根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

如何开通智能体引擎产品？服务收费吗？ 前往天翼云官网智能体引擎产品详情页，点击【开通服务】并根据页面指引进行开通即可；本产品免费开通，公测期间服务免费。 如何运行Agent沙箱？ 方式一：用户可以通过控制台创建 API Key 和 自定义域名，通过web控制台创建并运行沙箱； 方式二：通过客户端安装SDK、配置环境变量后直接启动沙箱；同时，它兼容E2B使用方式，只需替换域名和API Key，即可丝滑迁移现有业务代码，快速接入并运行沙箱。

参数 说明 端口类型 分为具体端口和所有端口两种类型。 具体端口：属于端口映射方式。私网NAT网关会将以指定协议和端口访问该中转IP的请求转发到目标云主机实例的指定端口上。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个私网IP（中转IP），任何访问该中转IP的请求都将转发到目标云主机实例上。 支持协议 协议类型分为TCP和UDP两种类型。端口类型为所有端口时，此参数默认设置为All。端口类型为具体端口时，可配置此参数。 中转子网 选择中转VPC中创建的中转子网，非当前VPC的中转子网。 中转IP 通过该中转IP访问用户IDC或其他VPC。这里只能选择没有被绑定的中转IP，或者被绑定在当前私网NAT网关中非“所有端口”类型DNAT规则上的中转IP，或者被绑定到当前私网NAT网关中SNAT规则上的中转IP。 中转IP端口 中转IP对外提供服务的端口号。端口范围是1～65535。端口类型为具体端口时，需要配置此参数。 实例类型 选择对外部私网提供服务的实例类型。 云主机 虚拟IP地址 负载均衡器 自定义 网卡 服务器网卡。实例类型为云主机时，需要配置此参数。 IP地址 对外部私网提供服务的云主机IP地址。实例类型为自定义时，需要配置此参数。 业务端口 实例对外提供服务的协议端口号。端口范围是1～65535。端口类型为具体端口时，需要配置此参数。 描述 DNAT规则信息描述。最大支持255个字符。

导入应用服务器 云堡垒机提供线下模板，方便您批量导入应用服务器。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3.单击“导入”按钮，弹出“应用服务器导入”对话框，单击“下载导入文件模板”。 4.根据模板提供的配置项说明，填写要导入的应用服务器配置信息。 5.上传已经填写完成后的导入模板，根据需求选择导入策略。 说明 跳过：若存在同名服务器，则跳过该服务器的导入。 覆盖：若存在同名服务器，使用新服务器覆盖旧服务器。 建立副本：若存在同名服务器，则为新服务器增加后缀后导入（后缀新增为1;2……以此类推）。 6.单击“提交”完成应用服务器导入。 添加应用资源 在完成应用服务器添加后，您可添加应用资源至云堡垒机中。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，进入“应用资产”页面。 3.单击“新增”按钮，弹出“新增应用资产”对话框，并填写相关内容。 参数 填写说明 应用名称 填写应用名称，在同一堡垒机内应用名称不得重复。 应用服务器 先选择客户端，然后再选择客户端所属的应用服务器。 客户端当前仅支持：Chrome、IE、Firefox、SecBrowser。 目标地址 填写正确的应用IP或域名。 说明 若网页地址有对应的端口，则地址为URL:端口号。 资产组 选择新增应用资源所属的资产组。 应用描述 填写应用服务器的简要描述。 4.填写完成后，单击“提交”即可完成新增应用资源。

远程桌面连接Windows云主机报错:此计算机无法连接到远程计算机如何处理。 问题描述 使用远程登录方式连接登录Windows云主机时出现如下错误：此计算机无法连接到远程计算机。 图 无法连接到远程计算机 可能原因 服务端安全组3389端口未开启。检查云主机端口配置。 服务端防火墙关闭。检查防火墙配置是否正常 远程桌面连接配置不正确。检查远程桌面连接设置 未开启“Remote Desktop Services”。检查Remote Desktop Services 远程桌面会话主机配置不正确。检查远程桌面会话主机 检查云主机端口配置。 检查云主机的3389端口是否能够访问（默认使用3389端口）。 请确保入方向规则中已添加3389端口。 在云主机的详情页面选择“安全组”页签，查看安全组入方向规则中已添加3389端口。 检查防火墙配置是否正常 检查云主机的防火墙是否开启。 1.在控制台使用VNC方式登录Windows云主机。 2.单击桌面左下角的Windows图标，选择“控制面板 > Windows防火墙”。 图 Windows防火墙 3.单击“启用或关闭Windows防火墙”。 查看并设置防火墙的具体状态：开启或关闭。 图 查看防火墙状态 如果选择开启防火墙，请继续执行以下操作步骤。 4.单击“高级配置”。 5.检查“入站规则”，请确保已启用如下规则。 −远程桌面(TCPIn) 公用 −远程桌面(TCPIn) 域，专用 图 入站规则 如果防火墙入站规则中设置的端口与远程服务器设置的端口不一致，远程访问服务器将无法成功。一旦出现这种情况，您也可以添加新的防火墙入站规则端口。 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 说明 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 完成上述操作后，再次重试远程连接云主机。

简述IPv6功能和配置规则。 功能介绍 天翼云边缘安全加速平台安全与加速服务已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘节点。 配置说明 新增域名时，开启IPv6，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，点击“新增域名”。 3.在域名的基本信息中找到IPv6解析开关，按需开启IPv6。 域名添加完成后，如果需要变更IPv6开关的状态，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，在列表中找到目标域名。 3.变更列表中IPv6解析开关，从“停用”改为“启用”，或者从“启用”改为“停用”。 注意 当DDoS防护开关(非中国内地区域)为开启时，暂不支持开启IPv6。 配置界面 新增域名，开启IPv6： 变更IPv6状态：

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

参数 是否必填 参数类型 说明 示例 下级对象 desktopPoolOid 是 String 并发桌面池ID dpurmb31l1two2so9us14ro keepDuration 否 Integer 用户断开连接后，云电脑所占并发额度的保留时长（单位：分钟），至少是3 33

本章节介绍MSAP管理类常见问题 MSAP系统中可以自定义创建成员？ 添加子账号请访问 控制台。所有操作云容器引擎命名空间（创建环境绑定云容器引擎命名空间或部署应用）的子账号需要先被主账号授予云容器引擎集群命名空间权限，才可以将已授权的集群命名空间权限授予给其他子账号。账号同步需要子账号用户先登录天翼云官网并访问MSAP控制台才可同步成功。 MSAP系统是否支持无限量的创建项目？ 不允许无限量创建项目，因为此数据受租户配额管理，最多允许租户创建100个项目，如确实需要增加项目数，可以联系客服人员进行合理增加。 跳转到日志服务后，检索不到日志内容？ 出现此问题先按照如下方式进行检查。 1. 检查日志插件是否正常安装，可以在日志收集配置处，点击如何收集日志按钮，按照指引跳到对应的插件界面进行检查和安装。 2. 检查日志路径是否配置正确，配置的路径需要是有日志输出的路径才能正确收集到日志，修改了日志路径，需要再次部署应用才能生效。 应用发布成功后，没有注册到环境中添加的注册配置中心？ 程序中能识别的配置要与官方配置内容格式一致。 Springcloud配置： spring.cloud.nacos.discovery.serveraddr: 127.0.0.1:8859 spring.cloud.nacos.discovery.namespace: default spring.cloud.nacos.discovery.username: xxxxx spring.cloud.nacos.discovery.password: xxxxx Dubbo配置:： dubbo.registry.address: 127.0.0.1:8859 dubbo.registry.username: xxxxx dubbo.registry.password: xxxxx dubbo.registry.parameters.namespace: default

本文为您介绍编辑容灾管理中心的具体操作方法。 使用条件 若当前容灾管理中心的云主机或数据库资源在预案阶段已被关联，删除相应资源实例时，需解除绑定关系后再删除。 操作场景 在您创建了容灾管理中心后，可以通过多活容灾服务控制台编辑您创建的容灾管理中心的信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表操作栏中“编辑”按钮，进入容灾管理中心编辑页面。在容灾管理中心编辑页面，可修改描述、EIP、ELB、是否执行所选EIP和ELB的绑定动作，其余信息不支持编辑。 6. 在基础信息部分，可对描述进行编辑。长度为0100个字符。 7. 在网络信息部分，可对绑定的ELB、ELP、是否执行所选EIP和ELB的绑定动作进行修改，点击相应的修改按钮进行修改。 8. 在分区资源状态部分，可对分区名称、纳管的云主机、数据库、存储资源进行编辑，纳管资源的限制与新建容灾管理中心时纳管资源的限制一致，具体请参考：创建容灾管理中心。 注意 对于同城多活类型的容灾管理中心，各个分区纳管的云主机数量需保持一致。 9. 点击页面下方“确认编辑”按钮，完成编辑操作。

密钥自动轮转周期的可设置范围是什么？ 对称密钥支持设置自动轮转周期，周期最短为7天，最长为730天（2年）。 对称密钥支持设置自动轮转，系统根据自动轮转周期自动生成新的密钥版本，并将最新的版本设置为主版本，原密钥版本作为非主版本保存在KMS中，KMS不会删除或禁用非主版本，它们需要被用作解密数据。 非对称密钥是否支持自动轮转？ 非对称密钥不支持设置自动轮转，可以手动创建新的版本。 由于公私钥使用场景的特殊性，KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本，生成全新的一对公钥和私钥。 除此之外，和对称类型的用户主密钥不同，非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 什么情况下需要导入外部密钥？ 当用户拥有自己的密钥材料，需要继续使用该密钥材料实现数据加解密，比如用户需要将本地加密数据迁移到云上时，云上云下共用同一个密钥材料，此时可以将密钥材料导入至KMS中进行托管，便于后续使用。 当您选择密钥材料来源为外部，使用您自己导入的密钥材料时，需要注意以下几点： 请确保您使用了符合安全要求的随机源生成密钥材料； 在使用导入密钥时，需要对自己密钥材料的可靠性负责； 请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时， 用户可以将两台弹性云主机设置为内网互通后再拷贝资源。 安全组配置方法： 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 在两台弹性云主机所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 协议 方向 端口范围/ICMP协议类型 源地址 设置内网互通时使用的协议类型（支持TCP/UDP/ICMP/All） 入方向 设置端口范围或者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个安全组的ID 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

本节介绍云容器引擎的最佳实践： 集群高可靠推荐配置。 本文介绍构建高可用Kubernetes集群的推荐配置。 类型 说明 高可靠配置建议 集群控制节点 云容器引擎专有版有控制节点，可参考如下建议提升集群整体稳定性和可靠性。 集群Master节点多可用区 、集群网络选择服务转发模式、关注配额限制、监控控制节点指标 集群工作节点 一般业务应用容器运行在Kubernetes集群工作节点，可参考如下建议实现控制节点的可扩展性及可修复性，及时关注核心组件的运行状态。 运行npd 配置DNS缓存、合理部署CoreDNS 应用层面 为确保业务应用在流量高峰期不间断正常提供服务，可参考如下建议部署和配置应用，使应用具备弹性，并及时关注应用运行状态提前发现潜在问题。 运行多个实例 设置资源配额、应用多可用区部署、自动弹性伸缩、日志监控告警 集群Master节点多可用区 天翼云每个区域（Region）下有不同的可用区（Availability Zone，AZ）。可用区由一个或多个数据中心组成，具备独立的风火水电。区域的多个AZ间通过高速光纤相连，用户可基于此构建跨AZ高可用系统。 创建集群时，部署模式选择多可用区部署，选择控制节点数为3或以上。多可用区部署模式下，控制节点会尽量分布在不同可用区以增强容灾能力 。

本节主要介绍iSCSI target允许访问列表文件。 允许访问列表文件，包含iSCSI发起方（initiator）允许访问列表和目标端（target）的允许访问列表。 允许访问列表文件为符合UTF8编码格式的JSON文件。 允许访问列表文件格式如下 plaintext { "initiator": [ { "IPs": [ip,ip,...], "names": [name,neme,...] }, { "IPs": [ip,ip,...], "names": [name,neme,...] }, ...... ], "target": [ { "IPs": [ip,ip,...], "NICs": [NIC,NIC,...] }, { "IPs": [ip,ip,...], "NICs": [NIC,NIC,...] }, ...... ] } 参数 参数 类型 描述 是否必须 initiator Array of initiator 指定iSCSI发起方（initiator）允许访问列表。可以设置多组initiator允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。详见“表1 参数initiator说明”。 否 target Array of target 指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和NIC名称，二者为“与”的关系。详见“表2 参数target说明”。 否 表1 参数initiator说明 参数 类型 描述 是否必须 IPs Array of ip 根据initiator IP地址设置iSCSI发起方的允许访问列表。 取值：IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 否 names Array of name 根据initiator名称设置iSCSI发起方的允许访问列表。 取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 否 表2 参数target说明 参数 类型 描述 是否必须 IPs Array of ip 通过target端IP进行设置target允许访问列表，表示只允许通过target端的指定IP访问target。 取值：IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 否 NICs Array of NIC 通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。 取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。 否 示例 plaintext { "initiator": [ { "IPs": [ "192.168.0.70" ], "names": [ "iqn.199105.com.microsoft:songt0001" ] }, { "IPs": [ "192.168.0.66" ] } ], "target": [ { "IPs": [ "192.168.0.64", "192.168.0.67" ] }, { "IPs": [ "192.168.0.65" ], "NICs": [ "eth0" ] } ] }

英语 Model Score PandaGPT 488.5 MiniGPT4 531.7 InstructBLIP 552.4 LLaMAAdapterV2 590.1 LLaVA 602.7 mPLUGOwl 605.4 QwenVLChat 645.2 QwenVLChat1.1 711.6 中文 Model Score VisualGLM 247.1 QwenVLChat 401.2 QwenVLChat1.1 481.7 QwenVLChat 模型在中英文的对齐评测中均取得当前 LVLM 模型下的最好结果。 技术亮点 强大的性能：在四大类多模态任务的标准英文测评中（Zeroshot Caption/VQA/DocVQA/Grounding）上，均取得同等通用模型大小下最好效果。 多语言对话模型：天然支持多语言对话，端到端支持图片里中英双语的长文本识别。 多图交错对话：支持多图输入和比较，指定图片问答，多图文学创作等。 首个支持中文开放域定位的通用模型：通过中文开放域语言表达进行检测框标注。 细粒度识别和理解：相比于目前其它开源LVLM使用的224分辨率，QwenVL是首个开源的448分辨率的LVLM模型。更高分辨率可以提升细粒度的文字识别、文档问答和检测框标注。 版本列表 版本列表 版本说明 QwenVLChat QwenVL系列模型提供了QwenVL和QwenVLChat两个模型，分别为预训练模型和Chat模型。 相关资源及引用

本章节介绍如何使用云原生网关实现后端访问签名 概述 后端访问签名功能支持您在后端服务中开启身份认证后，填写设定的一对Access Key和Secret Key，并根据选择的认证算法和加密算法，以及加密Headers列表，计算出相应的签名信息。当通过网关请求该服务时，会将该服务的签名信息设置在Header请求头中，从而后端服务对比网关的签名和服务器端计算的签名是否一致进行身份验证与鉴权。 前提 1. 已开通云原生网关实例 2. 已部署能够进行验证Header签名信息的后端服务 网关中实现后端访问签名 1. 部署服务，可选择容器部署、Nacos注册或固定地址。 2. 进入服务详情。 3. 后端访问签名栏点击编辑。 4. 打开 开启身份认证开关。 5. 选择认证算法（目前云原生网关只支持Hmac算法，后续将支持更多算法），填写加密关键信息。 6. 点击保存。 7. 为该服务创建路由。 8. 请求路由。 其中，Hmac认证算法的关键属性如下： 名称 描述 Access Key 唯一标识符。 Secret Key 与Access Key配对使用。 加密算法 支持hmacsha1，hmacsha256和hmacsha512三种加密算法。 加密Headers列表 要在加密计算中使用的headers 列表。指定后客户端请求只能在此范围内指定 headers，如果未指定，就会在所有客户端请求指定的 headers 加入加密计算。 URL参数编码 当设置为是时，将对签名中的URI参数进行编码，默认为是。

本文为您介绍创建命名空间的具体操作。 使用限制 同一子账号下最多支持创建10个命名空间。 命名空间与容灾管理中心为1:10绑定关系。 若容灾中心涉及三方数据中心，需预先在三方数据中心管理模块中完成创建。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “命名空间”，进入命名空间页面。点击右上角“创建命名空间”按钮，进入创建命名空间页面。 5. 选择容灾形态。当前仅支持同城主备、同城多活、异地主备。 6. 输入命名空间名称。注意：名称长度为263字符，由文字、数字、字母、组成，不能以数字和开头、且不能以结尾。 7. 选择企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。默认名称default。 8. 填写容灾分区的相关信息，配置项详细说明见下表。 参数 是否必填 配置说明 容灾形态 √ 选择命名空间的容灾形态。 同城多活：多活业务中各多活子信息系统均处于同一地理区域，建议物理距离<100KM。 同城主备：同城主备业务中各生产子信息系统均处于同一地理区域，建议物理距离<100KM，且灾备中心需要手动拉起。 异地主备：异地主备业务中各生产子信息系统均处于不同地理区域，建议物理距离＞100KM，且灾备中心需要手动拉起。 名称 √ 填写命名空间名称，用以实现租户粒度的管控配置和资源隔离。 长度为263字符，由文字、数字、字母、组成，不能以数字和开头且不能以结尾。同一主账号下命名空间名称不可重复。 描述 × 填写命名空间的描述信息。 长度为0100个字符。 企业项目 √ 选择命名空间所在的企业项目。 选择对应的企业项目后，可将命名空间和企业项目关联。仅企业账号可见此配置项。默认名称default。 容灾分区 √ 展示容灾分区相关信息，如分区角色、分区名称、地域、可用区等。 分区角色 √ 选择分区角色。 容灾形态为同城多活时，容灾分区为分区1、2，最多可创建3个分区。 容灾形态为同城主备/异地主备时，容灾分区为生产中心、容灾中心，不可增加分区。 分区类型 √ 选择分区角色的分区类型。 容灾形态为同城多活时，分区类型为天翼云。 容灾形态为同城主备/异地主备时，生产中心的分区类型可选择天翼云或三方数据中心。容灾中心的分区类型为天翼云。 注：MDR在同城/异地主备场景下支持三方数据中心为生产中心。 分区名称 √ 填写不同分区名称。 由文字、数字、字母、组成，不能以数字和开头且不能以结尾。同一命名空间下分区名称不可重复。 地域 √ 分区类型为天翼云时展示，可选支持MDR多活容灾服务的资源池信息。 容灾形态为同城多活时，不同分区需选择同一地域，且可新增一个分区。 容灾形态为同城主备时，生产中心和容灾中心需选择同一个地域，不可增加分区。 容灾形态为异地主备时，生产中心和容灾中心可选择不同地域，不可增加分区。 可用区 √ 分区类型为天翼云时展示，可选当前区域下所有可用区信息。不同可用区之间物理隔离，但内网互通。 三方数据中心 √ 分区类型为三方数据中心时展示，可选在三方数据中心模块下创建的所有三方数据中心。 9. 点击“立即创建”按钮，完成命名空间创建。 10. 在命名空间列表页，可以查看已经创建的命名空间相关信息，如命名空间名称、容灾形态、所属企业项目、分区角色、分区名称、分区位置、资源实例数、创建时间及相关操作等。其中，资源实例数指资源模块中加入该命名空间下资源实例数量，当前包含的资源类型有云主机、数据库、对象存储。

本文主要介绍云日志服务如何采集日志。 以下将以弹性云主机为例完成日志采集接入。 前提条件 已创建日志项目与日志单元，详情参考创建日志项目与日志单元。 已开通可用的天翼云linux弹性云主机，且持续产生日志至特定的日志文件中。 操作步骤 1. 登录云日志服务控制台。 2. 左侧点击【日志接入】菜单，进入日志接入页面。选择云主机文本日志。 3. 选择日志单元。 1. 点击“所属日志项目”后的目标框，在下拉列表中选择具体的日志项目，若没有所需的日志项目，点击“所属日志项目”目标框后的“新建”，在弹出的创建日志项目页面创建新的日志项目。 2. 点击“所属日志单元”后的目标框，在下拉列表中选择具体的日志单元，若没有所需的日志单元，点击“所属日志单元”目标框后的“新建”，在弹出的创建日志单元页面创建新的日志单元。 4. 选择主机组。在主机组列表中选择一个或多个需要采集日志的主机组。 若没有所需的主机组，单击列表上方“新建主机组”，可参考主机组管理中的创建主机组方法。 5. 配置采集规则。请按如下说明配置参数。参数配置完成后，点击下一步。 1. 采集规则名称：输入采集规则的名称，在所属的日志项目内不允许重复。 2. 采集路径：根据日志在服务器上的位置，设置日志目录和文件名称。 如/var/log/nginx/access.log。 3. 设置采集黑名单：默认关闭。 4. 采集策略：选择“全量”。 5. 切割模式：针对原始日志执行分词的模式，本案例选择“单行全文”，其它切割模式请查看日志结构化解析。 6. 最大目录深度：保持默认为“5”。 6. 索引配置。（可选项） 本案例中，索引配置保持默认即可，您可直接点击【下一步】。更多详情请查看索引配置。 7. 点击下一步后，接入成功，可以点击【返回接入配置列表】查看日志接入，也可单击【查询日志】查看该日志单元下的日志数据。

Kafka 消费的语义是 “at least once”， 也就是至少投递一次，保证消息不丢，但是不会保证消息不重复。在出现网络问题、客户端重启时均有可能出现少量重复消息，此时应用消费端如果对消息重复比较敏感（比如说订单交易类），则应该做到消息幂等。 以数据库类应用为例，常用做法是： 发送消息时，传入 key 作为唯一流水号ID； 消费消息时，判断 key 是否已经消费过，如果已经消费过了，则忽略，如果没消费过，则消费一次； 当然，如果应用本身对少量消息重复不敏感，则不需要做此类幂等检查。

本文为您介绍什么是专有宿主机。 产品介绍 天翼云专有宿主机是一款提供物理资源完全独享的云服务器产品。您可以将云服务器实例部署在专属的物理主机上，满足对资源隔离、安全合规和性能稳定的严苛要求。与多租户共享的虚拟化环境不同，专有宿主机确保您独享整台物理服务器的所有计算资源。 专有宿主机与共享宿主机的区别如下图所示: 核心概念 1. 资源独享与强隔离：作为专有宿主机的唯一租户，您无需与其他用户共享计算物理资源，彻底避免资源共用带来的性格干扰与安全风险。 2. 虚拟化控制权：您在专有物理资源上拥有完整的虚拟化调度权，可以自主规划、创建、管理多台云主机实例。 应用场景 场景一：对系统稳定运行有要求的行业 对系统的运行稳定性有要求的业务，比如企业关键应用上云，专有宿主机能够为关键业务上云提供专属的计算与，并通过高度可靠的逻辑隔离网络环境，满足业务系统对高可靠性、高性能和高安全性的运行要求，确保系统稳定运行。 场景二：对资源使用灵活性要求高的行业 对于需要自主规划和部署资源的场景，专有宿主机支持用户在指定上部署ECS实例，并提供自动部署功能。使用专有宿主机可以查看云主机与专有宿主机的拓扑关系，可以通过控制台灵活地创建和删除资源，借助镜像服务及备份服务快速部署或恢复环境。灵活的部署与有助于提升用户对应用架构的编排与控制能力。 场景三：受严格监管与高标准防护约束的行业应用 在金融、政务等对安全性、性能及可靠性有高要求的领域，专有宿主机提供了一个独享物理服务器资源的单用户环境，即用户独占物理主机，保证对其享有更多的控制权，且与其他用户的资源物理隔离，满足了用户对合规性、安全性的需求。

本文为您介绍如何通过IAM用户控制资源访问。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云硬盘备份VBS资源的访问。 操作步骤如下： 第1步：创建IAM子用户 具体操作，请参见统一身份认证IAM创建用户。 第2步：创建自定义策略 天翼云提供了访问云硬盘备份VBS资源的系统策略，更多信息，请参见“统一身份认证IAM权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证IAM创建自定义策略。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和授权项（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a）脚本配置策略示例一：为IAM子用户配置云硬盘备份查看者权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "vbs: backupStrategy: list", "vbs: repository: list", "vbs: repository: get", "vbs: backup: list", "vbs: backupStrategy: get", "vbs: job: list" ], "Effect": "Allow" } ] } b）脚本配置策略示例二：为IAM子用户配置云硬盘备份所有操作权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "vbs: repository: create", "vbs: backupStrategy: list", "vbs: repository: update", "vbs: repository: delete", "vbs: backup: create", "vbs: repository: list", "vbs: repository: get", "vbs: backup: list", "vbs: repository: set", "vbs: backupStrategy: binding", "vbs: backup: restore", "vbs: backup: delete", "vbs: backupStrategy: create", "vbs: backupStrategy: set", "vbs: backupStrategy: enable", "vbs: backupStrategy: pause", "vbs: backupStrategy: unbinding", "vbs: backupStrategy: delete", "vbs: backupStrategy: get", ], "Effect": "Allow" } ] }

本文介绍Redis如何配置安全组 客户端只能部署在与Redis缓存实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（CTECS）上。 除了CTECS、Redis缓存实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问Redis缓存实例。 如果CTECS、Redis缓存实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。 如果CTECS、Redis缓存实例配置了不同安全组，可参考如下配置方式： 说明： 假设CTECS、Redis缓存实例分别配置了安全组：sgsCTECS、sgsDCS。 以Redis访问端口33016为例，其它实例请以实际情况为准。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Redis缓存实例。如果出方向规则不受限，则不用添加。 配置Redis缓存实例所在安全组。Redis实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。

本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

参数 说明 区域 终端节点服务所在区域。 不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 名称 可选参数。 终端节点服务的名称。 长度不大于16，支持大小写字母、数字、下划线、中划线。 如果您不填写该参数，系统生成的终端节点服务的名称为{region}.{serviceid}。 如果您填写该参数，系统生成的终端节点服务的名称为{region}.{Name}.{serviceid}。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。 可选择开启或关闭连接审批。 若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批，详细操作请查看 连接审批 。 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明 通过“终端端口→ 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。 可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。 此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的“添加安全组规则”。 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

本文介绍Kafka如何配置安全组 客户端只能部署在与Kafka实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（CTECS）上。 除了CTECS、Kafka实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问Kafka实例。 如果CTECS、Kafka实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。 如果CTECS、Kafka实例配置了不同安全组，可参考如下配置方式： 说明 假设CTECS、Kafka实例分别配置了安全组：sgsCTECS、sgsKafka。 以Kafka访问端口9098为例，其它实例请以实际情况为准。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。 配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。

本文帮助您快速熟悉对等连接编辑标签的操作。 操作场景 当您的云环境中存在多个对等连接时，使用标签可以帮助您对其进行分类分组管理，提高资源的管理效率。 在为对等连接编辑标签时，通常需要指定标签键和标签值来标识和分类对等连接。标签键用于描述标签的分类或属性，而标签值则用于具体区分不同的对等连接。 说明 该功能仅白名单用户可见，请以实际控制台页面为准。 使用须知 每个资源可以最多添加10个标签。 标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 添加标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 输入标签键和标签值，点击“确定”。 6. 在对等连接列表，还支持对已创建的对等连接批量编辑标签/批量解绑标签。 修改标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 在弹出的标签页，输入修改的“键”和“值”。 6. 点击“确定”，完成标签修改。

本文帮助您快速熟悉调整ACL规则优先级的操作流程。 使用场景 ACL 规则可以设置优先级，优先级的数值越小，优先级越高。当您需要将一些重要的规则放在ACL规则列表的顶部，以确保这些规则能够被最先匹配到并执行时，可以通过调整ACL规则的优先级实现。 默认规则为“”，代表最低优先级。默认规则仅可用区资源池适用。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 不同类型资源池对于ACL优先级能力的支持方式是有差异的，详细可见操作步骤。不同资源池列表见产品简介资源池区别页面。 操作步骤 1、登录控制中心。 2、在控制中心页面左上角点击，选择区域，本文我们选择华东1和佛山3为例。 3、依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4、在左侧导航栏，选择“访问控制ACL”选项。 5、在“ACL”界面，选择需要添加规则的ACL。 6、进入“ACL”详情页面，调整规则优先级。 地域资源池： 点击入方向/出方向规则列的“调整优先级”按钮，进入调整优先级弹框界面； 鼠标上下拖动ACL规则即可对优先级进行调整，然后单击“确定”。 可用区资源池： 点击目标ACL规则操作列的修改按钮，在修改弹窗中更改目标ACL规则的优先级，修改完成后单击“确定”； ACL优先级范围132766，同一个ACL实例内不允许多条规则的优先级相同（系统默认规则除外）。

本节主要介绍分布式缓存服务Redis版的计费模式 目前天翼云分布式缓存服务Redis版提供包周期（包年/包月）、按需2种计费模式供您灵活选择，使用越久越便宜。 包周期（包年/包月）：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费：这种购买方式比较灵活，可以即开即停，支持秒级计费。实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。 下表列出两种模式的区别： 计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于消息资源需求波动的场景，可以随时开通，随时删除。 包周期与按需计费方式之间可以进行转换，具体操作请参考包周期与按需互转。

本文介绍atop和kdump的配置方法。 atop配置 atop简介 atop是一款功能非常强大的Linux服务器监控工具。它能定期记录系统运行状态，并采集系统资源（如CPU、内存、磁盘、网络）的使用情况，同时还会监控进程的运行情况。通过将这些数据保存为日志文件的方式，我们可以在服务器出现问题时获取相应的atop日志文件进行详细分析。无论是查看系统资源的使用情况，还是追踪特定进程的运行状况，atop都能提供有用的信息。 使用atop工具，系统管理员可以及时发现服务器的性能瓶颈、异常情况以及资源利用率等问题，从而更好地管理和优化服务器的运行。 CentOS 8系列操作系统atop配置方法 1. 通过远程登录或本地登录的方式登录弹性云主机。 2. 下载atop安装包。命令如下。 wget 3. 执行以下命令安装atop。 rpm ivh atop2.6.01.el8.x8664.rpm 4. 编辑配置文件，修改采样周期，atop配置文件为/etc/default/atop。 vi /etc/default/atop 可以根据自己的实际需求修改如下配置参数，修改后保存并退出。 LOGINTERVAL15 LOGGENERATIONS7 LOGPATH/var/log/atop/ 参数说明： LOGINTERVAL：监控周期，单位为秒，默认600s采集一次数据，建议修改为15s。 LOGGENERATIONS：日志保留时间，单位为天，默认保留时间为28天，建议修改为7天，避免大量占用磁盘空间。 LOGPATH：日志保存路径。默认路径为/var/log/atop/。 5. 重启atop服务。 systemctl restart atop 6. 可以设置atop服务自启动（根据实际情况设置）。 systemctl enable atop 7. 检查是否启动成功，active(running)表示运行正常。 systemctl status atop

本文帮助您快速熟悉对等连接编辑标签的操作。 操作场景 当您的云环境中存在多个对等连接时，使用标签可以帮助您对其进行分类分组管理，提高资源的管理效率。 在为对等连接编辑标签时，通常需要指定标签键和标签值来标识和分类对等连接。标签键用于描述标签的分类或属性，而标签值则用于具体区分不同的对等连接。 说明 该功能仅白名单用户可见，请以实际控制台页面为准。 使用须知 每个资源可以最多添加10个标签。 标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 添加标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 输入标签键和标签值，点击“确定”。 6. 在对等连接列表，还支持对已创建的对等连接批量编辑标签/批量解绑标签。 修改标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 在弹出的标签页，输入修改的“键”和“值”。 6. 点击“确定”，完成标签修改。

本章节主要介绍翼MapReduce服务Storm健康检查指标项说明。 工作节点数 指标项名称 ：Supervisor数 指标项含义 ：检查集群中可用的Supervisor数，若集群中可用的Supervisor数小于1，则认为不健康。 恢复指导 ：如果该指标项异常，进入Streaming服务实例页面，单击不可用Supervisor实例的“主机名”，在“概要信息”中查看主机的健康状态，若为“良好”，则参见“ALM12007 进程故障”告警进行处理；若不为“良好”，则参见“ALM12006 节点故障”告警进行处理。 空闲Slot数 指标项名称 ：空闲Slot数 指标项含义 ：检查集群中空闲的Slot数，若集群中空闲slot数目小于1，则认为不健康。 恢复指导 ：如果该指标项异常，进入Storm服务实例页面，查看Supervisor实例的“健康状态”，若均为“良好”，则需要扩容集群Core节点；若不为良好，则参见“ALM12007 进程故障”告警进行处理。 服务健康状态 指标项名称 ：服务状态 指标项含义 ：检查Storm服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见“ALM26051 Storm服务不可用”告警进行处理。

本章节主要介绍翼MapReduce服务查看配置。 用户可以在MRS Manager上查看服务（含角色）和角色实例的配置。 操作步骤 查看服务的配置 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“服务配置”。 4. 在“参数类别”选择“全部配置”，界面上将显示该服务的全部配置参数导航树，导航树从上到下的根节点分别为服务名称和角色名称。 5. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 在服务节点下的参数属于服务配置参数，在角色节点下的参数是角色配置参数。 6. 在“非默认”选项中选择“非默认”，界面上显示参数值为非默认值的参数。 查看角色实例的配置 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“实例”页签。 4. 单击角色实例列表中指定的角色实例名称。 5. 单击“实例配置”。 6. 在“参数类别”选择“全部配置”，界面上将显示该角色实例的全部配置参数导航树。 7. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 8. 在“非默认”选项中选择“非默认”，界面上显示参数值为非默认值的参数。