本文介绍如何购买客户端加密模块。 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，点击“立即开通”。 3. 进入到密钥管理服务订购页面，服务名称选择“客户端加密模块”，选择服务数量（单次最多可购买 1000 个License）。 4. 阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击 “立即购买”。 5. 进入“订单详情”页面，确认支付金额，点击“立即支付”。 6. 完成订单支付，可在“订单详情”页查看订单状态，状态更新为“已完成”后代表服务已开通。 7. 服务开通后，您可在官网帮助文档下载SDK安装包并配置使用。

欠费说明 欠费后天翼云数据库审计会自动停止，您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云数据库审计的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用天翼云数据库审计服务，请务必及时删除存储于数据库审计的数据。 续费说明 若是已购买资源包后欠费，请在15天内再次订购相应的资源包或保证帐号中的余额充足。 若是未购买资源包后欠费，请在15天内充值补足欠款并保证帐号中的余额充足。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本节主要介绍备份迁移 备份迁移场景最后一个备份文件选择错误该如何处理 备份迁移过程中，根据选择“最后一个备份文件”来判断是否为最后一次备份，对于人工操作中不可控的误选择，有以下两种情况及处理方法： 选择“是”，但原本期望为否，即仍然希望继续做增量备份迁移。但由于SQL Server本身的设计，数据库一旦收到还原已完成的信号，便会做一系列的内部工作并把数据库置为可用，已无法继续增量备份迁移。此时，只能删除备份数据库重新进行全量+增量的备份还原。 选择“否”，但原本期望为是，即不希望继续恢复增量备份迁移。其实SQL Server没有严格意义上的的最后一个备份文件，此时可以再做一个增量备份（即使没有数据改变也可以备份），在该次增量备份时选择“是”即可完成迁移，相关数据库将会变为可用。 手动配置信息 操作场景 目前从本地或虚拟机通过DRS备份迁移功能直接迁移到本云RDS for SQL Server实例上，在迁移完成后还需要针对Login账号，DBLink，AgentJOB，关键配置进行识别，并手动完成相关同步工作。 Login账号 Login账号即SQL Server的实例级账号，主要用于用户管理用户服务器权限与数据库权限。一个用户通常会有多个该类型账号，用户迁移到RDS for SQL Server实例后，需要手动将自己本地的Login账号同步在实例上进行创建，以下方法将介绍如何在本云RDS for SQL Server实例上创建同名，同密码的Login账号，并进行授权操作。 步骤 1 通过以下脚本获取本地实例Login账号创建脚本，获取到的脚本可以直接在目标端上执行，以创建同名，同密码的Login账号。 SELECT 'IF (SUSERID('+QUOTENAME(SP.name,'''')+') IS NULL) BEGIN CREATE LOGIN ' +QUOTENAME(SP.name)+ CASE WHEN SP.typedesc 'SQLLOGIN' THEN ' WITH PASSWORD ' +CONVERT(NVARCHAR(MAX),SL.passwordhash,1)+ ' HASHED,SID' +CONVERT(NVARCHAR(MAX),SP.SID,1)+',CHECKEXPIRATION ' CASE WHEN SL.isexpirationchecked 1 THEN 'ON' ELSE 'OFF' END +', CHECKPOLICY ' +CASE WHEN SL.ispolicychecked 1 THEN 'ON,' ELSE 'OFF,' END ELSE ' FROM WINDOWS WITH' END ' DEFAULTDATABASE[' +SP.defaultdatabasename+ '], DEFAULTLANGUAGE[' +SP.defaultlanguagename+ '] END;' as CreateLogin FROM sys.serverprincipals AS SP LEFT JOIN sys.sqllogins AS SL ON SP.principalid SL.principalid WHERE SP.type 'S' AND SP.name NOT LIKE '

本节介绍了设置安全组规则的相关内容。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本章主要介绍翼MapReduce的修改组件运行用户密码功能。 操作场景 建议管理员定期修改集群内组件运行用户的密码，以提升系统运维安全性。 组件运行用户，根据初始密码是否是系统随机生成，可分为两类： 密码随机生成的，用户类型为“机机”用户。 密码不是随机生成的，用户类型为“人机”用户。 对系统的影响 初始密码为系统随机生成的组件运行用户，在修改密码后需要重启集群，重启期间会造成业务暂时中断。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以客户端安装用户，登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，输入kadmin/admin用户密码后进入kadmin控制台。 kadmin p kadmin/admin 说明 kadmin/admin的默认密码为“Admin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 5.执行以下命令，修改系统内部组件运行用户密码。此操作对所有服务器生效。 cpw 系统内部用户名 例如：cpw oms/manager 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@ $%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。此策略只影响“人机”用户。 说明 执行如下命令，可以查看用户的信息。 getprinc 系统内部用户名 例如：getprinc oms/manager 6.确认修改密码的用户，用户类型是哪种？ 用户类型为“机机”用户，执行7。 用户类型为“人机”用户，密码修改完成，任务结束。 7.登录FusionInsight Manager。 8.选择“集群 > 待操作的集群名称 > 更多 > 重启”。 9.在弹出窗口中，输入当前登录的用户密码确认身份，单击“确定”。 10.在确认重启的对话框中，单击“确定”。 11.等待界面提示重启成功。

本章主要介绍翼MapReduce的恢复OMS数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对FusionInsight Manager系统进行重大数据调整等操作后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，需要对Manager进行恢复数据操作。 管理员可以通过FusionInsight Manager创建恢复Manager任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Manager数据。 对系统的影响 恢复过程中需要重启Controller，重启时FusionInsight Manager无法登录和操作。 恢复过程中需要重启所有集群，集群重启时无法访问。 Manager数据恢复后，会丢失从备份时刻到恢复时刻之间的数据，例如系统设置、用户信息、告警信息或审计信息。可能导致无法查询到数据，或者某个用户无法访问集群。 Manager数据恢复后，系统将强制各集群的LdapServer从OLadp同步一次数据。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查OMS资源状态是否正常，检查各集群的LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 停止依赖集群运行的上层业务应用。

函数计算：天翼云函数计算与DeepSeek大模型

函数计算：天翼云函数计算与DeepSeek大模型

函数计算：天翼云函数计算与DeepSeek大模型

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

下发扫描 1.下发扫描卡片中点击“立即扫描”进行配置，任务根据右侧开关生效扫描任务。 2.以下是下发扫描的字段说明。 字段值 备注 自动修复 自动修复勾选的漏洞类型，部分漏洞重启后生效。 仅上报，不修复 不会自动修复漏洞。 漏洞类型 选项：紧急漏洞、高中低危漏洞、其他漏洞共5个。 "需重启漏洞"修复完成后的动作 仅当自动修复的漏洞列表包含“重启后生效”属性的漏洞时，才会执行设定的动作，否则不会执行任何动作。 防护对象 管控或排除指定的用户/设备。 漏洞补丁库更新日期 在"漏洞补丁库更新日期"区域，能看到漏洞补丁库的更新日期。 累计终端漏洞修复进度 在 “累计终端漏洞修复进度” 区域，能看到不同风险等级（紧急、高危、中危、低危、其他）的漏洞修复情况统计。 注意 查询时间支持本月、近7天、近30天、近60天、近90天、近180天。

本页介绍什么是关系数据库MySQL版。 MySQL是全球流行的开源关系型数据库管理系统之一，具有良好的跨平台能力。天翼云关系数据库MySQL版（CTRDS MySQL）是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备和只读四种实例类型，并具备完善的安全防护措施和性能监控体系，提供了专业的数据库管理控制台，方便用户使用数据库。通过关系数据库MySQL版服务的管理控制台，用户可以方便快捷地执行所有必需任务，有效降低运营难度和运维成本，只需专注开发应用和业务发展。关系数据库MySQL版优势如下： 资源弹性调度：支持根据业务需求对实例资源进行弹性调度。用户可以根据需要进行升级或降级，以满足不同业务场景下的需求，提高资源的利用效率。 管理简单：通过简单易用的控制台和API，提供丰富的管理功能，包括备份和恢复、性能监控、访问控制等，为用户提供高效的管理体验。 高可扩展性：支持只读实例，从而将读请求分担到只读实例上，提高服务的可扩展性。 高可用性和容错性：支持主备架构，保证数据的备份和在主库故障情况下的无缝切换，提高服务的可用性和容错性。 安全可靠：提供全面的安全性支持，包括数据加密和网络隔离等，保障数据的安全可靠。 当前关系数据库MySQL版支持版本，请参见存储引擎和版本。

本文为您介绍安全体检的权限管理能力，支持通过IAM实现对安全体检的访问控制、权限分配。 安全体检通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制安全体检服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 安全体检IAM策略说明 天翼云为安全体检提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 安全体检管理者admin 安全体检管理员策略，拥有产品所有操作权限。 系统策略 全局级 安全体检查看者viewer 安全体检查看者策略，只具备查看权限。 系统策略 全局级

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本章节介绍如何基于消息队列RocketMQ实现全链路灰度 概述 本文介绍在使用消息队列（RocketMQ）这种异步场景下，可以在不修改业务代码的情况下，实现异步场景的灰度，从而实现全链路灰度。本文介绍基于消息队列RocketMQ实现全链路灰度。 背景介绍 在大多数业务场景中对于消息的灰度并没有RPC调用那么严格，但是当全链路灰度调用中涉及到消息消费时，如果消息消费没有按照全链路流量规则路由，则会导致通过消息产生的流量逃逸，从而破坏全链路规则，导致出现一些不符合预期的情况。 如下图所示，本文分别部署网关、appa、appagray、appb、appbgray、appc、appcgray以及RocketMQ，模拟一个真实的全链路灰度场景。 通过网关调用appa应用的接口，当满足路由规则后，灰度流量会被路由到appagray，appagray又会调用appbgray，随后由appbgray发送灰度消息，appcgray将会收到灰度消息，而appc不会收到灰度消息。 前提条件 1. 用户已开通微服务治理中心企业版。 2. 用户已开通云容器引擎。 3. 用户已部署RocketMQ，且RocketMQ版本在4.5.0以上，broker.conf中已配置enablePropertyFiltertrue。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎中安装微服务治理插件： 1. 登录“云容器引擎”控制台。 2. 在左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“插件”“插件市场”，选择“cubems”插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录“云容器引擎”控制台。 2. 左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“工作负载”“无状态”，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击“全量替换”，进入Deployment编辑页。 5. 在Deployment编辑页点击“显示高级设置”，新增“Pod标签”: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击“提交”，重新发布容器即可接入。 appa应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

本文简述如何退订资源包。 退订说明 用户可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。只要流量包用量未用尽或者有效期未到期，均可按照天翼云的退订规则完成退订操作。 退订步骤 1. 登录天翼云官网，单击右上角【我的】，进入【费用中心】。 2. 单击左侧导航栏中的【订单管理】，进入【退订管理】。 3. 勾选要退订的资源，单击【退订】，进入退订详情页面。 4. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息。确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。 5. 退订后资金退回账户余额，可以通过“余额提现”进行提现，提现操作详情请参见余额提现。更多退款说明，详情请参见退款说明。 说明 天翼云同时支持批量退订资源，详情请见如下操作步骤。 勾选要批量退订的资源，单击【批量退订】，进入退订详情页面。 再次确认已选资源，确认无误后，单击【退订】完成退订操作。

步骤4：创建在线迁移任务 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“数据迁移”。页面显示迁移任务列表页面。 步骤 4 单击右上角的“创建在线迁移任务”。进入创建在线迁移任务页面。 步骤 5 设置迁移任务名称和描述。 步骤 6 配置虚拟私有云及安全组。 创建在线迁移任务时，需要选择迁移虚拟机资源的VPC和安全组，并确保迁移资源能访问源Redis和目标Redis实例。 注意 创建迁移任务会占用一个租户侧IP，即控制台上迁移任务对应的“迁移机IP”。如果源端Redis或目标端Redis配置了白名单，需确保配置了迁移IP或关闭白名单限制。 迁移任务所选安全组的“出方向规则”需放通源端Redis和目标端Redis的IP和端口（安全组默认情况下为全部放通，则无需单独放通），以便迁移任务的虚拟机资源能访问源Redis和目标Redis。 步骤 7 单击“立即创建”。 步骤 8 单击“提交”，创建在线迁移任务成功。 结束 配置在线迁移任务 步骤 1 创建完在线迁移任务之后，在“在线迁移”的列表，单击“配置”，配置在线迁移的源Redis、目标Redis等信息。 步骤 2 选择迁移方法。 从其他云Redis到DCS Redis的数据迁移，支持全量迁移＋增量迁移，全量迁移及增量迁移的功能及限制如下表所示。 表 在线迁移方法说明 迁移类型 描述 全量迁移 该模式为Redis的一次性迁移，适用于可中断业务的迁移场景。全量迁移过程中，如果源Redis有数据更新，这部分更新数据不会被迁移到目标Redis。 全量迁移＋增量迁移 该模式为Redis的持续性迁移，适用于对业务中断敏感的迁移场景。增量迁移阶段通过解析日志等技术， 持续保持源Redis和目标端Redis的数据一致。增量迁移，迁移任务会在迁移开始后，一直保持迁移中状态，不会自动停止 。需要您在合适时间，在“操作”列单击“停止”，手动停止迁移。停止后，源端数据不会造成丢失，只是目标端不再写入数据。增量迁移在传输链路网络稳定情况下是秒级时延，具体的时延情况依赖于网络链路的传输质量。 步骤 3 当迁移方法选择“全量迁移+增量迁移”时，支持选择是否启用“带宽限制”。 启用带宽限制功能，当数据同步速度达到带宽限制时，将限制同步速度的继续增长。 步骤 4 选择是否“自动重连”。 如开启自动重连模式，迁移过程中在遇到网络等异常情况时，会无限自动重连。 步骤 5 分别配置源Redis和目标Redis。 1. Redis类型，支持“云服务Redis”和“自建Redis”，需要根据迁移场景选择数据来源。 − 云服务Redis：DCS Redis实例，需要选择与迁移任务处于相同VPC的DCS Redis服务。 − 自建Redis：其他云厂商、本地数据中心自行搭建的Redis，需要输入Redis的连接地址。 说明 当源Redis和目标Redis属于DCS不同Region，则打通网络后，目标Redis实例无论是自建Redis或DCS Redis实例，在“目标Redis实例”区域，只能选中自建Redis，输入实例相关信息。 2. 如果是密码访问模式实例，在输入连接实例密码后，您可以单击密码右侧的“测试连接”，检查实例密码是否正确、网络是否连通。如果是免密访问的实例，请直接单击“测试连接”。 步骤 6 单击“下一步”。 步骤 7 确认迁移信息，然后单击“提交”，开始创建迁移任务。 可返回迁移任务列表中，观察对应的迁移任务的状态，迁移成功后，任务状态显示“成功”。 说明 如果是增量迁移，迁移任务会在迁移开始后，一直保持迁移中状态，直到您在“操作”列单击“停止”，手动停止迁移。 数据迁移后，目标端与源端重复的Key会被覆盖。 结束

磁盘类型 标准资费（按月）元/GB/月 标准资费（按天）元/GB/天 标准资费（按年）元/GB/年 标准资费（按需）元/GB/小时 高IO（SAS） 0.4 0.013151 4.8 0.000900 超高IO（SSD） 1.2 0.039452 14.4 0.001700

磁盘类型 标准资费（按月）元/GB/月 标准资费（按天）元/GB/天 标准资费（按年）元/GB/年 标准资费（按需）元/GB/小时 高IO（SAS） 0.4 0.013151 4.8 0.000900 超高IO（SSD） 1.2 0.039452 14.4 0.001700

本文介绍标签管理的应用场景和使用说明。 标签通常用于标识云服务资源，基于标签，您可以实现对资源的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为资源绑定和删除标签，可以在控制台中通过标签筛选快速查找资源。 说明 目前仅部分地域支持标签管理功能，请参考产品能力地图。 应用场景 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、开发团队等）的标签，实现资源分类。 基于标签筛选功能，您还可以快速查找一组资源，进行批量管理。 例如： 在团队管理中，为资源添加团队标签（如department: R&D），标识所属开发部门，方便企业快速定位云资源所属部门。 在项目管理中，批量为业务1中所有文件系统实例绑定业务标签business:service1，并通过标签筛选，快速完成对业务1中文件系统实例的日常维护。 使用说明 每个资源最多可绑定50个标签。 每个资源下的标签键是唯一的，不可绑定相同标签键。 每个资源下的标签键对应的标签值唯一，如修改已有标签键对应的标签值，新标签值将会覆盖旧标签值。例如，将文件系统实例的business:service1的标签值service1，修改为service2，则新标签business: service2将覆盖旧标签business:service1。 标签键值命名规则： 字段 规则 标签键 不能为空 首字符不能为空格 长度不超过128个字符 标签值 不能为空 首字符不能为空格 长度不超过128个字符

本章节主要围绕以自行部署的网关应用为入口，介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consuerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在云原生网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

本章节介绍HSS授权项说明。 如果您需要对您所拥有的HSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用HSS服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

回源统计 回源统计支持客户按加速类型、标签、域名、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询回源带宽和回源流量的相关数据。 请求数 请求数支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询请求数，QPS和回源请求数。 命中率 命中率支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询流量命中率和请求命中率的数据。 状态码 状态码支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询状态码的分布情况以及各状态码的占比，以及单独查询2XX、4XX、5XX等的趋势图。占比支持通过占比表和饼图两种方式展示。 回源状态码 回源状态码支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询状态码的分布情况以及各状态码的占比，以及单独查询2XX、4XX、5XX等的趋势图。占比支持通过占比表和饼图两种方式展示。

名称 描述 是否必须 StartTime 指定返回管理事件的起始时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认起始时间为距当前时间往前数的第184天。 如果起始时间晚于结束时间，会报错。 如果起始时间是早于当前时间184天之前的时间，则返回数据的起始时间为距当前时间往前数的第184天。 否 EndTime 指定返回管理事件的结束时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认结束时间为目前时间。 如果StartTime和EndTime都为早于当前时间184天前的时间，则返回距当前时间往前数的第184天那天的数据。 否 LookupAttributes 指定管理事件的查询属性。 类型：数组 取值：Attributekey和AttributeValue成对出现。 否 AttributeKey 指定查询管理事件的属性Key。 注意 如果指定AttributeKey，每次只能指定一个AttributeKey，且取值唯一。 类型：字符串 取值： EventId。 EventName。 ReadOnly。 UserName。 ResourceType。 ResourceName。 EventSource。 AccessKeyId。 否 AttributeValue 指定AttributeKey对应的值。 类型：字符串 取值：根据AttributeKey确定。其中ResourceName根据前缀匹配查询，区分大小写；EventId、UserName、EventName、ResourceType、EventSource、AccessKeyId全字匹配查询，并且区分大小写。 否 MaxResults 设置响应中最多返回的条数。如果存在超出您指定的返回项，响应结果中会返回NextToken的值。 类型：整数类型 取值：150，默认值为50。 否 NextToken 分页标识。还有需要返回的管理事件时，上条响应结果中会返回该参数。查看未显示项时，请求参数中需要携带此参数。 类型：字符串 取值：与上条响应结果中的参数值一样。 否

产品规格 标准资费（元） 单位 基础服务安装部署 7000 实例 基础服务健康巡检 7000 实例 基础服务应急响应 9000 实例 基础服务性能调优 9000 实例 保驾护航高级专家 15000 天 保驾护航资深专家 20000 天

您的备案信息提交后，可登录天翼云代备案管理系统（ 天翼云审核时间： 备案初审：提交备案初审订单后，订单将会在1个工作日左右进行审核，具体以实际审核时间为准。 工信部短信核验时间： 您收到天翼云发出的备案信息提交管局通知后，会收到工信部发出的短信核验验证码，您需在收到核验短信的24小时内完成短信核验，核验成功后备案申请会进入管局审核。 管局审核时间： 管局审核时长一般不超过20个工作日，具体以管局实际审核时间为准。

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。

本文介绍天翼云云工作流的流程定义语言。 通过基础知识和相关使用示例， 可达到基本了解构建和管理业务流程的过程。 基本概述 流程（workflow）基本架构 状态（state）通用结构 transtion字段 stateDataFilter字段 相关文档 基本概述 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、暂停（Sleep状态）等控制逻辑，并能通过错误捕获（Catch策略）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如任务（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如选择（Switch）、并行（Parallel）和迭代（Foreach）。其作用列举如下： 操作（Operation） ：主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 传递（Noop） ：是一种特殊的Operation类型状态， 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。 失败（Fail）：是一种特殊的Operation类型状态。Fail状态会返回失败结果，可用于提前结束工作流执行并将执行结果置为失败。 暂停（Sleep）：用于暂停工作流执行， 可将工作流按照指定时长等待或者暂停至特定时间点后继续执行。 条件分支（Switch）：根据条件表达式选择执行路径，类似编程中的switchcase，灵活控制流程方向。 并行（Parallel）：并行执行多个分支，合并各分支结果，适用于需要同时处理多项任务的场景。 迭代（Foreach）：并行遍历输入数组，对每个元素执行处理器逻辑，类似foreach循环，高效处理批量数据。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。

五、 三种测评工具对比 1. 核心功能对比 vLLM Benchmark 专注于LLM推理引擎性能评测，支持OpenAI接口兼容的框架（如Qwen系列模型） 内置TTFT（首Token延迟）、TPOT（后续Token时延）、吞吐量等核心指标 支持长上下文压力测试（如LongAlpaca12k数据集） EvalScope 大模型多维度评估框架，覆盖性能测试（Perf）、效果评测（Accuracy）和合规性检测 提供标准化测试集（如MMLU、CMMLU）和自定义数据集扩展能力，支持多种测评场景 集成生产级压力测试功能，支持并发请求模拟与实时监控（通过Wandb可视化） LLMPerf 开源基准测试工具，专攻API级性能评估（延迟、吞吐量、请求成功率） 支持正确性验证（如数字格式转换准确性测试） 2. 性能指标侧重 工具 核心指标 测试场景差异 vLLM Benchmark 首Token延迟（TTFT）、Token吞吐量、显存占用率 重推理引擎的硬件资源利用率，常用于GPU云主机环境下的引擎选型 EvalScope 综合吞吐量、QPS、端到端延迟、多模态任务准确率 适配生产环境压力测试，支持API服务与本地模型的混合评测 LLMPerf Token间延迟、首Token延迟（TTFT）、请求吞吐量、错误率 强调高并发模拟能力（如10+并发请求），适合API服务的SLA验证 3.

本节介绍了：节点资源预留策略的用户指南。 云容器引擎需要占用一定的节点资源来运行相关组件（例如kubelet、kubeproxy、calico、Container Runtime等），从而使节点作为集群的一部分来运行。这会造成节点的资源总数与容器集群中可分配的资源数之间存在差异。本文介绍容器的节点资源预留策略、相关注意事项，以便在部署应用时合理设置Pod的请求资源量和限制资源量。 查询节点可分配资源 执行以下命令，查看节点的资源总量和可分配资源。 plaintext kubectl describe node [NODENAME] grep Allocatable B 7 A 6 预期输出： plaintext Capacity: cpu: 4 节点的CPU总核数。 ephemeralstorage: 123722704Ki 节点的临时存储总量，单位KiB。 hugepages1Gi: 0 hugepages2Mi: 0 memory: 7925980Ki 节点的内存总量，单位KiB。 pods: 64 Allocatable: cpu: 3900m 节点可分配的CPU核数。 ephemeralstorage: 114022843818 节点可分配的临时存储，单位KiB。 hugepages1Gi: 0 hugepages2Mi: 0 memory: 5824732Ki 节点可分配的内存，单位KiB。 pods: 64 计算节点可分配资源 可分配资源的计算公式：可分配资源（Allocatable） 总资源（Capacity）预留资源（Reserved）驱逐阈值（EvictionThreshold）

本文介绍如何绑定安全组。 功能说明 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 云容器引擎集群通过对接VNode来使用ECI时，ECI Pod默认采用所属VNode配置的安全组。如果有特殊需求，可以为某些ECI Pod指定其他安全组。 配置示例 可以通过设置 k8s.ctyun.cn/ecisecuritygroup 的Annotation来为ECI Pod指定安全组，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgshuhgxxx 指定安全组 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud