replace it with your exactly ports: containerPort: 80 如何为集群绑定弹性IP？ 可以通过申请弹性IP并将弹性IP绑定到集群上。 点击导航栏【资源管理】>【集群管理】，进入集群列表>点击集群名称，进入集群详情页>点击【API Server 公网IP】旁的绑定，选择已有IP，完成绑定操作。 用户也可以在创建集群的步骤中选择已有的弹性IP进行绑定。 说明 ：弹性IP需要在控制台【网络】>【弹性公网IP】处申请，具体操作请见【购买弹性IP】。 创建容器应用有哪几种方式？有什么区别？ 目前支持两种部署方式，用户可基于自身需求选择： 通过天翼云官方镜像：基于天翼云官方平台上的镜像创建容器应用，无需上传私有镜像。 上传并选择私有镜像：您可基于业务需求制作私有 docker 镜像，上传到容器镜像服务。基于该私有镜像创建容器应用。 用户如何自定义镜像？ 用户可以通过Dockerfile进行镜像制作，用户需要首先在本地安装Docker引擎，所有通过天翼云云容器引擎创建或添加的节点，系统都会自动为节点安装 1.11.2 版本的 Docker，用户也可登陆节点机器进行镜像制作，无需手动安装。若需要了解更多 Docker基础知识，请参阅 本节以Nginx镜像为例，修改官方Nginx镜像的欢迎页面，定制一个新的镜像，将欢迎页面改为“Hello, CCE!”。具体的操作步骤如下： 前往资源池控制台，点击【计算】>【弹性云主机】，获取集群节点的用户密码，使用 root 用户登录 Docker 所在的云主机。用户也可自行登陆到已安装好Docker的本地环境上进行制作； 创建一个文件夹，用于存放镜像，进入该文件夹，再通过touch命令创建一个名为 Dockerfile 的文件； mkdir mynginx cd mynginx touch Dockerfile 使用vi命令编辑 Dockerfile； vi Dockerfile 文件内容如下： FROM nginx RUN echo ' Hello,CCE! ' > /usr/share/nginx/html/index.html 其中： FROM 语句：表示使用nginx镜像作为基础； RUN 语句：表示执行echo命令，在显示器中显示一段Hello,CCE的文字； 完成编写后，使用wq！命令保存文件并退出。 构建 Docker 镜像，使用docker build 构建镜像； docker build t nginx:v3 . 其中： t 为镜像命名 . 代表本次执行的上下文路径 查看镜像。 执行以下命令，查看制作好的Docker镜像： docker images

云备份服务协议 天翼云云备份服务协议

服务版本 适用场景说明 单机版 适用于资源在天翼云上的01Gbps的IP防护场景。 集群版 适用于资源在天翼云上的110Gbps，需要集群高可用的防护场景。

天翼云为您提供产品服务协议，请您点击查看。 [](

本文介绍使用天翼云SDWAN产品时常见的操作类问题。 天翼云SDWAN产品在使用时有什么使用条件及接入要求？ 在开通天翼云SDWAN服务之前，请您确保本地业务具备互联网访问能力；请提前做好企业总部/分支网络与云上各资源池网络之间的IP地址规划，尽量保证各站点内网IP地址没有重叠； 如果您的业务网段IP地址冲突无法避免，您也可以正常将设备接入天翼云SDWAN。需注意，在网段有冲突的情况下，在配置组网或者入云时，请提前做好NAT地址转换，NAT转换操作详见： 有自服务的操作界面么？ 天翼云SDWAN资源通过中国电信天翼云提供的统一服务界面进行管理。天翼云SDWAN产品的控制台地址为 /sdwan/dashbord。 天翼云SDWAN产品无资源池差别，您可以选择从任意资源池进入到该控制页面。 开通天翼云SDWAN服务后，控制台会生成对应的实例资源，您可以通过页面操作对资源进行不同的配置下发，比如：创建互联关系、配置路由规则、创建访问控制、ACL等。 天翼云SDWAN如何报障？ 天翼云SDWAN售后服务由天翼云SDWAN售后团队负责。客户报障有两种途径：1、拨打天翼云400售后服务电话，2、通过客户经理报障。 客户拨打热线电话（4008109889）报障： 1. 当客户通过电话报障时，天翼云400客服受理一线问题，填写工单，并将技术问题反馈到SDWAN运维团队客服； 2. SDWAN运维团队发起内部流程，处理问题； 3. 运维处理完客户故障，通知客户验收，结束报障处理。 通过客户经理报障： 1. 当客户联系客户经理时，客户经理也可直接联系天翼云SDWAN运维人员，SDWAN运维团队自行发起内部运维流程，处理客户问题； 2. SDWAN运维人员处理完客户故障后，反馈给客户经理处理结果。客户验收后，结束报障。

天翼云为您提供DDoS基础防护服务协议说明，请您点击查看。 天翼云DDoS基础防护服务协议

云服务（包含OBS、IMS、EVS、SFS、DDS和RDS）使用KMS提供的信封加密方式来保护用户的数据。 信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 用户通过云服务加密数据时，需要指定一个KMS用户主密钥。云服务会生成一个明文的数据加密密钥和一个密文的数据加密密钥，其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。云服务使用明文的数据加密密钥来加密数据，然后将加密后的密文数据与密文的数据加密密钥一同存储在云服务中。 用户通过云服务下载数据时，云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密，并使用解密得到的明文的数据加密密钥来解密密文数据，然后将解密后的明文数据提供给用户下载。

本页介绍天翼云TeleDB数据库冷热数据分离加密。 创建透明加密算法 teledb c mlsadmin Password for user mlsadmin: You are now connected to database "teledb" as user "mlsadmin". teledb> select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES192', '1234567adbdef'); mlstransparentcryptcreatealgorithm 1 (1 row) 第一个参数为透明加密算法：AES128，AES192，AES256，SM4。 第二个参数为透明加密算法密码，可以自行设置。 创建带加密算法的USER MAPPING teledb CREATE USER MAPPING FOR XXX SERVER minionforeignserver OPTIONS (user 'XXX', algoid ‘X’, accesskey 'XXXXXXXXXXXXX', secretkey 'XXXXXXXXXX'); CREATE USER MAPPING User：对象存储服务用户名（如有）。 algoid：创建的透明加密算法id，如上面的1。 Accesskey：对象存储服务accesskey。 Secretkey：对象存储服务secretkey。 创建成功后可以查看系统表pgusermapping，ak和sk是否已经加密，是否带有algoid。 teledb select from pgusermapping; umuser umserver umoptions ++ 10 16583 {userXXX,algoid1,accesskeyXXXXXXXXXXXXX,secretkeyXXXXXXXXXX} (1 row)

本文主要介绍服务协议。 云数据库TaurusDB产品服务协议，详情请参见这里。

天翼云手机隐私政策生效，详情请参见这里。

客户端TLS版本MySQL不一致导致SSL连接失败 场景描述 某业务客户端连接到云上TaurusDB失败，但是连接到自建环境或其他环境可以成功，均使用了SSL连接。 原因分析 排查步骤： 1. 查看TaurusDB的错误日志，观察到如下报错： 20210709T10:30:58.476586+08:00 212539 [Warning] SSL errno: 337678594, SSL errmsg: error:14209102:SSL routines:tlsearlypostprocessclienthello:unsupported protocol20210709T10:30:58.476647+08:00 212539 [Note] Bad handshake20210709T10:32:43.535738+08:00 212631 [Warning] SSL errno: 337678594, SSL errmsg: error:14209102:SSL routines:tlsearlypostprocessclienthello:unsupported protocol20210709T10:32:43.535787+08:00 212631 [Note] Bad handshake20210709T10:50:03.401100+08:00 213499 [Warning] SSL errno: 337678594, SSL errmsg: error:14209102:SSL routines:tlsearlypostprocessclienthello:unsupported protocol20210709T10:50:03.401161+08:00 213499 [Note] Bad handshake20210709T10:53:44.458404+08:00 213688 [Warning] SSL errno: 337678594, SSL errmsg: error:14209102:SSL routines:tlsearlypostprocessclienthello:unsupported protocol20210709T10:53:44.458475+08:00 213688 [Note] Bad handshake 2. 从报错信息unsupported protocol可以看出，很可能和TLS版本相关，使用如下命令，分别查看TaurusDB和自建MySQL的TLS版本。 show variables like '%tlsversion%'; 发现TaurusDB为TLS v1.2版本，自建MySQL为TLS v1.1版本，存在差异。进一步确认客户端TLS版本，与自建MySQL一致，因此出现连接自建MySQL成功，连接云上TaurusDB失败。

天翼云WEB应用防火墙(独享版)服务协议

天翼云为您提供虚拟私有云产品服务协议,请您点击查看。 虚拟私有云服务协议

安全策略 支持的TLS版本类型 使用的加密套件列表 tls10 TLS 1.2 TLS 1.1 TLS 1.0 ECDHERSAAES256GCMSHA384:ECDHERSAAES128GCMSHA256:ECDHEECDSAAES256GCMSHA384:ECDHEECDSAAES128GCMSHA256:AES128GCMSHA256:AES256GCMSHA384:ECDHEECDSAAES128SHA256:ECDHERSAAES128SHA256:AES128SHA256:AES256SHA256:ECDHEECDSAAES256SHA384:ECDHERSAAES256SHA384:ECDHEECDSAAES128SHA:ECDHERSAAES128SHA:ECDHERSAAES256SHA:ECDHEECDSAAES256SHA:AES128SHA:AES256SHA tls11 TLS 1.2 TLS 1.1 ECDHERSAAES256GCMSHA384:ECDHERSAAES128GCMSHA256:ECDHEECDSAAES256GCMSHA384:ECDHEECDSAAES128GCMSHA256:AES128GCMSHA256:AES256GCMSHA384:ECDHEECDSAAES128SHA256:ECDHERSAAES128SHA256:AES128SHA256:AES256SHA256:ECDHEECDSAAES256SHA384:ECDHERSAAES256SHA384:ECDHEECDSAAES128SHA:ECDHERSAAES128SHA:ECDHERSAAES256SHA:ECDHEECDSAAES256SHA:AES128SHA:AES256SHA tls12 TLS 1.2 ECDHERSAAES256GCMSHA384:ECDHERSAAES128GCMSHA256:ECDHEECDSAAES256GCMSHA384:ECDHEECDSAAES128GCMSHA256:AES128GCMSHA256:AES256GCMSHA384:ECDHEECDSAAES128SHA256:ECDHERSAAES128SHA256:AES128SHA256:AES256SHA256:ECDHEECDSAAES256SHA384:ECDHERSAAES256SHA384:ECDHEECDSAAES128SHA:ECDHERSAAES128SHA:ECDHERSAAES256SHA:ECDHEECDSAAES256SHA:AES128SHA:AES256SHA tls12strict TLS 1.2 ECDHERSAAES256GCMSHA384:ECDHERSAAES128GCMSHA256:ECDHEECDSAAES256GCMSHA384:ECDHEECDSAAES128GCMSHA256:AES128GCMSHA256:AES256GCMSHA384:ECDHEECDSAAES128SHA256:ECDHERSAAES128SHA256:AES128SHA256:AES256SHA256:ECDHEECDSAAES256SHA384:ECDHERSAAES256SHA384

本文为您介绍通过KMS实现云硬盘、对象存储、弹性文件等云服务的数据加密最佳实践。 密钥管理系统与天翼云产品无缝集成，在云产品中，仅需要选择在KMS中托管的主密钥，即可轻松实现对云产品数据的服务端加密。 云产品通过集成KMS实现对云上数据的加密存储，密钥由KMS托管，满足监管合规要求。整个服务端加密过程对用户透明无感知，只需要开启加密功能并指定密钥即可。同时用户无须自定构建和维护密钥管理基础设施，节省开发成本。 用户可以选择KMS为云产品自动创建的默认主密钥加密，也可以选择通过KMS创建的用户主密钥。其中默认密钥不收取密钥托管费用。 场景示意图 云产品开启服务端加密流程 加密云硬盘 在创建云硬盘页面，选择开启“磁盘加密”，并在密钥列表中选择加密密钥。 加密对象存储 在创建对象存储Bucket页面，选择开启“服务端加密”，并在密钥列表中选择加密密钥。 加密弹性文件 在创建文件系统页面，选择开启KMS加密，并在密钥列表中选择加密密钥。

尊敬的天翼云用户： 您好！ 天翼云于2025年1月4日更新《天翼云Web应用防火墙（边缘云版）服务等级协议》，新版协议将于2026年1月19日正式生效。请您尽快阅读更新后的协议内容：《天翼云Web应用防火墙（边缘云版）服务等级协议》，此次更新内容主要包括：第二条服务承诺2.2.3，您可以点击协议链接访问最新协议。 您在本次更新生效后继续使用服务将被视为您接受修改后的条款。如您不同意遵守新服务等级协议，您可在2026年1月19日前退订并停止使用天翼云产品及服务。 感谢您对天翼云一直以来的支持，如有任何问题可随时通过服务热线（4008109889）与我们联系，给您带来不便，敬请谅解。 天翼云服务团队

本文介绍如何将第三方云厂商（如阿里云、腾讯云、华为云）日志服务的日志数据迁移至天翼云日志服务中。整体上是将第三方云厂商的日志数据，以对象存储的方式迁移到天翼云中，再通过天翼云云日志服务的对象存储导入功能，将日志数据导入至天翼云中。 准备工作 已在天翼云日志服务中创建目标日志项目与日志单元。 已在第三方云厂商的对象存储中创建一个独立的bucket。 已开通天翼云对象存储并创建一个独立的bucke。 操作步骤 1. 登录第三方云厂商日志服务控制台。 2. 通过第三方云厂商提供的日志转储功能，将日志数据以JSON格式一次性转储到第三方厂商的对象存储bucket中（上述准备工作中所创建的bucket）。具体操作请参考第三方厂商关于日志转储的文档说明。 注意 通过配置文件个数或攒批大小，以确保每个文件不超过1GB。 3. 将第二步中的bucket，从第三方云厂商迁移到天翼云的对象存储指定bucket中（上述准备工作中所创建的bucket），可参考以帮助文档：使用对象存储迁移服务将第三方云厂商数据迁移至对象存储ZOS。 4. 对象存储数据迁移完成后，登录天翼云日志服务控制台。 5. 点击左侧“日志接入”惨淡，选择对象存储导入。 6. 选择日志存储目标（上述准备工作中所创建的日志项目与日志单元）。 7. 在导入配置流程中，根据页面指引完成导入配置，可参考以下参数说明。 参数 说明 接入配置名称 导入任务的唯一标识 ZOS存储桶 选择第三步中的天翼云对象存储bucket 文件路径前缀过滤 此处可不填写。 文件路径正则过滤 此处可不填写。 文件修改时间过滤 选择所有。 压缩格式 选择gzip格式。 检查新文件周期 选择永不检查 文件编码 选择默认UTF8。 数据格式 选择JSON 8. 在索引配置流程中，根据查询需要配置索引字段。如索引字段较多，可以使用【批量解析json字段】，将日志样例复制进去，可以快速添加索引。 9. 最后等待一段时间后即可完成导入，也可以在接入配置中查看导入的情况。

天翼云Web应用防火墙服务协议

名词 解释 云服务监控 云服务监控是对天翼云的云产品进行监控。查看当前天翼云账号下各云产品中资源的监控项。支持查看云主机、云硬盘、弹性IP等云产品的监控项。 云服务 云服务是天翼云提供的云产品和云服务的总称，例如：云主机ECS、云硬盘和云监控等。 告警服务 客户对云服务监控中的产品实例的监控项设置告警规则。当监控项满足告警规则时，及时发送告警通知。 监控项 云服务具体产品实例的监控指标类型。例如：云主机ECS的CPU使用率、内存使用率、磁盘使用率等。 监控面板 客户关键业务需要重点关注的场景，在监控首页设置监控面板和视图。 告警规则 告警规则是监控项的告警条件。当监控项达到该告警条件时，客户会收到告警通知。 沉默时间 在自定义告警规则时，需要设定沉默时间。沉默时间指告警发生后，如果未恢复正常，间隔多久重复发送一次告警通知。 告警联系人 告警通知的实际接收人。 告警组 告警联系人组。一组告警联系人，可以包含一个或多个告警联系人。在创建告警规则和应用分组时，需要向告警组中的联系人发送告警通知。告警系统根据预先设定的告警方式，在达到告警阈值时向告警组中的联系人发送告警通知。 通知方式 发送报警通知的方式。包括：邮箱、短信。 告警回调 通过接口回调，云监控将推送告警信息至您已有的运维系统或消息通知系统。当告警策略被触发或恢复时，均会通过接口回调各推送一次告警消息。告警回调的重试策略为3次，超时时间为5秒。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

天翼云应对方案 为保障您的服务连续性，我们将采取以下措施： 服务承诺不变，在2026年3月15日之前购买SSL证书服务权益不受影响： 在2026年3月15日前购买且在2026年3月15日后签发的证书，签发多张连续有效期的证书（如：1年期内签发2张 有效期最长为199天的证书），确保您在购买的有效期内证书可用。 请注意查收证书到期提醒邮件，您也可以登录证书管理控制台，进入“信息管理 > 消息管理”配置短信提醒。 您需要配合的操作： 手动验证域名的证书：域名验证频率将提高（约6个月验证一次），您需及时验证域名。 天翼云上资源部署的证书：请开启自动续费+证书托管服务，新证书签发后，系统将自动更新替换您部署在云上资源的旧证书。 服务器上部署的证书：证书替换频率将提高（约6个月替换一次），您需及时下载新证书并部署替换旧证书。 如您有任何问题，可随时通过工单或者服务热线（4008109889）与我们联系。

本小节介绍SSL VPN相关产品和使用限制。 相关产品 云主机 天翼云SSL VPN产品是以软件镜像形式交付，需要云主机来承载。购买SSL VPN平台会默认匹配合适的云主机，用户无需再单独购买云主机。 弹性IP SSL VPN云主机需要绑定公网IP地址，并且SSL VPN云主机要可以实时联网，否则无法正常使用SSL VPN授权ID、序列号和SSL VPN的功能。 带宽大小需根据用户实际业务量评估。 使用限制 截止标准版本7.6.9R1，vSSL VPN暂不支持国密算法。 天翼云SSL VPN产品是以软件镜像形式交付，需单独订购对应规格云主机，云主机计费模式请参照云主机计费说明。 SSL VPN云主机需要绑定公网IP地址，并且授权服务器可以与SSL VPN进行通信，否则无法正常使用SSL VPN 授权ID、序列号和SSL VPN的功能。 SSL VPN需要与发布的云服务器网络可达。 SSL VPN后台权限不对用户开放，用户管理只需登录SSL VPN的Web管理页面进行操作即可。 SSL VPN不支持 如下系统接入： Window server操作系统 ARM架构的Linux 客户端 CentOS系统 Debian系统 Openwrt系统 Fedora Workstation系统 Unix系统 RedHat系统

版本 支持的TLS版本 支持的加密算法套件 3.4 TLS 1.2 AES256GCMSHA384 AES128GCMSHA256 4.0 TLS 1.2 DHERSAAES256GCMSHA384 DHERSAAES128GCMSHA256

天翼云Web应用防火墙（原生版）服务协议

本节为您介绍天翼云区域和可用区的概念及关系。 区域 区域（region）是指物理的数据中心的地理区域。区域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同区域之间完全隔离，保证不同区域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的区域。 相关特性 不同区域之间的网络完全隔离，不同区域的云产品默认不能通过内网通信。 如果不同区域之间的云产品之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择区域 在天翼云中，资源创建或购买成功后不能更换区域，因此选择区域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署区域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择区域。 中国内地：一般情况下建议选择和您目标用户所在区域最为接近的数据中心，可以进一步提升用户访问速度。如果使用天翼云承载您的全部业务，电信网络可以保证中国内地区域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些区域会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源规格可能有差异，不同区域的产品覆盖可能有差异，请根据您的需求及预算选择合适的区域。 3. 产品之间的关系：如果多个天翼云产品一起搭配使用，需要注意：不同区域的云主机、对象存储、负载均衡等服务，内网不互通。 4. 经营性备案：如果您使用物理机作为Web服务器，您需要完成经营性备案，同时需要在指定的区域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

推荐方案 云墙高可用部署，启用IPSEC VPN、SSL VPN、防病毒、入侵防御等功能模块。

天翼云密钥管理服务协议

本文主要介绍服务等级协议。 云数据库TaurusDB 产品服务等级协议，详情请参见这里。

天翼云监控为您提供优质的服务体验，本文带您了解云监控的产品优势。 免费服务自动开通 云监控服务在云资源创建成功后自动开通，不收取费用，监控视图开箱即用。云服务开通后，即可通过云监控服务管理控制台方便直观地查看云产品运行状态，并可设置个性化的告警规则。 实时指标全面覆盖 指标监控数据分钟级获取，全面涵盖多产品多维度，方便客户体系化监控能力建设。目前针对云主机、云硬盘、弹性伸缩等产品提供二十多项指标监控，为客户提供性能历史曲线，多维度监控资源动态。 策略分组配置灵活 客户可对实例根据业务实际需要进行分组，通过创建告警模板，将不同分组配置在不同监控告警策略下，以及时了解各组使用和运行情况，并可随时启停，灵活方便。 及时告警智能通知 实时监控各项资源，提供自动资源告警，及时触发告警通知。用户可按需对告警规则进行设置，当监控项达到设置的告警阈值时，告警通知将立即发送给用户设定的联系人或联系组，从而能够使资源异常情况被及时获知并得到处理，避免发生损失。 关键指标重点掌控 用户可在监控面板页设置重点关注指标，方便每次登陆云监控平台及时查看关键性能，掌握云资源对业务的承载能力。

Web应用防火墙的防护准确性如何？ 天翼云Web应用防火墙采用智能语义分析、机器学习、云端威胁情报联动、行为分析、云端高防等五大引擎联动的方式进行攻击防护，防护准确率高、误报率低。 天翼云语义分析相比传统规则库方式的优势是什么？ 传统规则库采用正则规则库的形式对攻击特征进行匹配，存在检出率低、误报率高、性能消耗过多、规则库维护成本高、无法防御未知攻击等劣势，而天翼云语义分析结合词法分析、语法分析、语义分析三个处理逻辑进行攻击检测，能在不占用过多系统性能的同时，相比传统方式提高检出率、降低误报率。 Web应用防火墙是否支持IPv6？ 支持。 本身天翼云Web应用防火墙中的保护站点可填写IPv6， 也可转发IPv6流量，同时Web应用防火墙自身管理口地址可填写IPv6。 Web应用防火墙是否支持长连接？ 支持。保护站点中可以设置开启长连接。 Client请求包的源端口，经过Web应用防火墙，是否被改变？ 会被改变。 Web应用防火墙的透明代理及反向代理属于7层代理机制，当Client的源端口请求包送达后，Web应用防火墙从后端链路接口转发给Server， 此时Server收到的请求包源端口是Web应用防火墙的源端口。

云产品服务端加密的流程 通常情况下，云产品采用信封加密的机制实现对云产品数据的加密，即通过KMS生成数据密钥，并应用数据密钥在云产品服务端完成加解密操作，并将数据密钥密文及数据密文落盘存储，实现流程如下示意图。 1. 用户在KMS中创建一个用户主密钥，或由云产品触发创建默认密钥。 2. 云产品调用KMS的GenerateDataKey接口请求数据密钥。 3. KMS返回数据密钥，包含数据密钥明文和数据密钥密文。其中数据密钥密文，是由指定的密钥加密数据密钥明文生成的。 4. 云产品使用数据密钥明文加密数据明文，并将数据密钥密文（由KMS使用密钥加密）与数据密文（由云产品使用数据密钥加密）一同写入持久化存储介质中。

区域 资源 资源说明 数量 天翼云（本端） 虚拟私有云子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的本端二层连接子网，此处为云上ECS所在子网 3 天翼云（本端） 虚拟私有云子网 子网名称：Subnet C 子网网段：192.168.5.0/24 第二个二层连接：二层连接C内的二层连接子网，此处为云上ECS所在子网 3 天翼云（本端） 虚拟私有云子网 子网名称：Subnet B 子网网段：192.168.0.0/24 本端隧道子网，云上的隧道子网，此处为DC和ESW所在子网 3 天翼云（本端） 弹性云主机ECS Subnet A内地ECS，此处两台主机为IDC业务上云后扩展的两台主机。私有IP地址：192.168.3.4私有IP地址：192.168.3.5Subnet C内地ECS：私有IP地址：192.168.5.4私有IP地址：192.168.5.5 4 天翼云（本端） 企业交换机 ESW 隧道连接方式：云专线隧道子网：Subnet B 1 天翼云（本端） 二层连接 二层连接A，连接云上和云下Subnet A隧道IP：192.168.0.98隧道号：5530二层连接C，连接云上和云下Subnet C隧道IP：192.168.0.98隧道号：5540基于同一个企业交换机的两个二层连接，隧道IP地址保持一致，但是隧道号不能重复。 2 客户IDC（远端） 客户IDC内子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的远端二层连接子网，客户IDC业务集群所在的子网 3 客户IDC（远端） 客户IDC内子网 子网名称：Subnet C 子网网段：192.168.5.0/24 第二个二层连接：二层连接C内的远端二层连接子网，客户IDC业务集群所在的子网 3 客户IDC（远端） 客户IDC内子网 子网名称：Subnet D 子网网段：200.51.51.0/24 远端隧道子网：客户IDC内的隧道子网 3 客户IDC（远端） 二层连接对应的IDC内VXLAN隧道 二层连接A，连接云上和云下Subnet A隧道IP：200.51.51.100隧道号：5530二层连接C，连接云上和云下Subnet C隧道IP：200.51.51.100隧道号：5540 2

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功