弃用和移除 Kubernetes 1.27版本 在Kubernetes 1.27版本，针对卷扩展 GA 特性的以下特性门禁将被移除，且不得再在 featuregates 标志中引用。（ ExpandCSIVolumes，ExpandInUsePersistentVolumes，ExpandPersistentVolumes ） 在Kubernetes 1.27版本，移除masterservicenamespace 命令行参数。该参数支持指定在何处创建名为kubernetes的Service来表示API服务器。自v1.26版本已被弃用，1.27版本正式移除。 在Kubernetes 1.27版本，移除 ControllerManagerLeaderMigration 特性门禁。Leader Migration 提供了一种机制，让 HA 集群在升级多副本的控制平面时通过在 kubecontrollermanager 和 cloudcontrollermanager 这两个组件之间共享的资源锁，安全地迁移“特定于云平台”的控制器。特性自 v1.24 正式发布，被无条件启用， 在 v1.27 版本中此特性门禁选项将被移除。 在Kubernetes 1.27版本，移除 enabletaintmanager 命令行参数。该参数支持的特性基于污点的驱逐已被默认启用， 且在标志被移除时也将继续被隐式启用。 在Kubernetes 1.27版本，移除podevictiontimeout 命令行参数。弃用的命令行参数 podevictiontimeout 将被从 kubecontrollermanager 中移除。 在Kubernetes 1.27版本，移除 CSI Migration 特性门禁。CSI migration 程序允许从树内卷插件移动到树外 CSI 驱动程序。 CSI 迁移自 Kubernetes v1.16 起正式发布，关联的 CSIMigration 特性门禁将在 v1.27 中被移除。 在Kubernetes 1.27版本，移除 CSIInlineVolume 特性门禁。CSI Ephemeral Volume 特性允许在 Pod 规约中直接指定 CSI 卷作为临时使用场景。这些 CSI 卷可用于使用挂载的卷直接在 Pod 内注入任意状态，例如配置、Secret、身份、变量或类似信息。 此特性在 v1.25 中进阶至正式发布。因此，此特性门禁 CSIInlineVolume 将在 v1.27 版本中移除。 在Kubernetes 1.27版本，移除 EphemeralContainers 特性门禁。对于 Kubernetes v1.27，临时容器的 API 支持被无条件启用；EphemeralContainers 特性门禁将被移除。 在Kubernetes 1.27版本，移除 LocalStorageCapacityIsolation 特性门禁。Local Ephemeral Storage Capacity Isolation 特性在 v1.25 中进阶至正式发布。此特性支持 emptyDir 卷这类 Pod 之间本地临时存储的容量隔离， 因此可以硬性限制 Pod 对共享资源的消耗。如果本地临时存储的消耗超过了配置的限制，kubelet 将驱逐 Pod。 特性门禁 LocalStorageCapacityIsolation 将在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 NetworkPolicyEndPort 特性门禁。Kubernetes v1.25 版本将 NetworkPolicy 中的 endPort 进阶至正式发布。 支持 endPort 字段的 NetworkPolicy 提供程序可用于指定一系列端口以应用 NetworkPolicy。 在Kubernetes 1.27版本，移除 StatefulSetMinReadySeconds 特性门禁。对于作为 StatefulSet 一部分的 Pod，只有当 Pod 至少在 minReadySeconds 中指定的持续期内可用（并通过检查）时，Kubernetes 才会将此 Pod 标记为只读。 该特性在 Kubernetes v1.25 中正式发布，StatefulSetMinReadySeconds 特性门禁将锁定为 true，并在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 IdentifyPodOS 特性门禁。启用该特性门禁，您可以为 Pod 指定操作系统，此项特性支持自 v1.25 版本进入稳定。 IdentifyPodOS 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 DaemonSetUpdateSurge 特性门禁。Kubernetes v1.25 版本还稳定了对 DaemonSet Pod 的浪涌支持， 其实现是为了最大限度地减少部署期间 DaemonSet 的停机时间。 DaemonSetUpdateSurge 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 containerruntime 命令行参数。kubelet 接受一个已弃用的命令行参数 containerruntime， 并且在移除 dockershim 代码后，唯一有效的值将是 remote。 Kubernetes v1.27 将移除该参数，该参数自 v1.24 版本以来已被弃用。

下载MacOS版控件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮。 4. 在访问插件窗口，下载MacOS版控件到本地。 5. 下载完成后，可以查看文件“cbhcontrolxxx.dmg”。 示例： 安装MacOS版控件 1. 双击下载的MacOS版控件。 2. 在弹出的窗口中，将CBHCMD、CBHsom、vncviewer放入应用程序。 3. 在安装过程中出现的权限申请，需要选择“允许”，如果点击其他地方或点击不允许，弹框消失后，只能卸载重装插件。 允许插件添加代理配置：在如下窗口中，单击“允许”。 允许系统扩展：在如下窗口中，单击“打开系统设置”。 在如下页面，单击“允许”，允许应用程序“CBHsom”的系统软件载入。 4. 安装完成后，能在应用程序里看到已安装的插件。 5. 若使用了本地初始化功能，在“设置 > 网络 > 过滤条件”里能看到名为CBHAppProxy的透明代理状态为已启用。 若无法拉起CBHAppProxy的透明代理，请在“通用 > 登录项与扩展 > 网络拓展”中启用CBHsom，需要卸载重装插件，并确保安装过程中权限申请均选择“允许”。 注意 高版本的Mac需要手动打开网络拓展才能正常拉起代理，如下图所示。

配置一个中心VPC的ECS与两个VPC的ECS对等 (IPv4) 如果在一个VPC和其他多个网段重叠的VPC之间创建对等连接，那么配置路由的时候，您可以参考本示例，将路由的目的地址范围缩小，配置成ECS的私有IP地址。路由目的地址规划不当，会导致流量无法正确转发，错误示例及原因详解，可参见“配置一个中心VPC与两个VPC的重叠子网对等 (IPv4)”。 在本示例中，在中心VPCA内ECSA011和VPCB内ECSB01之间创建对等连接PeeringAB，在中心VPCA内ECSA012和VPCC内ECSC01之间创建对等连接PeeringAC。由于SubnetB01和SubnetC01子网网段重叠，请确保云服务器ECSB01和ECSC01的私有IP地址不同，否则会由于目的地址冲突无法在VPCA的路由表中添加路由。 图一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 资源规划详情和对等连接关系，请参见下表。 表资源规划详情一个中心VPC的ECS与两个VPC的ECS对等(IPv4) VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA011 sgweb：通用Web服务器 172.16.0.111 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA012 sgweb：通用Web服务器 172.16.0.218 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCC 10.0.0.0/16 SubnetC01 10.0.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 10.0.0.71

云日志服务日志服务支持如下机器学习函数。 函数列表 函数名称 语法 说明 tscpdetect tscpdetect(x, y, minSize) 寻找时序序列中具有不同统计特性的区间，区间端点即为变点。 tsbreakoutdetect tsbreakoutdetect(x, y, winSize) 寻找时序序列中，某统计量发生陡升或陡降的点。 tsfindpeaks tsfindpeaks(x, y, winSize) 极大值检测函数用于在指定窗口中寻找序列的局部极大值。 tspredicatesimple tspredicatesimple(x, y, nPred, isSmooth) 利用默认参数对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatear tspredicatear(x, y, p, nPred, isSmooth) 使用自回归模型对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatearma tspredicatearma(x, y, p, q, nPred, isSmooth) 使用移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tspredicatearima tspredicatearima(x, y, p, d, q, nPred, isSmooth) 使用带有差分的移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tsdensitycluster tsdensitycluster(x, y, z) 使用密度聚类方法对多条时序数据进行聚类。 tshierarchicalcluster tshierarchicalcluster(x, y, z) 使用层次聚类方法对多条时序数据进行聚类。 tssmoothsimple tssmoothsimple(x, y) 默认平滑函数，使用HoltWinters算法对时序数据进行滤波操作。 tssmoothfir tssmoothfir(x, y,winType,winSize) tssmoothfir(x, y,array()) 使用FIR滤波器对时序数据进行滤波操作。 tssmoothiir tssmoothiir(x, y, array(), array()) 使用IIR滤波器对时序数据进行滤波操作。

云日志服务日志服务支持如下机器学习函数。 函数列表 函数名称 语法 说明 tscpdetect tscpdetect(x, y, minSize) 寻找时序序列中具有不同统计特性的区间，区间端点即为变点。 tsbreakoutdetect tsbreakoutdetect(x, y, winSize) 寻找时序序列中，某统计量发生陡升或陡降的点。 tsfindpeaks tsfindpeaks(x, y, winSize) 极大值检测函数用于在指定窗口中寻找序列的局部极大值。 tspredicatesimple tspredicatesimple(x, y, nPred, isSmooth) 利用默认参数对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatear tspredicatear(x, y, p, nPred, isSmooth) 使用自回归模型对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatearma tspredicatearma(x, y, p, q, nPred, isSmooth) 使用移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tspredicatearima tspredicatearima(x, y, p, d, q, nPred, isSmooth) 使用带有差分的移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tsdensitycluster tsdensitycluster(x, y, z) 使用密度聚类方法对多条时序数据进行聚类。 tshierarchicalcluster tshierarchicalcluster(x, y, z) 使用层次聚类方法对多条时序数据进行聚类。 tssmoothsimple tssmoothsimple(x, y) 默认平滑函数，使用HoltWinters算法对时序数据进行滤波操作。 tssmoothfir tssmoothfir(x, y,winType,winSize) tssmoothfir(x, y,array()) 使用FIR滤波器对时序数据进行滤波操作。 tssmoothiir tssmoothiir(x, y, array(), array()) 使用IIR滤波器对时序数据进行滤波操作。

本节介绍了云容器引擎的最佳实践：负载均衡。 集群内访问 假设我们在一个K8S的集群里面发布了两个应用，前端应用frontend和后端应用backend，前端应用要访问后端应用，那么有以下两种方式。 使用应用名进行访问 假设在K8S集群中发布的后端应用的名称为backend，它监听8080端口，那么在前端应用的容器中，可以直接使用后端应用的名称加端口 进行访问，K8S会自动转发到后端的某个容器实例。如下所示： 注意，上面的转发其实是四层转发，即如果后端应用是mysql类型的，可使用tcp://backend:8080进行访问，如果后端应用为web应用，可使用 另外，上面的访问方式要求前端应用和后端应用要在K8S集群的同一个命名空间内。如果二者不在同一个命名空间，比如后端应用在命名空间ns2中，那么前端应用应该使用 进行访问（即应用名后面要加上命名空间） 使用微服务架构自己的注册机制 如果业务开发者使用的微服务架构有注册机制，那么可以直接使用微服务框架的注册机制来做负载均衡。如下： 后端应用容器实例把自己的IP与端口注册到zookeeper或eureka，前端应用容器实例去注册中心获取后端应用的实例列表，然后前端应用的实例自己决定访问哪一个实例。 注册中心zookeeper/eureka集群可以部署在K8S集群内，也可以部署在集群外，这个需要业务方自己去部署。 集群外访问 假设我们要从浏览器上访问上面的前端应用，下面我们来介绍几种方法：

本节介绍了集群定时备份的用户指南。 操作场景：为增强集群容灾能力，提高集群可靠性。可对集群进行定时备份。 前提条件：用户需要在所操作的集群的插件市场中安装备份还原插件“ccsebackup”。 创建任务 定时备份提供按指定时间执行备份还原任务，配置操作大体与集群备份的相似。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群定时备份】,点击【创建备份】，弹出创建备份对话框。 名称、命名空间、资源和持久卷的配置与集群备份余下字段则与定时执行相关。 名称 说明 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理 时间点 必填，定时备份时执行的时间点，为整点 重复周期 必填，定时备份任务重复在一周内哪几天触发执行 说明 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理 点击“创建后”完成定时任务创建。 新建的定时备份任务会被展示在列表中，列表末端的操作列包含三个按钮： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。 任务详情 在定时任务列表中点击任务名称，进入定时任务详情页。在详情页面可以看到定时任务的名称、所备份的命名空间、资源类型、是否包含持久卷、任务创建时间、备份包的保留天数和备份任务的重复周期这些信息。此外在“相关备份任务”中展示了每次执行的任务信息。 任务信息包括了任务名称、大小，任务执行的状态，任务的执行时间等。 另外列表中还包含了一个操作列，操作包括还原、下载和删除，功能与集群备份的列表的一致。

本节介绍了用户指南： 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本节为您介绍如何绑定/解绑迁移任务目标机。 操作场景 迁移前，您需要绑定目标机。该目标机用来接收迁移源端的数据。 前提条件 完成迁移前的准备工作：包括账号注册认证、账户余额确认、迁移网络打通等。具体请见迁移前准备工作。 在源端安装Agent。具体请见在源端安装Agent。 完成目标机创建。具体请参见创建目标机。 目标机开放8000、8001端口。具体请参见检测目标机。 操作步骤 1. 进入“服务器迁移服务”，点击“主机管理”界面。 2. 可以看到未绑定的迁移源机处于“未绑定目标机”状态。 3. 点击迁移源机操作栏的“开始迁移”按钮，随后点击“前往”，系统将直接跳转至绑定界面。 4. 或在主机管理的“主机详情”页签中，单击“创建迁移任务”按钮来进行目标机的绑定操作。 5. 单击“选择云主机”按钮。 6. 单击“绑定”按钮，绑定目标机。 若云主机较多可选择“未绑定”复选框或通过搜索框搜索，选择刚刚创建的PE主机。 7. 在绑定过程中，系统会弹出提示框，点击“确定”按钮以完成绑定操作。 8. 绑定成功后，系统将自动跳转至相应页面，或您也可以手动访问“配置迁移任务”页面。

本小节主要介绍如何配置运维权限。 背景介绍 用户若需通过云堡垒机运维资源，还需配置访问控制策略，关联用户和资源，赋予用户相应资源访问控制权限。 操作步骤 访问控制策略配置说明 步骤 说明 配置策略基本信息 可配置文件传输权限、用户登录IP限制、用户登录时段限制、策略有效期等信息。 关联用户或用户组 关联用户：赋权给单个系统用户，该用户角色需同时有“主机运维”和“应用运维”模块权限，才能正常获取运维资源权限。 关联用户组：批量赋权给整个用户组成员。赋权后，新加入组的用户即刻拥有该访问控制权限。 关联资源账户或账户组 关联资源账户：授权访问单个资源账户。 关联账户组：授权访问整个账户组。授权后，新加入组的资源账户可立即被赋权用户访问。 配置说明 访问控制策略基本信息说明 参数 说明 策略名称 自定义的访问控制策略名称，系统内“策略名称”不能重复。 有效期 （可选）选择策略生效时间和策略的失效时间。 文件传输 （可选）在运维过程中，对资源中文件上传和下载权限。 勾选，允许对资源中文件上传或下载； 不勾选，禁止对资源中文件上传或下载。 更多选项 （可选）选择在运维过程中主机资源的“文件管理”、“RDP剪切板”、“显示水印”权限。 SSH和RDP协议对应的设备支持“文件管理”，VNC协议需通过应用发布才支持。Telnet协议对应的设备不支持“文件管理”。 登录时段限制 （可选）选择用户登录主机的时间段权限。 IP限制 （可选）输入限制/允许用户“来源IP”访问资源。 选择“黑名单”，配置相应IP或IP网段，即限制该IP或IP网段用户登录资源。 选择“白名单”，配置相应IP或IP网段，即仅允许该IP或IP网段用户登录资源。 IP地址缺省状态下，即不限制用户IP登录资源。

本文主要介绍 CCE发布Kubernetes 1.21版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.21版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.21版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.21 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 操作系统 CentOS Linux release 7.6 1.21版本开始CCE集群 Centos7.6节点docker存储模式使用overlayfs CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 社区1.21 ReleaseNotes CronJob现在已毕业到稳定状态，版本号变为batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段，以拒绝更改。此拒绝可保护集群免受可能无意中中断应用程序的更新。因为这些资源是不可变的，kubelet不会监视或轮询更改。这减少了kubeapiserver的负载，提高了可扩展性和性能。更多信息，请参见Immutable ConfigMaps。 优雅节点关闭现在已升级到测试状态。通过此更新，kubelet可以感知节点关闭，并可以优雅地终止该节点的Pod。在此更新之前，当节点关闭时，其Pod没有遵循预期的终止生命周期，这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统，并通知正在运行的Pod，使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。 PodSecurityPolicy废弃，详情请参见 BoundServiceAccountTokenVolume特性进入Beta，该特性能够提升服务账号（ServiceAccount）Token的安全性，改变了Pod挂载Token的方式，Kubernetes 1.21及以上版本的集群中会默认开启。

本文为您介绍如何Serverless集群中运行Job任务。 背景信息 在Serverless集群中，您可以按需按量创建Pod。当Pod结束后停止收费，无需为Job任务预留计算资源，从而摆脱集群计算力不足和扩容的烦扰，同时结合抢占式实例可以降低Job任务的计算成本。本文主要为您介绍如何通过SCE按需创建Job任务，来对圆周率Pi进行小数位的计算。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 确保kubectl工具已经连接目标集群。 操作步骤 登录控制台创建Job 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“任务”。 5. 点击创建任务。 6. 点击创建工作负载后，可在Job列表查看Job。 使用命令行创建Job 1. 创建job.yaml文件，内容如下： shell apiVersion: batch/v1 kind: Job metadata: name: pi spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl command: ["perl", "Mbignumbpi", "wle", "print bpi(10)"] restartPolicy: Never backoffLimit: 4 2. 执行命令创建该任务。 plaintext kubectl apply f job.yaml 3. 查看Job与Pod的运行状态，可以看到已经运算成功。 shell kubectl get job pi NAME COMPLETIONS DURATION AGE pi 1/1 2m23s 9m21s kubectl get pod NAME READY STATUS RESTARTS AGE pib89fv 0/1 Completed 0 9m37s 4. 查看运算结果。 登录到弹性容器实例的控制台，进入到上面Pod对应的ECI实例中，查看日志，可以看到对圆周率的小数点后9位的运算结果。

本文介绍了购买数据盘后，如何挂载到边缘虚拟机上。 准备条件 已经购买了边缘虚拟机。 为边缘虚拟机购买了云硬盘或本地盘，并在ECX控制台上完成了挂载。 下文以安装了Linux系统的边缘虚拟机为例，讲解如何在边缘虚拟机中挂载数据盘。 数据盘分区 为小于2 TB数据盘创建MBR分区 1. 通过控制台远程连接。 2. 查看实例上的数据盘信息。 运行以下命令： fdisk l 运行结果如下所示： 3. 依次运行以下命令，创建一个分区。 运行以下命令对数据盘进行分区： fdisk u /dev/vdb 输入p查看数据盘的分区情况。 说明 本示例中，数据盘没有分区。 输入n创建一个新分区。 输入p选择分区类型为主分区。 说明 创建一个单分区数据盘可以只创建主分区。如果要创建四个以上分区，您应该至少选择一次e（extended），创建至少一个扩展分区。 输入分区编号，按回车键。 说明 本示例中，仅创建一个分区，直接按回车键，采用默认值：1。 输入第一个可用的扇区编号，按回车键。 说明 本示例中，直接按回车键，采用默认值2048。 输入最后一个扇区编号，按回车键。 说明 本示例中，仅创建一个分区，直接按回车键，采用默认值。 输入p查看该数据盘的规划分区情况。 输入w开始分区，并在完成分区后退出。 运行结果如下所示： 4. 查看新分区信息。 运行以下命令： fdisk lu /dev/vdb 运行结果如下所示，如果出现/dev/vdb1的相关信息，表示新分区已创建完成。

本章节介绍了如何创建DRS实例，并将本地Oracle上的testinfo数据库迁移到云数据库GaussDB 实例中testdatabaseinfo数据库中。 迁移前检查 在创建任务前，需要针对迁移条件进行手工自检，以确保您的迁移任务更加顺畅。 在迁移前，您需要参考入云使用须知获取迁移相关说明。 创建迁移任务 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。选择目标实例所在的区域。 3. 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据复制”。 4. 左侧导航栏选择“实时同步管理”，单击“创建同步任务”。 5. 配置同步实例信息。 a) 选择区域，项目，填写任务名称。 b) 配置迁移任务的类型，选择目标实例和子网等。 c) 单击“开始创建”。 6. 配置源库及目标库信息。 a) 填写源库的IP、端口、用户、密码等信息。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 b) 填写目标库的账户和密码。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 c) 单击“下一步”，仔细阅读提示内容后，单击“同意，并继续”。 7. 设置同步。 a) 在源库选择需要迁移的数据库和表。本次实践中选择“ testinfo” 中的 “DATATYPELIST” 表。 b) 选择完成后，可以设置迁移后是否重新命名库名和表名。 c) 本次实践将表名重新命名为“ DATATYPELISTAfter ”。 注意重新命名时不要使用特殊符号，否则会导致迁移后执行SQL语句报错。 d) 确认重命名设置内容，单击“下一步”。 8. 高级设置。 本页面内容仅做确认，无法修改，确认完成后单击“下一步”。 9. 数据加工。 在该页面可以对迁移的表进行加工。包括选择迁移的列，重新命名迁移后的列名，本次实践将“ COL01CHARE ”重新命名为“ newline ”。 a) 选择需要加工的表。 b) 编辑“COL01CHARE”列。 c) 将“COL01CHARE”重新命名为“newline”，单击“确定”。 d) 单击“下一步”。 10. 预检查。 a) 所有配置完成后，进行预检查，确保迁移成功。 b) 对于未通过的项目，根据检查结果中的提示信息修复，修复完成后，单击“重新校验”，直到预检查通过率为100%。 c) 预检查全部通过后，单击“下一步”。 11. 任务确定。 a) 检查所有配置项是否正确。 b) 单击“启动任务”，仔细阅读提示后，勾选“我已阅读启动前须知”。 c) 单击“启动任务”，完成任务创建。 12. 任务创建成功。 任务创建成功后，返回任务列表查看创建的任务状态。

本节介绍如何添加自定义IPS特征。 CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 注意 自定义的特征建议具体化，避免太宽泛，否则可能会导致大部分流量匹配到该特征规则，影响流量转发性能。 约束条件 仅“专业版”支持自定义IPS特征。 最多支持添加500条特征。 自定义的IPS特征不受修改基础防御防护模式的影响。 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。 自定义IPS特征 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。 5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。 参数名称 参数说明 名称 需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过255个字符。 风险等级 设置特征的风险等级。 攻击类型 选择特征的攻击类型。 影响软件 选择受影响的软件。 操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 源端口 “源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 目的类型 选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 目的端口 “目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 动作 防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。 内容 特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。 6. 单击“确认”，完成添加IPS特征。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

本节介绍如何配置网关代理。 网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 内容安全代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

DTS如何迁移MySQL中的MyISAM表到天翼云RDS for MySQL？ 如果源库是天翼云RDS for MYSQL，则默认的存储引擎为InnoDB，不存在需要迁移MyISAM表的情况。 如果源库是他云MySQL产品或用户本地自建MySQL，此时如果源端存在待迁移的MyISAM表，根据目标端版本不同进行如下操作： 目标端是MySQL 5.7，请您先手工将源端的MyISAM存储引擎改为InnoDB再进行迁移。 目标端是MySQL 8.0，DTS会自动将存储引擎MyISAM转换成InnoDB。 如何将MySQL低版本数据迁移至MySQL8.0？ 当前DTS在实施MySQL的数据迁移时，支持从低版本迁移至高版本的8.0。具体说来就是： MySQL 5.6部分版本 > MySQL 8.0 MySQL 5.7 > MySQL 8.0 另外，由于DTS支持MySQL的表、索引、存储过程、视图、函数、事件、触发器等的迁移，所以在实施MySQL 5.6/5.7数据迁移至MySQL 8.0时，用户需要做一些额外的确认工作，具体如下： 待迁移对象中是否有被移除的函数？ 在MySQL8.0中，有一些原本存在于低版本中的内置函数已经被废除，具体可参照如下MySQL官方链接。 < 所以在迁移一些复合对象时，请确保源对象中没有引用一些已经被废除的函数。如果有，待DTS迁移完成之后，用户需自行修改目标端的已迁移对象，做一些适配。具体如下表： 名称 作用 是否已废除 [DECODE()](

本节主要介绍如何使用API挂起卷。 此操作用来挂起HBlock上云卷。 挂起卷适用于“多集群轮流写入同一上云卷”的场景，例如：A集群把卷挂起后，B集群立即原地还原并写入新数据；待B集群再次挂起，A集群恢复卷即可直接看到B集群的最新写入，实现“一写一挂、交替接管”。 注意 挂起后将立即冻结该卷的所有读写请求。请确保卷的所有数据已持久化，即如果卷已经被客户端挂载，需确保客户端的数据都已经同步到卷上。恢复前，依赖此卷的业务将不可用。 卷在挂起状态下，仅允许挂起、修改卷配置、修改上云配置、恢复、删除、查询。 卷处于Suspended、Suspending、SuspendFailed状态时，不支持读写。 挂起卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 仅卷处于Normal、Suspended、Suspending、SuspendFailed状态时，才可以执行此操作。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/suspend HTTP/1.1 Date: date ContentLength: length Host: ip:port Authorization:authorization { "force": force } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要挂起卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 force Boolean 是否强制挂起卷。 注意 强制挂起卷，会产生本地数据未被上传到云端的风险，请谨慎操作。 取值： true：强制挂起卷。 false：不强制挂起卷。 默认值为false。 否

本文将为您介绍为伸缩组更换伸缩配置的具体操作流程。 操作场景 您可以根据实际业务需求，为伸缩组更换伸缩配置，同时也为伸缩组内的弹性云主机更换规格。 注意 更换伸缩配置时，若伸缩组正在进行伸缩活动，当前伸缩活动中的实例依旧遵循更换前的配置，更换之后的伸缩配置将在下一次伸缩活动实例配置时生效。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在待更换伸缩配置的伸缩组所在行，单击“操作”列的“更多”，在下拉框中选择“更换伸缩配置”。 5. 在弹出的“更换伸缩配置”窗口中，勾选您需要更换的配置，并点击“确定”，即可为弹性伸缩组更换伸缩配置： 1）一个伸缩组可绑定多个伸缩配置，最大支持绑定10个。绑定多个伸缩配置时，按选择的顺序扩容。 2）伸缩配置选择的顺序，代表伸缩活动时扩容创建实例模板的优先级。伸缩优先按顺序靠前的有效伸缩配置创建实例，当优先级高的配置失效时，则使用次之的伸缩配置扩容实例，提升伸缩活动成功率。 注意 若伸缩配置列表中无合适的伸缩配置，您可以自行创建新的伸缩配置再参照本文进行更换，具体操作请参见

参数 说明 取值样例 计费模式 计费模式分为以下两种： 包年/包月 按需计费 按需计费 区域 不同区域的资源之间内网不互通。 请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 创建EIP时所选择的区域即为EIP的归属地。 公网带宽 选择按需计费时，需要选择公网带宽的计费方式。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。适用于流量较大或较稳定场景使用。 按流量计费：指定带宽上限，按实际使用的出公网流量计费，与使用时间无关。适用于流量小或流量波动较大的场景。 加入共享带宽：带宽可以加入多个弹性IP，带宽被多个弹性IP地址共用。适用于多业务流量错峰分布场景。 按带宽计费 带宽大小 带宽大小，单位Mbit/s。 100 带宽名称 带宽的名称。 bandwidth 企业项目 申请弹性IP时，可以将弹性IP加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 高级配置 单击下拉箭头，可配置弹性公网IP的高级参数，包括带宽名称、标签等。 标签 用于标识弹性IP地址。包括键和值。标签的命名规则请参考表。 l 键：Ipv4key1l 值：192.168.12.10 购买量 选择包年包月计费模式时，需要选择购买时长。 选择按需计费模式时，需要选择弹性IP数量。 1

创建HTTP转化MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击HTTP转化MCP服务页签。 4. 在HTTP转化MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的HTTP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布并保存。

本文主要介绍定位请求异常原因 背景信息 在外部请求激增、负载突变等场景下，极易出现应用性能问题，比如外部请求响应变慢、部分请求异常等。快速识别发现、定位处理应用性能问题成为越来越常见的日常运维场景。 APM作为云应用性能问题诊断服务，拥有强大的分析工具，通过拓扑图、调用链可视化地展现应用状态、调用过程、用户对应用的各种操作，快速定位问题和改善性能瓶颈。 例如，通过APM拓扑功能可视化服务间的调用关系，迅速找到有问题的实例；通过APM调用链功能下钻到服务内部，根据出现问题的方法调用链路，确认问题根因。 适用场景 应用日常巡检，监控应用时延、吞吐量、错误数等性能指标。 应用异常调用快速定位。 操作步骤 步骤 1 登录应用性能管理控制台。 步骤 2 在左侧导航栏选择“应用监控 > 指标”。 步骤 3 选择“接口调用”页签，进入监控页面，查看接口调用页面中各类指标，调用次数、错误次数、时延等信息。 图 查看接口调用 步骤 4 单击出现问题的url请求，进入调用链搜索界面。 图 接口详情 步骤 5 在调用链搜索界面，查看失败/高时延调用链。 图 查看调用链 步骤 6 单击url，获取调用链详细信息，确定问题根因。 图 调用链详情

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本节介绍划词工具的使用方法。 划词工具适用于在办公场景中，当用户在文档、网页等内容里看到需要进一步处理（如搜索、翻译、生成相关内容等）的文字时，通过划选文字，快速调用工具进行操作，提升信息处理效率，比如在阅读资料时划选陌生概念进行搜索，或者划选外文进行翻译等。 1、开启关闭划词工具：在设置划词工具页面，可以开启或者关闭划词工具。 方式一：划词操作 2、划词搜索 / 翻译 / 生成等，在文档、网页等界面中，用鼠标划选需要处理的文字内容。划选后，会弹出划词工具栏，根据需求点击 “搜索”“翻译”“生成” 等相应功能按钮，即可对划选文字进行对应操作，比如点击 “搜索”，会跳转到搜索页面展示相关结果；点击 “翻译”，会显示翻译后的文字内容。 2、划词生成内容插入：划选文字后，在划词工具栏选择 “生成” 相关功能，设置好生成内容的类型（如文案、总结等）。 3、生成内容后，可点击 “继续提问” 按钮，可以进入云智助手中继续对话。 方式二：系统右键菜单入口 1、唤起右键菜单；在弹出的右键菜单中，找到划词“问问AI”功能，点击。 2、在对话页面，文件列表中，出现对应选择的文件，进行解析完成后可引用文件进行提问。

本文为您介绍BOT防护功能说明，以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 配置内容安全网关代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”即可。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

本节介绍如何续订私有证书。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 在待续费证书的“操作”列单击“证书续订”。 4. 在跳转的页面中确认续订证书的信息，选择证书有效期。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请私有（内网）证书。

本小节介绍证书管理服务产品续订。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订操作步骤 1. 进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2. 在待续费证书的“操作”列单击“证书续订”。 3. 在跳转的页面中确认续订证书的信息，选择证书有效期。 4. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请SSL证书。

本文介绍开通媒体存储的具体步骤。 订购须知 天翼云门户目前仅支持媒体存储中标准型对象存储能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 存储区域：目前支持海南资源池2区。 开通流程 说明 预付费客户订购媒体存储，需具备已通过实名认证的天翼云账号且确保现金余额+可用信用额度+通用代金券不低于100元。 1. 登录天翼云官网。 2. 进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，勾选“我已阅读，理解并接受 《天翼云媒体存储系统服务协议》”，点击“立即开通”。 4. 在跳转的订单页面完成支付，订单状态为【已完成】，即成功开通媒体存储。 5. 访问媒体存储控制中心：进入媒体存储产品详情页，点选“管理控制台”。 6. 进入控制台页面后，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 注意 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 7. 区域新增完成后，点选【对象存储】菜单，即可开始使用对象存储服务。具体可参考：控制台使用指南对象存储。

桶策略和ACL的关系 桶ACL可以授权用户对桶及桶内对象进行读写和权限控制操作，而桶策略可以授权用户操作桶的更多高级设置。 对象ACL则是授权用户对桶内对象进行具体的读写操作。 如何选择？ 以下情况推荐使用桶策略： 不同的用户需要使用不同的权限时。 用户需要使用桶的高级配置功能时。 以下情况推荐使用ACL： 需要对单独对象进行额外的授权时。 需要开放某个对象给所有匿名用户访问时。 仅对桶或对象需要基础的读写权限时。 映射关系 桶ACL用于桶基本的读写权限设置，而桶策略用于授权更精细化的访问权限，包括资源与动作。桶ACL是基本的桶策略，可以被桶策略替代管理桶的访问权限。 桶策略动作的映射关系如下表： ACL权限 选项 对应桶策略高级设置中的动作 桶访问权限 读取权限 HeadBucket ListBucket ListBucketVersions ListBucketMultipartUploads 桶访问权限 写入权限 PutObject DeleteObject DeleteObjectVersion ACL访问权限 读取权限 GetBucketAcl ACL访问权限 写入权限 PutBucketAcl 对象ACL和桶策略的映射关系如下表： 对象ACL权限 选项 对应桶策略高级设置中的动作 对象访问权限 读取权限 GetObject GetObjectVersion ACL访问权限 读取权限 GetObjectAcl GetObjectVersionAcl ACL访问权限 写入权限 PutObjectAcl PutObjectVersionAcl 相关概念 账号/天翼云用户：指开通了天翼云的用户，该用户拥有对其资源的完全控制权限。 匿名用户：指未开通天翼云的用户或来自互联网的所有访客。

本章节主要介绍跨源连接相关问题中有关跨源连接运维报错的问题。 新建跨源连接，显示已激活，但使用时报communication link failure错误 原因 网络连通性问题，建议用户检查安全组选择是否正确，检查安全组网络（vpc）配置。 解决方法： 示列：创建RDS跨源，使用时报“communication link failure”错误。 a. 将原有跨源连接删除重新创建。再次创建时，必须确保所选“安全组”、“虚拟私有云”、“子网””和“目的地址”与RDS中的设置完全一致。 说明 请选择正确的“服务类型”，本示例中为“RDS”。 b.检查安全组网络（vpc）配置。 若按照步骤1重建跨源连接后还是报错“communication link failure”，则检查vpc配置。 跨源访问MRS HBase，连接超时，日志未打印错误 用户在跨源连接中没有添加集群主机信息，导致KRB认证失败，故连接超时，日志也未打印错误。建议配置主机信息后重试。 在“增强型跨源”页面，单击该连接“操作”列中的“修改主机信息”，在弹出的对话框中，填写主机信息。格式为：“IP 主机名/域名”，多条信息之间以换行分隔。 详细操作请参考《数据湖探索用户指南》中的“修改主机信息”章节。 DLI跨源连接报错找不到子网 跨源连接创建对等连接失败，报错信息如下： Failed to get subnet 2c2bd2ed72964c649b60ca25b5eee8fe. Response code : 404, message : {"code":"VPC.0202","message":"Query resource by id 2c2bd2ed72964c649b60ca25b5eee8fe fail.the subnet could not be found."} 创建跨源连接之前，需要确认是否勾选了“VPC Administrator”，如果只是勾选了全局的tenant administrator，会提示找不到子网。