本章节介绍天翼云关系型数据库如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入 方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本章节会介绍天翼云关系型数据库如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行通过内网连接PostgreSQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入 方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本章节主要介绍通过跳板机访问VPC内Redis 4.0/5.0单机、主备、Proxy集群实例的操作，Redis 4.0/5.0 Cluster集群实例暂不支持使用该方案进行公网访问。 方案正文 当前，天翼云DCS的Redis 4.0以及Redis 5.0版本不支持绑定弹性IP，无法通过公网访问。 下图中安装了Nginx代理工具的ECS就是一台跳板机，它与DCS Redis实例在相同VPC，可通过子网IP访问Redis实例；为ECS绑定弹性IP后，公网可以访问ECS；Nginx支持监听多个端口，并将请求内容转发到不同的后端Redis实例。 图 通过Nginx访问VPC内DCS Redis 购买一台ECS 1.确认Redis实例所在的虚拟私有云。 如下图所示，已购买一个虚拟私有云在“vpcdemo”内的Redis 4.0/Redis 5.0主备实例。 图 Redis缓存实例信息 2.购买一台同在“vpcdemo”的ECS，并为其绑定一个弹性公网IP，按需选择带宽，够用就好。 图 ECS信息 安装Nginx 1.购买ECS后，需要在ECS上安装Nginx，本文以ECS操作系统为Centos7.x为例进行安装，不同操作系统命令稍有不同。 2.执行以下命令，添加Nginx到yum源。 sudo rpm Uvh 3.添加完之后，执行以下命令，查看是否已经添加成功。 yum search nginx 4.添加成功之后，执行以下命令，安装Nginx。 sudo yum install y nginx 5.执行以下命令安装stream模块。 yum install nginxmodstream 6.启动Nginx并设置为开机自动运行。 sudo systemctl start nginx.service sudo systemctl enable nginx.service 7.在本地浏览器中输入服务器地址（ECS公网IP地址），查看安装是否成功。 如果出现下面页面，则表示安装成功。

天翼云AOne iOS版本 第三方信息共享清单及SDK目录 名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 腾讯企业微信SDK隐私和信息处理规则 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 飞书登录 SDK 隐私政策 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 钉钉登录SDK隐私政策 SDWebImage 图片的加载缓存 图片的加载缓存 无 无 无 社区开源项目 < AFNetworking 和后端的接口交互 进行接口的数据请求 无 无 无 社区开源项目 FMDB 本地数据的存储 数据库的管理 无 无 无 社区开源项目 SSZipArchive 分享文件时压缩文件 文件的压缩与解压 无 无 无 社区开源项目 < CocoaLumberjack 日志打印 日志打印到本地文件 无 无 无 社区开源项目 < SVGKit svg格式图片的显示 svg格式图片的显示 无 无 无 社区开源项目 < openim IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 OpenIM隐私政策 mailcore2 邮箱 获取邮箱、邮箱收发服务 无 无 SDK本机采集 < RZRichTextView 富文本 富文本编辑显示功能 无 无 无 < TZImagePickerController 相册选择 邮箱获取相册图片服务 无 无 无 < SQLCipher 邮箱数据库加班 邮箱数据库加密服务 无 无 无 <

本文为您介绍使用您已有的天翼云Ubuntu云主机搭建幻兽帕鲁服务器的操作。 操作前提 如果您已购买的云主机位于【青岛20、西南1】资源池（其余资源池镜像正在加载中），且满足以下条件，请参考本文部署幻兽帕鲁服务器。 操作系统：Ubuntu 20.04 配置：4核16G及以上 已开通公网IP 云主机未到期 操作步骤 1. 登录云主机控制台，前往您已购买的云主机所在的资源池。确认云主机状态为“已关机”，则可以进行重装操作系统操作。 点击“更多”按钮，点击下拉菜单中“一键重装”按钮。 2. 在重装操作系统弹窗中，镜像类型选择“应用镜像”，并在重装选择下拉菜单中选择“Ubuntu”、“幻兽帕鲁（Palworld）”。 设置并确认密码，点击“确定”按钮，完成重装操作系统操作。 3. 返回云主机控制台，选中已完成重装操作系统的云主机，点击“开机”按钮。确认云主机状态为“运行中”，则可以进行后续操作。 4. 添加安全组规则。 在云主机列表中点击云主机名称，进入云主机详情页。点击安全组页签，点击“添加规则”按钮，新增IP放行。 在添加规则弹窗中： 1）协议选择“UDP”。 2）端口范围填写“8211”。 端口也可自定义进行修改，修改后可提高服务器的安全性： 登录云主机后，首先使用密码登录root用户，执行以下命令进入编辑配置界面。 vim /etc/rc.local 按i进入编辑状态，将第二行改为： su steam c "cd /home/steam/.steam/SteamApps/common/PalServer;steamcmd +login anonymous +appupdate 2394010 validate +quit;nohup ./PalServer.sh portxxx &" 其中xxx为165535中的任意希望启用的端口，修改完成后按esc退出编辑，再输入:wq进行保存并退出。 3）地址处将“1.1.1.1”更改为自己的IP地址。 点击“确定”，完成安全组规则修改。 5. 登录游戏。 在云主机控制台找到云主机的公网IP地址。 启动游戏，在游戏界面选择“加入多人游戏（专用服务器）”。在地址输入框输入该地址，点击“联系”即可进入帕鲁世界（“:8211”不用进行修改）。

本节主要介绍访问控制的功能特性、应用场景、涉及的基本概念（根用户、IAM用户、用户组、MFA、授权、策略）及服务限制。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载文件的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，全新的IAM用户没有执行任何操作的权限，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 访问密钥（AK/SK） OOS通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法来验证某个请求发送者身份。 访问密钥包含两部分：访问密钥 ID（AccessKeyID）和秘密访问密钥（Secret Access Key）。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。 OOS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权，通过使用临时AK，SK和securitytoken，可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证，降低了帐号泄露带来的安全风险。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

本页为您介绍与数据传输服务DTS有关的其他服务。 与天翼云传输服务相关的服务 与天翼云数据传输服务相关的服务，如下表： 服务名称 功能相关 参考文档链接 关系数据库MySQL版 DTS可支持关系数据库MySQL版进行迁移、同步操作，包括：MySQL到MySQL、PostgreSQL及ClickHouse的迁移，MySQL到MySQL的单向、双向同步。 关系数据库MySQL版 关系数据库PostgreSQL版 DTS可支持关系数据库PostgreSQL版进行迁移、同步操作，包括：PostgreSQL到PostgreSQL、MySQL的迁移，PostgreSQL到PostgreSQL的单向、双向同步。 关系数据库PostgreSQL版 关系数据库SQL Server版 DTS可支持关系数据库SQL Server版进行迁移、同步操作，包括：SQL Server到SQL Server、PostgreSQL的迁移，SQL Server到SQL Server的同步。 关系数据库SQL Server版 文档数据库（DDS） DTS可支持文档数据库（DDS）进行迁移、同步操作，包括：MongoDB/DDS 到MongoDB/DDS的迁移和同步。 文档数据库 云数据库ClickHouse DTS可支持将MySQL数据库迁移到ClickHouse。 云数据库ClickHouse 虚拟私有云 虚拟私有云，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 虚拟私有云 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP和DTS实例绑定，可使用DTS进行公网数据库迁移、同步。 弹性IP 数据管理服务 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据管理服务 云审计 对接云审计服务，对DTS关键操作记录提供收集、存储和查询功能，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 云审计 标签管理 对接标签管理，对DTS实例绑定标签，便于对实例进行查找与筛选，实现更快捷的管理。 标签管理

版本支持 ctyunltsjavasdk 1.10.0 使用步骤 源码使用 打开编写好的log4j2源码项目，只需简单修改即可完成使用，方便用户自行扩展修改。log4j2SDK 是依赖于ctyunltsjavasdk 的日志上传功能，所以需要先导入ctyunltsjavasdk 1.10.0 jar包。 1、maven 工程中引入依赖 在jar包目录执行以下命令，把ctyunltsjavasdk 1.6.0 jar包引入本地maven仓库，或者通过其他方式手动导入。 plaintext mvn install:installfile Dfilectyunltsjavasdk1.10.0.jar DgroupIdcn.ctyun.lts DartifactIdctyunltsjavasdk Dversion1.10.0 Dpackagingjar 在pom.xml 添加以下依赖 plaintext cn.ctyun.lts ctyunltsjavasdk 1.10.0 2、重命名resources 目录下的log4j2example.xml 为 log4j2.xml 3、项目中引入CustomerAppender.java 将appender目录整个移动到您当前的项目中，（如果只单独运行log4j2项目，则不需要移动）。 4、修改配置文件 以xml配置文件 log4j2.xml为例（若不存在则在项目根目录创建，一般是src/resources/log4j2.xml），配置自定义的的appender与 Logger，例如：level"INFO",则会接受INFO,WARN,ERROR 级别的日志，DEBUG,TRACE不会被接收打印。 此处需要填入5个必填参数，相关参数获取，详情参考天翼云官网云日志服务SDK接入概述。 plaintext

Kafka触发器 Kafka触发器可以订阅天翼云提供的分布式消息队列Kafka实例，并根据消息触发关联的工作流，借此能力，使得工作流可以消费指定topic的消息，执行特定工作流处理逻辑。 注意事项 Kafka触发器订阅的Kafka实例必须和工作流在相同地域。 前提条件 已创建工作流。 已开通分布式消息Kafka实例（KAFKA引擎版），详情请参考创建分布式消息服务Kafka实例。 已创建Topic，创建GroupID（可选） 触发消息格式 Kafka触发器有两种消息格式：RawData和CloudEvent格式，可在触发器配置里选择。 CloudEvent格式： plaintext [ { "id": "eca534636baf4d568f86cbdb748208ed", "source": "ctyun.faas.trigger.kafka", "specversion": "1.0", "type": "kafka:topic:sendmessage", "datacontenttype": "application/json", "subject": "kafkatriggermqbjvsezbpdialtest:testforfaas", "time": "20250522T02:04:16Z", "data": { "headers": {}, "timestamp": 1747879456, "topic": "testforfaas", "partition": 0, "offset": 15280, "key": "", "value": "msg[9]: 154b2a0e2c3d4b03ae9ec225b5370c3b, ts20250522 02:04:16" } } ] 参数 类型 示例值 描述 id string eca534636baf4d568f86cbdb748208ed 事件ID。标识事件的唯一值。 source string ctyun.faas.trigger.kafka 事件源。Kafka触发器固定为ctyun.faas.trigger.kafka。 specversion string 1.0 CloudEvents协议版本。 type string kafka:topic:sendmessage 事件类型。 datacontenttype string application/json 参数data的内容形式。 subject string kafkatriggermqbjvsezbpdialtest:testforfaas 事件主体。格式为[SourceName]:[消息topic]。 time string 20250522T02:04:16Z 消息被触发的时间。 data object Kafka触发器独有消息格式，详细参见下文RawData描述。 RawData格式是CloudEvent格式的子集，只包含原始kafka消息的信息，消息结构相当于CloudEvent的data字段 plaintext [ { "offset" : 15280, "partition" : 0, "headers" : {}, "topic" : "testforfaas", "key" : "testkey", "timestamp" : 1747879456, "value" : "msg[9]: 154b2a0e2c3d4b03ae9ec225b5370c3b, ts20250522 02:04:16" } ] 参数 类型 示例值 描述 offset int 15280 消息偏移量。 partition int 0 分区信息。 headers map 消息携带的header。 topic string testforfaas topic的名称。 key string testkey 消息的key。 timestamp int 1747879456 Unix时间戳（秒）。 value string hello，kafka 消息的内容。

通过对访问DRDS实例的IP地址或者IP段进行限制，来保证分布式数据库的安全稳定。本文主要介绍IP黑白名单的新增、修改、删除等操作。 注意事项 IP黑白名单的配置支持在线加载。 IP黑白名单支持指定IP（如10.142.xx.xx）、IP段（如 192.xx.xx.0/24 ）、通配（如 192.xx.. ）三种方式进行设置。 如果实例开通了IPv6功能，在设置黑白名单时，需要将IPv4和IPv6都添加到黑白名单中，仅添加IPv4或者IPv6将无法达到设置黑白名单的目的。 黑白名单判断规则 如果既没有白名单和黑名单的情况下，任意IP均可使用服务。 如果仅有白名单的情况下，则只有符合白名单的IP可使用服务。 如果仅有黑名单的情况下，则黑名单以外的IP可使用服务。 如果黑白名单都有的情况下，则符合白名单中剔除黑名单后剩余的IP可以使用服务。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击IP黑白名单页签，进入IP黑白名单管理页面。 5. 在分组 列表中选中目标分组，然后单击查询。 6. 管理黑白名单。 查看IP白名单/黑名单信息：您可以在白名单 或黑名单页签下，查看IP黑白名单信息，包括IP地址和描述信息。 新增白名单/黑名单： 1. 单击名单列表上方的新增白名单 或新增黑名单。 2. 在对话框中，输入目标IP地址和描述信息。 3. 单击确定。 修改或删除白名单/黑名单： 在白名单或黑名单列表中，单击目标名单操作 列的修改，即可修改名单的IP地址和描述信息。 在白名单或黑名单列表中，单击目标名单操作 列的删除，即可删除名单。

概述 智能体引擎中的沙箱提供了挂载天翼云对象存储ZOS的能力。通过挂载功能，您可以将ZOS存储桶的指定路径映射为沙箱内的本地文件目录，实现数据的持久化保存、多实例共享。 本章节主要介绍沙箱模板如何配置ZOS挂载以及使用E2B SDK动态挂载ZOS。 使用场景 跨沙箱实例文件共享场景 智能体引擎中的沙箱支持同一沙箱模板下的所有实例挂载相同的对象存储ZOS路径，以满足数据与文件持久化存储和共享的需求。 沙箱模板配置中ZOS挂载参数 ZOS挂载参数说明如下： 参数名称 是否必填 参数说明 ZOS挂载点 是 对象存储Bucket名称。 Bucket子目录 是 设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。 沙箱本地目录权限 是 选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 E2B SDK动态挂载ZOS 除了在沙箱模板中配置ZOS挂载，您还可以通过E2B SDK动态挂载ZOS。如果模板中已经配置了ZOS挂载，SDK挂载的ZOS会覆盖模板中的配置。 使用E2B SDK创建沙箱时，通过写入环境变量AGETEMPLATEZOS 来配置ZOS挂载。AGETEMPLATEZOS的格式为：ZOSBUCKETNAMEBucket名称,ZOSMOUNTPOINT沙箱本地目录,ZOSURL对象存储内网地址,ZOSSUBDIRBucket子目录,ZOSREADONLY沙箱本地目录权限，如果有多组挂载，每组之间使用空格隔开，最多支持5个挂载点。 注意： 虽然以环境变量AGETEMPLATEZOS形式动态挂载ZOS，但是该环境变量并不会写入沙箱环境变量。 python sandbox Sandbox.create( template'xxx', envs{"AGETEMPLATEZOS":"ZOSBUCKETNAMEmybucket,ZOSMOUNTPOINT/home/user/a/,ZOSURL ) print('创建沙箱成功')

概述 智能体引擎中的沙箱提供了挂载天翼云对象存储ZOS的能力。通过挂载功能，您可以将ZOS存储桶的指定路径映射为沙箱内的本地文件目录，实现数据的持久化保存、多实例共享。 本章节主要介绍沙箱模板如何配置ZOS挂载以及使用E2B SDK动态挂载ZOS。 使用场景 跨沙箱实例文件共享场景 智能体引擎中的沙箱支持同一沙箱模板下的所有实例挂载相同的对象存储ZOS路径，以满足数据与文件持久化存储和共享的需求。 沙箱模板配置中ZOS挂载参数 ZOS挂载参数说明如下： 参数名称 是否必填 参数说明 ZOS挂载点 是 对象存储Bucket名称。 Bucket子目录 是 设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。 沙箱本地目录权限 是 选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 E2B SDK动态挂载ZOS 除了在沙箱模板中配置ZOS挂载，您还可以通过E2B SDK动态挂载ZOS。如果模板中已经配置了ZOS挂载，SDK挂载的ZOS会覆盖模板中的配置。 使用E2B SDK创建沙箱时，通过写入环境变量AGETEMPLATEZOS 来配置ZOS挂载。AGETEMPLATEZOS的格式为：ZOSBUCKETNAMEBucket名称,ZOSMOUNTPOINT沙箱本地目录,ZOSURL对象存储内网地址,ZOSSUBDIRBucket子目录,ZOSREADONLY沙箱本地目录权限，如果有多组挂载，每组之间使用空格隔开，最多支持5个挂载点。 注意： 虽然以环境变量AGETEMPLATEZOS形式动态挂载ZOS，但是该环境变量并不会沙箱环境变量。 python sandbox Sandbox.create( template'xxx', envs{"AGETEMPLATEZOS":"ZOSBUCKETNAMEmybucket,ZOSMOUNTPOINT/home/user/a/,ZOSURL ) print('创建沙箱成功')

概述 智能体引擎中的沙箱提供了挂载天翼云对象存储ZOS的能力。通过挂载功能，您可以将ZOS存储桶的指定路径映射为沙箱内的本地文件目录，实现数据的持久化保存、多实例共享。 本章节主要介绍沙箱模板如何配置ZOS挂载以及使用E2B SDK动态挂载ZOS。 使用场景 跨沙箱实例文件共享场景 智能体引擎中的沙箱支持同一沙箱模板下的所有实例挂载相同的对象存储ZOS路径，以满足数据与文件持久化存储和共享的需求。 沙箱模板配置中ZOS挂载参数 参数名称 是否必填 参数说明 ZOS挂载点 是 对象存储Bucket名称。 Bucket子目录 是 设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。 沙箱本地目录权限 是 选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 E2B SDK动态挂载ZOS 除了在沙箱模板中配置ZOS挂载，您还可以通过E2B SDK动态挂载ZOS。如果模板中已经配置了ZOS挂载，SDK挂载的ZOS会覆盖模板中的配置。 使用E2B SDK创建沙箱时，通过写入环境变量AGETEMPLATEZOS 来配置ZOS挂载。AGETEMPLATEZOS的格式为：ZOSBUCKETNAMEBucket名称,ZOSMOUNTPOINT沙箱本地目录,ZOSURL对象存储内网地址,ZOSSUBDIRBucket子目录,ZOSREADONLY沙箱本地目录权限，如果有多组挂载，每组之间使用空格隔开，最多支持5个挂载点。 python sandbox Sandbox.create( template'xxx', apikey'agexxx', domain'mydomain.com', envs{"AGETEMPLATEZOS":"ZOSBUCKETNAMEmybucket,ZOSMOUNTPOINT/home/user/a/,ZOSURL ) print('创建沙箱成功') 注意： 虽然以环境变量AGETEMPLATEZOS形式动态挂载ZOS，但是该环境变量并不会写入沙箱环境变量。

本节介绍了云容器引擎的最佳实践:使用延迟绑定的存储类实现跨AZ调度。 天翼云提供多种存储类型，如云硬盘、海量文件、弹性文件等。多数存储创建于特定可用区，若从其他可用区访问，部分存储类型将无法访问，部分虽可访问但存在性能损耗。尤其对于云硬盘或并行文件等对可用区要求严格的存储产品，若节点与存储的可用区不匹配，将导致存储无法正常挂载。为保障可用性与性能，建议多可用区业务采用延迟绑定策略，尽可能使存储与容器应用处于同一可用区。 注意 若工作负载的多个副本分布在多个可用区，且均使用同一支持延迟绑定及多机只读的PVC，则存储将基于首个被调度Pod所在的可用区进行挂载。 名词解释 延迟绑定（WaitForFirstConsumer）是存储类绑定策略的一种。选择该策略后，使用此存储类创建的PVC不会立即执行动态分配操作，而是等待有工作负载使用该PVC且Pod完成调度后，才触发动态分配流程。 Pod调度完成后，K8S会记录其所在节点的可用区信息。动态分配时，系统将根据Pod所在可用区为PVC分配存储并构建PV。 使用方法 创建一个新的存储类时，需根据实际需求选择存储产品并填写相关参数。在“绑定策略”一栏中，请选择延迟绑定（WaitForFirstConsumer）。 创建持久卷申明时，选择这个新的存储类，可以看到持久卷申明，状态会一直处于等待中，事件也是等待动态分配的状态。此时需要新建一个工作负载使用该PVC。 一段时间后可见，持久卷申请已成功绑定，无状态工作负载启动正常，云盘正常挂载。通过存储控制台查询可确认存储所在可用区与工作负载的可用区保持一致。

本文介绍了如何在科研助手中使用Qwen3模型服务。 概述 阿里巴巴开源新一代通义千问模型Qwen3，参数量仅为DeepSeekR1的1/3，成本大幅下降，性能全面超越R1、OpenAIo1等全球顶尖模型，登顶全球最强开源模型。Qwen3是国内首个“混合推理模型”，“快思考”与“慢思考”集成进同一个模型，对简单需求可低算力“秒回”答案，对复杂问题可多步骤“深度思考”，大大节省算力消耗。 当前在科研助手的社区镜像中，我们已经为您提前部署好了完整的服务，模型参数覆盖8b、14b、32b、235b，方便您即刻体验，开箱即用。 前置说明 1. 该文档为在科研助手中使用Qwen3模型服务。 2. 本产品中的模型由第三方主体提供，尽管天翼云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责. 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“Qwen3全参数模型”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 说明 目前镜像支持的可用区有：福州6、贵阳2、中卫4； 中卫4支持运行235b，其余可用区可以运行8b、14b、32b。 配置 算力型号 可用区 说明 ::: 最低配置 NVIDIA A10 福州6 推荐配置 GPU.gn4.2xl1 贵阳2 最高配置 NVIDIA A100 40G 中卫4 可运行235b 这里以可用区贵阳2的GPU.gn4.2xl为例，可以看到，【镜像框架】中框架版本已默认选好【社区镜像】的“openwebuiqwen3pubdataset”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功

边缘重保服务产品将于2025年6月10日00时正式开始收费，本章节介绍了边缘重保服务商用的计费标准，并提供了详细示例予以说明。 产品版本 体验版 基础护航服务 尊享护航服务 基础安全护航服务 尊享安全护航服务 价格（元/次） 0 20000 30000 30000 45000 重保方式 远程护航 远程护航 驻场值守 远程护航 驻场值守 服务人员 高级技术支持工程师 高级技术支持专家 资深技术支持专家 高级安全专家 资深安全专家 说明 1. 每订购1次，可提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务。 2. 若活动在单个自然日内涉及多个场次，则按1次计服务次数；若活动多个场次分布在不同自然日，则按实际涉及的自然日天数计算服务次数。 3. 体验版限时开放，自上线起截止至2025年12月31日，单账号可订购上限为2次。 4. 尊享护航服务、尊享安全护航服务默认仅提供1名专家到场进行保障，若需要多名专家驻场，则需要根据驻场专家数量×驻场天数计算服务次数。 示例 【示例一】 某天翼云客户计划在5月20日分三次进行优惠券发放活动，发放时间分别在9:00、12:00、18:00，希望通过基础安全护航服务为本次活动进行保障，则仅需订购1次基础安全护航服务即可。 【示例二】 某天翼云客户计划在5月20日5月25日之间，转播五场国际型赛事，赛程安排依次为5月20日 9:0012:00、5月22日 14:0018:00、5月24日 14:0018:00、5月25日 9:0012:00、14:0018:00，希望通过基础护航服务为本次活动进行保障，则需要订购4次基础护航服务。 【示例三】 某天翼云客户计划在10月1日10月3日期间开展某项重大活动，需要两名专家驻场进行重点保障，则需要根据客户使用的具体产品，订购 2名驻场专家×3天 6次 尊享护航服务 或 尊享安全护航服务。

本页介绍天翼云TeleDB数据库告警设置相关操作。 告警设置分为告警配置和告警抑制模块。 告警策略模块可查看告警策略列表，新建和删除告警策略，对告警策略进行启停操作。告警生效后可在历史告警和消息中心查看告警的消息和内容。 新建告警策略，可对主机和实例进行告警策略的配置，针对主机和实例进行设置告警的策略。 通知方式可选邮箱、短信、企业微信 在告警策略列表页面单击告警策略 或者查看详情 ，可查看告警策略的详细信息。 在告警策略列表页面的告警启停 栏，可单击启停图标，启动或停止告警策略。 在告警策略列表页面，可单击操作 列的编辑按钮，编辑告警策略信息。 在告警策略列表页面，可单击操作 列的删除按钮，进行告警策略的删除。只有停止的状态下可删除，启动时，删除按钮置灰。 告警抑制模块可查看告警抑制列表，新建和删除告警抑制，对告警抑制进行启停操作。 用户可新增告警抑制，根据表单提示填写即可创建告警抑制。 用户可对告警抑制进行单个删除或者批量删除，删除时二次确认提示，启动状态下的告警抑制不可删除，删除按钮置灰。 用户可对告警抑制进行编辑，启动状态下的告警抑制不编辑，编辑按钮置灰。

日志组（LogGroup）是云日志服务进行日志管理的基本单位，可以创建日志流以及设置日志存储时间，每个帐号下可以创建100个日志组。 前提条件 已获取控制台的登录帐号与密码。 创建日志组 日志组的创建类型分为用户创建（主动）和云服务创建（被动），云服务创建指其他云服务与云日志服务进行系统对接后，系统自动在云日志服务控制台创建的日志组，本操作中日志组的创建类型为用户创建（主动）。 1. 在云日志服务管理控制台，单击页面右上角的“创建日志组”。 创建日志组 2. 在“创建日志组”页面中，输入日志组名称，名称需要满足如下要求： 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为164个字符。 说明 日志采集后，将发送到对应的日志组中的日志流，如果日志较多，需要分门别类，建议您给日志组做好命名，方便后续快速查找日志。日志组创建后，名称不支持修改。 3、单击“确定”，完成日志组的创建。 在日志组列表中，可以查看日志组名称、日志存储时间（天）、创建类型、创建时间和日志流数量。 单击日志组名称，可跳转到日志流详情页面。 并发创建时，可能会偶现创建个数超过限制。 删除日志组 如果日志组不再需要使用，可以删除日志组。日志组删除后，日志组中的日志流、日志数据将被同时删除。日志组删除后无法恢复，请谨慎操作。 说明 如果日志组绑定了日志转储任务，删除日志组之前，需要先删除该日志组关联的日志转储任务。 1. 在日志组列表中，单击待删除日志组操作列下的“删除”。 2. 在弹出框中输入“DELETE”后，单击“确定”，完成日志组删除。 删除日志组 删除日志组

接口功能介绍 支持按照协议、运营商、省份、流名等不同维度查询直播带宽。 使用说明 单个用户一分钟限制调用10000次，并发不超过100。 可查询历史数据时间范围为最近14天。 单次可查询的时间跨度为3小时，时间延时为5分钟。 单次查询输入域名的个数不能超过100个。 最大返回记录50000条记录。 该接口查询的数据不作为计费依据。 接口详情 请求方式：post 请求路径：/live/statistics/queryfluxdata 请求参数 参数名 类型 名称 是否必填 说明 ::::: starttime long 开始时间戳 是 起始时间，时间戳(秒)。不传或者传小于等于0是默认取当前时间3分钟 endtime long 结束时间戳 是 结束时间，时间戳(秒)。不传或者传小于等于0默认取starttime + 1分钟 interval string 时间粒度 否 时间粒度，目前限制1m，不传默认1m domain list 域名列表 否 域名，不传默认名下所有域名，可多个域名，且域名的个数不超过100个。 app list 应用名列表 否 应用名，默认名下所有应用名，可多个应用名 stream list 流名列表 否 流名，默认名下所有流名，可多个流名 province list 省编码列表 否 省编码列表，不传默认所有省份，点击查看省份及对应的省编码。 isp list 运营商编码列表 否 运营商编码，不传默认所有运营商，可多个运营商编码作为统计筛选项，点击查看运营商及对应的运营商编码。 protocol list 应用层协议列表 否 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为rtmp、http、https。 livetype list 直播协议类型列表 否 播放协议，支持rtmp，flv，hls，other，不传默认所有播放协议，作为统计过滤项。 groupby list 聚合维度 否 该指标统计结果的聚合维度，支持在时间颗粒度外叠加多种聚合维度。目前支持domain，app，province，isp，stream，province，isp，protocol，livetype。不传默认统计结果按时间颗粒维度聚合。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 访问授权 1.管理员登录堡垒机。 2.左侧菜单选择“授权管理>资产访问授权”。 3.选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 命令授权 1.左侧菜单选择“授权管理>字符命令授权”。 2.在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3.在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4.配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5.文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6.数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

公有云采用虚拟私有云（VPC）管理各服务的网络安全，比如DCS缓存服务，用户创建的DCS缓存实例，只允许被实例处于相同虚拟私有云的弹性云主机访问。 解决方案 天翼云的弹性云主机，如果绑定了弹性IP地址，用户可以从本地电脑远程访问。 因此，我们可以采用ssh工具的隧道代理机制，通过一台既能连接DCS缓存实例，又能被本地电脑访问的中转服务器，实现“代理转发”。 说明 Redis 4.0/5.0 Cluster集群实例暂不支持使用该方案进行公网访问。 前提条件 假设已申请DCS缓存实例一个，本地电脑可以连接互联网，且安装有MobaXterm、Redis客户端等工具。 申请一台弹性云主机（ECS），满足以下要求： 绑定弹性IP，公网可以访问ECS. ECS的虚拟私有云以及子网配置成与DCS缓存实例相同。 ECS配置正确的安全组访问规则。 为了方便，ECS使用linux操作系统。 这样保证ECS与DCS缓存实例网络互通，同时可以从本地电脑远程SSH连接ECS。 操作步骤 通过MobaXterm建立隧道作为跳板机 1.新建一个到ECS的SSH连接，使用22号端口。 图 连接ECS 2.SSH连接配置好后，输入登录用户和密码，连接上ECS。登录后输入TMOUT0，避免连接超时自动关闭。 图 输入TMOUT0 3.在MobaXterm工具中找到MobaSSHtunnal，建立隧道。 图 创建隧道 4.配置本地IP为127.0.0.1后，启动隧道。 图 启动隧道 5.本地电脑打开Redis客户端，以Redis命令行界面为例。连接DCS缓存实例，命令如下： Rediscli h 127.0.0.1 p 3306 a {password} 参数说明： h 主机名：localhost或者127.0.0.1，和隧道建立时配置的本地IP相同。 p 端口号：3306，和隧道建立时配置的本地侦听端口相同。 a 密码：DCS缓存实例连接密码。 6.连接成功，显示如下。 图 连接实例

本章节主要介绍数据架构使用流程。 DataArts Studio数据架构的流程如下： 1.准备工作 ： −添加审核人 ：在数据架构中，业务流程中的步骤都需要经过审批，因此，需要先添加审核人。只有工作空间管理员角色的用户才具有添加审核人的权限。 −管理配置中心 ：数据架构中提供了丰富的自定义选项，统一通过配置中心提供，您需要根据自己的业务需要进行自定义配置。 2.数据调研 ：基于现有业务数据、行业现状进行数据调查、需求梳理、业务调研，输出企业业务流程以及数据主题划分。 −主题设计 ：通过分层架构表达对数据的分类和定义，帮助厘清数据资产，明确业务领域和业务对象的关联关系。 主题域分组 ：基于业务场景对主题域进行分组。 主题域 ：互不重叠数据的高层面的数据分类，用于管理其下一级的业务对象。 业务对象 ：指企业运作和管理中不可缺少的重要人、事、物信息。 −流程设计 ：针对流程的一个结构化的整体框架，描述了企业流程的分类、层级以及边界、范围、输入/输出关系等，反映了企业的商业模式及业务特点。 3.标准设计 ：新建码表&数据标准。 −新建码表 ：通常只包括一系列允许的值和附加文本描述，与数据标准关联用于生成值域校验质量监控。 −新建数据标准 ：用于描述公司层面需共同遵守的属性层数据含义和业务规则。其描述了公司层面对某个数据的共同理解，这些理解一旦确定下来，就应作为企业层面的标准在企业内被共同遵守。 4.模型设计： 应用关系建模和维度建模的方法，进行分层建模。 −关系建模 ：基于关系建模，新建SDI层和DWI层两个模型。 SDI ：Source Data Integration，又称贴源数据层。SDI是源系统数据的简单落地。 DWI ：Data Warehouse Integration，又称数据整合层。DWI整合多个源系统数据，对源系统进来的数据进行整合、清洗，并基于三范式进行关系建模。 −维度建模 ：基于维度建模，新建DWR层模型并发布维度和事实表。 DWR ：Data Warehouse Report，又称数据报告层。DWR基于多维模型，和DWI层数据粒度保持一致。 维度 ：维度是用于观察和分析业务数据的视角，支撑对数据进行汇聚、钻取、切片分析，用于SQL中的GROUP BY条件。 事实表 ：归属于某个业务过程的事实逻辑表，可以丰富具体业务过程所对应事务的详细信息。 5.指标设计 ：新建业务指标和技术指标，技术指标又分为原子指标、衍生指标和复合指标。 −指标 ：指标一般由指标名称和指标数值两部分组成，指标名称及其涵义体现了指标质的规定性和量的规定性两个方面的特点，指标数值反映了指标在具体时间、地点、条件下的数量表现。 业务指标用于指导技术指标，而技术指标是对业务指标的具体实现。 −原子指标 ：原子指标中的度量和属性来源于多维模型中的维度表和事实表，与多维模型所属的业务对象保持一致，与多维模型中的最细数据粒度保持一致。 原子指标中仅含有唯一度量，所含其它所有与该度量、该业务对象相关的属性，旨在用于支撑指标的敏捷自助消费。 −衍生指标 ：是原子指标通过添加限定、维度卷积而成，限定、维度均来源于原子指标关联表的属性。 −复合指标 ：由一个或多个衍生指标叠加计算而成，其中的维度、限定均继承于衍生指标。 注意，不能脱离衍生指标、维度和限定的范围，去产生新的维度和限定。 6.数据集市建设 ：新建DM层并发布汇总表。 −DM (Data Mart) ：又称数据集市。DM面向展现层，数据有多级汇总。 −汇总表 ：汇总表是由一个特定的分析对象（如会员）及其相关的统计指标组成的。组成一个汇总逻辑表的统计指标都具有相同的统计粒度（如会员），汇总逻辑表面向用户提供了以统计粒度（如会员）为主题的所有统计数据（如会员主题集市）。

您在部署完微服务后，可以根据微服务的运行情况进行微服务的治理。 前提条件 您可以先在“微服务目录 > 微服务列表”中创建微服务，启动微服务后，根据yaml文件的配置，会在对应的服务下注册服务实例。 如果没有事先创建微服务或者微服务已删除，在注册服务实例时会自动创建微服务。 微服务在创建以后，需要注册服务实例后才能进行对应操作。 您需要参考Java Chassis、Go Chassis开发指南，在应用里面启用负载均衡、熔断、容错、降级、错误注入、黑白名单等功能。如果没有启用，仍然可以使用服务治理功能，但是应用不会产生治理效果。 治理策略概述 1、选择“服务治理”，进入微服务治理页面。 2、单击需要治理的微服务，进入微服务监控页面和治理配置页面。 在微服务治理配置页面支持负载均衡、限流、容错、降级、熔断和错误注入等策略的配置。 名称 说明 负载均衡 当出现访问量和流量较大，一台服务器无法负载的情况下，我们可以通过设置负载均衡的方式将流量分发到多个服务器均衡处理，从而优化响应时长，防止服务器过载。可以通过新增规则配置负载均衡策略，设置参数支持轮询、随机、响应时间权值、会话粘滞等多种负载均衡策略。 限流 限流主要解决微服务之间的流量分配问题，保证微服务在自己的资源池运行，互不影响。当限流对象对当前服务实例的每秒请求数量超过设定的值，当前服务实例不再接受该对象的请求。常用的检测方法是请求超时、流量过大等。设置参数包括限流对象、QPS阈值等。 降级 降级是容错的一种特殊形式，当出现服务吞吐量巨大，资源不够用等情况，我们可使用降级机制关掉部分不重要、性能较差的服务，避免占用资源，以保证主体业务功能可正常使用。 容错 容错是服务调用者访问服务实例，服务实例出现异常时的一种处理策略，出现异常后按照定义的策略进行重试或访问新的服务实例。服务调用出错异常时的处理模式。一旦发生异常，服务会根据容错机制来进行尝试重新访问或直接返回失败。 熔断 当我们发现由于某些原因导致服务出现了过载现象，为避免造成整个系统故障，可采用熔断来进行保护。熔断在服务请求处理出现异常时产生作用。进入熔断状态后，hystrix会认为被请求的服务已经无法处理请求，在第一时间截断请求直接返回错误给调用者。 hystrix每隔一段时间会尝试访问后端服务，如果服务恢复正常，会退出熔断状态，恢复正常的请求访问。 错误注入 错误注入策略用于测试微服务的容错能力，可以让用户知道，当出现延时或错误时，系统是否能够正常运行。错误注入通过延时、错误等方式，供用户测试微服务的容错能力。 黑白名单 黑白名单的主要功能是为微服务设置黑白名单。黑白名单是为了改变网络流量所经过的途径而修改路由信息的技术。 设置负载均衡 1、单击需要治理的微服务，进入微服务治理配置页面。 2、在微服务治理配置页面，单击“负载均衡”，展开负载均衡详情页。 3、单击“新增”，进入负载均衡策略配置。先选择需要治理的微服务，再选择合理的负载均衡策略，请参见下表。 策略名 策略说明 轮询 支持按照服务实例的位置信息顺序路由。 随机 提供服务实例随机路由。 响应时间权值 提供最小活跃数（时延）的权重路由，支持业务处理慢的服务实例接收较少的请求，防止系统停止响应。这种负载均衡策略适合请求量少且稳定的应用。 会话粘滞 会话粘滞是负载均衡器上的一种机制，在设定的会话保持时间内，会保证同一用户相关联的访问请求会被分配到同一实例上。 失败次数阈值：访问失败次数，010。当微服务访问下属实例的失败次数和会话保持时间超过设定的值时，微服务不再访问该实例。 4、单击“确定”保存配置。

提交工单 如果上述方法均不能解决您的疑问，请寻求更多帮助。 流量日志和攻击日志不全怎么办？ CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志，如果反复开启、关闭云防火墙，会导致关闭期间的日志无法记录。 因此，建议您避免反复执行开启、关闭CFW的操作。 防护规则没有生效怎么办？ 配置了仅放行几条EIP的规则，为什么所有流量都能通过？ 云防火墙开启EIP防护后，访问控制策略默认状态为放行。如您希望仅放行几条EIP，您需配置阻断全部流量的防护规则，并设为优先级最低，可按如下步骤进行： 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 配置全局阻断规则。 单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写参数如下，其余参数可根据您的部署进行填写。 “源地址”：0.0.0.0/0 “目的地址”：0.0.0.0/0 “源端口”：065535 “目的端口”：065535 “动作”：阻断 说明 建议您添加完所有规则后再开启“启用状态”。 5. 配置放行规则。 单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写新的防护信息，填写规则详见下表。 参数名称 参数说明 取值样例 方向 选择防护方向： 外到内：外网访问内部服务器。 内到外：客户服务器访问外网。 内到外 名称 自定义规则名称。 test 源类型 选择IP地址、IP地址组或地域 。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 地域 ：支持地域防护，可在“源地址”中选择地区。 IP地址 源地址 设置访问流量中发送数据包的IP地址、IP地址组。 源IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.5 目的类型 选择IP地址、IP地址组。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 说明 “方向”为“内外”时，支持选择“域名”类型。 IP地址 目的地址 设置访问流量中的接收数据包的IP地址、IP地址组。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 域名，支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等），输入后需单击右侧“测试”，以测试域名有效性。 说明 配置“目的地址”为“域名”的防护规则后需进行DNS解析，请参见DNS服务器配置。 192.168.10.6 服务类型 选择服务或服务组。 服务 ：支持设置单个服务。 服务组 ：支持多个服务的集合。 服务 协议类型 协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。 TCP 源端口 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443。 80 目的端口 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443。 443 是否支持长连接 选择“是”或“否”，设置是否配置长连接 。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP/ICMP/Any/ICMPv6协议：60s。 说明 最大支持100条规则设置长连接。 是 长连接设置时长 “是否支持长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 60时60分60秒 动作 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 放行 策略优先级 设置该策略的优先级： 置顶：表示将该策略设置为最优先级别。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 置顶 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 6. 将步骤4中全局阻断规则的“优先级”置为最低，具体操作请参见云防火墙用户指南中设置优先级。 7. 启用所有规则。建议先开启“放行”规则，再开启“阻断”规则。

新增备案流程 首次备案的完整流程及流程简图如下图所示： 流程简图 1 创建备案订单 通过备案类型的自动匹配，创建订单任务后，点击“ ”进入新增备案（首次备案）流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。标注号项为必填项。当主办单位是个人时，主办单位信息、主体负责人与网站负责人必须保持一致。单位名称与证件住所必须录入与所提供的证件完全一致的信息（包括字母的大小写，标点符号的中英文切换等。） 因之前创建备案订单时已经填写了主办单位所在地、单位性质、单位证件类型和证件号码，所以在填写主办单位信息时，这四项系统会自动携带显示。 所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 3 填写网站信息 填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二级域名的录入（.gov.cn后缀的域名允许二级域名备案）。每条网站仅支持填报一个域名，如果有多个域名，请通过“继续新增网站”按钮逐个添加。 填写网站信息，按照页面提示内容进行内容填写。如您本次备案的网站涉及新闻、医药、论坛、广播电视等请准备好相关部门的审批文件并上传至“前置审批文件”处。网站负责人可以与单位主体负责人相同，也可以使用新的负责人信息（个人性质主体，负责人必须为同一人）。 接入信息填写，可使用自有账号下的接入信息，亦可使用他人接入服务号进行ip填报。 信息录入完毕后，点击“保存”按钮，保存当前添加的网站信息。 如果本次备案欲同时备案多个网站，请通过点击“ ”来继续新增网站信息。 网站添加完毕后，点击“下一步，上传备案材料”，转至下一步继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交预审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

本文介绍如何创建无状态应用。 无状态应用中各实例之间相互独立，互不依赖，任意一个Web请求完全与其他请求隔离。无状态容器应用更易实现可靠性和伸缩性。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 已创建集群并添加节点[]( 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【无状态应用】，进入无状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）（可选）单击【下一步】，进入添加服务页面>【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略； 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。 因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于CCE提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照购买混合集群中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。 通过控制台创建 云容器引擎提供了多种创建工作负载的方式，您可以通过如下方式进行创建： 1. 基于“我的镜像”创建工作负载，用户首先需要将镜像上传至容器镜像服务。 2. 基于“共享镜像”创建工作负载，即其它租户通过“容器镜像服务”共享给您的镜像。 3. 若您希望通过YAML方式创建工作负载，您可在“创建有状态工作负载”页面单击界面右侧的“YAML创建”，通过yaml的方式创建工作负载。YAML的说明请参见通过kubectl命令行创建。YAML编写完成后，可单击“创建”，直接创建工作负载。 YAML文件是和界面保持同步的，您也可以通过界面和YAML互动完成工作负载的创建。例如： 界面中填写工作负载名称后，YAML文件会自动关联该名称。 界面中添加完镜像后，YAML中也会自动关联该镜像。 控制台界面右侧的“YAML创建”不支持多个YAML混合，请分别创建，否则创建时将会报错。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 有状态负载 StatefulSet”，单击“创建有状态工作负载”。在打开的创建有状态工作负载页面中，参照下表设置工作负载基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到52个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 实例数量 工作负载的实例数量。工作负载可以有一个或多个实例，用户可以设置具体实例个数，默认为2，可自定义设置为1。 每个工作负载实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，工作负载还能正常运行。若使用单实例，节点异常或实例异常会导致服务异常。 时区同步 单击开启后，容器将和节点使用相同时区。 须知 时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 2 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期：用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 有状态工作负载只能在创建时添加数据存储，创建完成后无法再添加。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 3 单击“下一步：工作负载访问设置”，设置“实例间发现服务”和工作负载访问方式。 设置“实例间发现服务”，如下表： 参数 参数说明 服务名称 输入工作负载所对应的服务名称，用于集群内工作负载间的互相访问。该服务主要用于实例的内部发现，不需要有单独的IP地址，也不需要做负载均衡。 端口名称 端口名称用于给容器端口命名，通常以端口用途命名。 容器端口 输入容器的监听端口。 单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络概述。 步骤 4 单击“下一步：高级配置”，配置更多高级策略。 升级策略：仅支持“滚动升级”。 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 实例管理策略：支持“有序策略”和“并行策略”两种。 有序策略：默认策略，有状态负载会逐个的、按顺序的进行部署、删除、伸缩实例， 只有前一个实例部署Ready或删除完成后，有状态负载才会操作后一个实例。 并行策略：支持有状态负载并行创建或删除所有的实例，有状态负载发生变更时立刻在实例上生效。 缩容策略：为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 − 缩容时间窗 (s)：请输入时间，该时间为工作负载停止前命令的执行时间窗（09999秒），默认30秒。 − 缩容优先级：可根据业务需要选择“优先减少新实例”或“优先减少老实例”。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见调度策略概述。 Pod高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 客户端DNS配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：的性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 5 配置完成后，单击“创建”，单击“返回工作负载列表”。在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。如果工作负载状态未实时更新，请刷新页面查看。 节点不可用时，pod状态变为“未就绪”，此时需要手工删除有状态工作负载的pod，pod实例才会迁移到正常节点上。 工作负载列表页在超过500条以上时，将采用Kubernetes的分页机制进行分页。Kubernetes的分页机制：仅支持回到第一页和查看下一页，不支持查看上一页，且在分页显示的情况下，资源总数显示的是批量查询出的数目而不是真实总数。 通过kubectl命令行创建 本节以etcd为例来进行说明。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为etcdstatefulset.yaml的文件。 其中，etcdstatefulset.yaml为自定义名称，您可以随意命名。 vi etcdstatefulset.yaml 以下内容仅为示例，若需要了解statefulset的详细内容，请参考kubernetes官方文档。 apiVersion: apps/v1 kind: StatefulSet metadata: name: etcd spec: replicas: 2 selector: matchLabels: app: etcd serviceName: etcdsvc template: metadata: labels: app: etcd spec: containers: env: name: PAASAPPNAME value: tesyhhj name: PAASNAMESPACE value: default name: PAASPROJECTID value: 9632fae707ce4416a0ab1e3e121fe555 image: etcd imagePullPolicy: IfNotPresent name: container0 updateStrategy: type: RollingUpdate vi etcdheadless.yaml apiVersion: v1 kind: Service metadata: labels: app: etcd name: etcdsvc spec: clusterIP: None ports: name: etcdsvc port: 3120 protocol: TCP targetPort: 3120 selector: app: etcd sessionAffinity: None type: ClusterIP 步骤 3 创建工作负载以及对应headless服务。 kubectl create f etcdstatefulset.yaml 回显如下，表示有状态工作负载（stateful）已创建成功。 statefulset.apps/etcd created kubectl create f etcdheadless.yaml 回显如下，表示对应headless服务已创建成功。 service/etcdsvc created 步骤 4 若工作负载需要被访问（集群内访问或节点访问），您需要设置访问方式，具体请参见“网络管理”并创建对应服务。

云容器引擎控制台创建Kubernetes自定义授权策略 注意 本步骤展示创建自定义ClusterRole，过程和创建Role类似。您可以根据实际的场景调整相应操作。 第一步：登录天翼云，进入到云容器引擎控制台，在左侧导航栏选择集群。 第二步：在集群管理界面，点击目标集群名称，然后在左侧导航栏，选择安全管理 > 角色。 第三步：在角色页面，点击Cluster Role页签，然后点击创建Cluster Role。 第四步：当点击创建Cluster Role后，会弹出一个YAML面板，您需要在面板上输入自定义策略的YAML内容，点击确定即可创建成功。 第五步：在左侧导航栏，选择安全管理 >授权，进入授权页面，选择子账号下面的用户，点击添加权限。 第六步：进入集群RBAC配置，点击添加权限，选择命名空间，选择自定义，然后选择里之前创建好的Cluster Role，点击下一步。 第七步：授权成功。 第八步：验证。 首先按照下图获取到对应的config，登录到集群主机保存test.config文件中。 查询集群的Pod。 kubectl get pod kubeconfigtest.config 没有权限查看集群的Service，提示forbidden。 kubectl get services kubeconfigtest.config 注意 当前云容器引擎授权管理仅支持自定义Cluster Role角色与集群内RABAC权限的绑定，暂不支持自定义Role角色与集群内RBAC权限的绑定。

本文主要介绍什么是访问控制策略。 共享型和独享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 访问流量的IP先通过白名单或黑名单访问控制，然后负载均衡转发流量，通过安全组安全规则限制，所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。 访问控制只限制实际业务的流量转发，不限制ping命令操作，被限制的IP仍可以ping通后端主机。 配置了白名单，但是不在白名单的IP也能访问后端主机，可能的原因是该连接为长连接。需要客户端或后端主机断开该长连接。访问控制策略对新建的连接是实时生效的。 天翼云部分二类节点正在升级，以支持访问控制策略的IP地址组能力，敬请客户随时关注。 设置访问控制策略 1. 登录管理控制台。 2. 在管理控制台左上角单击 图标，选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击负载均衡名称，进入监听器管理界面。 5. 在需要添加访问控制策略的监听器基本信息页面，单击访问控制右侧“设置访问控制”按钮，配置访问控制策略。 访问控制参数说明表 参数 说明 样例 访问策略 可以选择允许所有IP访问、白名单和黑名单。 允许所有IP访问：不进行访问控制，允许所有IP访问负载均衡监听器。 白名单：仅允许IP地址组中的IP访问负载均衡监听器。黑名单：不允许IP地址组中的IP访问负载均衡监听器。 黑名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。 如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 访问控制开关 当访问策略选择白名单或者黑名单时，可以开启或者关闭访问控制开关。 开启：开启访问控制开关，设置的白名单和黑名单才会生效。 关闭：关闭访问控制开关，设置的白名单和黑名单不生效。 6. 配置完成，点击“确定”。

如意宝典产品使用手册 一、产品概述 1. 产品介绍 如意宝典是一款基于检索增强生成（RAG）架构的新一代 AI 知识引擎软件，旨在帮助金融机构（银行 / 保险）、高端制造企业、法律机构、医药企业、教育平台等企业及开发者解决企业知识碎片化查询效率低、知识传承断层与培训成本高、一线岗位客户问题响应慢、非结构化文档解析能力弱且知识时效性差、敏感知识安全管控难等问题。 2. 产品核心能力 产品部署于天翼云弹性云主机集群，利用云平台的计算资源弹性扩展能力，保障高并发场景下的服务稳定性。用户可通过标准化接口实现知识库的一键式云端部署，免除传统系统复杂的部署流程和硬件维护成本。云端服务具备自动容灾和负载均衡能力，在保障高并发场景服务稳定性的同时，显著降低系统运维复杂度。 产品可满足多领域知识服务需求：在智能客服场景中，系统可快速定位历史工单关联信息生成解决方案；面向研发领域，能够精准关联技术文档与代码库提供开发建议；对于企业培训场景，可整合分散的培训资料生成结构化学习路径；在专业咨询领域，支持法律条文与判例库的交叉引用分析，或医疗知识库与诊疗指南的智能匹配，为专业决策提供知识支撑。 同应用分基础型、进阶型、企业版三个规格，不同规格在 CPU 算力、GPU 算力数量及配置上存在差异： 基础型：含 1 台通用型云主机（4 核 CPU、8G 内存、200G 磁盘）+1 台算力服务（32 核 CPU、128G 内存、48G 显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis 进阶型：含 1 台通用型云主机（4 核 CPU、8G 内存、200G 磁盘）+2 台算力服务（单台 32 核 CPU、128G 内存、48G显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis 企业型：含 1 台通用型云主机（8 核 CPU、16G 内存、500G 磁盘）+3 台算力服务（单台 32 核 CPU、128G 内存、48G 显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis