本节介绍AI空间的使用说明。 AI空间聚合了众多场景化AI应用，满足各类场景的使用需求。用户可以按照图片处理、写作助手、智能分析、办公、学习、生活等场景分类进行提问，让AI输出对应方案。以下我们将通过实例演示让AI输出产品创意方案。 AI空间 对于企业职员、老师等角色，可输入关键词快速生成PPT幻灯片或文档，提升工作效率，减轻文档负担。 【操作步骤】： 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“应用”“写作助手”“PPT生成”； 3.在AI对话窗口，可以根据需求发送关键词内容，如“年度总结”； 4.点击发送后，AI应用即为你输出一份完整的年终总结方案PPT。 办公场景示例 对于职员、老师等有日常文档写作需求的角色，通过翼文档提供的文本扩写、缩写、润色、生成文章等AI能力，可以轻松写文档。 【操作步骤】 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“应用”“写作助手”“Word写作”； 3.在“翼文档”中通过AI辅助word文档写作。

本文介绍如何下载根证书。 如果您的业务用户通过Java等客户端访问Web业务，您需要下载与服务端证书类型一致的根证书，并手动安装到对应的客户端，确保客户端与服务端建立HTTPS安全连接。 背景概述 根证书是建立信任链的基础。一旦客户端安装了根证书，它即可验证由该根证书签发的所有证书。这使得客户端可以信任与该根证书相关的所有服务器和应用程序，从而建立起一个完整的信任链。 如果您的业务用户通过浏览器访问您的Web业务，则您无需关注根证书和中间证书，因为根证书和中间证书已经内置在浏览器，您只需在Web服务器安装经CA签发的SSL证书，即可实现客户端与服务端的HTTPS通信。如何获取SSL证书（服务端证书），请参见购买SSL证书。 如果业务用户通过Java等客户端访问您的Web业务，由于客户端没有内置根证书和中间证书，您可能需要在对应客户端或者系统默认信任库手动安装根证书和中间证书，保证客户端能够校验服务端的加密信息。例如，服务端安装了标准版SSL证书，则客户端需要有标准版OV型根证书，才能实现客户端与服务端的HTTPS通信。 下载根证书 证书分类 下载根证书 标准版 国密标准：国密版本根证书.zip 标准版 国际标准： 2025年4月3日之后签发：国际版本根证书（20250403后）.zip 2025年1月14日2025年4月3日之间签发：国际版本根证书（2025011420250403）.zip 2025年1月14日前签发：国际版本根证书（旧）.zip SecureSite GeoTrust TrustAsia ECC算法：DigiCertGlobalRootG3root.rar SecureSite GeoTrust TrustAsia RSA算法：DigiCertGlobalRootG2root.rar GlobalSign OV证书、EV证书：GlobalSign Root CA R3.zip GlobalSign DV证书：GlobalSign Root CA R6.zip CFCA 国密标准：CFCA CS SM2 CA.zip CFCA 国际标准：CFCA EV ROOT.zip 个人证书 国密标准：个人证书根证书.zip

Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。 glmoscodeexplain 如何开通智能负载均衡功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用智能负载均衡功能？ 具体功能介绍和使用请参考配置缓存功能介绍：配置缓存 注意 暂时不支持单独退订智能负载均衡，如果需要单独退订，请

本节介绍如何接入产品日志。 打开云安全中心的设置>集成配置，在集成配置中选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 接入流程如下： 1. 登录云安全中心控制台。 2. 选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

高级配置——微服务治理 在微服务云应用平台中部署的SpringCloud和Dubbo应用能够无侵入对接云原生Stack中微服务治理中心的能力。微服务云应用平台支持您在创建和部署应用时为应用配置注册中心实例和无损上线。 注册中心是在Java微服务架构中用于实现服务的注册与发现，能够屏蔽、解耦服务之间的相互依赖，以便对微服务进行动态管理的。目前微服务云应用平台只支持从云原生Stack中订购的注册配置中心nacos产品实例。 无损上线是微服务治理中心产品提供的一种能力。针对应用启动的多个阶段提供了相应的保护能力，具体功能包含服务预热、服务延迟注册以及无损滚动发布等。 无损上线参数名称 无损上线参数含义 预热时长 应用实例下一次启动的预热时间。 预热曲线 基于已配置的预热时长，被预热的应用流量权重会根据配置的预热曲线呈指数型增长。 在指定预热时长内，预热曲线值越大被预热应用刚启动时分配的流量权重越小，以满足需要较长时间进行预热的复杂应用的预热需求。 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。 预热曲线设置范围为0~20。相同预热时间，预热曲线值越大，表示预热开始将接收的流量越小，临近预热结束时接收的流量增幅越大。 延迟注册时间 延迟注册到注册中心实例的时长。 无损滚动发布 通过就绪检查前完成服务注册：为应用无侵入提供54199端口用于检查微服务是否已经完成注册，如果已注册完成，端口返回200，否则返回500。 通过就绪检查前完成服务预热：为应用无侵入提供54199端口用于检查微服务是否已经完成预热，如果已预热完成，端口返回200，否则返回500。

本文介绍多活容灾服务的收费项、价格与折扣信息。 当前多活容灾服务涉及计费的资源及价格如下表所示。 资源类型 包月标准价格 按需标准价格 备注 容灾管理中心 6000元/月/个 9元/小时/个 1. 若购买故障演练包，须与容灾管理中心配套采购。 2. 一次故障演练：指用户可通过可视化编排界面构建完整演练流程，支持自定义预案阶段划分，每个阶段可集成脚本任务、系统内置任务、人工任务等多类型操作任务，形成端到端的自动化演练方案。 故障演练包 800元/月/个 1. 若购买故障演练包，须与容灾管理中心配套采购。 2. 一次故障演练：指用户可通过可视化编排界面构建完整演练流程，支持自定义预案阶段划分，每个阶段可集成脚本任务、系统内置任务、人工任务等多类型操作任务，形成端到端的自动化演练方案。 主机高可用 6800元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 持续数据保护 6900元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 数据定时备份 1700元/年/TB 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 数据库双活 47000元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 文件存储数据灾备 14500元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 对象存储数据灾备 3700元/年/TB 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 说明 包年优惠政策： 1. 容灾管理中心和故障演练包在包月标准价基础上，包年优惠为一年9折，两年85折。 2. 主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备在包年标准价基础上，购买2年或3年为8折，购买4年或5年为7折。 注意 故障演练包 1. 故障演练包不支持续订，支持试用包（每个账号仅支持购买一次试用包，试用包的限额次数：10次）。 2. 包月计费故障演练包的限额次数：60次购买时长（单位：月）。 3. 包年计费故障演练包的限额次数：720次购买时长（单位：年）。时间到期或次数用尽都视为故障演练包到期。 计费示例 以某金融行业用户典型容灾架构为例，具体资源配比与许可采购方案如下： 1. 业务层架构 1. 资源部署：生产中心部署1台云主机，灾备中心部署1台同规格云主机 2. 技术对应：实现主备间应用级故障切换 3. 许可需求：需采购2个主机高可用许可（主备机器各需安装1个许可） 2. 数据层架构 1. 数据库双活 1. 资源部署：生产中心1台主机部署MySQL集群，灾备中心部署1台主机部署同步镜像集群 2. 技术对应：实现跨AZ实时数据同步 3. 许可需求：需采购2个数据库双活许可（主备机器各需安装1个许可） 2. 核心数据保护 1. 持续保护：对交易系统核心表实施持续数据保护 2. 技术对应：实现持续数据保护和任意时刻数据恢复 3. 许可需求：需采购2个持续数据保护许可（主备机器各需安装1个许可） 3. 历史数据保护 1. 定时备份：对历史数据执行每日增量备份+每周全备，备份后数据量为100TB 2. 技术对应：实现数据定时备份 3. 许可需求：需采购100TB数据定时灾备容量（数据定时灾备许可按TB收费） 4. 容灾演练方案 1. 演练频率：每年执行多次全链路容灾验证 2. 技术对应：支持自定义演练阶段（如模拟故障→切换→回切→验证），集成自动化脚本执行与人工确认节点 3. 许可需求：需采购1个容灾管理中心，1个容灾演练包（含可视化编排，每月60次） 计费总结： 资源类型 数量 单位 备注 主机高可用 2 个/年 实现业务层故障切换 数据库双活 2 个/年 实现数据库双活 持续数据保护 2 个/年 实现数据保护 数据定时备份 100 TB/年 实现数据保护 容灾管理中心 1 个/年 实现容灾演练 故障演练包 1 个/年 实现容灾演练

本文介绍如何验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 注意： 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

智算一体机从产品购买到正式交付，主要服务流程如下所示： 产品订购 确定需求：客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 项目设计：确定客户需求后，天翼云技术专家开始设计并输出网络集成规范、系统集成方案、测试用例等。 硬件/软件集成：天翼云技术专家进行硬件集成、网络配置、软件集成等。 测试验收：天翼云测试专家进行测试验收、输出对应报告并进行发货评审。 产品交付 产品发货：天翼云将按照与客户约定的时间依次发货。 交付部署：天翼云服务团队将现场上电、通网、现场系统测试、系统交付检查。 客户验收：由客户进行智算一体机全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型训练或者推理。

事件ID 对应事件 35 更改时间源 36 时间同步失败 37 时间同步正常 41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 134 当出现时间同步源DNS解析失败时会出现此事件ID。 512 Windows启动事件 513 Windows关机事件 515 受信任的登录过程已经在本地安全机构注册 516 审核失败事件 517 清除安全事件日志事件 518 安全帐户管理器已加载通知数据包 519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 520 更改系统时间事件 521 无法记录事件 528 登录成功事件 529 登录失败事件用户名未知或密码错误 530 登录失败事件时间限制 531 登录失败事件帐户当前已禁用 532 登录失败事件指定用户帐户已过期 533 登录失败事件不允许用户由此计算机登录 534 登录失败事件不允许该登录类型 535 登录失败事件指定帐户的密码已过期 536 登录失败事件NetLogon组件未激活 537 登录失败由于其他原因登录尝试失败 538 用户注销事件 539 登录失败试图登录时该帐户已锁定 540 登录成功事件 553 检测到重放攻击事件 560 准许对现有对象的访问 560 拒绝对现有对象的访问事件 562 指向对象的句柄已关闭 563 试图打开一个对象并打算将其删除 564 受保护对象已删除 565 访问权限已授予现有的对象类型 566 发生了一般对象操作 567 与使用的句柄关联的权限 568 尝试创建已审核文件的硬链接事件 574 对象权限被修改 576 对新登录指派特殊特权 592 创建新进程事件 592 创建新流程事件 600 对进程指派了主令牌事件 601 用户尝试安装服务事件 602 创建计划的作业事件 608 指派了用户帐户特权 609 移除了用户帐户特权 610 创建删除或修改了与另一域的信任关系 611 创建删除或修改了与另一域的信任关系 612 更改审核策略事件 613 更改IPsec策略事件 614 更改IPsec策略事件 615 更改IPsec策略事件 620 创建删除或修改了与另一域的信任关系 621 对帐户授予了系统访问权 622 从系统移除了系统访问权 623 更改审核策略事件 624 创建用户帐户事件 625 按用户刷新审核策略 626 启用了用户帐户 627 更改密码尝试事件 628 用户帐户密码设置或重置事件 630 删除用户帐户事件 631 启用了安全性的全局组更改事件 632 启用了安全性的全局组更改事件 633 启用了安全性的全局组更改事件 634 启用了安全性的全局组更改事件 635 启用了安全性的全局组更改事件 636 启用了安全性的全局组更改事件 637 启用了安全性的全局组更改事件 638 启用了安全性的全局组更改事件 639 启用了安全性的组更改事件 641 启用了安全性的组更改事件 642 更改用户帐户事件 643 更改域安全策略事件 644 帐户锁定尝试事件 644 用户帐户自动锁定事件 645 帐号及安全组策略更改事件 659 启用了安全性的通用组更改事件 660 启用了安全性的通用组更改事件 661 启用了安全性的通用组更改事件 662 启用了安全性的通用组更改事件 666 帐号及安全组策略更改事件 668 启用了安全性的组更改事件 672 已成功颁发和验证身份验证服务(AS)票证 675 预验证失败事件 680 帐户登录事件 681 登录失败尝试进行域帐户登录事件 682 用户已重新连接至已断开的终端服务器会话 683 用户未注销就断开终端服务器会话 685 更改用户帐户名称事件 698 更改目录服务还原模式密码事件 1074 查看计算机的开机、关机、重启的时间以及原因和注释。 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1102 日志清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4199 当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。 4608 Windows正在启动 4608 Windows启动事件 4609 Windows正在关闭 4609 Windows关机事件 4610 本地安全机构已加载身份验证包 4611 已向本地安全机构注册了受信任的登录进程 4611 受信任的登录过程已经在本地安全机构注册 4612 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4612 审核失败事件 4613 清除安全事件日志事件 4614 安全帐户管理器已加载通知包。 4614 安全帐户管理器已加载通知数据包 4615 LPC端口使用无效 4615 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 4616 系统时间已更改。 4616 更改系统时间事件 4617 无法记录事件 4618 已发生受监视的安全事件模式 4621 管理员从CrashOnAuditFail恢复了系统 4622 本地安全机构已加载安全包。 4624 帐户已成功登录 4624 登录成功事件 4625 帐户无法登录 4625 登录失败事件用户名未知或密码错误 4626 用户/设备声明信息 4626 登录失败事件时间限制 4627 集团会员信息。 4628 登录失败事件指定用户帐户已过期 4629 登录失败事件不允许用户由此计算机登录 4630 登录失败事件不允许该登录类型 4631 登录失败事件指定帐户的密码已过期 4632 登录失败事件NetLogon组件未激活 4633 登录失败由于其他原因登录尝试失败 4634 帐户已注销 4634 用户注销事件 4635 登录失败试图登录时该帐户已锁定 4636 登录成功事件 4646 IKE DoS防护模式已启动 4647 用户启动了注销 4648 使用显式凭据尝试登录 4649 检测到重播 4649 检测到重放攻击事件 4650 建立了IPsec主模式安全关联 4651 建立了IPsec主模式安全关联 4652 IPsec主模式协商失败 4653 IPsec主模式协商失败 4654 IPsec快速模式协商失败 4655 IPsec主模式安全关联已结束 4656 请求了对象的句柄 4656 准许对现有对象的访问 4656 拒绝对现有对象的访问事件 4657 注册表值已修改 4658 对象的句柄已关闭 4658 指向对象的句柄已关闭 4659 请求删除对象的句柄 4659 试图打开一个对象并打算将其删除 4660 对象已删除 4660 受保护对象已删除 4661 请求了对象的句柄 4661 访问权限已授予现有的对象类型 4662 对对象执行了操作 4662 发生了一般对象操作 4663 尝试访问对象 4663 与使用的句柄关联的权限 4664 试图创建一个硬链接 4664 尝试创建已审核文件的硬链接事件 4665 尝试创建应用程序客户端上下文。 4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4670 对象权限被修改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权 4672 对新登录指派特殊特权 4673 特权服务被召唤 4674 尝试对特权对象执行操作 4675 SID被过滤掉了 4688 已经创建了一个新流程 4688 创建新进程事件 4688 创建新流程事件 4689 一个过程已经退出 4690 尝试复制对象的句柄 4691 请求间接访问对象 4692 尝试备份数据保护主密钥 4693 尝试恢复数据保护主密钥 4694 试图保护可审计的受保护数据 4695 尝试不受保护的可审计受保护数据 4696 主要令牌已分配给进程 4696 对进程指派了主令牌事件 4697 系统中安装了一项服务 4697 用户尝试安装服务事件 4698 已创建计划任务 4698 创建计划的作业事件 4699 计划任务已删除 4700 已启用计划任务 4701 计划任务已禁用 4702 计划任务已更新 4703 令牌权已经调整 4704 已分配用户权限 4704 指派了用户帐户特权 4705 用户权限已被删除 4705 移除了用户帐户特权 4706 为域创建了新的信任 4706 创建删除或修改了与另一域的信任关系 4707 已删除对域的信任 4707 创建删除或修改了与另一域的信任关系 4708 更改审核策略事件 4709 IPsec服务已启动 4709 更改IPsec策略事件 4710 IPsec服务已禁用 4710 更改IPsec策略事件 4711 PAStore引擎（1％） 4711 更改IPsec策略事件 4712 IPsec服务遇到了潜在的严重故障 4713 Kerberos策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略（SACL）已更改 4716 可信域信息已被修改 4716 创建删除或修改了与另一域的信任关系 4717 系统安全访问权限已授予帐户 4717 对帐户授予了系统访问权 4718 系统安全访问已从帐户中删除 4718 从系统移除了系统访问权 4719 系统审核策略已更改 4719 更改审核策略事件 4720 已创建用户帐户 4720 创建用户帐户事件 4721 按用户刷新审核策略 4722 用户帐户已启用 4722 启用了用户帐户 4723 尝试更改帐户的密码 4723 更改密码尝试事件 4724 尝试重置帐户密码 4724 用户帐户密码设置或重置事件 4725 用户帐户已被禁用 4725 帐户当前已禁用 4726 用户帐户已删除 4726 删除用户帐户事件 4727 已创建启用安全性的全局组 4727 启用了安全性的全局组更改事件 4728 已将成员添加到启用安全性的全局组中 4728 启用了安全性的全局组更改事件 4729 成员已从启用安全性的全局组中删除 4729 启用了安全性的全局组更改事件 4730 已删除启用安全性的全局组 4730 启用了安全性的全局组更改事件 4731 已创建启用安全性的本地组 4731 启用了安全性的全局组更改事件 4732 已将成员添加到启用安全性的本地组 4732 启用了安全性的全局组更改事件 4733 成员已从启用安全性的本地组中删除 4733 启用了安全性的全局组更改事件 4734 已删除已启用安全性的本地组 4734 启用了安全性的全局组更改事件 4735 已启用安全性的本地组已更改 4735 启用了安全性的组更改事件 4737 启用安全性的全局组已更改 4737 启用了安全性的组更改事件 4738 用户帐户已更改 4738 更改用户帐户事件 4739 域策略已更改 4739 更改域安全策略事件 4740 用户帐户已被锁定 4740 帐户锁定尝试事件 4740 用户帐户自动锁定事件 4741 已创建计算机帐户 4741 帐号及安全组策略更改事件 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组 4745 已禁用安全性的本地组已更改 4746 已将成员添加到已禁用安全性的本地组 4747 已从安全性已禁用的本地组中删除成员 4748 已删除安全性已禁用的本地组 4749 已创建一个禁用安全性的全局组 4750 已禁用安全性的全局组已更改 4751 已将成员添加到已禁用安全性的全局组中 4752 成员已从禁用安全性的全局组中删除 4753 已删除安全性已禁用的全局组 4754 已创建启用安全性的通用组 4755 启用安全性的通用组已更改 4755 启用了安全性的通用组更改事件 4756 已将成员添加到启用安全性的通用组中 4756 启用了安全性的通用组更改事件 4757 成员已从启用安全性的通用组中删除 4757 启用了安全性的通用组更改事件 4758 已删除启用安全性的通用组 4758 启用了安全性的通用组更改事件 4759 创建了一个安全禁用的通用组 4760 安全性已禁用的通用组已更改 4761 已将成员添加到已禁用安全性的通用组中 4762 成员已从禁用安全性的通用组中删除 4762 帐号及安全组策略更改事件 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4764 启用了安全性的组更改事件 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证（TGT） 4768 已成功颁发和验证身份验证服务(AS)票证 4769 请求了Kerberos服务票证 4770 更新了Kerberos服务票证 4771 Kerberos预身份验证失败 4771 预验证失败事件 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据 4776 帐户登录事件 4777 域控制器无法验证帐户的凭据 4777 登录失败尝试进行域帐户登录事件 4778 会话重新连接到Window Station 4778 用户已重新连接至已断开的终端服务器会话 4779 会话已与Window Station断开连接 4779 用户未注销就断开终端服务器会话 4780 ACL是在作为管理员组成员的帐户上设置的 4781 帐户名称已更改 4781 更改用户帐户名称事件 4782 密码哈希帐户被访问 4783 创建了一个基本应用程序组 4784 基本应用程序组已更改 4785 成员已添加到基本应用程序组 4786 成员已从基本应用程序组中删除 4787 非成员已添加到基本应用程序组 4788 从基本应用程序组中删除了非成员。 4789 基本应用程序组已删除 4790 已创建LDAP查询组 4791 基本应用程序组已更改 4792 LDAP查询组已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码 4794 更改目录服务还原模式密码事件 4797 试图查询帐户是否存在空白密码 4798 枚举了用户的本地组成员身份。 4799 已枚举启用安全性的本地组成员身份 4800 工作站已锁定 4801 工作站已解锁 4802 屏幕保护程序被调用 4803 屏幕保护程序被解雇了 4816 RPC在解密传入消息时检测到完整性违规 4817 对象的审核设置已更改。 4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864 检测到名称空间冲突 4865 添加了受信任的林信息条目 4866 已删除受信任的林信息条目 4867 已修改受信任的林信息条目 4868 证书管理器拒绝了挂起的证书请求 4869 证书服务收到重新提交的证书请求 4870 证书服务撤销了证书 4871 证书服务收到发布证书吊销列表（CRL）的请求 4872 证书服务发布证书吊销列表（CRL） 4873 证书申请延期已更改 4874 一个或多个证书请求属性已更改。 4875 证书服务收到关闭请求 4876 证书服务备份已启动 4877 证书服务备份已完成 4878 证书服务还原已开始 4879 证书服务恢复已完成 4880 证书服务已启动 4881 证书服务已停止 4882 证书服务的安全权限已更改 4883 证书服务检索到存档密钥 4884 证书服务将证书导入其数据库 4885 证书服务的审核筛选器已更改 4886 证书服务收到证书请求 4887 证书服务批准了证书请求并颁发了证书 4888 证书服务拒绝了证书请求 4889 证书服务将证书请求的状态设置为挂起 4890 证书服务的证书管理器设置已更改。 4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory域服务 4896 已从证书数据库中删除一行或多行 4897 启用角色分离 4898 证书服务加载了一个模板 4899 证书服务模板已更新 4900 证书服务模板安全性已更新 4902 已创建每用户审核策略表 4904 尝试注册安全事件源 4905 尝试取消注册安全事件源 4906 CrashOnAuditFail值已更改 4907 对象的审核设置已更改 4908 特殊组登录表已修改 4909 TBS的本地策略设置已更改 4910 TBS的组策略设置已更改 4911 对象的资源属性已更改 4912 每用户审核策略已更改 4913 对象的中央访问策略已更改 4928 建立了Active Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active Directory副本目标命名上下文 4932 已开始同步Active Directory命名上下文的副本 4933 Active Directory命名上下文的副本的同步已结束 4934 已复制Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时，以下策略处于活动状态 4945 Windows防火墙启动时列出了规则 4946 已对Windows防火墙例外列表进行了更改。增加了一条规则 4947 已对Windows防火墙例外列表进行了更改。规则被修改了 4948 已对Windows防火墙例外列表进行了更改。规则已删除 4949 Windows防火墙设置已恢复为默认值 4950 Windows防火墙设置已更改 4951 规则已被忽略，因为Windows防火墙无法识别其主要版本号 4952 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则，因为它无法解析规则 4954 Windows防火墙组策略设置已更改。已应用新设置 4956 Windows防火墙已更改活动配置文件 4957 Windows防火墙未应用以下规则 4958 Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目 4960 IPsec丢弃了未通过完整性检查的入站数据包 4961 IPsec丢弃了重放检查失败的入站数据包 4962 IPsec丢弃了重放检查失败的入站数据包 4963 IPsec丢弃了应该受到保护的入站明文数据包 4964 特殊组已分配给新登录 4965 IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。 4976 在主模式协商期间，IPsec收到无效的协商数据包。 4977 在快速模式协商期间，IPsec收到无效的协商数据包。 4978 在扩展模式协商期间，IPsec收到无效的协商数据包。 4979 建立了IPsec主模式和扩展模式安全关联。 4980 建立了IPsec主模式和扩展模式安全关联 4981 建立了IPsec主模式和扩展模式安全关联 4982 建立了IPsec主模式和扩展模式安全关联 4983 IPsec扩展模式协商失败 4984 IPsec扩展模式协商失败 4985 交易状态已发生变化 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。 5029 Windows防火墙服务无法初始化驱动程序 5030 Windows防火墙服务无法启动 5031 Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。 5040 已对IPsec设置进行了更改。添加了身份验证集。 5041 已对IPsec设置进行了更改。身份验证集已修改 5042 已对IPsec设置进行了更改。身份验证集已删除 5043 已对IPsec设置进行了更改。添加了连接安全规则 5044 已对IPsec设置进行了更改。连接安全规则已修改 5045 已对IPsec设置进行了更改。连接安全规则已删除 5046 已对IPsec设置进行了更改。添加了加密集 5047 已对IPsec设置进行了更改。加密集已被修改 5048 已对IPsec设置进行了更改。加密集已删除 5049 IPsec安全关联已删除 5050 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE 5051 文件已虚拟化 5056 进行了密码自检 5057 加密原语操作失败 5058 密钥文件操作 5059 密钥迁移操作 5060 验证操作失败 5061 加密操作 5062 进行了内核模式加密自检 5063 尝试了加密提供程序操作 5064 尝试了加密上下文操作 5065 尝试了加密上下文修改 5066 尝试了加密功能操作 5067 尝试了加密功能修改 5068 尝试了加密函数提供程序操作 5069 尝试了加密函数属性操作 5070 尝试了加密函数属性操作 5071 Microsoft密钥分发服务拒绝密钥访问 5120 OCSP响应程序服务已启动 5121 OCSP响应程序服务已停止 5122 OCSP响应程序服务中的配置条目已更改 5123 OCSP响应程序服务中的配置条目已更改 5124 在OCSP Responder Service上更新了安全设置 5125 请求已提交给OCSP Responder Service 5126 签名证书由OCSP Responder Service自动更新 5127 OCSP吊销提供商成功更新了吊销信息 5136 目录服务对象已修改 5137 已创建目录服务对象 5138 目录服务对象已取消删除 5139 已移动目录服务对象 5140 访问了网络共享对象 5141 目录服务对象已删除 5142 添加了网络共享对象。 5143 网络共享对象已被修改

本文带您了解什么是对象存储产品,对象存储的架构及其访问方式。 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的云存储服务。 对象存储中，数据以对象（Object）的形式进行存储，每个对象由元数据（Metadata）、文件数据（Data）、对象 ID（OID）组成，从而将数据通路与控制通路分离，并通过智能存储设备（OSD）管理其上的数据分布，提高存储性能以及安全性。 产品架构 对象（Object）是对象存储的基本单元，可以是任意大小的二进制数据，通常以文件的形式存在。对象存储中，数据以对象（Object）的形式进行存储，每个对象由元数据（Metadata）、文件数据（Data）、对象ID（OID）组成。 元数据（Metadata）是描述对象的属性和特征的信息，以键值对（KeyValue）的形式被上传到ZOS中。 文件数据（Data）即文件的数据内容。 对象ID(OID) 即对象的名称，一个桶里的每个对象必须拥有唯一的对象ID。 桶（Bucket）是存储对象的容器，用户可以在桶中创建、组织和管理对象。 天翼云为您提供了控制台、客户端和SDK各类工具，方便您在不同的场景下轻松访问ZOS桶以及桶中的对象，以满足不同场景的海量数据存储诉求。

本节主要介绍怎样测试磁盘的性能问题 操作须知 测试性能时，若分区的初始磁柱编号是非4KB对齐，则对性能影响较大，请先确保分区的初始磁柱编号已经4KB对齐，再开始测试。 注意 测试共享云硬盘性能时，必须满足以下要求： 共享云硬盘必须同时挂载至多台云主机（弹性云主机或者物理机）。 当共享云硬盘挂载至多台弹性云主机时，这些弹性云主机必须位于同一个策略为“反亲和性”的云主机组内。 如果弹性云主机不满足反亲和性，则共享云硬盘性能无法达到最优。 LINUX CentOS 6.5等较老版本的操作系统用fdisk创建分区时，默认为非4KB对齐选择初始磁柱编号，对性能有较大的影响，建议针对该类操作系统，在创建分区时4KB对齐选取初始磁柱编号。 本文以“CentOS 7.2 64位”操作系统为例，不同操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应操作系统的产品文档。 测试性能前请先安装fio性能测试工具。 1、登录云主机并切换为root用户。 2、进行性能测试之前，请执行以下步骤，确认磁盘分区的初始磁柱编号是否已经4KB对齐。 fdisk lu 回显类似如下信息： plaintext [root@ecscentos sdc] fdisk lu Disk /dev/xvda: 10.7 GB, 10737418240 bytes, 20971520 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x7db77aa5 Device Boot Start End Blocks Id System /dev/xvda1 2048 20968919 10483436 83 Linux Disk /dev/xvdb: 10.7 GB, 10737418240 bytes, 20971520 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk /dev/xvdc: 53.7 GB, 53687091200 bytes, 104857600 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x3cf3265c Device Boot Start End Blocks Id System /dev/xvdc1 2048 41943039 20970496 83 Linux 若start对应的初始磁柱编号能被8整除，则表示4KB对齐，请执行3进行性能测试。 若start对应的初始磁柱编号不能被8整除，则表示未4KB对齐，如需继续测试请删除原有分区，重新按照4KB对齐选择初始磁柱编号。 说明 删除分区并重新按照4KB对齐选取初始磁柱编号会导致磁盘原有数据的丢失，请谨慎操作。 3、执行以下命令，使用fio工具测试磁盘性能。 测试随机写IOPS：fio direct1 iodepth128 rwrandwrite ioenginelibaio bs4k size10G numjobs1 runtime600 groupreporting filename/opt/fiotest/fiotest.txt nameRandWriteIOPSTest 测试随机读IOPS：fio direct1 iodepth128 rwrandread ioenginelibaio bs4k size10G numjobs1 runtime600 groupreporting filename/opt/fiotest/fiotest.txt nameRandReadIOPSTest 测试写吞吐量：fio direct1 iodepth32 rwwrite ioenginelibaio bs1024k size10G numjobs1 runtime600 groupreporting filename/opt/fiotest/fiotest.txt nameWriteBandWidthTest 测试读吞吐量：fio direct1 iodepth32 rwread ioenginelibaio bs1024k size10G numjobs1 runtime600 groupreporting filename/opt/fiotest/fiotest.txt nameReadBandWidthTest 测试单队列随机读时延：fio direct1 iodepth1 rwrandread ioenginelibaio bs4k size10G numjobs1 runtime60 groupreporting filename/opt/fiotest/fiotest.txt nameRandReadLATETest 说明 使用fio工具进行裸盘性能测试时，不能在已创建文件系统的磁盘上测试，因为fio性能测试会破坏文件系统，导致磁盘变为只读，需要删除后重新购买。 请尽量不要在保存业务数据的磁盘上进行测试。如果需要，请按照以下建议操作： 在测试开始前对磁盘数据进行备份，防止误操作造成数据丢失。 在测试命令中指定filename参数为某个文件，例如filename/opt/fiotest/fiotest.txt。 测试fio相关参数说明如下表所示。 参数 说明 direct 定义是否使用direct IO，可选值如下： 值为0，表示使用buffered IO 值为1，表示使用direct IO iodepth 定义测试时的IO队列深度，默认为1。此处定义的队列深度是指每个线程的队列深度，如果有多个线程测试，意味着每个线程都是此处定义的队列深度。fio总的IO并发数iodepth numjobs。 rw 定义测试时的读写策略，可选值如下： 随机读：randread 随机写：randwrite 顺序读：read 顺序写：write混合 随机读写：randrw ioengine 定义fio如何下发IO请求，通常有同步IO和异步IO： 同步IO一次只能发出一个IO请求，等待内核完成后才返回。这样对于单个线程IO队列深度总是小于1，但是可以透过多个线程并发执行来解决。通常会用16~32个线程同时工作把IO队列深度塞满。 异步IO则通常使用libaio这样的方式一次提交一批IO请求，然后等待一批的完成，减少交互的次数，会更有效率。 bs 定义IO的块大小(block size)，单位是k、K、m和M等，默认IO块大小为4 KB。 size 定义测试IO操作的数据量，若未指定runtime这类参数，fio会将指定大小的数据量全部读/写完成，然后才停止测试。该参数的值，可以是带单位的数字，比如size10G，表示读/写的数据量为10GB；也可是百分数，比如size20%，表示读/写的数据量占该设备总文件的20%的空间。 numjobs 定义测试的并发线程数。 runtime 定义测试时间。如果未配置，则持续将size指定的文件大小，以每次bs值为分块大小读/写完。 groupreporting 定义测试结果显示模式，groupreporting表示汇总每个进程的统计信息，而非以不同job汇总展示信息。 filename 定义测试文件（设备）的名称。 此处选择文件，则代表测试文件系统的性能。例如：filename/opt/fiotest/fiotest.txt 此处选择设备名称，则代表测试裸盘的性能。例：filename/dev/vdb1 须知 ： 如果在已经分区、并创建文件系统，且已写入数据的磁盘上进行性能测试，请注意filename选择指定文件，以避免覆盖文件系统和原有数据。 name 定义测试任务名称。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：

公共传输通道是否计费？ 公共传输通道在天翼云官网为免费产品。如需开通公共传输通道服务，请联系客户经理咨询具体价格及计费方式，客户经理会与您沟通商务内容。签署合同后，客户经理将协助您开通公共传输通道业务，并跟进后续公共传输通道业务的变更和退订等相关业务。 公共传输通道的计费规则是什么？ 公共传输通道收费项分为网络使用费和路由条目增强服务费；其中网络使用费分为三类：一是天翼云资源池站点网络使用费，二是客户站点网络使用费，三是第三方云站点使用费。 路由条目如何收费？ 如果客户VPN站点的路由条目数超过该站点的默认标准，对超出部分按月以每条20元的标准收取路由条目增强服务费。 站点实例如何停止收费？ 站点实例默认自动续订，若有意终止公共传输通道服务的使用，请您务必执行退订操作。

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

为您展示并管理企业服务信息。 功能说明 企业服务主要是展示企业服务过程中的关键信息，比如企业认证标识、服务状态等。 注意事项 注意 企业认证标识若是同一个客户账号下，【终端管理】【学术加速】【零信任服务】均为同一个，变更其一另外的也需要变更，若需要分开管理，建议采用不同客户账号管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择企业服务，进入相关页面进行操作； 3. 企业服务目前仅有：企业认证标识。 企业认证标识 在使用服务之前，您需要设置企业认证标识，您的企业员工在登录客户端时，需先输入企业认证标识将其身份与您的企业进行关联，实现身份合法性认证。企业认证标识是您企业员工成功登录客户端的重要凭证，首次订购后使用控制台，则会引导配置企业认证标识，暂不支持自助配置企业认证标识，如有需求，请联系我们。 注意 订购后首次进入控制台则会引导进行配置【企业标识】，目前暂不支持自助修改，建议首次配置按照企业身份进行谨慎设置。 审核设置 当您仅开通终端管理套餐时，可以配置客户端接入企业的审核方式： 激活码模式（默认）：勾选此项可以降低企业授权被占用的风险，但是推广终端软件的效率将降低，需要员工进一步校验激活码。 无审核模式：勾选此项将加快企业推广终端软件的效率，但同时存在企业授权被占用的风险。比如，如果意外泄露企业认证标识，则使用者可以直接通过企业认证标识加入企业。 账密模式：勾选此项，客户端验证企业标识后，还需要验证账号。实现员工身份的追踪溯源。

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

本章节主要介绍DataArts Studio的开发一个Hive SQL作业流程。 本章节介绍如何在数据开发模块上进行Hive SQL开发。 场景说明 数据开发模块作为一站式大数据开发平台，支持多种大数据工具的开发。Hive是基于Hadoop的一个数据仓库工具，可以将结构化的数据文件映射为一张数据库表，并提供简单的SQL查询功能；可以将SQL语句转换为MapReduce任务进行运行。 环境准备 已开通MapReduce服务MRS，并创建MRS集群，为Hive SQL提供运行环境。 MRS集群创建时，组件要包含Hive。 已开通数据集成CDM，并创建CDM集群，为数据开发模块提供数据开发模块与MRS通信的代理。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与MRS集群保持一致，确保网络互通。 建立Hive的数据连接 开发Hive SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到MRS Hive的连接，数据连接名称为“hive1009”。 关键参数说明： 集群名：已创建的MRS集群。 绑定Agent：已创建的CDM集群。 开发Hive SQL脚本 在“数据开发 > 脚本开发”模块中创建一个Hive SQL脚本，脚本名称为“hivesql”。在编辑器中输入SQL语句，通过SQL语句来实现业务需求。 开发脚本 关键说明： 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：建立Hive的数据连接创建的连接。

本页介绍了天翼云关系数据库MySQL版的使用规范。 为保障数据库的稳定及安全，将对天翼云关系数据库MySQL版数据库级别的部分使用规范进行介绍。请用户在使用前进行参考学习。 数据库命名规范 使用有意义的、描述性的名称，库名、表名、列名建议以小写字母命名，这样可以避免大小写敏感的问题，每个单词之间用下划线分割。 为避免引起冲突，所有的数据库对象名称禁止使用MySQL保留关键字，详情请参考MySQL官网保留字与关键字。 数据库对象的命名要能做到见名知意，并且不超过32个字符。 数据库中用到的临时表以“tmp”为前缀并以日期为后缀。 数据库中用到的备份表以“bak”为前缀并以日期为后缀。 使用前缀或后缀：使用前缀或后缀来区分不同类型的数据库对象，可以增加对象的可读性和管理性。 数据库字段设计规范 使用能准确描述字段用途的名称，避免使用无意义的或过于简化的字段名，字段上限50左右。 优先为表中的每一列选择符合存储需要的最小的数据类型。优先考虑数字类型，其次为日期或二进制类型，最后是字符类型。列的字段类型越大，建立索引占据的空间就越大，导致一个页中的索引越少，造成IO次数增加，从而影响性能。 整数型选择能符合需求的最短列类型，如果为非负数，声明需是无符号（UNSIGNED）类型。 每个字段尽可能具有NOT NULL属性，int等数字类型默认值推荐给0，VARCHAR等字符类型默认值给空字符串。 避免使用ENUM类型，可以用TINYINT类型替换。修改ENUM值需要使用ALTER语句，ENUM类型的ORDER BY操作效率低，需要额外操作。如果定义了禁止ENUM的枚举值是数值，可使用其他数据类型（如CHAR类型）。 实数类型使用DECIMAL，禁止使用FLOAT和DOUBLE类型。FLOAT和DOUBLE在存储的时候，存在精度损失的问题，很可能在值的比较时，得到错误的结果。 使用DATETIME、TIMESTAMP类型来存储时间，禁止使用字符串替代。 使用数字类型INT UNSIGNED存储IP地址，用INETATON、INETNTOA可以在IP地址和数字类型之间转换。 VARCHAR类型的长度应该尽可能短。VARCHAR类型虽然在硬盘上是动态长度的，但是在内存中占用的空间是固定的最大长度。 使用VARBINARY存储大小写敏感的变长字符串，VARBINARY默认区分⼤小写，没有字符集概念，速度快。

本章主要介绍翼MapReduce的恢复Kafka元数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对ZooKeeper进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，导致Kafka组件全部故障无法使用，或者迁移数据到新集群的场景中，需要对Kafka元数据进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Kafka任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复Kafka元数据，建议手动备份最新Kafka元数据后，再执行恢复操作。否则会丢失从备份时刻到恢复时刻之间的Kafka元数据信息。 对系统的影响 元数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 元数据恢复后，Kafka的消费者在ZooKeeper上保存的offset信息将会回退，可能导致重复消费。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 先停止Kafka服务，待恢复完成后，再启动Kafka服务。 登录FusionInsight Manager，请参见登录管理系统。

本章主要介绍翼MapReduce的恢复DBService数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie的元数据。恢复DBService的数据将恢复全部相关组件的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

本节介绍云电脑支持对虚拟机创建备份策略，实现定时备份云电脑数据盘、系统盘的数据。 AI云电脑（政企版）支持对虚拟机创建备份策略，实现定时备份AI云电脑数据盘、系统盘的数据。 说明 1、备份策略仅支持资源包创建的桌面，不支持单实例创建的桌面。 2、备份功能按所选系统盘、数据盘容量的50%消耗存储包。 新建备份策略 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“备份策略管理”，进入“备份策略管理”页面； 3.填写策略名称； 4.根据备份需求备份内容“系统盘“、”数据盘”； 5.根据需求选择执行周期、备份时间、保留规则等配置。 6.点击“提交”，即完成备份策略的创建。 分配备份策略 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“备份策略管理”，进入“备份策略管理”页面； 3.选择需分配的备份策略所在行，点击“分配” 4.在“分配备份策略”窗口，选择需要执行备份策略的AI云电脑； 5.根据备份需求备份内容“系统盘“、”数据盘”； 6.根据需求选择执行周期、备份时间、保留规则等配置。 7.点击“确定”，即可以把备份策略分配到对应的AI云电脑。

本文介绍访问DDoS高防（边缘云版）域名资源出现404状态码的排查过程。 问题现象 在使用天翼云DDoS高防（边缘云版）时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：网站配置未正确配置：如果网站配置未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么边缘节点将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到访问出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查网站配置是否正确：控制台网站配置的回源域名/回源IP、回源HOST、回源端口、回源协议等配置是否正确。 1、回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2、回源HOST配置错误：回源HOST用于指定边缘节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了回源时建连的具体IP地址。 回源HOST：指边缘节点回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3、回源端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站HTTP服务端口为81，则需要修改回源配置，自定义【源站端口】为HTTP 81，同时需要修改回源协议为HTTP。 源站HTTPS服务端口为82，目前HTTPS服务端口不支持自助自定义，请提交工单联系天翼云客服进行配置。 源站仅单一协议存在资源（HTTP默认80端口，HTTPS默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

准备工作 购买智算安全专区大模型安全测评实例 准备好待测大模型 操作流程 编号 操作 相关文档 1 配置测评对象 新增测评对象 2 下发测评任务 创建测评任务 查看测评记录

准备工作 购买智算安全专区大模型安全测评实例 准备好待测大模型 操作流程 编号 操作 相关文档 1 配置测评对象 新增测评对象 2 下发测评任务 创建测评任务 查看测评记录

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一,164 regionID 是 String 区域ID loadBalanceID 是 String 负载均衡实例ID name 是 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 acl11 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 protocol 是 String 监听协议。取值范围：TCP、UDP、HTTP、HTTPS protocolPort 是 Integer 负载均衡实例监听端口。取值：165535 8080 certificateID 否 String 证书ID。当protocol为HTTPS时,此参数必选 caEnabled 否 Boolean 是否开启双向认证。false（不开启）、true（开启） false clientCertificateID 否 String 双向认证的证书ID targetGroup 是 Array of Objects 后端服务组 targetGroup accessControlID 否 String 访问控制ID accessControlType 否 String 访问控制类型。取值范围：Close（未启用）、White（白名单）、Black（黑名单） forwardedForEnabled 否 Boolean x forward for功能。false（未开启）、true（开启） true

本章节介绍应用服务网格CSM相关名词解释 控制面（ Control plane ） 控制面是整个服务网格的控制中枢，负责整个网格的管理，包括sidecar注入，服务发现和服务治理配置分发以及证书管理功能等。 数据面（ Data plane ） 数据面是实际执行流量治理的代理服务器，在istio里面采用Envoy作为流量代理服务器，Envoy会拦截进出业务服务的流量并执行相应的流量治理策略。 sidecar 注入（ sidecar injection ） 在业务pod内部增加一个sidecar，用于实现流量拦截和代理功能，称为sidecar注入；在K8S的使用场景下，一般采用webhook机制实现业务无感知的sidecar注入。 虚拟服务（ Virtual Service ） 虚拟服务是istio定义的流量治理对象，能够实现对指定服务配置路由规则的功能，匹配到该路由规则的请求将根据配置被转发到相应的目标。 目标规则（ Destination Rule ） 目标规则时istio定义的用于管理流量转发目标服务的对象，比如可以使用目标规则设置要转发的目标服务的版本、超时重试策略、熔断策略等。 对等身份认证（ Peer Authentication ） 在服务网格内，服务之间通信都要经过sidecar，对等身份认证策略定义了sidecar之间的通信安全策略，可以是明文传输，或者强制TLS加密通信，或者两种都可以。 请求身份认证（ Request Authentication ） 请求身份认证定义了服务对于收到的请求的身份认证策略，比如可以配置服务按照jwt策略对请求的身份进行认证，认证之后可以基于请求者的身份做进一步的访问授权策略。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：开启读压力模式，创建一个临时文件并对其进行持续的读取操作。 写负载：开启写压力模式，持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘IO高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测磁盘读写速率(Bps)指标。 2、业务应用验证： 观察运行在目标节点上、且挂载了持久化存储（PVC）的业务 Pod（如数据库、中间件等），确认其读写性能是否下降或出现超时。 检查无状态应用的日志写入是否出现延迟或失败。 验证您的业务监控告警系统是否成功捕获到节点磁盘I/O异常或应用性能劣化，并触发了相应告警。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：开启读压力模式，创建一个临时文件并对其进行持续的读取操作。 写负载：开启写压力模式，持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘IO高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测磁盘读写速率(Bps)指标。 2、业务应用验证： 观察运行在目标节点上、且挂载了持久化存储（PVC）的业务 Pod（如数据库、中间件等），确认其读写性能是否下降或出现超时。 检查无状态应用的日志写入是否出现延迟或失败。 验证您的业务监控告警系统是否成功捕获到节点磁盘I/O异常或应用性能劣化，并触发了相应告警。