本页介绍天翼云TeleDB数据库节点扩容。 操作场景 随着业务的增长，数据库在运行性能及存储上逐渐会达到瓶颈。此时，需要通过增加节点来提升集群的性能及存储能力。该任务用于指导对协调节点（CN）和数据节点（DN）进行扩容。协调节点和数据节点都是按组添加。每组数量与创建实例时选择的实例系列相关联。机器规格和原实例规格保持一致。用户可自定义新增节点所在服务器。 注意 主备节点所在服务器不能为同一台服务器。 增加节点前请检查所有表都已设置主键或设置表级别参数REPLICA IDENTITY为FULL，否则数据无法完成迁移导致新增节点失败。 扩容数据节点后请手动使用数据重平衡功能。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的详情，进入实例详情页面。 3. 单击右上角操作下拉框，单击节点扩容 ，出现节点扩容（协调、数据节点）对话框。 4. 进入节点扩容 对话框，根据以下内容填写基本信息，单击确定完成扩容。 扩容节点类型：可根据实际情况填写协调节点或数据节点。 说明 当扩容节点类型为协调节点，则下面出现节点名称。当扩容节点为数据节点，则下面出现节点组名称。 节点名称：默认不可更改。 节点组名称：默认不可更改。 节点规格：默认不可更改。 VIP：可选参数，可根据实际需求选择vip。 主节点节点信息：可选参数，可根据实际需求选择主节点ip。 备节点节点信息：可选参数，可根据实际需求选择备节点ip。 5. 弹出提示 对话框。可单击立即前往，在任务管理页面查看执行详情。

本页介绍天翼云TeleDB数据库高可用管理。 操作场景 该任务用于对实例进行高可用设置。包括数据可靠策略、自动切换、优先切换和切换频率等。 数据可靠策略：在同region全强同步、First或Any复制模式下，如果备节点丢失，系统会自适应调整数据同步方式，并将对应的备机同步方式降级为异步，避免主节点写操作阻塞，保证系统响应能力。 自动切换：当主节点故障时，会自动选择一个最新的备节点升主。该操作只针对主节点，如果没有开启优先切换开关，会先尝试拉起操作，无法拉起则执行主备切换。如果开启了优先切换开关，则不尝试拉起操作，直接主备切换。该开关只在主从复制为同步模式时才能触发。 优先切换：当主节点故障时，系统会尝试先拉起节点，节点拉起失败时才进行主备切换。当该开关开启时，则不进行拉起操作直接进行主备切换。该开关只在自动切换开启的情况下才生效。 切换频率：一个小时以内允许触发自动切换的最大次数，当自动切换开关开启时才生效。 注意 自动切换和优先切换有关联关系，只有在自动切换开启的情况下，优先切换才会生效，所以自动切换关闭的情况下，优先切换也要关闭。但是自动切换开启的情况下，优先切换可以不开启。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表。 2. 单击目标实例所在行的详情，进入实例详情页面。 3. 进入详情页面，单击高可用管理。 4. 单击配置，修改为需要的配置。 5. 单击提交，完成高可用设置。

本页介绍天翼云TeleDB数据库节点扩容。 操作场景 随着业务的增长，数据库在运行性能及存储上逐渐会达到瓶颈。此时，需要通过增加节点来提升集群的性能及存储能力。该任务用于指导对协调节点（CN）和数据节点（DN）进行扩容。协调节点和数据节点都是按组添加。每组数量与创建实例时选择的实例系列相关联。机器规格和原实例规格保持一致。用户可自定义新增节点所在服务器。 注意 主备节点所在服务器不能为同一台服务器。 增加节点前请检查所有表都已设置主键或设置表级别参数REPLICA IDENTITY为FULL，否则数据无法完成迁移导致新增节点失败。 扩容数据节点后请手动使用数据重平衡功能。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的详情，进入实例详情页面。 3. 单击右上角操作下拉框，单击节点扩容 ，出现节点扩容（协调、数据节点）对话框。 4. 进入节点扩容 对话框，根据以下内容填写基本信息，单击确定完成扩容。 扩容节点类型：可根据实际情况填写协调节点或数据节点。 说明 当扩容节点类型为协调节点，则下面出现节点名称。当扩容节点为数据节点，则下面出现节点组名称。 节点名称：默认不可更改。 节点组名称：默认不可更改。 节点规格：默认不可更改。 VIP：可选参数，可根据实际需求选择vip。 主节点节点信息：可选参数，可根据实际需求选择主节点ip。 备节点节点信息：可选参数，可根据实际需求选择备节点ip。 5. 弹出提示 对话框。可单击立即前往，在任务管理页面查看执行详情。

本页介绍天翼云TeleDB数据库数据不一致类问题。 单节点内部元数据不一致类问题 问题描述 单个CN或DN主节点内部元数据不一致问题，对应pgcheck()元数据检查返回类型“intercheck”，例如：pgclass.relhasindex标识该表是否有索引，如果和索引不一致，则会检测出来；有表，但是pgattribute中没有表记录。 例如，以下select from pgcheck(); 查询结果： 产生元数据不一致的主要原因：在元数据缺失的节点上，主节点和备节点不同步，DDL语句在备节点未应用时，发起了主备切换，备升主后，该备节点元数据与其它主节点不一致。 可能影响 索引不准确，可能会导致执行计划生成不准； 元数据不一致，可能会导致对象访问出错，例如表缺少字段，访问表时会出错。 解决步骤 1. 元数据不一致检查及分析 首先根据select from pgcheck()；结果梳理和分析元数据不一致情况，第一列checktypeintercheck，表示为节点内存部元数据不一致，然后根据查询结果再进一步分析，常见的情况： 1）pgclass.relhasindex与表的实际索引情况不一致，例如上面查询结果，cn001节点pgclass.relhasindex和pgindex的元数据不一致。 检查办法： a、根据检查结果，拼出SQL如下，得到testvarchar2表索引testvarhcar2ididex; teledb select indexrelid::regclass,indrelid::regclass from pgindex where indexrelid34461; indexrelid indrelid + testvarchar2ididx testvarchar2 (1 row) b、拼出SQL如下，得到pgclass.relhasindexf，表示该表上没有索引； teledb

本页介绍天翼云TeleDB数据库开发者选项相关参数。 下面的参数目的是用在源代码上的，在某些情况下可以帮助恢复严重损坏了的数据库。一定不要在生产数据库中去使用。同样，不要在配置文件中进行设置。 allowsystemtablemods (boolean) 允许对系统表结构的修改。它可以被initdb使用。这个参数只能在服务器启动时设置。该参数仅用于系统表或索引损坏时的修复工作。 debugdeadlocks (boolean) 如果设置，当死锁超时发生时，转储所有当前锁的信息。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 ignorechecksumfailure (boolean) 只有当data checksums被启用时才有效。 在读取过程中检测到一次校验码失败通常会导致数据库报告一个错误。设置ignorechecksumfailure为打开会导致系统忽略失败（但是仍然报告一个警告），并且继续执行。这种行为可能导致崩溃、传播或隐藏损坏或者其他严重的问题。但是，它允许你绕过错误并且在块头部仍然健全的情况下从表中检索未损坏的元组。如果头部被损坏，即便这个选项被启用系统也将报告一个错误。默认设置是off，并且只能被超级用户改变。 ignoresystemindexes (boolean) 读取系统表时忽略系统索引（但是修改系统表时依然同时更新索引）。这在从被破坏的系统索引中恢复数据的时有用。这个参数在会话开始之后不能被更改。 logbtreebuildstats (boolean) 如果设置，会记录B 树操作上的系统资源使用情况统计（内存和 CPU）。 只有在编译时定义了BTREEBUILDSTATS宏，这个参数才可用。

本页介绍天翼云TeleDB数据库其他规划器选项相关参数。 defaultstatisticstarget (integer) 为没有通过ALTER TABLE SET STATISTICS设置列相关目标的表列设置默认统计目标。更大的值增加了需要做ANALYZE的时间，但是可能会改善规划器的估计质量。默认值是 100。 constraintexclusion (enum) constraintexclusion的允许值是on（对所有表检查约束）、off（从不检查约束）和partition（只对继承的子表和UNION ALL子查询检查约束）。partition是默认设置。它通常被用于继承和分区表来提高性能。当对一个特定表允许这个参数，规划器比较查询条件和表的CHECK约束，并且忽略那些条件违反约束的表扫描。例如：CREATE TABLE parent(key integer, ...); CREATE TABLE child1000(check (key between 1000 and 1999)) INHERITS(parent); CREATE TABLE child2000(check (key between 2000 and 2999)) INHERITS(parent); ... SELECT FROM parent WHERE key 2400;在启用约束排除时，这个SELECT将完全不会扫描child1000，从而提高性能。目前，约束排除只在用来实现表分区的情况中被默认启用。为所有表启用它会增加额外的规划开销，特别是在简单查询上并且不会产生任何好处。如果没有分区表时，最好是完全关闭它。、 cursortuplefraction (floating point) 设置规划器对将被检索的一个游标的行的比例的估计。默认值是0.1。更小的值使得规划器偏向为游标使用“快速开始”计划，它将很快地检索前几行但是可能需要很长时间来获取所有行。更大的值强调总的估计时间。最大设置为 1.0，游标将和普通查询完全一样地被规划，只考虑总估计时间并且不考虑前几行会被多快地返回。

本页介绍天翼云TeleDB数据库内存相关参数。 sharedbuffers (integer) 设置数据库服务器将使用的共享内存缓冲区量。默认通常是128 兆字节（128MB），但是如果你的内核设置不支持（在initdb时决定），那么可以会更少。这个设置必须至少为 128 千字节（BLCKSZ的非默认值将改变最小值）。不过为了更好的性能，通常会使用明显高于最小值的设置。如果有一个专用的 1GB 或更多内存的数据库服务器，一个合理的sharedbuffers开始值是系统内存的 25%。即使较大的sharedbuffers有效，也会造成一些工作负载，但因为TeleDB同样依赖操作系统的高速缓冲区，将sharedbuffers设置为超过 40% 的RAM不太可能比一个小点值工作得更好。为了能把对写大量新的或改变的数据的处理分布在一个较长的时间段内，sharedbuffers更大的设置通常要求对maxwalsize也做相应增加。如果系统内存小于 1GB，一个较小的 RAM 百分数是合适的，这样可以为操作系统留下足够的空间。 hugepages (enum) 启用/禁用巨型内存页面的使用。可用的值是 try（默认）、on、和off。当前，只有 Linux 上支持这个特性。在其他系统上这个参数被设置为try时，它会被忽略。巨型页面的使用会导致更小的页面表以及花费在内存管理上的 CPU 时间更少，从而提高性能。 当hugepages被设置为try时，服务器将 尝试使用巨型页面，如果失败则会转回去使用正常的分配。如果设置为 on，使用巨型页面失败会阻止服务器启动。如果设置为 off，则不会使用巨型页面。

本节主要介绍基本概念 使用企业项目管理服务时常用的基本概念包括：帐号、IAM用户、帐号与IAM用户的关系、用户组、授权、权限、身份凭证、IAM项目、企业项目。 账号 当您首次使用天翼云时注册的帐号，该帐号是您的资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。 帐号不能在IAM中修改和删除，您可以在天翼云网门户“个人中心”修改帐号信息，如果您需要删除帐号，可以在“个人中心”进行注销。 IAM用户 由帐号在IAM中创建的用户，一般为具体云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据帐号授予的权限使用资源。 如果您忘记了IAM用户的登录密码，可以在天翼云网门户“账号中心 > 子用户”中重置密码。 帐号与IAM用户的关系 帐号与IAM用户可以类比为父子关系，帐号是资源归属以及计费主体，对其拥有的资源具有所有权限。IAM用户由帐号创建，只能拥有帐号授予的资源使用权限，帐号可以随时修改或者撤销IAM用户的使用权限。 图 账号与IAM用户 授权 授权是您将完成具体工作所需要的权限授予IAM用户，授权通过定义权限策略生效，通过给用户组授予策略（包括系统策略和自定义策略），用户组中的用户就能获得策略中定义的权限，这一过程称为授权。用户获得具体云服务的权限后，可以对云服务进行操作，例如，管理您帐号中的ECS资源。 图 授权

本文介绍CDN加速按量计费和资源包管理的功能说明。 功能介绍 客户已完成订购的CDN加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在CDN控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 按量服务 前置须知 通过天翼云官网购买CDN加速产品的客户，计费方式仅支持在“流量”和“日带宽峰值”之间操作变更，且计费方式变更将于次日00：00生效。全球（不含中国内地）不同计费区域的计费方式需保持一致。计费方式变更生效前，允许多次变更操作，按照最终变更修改为准。 当全球(不含中国内地)基础服务的按量计费为“服务中”，且任一计费区域存在状态为“使用中”或“冻结”的资源包，则不支持变更加速区域或退订同产品基础服务的按量计费；若您有变更加速区域或退订基础服务按量计费的需求，请先完成全球(不含中国内地)资源包的退订。 操作指导 1. 登录CDN控制台。 2. 单击左侧导航栏【计费详情】【CDN加速】。若您未开通CDN加速按量计费，可单击【立即开通CDN加速】，进入对应详情页面，完成CDN加速按量计费的订购。 3. 单击左侧导航栏【计费详情】【CDN加速】。若您已开通CDN加速按量计费服务，可单击【操作】列下的相应功能入口，进入对应详情页面，完成各类操作变更。 资源包服务

本文介绍页面优化功能及配置方法。 背景介绍 网页展示和交互一般是由HTML、CSS、JavaScript共同构建的。网页页面中往往会存在一些冗余内容，例如HTML页面、JavaScript和CSS中的注释以及重复的空白符，这些内容对于页面的展现没有实际作用，如果可以去除这些页面的冗余信息，就可以一定程度上提升页面的可阅读性。 功能介绍 天翼云CDN加速产品提供页面优化功能，开启页面优化功能后，会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释以及重复的空白符，可以去除页面的冗余信息，缩小文件大小，提高加速分发效率，同时提升页面的可阅读性。 注意事项 如果源站文件配置MD5校验机制，请不要开启页面优化功能。开启页面优化功能，CDN加速产品进行页面优化时，会改变文件的MD5值，导致优化后文件的MD5值和源站文件的MD5值不一致。 如果源站开启压缩功能，CDN加速的页面优化功能将会失效。 CDN加速平台，页面优化功能和文件压缩功能不允许同时开启，同时开启时，压缩功能失效。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，说明需要开通该功能，由其人工操作开启。 提交工单时需说明如下： 参数名 说明 是否忽略部分状态码 是/否。如是，需说明具体的忽略状态码。 忽略状态码 提供具体需要忽略的状态码，CDN加速将对配置的忽略状态码对应的页面内容不进行页面优化处理。 状态码选项：301、302、303、304、307、400、401、402、403、404、500、501、502、503、504。

性能调优 rocksdb状态调优 topN排序、窗口聚合计算以及流流join等都涉及大量的状态操作，因而如果发现这类算子存在性能瓶颈，可以尝试优化状态操作的性能。主要可以尝试通过如下方式优化： 1.增加状态操作内存，降低磁盘IO 增加单slot cu资源数 配置优化参数： taskmanager.memory.managed.fractionxx state.backend.rocksdb.block.cachesizexx state.backend.rocksdb.writebuffer.sizexx 2.开启微批模式，避免状态频繁操作 配置参数： table.exec.minibatch.enabledtrue table.exec.minibatch.allowlatencyxx table.exec.minibatch.sizexx 3.使用超高IO本地盘规格机型，加速磁盘操作 group agg单点及数据倾斜调优 按天聚合计算或者group by key不均衡场景下，group聚合计算存在单点或者数据倾斜问题，此时，可以通过将聚合计算拆分成LocalGlobal进行优化。配置方式为设置调优参数: table.optimizer.aggphasestrategyTWOPHASE count distinct优化 在count distinct关联key比较稀疏场景下，即使使用LocalGlobal，单点问题依然非常严重，此时可以通过配置以下调优参数进行分桶拆分优化: table.optimizer.distinctagg.split.enabledtrue table.optimizer.distinctagg.split.bucketnumxx 使用filter替换case when: 例如： COUNT(DISTINCT CASE WHEN flag IN ('android', 'iphone')THEN userid ELSE NULL END) AS appuv 可调整为 COUNT(DISTINCT userid) FILTER(WHERE flag IN ('android', 'iphone')) AS appuv 维表join优化 维表join根据左表进入的每条记录join关联键，先在缓存中匹配，如果匹配不到，则从远程拉取。因而，可以通过如下方式优化: 增加JVM内存并增加缓存记录条数 维表设置索引，加快查询速度

本文介绍如何关闭加速服务。 如果客户的网站因业务变更需要关闭全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，天翼云会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作。 删除域名 对域名进行删除操作后，天翼云会直接删除加速域名在节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至节点，则会响应403。 注意事项 停用全站加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云全站加速入口，调整为解析至其他CNAME或A记录。该调整完成后，可以通过客户控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用全站加速域名 1. 登录客户控制台。 2. 左侧导航栏单击选择【域名管理】。 3. 单击【域名列表】，选择对应域名，操作列点击【更多】可看到【停用】按钮。 4.单击【停用】按钮，跳出【停用确认】框，点击【确认停用】后进入停用流程。 如您需要删除已停用域名，等待停用域名流程完成后继续按如下删除加速域名的流程进行操作。

本章节会介绍如何通过命令创建数据库帐户。 创建文档数据库实例时，系统会同步创建默认账户rwuser。您可以根据业务需要，通过默认账户rwuser创建其他数据库账户，之后您可以使用默认账户rwuser或已创建的其他账户对数据库中的数据如库、表、索引等进行操作。 使用须知 为目标实例创建数据库帐户时，建议您开启SSL通道，提高数据的安全性。 对于已有的3.2版本的文档数据库实例，不支持创建数据库帐户，仅可更改管理员帐户rwuser的密码。 在创建数据库帐户时，要指定命令参数passwordDigestor:"server"，具体操作请参见官方文档。 前提条件 成功连接文档数据库实例，请参见《文档数据库服务快速入门》各实例类型下，通过内网和公网连接实例的内容。 帐户说明 为了给文档数据库实例提供管理服务，您在创建数据库实例时，文档数据库服务会自动为实例创建根帐户root（或admin）、监控帐户monitor和备份帐户backup，这些帐户属于天翼云实例管理平台，您不能操作或者使用。如果试图删掉、重命名、修改这些帐户的密码和权限，会导致出错。 对于数据库管理员帐户rwuser，以及您所创建的帐户，允许修改帐户的密码。 默认账户rwuser以及通过rwuser创建的账户，对系统库admin和config权限受限，无法进行正常操作。对自身创建的库表，具有充分的操作权限。 MongoDB的User一般是在某个固定的认证库下创建的。连接数据库时，需要通过参数authenticationDatabase来明确指定对应的认证库。 DDS实例中，默认的rwuser用户的认证库，是admin。

本小节介绍如何使用AntiDDoS流量清洗。 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 本指南通过查看公网IP、开启AntiDDoS告警通知、配置AntiDDoS防护策略，以及查看监控和拦截报告的方式，指导您快速上手AntiDDoS流量清洗服务。 准备环境 1. 登录天翼云控制中心。 2. 在控制中心选择“计算 > 弹性云主机”，创建一台弹性云主机（ECS），用于AntiDDoS流量清洗提供DDoS攻击保护的弹性公网IP。 说明 ECS需要绑定一个弹性IP，具备外网访问权限。 如果用户已有VPC和ECS，可重复使用，无需多次创建。 查看公网IP 1. 选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS流量清洗页面。 2. 选择“公网IP”页签，查看已开启AntiDDoS防护的公网IP。 说明 购买了公网IP后，自动开启AntiDDoS“默认防护”。开启AntiDDoS防护后，即可对开启防护的IP地址提供DDoS攻击保护。 开启AntiDDoS防护后，当检测到报文总流量达到120Mbps时，触发流量清洗功能。如果需要配置AntiDDoS的防护策略，可以修改防护参数。 AntiDDoS为普通用户提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买DDoS高防服务，提升防护能力。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 ::: GPU SRAM存在 Uncorrectable ECC告警 SRAMUncorrectableEccError 重要 GPU卡SRAM出现Uncorrectable ECC Error硬件故障。 如果业务受损，请提交工单。 可能GPU硬件问题导致SRAM故障，导致业务异常退出 主机重启 osReboot 重要 物理机实例重启。 包括： 1. 在管理控制台进行重启操作 2. 通过API接口下发重启指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常重启 serverReboot 重要 物理机实例异常重启。 包括： 1. 操作系统异常导致重启 2. 主机硬件故障导致重启 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 主机关机 osShutdown 重要 物理机实例关机。 包括： 1. 在管理控制台进行关机操作 2. 通过API接口下发关机指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常关机 serverShutdown 重要 物理机实例异常关机。 包括： 1. 主机异常下电 2. 主机硬件故障导致关机 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 网络中断 linkDown 重要 物理机网络中断。 包括： 1. 主机异常关机、重启 2. 交换机故障引起的网络中断 3. 网关节点故障引起的中断 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 PCIE异常 pcieError 重要 物理机PCIe设备硬件故障。 包括： 1. 主板故障 2. PCIe设备故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响网络或硬盘读写业务 硬盘故障 diskError 重要 物理机磁盘故障。 包括： 1. 硬盘背板故障 2. 硬盘本身故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 云存储连接异常 storageError 重要 物理机云硬盘链接异常。 包括： 1. SDI卡故障 2. 远端存储故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 GPU存在infoROM告警 gpuInfoROMAlarm 重要 GPU可能存在硬件问题，导致驱动读取不到inforom信息。 业务可以继续使用该GPU卡，不敏感业务可以继续使用，敏感业务请提交工单处理。 对业务暂时没有影响，当GPU硬件出现ECC故障时，可能无法自动完成故障页隔离，导致业务受损。 GPU发生double bit ECC告警 doubleBitEccError 重要 GPU硬件存在double bit ECC故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU隔离页过多告警 gpuTooManyRetiredPagesAlarm 重要 GPU硬件存在过多ECC隔离页。 如果业务受损，请提交工单。 GPU硬件存在过多ECC故障，可能频繁影响业务运行。 GPU A100 硬件发生ECC告警 gpuA100EccAlarm 重要 GPU卡出现ECC硬件故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU ECC内存页隔离失败告警 eccPageRetirementRecordingFailure 重要 GPU硬件存在ECC故障，驱动自动隔离这些页时失败。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离隔离失败，可能导致业务无法使用GPU。 GPU ECC页隔离告警 eccPageRetirementRecordingEvent 一般 存在ECC硬件错误，发生内存页自动隔离。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 一般随ECC故障告警出现，单独出现不影响业务。 GPU single bit ECC过多告警 highSingleBitEccErrorRate 重要 ECC硬件存在过高ECC single bit错误。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 single bit的错误能够自动恢复，一般不影响GPU相关应用程序。 GPU驱动掉卡告警 gpuDriverLinkFailureAlarm 重要 GPU链路正常，NVIDIA驱动找不到GPU硬件。 建议尝试重启虚拟机恢复业务。如果业务仍然无法恢复，请提交工单。 一般驱动问题导致找不到对应位置的GPU。 GPU卡链路故障告警 gpuPcieLinkFailureAlarm 重要 GPU链路异常，通过lspci无法查看GPU硬件信息。 如果业务受损，请提交工单。 硬件问题导致GPU卡链路异常，驱动无法使用GPU。 虚拟机GPU丢卡告警 vmLostGpuAlarm 重要 虚拟机实际有的GPU卡数量比规格里应分配的GPU卡数量少。 如果业务受损，请提交工单。 虚拟机GPU卡丢失。 GPU显存页告警 gpuMemoryPageFault 重要 GPU显存页发生故障，故障可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致显存故障，导致业务异常退出 GPU图像引擎异常告警 graphicsEngineException 重要 GPU图像引擎发生故障，可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致图像引擎故障，导致业务异常退出。 GPU温度过高告警 highTemperatureEvent 重要 GPU硬件温度过高。 如果业务受损，请提交工单。 GPU温度超过温度阈值，可能会引起GPU卡性能下降 GPU NVLINK链路错误告警 nvlinkError 重要 NVLINK的链路出现硬件故障。 如果业务受损，请提交工单。 NVLINK链路故障，影响业务使用GPU nvlink能力。 nvidiasmi命令卡住 nvidiaSmiHangEvent 重要 nvidiasmi命令超时，该命令可能卡住 如果业务受损，请提交工单。 可能是命令执行过程中，触发驱动问题，导致命令卡住，同时可能出现业务使用驱动报错问题。

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

OIDC（OpenID Connect）是基于OAuth 2.0协议的身份验证层，用于实现单点登录（SSO）和身份验证。服务网格支持对接符合OIDC规范的IDP（Identity Provider），实现单点登录能力。 OIDC策略配置说明 配置项 说明 安全策略名称 策略名称，如testoidc 登录重定向地址 登录完成后重定向到的目标服务地址 callbackUrl 基于重定向地址拼接生成的重定向URL OIDC颁发者URL OIDC颁发者的地址，用于发现IDP的配置信息 颁发者提供的客户端ID(ClientID) IDP授权接入的客户端的ID 颁发者提供的客户端密钥(ClientSecret) IDP授权接入的客户端的Secret Cookie密钥 用于对Cookie进行加解密，保证Cookie安全性 Cookie过期时间(s) 到达该时间后Cookie会过期，设置为0则在浏览器关闭时Cookie才会过期 Cookie刷新时间(s) 每间隔该时间刷新Cookie，设置为0关闭 用户信息范围Scopes 获取用户的信息范围配置 OIDC策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关

本文主要介绍 容器隧道网络。 容器隧道网络模型 容器隧道网络在节点网络基础上通过隧道封装构建的独立于节点网络平面的容器网络平面，CCE集群容器隧道网络使用的封装协议为VXLAN，后端虚拟交换机采用的是openvswitch，VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器隧道网络具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如NetworkPolicy网络隔离）的优势，可以满足大多数性能要求不高的场景。 图 容器隧道网络 说明 节点内Pod间通信：同节点的Pod间通信直接通过本节点的ovs网桥直接转发。 跨节点Pod间通信：所有跨节点Pod间的通信通过ovs隧道网桥进行封装后，转发到对端节点上。 优缺点 优点 容器网络和节点网络解耦，不受VPC配额规格、响应速度的限制（如VPC路由条目数、弹性网卡数、创建速度限制） 支持网络隔离，具体请参见网络策略（ NetworkPolicy ） 支持带宽限制 支持大规模组网 缺点 由于隧道封装，网络问题排查难度较大，整体性能较低 无法直接利用VPC提供的负载均衡、安全组等能力 不支持外部网络与容器IP直通

Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 正则防护 经验规则集，自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 0day漏洞 0day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC安全防护 根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。

本章节主要介绍 1.3 升级1.8 VirtualService支持Delegate切换 操作场景 1.8版本的网格默认支持VirtualService的Delegate功能，同时ASM控制台界面也仅支持delegate格式的VirtualService，升级版本并不会对用户的VirtualService进行修改，在升级后用户将无法在页面对路由进行维护，因此用户需要根据本文指导对应用VirtualService进行修改。 说明 对于delegate的介绍可以参考istio社区的说明： Delegate 约束与限制 只有在route和redirect为空时才能设置Delegate。 ASM只支持一级Delegate，多级Delegate不会生效。 Delegate VirtualService的HTTPMatchRequest必须是root virtualservice的子集，否则会产生冲突。 Delegate特性只对HTTP/GRPC协议有效，其他协议无需修改。 操作步骤 修改将分两种情况，下面以加入网格的tomcat服务为例。 一、若升级前服务未添加网关，则升级后进行如下修改，若升级前进行修改则apiVersion不变： 修改apiVersion: networking.istio.io/v1alpha3为apiVersion: networking.istio.io/v1beta1 二、若升级前服务添加了网关，则升级后进行如下修改，若升级前进行修改则apiVersion不变： 1.为网格所在集群配置kubectl命令，参考CCE控制台集群详情页的指导进行配置。 2.在istiosystem命名空间下创建两个virtualservice YAML文件。 文件名：tomcatdefaultgateway.yaml 其中， −tomcat：为修改的服务名 −tomcatdefaultgateway：为该virtualservice名，格式为{服务名}defaultgateway −tomcatroute：为修改virtualservice的名字 −100.85.219.117：为ELB的IP apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: tomcatdefaultgateway namespace: istiosystem spec: gateways: istiosystem/tomcatdefaultgateway hosts: 100.85.219.117 http: delegate: name: tomcatroute namespace: default match: uri: prefix: /test 文件名：tomcatroutedefault.yaml 其中， −tomcat：为修改的服务名 −tomcatroutedefault：为该virtualservice名，格式为{服务名}routedefault −tomcatroute：为修改virtualservice的名字 apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: tomcatroutedefault namespace: istiosystem spec: hosts: tomcat.default.svc.cluster.local http: delegate: name: tomcatroute namespace: default match: uri: prefix: / 使用如下命令创建virtualservice。 kubectl create f tomcatroutedefault.yaml kubectl create f tomcatdefaultgateway.yaml 3.kubectl n{namespace} get vs获取到服务的virtualservice，执行kubectl n{namespace} edit vs tomcatroute修改如下： a.删除spec.gateways、spec.hosts和spec.http.match.uri b.tomcatdefaultgateway.istiosystem.svc.cluster.local替换成istiosystem/tomcatdefaultgateway c.修改apiVersion: networking.istio.io/v1alpha3为apiVersion: networking.istio.io/v1beta1 d.destination.host:格式为{服务名}.{namespace}.svc.cluster.local apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: tomcatroute namespace: default spec: gateways: tomcatdefaultgateway.istiosystem.svc.cluster.local mesh hosts: tomcat 100.85.219.117 http: match: gateways: istiosystem/tomcatdefaultgateway port: 5555 uri: prefix: /test route: destination: host: tomcat.default.svc.cluster.local port: number: 8080 subset: v1 match: gateways: mesh port: 8080 route: destination: host: tomcat.default.svc.cluster.local port: number: 8080 subset: v1 4.升级完成后在服务列表页面，单击外部访问URL，检查访问是否正常。 5.在服务网关页面，检查服务网关路由是否显示正常。

参数 参数说明 计费模式 包年/包月：预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。包年/包月集群创建后不能删除。 按需计费：后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 本节以“按需计费”类型为例进行讲解。 区域 不同区域的云服务产品之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 集群名称 新建集群的名称，创建后不可修改。 集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 版本 Kubernetes社区基线版本，建议选择最新的版本。版本升级请参见集群版本升级说明。 若有 Beta 版本时，您可以选择试用，但不建议您将该版本用于商用场景。 集群管理规模 集群管理规模是指当前集群的控制节点可以管理的最大工作节点规模，您可以选择50节点、200节点、1000节点三种管理规模，请根据您的业务需求选择，该规模在集群创建后不可更改，请慎重选择。 若选择“1000节点”，表示当前集群的控制节点最多可管理1000个工作节点。由于不同管理规模的控制节点规格不同，因此配置费用会有差异。 任何一个集群中均包含“Master Node”和“Worker Node”，每一个Node对应一台云服务器。 Master Node：集群的控制节点，在创建集群时会自动创建控制节点，负责整个集群的管理和调度。 Worker Node：集群的工作节点，即用户购买或纳管的节点。工作负载是由控制节点分配的，当某个工作节点宕机时，控制节点会将工作负载转移到其他工作节点上。 控制节点数 多控制节点模式开启后将创建三个控制节点，在单个控制节点发生故障后集群可以继续使用，不影响业务功能。 多控制节点模式开关在集群创建完成后不可变更。 商用场景建议选择多控制节点模式集群。 虚拟私有云 新建集群所在的虚拟私有云，集群创建后不可更改。 虚拟私有云是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 若没有虚拟私有云可选择，请单击“创建虚拟私有云”进行创建，完成创建后单击刷新按钮。 所在子网 节点虚拟机运行的子网环境，集群创建后不可更改。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 若没有子网可选择，请单击“创建子网”进行创建，完成创建后单击刷新按钮。虚拟私有云、子网、集群的关系请参见集群概述。 请确保子网下的DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 集群创建后子网无法修改，请谨慎选择。 网络模型 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 容器隧道网络下只能添加同一类型的节点，即全部为虚拟机节点或全部为裸金属节点。 基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。 VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面等优势，可以满足大多数应用需求。 VPC 网络 VPC网络模式下每个节点占用一条VPC路由规则，Console界面中可显示当前局点支持的VPC路由规则条数，以及每个节点可供分配的容器IP个数（即可创建的Pod实例数目上限）， VPC路由方式与底层网络深度整合，适用于高性能场景，但每个节点占用一条VPC路由规则，节点数量受限于虚拟私有云VPC的路由配额。 VPC网络集群下的每个节点将会被分配固定大小的IP地址段，由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 容器网段 请根据业务需求选择容器网段，确定容器网段后，容器实例将在规划的网段内分配IP，集群创建后该网段不可更改。 未勾选“自动选择”：请手动选择网段。若与子网网段有冲突时将有红色文字提示，请重新选择。建议使用网段：10.0.0.0/8~18，172.16.0.0/16~18，192.168.0.0/16~18。 不同集群使用相同的容器网段，会导致容器IP 冲突，应用访问异常。 勾选“自动选择”：系统将自动分配与子网网段无冲突的网段。 容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。设置掩码后，选项下方会有当前网段最多支持的实例估算值，请作参考。 服务网段 服务网段为kubernetes service ip网段，集群创建后该网段不可更改。服务网段与已创建的路由不能冲突，如果冲突，请重新选择。 使用默认网段：默认设置为10.247.0.0/16网段。 手动设置网段：请根据业务需求设置合理的网段和掩码，掩码决定集群内可用service ip数量。 认证方式 认证机制主要用于对集群下的资源做权限控制。例如A用户只能对某个命名空间下的应用有读写权限，B用户对集群下的资源只有读权限等。角色权限控制的操作请参见集群管理权限控制。 默认状态下不选定“认证能力增强”，此时默认开启X509认证模式，X509是一种非常通用的证书格式。 若需要对集群进行权限控制，请勾选“认证能力增强”，选择“认证代理”。 单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书，并 勾选“我已确认上传的证书合法” 。 证书若不合法，集群将无法创建成功。请上传小于1MB的文件，上传格式支持.crt或.cer格式。 集群描述 选填，请输入新建容器集群相应的描述信息。 高级设置 单击“高级设置”后展开详细项目，支持的功能如下（当前可用区中不支持的功能将隐藏）： 服务转发模式： iptables：社区传统的kubeproxy模式，完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题。 ipvs：在社区获得广泛支持的kubeproxy模式，采用增量式更新，吞吐更高，速度更快，并可以保证service更新期间连接保持不断开，适用于大规模场景。 ipvs模式下，ingress和service使用相同的ELB实例时，无法在集群内的节点和容器中访问ingress。 说明 ipvs为大型集群提供了更好的可扩展性和性能。 ipvs支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。 ipvs支持服务器健康检查和连接重试等。 CPU 管理策略： 开启：支持给工作负载实例配置CPU独占，适用于对CPU缓存和调度延迟敏感的工作负载。 关闭：关闭工作负载实例独占CPU核的功能，优点是CPU共享池的可分配核数较多。 购买时长 若选择创建“包年/包月”的集群，请设置购买时长。

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

本文向您介绍通过企业版VPN实现数据中心和VPC互通第五步：配置对端网关设备。 操作步骤 说明 本示例对端网关以华为AR路由器为例。 1. 登录AR路由器配置界面。 2. 进入系统视图。 shell systemview 3. 配置公网接口的IP地址。本示例假设AR路由器GigabitEthernet 0/0/8为公网接口。 shell [AR651]interface GigabitEthernet 0/0/8 [AR651GigabitEthernet0/0/8]ip address 22.xx.xx.22 255.255.255.0 [AR651GigabitEthernet0/0/8]quit 4. 配置默认路由。 shell [AR651]ip routestatic 0.0.0.0 0.0.0.0 22.xx.xx.1 其中，22.xx.xx.1为AR路由器公网IP的网关地址，请根据实际替换。 5. 开启SHA2算法兼容RFC标准算法功能。 shell [AR651]IPsec authentication sha2 compatible enable 6. 配置IPsec安全提议。 shell [AR651]IPsec proposal hwproposal1 [AR651IPsecproposalhwproposal1]esp authenticationalgorithm sha2256 [AR651IPsecproposalhwproposal1]esp encryptionalgorithm aes128 [AR651IPsecproposalhwproposal1]quit 7. 配置IKE安全提议。 shell [AR651]ike proposal 2 [AR651ikeproposal2]encryptionalgorithm aes128 [AR651ikeproposal2]dh group14 [AR651ikeproposal2]authenticationalgorithm sha2256 [AR651ikeproposal2]authenticationmethod preshare [AR651ikeproposal2]integrityalgorithm hmacsha2256 [AR651ikeproposal2]prf hmacsha2256 [AR651ikeproposal2]quit 8. 配置IKE对等体。 shell [AR651]ike peer hwpeer1 [AR651ikepeerhwpeer1]undo version 1 [AR651ikepeerhwpeer1]presharedkey cipher Test@123 [AR651ikepeerhwpeer1]ikeproposal 2 [AR651ikepeerhwpeer1]localaddress 22.xx.xx.22 [AR651ikepeerhwpeer1]remoteaddress 11.xx.xx.11 [AR651ikepeerhwpeer1]rsa encryptionpadding oaep [AR651ikepeerhwpeer1]rsa signaturepadding pss [AR651ikepeerhwpeer1]ikev2 authentication signhash sha2256 [AR651ikepeerhwpeer1]quit [AR651]ike peer hwpeer2 [AR651ikepeerhwpeer2]undo version 1 [AR651ikepeerhwpeer2]presharedkey cipher Test@123 [AR651ikepeerhwpeer2]ikeproposal 2 [AR651ikepeerhwpeer2]localaddress 22.xx.xx.22 [AR651ikepeerhwpeer2]remoteaddress 11.xx.xx.12 [AR651ikepeerhwpeer2]rsa encryptionpadding oaep [AR651ikepeerhwpeer2]rsa signaturepadding pss [AR651ikepeerhwpeer2]ikev2 authentication signhash sha2256 [AR651ikepeerhwpeer2]quit 相关命令说明如下： presharedkey cipher：预共享密钥，需要和VPN连接配置的预共享密钥保持一致。 localaddress：AR路由器的公网地址。 remoteaddress：VPN网关的主EIP/主EIP2。 9. 配置IPsec安全框架。 shell [AR651]IPsec profile hwpro1 [AR651IPsecprofilehwpro1]ikepeer hwpeer1 [AR651IPsecprofilehwpro1]proposal hwproposal1 [AR651IPsecprofilehwpro1]pfs dhgroup14 [AR651IPsecprofilehwpro1]quit [AR651]IPsec profile hwpro2 [AR651IPsecprofilehwpro2]ikepeer hwpeer2 [AR651IPsecprofilehwpro2]proposal hwproposal1 [AR651IPsecprofilehwpro2]pfs dhgroup14 [AR651IPsecprofilehwpro2]quit 10. 配置虚拟隧道接口。 shell [AR651]interface Tunnel0/0/1 [AR651Tunnel0/0/1]mtu 1400 [AR651Tunnel0/0/1]ip address 169.254.70.1 255.255.255.252 [AR651Tunnel0/0/1]tunnelprotocol IPsec [AR651Tunnel0/0/1]source 22.xx.xx.22 [AR651Tunnel0/0/1]destination 11.xx.xx.11 [AR651Tunnel0/0/1]IPsec profile hwpro1 [AR651Tunnel0/0/1]quit [AR651]interface Tunnel0/0/2 [AR651Tunnel0/0/2]mtu 1400 [AR651Tunnel0/0/2]ip address 169.254.71.1 255.255.255.252 [AR651Tunnel0/0/2]tunnelprotocol IPsec [AR651Tunnel0/0/2]source 22.xx.xx.22 [AR651Tunnel0/0/2]destination 11.xx.xx.12 [AR651Tunnel0/0/2]IPsec profile hwpro2 [AR651Tunnel0/0/2]quit 相关命令说明如下： interface Tunnel0/0/1、interface Tunnel0/0/2：两条VPN连接对应的Tunnel隧道。 本示例中，Tunnel0/0/1对应VPN网关主EIP所在的VPN连接；Tunnel0/0/2对应VPN网关主EIP2所在的VPN连接。 ip address：AR路由器的Tunnel接口地址。 source：AR路由器的公网地址。 destination：VPN网关的主EIP/主EIP2。 11. 配置NQA。 shell [AR651]nqa testinstance IPsecnqa1 IPsecnqa1 [AR651nqaIPsecnqa1IPsecnqa1]testtype icmp [AR651nqaIPsecnqa1IPsecnqa1]destinationaddress ipv4 169.254.70.2 [AR651nqaIPsecnqa1IPsecnqa1]sourceaddress ipv4 169.254.70.1 [AR651nqaIPsecnqa1IPsecnqa1]frequency 15 [AR651nqaIPsecnqa1IPsecnqa1]ttl 255 [AR651nqaIPsecnqa1IPsecnqa1]start now [AR651nqaIPsecnqa1IPsecnqa1]quit [AR651]nqa testinstance IPsecnqa2 IPsecnqa2 [AR651nqaIPsecnqa2IPsecnqa2]testtype icmp [AR651nqaIPsecnqa2IPsecnqa2]destinationaddress ipv4 169.254.71.2 [AR651nqaIPsecnqa2IPsecnqa2]sourceaddress ipv4 169.254.71.1 [AR651nqaIPsecnqa2IPsecnqa2]frequency 15 [AR651nqaIPsecnqa2IPsecnqa2]ttl 255 [AR651nqaIPsecnqa2IPsecnqa2]start now [AR651nqaIPsecnqa2IPsecnqa2]quit 相关命令说明如下： nqa testinstance IPsecnqa1 IPsecnqa1、nqa testinstance IPsecnqa2 IPsecnqa2：NQA名称。 本示例中，IPsecnqa1对应VPN网关主EIP所在的VPN连接；IPsecnqa2对应VPN网关主EIP2所在的VPN连接。 destinationaddress：VPN网关的Tunnel接口地址。 sourceaddress：AR路由器的Tunnel接口地址。 12. 配置静态路由联动NQA功能。 shell [AR651]ip routestatic 192.168.0.0 255.255.255.0 Tunnel0/0/1 track nqa IPsecnqa1 IPsecnqa1 [AR651]ip routestatic 192.168.0.0 255.255.255.0 Tunnel0/0/2 track nqa IPsecnqa2 IPsecnqa2 相关参数说明如下： 192.168.0.0：VPC的本端子网。 同一条命令中，Tunnelx 和IPsecnqax需要同属于一条VPN连接。

本节为您详细介绍包周期计费模式编码套餐 编码套餐（Coding Plan）是专为AI编码场景打造的套餐订阅服务，仅需按固定周期付费，即可在主流AI开发工具中畅享热门模型，获得便捷、稳定、流畅的编码体验。 GLM Lite GLM Pro GLM Max 适用场景 适合处理轻量的开发任务 适合处理复杂项目的开发任务 适合处理海量负载的开发任务 包月价格 49元/月 149元/月 469元/月 包年价格 479/年 1439元/年 4509元/年 支持模型 GLM5.1 GLM5Turbo GLM4.7 GLM4.6 GLM4.5 GLM4.5Air GLM5.1 GLM5 GLM5Turbo GLM4.7 GLM4.6 GLM4.5 GLM4.5Air GLM5.1 GLM5 GLM5Turbo GLM4.7 GLM4.6 GLM4.5 GLM4.5Air 用量限制 每 5 小时最多约80 次prompts 每周最多约400次prompts 每月最多约1,600次prompts Lite编码套餐的5倍 每 5 小时最多约400 次prompts 每周最多约2,000 次prompts 每月最多约8,000次prompts Pro编码套餐的4倍 每 5 小时最多约1,600 次prompts 每周最多约8,000 次prompts 每月最多约32,000次prompts 账号购买限制：每个天翼云用户同时只能购买一个编码套餐(不区分包月/包年的Lite、Pro、Max)，目前仅支持主账号发起购买。 套餐生效策略：购买成功后立即生效。 套餐升级/续费：即将支持，敬请期待。套餐过期后支持手动再次购买。 套餐退款规则：编码套餐一经购买成功即视为确认，不支持退订/退款。即使末使用套餐，费用也无法退回。建议根据使用需求选择合适的编码套餐和时间周期。

前置说明 1. 该文档为在科研助手上使用OpenManus快速代码生成的说明。OpenManus 目前为开源测试版本，仍处于开发与优化阶段，可能存在功能不稳定或未完善的情况。用户在使用过程中需自行甄别潜在问题，并承担可能产生的风险。我们建议用户在关键任务中谨慎使用。感谢您的理解与支持！ 2. 本产品中的模型由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责。 3. 如您在使用过程中遇到了问题或需要反馈的内容，可通过客服工单的方式，向我们进行咨询和反馈，我们将及时进行回复和处理。 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“OpenManus智能体”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 配置 算力型号 可用区 ::: 推荐配置 GPU.gn4.2xl1 贵阳2 这里以可用区贵阳2的GPU.gn4.2xl1为例，【镜像框架】中框架版本已默认选好【社区镜像】的“openmanusvnccuda11.”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

场景说明 RocketMQ的修改实例的场景描述如下： 在使用RocketMQ时，可能会遇到需要修改实例的场景，例如： 业务变更：当业务需求发生变化，需要修改RocketMQ实例的名称以反映新的业务逻辑时，可以进行实例名称的修改。例如，当新增或调整了某个业务模块，需要将其对应的实例名称修改为更准确的名称，以便于管理和监控。 消息处理速度优化：当消息的处理速度较慢或不稳定时，可以通过调整消息保存时长参数来优化消息的处理效率。例如，可以缩短消息的保存时长，减少消息在系统中的停留时间，以提高消息的实时性和处理速度。 安全配置修改：当需要修改RocketMQ实例的安全配置时，可以进行相应的修改。 需要注意的是，在进行实例的修改时，应该谨慎操作，并根据实际需求和系统情况进行调整。同时，修改实例时应该遵循RocketMQ的最佳实践和建议，以确保系统的稳定性和性能。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、进入实例列表，在实例名称点击修改按钮，直接修改实例名称字段。 4、 点击【管理】按钮进入管理菜单。点击修改配置，在弹出窗口修改实例描述和消息保存时长等信息。 注意 实例描述长度限制为0~256个字符。 您可以调整消息保存时长参数，实现消息容量消耗的控制。安全生产和稳定性保障限制，消息需要至少保留24小时。 要完整支持延时消息的功能，消息需要至少保留48小时。 4、 点击修改安全组，选择变更用户安全组。

本文介绍全站加速按量计费和资源包管理的功能说明。 功能介绍 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 按量服务 前置须知 通过天翼云官网购买全站加速产品的客户，计费方式仅支持在“流量”和“日带宽峰值”之间操作变更，且计费方式变更将于次日00：00生效。全球（不含中国内地）不同计费区域的计费方式需保持一致。计费方式变更生效前，允许多次变更操作，按照最终变更修改为准。 当全球(不含中国内地)基础服务的按量计费为“服务中”，且任一计费区域存在状态为“使用中”或“冻结”的资源包，则不支持变更加速区域或退订同产品基础服务的按量计费；若您有变更加速区域或退订基础服务按量计费的需求，请先完成全球(不含中国内地)资源包的退订。 操作指导 1. 登录客户控制台。 2. 单击左侧导航栏【计费详情】【全站加速】。若您未开通全站加速按量计费，可单击【立即开通全站加速】，进入对应详情页面，完成全站加速按量计费的订购。 3. 若您已开通全站加速按量计费服务，可单击【操作】列下的相应功能入口，进入对应详情页面，完成各类操作变更。 资源包服务

本文将为您介绍删除伸缩组的具体操作流程。 操作场景 当您不再需要某个伸缩组时，可以删除此伸缩组。天翼云提供两种伸缩组删除方式： 普通删除：伸缩组无正在进行中的伸缩活动时，才可被删除。 强制删除：伸缩组将被立即删除，若伸缩组有正在进行中的伸缩活动，待活动执行完后，原伸缩组内的实例将被移出或移出并释放。 若您删除了伸缩组，将自动执行如下操作： 伸缩组内自动创建的实例将被移出伸缩组并被释放。 手动移入的实例将被自动移出伸缩组但不会被释放。 伸缩组绑定的伸缩策略将被删除。 伸缩配置会被解绑但不会被删除。 注意 若您只是某个时间段不使用伸缩组，建议您优先选择停用伸缩组的方式，而不是直接删除。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在待删除伸缩组所在行，单击“操作”列的“更多”，下拉选择“删除”。 5. 在“删除”弹窗中，需选择伸缩组的删除方式：普通删除或强制删除。 普通删除：伸缩组必须没有任何正在进行中的伸缩活动，才能成功删除，否则删除会失败。 强制删除：无论伸缩组是否满足无任何正在进行中的伸缩活动的条件都将被立即删除，删除后，伸缩组关联的伸缩活动将在执行完成后，根据实例类型执行移出或移出并释放操作。

本章节主要介绍如何安装天翼云linux物理机重置密码插件。 步骤 1 ： 查物理机服务是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 1.1. 登录物理机服务。 1.2. 检查是否已安装CloudrResetPwdAgent。检查方法如下： a. 确认物理机服务的根目录下，存在CloudrResetPwdAgent目录。 b. 执行以下命令，确认CloudResetPwdAgent的状态不是“unrecognized service”。 service cloudResetPwdAgent status 检查结果同时满足以上两个要求，表示物理机服务已安装插件CloudResetPwdAgent。 是，执行步骤1.3。 否，执行步骤2。 1.3. 检查是否已安装CloudResetPwdUpdateAgent。检查方法如下： a. 确认物理机服务的根目录下，存在CloudResetPwdUpdateAgent目录。 b. 执行以下命令，确认CloudResetPwdUpdateAgent的状态不是“unrecognized service”。 service cloudResetPwdUpdateAgent status 检查结果同时满足以上两个要求，表示物理机服务已安装插件CloudResetPwdUpdateAgent。 是，结束。 否，执行步骤2。 步骤 2 ： 下载一键式重置密码插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 下载并解压软件包CloudResetPwdAgent.zip。 下载地址请参见CloudResetPwdAgentLinux。 步骤 3 ： 安装一键式重置密码插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 1. 将步骤2中解压后的文件放置在物理机服务的同一目录下，否则会安装失败。 说明 安装插件对解压后文件在物理机服务的具体放置目录无特殊要求，只需保证存放在同一目录下即可。 2. 执行以下命令，进入文件CloudResetPwdUpdateAgent.Linux。 cd CloudResetPwdUpdateAgent.Linux 3. 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 4. 执行以下命令，安装插件。 sudo sh setup.sh 5. 执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status service cloudResetPwdUpdateAgent status 如果服务CloudResetPwdAgent和CoudResetPwdUpdateAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

如何取消云硬盘自动备份？ 您可以通过以下两种方式取消云硬盘自动备份： 将待取消的自动备份策略启用状态设置为“停用”。 将待取消的自动备份策略从云硬盘资源与存储库中解绑。 如何自动删除过期备份？ 云硬盘备份的过期备份可以通过预设备份策略中的保留规则来自动删除。 当用户创建备份策略时，保留规则是很重要的配置项，用户可以在保留规则中选择按时间保留：可选择1个月、3个月、6个月、1年的固定保留时长或根据需要自定义保留时长。取值范围为1～99999天，保留的备份超过预设时间时，系统会自动删除所有过期的备份。 我设置了保留规则，为什么备份没有按照保留规则进行删除？ 1. 备份策略的启用状态为“停用”状态，且保留规则为按数量保留时，备份不会按照策略中的保留规则进行自动删除，需要您将备份策略启用。 2. 若您在策略生效期间修改了保留规则，也可能会出现备份没有被自动删除的情况。需要您确认保留规则，并将其修改为符合您业务需求的状态。 一个云硬盘能绑定多少个策略？绑定新的备份策略会对备份有何影响？ 一个云硬盘在同一时间内仅能绑定一个策略，执行一种备份策略进行备份。 若要为一个云硬盘绑定某一个备份策略，但此云硬盘已有其他策略绑定，云硬盘会自动从旧的备份策略解绑，旧的策略中配置的备份周期、保留规则等信息将不再对此硬盘生效，存量的备份副本将会按照新的备份策略进行保留和删除。

为了更方便部署,当前多地域资源池可使用云主机启动模版部署DeepSeekR1大模型。通过创建启动模板,可以一键从模板开通多台云主机,快速拉起服务。 当前功能邀测中,您可提交工单进行申请。 前置步骤 进入创建云主机启动模板页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“产品服务列表>弹性云主机”，进入计算控制台，单击“云主机启动模板”，进入启动模板列表页。 3. 单击“创建启动模板”，进入云主机实例模版创建页。 大模型服务器启动模板配置 1. 根据业务需求配置“计费模式”、“地域”、“可用区”、“企业项目”、“虚拟私有云”等。 2. 选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型pi7"、"规格"为"pi7.4xlarge.4"。 3. 选择镜像。“镜像类型”选择“镜像市场”，在云镜像市场中选择预置了DeepSeekR1模型的DeepSeekR17BUbuntu22.04镜像。 注意 本镜像推荐配置：内存≥8G、显存≥16G。 注意 目前提供了预装多种量化精度、多种参数量的模型，如您有需求，也可在云镜像市场中进行选择。 4. 设置云盘类型和大小。 5. 根据需要设置网络，包括"网卡"、"安全组"，同时配备 "弹性IP" 用于下载和访问模型；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 6. 填写此模板名称，创建启动模板。

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。