本节为您介绍如何跨账号授权。 操作场景 天翼云SDWAN支持跨账号授权，向对方账号授权智能网关实例资源后，对方账号SDWAN网络中可添加您的智能网关，需要谨慎操作，一个智能网关只能授权给一个用户。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“跨账号授权”，单击“已授权网络实例”页签，单击“授权”按钮。 5. 在“授权网络实例”的弹框中，根据提示配置参数，具体参数配置如下： 参数 说明 智能网关 请选择当前账号下的智能网关。 对方账号ID 请输入需要授权的对方账号ID。 对方SDWAN 实例ID 请输入需要授权的对方SDWAN实例ID。 描述 添加描述，可选。 6. 单击“确认”按钮。 7. 单击“被授权网络实例”页签，可以查看授权SDWAN的名称、被授权网络资源、授权资源账号等内容。

功能 功能说明 产品识别并针对不同性质的事件生成相应的消息通知。例如，套餐用量使用方面，当短信使用出现超量事件时，系统会自动生成对应的通知消息，消息通知需要由客户进行设定通知的方式、通知对象以便更及时的进行消息传递。 为了实现高效、稳定的通知服务，产品除了自身携带的通知网关后，还支持接入多种网关，比如阿里云短信服务网关。

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。

采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具 以cloudinit0.7.9版本为例，CloudInit工具的安装步骤如下。 1.下载cloudinit0.7.9.tar.gz源码包（推荐优先选用0.7.9版本），上传到云主机指定目录“/home/”下。 cloudinit0.7.9.tar.gz源码包下载地址： 2.在“~/.pip/”目录下新建pip.conf文件，编辑内容如下。 说明： “~/.pip/”若不存在，可使用命令mkdir ~/.pip命令新建。 [global] indexurl trustedhost 说明： 编辑内容中 部分可以选择公网PyPI源或教育网PyPI源进行替换。 公网PyPI源： 教育网PyPI源： 3.执行以下命令，安装本地下载的CloudInit源码包，安装过程中根据需要选择upgrade参数。 pip install [upgrade] /home/cloudinit0.7.9.tar.gz 4.执行命令cloudinit v，如回显如下类似信息表示安装CloudInit成功。 cloudinit 0.7.9 5.设置CloudInit相关服务为开机自启动。 −若操作系统是sysvinit自启动管理服务，则执行以下命令进行设置。 chkconfig add cloudinitlocal; chkconfig add cloudinit; chkconfig add cloudconfig; chkconfig add cloudfinal chkconfig cloudinitlocal on; chkconfig cloudinit on; chkconfig cloudconfig on; chkconfig cloudfinal on service cloudinitlocal status; service cloudinit status; service cloudconfig status; service cloudfinal status −若操作系统是systemd自启动管理服务，则执行以下命令进行设置。 systemctl enable cloudinitlocal.service cloudinit.service cloudconfig.service cloudfinal.service systemctl status cloudinitlocal.service cloudinit.service cloudconfig.service cloudfinal.service 注意： 采用官方提供的CloudInit源码包通过pip方式进行安装时要注意以下两点。 1.CloudInit安装时需要添加syslog用户到adm组。存在syslog用户时直接添加syslog用户到adm组。不存在syslog用户时（如CentOS和SUSE），执行下列命令创建syslog用户，添加到adm组： useradd syslog groupadd adm usermod g adm syslog 2.在“/etc/cloud/cloud.cfg”中systeminfo部分的distro要根据具体操作系统发行版本做相应修改（如根据具体操作系统发行版相应修改为：distro: ubuntu，distro: sles，distro: debian，distro: fedora）。

接口描述：调用本接口查询域名的IP地址，及ip对应的区域，运营商信息 请求方式：post 请求路径：/auxiliarytools/queryvipsdetailbydomain 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 ::::: domain list 是 域名列表 最多支持５个 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码 message string 是 描述信息 result list 否 返回结果数组 result[].domain string 否 域名 result[].details list 否 域名对应的vip列表信息 result[].details[ ].vips string 否 vip信息，多个用逗号“,”分割 result[].details[ ].cityName string 否 城市名称 result[].details[ ].nodename string 否 节点名称 result[].details[ ].provinceName string 否 省份名 result[].details[ ].ispName string 否 运营商名称 示例： 请求路径： 请求参数： { "domain":[ "test.ctyun.cn" ] } 返回结果： { "code": 100000, "message": "success", "result": [ { "domain": "test.ctyun.cn", "details": [ { "vips": "xx.xx.xx.xx,xx:xx:xx:xx::", "cityName": "呼和浩特市", "nodename": "xxx1", "provinceName": "内蒙古自治区", "ispName": "中国电信" }, { "vips": "xx.xx.xx.xx,xx:xx:xx:xx::", "cityName": "通州区", "nodename": "xxx2", "provinceName": "北京市", "ispName": "中国电信" } ] } ] } 错误码请参考：参数code和message含义

本节为您介绍管理应用识别DPI的操作场景、前提条件、操作步骤。 操作场景 用户可以在监控平台查看自定义应用的流量访问情况。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云SDWAN实例、智能网关的创建与配置，且智能网关已绑定SDWAN。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称。 5. 单击“自定义应用”页签，然后开启“DPI功能”。 6. 单击“查看监控项”。 7. 可跳转至管理与部署控制台，查看应用监控。

对应权限表 控制台接口 权限三元组 配置支持 控制台接口 权限三元组 IAM（资源池/全局） 企业项目（资源组） 创建sdwan SDWAN:SDWAN:create √ √ 查看sdwan列表 SDWAN:SDWAN:list √ √ 修改sdwan SDWAN:SDWAN:update √ √ 删除sdwan SDWAN:SDWAN:delete √ √ 创建edge互联关系 SDWAN:edgebranch:create √ √ 删除edge互联关系 SDWAN:edgebranch:delete √ √ 开启链路监控 SDWAN:linkdetect:create √ √ 关闭链路监控 SDWAN:linkdetect:delete √ √ 智能网关链路配置 SDWAN:edge:linkconfig √ √ 查看链路探测目的IP SDWAN:detectip:list √ √ 绑定sdwan SDWAN:edgebindsdwan:create √ √ 解绑sdwan SDWAN:edgebindsdwan:delete √ √ 创建snat SDWAN:snat:create √ √ 修改snat SDWAN:snat:update √ √ 删除snat SDWAN:snat:delete √ √ 查看snat SDWAN:snat:list √ √ 创建dnat SDWAN:dnat:create √ √ 删除dnat SDWAN:dnat:delete √ √ 查看dnat SDWAN:dnat:list √ √ 添加静态路由 SDWAN:edgestaticroute:create √ √ 删除静态路由 SDWAN:edgestaticroute:delete √ √ 查看静态路由 SDWAN:edgestaticroute:list √ √ 创建acl SDWAN:acl:create √ √ 查看acl SDWAN:acl:list √ √ 修改acl SDWAN:acl:update √ √ 删除acl SDWAN:acl:delete √ √ 绑定acl SDWAN:acledge:bind √ √ 解绑acl SDWAN:acledge:unbind √ √ 创建qos SDWAN:qos:create √ √ 查看qos SDWAN:qos:list √ √ 修改qos SDWAN:qos:update √ √ 删除qos SDWAN:qos:delete √ √ 绑定qos SDWAN:edgebindqos:create √ √ 解绑qos SDWAN:edgebindqos:delete √ √ 查询可创建互联的智能网关 SDWAN:edgebranch:listedge √ √ 激活智能网关 SDWAN:edgeactive:create √ √ 恢复出厂设置 SDWAN:edgeactive:delete √ √ 网络配置 SDWAN:edgenetconfig:create √ √ 查看智能网关列表 SDWAN:edgeinfo:list √ √ 订购智能网关 SDWAN:sdwan:new √ √ 退订智能网关 SDWAN:sdwan:refund √ √

本文介绍实时云渲染的主要应用场景。 智慧党建 红色党会、党建元宇宙等超大型宣传展会需要瞬时超高GPU算力进行运行支撑，个人投建硬件采购成本高，需要降低成本。实时云渲染拥有海量GPU资源，您只需提供执行应用包接入实时云渲染，即可构造栩栩如生的数字新空间。 虚拟演唱会 虚拟演唱会是通过虚拟化身实现多人在线交互活动，是超越次元的元宇宙热点活动。基于实时云渲染强大的图形渲染算力和优秀的网络串流技术，可以轻松打造漫展、蹦迪、演唱会等各种虚拟活动，帮助您建立品牌元宇宙UGC社区，增强营销效应。 教育培训仿真实训 学校/企业可以自行上传仿真实验课件，利用实时云渲染平台进行实时渲染，即可自动适配各终端稳定输出，支持通过局域网/公网方式访问相应资源，实现超真实交互体验，模拟各种真实场景进行实操训练。 VR游戏串流 无需配置高性能PC设备，无需头盔设备有线连接，只需开通实时云渲染按需服务，上传应用包至渲染实例中运行，即可随时畅玩VR游戏，减轻您的开销负担。

本文主要介绍关系数据库PostgreSQL版的性能概述及指标说明。 性能概述 天翼云关系数据库PostgreSQL版是一款基于云计算平台的在线关系型数据库服务，完全兼容PostgreSQL 12、13、14、15、16版本，提供单机、主备、一主两备、只读四种实例类型，提供备份、恢复、扩容、监控等数据库服务。 具有即开即用、稳定可靠、安全运行、弹性伸缩等特点，您仅需要简单的几步配置，就可在分钟级获得可用的生产数据库。天翼云数据库专家结合中国电信生产业务实践针对数据库内核及参数不断优化，不断提升服务质量，保证产品的高稳定、高可靠和高可用性。 指标说明 实例性能测试的指标包括： 每秒执行事务数TPS（Transactions Per Second） 数据库每秒执行的事务数，以COMMIT成功次数为准。 SysBench标准OLTP读写混合场景中一个事务包含18个读写SQL。 SysBench标准OLTP只读场景中一个事务包含14个读SQL（10条主键点查询、4条范围查询）。 SysBench标准OLTP只写场景中一个事务包含4个写SQL（2条UPDATE、1条DETELE、1条INSERT）。 每秒执行请求数QPS（Queries Per Second） 数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DETELE、COMMIT等。

本文主要介绍 JMeter工程使用类问题 性能测试的JMeter引擎和开源JMeter有什么异同？ 性能测试的JMeter引擎，基于开源Apache JMeter实现，默认版本为5.4，可以兼容5.2、5.3版本（需用户自行上传）。 性能测试的JMeter引擎，相对于本地开源JMeter，主要有以下优势： 自动化的分布式调度。 测试结果的汇聚能力和可视化。 分布式的多阶段能力。 性能测试的JMeter引擎支持哪些脚本？ 未使用任何第三方插件的5.2版本5.4版本的JMeter创建的jmx脚本。 使用了第三方插件，但是插件可以以jar包形式上传，且未修改ThreadGroup实现的大部分脚本（性能测试不确保此类脚本可以正常使用，需要在性能测试平台进行调试）。 性能测试的JMeter引擎不支持脚本中哪些操作？ 性能测试不支持日志输出，仅支持请求日志。 性能测试不支持线程组配置页面使用变量。 上传JMeter脚本/CSV/第三方jar包/安装包等出错怎么办？ 如果上传时出错，请确保是在公网中使用性能测试工具，不是在内网中使用性能测试工具。 应用于性能测试的脚本，有哪些使用建议？ 性能测试不建议脚本中有各种结果查看器。 因为性能测试不使用结果查看器，且结果查看器会对压测性能造成影响，不同结果查看器对性能的影响也不一致，若使用，请自行评估。 使用性能测试压测，当脚本的并发总和大于1000，或在“任务 > 高级配置 > 执行器数”配置中配置了执行器数，需要考虑脚本中的各类属性能否应用于分布式场景（即多台机器同时运行脚本）。 不建议使用常数吞吐量定时器。 JMeter的常数吞吐量定时器性能较差，会影响压测执行机的性能，造成压测结果不准确。建议使用JMeter的准确的吞吐量定时器来进行替代。若一定使用常数吞吐量定时器，其对执行机性能的影响需用户自行考虑，评估。 使用各类吞吐量控制器时，性能测试的JMeter工程的调试功能，结果可能不符合预期。 其原因是性能测试的调试只执行脚本一次，此场景建议使用一定数量的并发，小规模短时间的执行替代调试。

继7月价格下调后，天翼云分布式消息服务RabbitMQ收到许多新老用户的积极反馈，为进一步回馈用户支持，我们决定增加包年折扣优惠和进行第二轮降价！ 9月25日起订购分布式消息服务RabbitMQ产品将享受1年83折 优惠，1011月将陆续开放2年7折，3年5折优惠选项，具体开放时间敬请关注产品公告。 针对现网主推的Intel、海光、鲲鹏计算增强型规格产品单价进行全面下调，相对7月价格最高降幅可达30%，详细降价情况如下： 注意 通用型规格已经调整为白名单特性，如需了解相关资费请联系技术支持。 本次包年优惠及降价适用于新资费产品范围，具体支持资源池请参阅 主机类型 规格名称 计费单位 实例包月标准价格 降幅 主机类型 规格名称 计费单位 20240925前价格 新价格 降幅 Intel计算增强型 rabbitmq.2u4g.cluster 元/代理 630 441 30% Intel计算增强型 rabbitmq.4u8g.cluster 元/代理 1260 1008 20% Intel计算增强型 rabbitmq.8u16g.cluster 元/代理 2430 2187 10% Intel计算增强型 rabbitmq.12u24g.cluster 元/代理 3690 3321 10% Intel计算增强型 rabbitmq.16u32g.cluster 元/代理 4500 4050 10% Intel计算增强型 rabbitmq.24u48g.cluster 元/代理 7560 6804 10% Intel计算增强型 rabbitmq.32u64g.cluster 元/代理 10080 9072 10% Intel计算增强型 rabbitmq.48u96g.cluster 元/代理 15120 13608 10% Intel计算增强型 rabbitmq.64u128g.cluster 元/代理 20160 18144 10% 海光计算增强型 rabbitmq.hg.2u4g.cluster 元/代理 781.2 546.84 30% 海光计算增强型 rabbitmq.hg.4u8g.cluster 元/代理 1562.4 1249.92 20% 海光计算增强型 rabbitmq.hg.8u16g.cluster 元/代理 3013.2 2410.56 20% 海光计算增强型 rabbitmq.hg.16u32g.cluster 元/代理 5580 5022 10% 海光计算增强型 rabbitmq.hg.32u64g.cluster 元/代理 12499.2 11249.28 10% 鲲鹏计算增强型 rabbitmq.kp.2u4g.cluster 元/代理 894.6 626.22 30% 鲲鹏计算增强型 rabbitmq.kp.4u8g.cluster 元/代理 1789.2 1431.36 20% 鲲鹏计算增强型 rabbitmq.kp.8u16g.cluster 元/代理 3450.6 3105.54 10% 鲲鹏计算增强型 rabbitmq.kp.16u32g.cluster 元/代理 6390 5751 10% 鲲鹏计算增强型 rabbitmq.kp.32u64g.cluster 元/代理 14313.6 12882.24 10%

介绍通过XstorBrowser本地文件同步的具体操作。 功能说明 XstorBrowser提供强大的本地数据备份上云功能，您可以将本地磁盘或目录中的文件单次手动或周期性定时的上传到存储桶中。 使用说明 用户开启XstorBrowser本地文件同步功能后，XstorBrowser会自动扫描本地文件与桶中对应路径的对象进行对比，将不存在云端的文件、同名文件大小与云端数据大小不一致的本地文件，或本地文件最后修改时间晚于对象的最后修改时间的本地文件上传到媒体存储。 文件上传是以串行排队的上传形式。 客户端工具XstorBrowser需要保持运行状态且有网络状态才可以进行上传功能，关闭软件或者断网时会导致任务中止或不执行。当前版本，对于已暂停或中断的上传任务，重新打开XstorBrowser不会自动恢复任务。 操作步骤 1.登录XstorBrowser，进入页面，点击右上角的工具图标。 2.单击【文件同步】。 3.在弹窗中创建填写【文件同步设置】信息。 参数说明： 参数 设置 存储桶目录 先选择存储桶名称，目录非必填，如填则在该桶下新增一个目录名，如不填，默认在该桶下新增一个与本地文件夹一样的目录名。 同步类型 可选择单次同步或 定时同步 。 单次同步：即手动同步，在点击开始同步时，立即进行一次同步操作； 定时同步：用户可以预先设置特定的时间点（每天或者每周某天的时刻），以便系统在预定的时间点执行文件同步操作，确保文件保持同步。 上传对象 点击【选择要上传的本地磁盘或目录 】，选择将要同步上传的本地文件夹或者磁盘，目录最多不能超过100个。 4.当同步类型选择【定时同步】时，还需要填写同步周期和有效期。 同步周期：根据需要选择星期。 有效期：选择自动定时上传的有效期，超过有效期范围内，定时上传功能将会失效。 5.配置完成后，单击【开始同步】，即可开启文件同步功能。

如何分析Redis 3.0实例的热Key？ 由于Redis 3.0本身不提供热Key能力，您可以参考以下方法进行分析。 方法1：进行业务结构和业务实现分析，找到可能的热Key。 例如，某商品在秒杀，或者用户登录，对业务代码分析，很容易找到热Key。 优点：简单易行。 缺点：需要对业务代码比较了解，另外对于一些复杂的业务场景，不太容易分析。 方法2：在客户端代码中，调用Redis的函数中，进行访问Key的记录，进而统计出热Key。 缺点：需要代码进行侵入式修改。 方法3：抓包分析 优点：简单易行 如何提前发现大Key和热Key？ 方法 说明 使用DCS自带的大Key和热Key分析工具进行分析 请参考缓存分析。 通过rediscli的bigkeys和hotkeys参数查找大Key和热Key Rediscli提供了bigkeys参数，能够使rediscli以遍历的方式分析Redis实例中的所有Key，并返回Key的整体统计信息与每个数据类型中Top1的大Key，bigkeys仅能分析并输入六种数据类型（STRING、LIST、HASH、SET、ZSET、STREAM），命令示例为：rediscli h p a bigkeys 。 自Redis 4.0版本起，rediscli提供了hotkeys参数，可以快速帮您找出业务中的热Key，该命令需要在业务实际运行期间执行，以统计运行期间的热Key。命令示例为：rediscli h p a hotkeys。热Key的详情可以在结果中的summary部分获取到。 对于Redis 3.0实例，由于Redis 3.0本身不支持热Key分析，推荐可以使用配置告警的方法，帮助您发现热Key。 配置节点级别的内存利用率监控指标的告警 如果某个节点存在大key，这个节点比其他节点内存使用率高很多，会触发告警，便于用户发现潜在的大key。 配置节点级别的 入网最大带宽、出网最大带宽 、CPU利用率监控指标的告警 如果某个节点存在热key，这个节点的带宽占用、CPU利用率都比其他节点高，该节点会容易触发告警，便于用户发现潜在热key。

处理措施 查找大key、热key，方法如下： DCS控制台提供了大Key和热Key的分析功能，你可参考缓存分析减少大key和热key。 通过rediscli的bigkeys和hotkeys参数查找大Key和热Key： Rediscli提供了bigkeys参数，能够使rediscli以遍历的方式分析Redis实例中的所有Key，并返回Key的整体统计信息与每个数据类型中Top1的大Key，bigkeys仅能分析并输入六种数据类型（STRING、LIST、HASH、SET、ZSET、STREAM），命令示例为： rediscli h p a bigkeys 。 自Redis 4.0版本起，rediscli提供了hotkeys参数，可以快速帮您找出业务中的热Key，该命令需要在业务实际运行期间执行，以统计运行期间的热Key。命令示例为： rediscli h p a hotkeys 。热Key的详情可以在结果中的summary部分获取到。 提前发现大key、热key。 参考配置告警配置节点级别的内存利用率 监控指标的告警。 如果某个节点存在大key，这个节点比其他节点内存使用率高很多，会触发告警，便于您发现潜在的大key。 参考配置告警配置节点级别的 入网最大带宽、出网最大带宽 、CPU利用率监控指标的告警。 如果某个节点存在热key，这个节点的带宽占用、CPU利用率都比其他节点高，该节点会容易触发告警，便于您发现潜在热key。 说明 由于Redis 3.0实例不支持热key分析，您可以使用该方式帮助您发现热key。 其他优化建议： string类型控制在10KB以内 ，hash、list、set、zset 元素尽量不超过5000 。 key的命名前缀为业务缩写，禁止包含特殊字符(比如空格、换行、单双引号以及其他转义字符)。 Redis事务功能较弱，不建议过多使用。 短连接性能差，推荐使用带有连接池的客户端。 如果只是用于数据缓存，容忍数据丢失，建议关闭持久化。 如果实例内存使用率通过以上方式仍然很高，请考虑在业务低峰期扩大实例规格。具体操作请参见变更实例规格。

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

操作场景 用户根据网络规划，删除BGP路由规则。 前提条件 您已经在设备直连页面中删除当前智能网关实例关联的BGP邻居关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1； 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面； 4. 选择“智能网关”，单击目标智能网关实例名称，进入实例详情页面； 5. 单击“BGP路由”页签，单击“删除”； 6. 单击“确定”，完成BGP路由规则删除。

本文为您介绍如何创建客户端账号。 操作场景 用户已创建智能网关APP实例，并激活功能，需要创建客户端账号，以便于后期进行客户端登录。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建智能网关APP实例，且已经完成激活。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关APP”，单击目标智能网关APP实例名称，进入客户端账号管理页面。 5. 单击“创建客户端账号”，根据界面提示填写用户名、密码等信息。 6. 单击“确认”按钮。

本文向您介绍如何选择企业路由器的组网构建方案。 组网方案概述 您可以通过企业路由器构建中心辐射型组网，简化网络架构。以构建云上业务VPC之间互通组网为例，当前我们为您提供两种典型组网方案： 方案一：将业务VPC直接接入企业路由器组网 方案二：使用中转VPC，结合VPC对等连接和企业路由器共同组网 图业务VPC接入企业路由器组网架构图（方案一） 图中转VPC接入企业路由器组网架构图（方案二） 详细的方案说明及方案对比如下表。 表企业路由器组网方案对比说明 序号 组网架构 网络路径说明 方案一 将业务VPCA和业务VPCB、VPCC直接接入企业路由器ER。 VPCA、VPCB以及VPCC之间的网络通过ER连通。 方案二 不直接将业务VPCA和业务VPCB接入企业路由器ER，而是创建一个中转VPCTransit，将VPCTransit和VPCC接入ER中。 VPCA和VPCB之间的网络，分别通过和VPCTransit的对等连接连通。 VPCA、VPCB以及VPCC之间的网络通过ER和VPCTransit连通。 组网方案选择 方案一是将业务VPC直接接入企业路由器，方案二是使用中转VPC，结合VPC对等连接和企业路由器共同构建组网。相比方案一，方案二可以降低成本，并且免去一些限制，详细说明如下： 当前将业务VPC直接接入ER，针对业务VPC有部分使用限制。由于方案二中您只需要将中转VPC接入ER，则可以解决以下针对业务VPC的限制： 当业务VPC下存在共享型弹性负载均、VPC终端节点、私网NAT网关、分布式缓存服务时，请联系客服，确认服务的兼容性，并优先考虑使用中转VPC组网方案。 当接入ER的VPC存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC内有ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务。 注意 如果您了解了以上信息后，仍然想使用方案一，即将业务VPC直接接入企业路由器，那么请您优先提交工单，由技术人员评估组网方案的可行性。

操作场景 用户根据网络规划，配置BGP路由规则。 前提条件 您的链路设置中没有配置MPLS链路。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入实例详情页面。 5. 单击“BGP路由”页签，单击“添加”，进入配置BGP路由协议规则界面。 6. 在配置BGP协议页面，根据页面提示配置参数，参数信息可参考下表： 7. 单击“确定”，完成对当前智能网关实例的BGP路由规则配置。 8. 完成BGP路由配置后，您可以进一步创建设备间的连接关系，建立BGP邻居。 参数 描述 本端AS 网关设备所属自治系统编号。取值范围：165535 Router ID 智能接入网关BGP进程路由器ID。 格式为IPv4地址格式，例如192.168.1.1。

Apache Dubbo是一款RPC框架，用于实现微服务架构；Dubbo2.X版本通信层基于私有协议实现，Dubbo3的底层通信协议已经升级为HTTP/2，利用服务网格原生的HTTP治理能力就可以实现对Dubbo3服务的治理。服务网格针对使用Dubbo2的场景提供了CRD的形式实现服务治理能力，本文主要介绍服务网格对Dubbo2服务的治理和配置说明。 注意 本功能仅针对Dubbo2.X版本，如果要对Dubbo3做服务治理，基于服务网格原生DestinatinRule、VirtualService就可以实现。 操作 进入服务网格控制台 > 流量管理中心 > Dubbo协议治理 菜单下，可以创建、查看、修改、删除DubboProxyRule规则。 配置示例 服务网格提供了CRD的配置方式实现对Dubbo2服务的治理配置。如下示例 给匹配标签appdubbosamplesapiserverconsumerdubbo的Dubbo服务消费者下发访问Dubbo服务治理规则，匹配规则为： 1. 请求Dubbo接口名不限，版本号为1.0.0 2. Dubbo方法为sayHello 3. 参数0的范围在10086和11000之间 4. 请求路由到dubbosamplesapiserverprovider.dubbodemo.svc.cluster.local的v1和v2版本，权重比例为20/80（目标服务的版本通过DestinationRule定义） apiVersion: istio.ctyun.cn/v1beta1 kind: DubboProxyRule metadata: name: testmethodparamsexact spec: workloadSelector: labels: app: dubbosamplesapiserverconsumer port: 20880 configs: name: dubboroutertestmethodparamsexact interface: '' version: 1.0.0 routes: match: method: name: exact: sayHello paramsmatch: '0': rangematch: start: 10086 end: 11000 route: destination: host: dubbosamplesapiserverprovider.dubbodemo.svc.cluster.local subset: v1 weight: 20 host: dubbosamplesapiserverprovider.dubbodemo.svc.cluster.local subset: v2 weight: 80

本章节主要介绍Windows Server系列自定义VLAN网络配置。 注意事项 自定义VLAN网络网段不能与现有的物理机上已经配置的网段重叠。 下面以Windows Server 2012 R2 Standard操作系统为例，介绍物理机的自定义VLAN网络配置方法： 说明 Windows Server系列其他操作系统的配置方法与Windows Server 2012 R2 Standard类似。 步骤 1 登录Windows物理机。 步骤 2 进入物理机的Windows PowerShell命令行界面，执行以下命令，查询网卡信息。 GetNetAdapter 返回信息示例如下： 说明 其中，“eth0”和“eth1”为承载VPC网络的网络设备，“以太网 4”和“以太网 6”为承载自定义VLAN网络的网络设备。下面步骤将使用“以太网 4”和“以太网 6”配置自定义VLAN网络。 步骤 3 执行以下命令，创建自定义VLAN网络的端口组。 NewNetLbfoTeam Name "Team2" TeamMembers " 以太网4 "," 以太网 6 " TeamingMode SwitchIndependent LoadBalancingAlgorithm IPAddresses Confirm:$false 说明 其中，“Team2”为给自定义VLAN网络端口组规划的端口组名称，“以太网 4”和“以太网 6”为步骤2中获取的承载自定义VLAN网络的网络设备。 步骤 4 执行以下命令，设置步骤3中创建的“Team2”端口组中一个网口模式为备用模式。 SetNetLbfoTeamMember Name " 以太网 4 " AdministrativeMode Standby Confirm:$false 说明 当前自定义VLAN网络配置的端口组只支持主备模式，其中，“以太网4”为组成自定义VLAN网络端口组中的其中一个端口，配置哪个端口为备用端口，根据您的规划自行决定。 getNetLbfoTeamMember GetNetAdapter 步骤 5 执行以下命令，进入“网络连接”界面。 ncpa.cpl 执行完成后，进入如下界面： 步骤 6 配置自定义VLAN网络。 1. 在“网络连接”界面，双击在步骤3中创建的端口组“Team2”，进入“Team2 状态”页面。 2. 单击“属性”，进入“Team2 属性”页面。 3. 在“网络”页签下双击“Internet 协议版本 4 (TCP/IPv4)”，进入“Internet 协议版本 4 (TCP/IPv4) 属性”页面。 4. 选择“使用下面的IP地址”，配置自定义VLAN网络的IP地址和子网掩码，单击“确定”。 说明 其中，为自定义VLAN网络规划的IP地址在没有与VPC网段冲突的情况下可任意规划，需要通过自定义VLAN网络通信的物理机须将自定义VLAN网络配置在同一个网段。 步骤 7 参见上述步骤，完成其他物理机的配置。 步骤 8 待其他物理机配置完成后，互相ping对端自定义VLAN网络配置的同网段IP，检查是否可以ping通。

本节为您介绍设置OSPF路由主备的操作场景、前提条件和操作步骤。 操作场景 用户建立两个智能网关的OSPF路由主备关系，以增强服务可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 主备智能网关均为单机接入方式且在线。 主备智能网关均已启用OSPF路由。 主备智能网关接入同一个PoP且没有与其他设备建立主备关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“OSPF路由备份”，单击“创建主备关系”。 5. 根据页面提示，添加需要建立主备关系的两个设备。主设备优先级默认为1，备设备优先级默认为2。 6. 单击“确定”，完成建立OSPF路由备份。

启动本地服务中心 1、进入本地开发工具，根据具体环境下的操作系统、CPU架构，下载对应版本的本地开发工具压缩包到本地并解压缩到安装目录。 2、启动CSE。 Linux/Unix系统，进入安装根目录，执行如下命令： nohup sh start.sh >/dev/null 2>&1 & Windows系统，进入安装根目录，双击cse.exe文件启动。 3、停止CSE。 Linux/Unix系统，进入安装根目录，执行如下命令： sh stop.sh Windows系统，关闭命令行窗口。 mesher性能损耗是多少？ 服务网格技术实际利用了网络流量劫持的方式来管理服务间流量，除了mesher本身内部的逻辑处理会耗时之外，还会引起额外的用户态和内核态间转换（CPU会有额外消耗），而前者相对于后者性能影响极小，因此性能损耗基本取决于网络中传输的payload大小。以http协议举例，影响传输速度的就是header、body等内容的大小。mesher一次端到端调用中的延迟为1ms，一个典型的用户测试过自己真实的业务调用，加上mesher后，延迟高了4ms，在用户可接受范围内。 连接服务中心提示“Version validate failed”如何解决？ 原因是使用了新版本的SDK，却连接服务中心老版本的SDK。此时应检查服务中心的版本。可以从官网下载最新版本的服务中心，或者从ServiceComb官网下载最新版本的服务中心。 连接服务中心提示“Not enough quota”如何解决? 原因是没有足够的额度增加服务实例。此时应登录云控制台，在微服务引擎页面，可以看到实例个数的额度。如果发现页面有额度，需要检查下代码配置的服务中心地址和区域信息。

本节介绍云专线绑跨域互联操作步骤。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“云专线”，进入云专线管理页面； 3.在操作实例中，点击“名称”，进入该实例云专线详情管理页面； 4.在云专线详情管理页面，点击“绑定跨域互联”，选择跨域互联、跨域互联VPC、业务子网等。

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。

如何固定应用组件IP？ 问题描述 在部署应用组件的过程中，如果不设置“TCP/UDP路由配置”，那么当容器重启时，应用的访问IP会发生变化。这种情况会为您的某些配置造成困扰。 解决方法 创建部署应用组件时或者部署应用组件后设置一下“TCP/UDP路由配置”即可。以下三种方式均可解决该问题： 集群内访问：应用暴露给同一集群内其他应用访问的方式，可以通过集群内部域名访问。 VPC内网访问：应用可以让同一VPC内其他应用程序访问，通过集群节点的IP或者私网弹性负载均衡ELB的服务地址访问。 公网访问：通过弹性IP从公网访问应用，一般用于系统中需要暴露到公网的服务。该访问方式需要给集群内任一节点绑定弹性IP，并设置一个映射在节点上的端口。 如何体验ServiceStage的源码部署功能？ 如下表所示，ServiceStage基于GitHub提供了一些不同语言的demo。 您可以Fork特定语言的demo源码到自己的GitHub代码仓库中，参考部署组件去体验ServiceStage的源码部署功能。 表 ServiceStage提供的demo 源码及GitHub地址说明 demo名称 语言类型 GitHub代码仓库地址 ServiceCombSpringMVC Java ServiceCombJAXRS Java ServiceCombPOJO Java SpringBootWebService Java SpringBootWebappTomcat Java nodejsexpress Node.js nodejskoa Node.js phplaravel PHP phpslim PHP Gosimple Golang

本章节介绍工作负载身份 概述 应用服务网格中的工作负载都有一个身份信息，这个信息主要用于网格内服务之间通信时实现身份认证和基于身份的访问授权。工作负载身份信息由服务网格自动生成和维护，基于Service Account实现；CSM服务网格中的工作负载身份信息符合SPIFFE标准，格式如下： spiffe://{trustdomain}/ns/{namespace}/sa/{serviceaccount} 在服务网格控制台 网格安全中心> 工作负载身份菜单下，选择namespace可以看到该命名空间下的工作负载身份信息，如下图：

其他操作 查看生成的EnvoyFilter 进入服务网格控制台 > 插件扩展中心 > Envoy过滤器，选择命名空间后可以看到当前命名空间下的EnvoyFilter列表； 对于通过Envoy过滤器模板和绑定关系生成的EnvoyFilter在来源一栏显示为系统创建，此类EnvoyFilter只支持查看，不支持修改 用户直接定义EnvoyFilter 服务网格支持用户直接定义EnvoyFilter，进入服务网格控制台 > 插件扩展中心 > Envoy过滤器 > 使用YAML创建； 对于用户自定义的EnvoyFilter，支持用户编辑、删除以及基于当前EnvoyFilter创建Envoy过滤器模板的操作。

本文介绍存储资源盘活系统的软件许可证订购操作。 软件许可证订购途径 1. 天翼云官网：在存储资源盘活系统产品详情页点击“订购软件”，进入订购存储资源盘活系统页面，进行订购。本节仅介绍此种订购方式。 2. 中国电信数字化原子能力平台：请在平台帮助指引下进行操作。 前提条件 您已经成功安装存储资源盘活系统，执行命令./stor info，获取HBlock序列号，用于进行软件许可证的申请。 注意 生成的软件许可证仅能用于该序列号对应的HBlock系统，不能在其他环境中使用。 操作步骤 1. 在存储资源盘活系统产品详情页点击“订购软件”，进入订购存储资源盘活系统页面，进行订购。 2. 在“订购存储资源盘活系统”页面中，选择许可证类型，输入序列号，设置容量和订购时长等信息。 订购参数 描述 许可证类型 许可证类型： 订阅模式：控制产品提供的本地卷的存储容量以及有效时长，按照容量和时长收费，到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 永久模式：控制产品提供的本地卷的存储容量以及维保时间，按照容量和维保收费，到期后软件可以正常使用，但是不再提供售后支持。 具体详见计费模式。 HBlock序列号 用于生成软件许可证的HBlock环境信息。 说明 请确保已完成HBlock安装，执行./stor info命令可查询HBlock序列号。生成的软件许可证仅能用于该序列号对应的HBlock系统，不能在其他环境中使用。 HBlock名称 HBlock环境的描述信息。 容量设置 控制软件许可证可以支持的所有本地卷的总的存储容量。 说明 支持通过“自定义容量”和“容量包”叠加的方式进行设置。最后按照“总容量”进行软件许可证的生成。 有效时长 仅针对订阅模式。到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 维保时长 仅针对永久模式。到期后软件可以正常使用，但是不再提供售后支持。 3. 确认无误后勾选“我已阅读，理解并同意《天翼云存储资源盘活系统服务协议》”，再单击“立即购买”，完成支付，等待天翼云工作人员和您联系，确认许可证的信息，并进行许可证的交付。

$ % ^ & ( ) + [ ] { } ; : , . / ?), and must not contain any of the following: 3 consecutive repeating characters, 3 consecutive or inreverse order of numbers or letters (caseinsensitive) , 3 consecutive or inreverse order of keyboard sequences (caseinsensitive). 新密码不符合规则。长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: the first node type must be root. 节点类型的包含关系错误，第一个节点必须是root。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: childNodes of room are limited to [rack, server], childNodes of rack to [server], childNodes of server to [path] only. 节点类型的包含关系错误。room的节点仅限于rack、server，机架的子节点是server，server的子节点是path。 400 InsufficientPath The base storage pool must have at least one disk path. 基础存储池至少要有一个数据目录。 400 InvalidPort Value valueat 'argument' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidPortRange Value value at 'port range' failed to satisfy constraint: Argument must satisfy pattern 'port1port2', where port1, port2 are positive integers between 1 and 65535, port1 is less than port2. 参数必须是“port1port2”格式，port1和port2必须是介于[1,65535]之间的正整数，且port1小于port2。 400 InvalidPublicNetwork Value publicNetwork at 'public network' failed to satisfy constraint: Argument must satisfy CIDR specifications. 业务网格式错误。 400 InvalidServers The current server is not in the servers list. 当前服务器不在servers列表内。 400 InvalidServersCount The number of servers for xx service shoule be value. XX服务的服务器数量应该为value台。 400 InvalidStorName Value 'value' at 'argument' failed to satisfy constraint: Argument can only contain letters, digits, hyphens () or underscores (), and does not exceed 64 characters, must begin with a letter or digit. HBlock名称不合法。 400 InvalidTopologyContent The content of the topology is not compliant. 拓扑文件内容解析错误。 400 MissingClusterNetwork Value null at 'cluster network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，集群网不能为空。 400 MissingPublicNetwork Value null at 'public network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，业务网不能为空。 400 NotInterfaceIP The IP IP is not an interface IP address, check and retry. IP地址不是服务器的接口IP，请修改并重试。 400 ProductTypeDoesNotMatch HBlock product type does not match. 产品类型不一致。 400 ServerAlreadyInitialized The server has been initialized. 服务器已初始化。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 TooFewServers The number of servers must be greater than or equal to 3. 服务器必须大于等于3台。 400 UnrecognizedServer Value IP at 'argument' failed to satisfy constraint: Argument must be in the setup server list. 服务器IP不在初始化服务器列表内。 400 VersionDoesNotMatch Please replace the HBlock version of server serverIP [,serverIP...] to clutserVersion, then try again. 版本号不一致。 403 InvalidUserName Invalid user name. 用户名不正确。 403 InvalidUserNameOrPassword Invalid user name or password hash. 用户名或密码不正确。 409 PortChanged Initialization failed because the port on the server serverIP is currently used by another service during the initialization process. Please try again. 端口在初始化过程中被其他服务占用，请重试。 409 PortConflict The following port is/ports are in use. serverID/IP/local server: portname port[, portname port...] [ serverID/IP/local server: portname port[, portname port...]...] 端口冲突。 500 InitializeServerFailed Server serverIP initialization failed, please check the firewall, network, memory, diskpath, etc, or contact technical team for support. 服务器初始化失败，请检查防火墙、网络、内存、数据目录等设置，或联系技术团队进行支持。

背景 在服务网格多集群架构中，对于工作负载部署在多集群中的场景，网格对从集群的服务发现依赖从集群中也定义相同的Service资源；对于控制面自适应配置分发功能，如果要对从集群的Service进行自动纳管，需要在主集群上定义相同的Service；基于以上网格多集群架构中的治理问题，服务网格提供了全局Service管理能力，可以实现Service定义及在主从集群之间同步Service，满足多集群治理场景下统一Service视图的需求。 操作说明 Service列表 进入服务网格控制台 > 点击网格实例名称 > 全局服务，首页展示了主集群上的Service列表，如图所示 新建Service 进入服务网格控制台 > 点击网格实例名称 > 全局服务 > 使用YAML创建，可以基于通用Service模板或独立编辑服务，提交即可。 从集群服务同步至主集群 讲从集群中的服务同步至主集群之前需要首先确保服务对应的命名空间已经在主集群定义，否则可以使用全局命名空间管理功能先同步命名空间。 进入服务网格控制台 > 点击网格实例名称 > 全局服务 >从集群同步服务至主集群 注意 1. 服务所在的命名空间需要先同步到主集群 2. 如果主集群中Service不存在，从集群的Service同步到主集群时只会同步labels，ports，selector字段 3. 如果主集群中Service已经存在，从集群的Service同步到主集群时只会同步labels

维度 RoCE（RDMA over Converged Ethernet） NVIDIA IB（InfiniBand） 网络类型 基于以太网（Ethernet）的 RDMA 协议 专用高速网络架构（独立于以太网） 物理介质 普通以太网交换机、网线（支持 10/25/100G 等） 专用 IB 交换机、光纤 / 铜缆（支持 100/200/400G 等） 延迟 微秒级（通常 110 μs） 纳秒级（通常 < 1 μs，更低延迟） 协议复杂度 依赖以太网 QoS（如 PFC/ETS）避免拥塞 内置流量控制（如 Credits），无需额外配置 典型场景 通用数据中心、混合网络环境 高性能计算（HPC）、AI 训练集群（如 NVIDIA DGX）