配置 描述 通过配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 针对带宽成本有严格把控，同时又不希望影响客户感知情况下，可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 IP黑白名单的访问控制策略，主要是通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 开启边缘接入服务，若源站需要获取真实的客户端IP地址，可以选择传递用户IP回源功能进行配置。 开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 开启Gzip压缩功能后，存在两个显著优势：一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。

本文主要介绍了如何在科研助手上使用OpenManus快速生成应用。 概述 智能体 智能体是一种由人工智能技术驱动的自主智能系统或软件程序。它能够感知所处的环境，包括从环境中收集和分析数据，通过内置的 “大脑”—— 如大型语言模型进行推理和决策，利用记忆系统存储临时数据和知识，借助工具与外部系统交互，进而独立地执行特定任务以实现既定目标，并且还能根据新信息和环境变化实时动态调整和适应，广泛应用于自动化任务、问题解决、客户服务、生产力提升等诸多领域。 OpenManus OpenManus 是由 MetaGPT 团队复刻 Manus 而成的开源智能代理软件。它以 MIT 协议在 GitHub 上开源，采用模块化 Agent 系统，开发者能自由组合功能模块创建个性化 AI 助手。其具备思维过程透明化、可本地化部署的特点，还配备浏览器自动化、代码执行器等强大工具链来处理复杂任务。目前在 GitHub 上已收获大量星标，获得了开源社区的广泛认可。 科研助手新增 OpenManus 能力概述 科研助手平台在 OpenManus 开源的基础上，为方便您的使用，增加了如下能力： 支持使用本地 QWQ32B 大模型，无需 API Key 外连其他大模型 支持 bing search toolkit，无需代理，在国内就可以进行问题搜索 支持GUI方式操作 OpenManus，进度可视，简便易用

业务痛点 在用户体验至上的互联网时代，即使后台业务稳定运行，仍然无法获悉用户访问系统时的具体情况，因而定位线上用户偶现的前端问题变得非常困难。一个系统上线之后，访问时的大量报错导致用户无法正常使用，如果APM无法及时获知，就会导致流失大量用户，如果用户反馈页面的使用情况，APM能否第一时间复现用户的使用场景；能否知晓用户遇到的详细报错信息而快速修复。 业务实现 APM提供应用体验管理能力，实时分析应用事务从用户请求、服务器到数据库，再到服务器、用户请求的完整过程，实时感知用户对应用的满意度，帮助您全面了解用户体验状况。对于用户体验差的事务，通过拓扑和调用链完成事务问题定位。 应用KPI分析：吞吐量、时延、成功率指标分析，实时掌控用户体验健康状态，用户体验一览无遗。 全链路性能追踪：Web服务、缓存、数据库全栈跟踪，性能瓶颈轻松掌握。 故障智能诊断 业务痛点 海量业务下，出现百种指标监控、KPI数据、调用跟踪数据等丰富但无关联的应用运维数据，如何通过应用、组件和URL跟踪等多视角分析关联指标和告警数据，自动完成故障根因分析；如何基于历史数据学习与运维经验库，对异常事务智能分析给出可能原因。

本章节主要对数据湖探索的作业类型、约束限制进行简单介绍。 DLI 作业类型 DLI 提供了三种作业类型： SQL作业：SQL作业为用户提供标准的SQL，兼容Spark SQL、Presto SQL（基于Presto），通过可视化界面API、JDBC、ODBC、Beeline等多种接入方式对云上异构数据源进行查询分析，兼容CSV、JSON、Parquet、Carbon、ORC等主流数据格式。 Flink作业：Flink作业是运行在公有云上的实时流式大数据分析服务作业，全托管的方式用户无需感知计算集群，只需聚焦于Stream SQL业务，即时执行作业，完全兼容Apache Flink API。 Spark作业：Spark作业可为用户提供全托管式的Spark计算服务。用户可通过可视化界面和RESTful API提交作业，支持提交Spark Core、DataSet、Streaming、MLlib、GraphX等Spark全栈作业。 约束限制 DLI配置SparkUI只展示最新的100条作业信息。 控制台界面查询结果最多显示1000条作业结果数据，如果需要查看更多或者全量数据，则可以通过该功能将数据导出到OBS获取。 导出作业运行日志需要具有OBS桶的权限，请提前在“全局配置 > 工程配置”页面配置DLI作业桶。 default队列下运行的作业或者该作业为同步作业时不支持归档日志操作。 仅Spark作业支持使用自定义镜像。 当前弹性资源池最大的计算资源 32000CUs。

本章节主要介绍集群（未启用Kerberos认证）安全配置建议。 Hadoop社区版本提供两种认证方式Kerberos认证（安全模式）和Simple认证（普通模式），在创建集群时，MRS支持配置是否启用Kerberos认证。 在安全模式下MRS集群统一使用Kerberos认证协议进行安全认证。 而普通模式下MRS集群各组件使用原生开源的认证机制，一般为Simple认证方式。而Simple认证，在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”等）自动完成认证，管理员或业务用户不显示感知认证。而且客户端在运行时，甚至可以通过注入UserGroupInformation来伪装成任意用户（包括superuser），集群资源管理接口和数据控制接口在服务端无认证和鉴权控制，很容易被黑客利用和攻击。 所以在普通模式下，必须通过严格限定网络访问权限来保障集群的安全。操作建议如下： 尽量将业务应用程序部署在同VPC和子网下的ECS中，避免通过外网访问MRS集群。 配置严格限制访问范围的安全组规则，禁止对MRS集群的入方向端口配置允许Any或0.0.0.0的访问规则。 如需从集群外访问集群内组件原生页面，请参考创建连接MRS集群的SSH隧道并配置浏览器进行配置。

本章节介绍应用服务网格CSM的全局限流功能 一、概要 单机限流可以解决单个服务实例的限流问题，在分布式环境中同一个服务往往存在多个实例，单机限流缺少全局视角无法感知整体系统状态。应用服务网格提供了全局限流能力，支持在ingress网关和sidecar实现全局限流，以下是全局限流相关的说明。 二、全局限流架构 全局限流架构图如下，在Ingress网关和sidecar处均可配置全局限流策略，请求经过数据面代理时，数据面请求外部的全局限流服务判断本次请求放行或拦截。 当前数据面采用Envoy实现，这里的全局限流服务也是遵循Envoy规范的gRPC服务，Envoy社区也提供了一个实现参考，具体可以查看envoyproxy/ratelimit项目。 三、全局限流使用配置说明 应用服务网格封装了Envoy全局限流能力，定义了GlobalRateLimiter K8s CRD，实现Ingress网关和Sidecar全局限流能力；您可以在应用服务网格控制台》流量管理中心》全局限流 菜单下管理全局限流策略。 例如要对Ingress网关做全局限流，可以配置： apiVersion: istio.ctyun.cn/v1beta1 kind: GlobalRateLimiter metadata: name: gatewaylimit spec: workloadSelector: labels: istio: ingressgateway context: GATEWAY rateLimitService: clusterName: outbound8081ratelimit.istiosystem.svc.cluster.local failureModeDeny: true timeout: 10s configs: routeConfig: vhost: name: ""

本文主要介绍分布式消息服务RabbitMQ的典型应用场景。 RabbitMQ作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用RabbitMQ消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图1 串行发送注册邮件与短信流程 图2 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用RabbitMQ消息队列传递请求。 图3 消息队列应对秒杀大流量场景

本页为您介绍数据库专家服务的产品优势。 数据库专家服务产品优势主要体现在下面几个方面： 团队技术实力雄厚 天翼云数据库内核研发专家及MySQL、PostGreSQL、HBase、Clickhouse、MongoDB等技术专家直接提供一站式服务，解决客户各类疑难问题。 团队经验丰富 数据库专家服务团队成员深耕数据库领域，在数据库架构规划设计、性能调优、应急响应等方面有丰富经验。 大厂级别护航 天翼云数据库专家服务团队参与中国电信核心系统大型流量业务护航，同时对政务、物联网、新能源、医疗等业务提供支持。 对各类大、中、小型业务数据库的设计、实施、运维、优化拥有丰富的解决方案。 全方位的售后服务 全网节点实时监控，724小时技术支持，保障服务高可用。

本文主要介绍设置容器健康检查。 操作场景 健康检查是指容器运行过程中，根据用户需要，定时检查容器健康状况。若不配置健康检查，如果容器内应用程序异常，Pod将无法感知，也不会自动重启去恢复。最终导致虽然Pod状态显示正常，但Pod中的应用程序异常的情况。 Kubernetes提供了三种健康检查的探针： 存活探针： livenessProbe，用于检测容器是否正常，类似于我们执行ps命令检查进程是否存在。如果容器的存活检查失败，集群会对该容器执行重启操作；若容器的存活检查成功则不执行任何操作。 就绪探针： readinessProbe，用于检查用户业务是否就绪，如果未就绪，则不转发流量到当前实例。一些程序的启动时间可能很长，比如要加载磁盘数据或者要依赖外部的某个模块启动完成才能提供服务。这时候程序进程在，但是并不能对外提供服务。这种场景下该检查方式就非常有用。如果容器的就绪检查失败，集群会屏蔽请求访问该容器；若检查成功，则会开放对该容器的访问。 启动探针 ：startupProbe，用于探测应用程序容器什么时候启动了。 如果配置了这类探测器，就可以控制容器在启动成功后再进行存活性和就绪检查， 确保这些存活、就绪探针不会影响应用程序的启动。 这可以用于对启动慢的容器进行存活性检测，避免它们在启动运行之前就被杀掉。

本文主要介绍选择合适的节点数据盘大小。 在节点在创建时会默认创建一块数据盘，供容器运行时和Kubelet组件使用，详情请参见数据盘空间分配说明。由于容器运行时和Kubelet组件使用的数据盘不可被卸载，且默认大小为100G，出于使用成本考虑，您可手动调整该数据盘容量，最小支持下调至20G，节点上挂载的普通数据盘支持下调至10G。 须知 调整容器运行时和Kubelet组件使用的数据盘大小存在一些风险，根据本文提供的预估方法，建议综合评估后再做实际调整。 过小的数据盘容量可能会频繁出现磁盘空间不足，导致镜像拉取失败的问题。如果节点上需要频繁拉取不同的镜像，不建议将数据盘容量调小。 集群升级预检查会检查数据盘使用量是否超过95%，磁盘压力较大时可能会影响集群升级。 Device Mapper类型比较容易出现空间不足的问题，建议使用OverlayFS类型操作系统，或者选择较大数据盘。 从日志转储的角度，应用的日志应单独挂盘存储，以免dockersys分区存储空间不足，影响业务运行。 调小数据盘容量后，建议您的集群安装npd插件，用于检测可能出现的节点磁盘压力问题，以便您及时感知。如出现节点磁盘压力问题，可根据数据盘空间不足时如何解决进行解决。

《工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行)》工信部电管〔2010〕64号 为切实保证网站备案信息的真实性，落实《工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案》中的要求：“基础电信企业和各接入服务商在向通信管理局提交网站申请备案之前，要对主办者身份信息当面核验、留存有效证件复印件，要对网站主体信息、联系方式和接入信息等进行审查”。依据《互联网信息服务管理办法》（国务院令第292号）、《非经营性互联网信息服务备案管理办法》（信息产业部令第33号）的相关规定，制定网站备案信息真实性核验工作方案。 一、核验内容 接入服务单位根据相关网站的委托代为履行备案、备案变更等手续时，应对网站主办者提交的主体信息、联系方式、网站信息，以及本单位提交的接入信息的真实性进行核验。 1.网站主办者（主体）信息 网站主办者是指互联网信息服务提供者，包括单位和个人两类。 （1）网站主办者为单位，核验证件为： 如网站主办者为机关、事业单位、社会团体，组织机构代码证书原件为核验其单位资质的第一证件，在没有组织机构代码证书的情况下，可核验事业法人证书或社团法人证书等原件。 如网站主办者为企业，核验工商营业执照或组织机构代码证书等原件。 如网站主办者为军队，核验军队代号证书原件。 网站负责人的个人证件：如网站负责人为中国公民，身份证原件为核验其身份的第一证件，在没有身份证的情况下，可核验户口簿、军官证、台胞证等原件；如网站负责人非中国公民，则核验其护照原件。 （2）网站主办者为个人，核验证件为： 如网站主办者为中国公民，身份证原件为核验其身份的第一证件，在没有身份证的情况下，可核验户口簿、军官证、台胞证等原件。 如网站主办者非中国公民，则核验其护照原件。 （3）网站负责人的定义：若网站主办者为单位，网站负责人是指法定代表人或单位委派具体负责网站的部门负责人；若网站主办者为个人，网站负责人为其本人。 2.联系方式 如网站主办者为单位，联系方式是指网站负责人手机号码、办公电话、电子邮箱、通信地址；如网站主办者为个人，联系方式是指网站负责人手机号码、办公电话或住宅电话、电子邮箱、通信地址。 3.网站信息 网站名称、网站域名、涉及需前置审批或专项审批内容、网站服务内容/项目。 4.接入信息 接入服务提供者名称、接入方式、服务器放置地点、网站IP地址。 二、核验、审核、核查规程 （一）备案信息真实性责任主体 接入服务单位根据相关网站的委托代为履行备案、备案变更等手续时，核验主体为接入服务单位，包括：基础电信企业省分公司（含市、县级分公司）、互联网接入服务单位（IDC、ISP）、公益性互联单位等。 审核主体为各省、自治区、直辖市通信管理局。 核查主体为工业和信息化部（委托国家互联网备案管理支撑中心，以下简称“备案中心”）。 （二）备案信息真实性核验、审核、核查规程 网站备案信息真实性核验、审核工作流程图见附件。 1.接入服务单位网站备案核验规程 （1）网站主办者登录接入服务单位备案系统录入网站备案信息。 （2）接入服务单位受理网站主办者提交信息后，对主体信息、联系方式等信息进行预核验：初步判定主体信息是否真实，通过电话、邮件等途径核验联系方式是否正确。预核验后，接入服务单位应向网站主办者发送现场核验通知或信息退回的短信提示：“您提交的网站备案信息已通过预核验，请在1个月内由网站负责人本人携带有关证件原件到我单位备案现场办理核验手续”或“您提交的网站备案信息未通过预核验，请修改后重新提交”。预核验工作必须在主办者提交备案信息后5个工作日内完成。 （3）网站主办者接到通知后，由网站负责人本人携带核验所需证件原件、材料到接入服务单位备案现场办理核验手续。 （4）接入服务单位在本单位备案现场采集并留存网站负责人彩色正面免冠照（电子照片规格：800×600像素）。备案中心统一制作、提供带有标识的幕布作为拍照背景，照片应显示拍照时间和背景标识。 （5）接入服务单位备案人员利用公安、质检、工商等相关部门提供的居民身份证、组织机构代码证、工商营业执照等信息源，核验网站主办者提供证件原件的真实性。同时通过网站负责人身份证原件核验身份证与当事人是否一致。核验无误，留存身份证明和单位有效证件复印件。 接入服务单位备案人员登录本单位备案系统，依据证件原件内容对网站主办者网上提交的主体信息进行核验：核验证件持有者、证件类型、证件内容与备案系统中录入的网站备案信息是否完全一致，不一致不予受理；依据网站主办者提交的域名证书或域名注册机构网站公共查询信息，核验网站域名所有者与网站主办者身份的一致性，不一致不予受理；依据本单位对网站的实际接入情况，准确录入网站备案接入信息各项内容。 （6）若核验无误，接入服务单位备案人员填写统一格式的《网站备案信息真实性核验单》（备案中心负责制订《网站备案信息真实性核验单》格式）；若发现备案信息有误，现场核实修改，并在《网站备案信息真实性核验单》中进行记录。《网站备案信息真实性核验单》一式两份：一份接入服务单位留存，一份上报网站主体所在地通信管理局，加盖接入服务单位公章。网站主办者和接入服务单位同时签订信息安全管理协议书。 （7）在确认备案信息全部核验无误后，接入服务单位通过本单位备案系统向主体所在地通信管理局备案系统提交网站备案信息，并提交《网站备案信息真实性核验单》纸制原件、传真件或电子扫描件。 2.省通信管理局审核规程 各省、自治区、直辖市通信管理局登录省局备案系统，在二十个工作日内对接入服务单位提交备案信息进行审核。审核合格下发网站备案号，接入服务单位实施网站接入；不合格将备案信息退回接入服务单位系统，由接入服务单位重新核验。 3.备案中心核查规程 （1）备案中心受工业和信息化部委托，建设网站备案信息校验平台，对各通信管理局提交网站备案信息中的身份证信息进行全量自动核查。结合人工电话抽查，每月对备案系统提交的网站备案信息进行准确性核查和抽样评估并反馈情况。 （2）备案中心每季度对部备案系统中存量网站备案信息准确率、备案率分省分接入商进行核查和抽样评估并反馈情况。 三、工作要求 （一）接入服务单位核验工作要求 1.组织保障和制度完善要求 各接入服务单位应在2010年2月底前设立现场核验网站备案信息部门，专门负责网站备案信息真实性核验工作，并实行单位领导负责制。应建立本单位的备案业务规范，备案工作考核制度。明确备案人员的工作责任，对备案人员业务能力实行年度考核，将日常备案工作质量作为考核的重要指标。 各接入服务单位应在2010年3月底前正式实施网站备案信息当面核验，并将工作开展情况报许可证发证机关和单位注册所在地通信管理局。 基础电信企业应在2010年4月份对租用本单位电信资源从事接入业务的接入服务单位是否设立当面核验人员、履行当面核验备案信息的情况进行检查，对未履行当面核验责任的，不得为其提供电信资源。 2.业务明示要求 接入服务单位在业务经营中应向网站主办者明示开办网站要依法办理备案手续、网站备案流程、需提供的证件、材料清单及网站备案有关注意事项。 3.业务合同内容要求 接入服务单位应在与网站主办者签订业务合同中，明文要求：“依据《非经营性互联网备案管理办法》第二十三条规定，如备案信息不真实，将关闭网站并注销备案。请您承诺并确认：您提交的所有备案信息真实有效，当您的备案信息发生变化时请及时到备案系统中提交更新信息，如因未及时更新而导致备案信息不准确，我公司有权依法对接入网站进行关闭处理。”双方签字、单位盖章确认。 4.信息安全管理责任要求 接入服务单位建立网站主办者资料档案，妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议，保证信息不泄露，承担对网站主办者提交材料的信息安全保密管理责任。上述资料至少留存5年以上，以备通信行业主管部门依法进行检查。 5.网站备案信息更新要求 接入服务单位应做好日常回访核查工作，确保网站备案信息变更后，网站主办者及时更新主体信息、联系方式、网站信息。同时接入服务单位应根据网站接入变化情况，及时更新接入信息，并配合主管部门做好网站备案信息真实性核查工作。因未开展日常回访核查工作导致接入网站备案信息不准确的接入服务单位，主管部门依法对其进行处罚。 6.存量网站备案信息核验要求 对备案信息真实性当面核验工作正式启动前接入的网站，各接入服务单位要在2010年2月底前制定备案信息真实性核验工作详细计划，报许可证发证机关和单位注册所在地通信管理局，并在2010年9月底前完成全部网站的备案信息真实性核验。 （二）省通信管理局审核工作要求 1.做好日常审核工作 各通信管理局应做好日常网站备案信息真实性审核工作，保证对重点信息（营业执照、身份证等）的逐一细致审核。二期备案系统升级改造后可由各通信管理局审核人员用口令登录接入服务单位系统抽检审核证件原件，同时检查接入服务单位上交的《网站备案信息真实性核验单》。 2.检查“当面核验”工作开展情况 各通信管理局对接入服务单位当面核验网站备案信息的部门设立和工作制度完善情况进行指导和检查。根据接入服务单位保存的真实性核验证明材料，对接入服务单位“当面核验”工作的开展情况、接入服务单位提交备案信息的准确性进行定期检查或不定期抽查，对发现未执行“当面核验”或提供虚假信息的，应严肃处理。同时将日常检查考核结果作为许可证年检重要参考。 （三）备案中心核查工作要求 1.新增网站备案信息核查 备案中心每月对新提交的网站备案信息进行准确性抽查。对备案主体信息中身份证、组织机构代码证等信息进行重点抽查核查。 2.存量网站备案信息核查 备案中心按季度对系统存量网站备案信息进行准确性核查，对各接入服务单位真实性核验网站备案信息工作开展情况、完成进度、工作质量进行核查和抽查评估。 3.制定核查标准和监督评估办法 备案中心根据工业和信息化部的委托，适时制订、细化、完善网站备案信息核查标准和监督评估办法，并向各通信管理局、接入服务单位发布。 4.加强对工作开展情况的督导、统计 备案中心根据工业和信息化部的委托，对各单位落实网站备案信息真实性核验工作开展情况进行指导帮助和监督评估。加强对各单位落实网站备案信息真实性核验工作情况的分类统计，开展对各地通信管理局行政处罚情况汇总等工作。 5.开展网站备案业务培训 备案中心根据工业和信息化部的委托，编写、制订网站备案培训资料，组织开展面向各接入服务单位的全国性网站备案培训工作，对应掌握的网站备案相关政策法规、业务知识进行统一讲解。 四、问责 各省、自治区、直辖市通信管理局根据属地化管理原则，对未按《工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案》中提出的“对网站主办者身份信息当面核验、留存有效证件复印件”要求开展工作，未认真开展网站备案信息真实性核验工作，提交不真实网站备案信息的接入服务单位，依据《非经营性互联网信息服务备案管理办法》第十条和第二十四条的规定依法处罚，责令限期改正。

本章节主要介绍ALM12101 AZ不健康。 告警解释 AZ容灾开启后，系统每隔5分钟检查一次当前系统上AZ的健康状态，当检测到AZ健康状态为亚健康或者不健康时产生告警。AZ健康状态恢复健康时，告警清除。 告警属性 告警ID 告警级别 是否自动清除 12101 重要 是 告警参数 告警参数 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 AZ名 产生告警的AZ名称。 主机名 产生告警的主机名。 对系统的影响 AZ的健康状态由AZ内的存储资源（HDFS）、计算资源（Yarn）和关键角色的健康度是否超过配置阈值决定。 AZ亚健康有两种： 计算资源（Yarn）不健康，存储资源（HDFS）健康，任务无法提交到本AZ，但是数据可以继续往本AZ内读写。 计算资源（Yarn）健康，存储资源（HDFS）部分不健康，任务可以提交到本AZ，部分数据可以在本AZ内读写，依赖于Spark/Hive调度感知数据的本地性。 AZ不健康有三种： 计算资源（Yarn）健康，存储资源（HDFS）不健康，任务虽然可以提交到本AZ，但是数据无法在本AZ内读写，导致任务提交到本AZ无意义。 计算资源（Yarn）不健康，存储资源（HDFS）不健康，任务无法提交到本AZ，数据也无法往本AZ内读写。 除Yarn与HDFS以外，关键角色的健康度低于配置阈值。

功能 功能概述 基础版 企业版 旗舰版 增值服务 安全概览 多维度统计待处理风险、防护状态、风险趋势与实时动态，通过可视化直观呈现整体安全态势 ✓ ✓ ✓ 资产概览 清点主机资产，统计资产分布、Agent 状态、资产指纹等信息，实现资产全局掌控 仅支持资产清点 ✓ ✓ 资产管理 集中查看主机资产与风险资产，支持检索筛选、防护启停、版本切换，高效管理服务器 ✓ ✓ ✓ 资产指纹 采集账号、端口、进程、软件应用、自启动项、Web服务等关键指纹信息 采集2种指纹信息 采集14种资产指纹 支持记录资产指纹变更历史 采集14种资产指纹 支持记录资产指纹变更历史 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项 × ✓ ✓ 漏洞扫描 支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能 仅支持扫描Win/Linux漏洞，不支持配置扫描策略，不支持一键修复 ✓ ✓ 弱口令检测 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令 × ✓ ✓ 入侵检测 实时监测入侵行为，识别暴力破解、异常登录、进程提权、恶意命令执行等攻击并告警 仅支持系统暴力破解、异常登录告警 ✓ ✓ 白名单管理 提供告警白名单配置能力，用户可自定义信任规则，过滤误报安全事件 × ✓ ✓ 网页防篡改 对网站目录下的文件进行实时监测，发生异常篡改行为实时告警，并通过备份自动恢复被篡改的文件或目录 × × × ✓ 病毒查杀 融合本地 + 云端双引擎检测技术，精准识别挖矿木马、蠕虫、勒索病毒等各类恶意程序 × ✓ ✓ 文件完整性保护 实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监测和告警 × × ✓ 勒索诱饵防护 在系统关键位置投放诱饵文件，实时捕捉勒索行为，阻止勒索病毒对数据的加密 × × ✓ 主动防御 自动隔离恶意文件、封禁恶意 IP，提供精准 / 全面双防御模式 × × ✓ 端口蜜罐 通过部署蜜罐，监听攻击者对蜜罐端口的扫描行为，记录攻击者的扫描行为 × × ✓ 检测规则管理 自定义检测规则，异常行为命中自定义规则实时告警 × ✓ ✓ 配额管理 展示配额使用的情况 ✓ ✓ ✓ 告警通知 发生入侵实时发送告警通知 ✓ ✓ ✓ 报表管理 周期性自动生成安全风险报告 仅周报 ✓ ✓ 数据外发 告警外发至Syslog服务器或日志服务 ✓ ✓ ✓

审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。数据库安全审计是企业级数据库必须提供的一个基础能力，有助于事后对访问合规性进行追溯。结合业界通用的做法，TeleDB从多个维度来提供全方位的审计能力，同时TeleDB审计通过旁路检测方式，对数据库运行效率的影响极小。 TeleDB审计主要包括粗粒度审计（audit）和细粒度审计（fga）。 具体内容请参考《TeleDB安全配置手册》中“审计”章节。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。脱敏是指在用户无感知的情况下，对非授权用户返回被脱敏的数据。其主要原理是通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据）。 如何创建数据脱敏具体内容请参考《TeleDB安全配置手册》中“数据脱敏”章节。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。备份类型包括全量备份、‌增量备份，每种类型都有其特定的应用场景和优势。数据备份与恢复具体操作请参考《TeleDB安全配置手册》中“数据备份与恢复”章节。

客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录边缘安全加速平台对应控制台企业服务进行获取。 问题故障分析 部署连接器后，仍然显示连接器“未激活”，如何定位排查？ 确认是否连接器能对外联网。 确认连接器是否对外网络出方向有进行防火墙限制，若有，需放开对应端口的网络出口访问。 客户端网络正常，但是客户端访问内部系统失败可能是什么原因？ 访问失败存在很多场景，以下列举几种常见情况，如未找到有效解决方式，请联系我们。 检查客户端是否处于在线状态，若非在线状态，则隧道连接已断开，无法访问内部系统。 检查应用是否针对该用户已授权，若未授权，则无法进行访问。 检查应用类型是否选择错误，如ssh 协议选择Web类型应用，则可能导致访问出现异常。 查询内网审计日志，判断是否被零信任网关拦截。 检查应用与连接器是否处于连通状态，可通过连接器机器telnet对应的应用ip和端口，确认是否是连接器与应用无法连通导致。 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

本文介绍中国电信天翼云服务协议。 天翼云应用加速产品采用《天翼云CDN服务协议》，详情请参见天翼云CDN服务协议。

健康检查配置 云原生网关对后端服务的健康检查分为主动健康检查和被动健康检查。 主动健康检查通过预设的探针，主动探测上游节点的存活性，目前支持 HTTP、HTTPS、TCP 三种探针类型。当发往某个健康节点的若干个连续探测请求都失败时，则该节点将被标记为不健康，不健康的节点将会被网关的负载均衡器忽略，无法收到请求；若发往某个不健康的节点的连续若干个探测请求都成功，则该节点将被重新标记为健康，进而可以被代理。 主动健康检查配置界面如下图： 主动健康检查支持的配置项有： 配置项 说明 探测类型 当前支持TCP、HTTP、HTTPS探测。 超时时间 探测请求超时时间。 并行数量 并发主动探测的最大数量。 端口 探测的服务端口。 请求路径 探测请求的路径，仅对HTTP和HTTPS探测有效。 请求头部 探测时指定请求头部，仅对HTTP和HTTPS探测有效。 健康状态定义 对于不健康节点的探测配置，用于判断节点是否恢复健康。 1，探测时间间隔（秒） 2，成功次数：主动探测成功达到次次数时认为节点是健康的 3，状态码：对于HTTP和HTTPS探测，定义了哪些状态码是健康的，如2XX，3XX 不健康状态定义 对于健康节点的探测配置，用于判断节点是否监控。 1，探测时间间隔（秒） 2，超时次数：超时次数大于或者等于该配置时认为节点不健康 3，状态码：定义了哪些状态码是异常的，如4XX，5XX 4，HTTP失败次数：HTTP失败次数大于等于该值时认为节点不健康 5，TCP失败次数：TCP失败大于等于该值时认为节点不健康 被动健康检查是指，通过网关接收到的上游节点的响应状态来判断对应的上游节点是否健康。相对于主动健康检查，被动健康检查的方式无需发起额外的探测请求，缺点是无法提前感知节点状态，需要有一定量的失败请求才能触发故障节点的剔除。若发向某个健康节点的若干个连续请求都被判定为失败，则该节点将被标记为不健康。 被动健康检查的配置如下图： 被动健康检查的配置说明： 配置 说明 类型 当前支持TCP、HTTP、HTTPS三种类型。 健康状态定义 状态码：成功对应的状态码，主要是2XX、3XX等。 成功次数：成功的次数超过该值则认为节点健康。 不健康状态定义 超时次数：超时次数超过该值则认为节点不健康。 TCP失败次数：TCP失败超过该值则认为节点不健康。 HTTP失败次数：HTTP失败超过该值则认为节点不健康。 状态码：失败对应的状态码，包括4XX、5XX等。

本文帮助您了解对象存储数据回源功能及其分类。 当用户访问的数据在对象存储（简称ZOS）存储桶中不存在时，会直接返回404错误。如果您配置了数据回源功能，则可以通过数据回源规则从源站访问到对应的数据。 数据回源分为镜像回源和重定向两类，区别如下： 镜像回源 当用户访问ZOS中不存在的资源时，ZOS会根据预先配置的回源规则，向指定的源站抓取对应的资源，并将其转发给客户端。同时在后台会生成回源任务，将源站数据保存至ZOS中。这样的机制使得用户在无感知的情况下可以将业务从源站无缝迁移到ZOS上，实现平稳过渡和高效迁移。回源规则的灵活配置为业务迁移和资源访问提供了便利，同时保证了数据的安全性和一致性。 重定向回源 当用户访问桶并发生指定错误时，ZOS会根据预先设定的回源规则生成新的URL，并将用户的请求重定向到该新的URL。客户端会根据重定向的URL重新发起访问请求，而ZOS本身并不存储源站数据。 这种机制允许ZOS在符合特定条件时将用户请求转发到指定的源站，实现资源重定向，以优化用户体验，并确保数据的完整性和一致性。

本小节介绍服务器安全卫士的产品功能。 资产清点 资产清点致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精准识别和动态感知，让保护对象清晰可见。资产清点功能提供12余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。 风险发现 风险发现致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。 入侵检测 主机入侵检测系统，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 合规基线 合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。 病毒查杀 结合多个病毒检测引擎，能够实时、准确地发现主机上的病毒进程，并提供多角度的分析结果，和相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。

步骤三：多活容灾场景验证 按照上述集群应用部署操作，示例应用分别部署在集群“ccecceonedemo1”和“cceonethiib1bcj”中，并以“负载均衡”类型的服务对外提供访问。步骤二中域名访问创建成功后，可以得到一个可以公网解析和访问的域名，我们可以基于该域名来验证其实际访问和容灾能力。 1. 获取验证测试访问域名。假设为“cceonetest.ctyun.cn”。 2. 在一台已连接公网的机器上执行如下命令，持续访问域名地址，查看集群应用处理状态；正常情况下，两个集群上的应用均接收流量，并且各处理50%流量。 plaintext while true;do wget q O cceonetest.ctyun.cn:8800; done this is cce cluster application. this is aliyun cluster application. this is cce cluster application. this is aliyun cluster application. this is cce cluster application. this is aliyun cluster application. ... 注意 测试命令应使用wget而非ping，以便每次访问目标服务均可完整的经历域名解析逻辑。 3. 当集群cceonethiib1bcj上的应用异常时（通过集群节点关机来模拟应用异常），系统将所有的流量路由到ccecceonedemo1集群处理，用户感知不到异常。 plaintext while true;do wget q O cceonetest.ctyun.cn:8800; done this is cce cluster application. this is cce cluster application. this is cce cluster application. this is cce cluster application. this is cce cluster application. this is cce cluster application. ...

本文为您介绍容器安全卫士的应用场景，包括镜像安全防护和容器安全防护。 镜像安全防护 采用容器技术后，业务容器基于镜像启动。如何在业务上线前提前感知镜像安全风险，保障安全上线变得尤为重要。 方案优势 兼容性强：兼容市面主流镜像仓库，以及主流操作系统，包括国产化欧拉、麒麟等国产镜像OS。 检测全面：基于多漏洞源以及病毒库，深入检测软件成分、漏洞、恶意文件、软件许可、敏感信息等安全风险。 风险阻断：针对风险镜像，可基于特权启动、漏洞、软件、文件、环境变量等多维度阻止其上线运行。 场景示意图 容器安全防护 容器内承载的即是业务进程，一旦容器被攻陷，或基于业务逻辑攻击进入容器，都将面临不可预估的风险，所以在享受容器带来便利的同时，也要加强关注容器及业务的安全性。 方案优势 覆盖ATT&CK全阶段：提供业务命令执行、文件读写、网络活动、主机风险等多个维度的安全检测策略，且可自定义。覆盖ATT&CK各个阶段，确保风险及时发现。 资产/风险联动性强：通过任一资产，都可查看其关联的其他资产，在发现风险时，也会提供攻击链条及详尽的关联数据，辅助判断。 确认风险极速处置：确认风险后，对存在风险的业务容器，可一键进行隔离、重启，或暂停容器。再通过历史信息对风险进行溯源。

概述 应用通过Java探针接入微服务治理中心以后，您可结合msgcflowsdk对任意代码块进行埋点。埋点后可在微服务治理中心控制台查看自定义埋点接口的监控数据，也可针对自定义埋点进行流量防护。 限制条件 1.应用已接入微服务治理中心。 2.自定义埋点接口具备流量。 操作步骤 第1步 为应用添加依赖 依赖下载路径：微服务治理中心控制台>应用治理>应用接入>如何添加自定义接口>点击下载jar包。 将jar包部署到仓库，在Pom文件中添加对应依赖，参考如下： plaintext com.ctg.mse msgcflowsdk 1.8.0 第2步 在应用工程中添加埋点 自定义方式埋点 plaintext SphU.entry(String name, EntryType trafficType, int batchCount, Object... args) 使用示例 plaintext Entry entry null; try { entry SphU.entry("resourceName", EntryType.IN, 1, paramA); //业务逻辑 }catch (BlockException e){ // 触发防护规则，在此处进行处理 }catch (Exception e){ // 保证异常被SDK感知 Tracer.traceEntry(e, entry); throw e; }finally { // 务必保证enter成功后最终会exit，并且传入了对应的参数 if (entry ! null) { entry.exit(); } } 自定义埋点参数说明 参数名 说明 name 接口名称 trafficType IN 入口流量 、OUT 出口流量、INTERNAL 内部调用 batchCount 表示每次调用计数为多少，通常传 1 args 接口入参

增强型云主机配套25GE智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。 在售型号：c8ne、m8ne 停售型号：c7ne 适用场景 增强型云主机适用各种于网络密集型应用与企业级应用： NFV/SDWAN 移动互联网 视频弹幕 电信业务转发 大中型数据库系统、缓存、搜索集群 大数据分析和机器学习 增强型弹性云主机特点 规格名称 计算 磁盘类型 网络 网络增强计算型c8ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强内存型m8ne 1.CPU/内存配比：1:8 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强计算型c7ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2148 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3000万PPS 4.最大内网带宽：32Gbps

增强型云主机配套25GE智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。 在售型号：c8ne、m8ne 停售型号：c7ne 适用场景 增强型云主机适用各种于网络密集型应用与企业级应用： NFV/SDWAN 移动互联网 视频弹幕 电信业务转发 大中型数据库系统、缓存、搜索集群 大数据分析和机器学习 增强型弹性云主机特点 规格名称 计算 磁盘类型 网络 网络增强计算型c8ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强内存型m8ne 1.CPU/内存配比：1:8 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强计算型c7ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2148 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3000万PPS 4.最大内网带宽：32Gbps

审计分析 对实时动态分析的日志进行归并处理和监测，可及时发现高危安全事件，如用户违规行为、数据泄露、攻击利用和主机通信异常。 关联分析策略是系统中的核心功能之一，主要关注各类日志之间的逻辑关联关系。它不仅支持以预定义规则进行事件关联，还能基于状态、时序和归并等方式发现关联。 系统可审计以下不同类型日志或事件（需结合相关设备，如防火墙和IPS等）：网络攻击、有害代码、漏洞、用户访问存取、系统运行、设备故障、配置状态、网络连接和数据库操作等。 关联事件的结果将在关联事件中显示，如果符合关联策略，将以告警形式在实时监控模块呈现给用户。用户可以对告警进行处理，以确保及时应对潜在的安全问题。 数据展示 提供可视化的总体概览，通过仪表板可以直观地展示日志数据的统计和分析结果，帮助用户快速了解系统的运行状态和问题。用户可以自定义展示安全事件以及各类审计分析信息，提供实时的审计分析可视化界面。 全局监视仪表板，可展示不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。 风险报表 用户可以根据自己的需求，自由选择需要包含在报表中的指标和数据，以便更好地满足特定的业务需求。系统还提供了对预置报表模板的选择和预览功能。用户可以浏览系统中已经存在的报表模板，并选择其中的一个进行生产。这有助于用户快速生成符合自己需求的报表，节省了手动设计和生成报表的时间和工作量。 在报表中，系统以柱状图、曲线图和饼状图的方式统计安全报警和原始日志情况。这种可视化的报表展示方式使得数据更加直观易懂，用户可以更轻松地分析和理解报表中的信息。报表格式方面，系统支持PDF、Word等文件格式的导出。用户可以根据需要选择合适的文件格式，以便将报表分享给其他人或保存到本地进行进一步分析。 此外，系统还支持周期性生成报表并通过邮件推送给用户。用户可以设置报表的生成周期，例如每天、每周或每月定期生成报表，并通过电子邮件将其发送给用户。这样，用户可以及时获得最新的安全报警和日志信息，以便及时采取相应的措施。

支持客户对日常关注的带宽流量、请求数、状态码、连接数、并发连接数等，按域名、端口、运营商、地区、时间等维度进行自定义查询，实时感知业务运营状态。 查询范围说明 支持六个月内、最长时间跨度为15天的用量数据查询。 六个月内：是指支持查询的历史数据范围，从当日往前推，六个月内的数据支持查询，而超过六个月的数据不支持查询。 跨度15天：是指单次数据查询的时间跨度，最长时间跨度是15天，即单次最长仅支持查15天的数据。查询起止日期可以是六个月里面的任意连续的日期，最长跨度为15天。 数据概述 业务用量模块，支持客户通过域名、端口、运营商、地区、时间等统计数据，并能导出xlsx或者CSV文件。 带宽与流量 带宽和流量支持客户按域名、端口、运营商、地区、时间为搜索条件，查看带宽流量等数据。 请求次数与QPS 请求次数和QPS支持客户按域名、运营商、地区、时间为搜索条件，查看请求次数和QPS数据。 注意 查询条件为"端口"时，不展示请求次数QPS统计。 连接数与并发连接数 连接数和并发连接数支持客户按端口、运营商、地区、时间为搜索条件，查看连接数和并发连接数数据。 注意 查询条件为“域名”时，不展示连接数与并发连接数统计。

本节主要介绍如何通过Nginx反向代理访问OBS。 背景 一般情况下，用户会通过OBS提供的桶访问域名（例如 但在某些场景下，用户需要通过固定的IP地址访问OBS，例如：某些企业出于安全考虑，对于可访问的外部地址需要设置黑白名单，而这个时候对于OBS的访问则需要一个固定的IP地址。同样出于安全考虑，天翼云OBS桶访问域名通过DNS解析的IP地址是会发生变化的，所以用户无法获取某个桶长期有效的固定IP地址。 此时，可以通过在ECS上搭建Nginx反向代理服务器，来实现通过固定IP地址访问OBS。 原理介绍 本实践将Nginx部署在ECS上，搭建Nginx反向代理服务器。用户对代理无感知，只需要将请求发送到反向代理服务器，然后由反向代理服务器向OBS获取数据，再返回给用户。反向代理服务器和OBS对外看做一个整体，仅暴露代理服务器的IP地址，隐藏了OBS真实的域名或IP地址。 图通过Nginx反向代理访问OBS原理 前置条件 已明确OBS桶所在区域和桶的访问域名，如苏州区域的桶：nginxobs.obs.cnjssz1.ctyun.cn。查看桶的信息 已在同区域购买Linux操作系统的ECS，本文以CentOS系统为例。 ECS已绑定EIP，EIP用于从公网下载必要的Nginx安装包。

本文旨在向您介绍一站式智算服务平台断点续训的功能。 产品背景 大模型训练过程往往比较长，根据业界数据，平均约两天，大模型训练会中断一次，经常遇到的问题例如： 程序出现故障 节点出现故障 loss数据恶化，需要手动暂停，调参重训 服务器故障、网络中断、开发平台故障等 断点续训过程需要排查节点、隔离节点、重新启动上一次CKPT，浪费了资源和训练时间，是大模型训练的重要痛点之一。针对这一问题，平台提供了断点续训能力并支持配置客户需要的策略。 断点续训 平台对节点故障、集群故障、程序故障等多种场景，支持故障感知、故障定位、故障修复。目前支持PyTorch、Mindspore框架。 支持以下故障类型： 网络故障：当网卡链接出现故障或状态异常（link status: DOWN）后，可正常触发重调度，实现断点续训 节点心跳故障：当节点因Label异常等原因导致心跳丢失后，可正常触发重调度，实现断点续训 节点Shutdown/Reboot故障：当节点被关闭或重启后，可正常触发重调度，实现断点续训 芯片PCIE故障：当节点发生芯片丢失等异常后，可正常触发重调度，实现断点续训 断点故障：当错误发生时断点正在写入，未正常完成保存即断点保存不完整时，可正常恢复至上一完整断点，实现断点续训

本文简述天翼云应用加速全网带宽控制功能及配置方式。 功能介绍 天翼云应用加速全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 适用场景 1.存在带宽突发场景，希望突发情况下应用加速带宽费用可以进行有效控制。 2.对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意 1.可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 2.不支持对泛域名配置带宽控制功能。 3.由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略选择拒绝，默认拒绝响应SESSIONDENIED状态码。 如您需要配置应用加速全网带宽控制功能，请提交工单申请。

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功

功能模块 功能详情 相关文档 服务管理 支持可视化的服务管理，包括服务创建与详细信息查看，服务实例的添加、删除、上下线等，便于用户统一管理已接入的服务。 标签路由 通过标签将一个或多个服务的提供者划分到同一个分组，从而约束流量只在指定分组中流转，实现流量隔离的目的。 全链路灰度 通过创建泳道规则将一个或多个应用的相同版本划分到同一个泳道中，从而约束流量只在指定泳道中流转，实现全链路的流量隔离的目的。 离群摘除 检测Spring Cloud、Dubbo应用实例的可用性并进行动态调整，以保证服务成功调用，从而提升业务的稳定性和服务质量。 无损上下线 通过提供服务预热、延迟注册和微服务生命周期与K8s生命周期对齐等一系列功能保障应用安全发布，无损下线能够在应用下线过程中实现服务消费者无感知。 应用防护 从流量控制、隔离控制、热点参数防护、Web 防护等多个维度来保障业务的稳定性，提供更专业稳定的流量防护手段、秒级的流量水位分布分析功能。

本章节介绍应用服务网格CSM相关名词解释 控制面（ Control plane ） 控制面是整个服务网格的控制中枢，负责整个网格的管理，包括sidecar注入，服务发现和服务治理配置分发以及证书管理功能等。 数据面（ Data plane ） 数据面是实际执行流量治理的代理服务器，在istio里面采用Envoy作为流量代理服务器，Envoy会拦截进出业务服务的流量并执行相应的流量治理策略。 sidecar 注入（ sidecar injection ） 在业务pod内部增加一个sidecar，用于实现流量拦截和代理功能，称为sidecar注入；在K8S的使用场景下，一般采用webhook机制实现业务无感知的sidecar注入。 虚拟服务（ Virtual Service ） 虚拟服务是istio定义的流量治理对象，能够实现对指定服务配置路由规则的功能，匹配到该路由规则的请求将根据配置被转发到相应的目标。 目标规则（ Destination Rule ） 目标规则时istio定义的用于管理流量转发目标服务的对象，比如可以使用目标规则设置要转发的目标服务的版本、超时重试策略、熔断策略等。 对等身份认证（ Peer Authentication ） 在服务网格内，服务之间通信都要经过sidecar，对等身份认证策略定义了sidecar之间的通信安全策略，可以是明文传输，或者强制TLS加密通信，或者两种都可以。 请求身份认证（ Request Authentication ） 请求身份认证定义了服务对于收到的请求的身份认证策略，比如可以配置服务按照jwt策略对请求的身份进行认证，认证之后可以基于请求者的身份做进一步的访问授权策略。