安装 Apache 和 PHP 组件 yum install y httpd php phpmysql phpgd phpimap phpldap phpodbc php pear phpxml phpxmlrpc 启动 Apache 服务 service httpd start 设置开机默认启动 Apache sudo chkconfig httpd on 执行如下命令，创建 info.php 文件，验证php是否安装成功。 plaintext vim /var/www/html/info.php 执行如下命令，重启 httpd 服务。 plaintext service httpd restart 用可以访问公网的任何节点，访问 执行如下命令，卸载当前版本PHP，安装高版本PHP。 plaintext yum list installed grep php awk ‘{print $1}’ xargs yum remove y rpm Uvh rpm Uvh yum install y php56w.x8664 php56wcli.x8664 php56wcommon.x8664 php56wgd.x8664 php56wimap.x8664 php56wldap.x8664 php56w mysql.x8664 php56wpdo.x8664 php56wodbc.x8664 php56w process.x8664 php56wxml.x8664 php56wxmlrpc.x8664 执行如下命令，重启httpd服务。 plaintext systemctl restart httpd 执行如下命令，下载并解压WordPress软件包。 plaintext mkdir p /opt/WP cd /opt/WP wget tar xzvf latestzhCN.tar.gz 拷贝wordpress 目录到/var/www/html/路径下，执行如下命令。 plaintext cd /var/www/html cp rf /opt/WP/wordpress/ /var/www/html/ 进入控制中心，“数据库”>“关系数据库MySQL版”，创建MySQL数据库实例。 ECS1中安装mysql客户端，用于创建和访问MySQL数据库实例。 plaintext yum install mysql 连接MySQL数据库，创建数据库实例。 plaintext mysql h P u p create database charset utf8 ECS1中修改wordpress访问数据库配置。 plaintext cd /var/www/html/ vim wpconfig.php 修改配置内容参考下面配置： plaintext

本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 背景信息 VPC和本地IDC的网络配置如下： 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 您已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 配置IKEv1 VPN 协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP 操作步骤 1. 登录防火墙设备的命令行配置界面。 2. 配置isakmp策略。 crypto isakmp policy 1 authentication preshare encryption aes hash sha group 2 lifetime 86400 3. 配置预共享密钥。 crypto isakmp key aa123bb address 121.XX.XX.113 4. 配置IPsec安全协议。 crypto ipsec transformset ipsecpro64 espaes espshahmac mode tunnel 5. 配置ACL（访问控制列表），定义需要保护的数据流。 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255 如果本地网关设备配置了多网段，则需要分别针对多个网段添加ACL策略。 6. 配置IPsec策略。 crypto map ipsecpro64 10 ipsecisakmp set peer 121.XX.XX.113 set transformset ipsecpro64 set pfs group2 match address 100 7. 应用IPsec策略。 interface g0/0 crypto map ipsecpro64 8. 配置静态路由。 ip route 192.168.10.0 255.255.255.0 121.XX.XX.113 ip route 192.168.11.0 255.255.255.0 121.XX.XX.113 9. 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

本章主要介绍控制台权限管理 创建用户并授权使用软件开发生产线控制台 如果您需要对您所拥有的软件开发生产线控制台进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用软件开发生产线资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将软件开发生产线资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的软件开发生产线控制台权限，并结合实际需求进行选择，软件开发生产线支持的系统权限，请参见“《软件开发生产线产品介绍》>权限管理”。 示例流程 给用户授予软件开发生产线控制台权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予软件开发生产线控制台只读权限“DevCloud Console ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入上面1中创建的用户组。 3. 并验证权限 新创建的用户登录控制台，验证权限： 在“服务列表”中选择软件开发生产线，进入“总览”页面，单击基础版“立即购买”，尝试开通软件开发生产线，如果无法开通软件开发生产线（假设当前权限仅包含DevCloud Console ReadOnlyAccess），表示“DevCloud Console ReadOnlyAccess”已生效。 在“服务列表”中选择除软件开发生产线外（假设当前策略仅包含DevCloud Console ReadOnlyAccess）的任一服务，若提示权限不足，表示“DevCloud Console ReadOnlyAccess”已生效。

认证鉴权说明 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的header排序后的组合列表（排序的header） 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

子网路由表 您可以创建自定义路由表，在创建时指定路由表关联资源类型为子网。通过自定义路由表和子网进行绑定，可以实现更加精细化的网络流量管理。 子网路由表可以被删除，并且可以关联子网用于管理子网出方向流量。 网关路由表 您在创建自定义路由表时选择网关类型，并将网关路由表和IPv4网关绑定，该路由表被称为网关路由表。网关路由表用来管理进入IPv4网关（公网网关）的流量，可以将公网流量转发到VPC中的安全设备（例如云防火墙）做统一安全防护。 地域资源池： VPC路由表 当您创建虚拟私有云时，系统会自动为其生成一个VPC路由表。VPC路由表中路由规则为VPC级，创建后对VPC下的所有子网生效，VPC路由按照最长掩码匹配规则进行转发。如果您的子网关联了自定义路由表，子网路由的优先级高于VPC路由，子网路由按照最长掩码匹配规则进行转发。您可以在VPC路由表中添加、删除路由规则。 子网路由表 您可以创建自定义路由表。通过自定义路由表和子网进行绑定，可以实现更加精细化的网络流量管理。子网路由表可以被删除，并且可以关联子网用于管理子网出方向流量。 路由规则 路由表中的每一项是一条路由规则。路由规则由目标地址、下一跳类型、下一跳三部分组成。路由规则包括系统路由规则、自定义路由规则。 系统路由规则 对于可用区资源池，系统路由规则有两类： 系统默认创建，您不能修改系统路由规则。 目标网段 下一跳类型 下一跳 路由类型 描述 用途 VPC IPv4网段 或 子网 IPv4网段 vpc.routingtable.local local 系统 default routes with local 用于VPC内部互通 VPC IPv6网 或 子网 IPv6网段 vpc.routingtable.local local 系统 default routes with local 用于VPC内部互通 0.0.0.0/0 IPv4网关 IPv4网关实例 系统 default routes with igw 用于访问公网 100.95.0.1/32 vpc.routingtable.dnsgw DNS网关实例 系统 default routes withdnsgw 用于访问内网DNS fd00:ec2::250/128 vpc.routingtable.dnsgw DNS网关实例 系统 default routes withdnsgw 用于访问内网DNS 云间高速、云专线、VPN网关产品同步到VPC默认路由表的系统路由规则，您可通过云间高速、云专线、VPN网关产品侧修改来变更相应系统路由规则。 修改指向云间高速的系统路由规则：可以通过云间高速侧添加自定义路由条目来新增指向云间高速的系统路由，详见创建自定义路由条目； 修改指向云专线的系统路由规则：可以通过云专线网关侧修改客户侧子网来增删指向云专线的系统路由，详见创建和管理静态路由 修改指向VPN网关的系统路由规则：可以通过VPN网关侧修改对端网段/客户端地址池来增删指向VPN网关的系统路由，详见修改IPsec连接、修改SSL服务端 目标网段 下一跳类型 下一跳 路由类型 描述 用途 6.7.8.0/24 云间高速 31111116111111128486111111 系统 ticc 用于与云间高速互通 6.7.6.0/24 云专线 6K111111111117H 系统 用于通过云专线与线下IDC互通 5.0.0.0/8 VPN网关 06711115e111411197b731111111111 系统 System Route 用于通过VPN网关与线下IDC互通

前置工作 已通过天翼云生态专区订购 OpenClaw 应用 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行模型配置。 操作步骤 1.订购息壤模型推理服务 推荐使用息壤模型推理服务，本文以息壤模型推理服务为例，介绍配置步骤。 登录天翼云控制台，根据您的需求选择适合的模型，本文以DeepSeek模型为例，详细开通步骤可参考DeepSeek模型调用快捷版。 注意 为保障您的账户安全、避免额外损失，请妥善保管模型 API Key 等敏感数据。 OpenClaw 携带较多上下文会导致 Token 消耗偏高，建议您关注用量计费情况。 2.配置模型 2.1 进入OpenClaw应用管理 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 2.2 为OpenClaw配置模型 点击“应用配置”页签，进入OpenClaw应用配置页面。在“模型”模块中，您可以为OpenClaw配置所需模型。天翼云支持： 天翼云息壤：推荐购买天翼云息壤模型推理服务。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 说明 使用天翼云息壤作为模型来源时，请确保您已订购息壤模型推理服务。立即订购息壤模型推理服务 OpenClaw 运行时，可能导致Token消耗偏高，建议您提前了解息壤模型用量计费情况。 息壤为您提供了“模型体验”功能，具有免费Token额度，您可以选择服务组“模型体验”，即刻体验模型推理效果。 参数 填写说明 示例 模型来源 选择“天翼云息壤”。 模型 选择已订购的服务模型。 GLM5 服务组 选择需要使用的服务组。 test02 模型 App Key 根据服务组自动填充。 maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 GPUStack 应用：GPUStack是生态专区提供的开源托管式AI模型部署平台，您可以通过订购GPUStack应用和GPU云主机资源，部署专属模型推理服务，保障数据的安全与服务的稳定。 说明 使用GPUStack前，请确保已购买GPUStack应用资源并正确部署模型，详细请参考通过GPUStack部署模型推理平台。 为保障OpenClaw稳定运行，推荐使用“GPUStack单机版”、“≥4 张英伟达GPU卡的云主机”、“Qwen332B”模型部署GPUStack应用为OpenClaw提供模型推理能力。 参数 填写说明 示例 模型来源 选择“GPUStack”应用。 GPUStack实例 为OpenClaw提供模型服务的GPUStack实例，支持自动获取已订购的GPUStack实例，可选择： GPUStack 单机版实例 GPUStack 集群版Server实例 GPUStack单机版39sh 模型 选择的GPUStack实例中，已部署的模型列表，支持自动获取。 说明 可根据您的使用场景、GPU云主机资源选择合适的模型。GPUStack单机版推荐使用模型“Qwen332B”。 Qwen332B maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 自定义模型配置：您可以自行配置其他模型，如Kimi、MiniMax等。本文以息壤模型推理服务为例。 填写模型所需的参数说明见下表。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 参数 填写说明 示例 模型来源 选择“自定义模型” 模型Provider 模型供应商名称，可自定义命名。 XiRang 模型Base url 模型服务调用地址。 说明 即息壤模型服务生成的 baseurl ，默认为“ 模型Api 模型提供商的 API 协议格式。 openaicompletions 说明 息壤模型推理服务提供的模型默认均支持“openaicompletions”协议格式。 模型Api Key 模型服务的API Key。 12356789 说明 即息壤模型服务生成的App Key，可在服务接入模块查看。 模型ID 调用模型的ID。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型ID信息。 模型Name 调用模型的名称。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型名称信息。 maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 注意 如果您重复添加同一个模型提供商（Provider），后添加的API Key将自动覆盖之前设置的API Key，并以最新的配置为准。

操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“有状态”，在右上角单击“创建StatefulSet”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择有状态工作负载StatefulSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 实例数量：填写实例的数量，也就是Pod的数量。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：配置容器生命周期的特定操作。 健康检查：设置存活探针、就绪探针及启动探针。 环境变量：设置容器运行环境的变量。 数据存储：挂载本地存储或云存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 特权容器：选择是否启用特权容器。 镜像访问凭证：选择访问镜像仓库的凭证。 说明 有状态负载支持“动态挂载”云硬盘。动态挂载通过[[volumeClaimTemplates]](

存储挂载 1. 可将科研文件目录挂载至 Docker 容器，实现开发机与容器双向读写。例如docker run v /home/datasetassist0/:/data 镜像名称 端口暴露 1. 您可使用docker run p 开发机端口:容器端口，将容器端口暴露到开发机上，方便多个容器、开发机间网络通信。 2. 您可使用docker run p 8000:容器端口并开启开发机的对外端口功能，将容器中的服务暴露到互联网上定向访问。 Tips 1. 启用docker后开发机将自动提供docker和dockercompose命令，无需手动安装docker。 2. Docker数据存储在本地盘中，若创建本地盘时开启本地盘持久化，开发机重启docker数据不会丢失，可直接docker start原有容器。 3. 若需使用dockercompose，建议将项目（dockercompose.yml所在目录）存放在科研文件中，否则dockercompose up时容器无法读取项目中指定路径的文件。 常见问题 1. 提示Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 您使用sudo或root用户执行docker会缺失环境变量，可使用默认用户batchcom的bash执行docker命令即可正常使用。 您也可以手动配置环境变量修复，可在正常使用的环境下执行printenv grep i DOCKER，查看所要配置的环境变量。 2. 启动容器后输入nvidiasmi提示无命令 （1）确保启动开发机时有将GPU卡分配给docker。 （2）请先确认docker run时是否配置了—gpus参数，例如 gpus '"device'"$DOCKERNVIDIAVISIBLEDEVICES"'"' 或 –gpus all （3）若您的可用区是南京或中卫 ，可尝试将启动命令改为docker run runtimenvidia e "NVIDIAVISIBLEDEVICES${DockerGPUIDX}" 镜像名称 3. 提示Error response from daemon: authorization denied by plugin ehub.ctcdn.cn/bcops/opadockerauthzv2:0.1: request rejected by administrative policy 原因：由于安全管控，非白名单操作无法执行。若为启动容器时提示，请调整启动参数，去除需要系统高级权限相关的参数。

本文介绍如何配置eciprofile。 基于 Kubernetes 的 Mutating Webhook机制实现了eciprofile，支持为调度到虚拟节点上的 Pod 自动追加Annotations、Labels、Tolerations等，实现自动修改Pod 的规格、镜像缓存、安全组等配置，降低您对业务 Pod 配置的维护成本。本文介绍如何配置eciprofile。 功能介绍 对于ECI的一些功能特性，例如指定ECI实例规格，启用镜像缓存等，需要在Pod中追加Annotation或者Label来实现。更多信息，请参见ECI Pod Annotation。 对于上述情况，eciprofile实现了自动追加Annotation和Label的功能。在eciprofile中，您可以自定义selector，在selector中同时指定筛选条件和要追加的Annotation和Label，满足selector筛选条件的Pod会自动追加指定的Annotation和Label。 前提条件 1. 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 2. 已在插件市场安装插件eciprofile，且插件正常运行。 3. 确保kubectl工具已经连接目标集群。 selectors配置 创建Pod时，系统会按照selectors去匹配Pod，对于Label能够匹配上的Pod，会自动追加Annotation和Label，以便生效ECI的功能特性。 Selector 支持两种匹配方式： 1. 命名空间标签匹配。 2. Pod标签匹配。 可以分别通过 namespaceLabels 和 objectLabels 字段来指定匹配的 Namespace 和 Pod 标签。通过 effect 字段配置的 Annotation 和 Label 会自动追加到匹配的 Pod 上。 说明 要了解 Selector 的生效情况，可以通过查看 Pod 上的 k8s.ctyun.cn/matchedselector 标签来判断。 新增的 Selector 不会应用于存量 Pod，仅对新创建的 Pod 生效，若需要对现有工作负载生效，请重新部署工作负载。 在一个 Selector 中，建议您至少配置 namespaceLabels 和 objectLabels 中的一个。如果两者同时配置了，则Pod需要同时匹配两者；如果两者均未配置或者为空对象，且配置了 effect，则 effect 对所有 Pod 均生效。 1. 命名空间标签匹配。 假设想让集群中新创建的所有Pod都默认使用1C1G的规格，Selector配置模板如下： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gglobal spec: namespaceLabels: {}

本文介绍如何配置eciprofile。 基于 Kubernetes 的 Mutating Webhook机制实现了eciprofile，支持为调度到虚拟节点上的 Pod 自动追加Annotations、Labels、Tolerations等，实现自动修改Pod 的规格、镜像缓存、安全组等配置，降低您对业务 Pod 配置的维护成本。本文介绍如何配置eciprofile。 功能介绍 对于ECI的一些功能特性，例如指定ECI实例规格，启用镜像缓存等，需要在Pod中追加Annotation或者Label来实现。更多信息，请参见ECI Pod Annotation。 对于上述情况，eciprofile实现了自动追加Annotation和Label的功能。在eciprofile中，您可以自定义selector，在selector中同时指定筛选条件和要追加的Annotation和Label，满足selector筛选条件的Pod会自动追加指定的Annotation和Label。 前提条件 1. 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 2. 已在插件市场安装插件eciprofile，且插件正常运行。 3. 确保kubectl工具已经连接目标集群。 selectors配置 创建Pod时，系统会按照selectors去匹配Pod，对于Label能够匹配上的Pod，会自动追加Annotation和Label，以便生效ECI的功能特性。 Selector 支持两种匹配方式： 1. 命名空间标签匹配。 2. Pod标签匹配。 可以分别通过 namespaceLabels 和 objectLabels 字段来指定匹配的 Namespace 和 Pod 标签。通过 effect 字段配置的 Annotation 和 Label 会自动追加到匹配的 Pod 上。 说明 要了解 Selector 的生效情况，可以通过查看 Pod 上的 k8s.ctyun.cn/matchedselector 标签来判断。 新增的 Selector 不会应用于存量 Pod，仅对新创建的 Pod 生效，若需要对现有工作负载生效，请重新部署工作负载。 在一个 Selector 中，建议您至少配置 namespaceLabels 和 objectLabels 中的一个。如果两者同时配置了，则Pod需要同时匹配两者；如果两者均未配置或者为空对象，且配置了 effect，则 effect 对所有 Pod 均生效。 1. 命名空间标签匹配。 假设想让集群中新创建的所有Pod都默认使用1C1G的规格，Selector配置模板如下： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gglobal spec: namespaceLabels: {}

本节介绍NAT网关应用场景和使用限制。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。VPC内的实例出方向访问通过SNAT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 产品优势 避免业务公网暴露 VPC下的资源实例如果需要访问公网，通过NAT网关，实例无需单独绑定公网IP即可访问公网，从而避免将业务直接暴露在公网，从而实现安全防护作用。 降低成本 通过NAT网关，VPC下的资源实例可以共享弹性公网IP和带宽实例，无需单独为每个资源实例分配弹性公网IP和带宽实例，可以有效降低成本。 灵活部署，即开即用 NAT网关支持按需部署。SNAT或DNAT规则配置后，可实时生效。 应用场景 使用SNAT访问公网 当VPC内的资源实例需要访问公网，为节省弹性公网IP资源并且避免将资源实例绑定的公网IP直接暴露在公网上，您可以使用NAT网关的SNAT功能实现公网访问。VPC中一个子网对应一条SNAT规则，一条SNAT规则配置一个弹性公网IP。您可以通过创建SNAT规则，以实现共享弹性公网IP资源。 面向公网提供服务 当VPC内的资源实例需要面向公网提供服务时，可以使用NAT网关的DNAT功能。DNAT功能绑定弹性公网IP，可通过端口映射方式，NAT网关将以指定的协议和端口访问该弹性公网IP的请求转发到目标实例的指定端口上。也可通过IP映射方式，为资源实例配置一个弹性公网IP，任何访问该弹性公网IP的请求都将转发到目标虚拟机实例上。如果有多个实例需要提供外网访问服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。

本节主要介绍如何执行关闭/删除告警操作。 操作场景 本章节主要介绍如何执行关闭/删除告警操作。 关闭告警：确认告警已处理完成，问题已解决，可选择关闭告警。关闭告警后，在告警管理页面的告警列表中，对应告警的“状态”变为“关闭”，则表示关闭告警操作执行成功。 删除告警：当满足如下场景，用户可选择删除告警。仅用户自定义新增的告警或导入的告警支持删除操作，且告警删除后将无法恢复。 当用户确认该条告警是无效或无关告警。 确认是重复冗余告警。 确认是过期或历史告警，且无需保留告警数据，无需后续处理动作的告警。 约束与限制 仅用户自定义新增的告警 、导入的告警 、在态势感知（专业版）接入云服务日志自动转告警生成的告警支持删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面中，对告警进行关闭或删除操作。 操作 操作说明 关闭告警 1. 单击目标告警所在行“操作”列的“关闭”，弹出关闭告警确认框。 如果需要关闭多条告警，可以在告警列表中勾选需要关闭的告警，并单击列表上方“批量关闭”。 2. 在关闭确认框中，选择“关闭原因”并填写“关闭评论”后，单击“确认”。 3. 告警管理页面的告警列表中，对应告警的“状态”变为“关闭”，则表示关闭告警操作执行成功。 删除告警 1. 单击目标告警所在行“操作”列的“更多> 删除”，弹出删除告警确认框。 如果需要删除多条告警，可以在告警列表中勾选需要删除的告警，并单击列表上方“更多> 批量删除”。 2. 在弹出的确认框中，单击“确认”。 3. 告警删除后，告警管理页面的告警列表中将不再显示被删除的告警信息。 说明 告警删除后将无法恢复，请谨慎操作。

本章介绍如何通过统一身份认证服务对主机迁移服务进行权限管理。 如果您需要对天翼云上的主机迁移服务 （Server Migration Service），给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制对资源的访问范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SMS的其它功能。 SMS权限 默认情况下，天翼云账号（管理员账号拥有SMS迁移所需要的所有权限，使用管理员账号进行迁移时，不需要进行授权。）创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 SMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问SMS时，不需要切换区域。 如下表所示，包括了主机迁移服务 （SMS）的所有系统角色。由于天翼云各服务之间存在业务交互关系，主机迁移服务的角色依赖其他服务的角色实现功能。因此给用户主机迁移服务的角色时，需要同时授予依赖的角色，主机迁移服务的权限才能生效。 表 常用操作和系统策略的关系 操作 SMS FullAccess（全局项目） OBS OperateAccess（对象存储服务项目） ECS FullAccess VPC FullAccess 创建迁移任务 √ x √ √ 查看迁移进度 √ x x x IAM支持以下两种形式的策略： 系统策略：如果IAM用户需要拥有主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则采用自定义策略。

本章节主要介绍云搜索服务如何绑定企业项目。 每个集群必须设置其对应的企业项目，如果不需要此参数进行区分时，您可以将集群绑定至“default”项目。对于绑定企业项目特性上线前创建的集群，集群的企业项目将被绑定至“default”项目。您可以根据实际情况修改绑定企业项目。 绑定企业项目 在创建集群时，您可以在企业项目参数中绑定，详细操作步骤及参数解释请参见 创建Elasticsearch类型集群（安全模式）。 修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 1.在“云搜索服务”管理控制台，单击“集群管理”进入集群列表。 2.在集群列表中，单击集群名称进入集群“基本信息”页面。 3.在集群“基本信息”页面中，单击“企业项目”参数右侧的参数值，进入“资源管理”的“项目管理”页面。 4.在资源页签下，选择对应“区域”，然后在“服务”中选择“ES”服务。此时，资源列表将筛选出对应的ES集群。 详见下图： 筛选ES集群 5.勾选需要修改企业项目的集群，然后单击“迁出”。 6.在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 详见下图： 迁出资源 7.迁出完成后，在原始的项目管理页面中，无法再获取此集群信息。您可以通过两种方式查看此集群绑定的企业项目。 进入云搜索服务集群列表页面，此集群对应的“企业项目”列的值，将更换为修改后的企业项目。 详见下图： 查看集群对应的企业项目 在资源管理服务中，在左侧导航栏选择“项目管理”，在企业项目管理页面，单击“查看迁出迁入事件”，可获取到此集群的信息。 详见下图：查看资源

本文介绍跨域资源共享功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。配置自定义HTTP响应头后，当用户请求加速域名下的资源时，全站返回的响应消息会携带您配置的响应头，从而实现特定功能。跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 注意事项 若源站与客户控制台同时配置CORS跨域头，则全站加速的配置将覆盖源站CORS跨域头。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【头部修改】。 5. 在【HTTP响应头】下单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1、响应头取值配置为“ ”，可匹配所有来源。 2、响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3、响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4、响应头取值支持携带端口。

本节主要介绍手动切换副本集主备节点 副本集实例由主节点、备节点和隐藏节点组成。主节点和备节点对外提供访问地址，隐藏节点用于备份数据。当主节点故障时，系统会自动分配新的主节点保障高可用。同时，文档数据库服务提供主备切换功能，供用户在容灾演练等场景下自行切换主备节点。 使用须知 实例状态为正常、恢复检查中、转包周期中、修改安全组中时，允许切换主备节点。 主备节点切换可能会造成1分钟的服务闪断，切换前请确认客户端具备重连机制。 新添加的备节点，需要重新配置高可用连接地址，且为保证实例性能，会有12个小时的冻结期，冻结期内的备节点不参与主备切换。 主备同步的延迟时间过长时，主备切换耗时可能很久。因此，当主备同步的延迟时间超过300s时，控制台将不允许下发主备切换。关于副本集主备同步的延迟时间，请参见副本集中主备同步存在多长时间的延迟。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 5 在“基本信息”页面“节点信息”区域，单击“主备切换”。 主备切换 步骤 6 在弹出框中单击“是”，开始执行主备切换。 步骤 7 查看切换结果。 主备切换过程中，实例运行状态显示为“主备切换中”，切换完成后，实例状态显示为“正常”。 在实例“基本信息”页面的“节点信息”区域，可查看切换后的主备节点。 切换完成后，原先的主节点会变为备节点，如果需要重新连接副本集主节点，请重新连接。

download 图 Npcap not found 数据库安全审计支持双向审计吗？ 数据库安全审计支持双向审计。双向审计是对数据库的请求和响应都进行审计。 数据库安全审计默认使用双向审计。 数据库安全审计支持TLS连接的应用吗？ 不支持。TLS（Transport Layer Security）连接的应用是加密的，无法使用数据库安全审计功能。 数据库安全审计的审计数据可以保存多久？ 数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。 您可以在数据库安全审计的“总览”界面，通过选择数据库和审计周期，查看对应时间段的审计数据。 数据库实例通过数据库 IP+ 数据库端口计量。 如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。 例如：用户有2个数据库资产分别为IP1和IP2 ，IP1有一个数据库端口，则为1个数据库实例；IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 不支持修改规格。若要修改，请退订后重购。 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。 数据库安全审计发生异常，多长时间用户可以收到告警通知？ 在数据库安全审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 当您设置告警通知后，在数据库安全审计正常运行的情况下，当数据库安全审计实例资源（CPU、内存和磁盘）超过设置的告警阈值时，系统产生告警通知。用户约在5分钟内可以收到告警通知。

本章介绍如何使用主子账号体系管理子账号权限 概述 MSE注册配置中心已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本节为您接受如何为麒麟系统云主机配置图形化界面。 操作场景 为了提供纯净的弹性云主机系统给客户，麒麟系统云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 操作步骤 1. 配置网络，确保yum源可以正常使用。银河麒麟服务器操作系统在有外网的环境下可以直接使用yum源，而在无外网的环境下需要挂载镜像作为本地源。 2. 在字符界面执行以下命令，列出可安装的图形化包组 yum group list 3. 在字符界面执行yum groupinstall y "带GUI的服务器"命令，安装图形化桌面相关包，如下示例： yum groupinstall y "Server with UKUI GUI" 4. 在字符界面执行以下命令，设置系统默认的启动方式为graphical.target，即图形化启动 systemctl setdefault graphical.target 5. 在字符界面执行以下命令，重启系统使其生效 reboot 6. 重启系统后即可进入图形化界面 7. 输入用户名与密码，进入系统 安装图形化桌面相关包报错 操作背景 一般地，Linux 基础镜像不会默认安装图形化桌面相关包。银河麒麟高级服务器操作系统可按照本文档指导以上步骤自行安装。经用户反馈，有些条件下会有如下报错，可按以下方法进行解决。 经分析，银河麒麟高级服务器操作系统 V10 SP3（2303）使用以下路径的官方源。 < 存量基础镜像出于安全等因素所预装的 selinuxpolicy 相关包的版本是 3.14.276.se.29.01.ky10，但截至此篇 FAQ 发布时，官方源的最新版本已回退为 3.14.276.se.26.08.ky10，导致安装图形化桌面相关包时存在无法自动处理的依赖冲突问题。

本文为您介绍如何使用ECI加载DeepSeek R1。 DeepSeek R1介绍 DeepSeekR1 是一款强化学习（RL）驱动的推理模型，解决了模型中的重复性和可读性问题。在 RL 之前，DeepSeekR1 引入了冷启动数据，进一步优化了推理性能。它在数学、代码和推理任务中与 OpenAIo1 表现相当，并且通过精心设计的训练方法，提升了整体效果。 使用限制 模型 推荐规格(云主机) 支持资源池 DeepSeekR1:1.5b 内存：4GB起 所有ECI已上线资源池 DeepSeekR1:7b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:8b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:14b 内存：32GB起 所有ECI已上线资源池 DeepSeekR1:32b 内存：64GB起 起临时存储空间：100GB起 所有ECI已上线资源池 DeepSeekR1:70b 内存：128GB起 临时存储空间：150GB起 所有ECI已上线资源池 ECI弹性容器实例接入DeepSeek R1最佳实践 1. 订购弹性容器实例，以最小模型1.5b为例。 2. 选择开源容器镜像(opensource/openwebuideepseekr1) 。 3. 打开容器高级设置，自定义环境变量。 其中PORT代表Open WebUI服务暴露的端口，ENABLEOPENAIAPI代表是否启用OpenAI的API，RAGEMBEDDINGENGINE代表RAG（Retrieval Augmented Generation：检索增强生成）使用的嵌入式引擎。 说明 国内环境建议按照示例配置。 4. 点击下一步，绑定弹性IP。支持自动创建或绑定已有EIP。 5. 确认订单，等待容器实例Running。 6. 检查端口连通性。 7. 安全组放开指定端口(PORT环境变量)。 8. 通过浏览器访问Open WebUI，如 EIP:PORT，点击Get started。 9. 创建管理员帐号/密码登入。 10. 进入主界面。 11. 模型验证。

本节提供使用Flink运行wordcount作业的操作指导。 前提条件 翼MR集群中已安装Flink组件。 集群正常运行，已安装集群客户端，例如安装目录为“/user/local/flink”。以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Flink客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/user/local/flink”。 plaintext cd /user/local/flink 4. 执行如下命令初始化环境变量。 plaintext source bigdataenv 5. 集群默认开启Kerberos认证，需要将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 同时，应配置安全认证。在“/usr/local/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 plaintext security.kerberos.login.useticketcache: true security.kerberos.login.keytab: security.kerberos.login.principal: user security.kerberossecurity.login.contexts: Client,KafkaClient 例如 plaintext security.kerberos.login.keytab: /etc/security/keytabs/hdfs.keytab security.kerberos.login.principal: hdfs 6. 运行wordcount作业。 1. 首先启动Flink集群。 plaintext /usr/local/flink/bin/startcluster.sh 2. Session模式：执行如下命令在session中提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext yarnsession.sh nm "sessionname" detachedflink run /usr/local/flink/examples/streaming/WordCount.jar 3. PerJob模式：执行如下命令以PerJob方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink run t yarnperjob detached /usr/local/flink/examples/streaming/WordCount.jar 4. Application模式：执行如下命令以Application方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink runapplication t yarnapplication/usr/local/flink/examples/streaming/WordCount.jar

本章介绍如何使用主子账号体系管理子账号权限。 概述 分布式消息服务RocketMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制（注意：一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中）。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

为什么对等连接创建完成后不能互通？ 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云服务器是否开放了安全组规则，弹性云服务器的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、对等连接等路由的目的地址是否已存在。 7. 对等连接的路由VPN路由的目的地址有重叠，此时路由有可能失效。 对等连接的配额是多少？ 通过对等连接连通同一个区域VPC时，一个租户在一个区域内的对等连接默认配额是50个。 同帐户的VPC对等连接：在一个区域内，您可以创建50个VPC对等连接。 跨账户的VPC对等连接：在一个区域内，已接受的VPC对等连接会占用双方帐户内的配额。处于待接受状的VPC对等连接占用发起方的配额，不占用接受方的配额。 您可以在配额范围内创建多个帐户下的VPC对等连接，比如帐号A和帐号B的VPC对等连接，帐号A和帐号C的VPC对等连接，帐号A和帐号D的VPC对等连接等，不受帐号数量限制。 同时拥有自定义路由和弹性公网IP的访问外网的优先级是什么？ 弹性IP的优先级高于VPC路由表中的自定义路由。示例如下： 假如VPC路由表中存在一条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关。 如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于VPC路由表中的自定义路由，此时会导致流量转发至EIP出公网，无法抵达NAT网关。

本文主要介绍搭建可自动伸缩的web服务操作步骤。 请根据您的业务架构评估业务模块，并执行以下操作实现指定业务模块的自动扩缩容： 步骤一：使用私有镜像创建ECS实例 步骤二：创建并启用伸缩组 步骤三：设置自动伸缩策略 步骤一：使用私有镜像创建ECS实例 创建指定数量的ECS实例，用于添加到伸缩组，满足业务模块的日常业务要求。 1.登录ECS管理控制台。 2.在左侧导航栏，选择 “计算” > 弹性云主机。 3.单击 “创建弹性云主机”。 4.选择“计费模式”：“包年/包月”或“按需付费”。 5.配选择区域、可用区、规格。 6.镜像选择已创建好的“私有镜像”。 7.下一步网络配置：选择规划的VPC 及子网、安全组，设置密码等。 请根据需要配置其它信息，详细信息请参见创建弹性云主机。 步骤二：创建并启用伸缩组 为需要弹性扩缩容的业务模块创建伸缩组，并为伸缩配置选择Web应用实例的自定义镜像，确保自动创建出的ECS实例符合Web应用的要求。 1.登录弹性伸缩控制台。 2.选择控制中心，选择区域。 3.创建一个弹性伸缩组。 可用区依据业务诉求选择可用区。 最小实例数设置为2。 期望实例数设置为3。 最大实例数设置为5。 网络选择规划的VPC网段。 负载均衡选择不使用。 实例移除策略设置为释放模式。 弹性IP选择释放。 请根据需要配置其它信息，详细信息请参见创建伸缩组。 4.点击下一步，创建伸缩配置。 5.创建一个伸缩配置。 名称可以自定义。 配置模板选择为使用已有主机规格为模板。 登录方式设置为密码。 密码设置为xxx。 请根据需要配置其它信息，详细信息请参见创建伸缩配置。 6.点击立即创建

信息的获取 云网平台获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程： 1. 待签字符串：使用规范请求和其他信息创建待签字符串。 2. 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥。 3. 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4. 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为header中的一部分，并且必须是待签名header里的一个。需要进行签名算法的header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序。 如果你加入一个ccad的header，同时这个header也要是进行签名，则待签名的header组合： ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n

入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

本页介绍了在关系数据库MySQL版产品修改数据库端口的方法。 操作场景 关系数据库MySQL版服务支持修改主实例、只读实例、数据库代理实例的数据库端口，对于主备实例或者一主两备实例，修改主节点的数据库端口，该实例下备节点的数据库端口会被同步修改。 说明 仅架构升级后的只读实例支持修改端口。 存量只读实例不支持修改端口，您可以新建一个只读实例进行修改。 约束条件 端口修改中，不可进行以下操作： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 主实例、只读实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，单击数据库端口 参数右侧的修改端口。 5. 在对话框中，输入新端口，单击检测。 6. 单击确定 即可修改， 您可以在实例基本信息页面，查看修改结果。 数据库代理实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 二级目录选择数据库代理，并选择对应需要修改端口的代理页签。 5. 找到连接地址 栏的端口信息，并点击修改端口。 6. 在对话框中，输入新端口，单击检测。 7. 单击确定 即可修改，您可以在连接地址栏端口处，查看修改结果。 注意 MySQL数据库端口设置范围有一定的限制，具体以控制台为准。 修改主实例数据库端口，对应的备节点均会被修改且重启。 修改端口的过程，需要1~5分钟左右。 修改数据库端口后，需要在安全组设置中放开新修改端口，以免影响使用。

本页介绍了文档数据库服务的产品定义。 文档数据库服务（Document Database Service，后文简称：CTDDS、DDS）是一款基于云计算平台的在线非关系型数据库服务，具有即开即用、稳定可靠、安全运行、弹性伸缩等特点。其完全兼容MongoDB协议，在容灾、备份、恢复、监控、告警等方面提供全套数据库解决方案。可降低管理维护成本，使用户能专注于应用开发和业务发展。文档数据库服务有如下基础特性： 文档数据库服务是一种非关系型数据库，它采用文档型的方式来存储数据，每个文档都是一个JSON格式的数据结构，可以包含任意数量和类型的字段。这种方式比传统的关系型数据库更加灵活，可以适应不同类型和规模的数据。 提供高可用性、高性能和可扩展性，支持从单节点部署到分布式集群的不同场景。它采用了分布式的数据存储和查询方式，可以水平扩展集群规模，提高系统的负载能力和容错性。同时，文档数据库服务还支持数据复制和故障恢复，确保数据的可靠性和持久性。 在查询方面提供了多种方式，包括基本的CRUD操作、聚合框架、文本搜索、地理空间查询等。这些功能可以满足各种不同的查询需求，使得文档数据库服务在数据分析和处理领域得到广泛应用。 文档数据库服务提供多项性能监控指标及告警功能，以及数据库性能可视化管理。 文档数据库服务支持灵活的部署架构，提供单节点、副本集（支持三节点、五节点、七节点共三种副本集类型）、分片集群三种实例类型，副本集实例类型还提供只读从节点的扩展服务，能够满足不同的业务场景。 单节点实例：单节点适用于开发、测试及其他非企业核心数据存储的场景。 副本集实例：副本集的高可用架构，提供了数据冗余与高可靠性的节点集合。副本集之间数据自动同步，保证数据的高可靠性。并支持自动容灾切换。 集群实例：分片集群架构，提供了副本集具备的数据冗余与高可靠的特性，同时拥有数据分片存储与处理能力，轻松适用于高并发场景。

本文介绍如何使用天翼云GPU云主机构建Blender云端渲染服务，完成简单的云渲染任务。 背景信息 Blender 是一款永久开源免费的 3D 创作软件，支持整个 3D 创作流程：建模、雕刻、骨骼装配、动画、模拟、实时渲染、合成和运动跟踪，甚至可用作视频编辑及游戏创建。 实例环境如下表所示。 实例类型 g7.2xlarge.4 所在地域 华北2 系统盘 50GB 数据盘 50GB 操作系统 Windows2019DataCentervGPU 公网弹性IP带宽 5Mbps 操作步骤 1. 在天翼云申请GPU云主机实例。本文创建了一台规格为g7.2xlarge.4的图形加速基础型GPU云主机，选择Windows2019DataCentervGPU，配置超高IO系统盘及数据盘各50GB，添加网卡，选择VPC及Subnet，添加默认安全组，购买EIP，创建用户名、密码，购买成功后开机使用。 注意 如果使用自己的镜像没有GRID图形驱动，将无法使用渲染OpenGL功能，请安装驱动，详情请参见 2. 安装Blender，在官网下载并安装，下载地址：< 3.1.2版本，并解压缩到指定目录下 3. 配置环境变量，右击此电脑，单击属性，在弹出的弹窗中选择高级，点击环境变量进行配置。 4. 重启云主机，开机后运行Windows+R键，输入cmd。 5. 在命令行输入blender，如果能够启动blender页面，证明已经成功。 6. 渲染参数设定，建议直接在blender里面设定好所有的参数，命令行只是确定渲染的帧数。 7. 建议将工程文件（blend）保存在容易记的位置，这里以C:test.blend为例，输入 blender b "C:test.blend" o frame

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

迁移完成后，目的端主机已启动并有新数据写入，再次进行源端增量数据同步，目的端新增数据会不会被源端数据覆盖？ 迁移完成后，目的端主机已启动并有新数据写入，再次执行同步操作，除了Linux文件级迁移源端Agent的解压路径：.../SMSAgent/agent/config/gproperty.cfg 中的 rsync.exclude.dir参数排除的目录和不迁移的分区不会被覆盖，其余目的端主机目录新产生的数据会被源端主机对应目录数据覆盖，请慎重操作。 如需执行同步操作，建议在执行前，对目的端主机进行数据备份。 说明 不建议删除rsync.exclude.dir参数原有值。 目的端服务器的要求 使用主机迁移服务将源端服务器数据迁移上云时，需要在天翼云侧准备一台目的端服务器来接收源端服务器的数据。 主机迁移服务支持迁移到弹性云主机、专属云。 目的端服务器的要求 1. 目的端服务器的操作系统类型需要和源端的OS类型保持一致。迁移完成后服务器系统类型与镜像类型不一致，会造成名字冲突及其他问题。 2. Windows操作系统的目的端服务器“规格”中的“内存”大小要不小于2 GB。 3. 目的端服务器的固件类型和源端服务器的固件类型要保持一致。否则，迁移时会提示“您选择的目的端与源端固件类型（UEFI/BIOS启动）不一致或者源端固件类型未知”。 4. 目的端服务器的磁盘要求： 1. 目的端服务器的磁盘个数不小于源端服务器磁盘个数，否则，迁移时会提示“目的端磁盘个数不够”。 2. 目的端服务器每块磁盘的大小要不小于源端服务器对应磁盘的“推荐规格”大小，否则，迁移时会提示“您选择目的端的某些磁盘比源端对应要迁移磁盘小，不能满足要求，请重新选择”。 5. 目的端服务器所属安全组需要开放端口： 1. Windows系统需要开放TCP的8899端口、8900端口和22端口。 2. Linux系统文件级迁移开放22端口。 3. 以上端口，建议只对源端服务器开放。 4. 防火墙开放端口与操作系统开放端口保持一致。

此章节为您介绍如何新增数据库资产。 支持的数据库 支持的数据库类型及版本请参见使用限制。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。 参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则；不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他等。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保存行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。