本文介绍如何禁止恶意ip访问。 背景说明 域名配置全站加速之后，希望可以对恶意访问的IP进行屏蔽，禁止这些IP访问资源。 操作步骤 1. 登录客户控制台。 2. 在【域名列表】页面，点击编辑目标域名。 3. 单击【访问控制】。 4. 打开【IP黑白名单】开关，默认为关闭。 5. 【类型】选择“黑名单”，填写需要封禁的IP。 注意 黑名单与白名单只能选择一个，如果选择白名单，则非白名单内的IP都会被封禁；如果选择黑名单，在非黑名单内的IP都会被放行。 7. 配置完成后，单击【提交保存】，等待配置生效即可。

本章节主要向您介绍什么是IP地址组。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址，您可以将其添加到一个IP地址组内。IP地址组无法独立使用，需要将IP地址组关联至对应的资源，可关联IP地址组的资源说明如下表所示。 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，安全组sgA的的入方向规则的源地址使用IP地址组ipGroupA。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，网络ACLfwA的入方向规则的源地址使用IP地址组ipGroupA。 IP地址组应用示例 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 IP地址组的使用限制 对于关联IP地址组的安全组，其中IP地址组相关的规则对某些类型的云主机不生效，不支持的规则如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） GPU加速型（G1型、G2型） 在网络ACL的规则中使用IP地址组时，有以下限制： 对于入方向规则，源地址和目的地址只能有一方使用IP地址组。 对于出方向规则，源地址和目的地址只能有一方使用IP地址组。比如网络ACL入方向规则中的源地址已使用IP地址组，则目的地址只能是IP地址，无法选择IP地址组。

本文介绍了：云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本文介绍访问CDN加速内容返回304状态码的原因及解决方案。 问题现象 域名使用CDN加速后，针对部分请求资源CDN节点会返回304状态码。 问题原因 客户端首次向CDN服务器成功发送URL请求后，服务器会响应200状态码，内容是客户端请求的资源，同时会有一个LastModified的属性标记此文件在服务器端最后被修改的时间和一个用来核实内容是否修改过的Etag标记。等下次同一客户端再次向服务器发送相同URL请求时会携带文件最后修改时间和文件实体标签的请求头，服务器会根据携带的请求头比对文件修改时间和Etag标记判断文件内容在这期间是否修改过。如果服务器端的文件没有变化，则自动返回304（Not Changed）状态码，此时客户端会直接加载缓存内容；如果在此期间文件内容修改过，则服务器端把最新内容返回给客户端，并返回最新的文件修改时间和Etag，具体示例如下： 1. 客户端首次成功访问一个文件时，服务器会返回200状态码，响应头中（Response Header）会携带标识文件最近修改时间的LastModified和Etag。 2. 当客户端再次发起相同URL文件的访问时，客户端会携带请求头IfModifiedSince/IfNoneMatch值为首次请求该URL响应头LastModified/Etag的头部值（如下图所示），服务器会根据请求头中IfModifiedSince/IfNoneMatch携带的值对比LastModified和Etag是否一致来判断内容最近是否有做过变更。当文件和之前保持一致（未被修改过），则返回给客户端304状态码，如果文件内容变更过，则把最新内容返回客户端，同时响应200状态码。

本文介绍UA黑白名单功能及使用建议。 功能介绍 UserAgent（简称UA）是HTTP请求头的一部分，包含用户访问时所使用的操作系统及版本、浏览器类型及版本等标识信息，因此UserAgent是访客身份的象征，标志访客访问时所使用的工具，通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 UserAgent白名单：用于配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。 UserAgent黑名单：用于配置禁止用户使用的访问工具，UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。 注意事项 1. UA黑名单与UA白名单只能二选一，不可同时配置，为互斥关系。 2. 如果用户请求中携带的UserAgent字段的值命中UserAgent黑名单中的值，则该请求仍可访问到CDN加速节点，但是会被CDN加速节点拒绝并返回403状态码。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【UA黑白名单】模块，开启功能。 6. 根据需求配置是否忽略大小写，默认开启。 7. 设置匹配方式，选择正则或者通配符，默认使用正则表达式匹配。 8. 设置类型，选择【白名单】或【黑名单】，使用换行符分隔。 9. 单击【保存】，完成配置。 参数名 说明 忽略大小写 默认开启，即忽略大小写匹配UA名单，可配置关闭。 匹配方式 默认使用正则表达式匹配，可配置使用通配符匹配。 类型 可选择配置白名单或者黑名单，二选一。 黑名单：黑名单内的UA无法访问资源。 白名单：只有白名单内的UA可以访问资源。

3.3 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/sysconfig/iptables /etc/sysconfig/ip6tables <

来自：

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云CDN加速域名的回源地址可以使用客户自有源站、天翼云媒体存储或天翼云对象存储。若客户使用天翼云媒体存储/对象存储作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Bucket回源功能前，请确认您的私有Bucket内容是否适合作为CDN加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为CDN创建一个独立的AK/SK，仅授权CDN必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对应存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，CDN节点回存储源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权的签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】，否则功能将无效。

本文介绍UDFScript概念、原理、使用说明、资费说明及典型应用场景。 UDFScript介绍 用户自定义脚本（User Defined Script，简称UDFScript）是一个可供您快速实现全站加速定制化配置的工具箱，当全站加速控制台上的标准配置无法满足您的业务需求时，可以使用UDFScript通过简单的编程实现定制化业务需求。 使用UDFScript前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用UDFScript后的请求处理过程： 1. 网关收到客户端请求时，执行业务脚本，对用户的请求进行业务处理。 2. 网关处理完业务脚本的业务逻辑后，继续处理控制台标准化的配置。 3. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 4. 如果不符合缓存规则，则由网关处理后，请求回源。 5. 源站返回响应内容，网关响应给客户端。 使用说明 UDFScript由全局字典、全局task脚本、业务脚本三部分组成： 全局字典用来定义一块共享内存区域，全局task脚本可以从全局字典中读取数据，也可以把结果保存到全局字典中，业务脚本只能从全局字典读取数据。 全局task脚本用于定义后台周期性任务（非客户端请求触发），比如周期性同步远端配置数据到本地全局字典中。 业务脚本可以快速自定义控制台未支持的功能，例如定制化鉴权、请求头改写等。 您可以仅使用业务脚本实现简单的自定义功能，也可以把全局字典、全局task脚本、业务脚本三个结合起来使用，自定义更强大的功能。 变量信息，请参见UDFScript变量说明。 函数信息，请参见UDFScript函数说明。

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本文介绍资源包管理模块，可详细查看当前流量包使用情况、生效时间、到期时间。 背景说明 天翼云视频直播可订购的资源包仅包括流量包，故视频直播当前仅支持查看流量包明细和退订等操作。 操作步骤 1.登录直播控制台。 2.单击左侧菜单栏中的【计费详情】，在页面下方【我的资源包】模块中展示流量包剩余用量、有效期和状态等下信息，如下图展示。 如果需订购流量包，单击【订购视频直播资源包】跳转到订购页进行订购。 如果资源包在有效期内未用完要退订，单击【操作】列表中的【退订】跳转至退订管理中进行退订。 注意 购买流量包之前，需先开通视频直播按需流量计费。 视频直播流量和带宽均按照1000进制，例如：1Gbps1000Mbps，1GB1000MB。 流量包购买后可支持退款，到期后未用完的流量将自动清零，不支持转移到其他流量包。 购买多个流量包时，当某个流量包用尽后默认自动开启下一个优先到期的流量包；当所有流量包用量用尽或者有效期到期后，自动转为同加速类型的按需流量计费。

参数名称 参数说明 取值样例 服务器操作系统 选择需要防护的服务器系统。 Linux 勒索防护 根据需求开启户关闭勒索防护，建议开启。 开启：关闭： 防护策略 您可选择已有策略或新建防护策略。 选择已有策略：在“选择防护策略”项选择已有的目标策略即可。 新建防护策略。 新建防护策略 防护策略名称 自定义防护策略名称。 防护动作 发现告警事件后的处理方式。 告警并自动隔离、仅告警 告警并自动隔离 诱饵防护 开启诱饵防护后，系统会在防护目录和关键目录（不包括排除目录）中部署诱饵文件。诱饵文件会占用小部分服务器资源，不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时，诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件，Windows系统仅支持静态部署诱饵文件。 开启 诱饵防护目录 被防护的目录（不包括子目录）。 多个目录请用英文分号隔开，最多支持填写20个防护目录。 操作系统为Linux时必填项。 Linux：/etc/lesuo Windows：C:Test 排除目录（选填） 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开，最多支持填写20个排除目录。 Linux：/test Windows：C:ProData 防护文件类型 被防护的服务器文件类型或格式，自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型，共70+种文件格式。 仅Linux支持，且为必选项。 全选 进程白名单 添加自动忽略检测的进程文件路径，可在告警中获取。 仅Windows支持。

当您需要更新证书时，如果涉及到大量域名需要绑定证书，可以通过批量绑定域名进行快捷操作。 配置说明 证书批量绑定域名具体操作步骤如下： 1. 登录边缘安全加速平台控制台。 2. 在【域名】【证书管理】页面，找到您需要操作的证书，通过操作列>单击【绑定域名】按钮。 3. 选择您要绑定该证书的域名，域名将会出现在右侧，每次最多支持绑定100个域名。 4. 选择完毕后，单击【提交绑定】，将提交证书绑定域名的任务。 注意 关联域名后，已选择的域名将自动开启https开关，且绑定该证书。 证书绑定域名生效时间大概需要5~15分钟，您可以稍后在证书详情查看绑定域名情况。

本文介绍在游戏加速及大流量攻击防护场景下的产品价值。 行业痛点 新游发布或游戏旺季时经常受到 DDoS 攻击，勒索频发，往往导致游戏不可用，影响游戏口碑和收益。 同时，游戏服务商需要保障全球数百万游戏玩家具有流畅的游戏体验，网络时延要求较高。 解决方案 通过 AOne 能够实时检测并阻止各种类型的 DDoS 攻击，确保游戏服务器始终保持在线，保证游戏用户稳定进行。 同时，AOne 边缘接入服务将游戏连接请求就近接入边缘节点，通过 AOne 的高速网络到达游戏服务器，极大地缩短了公网传输时延，有效提升游戏服务体验。

本文介绍如何在科研助手中查看开发机详情。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【开发机】。 3. 在开发机列表中定位到想要查看的开发机，点击“开发机的名称”，例如“devenvhv0izd”。进入详情页。 可对开发机进行操作，如打开、启动、停止、保存镜像、变更规格、变更镜像、删除，同时可查看开发机存储和开发机事件。 4. 开发机详情展示以下参数： 【基础信息】 参数 说明 名称 开发机名称，支持设置开发机别名、复制名称 状态 开发机目前所处状态。状态有： 1.待创建。 2.启动中。包括资源调度、拉取镜像、启动容器等流程。 3.运行中。在线IDE实例正常运行中，可以进行“打开”和“停止”。 4.停止。在线IDE实例处于不可用状态，可点击"启动“重新开启在线IDE。 5.运行失败。因某种原因开发机无法运行。 6.运行结束。在线IDE实例在自动停止时长到期后自动停止，并处于不可用状态。 规格 计算资源规格： • 通用计算型。包括CPU（核），内存(GB) • GPU加速型。包括CPU（核），内存(GB)，显卡数量（块） 计费方式 按需计费 包周期 企业项目 购买开发机时所选的企业项目 创建时间 开发机的创建时间 更新时间 上一次更改开发机的时间，如变更镜像、变更规格等 自动停止 是否开启自动停止。 运行时长 开发机已运行时长，分钟 【资源配置】 参数 说明 可用区 所选择的可用 框架版本 开发机框架版本。显示开发机类型 类型计算资源类型： • GPU加速型 • 通用计算型 【存储】 参数 说明 挂载类型 文件存储或对象存储 挂载数据集 挂载数据集名称 容器挂载路径 容器挂载路径 【开发机事件】 展示开发机操作的事件详情。

昵称审核 对于注册用户的昵称审核，通过智能审核技术，实现自动化过滤包含广告、反动、色情等内容的用户昵称。 场景优势如下： 响应速度快：配备高效的GPU和CPU等硬件，提升审核速度，实现快速响应。 准确率高：利用改进的深度学习算法，提升审核准确率，避免审核误判并且提高审核质量。 媒资审核 针对媒资内容审核，利用自动化审核技术，实现媒资中可能存在的违禁品等信息的自动识别，降低已发布的文章存在违规风险。 场景优势如下： 快速迭代：持续更新文本词库，及时识别新型的违规内容，提升审核准度。 处理速度快：配备高性能GPU和CPU等硬件设备，实现审核快速响应，降低审核成本，提高审核质量。 弹幕信息审核 针对弹幕审核，通过实时检测弹幕文本，保障网络直播间的内容安全，降低业务违规风险。 场景优势如下： 海量词库：内置了海量词库，能够支持各种匹配规则，提高审核的准确性。 响应速度快：配备高效的GPU和CPU等硬件，加速审核速度，实时审核，保障网络环境的安全性。 聊天记录实时审核 为实时净化网络环境，我们基于智能审核技术，实现了聊天内容实时审核场景，能够检测游戏等文本聊天内容中可能出现的辱骂、色情、反动等违规信息，确保网络环境的健康发展。 场景优势如下： 海量词库：内置了海量词库，能够支持各种匹配规则，提高审核的准确性。 响应速度快：配备高效的GPU和CPU等硬件，加速审核速度，实时审核，保障网络环境的安全性。 识别准确率高：结合深度学习与机器学习，基于大规模多主题数据的模型训练，具备高识别率和低误判率。 单次审核多个数据：支持同时审核多张图片或者多条文本，一次性返回所有数据的审核结果

本文介绍如何设置指定路径的缓存时间。 背景说明 使用天翼云CDN加速以后，可以按照多种策略设置缓存过期时间，例如文件后缀名、目录、首页、全部文件等。本文主要介绍如何针对指定路径设置缓存过期时间全局生效。 详细信息 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】模块，单击【增加规则】，弹出的对话框中，添加缓存时间规则。 6. 类型选择【目录】，并配置相应的内容。 7. 设置好对应过期时间及缓存规则。 8. 其他相关缓存配置详情请见：缓存过期时间设置。

本文介绍全站加速如何批量配置域名及相关注意事项等。 背景信息 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 操作步骤 可以通过API接口调用方法批量配置域名。 详见：批量新增域名。 注意事项 添加域名之前，您需要先开通对应产品类型的服务。 该域名必须已成功备案。 该域名之前未创建过，没有在途工单。 单个用户一分钟限制调用10次。 调用本接口批量新增时仅支持最简单配置，若需要对域名进行更复杂配置，请创建后再调用：批量更新域名配置接口。

为什么Windows系统迁移完成后，目的端只能看到系统盘？ 当源端服务器的磁盘策略为共享磁盘脱机或者离线模式时，迁移后会导致数据盘处于离线状态。 解决方案 迁移完成后，如果后续不再进行同步操作，请直接在目的端服务器进行修改。 迁移完成后，如果还需要进行同步操作，请在源端服务器进行修改，修改后进行同步操作。 Windows迁移后无法上网 问题描述 Windows迁移成功后无法连接网络，提示“sms.5603Windows迁移后无法上网”。 问题分析 该问题可能是如下原因导致： 网络适配器驱动存在异常。 网络配置错误。 解决方案 网络适配器驱动存在异常。 1. 在设备管理器中寻找是否有异常的网络设备，使用自动搜索更新驱动程序软件更新驱动 , 然后重启目的端服务器。 2. 如果自动更新之后仍然不能上网，尝试先禁用该驱动，再重新启用该驱动，然后重启目的端服务器。 3. 如果进行上述操作后仍然不能上网，请找一台和目的端服务器在同一可用区可以上网的临时服务器，以挂载的方式将目的端服务器的一块数据盘挂载到临时服务器上。 1. 在临时服务器，下载vmtools工具安装包到目的端数据盘中（不要安装）。 2. 将该数据盘挂载回目的端服务器，然后登录目的端服务器找到该数据盘中的vmtools工具安装包进行安装。 3. 最后重启目的端服务器。 网络配置错误。 1.在 cmd中执行 ipconfig，查看内网IP与ECS控制台的内网IP是否一致，如果不一致，可能设置了静态IP，请修改为DHCP方式获取IP地址。 2.ping EIP可以ping通，外网域名无法ping通。请调整DNS配置。

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功

3.4 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/iptables/rules.v4 /etc/iptables/rules.v6 <

来自：

帮助文档

物理机 DPS

用户指南

镜像

通过镜像文件制作系统盘私有镜像

制作镜像文件

制作系统盘私有镜像

类Ubuntu私有镜像制作

本文介绍如何设置镜像缓存。 可以使用镜像缓存来实现加速创建Pod，通过指定镜像缓存ID的方式： 使用方式 配置项 示例值 说明 指定镜像缓存 k8s.ctyun.cn/eciimcid imcdfaexxxxx 明确指定使用某个镜像缓存创建Pod 配置参考如下： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciimcid: imcdfaexxxxx 指定镜像缓存 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

3.3 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/sysconfig/iptables /etc/sysconfig/ip6tables <

来自：

帮助文档

物理机 DPS

用户指南

镜像

通过镜像文件制作系统盘私有镜像

制作镜像文件

制作系统盘私有镜像

类CTyunOS私有镜像制作

本文介绍如何在组网配置中查看网络指标。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，则可通过网络指标来分析分支机构互联状态。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络指标。 网络指标 目前支持查看互联的时延、丢包、抖动情况。 时延 时延是指数据包从发送到接收的往返时间(RoundTrip Time,RTT)。 计算方式： 记录每个数据包的发送时间和接收时间。 计算每个数据包的RTT:RTT接收时间发送时间。 丢包 丢包率是指在发送的数据包中，未能成功接收到的数据包所占的比例。 计算方法: 记录发送的数据包总数 N。 记录成功接收到的数据包数 M。 计算丢包率:丢包率(NM)/N 100%。 抖动 抖动是指数据包传输时延的变化，通常用于衡量网络的稳定性。 计算方法: 记录每个数据包的RTT。 计算相邻数据包的RTT差值:抖动RTTi RTT(i1)。

本文介绍单请求限速功能适用场景和配置方法。 功能介绍 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 适用场景 1. 游戏新版本发布，大量玩家同时访问全站加速节点下载更新包时。 2. 电商秒杀活动，大量用户集中访问某网站时。 注意事项 1. 单请求限速功能会限制用户的下行速率，影响用户的下载体验，需结合业务情况谨慎使用。 2. 单请求限速功能在请求大文件的情况下效果较好，如：请求文件10MB，单请求限速1MB/s。如果请求的是小文件（例如10KB），配置的限速值高于文件大小（例如1MB/s），则达不到限速效果。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【单请求限速】模块，单击【增加规则】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容。 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 限速值 单请求限速速率 单位支持B/s、KB/s和MB/s，最小限速值：1B/s。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。

本文介绍CDN加速根据不同客户端IP的协议（IPv4/IPv6）回不同源站的功能。 功能介绍 如果您的域名既有IPv4源站，又有IPv6源站，可以配置区分IPv4/IPv6协议回源，实现跟随客户端IPv4/IPv6协议回源效果，即：IPv4协议的客户端回IPv4的源站，IPv6协议的客户端回IPv6的源站。同时也可基于客户实际需求，设置IPv4和IPv6用户按指定权重回对应IPv4和IPv6源站。下图为跟随客户端IPv4/IPv6协议回源原理图。 适用场景 场景一：域名有多个源站，源站1和源站2为IPv4源站，源站3和源站4为IPv6源站，可配置IPv4用户在源站1和源站2之间轮询回源，配置IPv6用户在源站3和源站4之间轮询回源。 场景二：域名有多个源站，源站1和源站2为IPv4源站，源站3和源站4为IPv6源站，可配置部分地区的IPv4用户回源站1，其余地区的IPv4用户回源站2；配置部分地区的IPv6用户回源站3，其余地区的IPv6用户回源站4。 场景三：域名有多个源站，其中IPv6源站1能力较弱，IPv4源站2能力较强，则可配置实现：IPv4用户全部回IPv4源2，IPv6用户按4:6权重同时回IPv4源2和IPv6源1。 注意事项 1. 区分IPv4/IPv6协议回源功能和分区域分运营商回源功能可结合使用，即：可实现如下效果：甲地区运营商的IPv4用户回IPv4源站A，乙地区运营商的IPv6用户回IPv6源站B。 2. CDN加速暂不支持纯IPv6源站场景，如果源站只使用IPv6地址，可能导致部分节点无法回源。

本页简要介绍了分布式融合数据库HTAP的产品定义。 分布式融合数据库HTAP是既支持在线事务处理 (OLTP) 又支持在线分析处理 (OLAP) 的融合型云原生分布式数据库，具有兼容MySQL协议、高性能、实时分析的特点，适用于数据规模大、高可用、高吞吐等业务场景。 分布式融合数据库HTAP主要由管理节点、计算节点和存储节点组成，整体技术架构如下： 管理节点：整个集群的元信息管理模块，负责存储集群元信息（包括整体拓扑结构和节点实时的数据分布情况），为分布式事务分配事务 ID，同时还会根据存储节点实时上报的数据分布状态，下发数据调度命令给具体的存储节点。管理节点集群由 3 个管理节点构成，具备高可用能力。 计算节点：SQL 层，支持 MySQL 协议，负责接收客户端的连接，执行 SQL 解析和优化，最终生成分布式执行计划，将实际的数据读取请求转发给底层的存储节点。计算节点本身是无状态的，多个计算节点构成计算节点集群，通过负载均衡组件（如 LVS、HAProxy 或 F5）对外提供统一的接入地址。 存储节点 行存节点：一个支持事务的分布式KeyValue存储引擎，负责存储数据。数据按范围分片存储，每个数据分片负责存储一段 Key 范围（从 StartKey 到 EndKey 的左闭右开区间）的数据，每个行存节点会负责多个数据分片。行存节点 API 原生支持分布式事务，默认提供了 SI (Snapshot Isolation) 的隔离级别，是SQL 层支持分布式事务的核心基础。SQL 层做完 SQL 解析后，会将 SQL 的执行计划转换为对行存节点 API 的实际调用。另外，行存节点中的数据都会自动维护多副本（默认为三副本），天然支持高可用和自动故障转移。 列存节点：一类可选的存储节点，其内部以列式的形式存储数据，主要的功能是为分析型的场景加速。

本文为您介绍如何使用ECI开通L20实例。 NVIDIA L20是NVIDIA面向数据中心AI和图形工作负载设计的一款专业 GPU，属于NVIDIA Ada Lovelace架构的数据中心GPU产品线。L20在AI推理、图形渲染和虚拟化之间取得平衡，填补了纯计算卡和专业显卡之间的市场空白。 操作步骤 1. 订购弹性容器实例，选择指定规格。架构选择X86计算，类型选择GPU计算加速型，显卡类型选择L20。 2. 在容器配置中打开高级设置，填写容器所需的GPU卡数量 3. 最后，点击确认订单。

功能 说明 缓存过期时间指源站资源在CDN节点缓存的时长，达到预设时间，资源将会被CDN节点标记为缓存过期。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 CDN节点从源站获取资源时，源站会返回响应状态码，针对4xx、5xx等特殊状态码，您可以在天翼云CDN上配置状态码过期时间。配置完成后，当客户端再次请求相同资源时，如状态码未过期，会由CDN直接响应特殊状态码，不会触发回源，减轻源站压力。 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key是一个文件在CDN节点上缓存时唯一的身份ID，每个在CDN节点上缓存的文件都会对应一个缓存key。通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

本节主要介绍委托其他云服务管理资源 由于云服务平台各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。 当前IAM提供两种创建委托方式： 1. 在IAM控制台创建云服务委托 1. 以对象存储服务OBS为例：将操作权限委托给OBS，允许OBS以您的身份使用其他服务，例如访问AOM读取监控数据。 2. 在云服务控制台使用某项资源时，系统提示您自动创建委托，以完成云服务间的协同工作。 1. 以创建弹性文件服务SFS委托为例： 1. 在SFS控制台创建文件系统。 2. 在创建文件系统页面，开启“静态数据加密”。、 3. 弹窗提示需要创建SFS委托，单击“确定”，系统自动为您在当前项目创建SFS委托，并授予KMS CMKFullAccess权限，授权成功后，SFS可以获取KMS密钥用来加解密文件系统。 4. 您可以在IAM控制台的委托列表中查看已创建的委托。 在IAM控制台创建云服务委托 步骤 1 登录统一身份认证服务控制台。 步骤 2 在统一身份认证服务的左侧导航菜单中，单击“委托”。 步骤 3 在委托列表页面，单击右上角“＋创建委托”。 步骤 4 在创建委托页面，设置“委托名称”。 步骤 5 “委托类型”选择“云服务”，在“云服务”中选择需要授权的云服务。 步骤 6 选择“持续时间”。 步骤 7 （可选）填写“委托描述”。建议填写描述信息。 步骤 8 单击“下一步”，进入给委托授权页面。 步骤 9 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围，给委托授权。 步骤 10 单击“确定”，委托创建完成。

权限名称 权限说明 具体场景或目的 NSCameraUsageDescription 摄像头访问权限 IM发送消息、个人信息上传头像、AI问答、视频会议、获取摄像头拍照发送图片附件 NSPhotoLibraryUsageDescription 图片访问权限 IM发送消息、个人信息上传头像、AI问答、更换会议虚拟背景、获取相册发送图片附件 NSMicrophoneUsageDescription 麦克风访问权限 AI问答、会议语音通话 com.apple.developer.networking.networkextension 网络扩展权限（VPN、内容拦截等）权限 零信任/海外加速创建隧道的时候 NSFaceIDUsageDescription 面容、指纹生物识别访问权限 用于登录的时候，使用生物识别的方式认证 AppGroups 同一个开发者账号下的多个应用、扩展数据共享 允许同一个开发者账号下的多个应用、扩展（Extension）和主应用之间共享数据 网络权限 授权APP访问网络 App需要发起网络请求的地方

本介绍需要用户一直重复登录的解决方式。 问题现象 接入安全与加速服务后，访问网站一直需要用户一直重复登录。 问题原因 域名存在多个源站时，有可能出现同一个会话请求转发到不同的源站导致登录状态丢失，让用户一直重新登录的问题，可通过以下方式处置。 解决方案 1.源站进行相关处置（建议）： 多个源站之间要做登录session。 源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 2.可通过配置保持登录进行解决，暂不支持控制台自助操作，如有需求请联系我们。