./rediscli h {redisaddress} p {redisport} a {password} pipe < appendonly.aof 步骤4：迁移后验证 数据导入成功后，连接DCS缓存实例，通过dbsize命令，确认数据是否导入成功 如果导入不成功，需要分析原因，修正导入语句，然后使用flushall或者flushdb命令清理实例中的缓存数据，并重新导入。

如何将一个帐号的云主机迁移至另一个帐号的其他区域？ 云迁移服务（CTCMS，Cloud Migration Service）是天翼云自主研发的一种P2V/V2V迁移平台，您可以使用云迁移将物理服务器、私有云、公有云平台上的单台或多台源主机迁移到天翼云。 如何备份云主机当前状态，方便以后系统故障时进行恢复？ 您根据您的需求和具体情况选择使用系统盘镜像、系统盘快照，或两者结合使用： 1. 制作系统盘镜像： 将云主机的系统盘制作成镜像，这可以包含操作系统、应用程序和设置。当云主机遇到故障或需要进行恢复时，您可以使用这个系统盘镜像创建一个新的云主机，使其恢复到镜像创建时的状态。 2. 创建系统盘快照： 对云主机的系统盘进行快照操作，这将记录系统盘在特定时刻的状态。如果云主机发生故障，您可以回滚到这个快照的状态，恢复云主机到快照创建时的状态。 两种方法都提供了备份和恢复的手段，但请注意以下几点： 1. 镜像通常更适用于全新的实例，而快照则更适用于已有实例的状态备份。 2. 制作系统盘镜像可能需要一些时间，因为它包含了整个操作系统和应用程序。但在恢复时，您可以获得一个全新的、与之前相同配置的实例。 3. 创建系统盘快照是一种更快速的备份方式，但它通常会记录一个特定时间点的状态，因此并不是适用于持续更新的备份需求。 4. 无论使用镜像还是快照，您应该定期测试备份的可用性，以确保在实际需要时能够成功恢复。

边缘安全加速平台—安全与加速服务的计费项有哪些？ 边缘安全加速平台安全与加速计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 如何申请免费试用边缘安全加速平台？ 边缘安全加速平台暂时不支持官网自助开通试用，如果您需要开通试用，请通过提交工单给天翼云客服，天翼云技术支持将会为您开通。 如何关闭边缘安全加速平台安全与加速服务或停止计费？ 开通边缘安全加速平台安全与加速服务后，只要不添加域名，就不会产生计费。 如果您已经添加了域名，您可以登录边缘安全加速控制台，进入接入管理域名接入域名管理页面，可参考以下方式停止计费： 停用域名：对域名进行停用操作后，天翼云接入层CNAME将立刻解析至不可访问地址。请参见停用域名。 删除域名：删除按钮只能在域名状态为“已停止”时可见，请参见删除域名。

本章节介绍Nacos的风险管理 概述 Nacos引擎系统支持风险管理功能，可在通过控制台风险管理页面点击一键风险检查按钮来触发，评估当前Nacos引擎的风险。检查结果信息主要包括Nacos引擎的规格、配置、服务、白名单等相关的风险情况，以及针对风险情况提出建议和处理方案，并将结果、评分、建议记录下来供查询。 前提条件 已创建Nacos引擎实例。具体操作请参见章节：创建Nacos实例。 健康度检查 1. 登录微服务引擎MSE注册配置中心管理控制台，并在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表 。 3. 在实例列表页面，单击目标实例名称或者实例ID，进入基础信息页面。 4. 在左侧导航栏，单击风险管理进入风险管理页面。在集群健康度区域，单击一键健康度检查进入异步扫描。点击检查后会提示提交检查操作成功。 5. 检查结果预计需要5~10分钟返回。检查结果显示在集群健康度页面下方区域。左侧为检查到的风险项和对应的建议。右侧为检查历史记录。

本文介绍如何查看节点扫描结果。 扫描完成后，在节点列表中可以查看扫描结果。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 节点状态列表上方，支持按照“节点名称”、“节点状态”、“防护状态”、“软件版本”、“软件名称”等进行筛选查询。系统默认筛选出节点类型为防御容器的节点。 节点列表参数说明如下： 参数 说明 节点名称 节点的名称。 IPv4地址 节点的IPv4地址。 IPv6地址 节点的IPv6地址。 集群 节点所属集群的名称。 系统类型 节点的操作系统类型。 节点状态 指节点上防御容器的在线状态，分为已连接、未连接和已暂停三种状态。 节点类型 节点类型根据节点上运行的容器分为防御容器和扫描容器。 扫描状态 扫描状态分为待扫描、扫描中、已扫描、扫描失败这几种状态。 心跳时间 最近一次检查节点在线状态的时间。

集群规格 集群模式 最大纳管规模 双机集群 双主 2000虚机/3000容器 4机集群 2接入+2数据 10000虚机/15000容器 6机集群 2接入+4数据 20000虚机/25000容器 8机集群 2接入+2管理+4数据 30000虚机/40000容器

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） cpuutil CPU使用率 该指标用于统计测量对象的CPU利用率。 单位：百分比 采集方式：100%减去空闲CPU占比 0～100 % 值类型：Float 独享引擎实例 1分钟 memutil 内存使用率 该指标用于统计测量对象的内存利用率。 单位：百分比 采集方式：100%减去空闲内存占比 0～100 % 值类型：Float 独享引擎实例 1分钟 diskutil 磁盘使用率 该指标用于统计测量对象的磁盘利用率。 单位：百分比 采集方式：100%减去空闲磁盘占比 0～100 % 值类型：Float 独享引擎实例 1分钟 diskavailsize 磁盘可用空间 该指标用于统计测量对象的磁盘可用空间。 单位：byte、KB、MB、GB、TB、PB 采集方式：空闲磁盘空间大小 ≥0 byte 值类型：Float 独享引擎实例 1分钟 diskreadbytesrate 磁盘读速率 该指标用于统计测量对象每秒从磁盘读取的字节数。 单位：byte/s、KB/s、MB/s、GB/s 采集方式：每秒从磁盘读取的字节数 ≥0 byte/s 值类型：Float 独享引擎实例 1分钟 diskwritebytesrate 磁盘写速率 该指标用于统计测量对象每秒写入磁盘的字节数。 单位：byte/s、KB/s、MB/s、GB/s 采集方式：每秒写入磁盘的字节数 ≥0 byte/s 值类型：Float 独享引擎实例 1分钟 diskreadrequestsrate 磁盘读操作速率 该指标用于统计测量对象每秒从磁盘读取的请求数。 单位：请求/秒 采集方式：每秒磁盘处理的读取请求数 ≥0 request/s 值类型：Float 独享引擎实例 1分钟 diskwriterequestsrate 磁盘写操作速率 该指标用于统计测量对象每秒写入数据到磁盘的请求次数。 单位：请求/秒 采集方式：每秒磁盘处理的写入请求数 ≥0 request/s 值类型：Float 独享引擎实例 1分钟 networkincomingbytesrate 网络流入速率 该指标用于统计测量对象每秒流入测量对象的网络流量。 单位：byte/s、KB/s、MB/s、GB/s 采集方式：每秒从网络适配器输入的流量 ≥0 byte/s 值类型：Float 独享引擎实例 1分钟 networkoutgoingbytesrate 网络流出速率 该指标用于统计测量对象每秒流出测量对象的网络流量。 单位：byte/s、KB/s、MB/s、GB/s 采集方式：每秒从网络适配器输出的流量 ≥0 byte/s 值类型：Float 独享引擎实例 1分钟 networkincomingpacketsrate 网络流入包速率 该指标用于统计测量对象每秒流入测量对象的数据包数量。 单位：packet/s 采集方式：每秒从网络适配器流入的数据包数 ≥0 packet/s 值类型：Int 独享引擎实例 1分钟 networkoutgoingpacketsrate 网络流出包速率 该指标用于统计测量对象每秒流出测量对象的数据包数量。 单位：packet/s 采集方式：每秒从网络适配器流出的数据包数 ≥0 packet/s 值类型：Int 独享引擎实例 1分钟 concurrentconnections 并发连接数 该指标用于统计测量对象当前处理的并发连接数量。 单位：count 采集方式：系统当前的并发连接数量 ≥0 count 值类型：Int 独享引擎实例 1分钟 activeconnections 活跃连接数 该指标用于统计测量对象当前打开的连接数量。 单位：count 采集方式：系统当前的活跃连接数量 ≥0 count 值类型：Int 独享引擎实例 1分钟 latestpolicysynctime 最近一次策略同步的耗时 该指标用于统计测量对象最近一次同步WAF策略的耗时。 单位：ms 采集方式：最近一次同步WAF策略的耗时 ≥0 ms 值类型：Int 独享引擎实例 1分钟

本章介绍天翼云关系型数据库的使用约束和限制情况。 Microsoft SQL Server引擎的关系型数据库服务仅提供附带许可实例，即实例创建后具有微软SQL Server软件对应版本许可授权，不提供用户自带许可。 为保障用户在使用上的安全性，Microsoft SQL Server的部分功能存在限制，详见下表。 Microsoft SQL Server实例分为三个实例类型，即单机实例、主备实例和集群版实例。不同系列支持的功能不同。 功能和约束与限制 功能 单机实例 主备实例/集群版实例 数据库数量 100 100 数据库帐号数量 无限制 无限制 邮件功能 不支持 不支持 数据集成功能（SSIS） 不支持 不支持 数据分析功能（SSAS） 不支持 不支持 数据报表功能（SSRS） 不支持 不支持 R语言服务 不支持 不支持 公共语言运行时集成（CLR） 不支持 不支持 异步消息通讯 不支持 不支持 复制订阅功能 不支持 不支持 策略管理 不支持 不支持

本节介绍了容器镜像服务的使用企业版实例推送和拉取镜像。 前提条件 已开通企业版实例 已安装Docker或者其它容器运行时客户端 获取登录实例命令 1、进入容器镜像服务控制台 。 2、点击已开通的实例名称，左侧导航栏点击【实例管理 >访问凭证】，进入访问凭证页面。页面中可查看登录实例的命令。 3、登录用户名、密码是开通企业版实例时所填写的用户名、密码。如果忘记密码，可以点击页面中重置密码按钮来设置新密码。 创建命名空间 1、进入容器镜像服务控制台 。 2、点击已开通实例名称。左侧导航栏点击【容器镜像>命名空间】。点击页面的创建命名空间按钮。 3、填写命名空间名称，点击创建 。 创建镜像仓库 1、进入容器镜像服务控制台。 2、点击已开通实例名称，左侧导航栏点击【容器镜像>镜像仓库】 ，点击创建仓库按钮。 3、选择镜像仓库所属的命名空间，填写镜像仓库的名称，点击创建。 注意 仓库类型设置为公开，会使镜像能够被匿名拉取，请谨慎设置。

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。

参数 参数说明 方向 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载（即当前案例中的workload1）”。 协议 请选择对应的协议类型，目前支持TCP和UDP协议，不支持ICMP协议。 目的容器端口 容器镜像中应用程序实际监听端口，需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口，默认所有端口都可被访问。 远端 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 命名空间： 若选择某个命名空间，则该命名空间下的所有工作负载都会加入白名单，即都可访问 workload1 。 工作负载： 若选择某个工作负载，即该工作负载可以访问 workload1 。仅支持选择与 workload1 同个命名空间下的“其它工作负载”。

想用天翼AI云电脑（政企版）打游戏可以吗，可以做图形渲染吗？ GPU天翼AI云电脑（政企版）具有图形加速能力，支持更多3D渲染，图像加速软件使用场景，满足企业图形设计、图形渲染、3D制作、游戏等需求，为天翼AI云电脑（政企版）提供更多的使用场景。 天翼AI云电脑是否支持本地磁盘映射？ 支持，如需本地磁盘映射到天翼AI云电脑（政企版），请联系管理员在控制台中开启“文件重定向”策略。2.0版本支持Windows客户端、MAC客户端、Ubuntu瘦终端、安卓瘦终端、安卓移动端的终端系统盘重定向到天翼AI云电脑（政企版），iOS移动端暂不支持。 文件重定向功能与Windows系统的“Server”服务冲突，如需使用文件重定向功能，请确保在天翼AI云电脑（政企版）中已关闭“Server”服务并重启天翼AI云电脑（政企版）（天翼AI云电脑（政企版）开通时，此服务缺省为关闭状态）。关闭Windows“server服务”会影响您向其他天翼AI云电脑（政企版）提供共享文件、共享打印机、AD域控等功能。 如果开启server服务，文件重定向功能将不能使用。Windows系统中的服务管理及“Server”服务：

本文介绍如何在天翼云函数计算控制台查看和编辑应用环境的流水线。 查看流水线 每个应用的环境都会搭配一条流水线，用于构建代码并发布至函数计算。 您可以在函数计算控制台，点击左上角导航栏选择应用 ，进入应用列表。然后点击对应的应用以及环境，进入环境详情页面，通过点击流水线管理 页签，进入流水线管理页面。页面包含流水线配置 、流水线环境变量 、流水线执行历史等模块。 编辑流水线 编辑流水线 在应用环境详情页面流水线管理 页签，点击流水线配置 旁边的编辑链接，进入流水线配置页面。您可以配置： 流水线触发方式 流水线触发方式，支持分支Push触发、Tag创建触发、分支合并触发三种方式。 资源描述YAML Serverless Devs的资源描述文件，默认为s.yaml。 执行环境 流水线的运行环境。 编辑流水线环境变量 在应用环境详情页面流水线管理 页签，点击流水线环境变量 旁边的编辑链接，进入流水线环境变量配置页面。支持使用表单编辑和使用JSON格式编辑。

本文介绍如何修改ECI实例镜像保持私有IP不变。 在应用迭代过程中，因为增加功能特性以及BUG修复而制作新的镜像后，您可能需要修改镜像，同时为了不影响业务，需要保持ECI实例的IP不变。本文介绍如何修改ECI实例的容器镜像，同时保持实例IP不变。 前提条件 已准备好要更新的镜像，并已经将镜像上传到对应的镜像仓库中。 操作步骤 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。此时ECI实例的IP为192.168.0.37，查看容器镜像为nginx:latest。 2. 找到想要更新的实例，选择该实例右侧的“编辑”。 3. 进入该实例的更新页面，您就可以更新到新的镜像。参考如下图： 4. 实例更新成功后，即使用新的镜像启动容器完成，同时ECI实例的IP不会有变化。参考如下图：

本节主要介绍配置容器服务日志采集路径 AOM支持容器服务日志采集，并展现在AOM界面中，以供您检索。使用该功能前首先要配置日志采集路径，配置方法详见如下操作。 注意事项 ICAgent只采集.log、 .trace和 .out类型的文本日志文件。 AOM默认会采集容器标准输出日志，您不用做任何配置。 配置步骤 在CCE中添加日志策略 步骤 1 在CCE中创建工作负载时，添加容器后，展开“容器日志”页签。 步骤 2 单击“添加日志策略”，设置自定义日志参数，配置日志策略，以nginx为例，不同工作负载根据实际情况配置。 步骤 3 存储类型有“主机路径”和“容器路径”两种类型可供选择： 主机路径：可将主机上的路径挂载到指定的容器路径。日志策略配置参数如下： 添加日志策略主机路径 参数 说明 :: 存储类型 设置为“主机路径”。将主机上的路径挂载到指定的容器路径 添加容器挂载 主机路径 容器内日志文件所在路径挂载到主机上的位置，如： /var/paas/sys/log/nginx 挂载路径 输入数据逻辑卷挂载到容器上的路径，如： /tmp 须知 – 请不要挂载在系统目录下，如“/ ”、“ /var/run ” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 – 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 – AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 – AOM只采集挂载路径下的“ .log”、“ .trace”、“ .out”文本日志文件。 主机扩展路径 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 – None：不配置拓展路径。 – PodUID： Pod的ID。 – PodName： Pod的名称。 – PodUID/ContainerName： Pod的ID/容器名称。 – PodName/ContainerName： Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： – 不设置则默认采集当前路径下.log .trace .out文件。 – 设置 表示递归采集5层目录下的.log .trace .out文件。 – 设置表示模糊匹配。 例子： 采集路径为/tmp/ /test.log 表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 – 设置： AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 – 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明 – AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 – 当前主流的日志组件例如Log4j、 Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 – 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 日志仅输出到容器路径，无需挂载主机路径。日志策略配置参数如下： 说明 此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加日志策略容器路径 参数 说明 :: 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据逻辑卷挂载到容器上的路径，如： /tmp 须知 – 请不要挂载在系统目录下，如“/ ”、“ /var/run ” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 – 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 – AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 – AOM只采集挂载路径下的“ .log”、“ .trace”、“ .out”文本日志文件。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： – 不设置则默认采集当前路径下.log .trace .out文件。 – 设置 表示递归采集5层目录下的.log .trace .out文件。 – 设置表示模糊匹配。 例子： 采集路径为/tmp/ /test.log 表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 – 设置： AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 – 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明 – AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 – 当前主流的日志组件例如Log4j、 Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 – 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。

本节介绍翼甲卫士的产品简介。 翼甲卫士是一款针对天翼AI云电脑平台的自研防火墙。提供开箱即用、功能丰富的安全防护服务，具备入侵防御 、病毒过滤、上网行为管理以及VPN等丰富功能。 开箱即用 即开即用、多种防御，一键式快速构建网络安全防护体系。 行为审计 支持对用户AI云电脑上网行为进行监测，并实时生成审计数据。 VPN隧道 支持 IPSec VPN 搭建云网互联企业内网，低成本拉通安全隧道；支持 IPSec VPN 实现AI云电脑和企业内部服务安全互访。

本文介绍如何为Pod配置时区。 本文将介绍如何为 ECI Pod 配置不同的时区，确保您的应用程序、日志和时间戳记录遵循正确的时间和日期。 操作步骤 为Kubernetes Pod设置时区的最简单方法是在Pod中添加一个Volume，然后将该Volume挂载到Pod中的某个目录。该目录可以包含代表时区的一个或多个文件。这种方法的优点是可以在Pod内的多个容器中重用时区设置，而无需在每个容器中都复制一遍。 您想要创建一个configmap，并导入所需的时区信息。为了指定时区，需要进行相应的配置，请选择/usr/share/zoneinfo/Asia/目录下的配置文件进行导入。以下是一个示例： 1.创建应用的YAML配置文件timezone.yaml，内容示例如下： apiVersion: v1 kind: Pod metadata: name: timezonepodinitcontainer spec: initContainers: name: timezonesetup image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine" command: ["/bin/sh", "c"] args: cp /usr/share/zoneinfo/Asia/Shanghai /timezone/localtime volumeMounts: name: timezoneconfig mountPath: /timezone containers: name: maincontainer image: busybox command: "tail" "f" "/dev/null" volumeMounts: name: timezoneconfig mountPath: /etc/localtime subPath: localtime volumes: name: timezoneconfig emptyDir: {} 2.通过该配置文件部署busybox应用。 kubectl apply f timezone.yaml 预期返回： NAME READY STATUSRESTARTS AGE timezone 1/1 Running0 1m30s 3.进入指定容器。 通过弹性容器实例ECI控制台，选择指定的容器组，点击“远程连接”连接容器。 4.在容器中运行date R命令，显示当前的日期和时间。如果返回的时间与您设置的时区信息相符，则表示设置成功。以下是设置成功后的示例返回结果： /

本文介绍如何设置容器环境变量。 当用户创建ECI Pod时，支持用户自定义容器的环境变量，通过容器的env字段指定环境变量，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 env: name: ENVTEST value: "test" nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本节介绍了RabbitMQ元数据迁移的实践。 RabbitMQ元数据迁移指将用户线下实例的rabbitmq实例元数据迁移到线上实例。 背景信息 RabbitMQ集群元数据是指RabbitMQ集群的信息，包括User、Vhost、Queue、Exchange、Binding Key、Permission、Parameter等信息。RabbitMQ集群元数据存储于RabbitMQ集群的内部数据库，在集群的各个节点之间自动复制。集群中的每个节点都有自己的元数据副本。当某个节点的元数据变更时，所有节点的元数据都会同步更新。因此，集群的各个节点的元数据被导出时都是相同的。RabbitMQ集群元数据可以被导出成一份JSON文件，然后被导入另一个RabbitMQ集群，实现RabbitMQ集群元数据备份。 迁移元数据上云是指将开源RabbitMQ集群的元数据迁移到天翼云分布式消息服务RabbitMQ实例。分布式消息服务RabbitMQ是天翼云提供的全托管消息队列服务，兼容开源RabbitMQ。您可以将RabbitMQ集群元数据导出，然后导入分布式消息服务RabbitMQ实例，分布式消息服务RabbitMQ会根据成功导入的元数据在目标分布式消息服务RabbitMQ实例中创建对应的Vhost、Queue、Exchange、Binding，实现RabbitMQ集群元数据迁移上云。您可以将全部Vhost信息导入分布式消息服务RabbitMQ实例，也可以根据需要将某个Vhost信息导入分布式消息服务RabbitMQ实例中的Vhost。 迁移元数据 （1）在RabbitMQ WebUI页面查看，如图所示。 Overview视图中，点击“Download broker definitions”按钮下载集群元数据。得到rabbitmq元数据的json文件。 （2）上线rabbitmq实例导入元数据。 如上图所示，先点击选择文件，选择上一步骤导出的json文件，再点击导入配置。 注意：在线下的Rabbitmq集群中不能含有用户名rabbitmq，否则会被覆盖。用户名rabbitmq是天翼云Rabbitmq内部使用的管理账号。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,不同资源池情况下,通过公网网络接入的方法。 不同资源池由于分处不同的地域，网络不互通且无法通过VPC对等连接等进行网络互通，目前支持基于公网IP通过公网网络的方式进行网络打通。 以下分别介绍网络通信方式，DTS实例的配置流程和数据库实例绑定公网IP与网络安全策略的配置流程。 网络通信方式 网络通信方式，如下图： DTS实例的配置流程 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 订购DTS实例 在管理控制台点击“创建实例”进入订购页面，根据业务情况选择对应参数配置，在“网络配置”>"直接指定VPC"时，用户可选择“使用IPv4地址连接”或“使用IPv6地址连接”，下单成功后，在管理控制台点击“数据迁移”或“数据同步”进入实例列表页面，看到新增的“待配置”任务。 3. 为DTS实例开启公网接入能力 （1）选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“数据库来源”选择“公网IP”时，【打通网络配置】中可看到“连接方式”，使用“IPv4地址”打通公网时，可以点击“绑定弹性IP”按钮，在“绑定弹性IP”弹框中选择IP地址为DTS实例绑定公网EIP，具体操作如下： （2）订购页选择IPv6地址创建DTS实例后，进入对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，【打通网络配置】中可看到“连接方式”，使用“IPv6地址”打通公网时，可以点击“绑定带宽”按钮，在“绑定IPv6带宽”弹框中选择带宽为DTS实例地址绑定的IPv6带宽，具体操作如下：

名称 描述 是否必须 CompleteMultipartUpload 请求的容器。 类型：容器。 子节点：1个或多个Part元素。 是 Part 一个片段的容器。 类型：容器。 父节点：CompleteMultipartUpload。 子节点：PartNumber、Etag。 是 PartNumber 标识片段的分片号。 类型：Integer。 父节点：Part。 是 ETag 片段上传完成时返回的Etag内容。 类型：字符串。 父节点：Part。 是

存储挂载 1. 可将科研文件目录挂载至 Docker 容器，实现开发机与容器双向读写。例如docker run v /home/datasetassist0/:/data 镜像名称 端口暴露 1. 您可使用docker run p 开发机端口:容器端口，将容器端口暴露到开发机上，方便多个容器、开发机间网络通信。 2. 您可使用docker run p 8000:容器端口并开启开发机的对外端口功能，将容器中的服务暴露到互联网上定向访问。 Tips 1. 启用docker后开发机将自动提供docker和dockercompose命令，无需手动安装docker。 2. Docker数据存储在本地盘中，若创建本地盘时开启本地盘持久化，开发机重启docker数据不会丢失，可直接docker start原有容器。 3. 若需使用dockercompose，建议将项目（dockercompose.yml所在目录）存放在科研文件中，否则dockercompose up时容器无法读取项目中指定路径的文件。 常见问题 1. 提示Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 您使用sudo或root用户执行docker会缺失环境变量，可使用默认用户batchcom的bash执行docker命令即可正常使用。 您也可以手动配置环境变量修复，可在正常使用的环境下执行printenv grep i DOCKER，查看所要配置的环境变量。 2. 启动容器后输入nvidiasmi提示无命令 （1）确保启动开发机时有将GPU卡分配给docker。 （2）请先确认docker run时是否配置了—gpus参数，例如 gpus '"device'"$DOCKERNVIDIAVISIBLEDEVICES"'"' 或 –gpus all （3）若您的可用区是南京或中卫 ，可尝试将启动命令改为docker run runtimenvidia e "NVIDIAVISIBLEDEVICES${DockerGPUIDX}" 镜像名称 3. 提示Error response from daemon: authorization denied by plugin ehub.ctcdn.cn/bcops/opadockerauthzv2:0.1: request rejected by administrative policy 原因：由于安全管控，非白名单操作无法执行。若为启动容器时提示，请调整启动参数，去除需要系统高级权限相关的参数。