AI网关提供Model API可观测能力,可监控API的QPS,请求成功率和平均延迟等指标。 操作步骤 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"Model API"，单击Model API名称，进入Model API详情页。 4. 选择监控页签，可查看该MCP服务的QPS、请求成功率和平均延迟等监控指标，右上角可调整时间间隔。 QPS：每秒Model API请求和响应的数量统计。 请求成功率：Model API请求的成功率。 平均延迟：Model API请求的平均延迟时间。

1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页。您可以查看专有宿主机名称、状态、资源使用量等基本信息。 4. 在专有宿主机列表页，点击专有宿主机名称，即可跳转至该专有宿主机的详情页，可以进一步专有宿主机的详细信息以及当前专有宿主机上的实例列表。 5. 您可以对专有宿主机使用标签、名称或ID进行筛选，也可以对专有宿主机列表进行导出。

本文旨在向您介绍训推服务平台断点续训的功能,支持对英伟达和升腾芯片多个故障场景的断点续训。 产品背景 大模型训练过程往往比较长，根据业界数据，平均约两天，大模型训练会中断一次，经常遇到的问题例如： 程序出现故障 节点出现故障 loss数据恶化，需要手动暂停，调参重训 服务器故障、网络中断、开发平台故障等 断点续训过程需要排查节点、隔离节点、重新启动上一次CKPT，浪费了资源和训练时间，是大模型训练的重要痛点之一。针对这一问题，平台提供了断点续训能力并支持配置客户需要的策略。 断点续训 平台对英伟达和昇腾芯片的节点故障、集群故障、程序故障等多种故障场景，支持故障感知、故障定位、故障修复。目前支持PyTorch、Mindspore框架。 支持以下故障类型： 网络故障：当网卡链接出现故障或状态异常（link status: DOWN）后，可正常触发重调度，实现断点续训 节点心跳故障：当节点因Label异常等原因导致心跳丢失后，可正常触发重调度，实现断点续训 节点Shutdown/Reboot故障：当节点被关闭或重启后，可正常触发重调度，实现断点续训 芯片PCIE故障：当节点发生芯片丢失等异常后，可正常触发重调度，实现断点续训 断点故障：当错误发生时断点正在写入，未正常完成保存即断点保存不完整时，可正常恢复至上一完整断点，实现断点续训

操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 选择对应实例，点击批量标签>解绑标签按钮。 4. 弹出框显示已选择的实例资源，选择对应标签，点击解绑按钮即可批量解绑标签。 修改标签 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 光标悬浮至对应实例的标签列图标，点击编辑按钮，会显示弹出框。 4. 在弹出框中，修改对应的标签键值对，点击修改按钮即可完成修改。 解绑标签 解绑标签操作会解绑对应标签与实例的关联关系，但不会删除对应标签，在选择标签时依然可见该标签。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 光标悬浮至对应实例的标签列图标，点击编辑按钮，会显示弹出框。 4. 在弹出框中，点击解绑按钮即可解绑对应的标签键值。 一键解绑标签

本章节列举了使用云主机备份过程中的通用类问题,以及相对应的解答。 如何在保留镜像的情况下删除已创建镜像的备份？ 可以使用镜像创建新的云主机。再使用云主机创建新的镜像，删除原镜像后，即可删除原备份。 在云硬盘备份界面上的显示的云主机备份有什么用途？ 云主机备份实际上是对其中的每一个磁盘进行备份，这些磁盘的备份均会同时在云硬盘备份的备份列表展示，您可以直接在云硬盘备份使用这些备份恢复磁盘。 备份出现异常该如何处理？ 目前异常状态主要为备份状态异常。当处于这些状态时，请参考下面处理建议。 异常状态 建议 错误 您可以删除错误状态的备份后，再重新创建。 删除失败 请重新删除，若重新删除后仍然出现删除失败，请联系技术支持解决。 备份对虚机的磁盘io有没有影响？ 没有影响。 备份和恢复服务器需要多长时间？ 服务器备份首次为全量备份，后续均为增量备份。因此第一次备份时间较长，后续备份时间较短。例如：备份一个已有数据为100GB的云服务器，首次全量备份需要30分钟左右；假设下次备份前新产生或变化数据量为15GB时，增量备份需要6分钟左右。 云主机备份支持即时恢复，恢复100GB数据，大约只需要几分钟左右。 为什么备份中文件系统容量和备份大小不一致？ 常见的现象为，在云主机中存放了文件并进行了备份，新增或删除文件后进行再次进行备份，前后备份的大小并没有变化。ECS创建的备份比文件系统查询到的磁盘占用空间大。 以下原因可能造成上述文件系统与备份大小不一致： • 文件系统的元数据会占用磁盘空间。 • 磁盘进行了格式化操作，例如Windows系统正常格式化操作后，全盘数据有写入操作，备份软件需要备份全盘的数据，备份软件会对这种情况优化，全0的数据会进行压缩处理。 • 备份软件是通过监控存储I/O的写入来确定哪些数据产生了变化需要备份。系统中的文件删除后也会被记录为变化的数据，也会被备份。

本章节介绍了有关分布式消息服务RocketMQ实例消息类的常见问题及解答。 是否支持消费验证？ 分布式消息服务RocketMQ当前不支持消费验证功能。 RocketMQ的消息保留时间是多少？可以修改吗？ RocketMQ的消息保留时间是48小时，且不支持修改。 RocketMQ支持的最大消息大小是多少？可以修改吗？ RocketMQ支持的最大消息大小是4M，且不支持修改。 RocketMQ副本存储形式是怎样的？可以修改吗？ RocketMQ消息是一主两从3个副本的存储形式，且不支持修改。 消息创建时间在哪设置 ？ 消息创建时间是由生产客户端在生产消息时设置的。

本文主要介绍 创建流控。 操作场景 本章节指导您在控制台对用户/客户端/Topic进行流量控制，控制生产/消费消息的上限速率。 用户/客户端的流控作用范围是整个broker，Topic的流控作用范围是指定Topic。 操作影响 当流控值达到上限后，会导致生产/消费的时延增大。 设置的流控值较小且生产者速率较大时，可能会造成生产超时、消息丢失，导致部分消息生产失败。 初始生产/消费的流量较大，如果设置一个较小的流控值，会导致生产/消费的时延增大、部分消息生产失败。建议逐次减半设置流控值，待生产/消费稳定后继续减半设置，直到设置为目标流控值。例如初始生产流量100MB/s，可先设置生产流控为50MB/s，待稳定后再修改为25MB/s，直到目标流控值。 前提条件 如果需要对用户进行流量控制，请在创建Kafka实例时，开启SASLSSL功能。然后在控制台的“用户管理”页面，获取用户名。 如果需要对指定客户端进行流量控制，请在客户端配置中获取client ID。 如果需要对指定Topic进行流量控制，请在控制台的“Topic管理”页面，获取Topic名称。 创建用户/客户端流控 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏单击“流控管理 > 流控列表”，进入流控列表页面。 步骤 6 在页面顶端单击“User/Client”，进入“User/Client”页签。 步骤 7 在页面左上角单击“创建流控”，弹出“创建流控”对话框。 步骤 8 设置流控参数。 表 流控参数说明 参数名称 说明 用户名 输入指定用户名，对此用户进行流控。如果需要对所有用户进行流控，在“用户名”后，单击“选择默认”。流控创建完后，无法修改“用户名”。 客户端ID 输入指定客户端ID，对此客户端进行流控。如果需要对所有客户端进行流控，在“客户端ID”后，单击“选择默认”。流控创建完后，无法修改“客户端ID”。 生产上限速率 设置生产上限速率，单位为MB/s。为空时，表示不设置速率。 消费上限速率 设置消费上限速率，单位为MB/s。为空时，表示不设置速率。 说明 未开启SASL的实例，在“创建流控”对话框中，不显示“用户名”。 “用户名”和“客户端ID”不可同时为空。 “生产上限速率”和“消费上限速率”不可同时为空。 步骤 9 单击“确定”，跳转到“后台任务管理”页面，当流控任务的“状态”为“成功”时，表示流控创建成功。 进入“流控管理 > 流控列表”页面，在“User/Client”页签中，单击页面右上角的“仅设置了用户名”/“仅设置了客户端ID”/“设置了用户名和客户端ID”，输入新创建的流控名称，单击，查看新创建的流控。 图 查看新创建的流控

本节为您介绍云迁移服务CMS中数据库迁移工具节点管理配置工作,包括注意事项,操作步骤。 注意事项 本文仅简单介绍节点管理的快速配置流程，更加详细的配置步骤请阅读节点管理。 操作步骤 1. 下载子节点安装包，进行后续步骤，具体下载安装包位置参考：数据库迁移服务左侧导航栏节点安装模块。 示例： sudo wget 2. 安装节点。 （1）解压 解压下载完成的安装包，进行后续步骤。 示例： sudo tar xzvf cmpcomposex.x.xx8664.tar.gz （2）授权 授权解压完成的文件，进行后续步骤。 示例： sudo chmod a+x .sh （3）安装 执行安装命令，进行后续步骤。 示例： sudo ./install.sh 根据提示输入AKSK，具体AKSK获取位置参考：数据库迁移服务左侧导航栏节点安装模块。 3. 安装成功后出现如下提示。 4. 安装成功后，点击导航栏的“节点管理”，跳转到节点管理界面，点击“添加节点按钮”按钮。 5. 填写节点信息后（IP仅允许填写公网ipv4地址），点击“保存”按钮。 6. 保存成功后，界面如下图。

本节介绍了使用FTP上传文件时写入失败,文件传输失败怎么办的问题描述、约束与限制、可能原因、处理方法。 问题描述 使用FTP上传文件时，写入失败，文件传输失败。 约束与限制 该文档适用于Windows系统上的FTP服务。 可能原因 FTP服务端在NAT环境下，客户端需使用被动模式连接服务端。在这种情况下，服务端的IP地址无法从路由器外部访问，所以应该在服务端的对外IP中填写此服务器的公网IP（弹性公网IP），同时设置端口范围来限制需要通过路由器转发的端口数量。 处理方法 弹性公网IP与私有IP使用NAT方式绑定，所以需要在服务端做响应的配置。 1. 配置服务端对外的公网IP。 选择“Edit > Settings”。 图 配置服务端对外的公网IP 2. 选择“Passive mode settings”，设置数据传输端口范围（如5000050100），并填写弹性公网IP。 图 设置数据传输端口范围 3. 单击“OK”。 4. 安全组中开启入方向tcp协议的5000050100和21端口。 5. 在客户端连接测试。

本文主要介绍SQL Server实例类型升级的操作步骤。 前提条件 实例状态为“运行中”。 注意 实例类型升级期间服务会短暂中断，建议在业务空闲时变更。 2022企业版、2019企业版、2017企业版的通用型全部规格和计算增强型的8C16G、16C32G规格暂不支持实例类型升级。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到需要升级类型的目标实例，单击列表右侧的【更多】按钮，在下拉框中点击【实例类型升级】选项。 4. 在【实例类型升级】页面，您可查看当前的实例类型和备可用区。选择所需的实例类型。确认无误后，单击【提交】并完成支付，即可修改成功。 5. 返回实例管理列表页面，查看当前实例状态为【升配中】。 说明 SQL Server支持单机版和一主一备实例类型，单机版实例可以升级到一主一备版，一主一备版实例不支持规格升级。 一旦实例类型升级操作后不可撤销。

本文主要介绍如何添加增强高速网卡 为物理机添加一块增强高速网卡，请参考下面步骤操作。 约束与限制： 物理机必须为“运行中”状态。 操作步骤： 说明 一台物理机最多有两块增强高速网卡，并且依赖于扩展网卡总带宽。例如，扩展网卡总带宽为210GE，如果第一块增强高速网卡的带宽为210GE，那么您不能再添加第二块增强高速网卡。 扩展网卡总带宽可以在规格的“扩展配置”项查看。 若扩展配置中包含“210GE”（例如physical.h2.large，扩展配置为“1100G IB + 210GE”），表示该规格物理机为单网卡，无扩展网卡，扩展网卡的带宽总量为0。 若扩展配置中包含“2 x 210GE”（例如physical.s3.large，扩展配置为“2 x 210GE”），表示该规格物理机为双网卡，有一张扩展网卡，扩展网卡的带宽总量为210GE。 1. 登录天翼云，进入控制中心。 2. 选择“计算 > 物理机服务”。进入物理机页面。 3. 单击待添加网卡的物理机的名称。系统跳转至该物理机的详情页面。 4. 选择“网卡”页签，并单击“添加网卡”。 5. 在弹出的对话框中选择网卡类型为“增强高速网卡”，然后选择带宽大小。 6. 单击“确定”。

参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下：登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。说明默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。说明默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 BmsFlag BMS需配置此参数为true，ECS配置项中无需配置。Windows操作系统中无需要配置。

您可以在天翼云费用中心查询VPN网关产品的账单。 操作步骤 1.登录天翼云费用中心。 2.在导航栏中，选择账单管理>账单详情。 3.在账单详情页面，将“统计维度”选择为“产品”，“计费模式”选择为“包周期”，可以支持以按账期或按天的统计方式查看VPN网关产品的消费情况。 4.在账单管理>账单概览页面，支持按产品类型、企业项目或计费模式对产品账单进行汇总展示。

前置条件 注意 本方案仅作为实践演示，具体环境以用户实际需求为准。 执行本文操作之前， 请完成以下准备工作： 注册天翼云账号，并完成实名认证。 天翼云账户余额需要大于100元。 为了便于演示，本文中涉及资源开通时，均默认选择按量付费模式。 实践步骤 数据集管理 采用Kaggle上的猴子数据集（获取地址 进入一站式智算服务平台，进入数据集管理模块，点击创建数据集，上传压缩包，导入方式为本地压缩包导入，数据集标注状态“无标注信息”。 创建VSCode 进入模型开发与训练模块，选择开发机，点击【VSCode】>【创建VSCode】，根据实际需求选择合适的运行环境。 创建完成后，在VSCode列表操作列点击【启动】，启动完成后，点击【打开】。 将本地的训练Python文件（.py）复制到指定的文件夹下（/work/model）。 找到已上传的数据集，修改数据集对应的位置。 模型训练 启动训练任务。 训练监控，进入训练任务管理，可以看到训练任务的状态、日志、训练曲线等。

实例类型 天翼云可提供x86架构和ARM架构的物理机，您可以根据业务需求选购不同配置的物理机服务器。 通用型实例 计算型实例 大数据型实例 GPU型实例 国产化型实例 说明 基于本地盘的物理机服务器，根据磁盘类型和数量不同支持的RAID类型不同。可在创建过程中选择所需RAID类型。系统盘默认RAID 1。 您可以通过查看CPU型号来区分CPU是x86还是ARM，例如，Intel、海光是x86架构，鲲鹏是ARM架构，具体CPU架构请以官网公布信息为准。

本节介绍了如何将云数据库TaurusDB实例备份恢复至新实例。 操作场景 TaurusDB支持使用已有的自动备份和手动备份，将实例数据恢复到备份被创建时的状态。该操作恢复的为整个实例的数据。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 选择需要恢复的备份 您可以在左侧导航栏单击“备份恢复管理”，选择需要恢复的备份，单击操作列的“恢复”。 或者在“实例管理”页面，选择指定的实例，单击实例名称。在左侧导航栏单击“备份恢复”，选择需要恢复的备份，单击操作列的“恢复”。 步骤 5 选择恢复方式，当前支持将备份恢复到“新实例”。 选择恢复到“新实例”，单击“确定”，跳转到“恢复到新实例”的服务页面，设置相关参数，单击“立即创建”。 区域、数据库引擎、兼容的数据库版本，与原实例相同，不可修改。 数据库端口为默认值3306。 其他参数默认，用户可设置，请参见创建实例。

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

添加sfs turbo文件系统 设置委托 挂载sfs turbo文件系统需要给函数设置委托（至少拥有sfs administrator以及VPC administrator权限）。如果没有对应权限的委托，需要新创建。 设置VPC sfs turbo涉及VPC内部网络访问，添加sfs turbo文件系统前需要给函数配置sfs turbo对应的VPC。 1. 在弹性文件服务中，获取需要挂载的文件系统的VPC和子网信息。 2. 配置网络开启VPC访问，输入获取的VPC和子网。 添加挂载SFS Turbo 添加sfs turbo和添加sfs过程相似，只要选好需要挂载的文件系统，设置好函数访问路径即可。 添加ECS共享目录 添加委托 挂载ECS共享目录需要给函数设置委托（至少拥有tenant guest以及VPC administrator权限），如果没有对应权限的委托，需要新创建。 配置VPC 添加ECS共享目录前，也需要给函数配置ECS对应的VPC，可以到ECS详情页的“基本信息”页签中查看“虚拟私有云”。单击虚拟私有云名称，进入虚拟私有云的详情页，查看子网。 获取到这两个信息后，可以在函数配置中配置对应的VPC。 添加挂载ECS 需要在界面上输入ECS上的共享目录路径信息和函数访问路径。 填写路径信息 后续操作 当函数挂载了文件系统配置后，对函数访问路径的读写就相当于对相关文件系统的读写。 如果把日志路径配置为函数访问路径的子目录，就可以轻松实现函数日志的持久化。 ECS创建nfs共享目录

操作场景 分布式消息服务 Kafka 版支持按主题或用户/客户端来配置限流策略，避免因资源消耗过高而影响全量业务。 前提条件 流控管理仅支持集群版实例。 操作步骤 1. 登录管理控制台。 2. 进入Kafka管理控制台。 3. 在实例列表页的操作列，目标实例行点击“管理”按钮。 4. 点击“智能运维”、“流控管理”菜单进入流控管理页面。 5. 如需配置主题流控 ，在流控配置页卡的下拉框选择“Topic”选项并点击“创建流控”按钮。 6. 在弹窗填入主题名、生产上限速率、消费上限速率，点击“确定”按钮。 Topic：填入需要限流的主题名 速率范围：1MB/s — 1024MB/s 7. 如需配置用户/客户端流控 ，在流控配置页卡的下拉框选择“User/Client”选项并点击“创建流控”按钮。 8. 在弹窗填入用户名、客户端ID、生产上限速率、消费上限速率，点击“确定”按钮。 用户名：填入需要限流的用户名，与客户端ID不能同时为空 客户端ID：填入需要限流的客户端ID，与用户名不能同时为空 速率范围：1MB/s — 1024MB/s

本文将介绍如何创建消费者。 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "消费者" ，并在顶部菜单栏选择地域。 3. 单击 "创建消费者" ，在创建消费者面板中配置相关参数，然后单击 "保存" 。 配置项 描述 消费者名称 自定义消费者名称，要保证唯一性。 命名规则：支持英文字母、数字和下划线，以英文字母或数字开头及结尾, 432个字符。 启用状态 消费者状态包括已启用和已停用。创建完成后可以手动启停。 注意 消费者只有启用状态时才生效。 描述 对消费者进行描述。 认证方式 当前消费者支持JWT、HMAC、KEY和BASIC四种认证方式。创建认证时必须选择至少一种认证方式。删除消费者下的认证时也要保证至少存在一种认证方式。对于HMAC认证的AppKey，KEY认证的key，以及BASIC认证的用户名填写时需保证唯一，例如消费者1和消费者2下的KEY认证不可设置相同的key值。 JWT认证 ：JSON Web Token (JWT) 是一种用于在客户端和服务器之间以紧凑且自包含的JSON对象形式安全地传输信息。JWT通过数字签名确保信息的完整性和真实性，常用于在网关中验证用户身份并控制对资源的授权访问，从而实现无状态的身份验证和授权机制。JWT的规范说明可参考：JSON Web Key (JWK) 秘钥类型：可选择对称秘钥和非对称秘钥。 加密算法：对称秘钥加密算法可选择HS256和HS512。非对称秘钥加密算法可选择RS256和ES256。 秘钥：对称秘钥时需填写secret，如果开启base64secret则需按照base64编码格式填写。非对称秘钥时需填写RSA/ES公钥和私钥。 HMAC认证：HMAC是一种基于哈希函数的消息认证码算法，用于验证消息的完整性和真实性。客户端使用签名密钥对请求内容生成签名并发送给服务器，服务器通过相同密钥和算法验证签名，确保请求未被篡改且来源可信。 AppKey：AK配置，可由系统生成。 AppSecret：SK配置，可由系统生成。 KEY认证：KEY认证是一种基础的认证机制，客户端在调用API时需将凭证（如API Key）以特定方式添加到请求中，网关接收到请求后会校验Key的有效性和权限范围。这种认证方式安全性较低，不建议用于涉及敏感操作的场景。 Bearer前缀：如果勾选，则访问时需携带"Bearer XXXXXXXXXXX"的Key值；如果不勾选，则直接携带Key值访问。 Key：自定义Key凭证。 BASIC认证：BASIC认证是一种基础的认证机制，客户端在访问时需携带用户名和密码的信息，网关接收到请求后会校验用户名和密码的有效性和权限范围。这种认证方式安全性较低，不建议用于涉及敏感操作的场景。 用户名：BASIC认证用户名。 密码：BASIC认证密码。

本页介绍天翼云TeleDB数据库元数据pgdblink的内容。 存储访问外部数据库的连接配置。 名称 类型 定义 dblinkname NameData 数据库链接的名称 dblinkowner NameData 数据库链接的所有者名称 username NameData 登录时使用的用户名 created timestamptz 数据库链接的创建时间 host text Oracle 风格的网络连接字符串 port int32 端口号 dblinkkind int32 数据库链接类型（公共或共享） dblinkforeignserver text 外部服务器名称

本节介绍RBAC授权。 RBAC 介绍 Kubernetes RBAC能力的授权，可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。Kubernetes RBAC API定义了四种类型：Role、ClusterRole、RoleBinding与ClusterRoleBinding，这四种类型之间的关系和简要说明如下： Role：角色，其实是定义一组对Kubernetes资源（命名空间级别）的访问规则。 RoleBinding：角色绑定，定义了用户和角色的关系。 ClusterRole：集群角色，其实是定义一组对Kubernetes资源（集群级别，包含全部命名空间）的访问规则。 ClusterRoleBinding：集群角色绑定，定义了用户和集群角色的关系。 Role和ClusterRole指定了可以对哪些资源做哪些动作，RoleBinding和ClusterRoleBinding将角色绑定到特定的用户、用户组或ServiceAccount上。如下图所示。 在分布式容器云平台控制台可以授予用户或用户组命名空间权限，可以对某一个命名空间或全部命名空间授权，产品控制台提供如下预置的ClusterRole。 受限人员：对集群命名空间级别控制台可见资源对象的只读权限。 开发人员：对集群命名空间级别控制台可见资源对象的读写权限。 运维人员：对集群命名空间级别资源对象的读写权限，对其他资源对象的只读权限。 管理员权限：对所有集群资源对象的读写权限。 服务资源权限（IAM授权）与Kubernetes RBAC权限的关系 服务资源权限（IAM授权）主要覆盖分布式云容器平台系统功能 和 系统资源（比如注册集群、舰队、集群联邦）的权限管理，而Kubernetes RBAC权限仅针对该集群的Kubernetes资源生效。

本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

使用限制 Cubecni IPVLAN模式下，基于eBPF实现NetworkPolicy，有如下限制： 1. IP Blocks即使包含Pod地址，这些Pod地址也不会加入白名单，需通过PodSelector或NamespeceSelector选择Pod； 2. IP Blocks的except支持不佳，不建议使用except关键字； 3. 若配置egress规则，会限制Pod访问所在节点以及其上HostNetwork类型Pod，即使白名单配置了所在Host地址也无效。 使用示例 网络策略详细使用方式可参考Kubernetes社区文档，下文以Nginx应用为例，介绍使用方式。 准备示例应用 使用YAMl方式创建示例应用，YAML定义如下： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 无状态； d. 选择default命名空间，点击新增YAML ，默认为一Nginx示例，将image字段替换为{镜像拉取地址}/opensource/nginx:1.26alpineslim，点击保存； e. 等待服务启动完成。 示例一：限制服务只能被带有特定标签的应用访问 通过控制台操作如下： 1. 登录云容器引擎控制台，左侧导航栏选择集群； 2. 在集群列表页面，单击目标集群名称，进入集群管理页面； 3. 左侧导航栏，选择网络 > 网络策略 ，选择default命名空间，点击创建网络策略； 创建面板配置说明如下： 配置名 说明 示例 名称 网络策略的名称。 example1 Pod选择器 单击+ 选择工作负载添加标签，设置使用网络策略的Pod。 若不配置Pod选择器，则对命名空间下所有Pod生效。 示例设置如下： 设置工作类型为：Deployment 设置工作负载为：nginxdeployment 设置标签为：appnginx 来源 配置入站规则（igress）列表，用于声明谁可以访问目标Pod。每个列表项包含规则和端口。 每个规则表示一组允许的来源，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为入站流量来源； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其入站流量来源； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作入站流量来源。 端口：支持TCP和UDP协议。 本示例不添加任何来源规则。 去向 配置出站规则（egress）列表，用于声明目标Pod可以访问哪些地址。每个列表项包含规则和端口。 每个规则表示一组允许的去向，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为出站流量目的地； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其出站流量目的地； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作出站流量目的地。 端口：支持TCP和UDP协议。 本示例不添加任何去向规则。 4. 点击下一步 ，点击确认； 5. 在另一个命名空间（例如demo）部署demo服务（可使用Nginx镜像），登陆容器，测试与示例Nginx的通信。可见，网络策略没有允许demo服务访问，导致访问会超时： 6. 修改网络策略为允许demo服务访问，点击编辑，在来源右侧，单击+添加，规则设置如下： 配置名 示例值 选择器 namespaceSelector 命名空间 demo 标签 kubernetes.io/metadata.name: demo 点击下一步 ，点击确认； 7. 登陆容器，测试与示例Nginx的通信。可见，网络策略允许demo服务访问，访问正常：

本章节介绍推空保护功能的使用 概述 推空保护功能用于处理客户端在请求注册中心订阅服务端地址列表时，在服务端注册异常的场景下，注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。能够在注册中心在进行变更（变配、升降级）或遇到突发情况（例如，可用区断网断电）或其他不可预知情况下的列表订阅异常收到空的地址列表推送时，可以有效保护业务调用，增加业务可靠性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate； 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3+ 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper 无。 jdk版本 1.8+ 无。 开启推空保护 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 推空保护，即可开启推空保护。 查看推空保护事件 若发生推空保护，在推空保护页面即可查看推空保护事件。

Hadoop 类型连接 集群配置文件获取方式 Keytab文件获取方式 MRS集群 MRS HDFS MRS HBase MRS Hive 针对MRS 3.x版本集群： 1. 登录FusionInsight Manager。 2. 选择“集群> >待操作的集群名称>概览> >更多> >下载客户端”，界面显示“下载集群客户端”对话框。 3. 对话框中选择“仅配置文件”，平台类型和服务端保持一致，单击确认后进行本地下载。 4. 获取下载的tar包，此即为FusionInsight集群配置文件。 针对MRS 2.x及之前版本集群： 1. 登录MRS管理控制台。 2. 选择“集群列表>现有集群”，单击集群名称进入集群详情页面，单击“组件管理”。 3. 单击“下载客户端”。“客户端类型”选择“仅配置文件”，“下载路径”选择“服务器端”或“远端主机”，自定义文件保存路径后，单击“确定”开始生成客户端配置文件。 4. 将生成的配置文件，保存到本地路径。 具体可参见MapReduce服务文档 。 针对MRS 3.x版本集群： 1. 登录FusionInsight Manager。 2. 通过“系统> >权限>用户”，选择所需用户所在行，点击“更多> >下载认证凭据”下载认证凭据文件。 3. 获取下载的tar包，此即为FusionInsight集群Keytab文件。 针对MRS 2.x及之前版本集群： 1. 登录MRS服务的Manager，单击“系统设置”。在“权限配置”区域，单击“用户管理”。 2. 在需导出keytab文件用户所在的行，选择“更多>下载认证凭据”下载认证文件，待文件自动生成后指定保存位置，并妥善保管该文件。 具体可参见MapReduce服务文档 。 FusionInsight集群 FusionInsight HDFS FusionInsight HBase FusionInsight Hive 1. 登录FusionInsight Manager。 2. 选择“集群> >待操作的集群名称>概览> >更多> >下载客户端”，界面显示“下载集群客户端”对话框。 3. 对话框中选择“仅配置文件”，平台类型和服务端保持一致，单击确认后进行本地下载。 4. 获取下载的tar包，此即为FusionInsight集群配置文件。 具体可参见FusionInsight文档 。 1. 登录FusionInsight Manager。 2. 通过“系统> >权限>用户”，选择所需用户所在行，点击“更多> >下载认证凭据”下载认证凭据文件。 3. 获取下载的tar包，此即为FusionInsight集群Keytab文件。 具体可参见FusionInsight文档 。 Apache集群 Apache HDFS Apache HBase Apache Hive Apache集群场景下，此处仅说明需要哪些配置文件与打包原则，各配置文件的具体获取方式请参见对应版本说明文档。 HDFS需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − krb5.conf（可选，安全模式集群使用） HBase需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − hbasesite.xml − krb5.conf（可选，安全模式集群使用） Hive需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − hivesite.xml − hivemetastoresite.xml − krb5.conf（可选，安全模式集群使用） Apache集群场景下，此处仅说明认证凭据文件打包原则，认证凭据文件具体获取方式请参见对应版本说明文档。 1. 将用户的认证凭据文件重命名为user.keytab。 2. 将user.keytab文件压缩为无目录格式的zip包：user.keytab.zip。

本章节主要介绍ALM14019 DataNode非堆内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS DataNode非堆内存使用率，并把实际的HDFS DataNode非堆内存使用率和阈值相比较。HDFS DataNode非堆内存使用率指标默认提供一个阈值范围。当HDFS DataNode非堆内存使用率超出阈值范围时，产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > HDFS”修改阈值。 当HDFS DataNode非堆内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14019 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 HDFS DataNode非堆内存使用率过高，会影响HDFS的数据读写性能。 可能原因 HDFS DataNode配置的非堆内存不足。 处理步骤 清除无用文件 1.以root用户登录HDFS客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。 如果集群采用安全版本，要进行安全认证。 2.执行hdfs dfs rm r 文件或目录路径命令，确认删除无用的文件。 3.检查本告警是否恢复。 是，处理完毕。 否，执行步骤4。

边缘安全与加速服务的免费版套餐是为个人兴趣爱好开发者、非营利项目、技术验证等场景的入门级服务。该套餐适用于非生产场景的技术验证与能力探索，以零成本体验安全与加速产品能力，并为您的测试站点提供基础防护。 功能范围 支持标准域名接入、基础站点配置及常规安全防护能力。各项功能的具体边界与配额以控制台实际展示为准，部分高级特性仅对付费版本开放。 服务可用性与保障说明 无 SLA 承诺 免费版属于体验型服务，该套餐不提供服务可用性（SLA）承诺，亦不就服务可用率、访问延迟、网络连通性、攻击拦截率等指标作出量化保证。因上述指标波动或不足对您的业务造成影响，边缘安全与加速服务不承担责任。 日常服务保障 尽管无 SLA 承诺，安全与加速仍会为您提供基础服务支持。如您遇到访问异常或功能故障，可提交客户服务工单，将按工单优先级进行排查与处理。 使用建议与限制 适用场景建议 免费版设有流量、规则数上限，不建议用于生产环境或商业营利活动。若您的业务对稳定性、大流量加速或高级安全防护有较高要求，推荐您订购基础版、高级版、企业版或旗舰版套餐，以获得更完善的服务保障。 功能调整说明 为持续优化产品体验，我们保留对免费版功能及配额进行调整的权利。如涉及重大变更，我们将通过控制台公告或邮件等方式提前通知。

本文主要介绍如何导入用户的云数据库实例信息。 前提条件 已登录数据管理服务。 登录用户具有对实例查看或者更高权限。 操作步骤 1. 点击 数据资产 >实例管理 ，进入实例列表界面。 2. 在实例列表页面中，在点击 导入云数据库信息 按钮。 3. 点击 确认 按钮后，开始对当前用户开通的云数据库实例信息进行同步。 4. 同步完成后，在数据管理服务中即可看到对应的实例信息。

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。