本案例用于指导用户在科研助手上使用 Dify 快速搭建 DeepSeek 知识库。 概述 DeepSeekR1 DeepSeekR1 是幻方量化旗下 AI 公司深度求索（DeepSeek）研发的一款高性能推理模型。该模型使用强化学习技术进行后训练，专注于提升在数学、代码和自然语言推理等复杂任务上的表现。 DeepSeekR1 在需要逻辑推理、思维链推理和实时决策的任务中表现出色，如解决高级数学问题、生成复杂代码、解析复杂科学问题等。在类似 Codeforces 的挑战场景中获得了2029 Elo 评分；在复杂推理基准测试中，表现与 OpenAI 的 o1 模型相当。尽管总共有6710亿的庞大参数，但每次前向传递时仅激活370亿个参数，比大多数大模型更加高效的利用资源。 Dify Dify 是一站式大模型应用开发平台，降低开发门槛，集成数据管理、Prompt 工程等功能，支持多模型，可云端和本地部署，适用于智能客服、内容生成、智能助手等场景，显著提升开发效率。 当前在科研助手的社区镜像中，我们已经为您提前部署好了基于 Dify 搭建的DeepSeekR1:7B模型，方便您即刻体验，开箱即用。 前置说明 1. 该文档为在科研助手上使用 Dify 快速搭建 DeepSeek 知识库的说明； 2. 本产品中的模型由第三方主体提供，尽管云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责。 环境准备

应用性能监控APM的主要功能特性如下。 应用性能监控APM是一款云原生可观测产品，包含服务端应用监控、前端应用监控、应用拓扑、链路追踪、容器运维监控、告警管理等一系列能力。帮助您提高监控效率，减少运维工作量。 应用接入 支持多语言接入：支持包括Java在内的更多语言，诸如常见的Go、Python、Node.Js等等。 兼容多协议接入：基于OpenTelemetry标准，全面兼容Jaeger、SkyWalking等多种开源产品。 Java应用无侵入式接入：无需客户修改应用代码，只需为应用安装一个探针，不会影响到应用本身运行。 应用监控 JVM监控分析：包含内存、GC、线程等监控。 其他基础监控：包含资源监控、Netty内存和Java方法。 数据库监控：提供各类数据库的监控展示。包含MySQL、ClickHouse、Postgresql（即将上线）、Elasticsearch、MongoDb、DBCP连接池、Druid连接池、C3P0连接池等。 缓存监控：提供各类缓存的监控展示。包含Redis、Jedis、Lettuce等。 消息监控：提供各类消息的监控展示。包含kafkaConsumer、KafkaProducer、RabbitMqConsumer、RabbitMqProducer等。 Web容器监控：包含Tomcat监控。 各类调用监控：包含接口调用、外部调用监控等。 异常错误分析：综合分析应用异常和错误情况，提供趋势图及问题明细，对错、慢SQL等常见问题进行更细致的分析。 上下游依赖分析：对链路上下游进行监控展示。 页面访问速度：括首次渲染时间、首屏时间、DOM Ready时间、资源加载时间等 JS错误诊断：JS错误的基本信息和分布情况，以及回溯用户行为。 请求监控：调用成功率、返回信息、成功或失败的平均耗时等。

本节主要介绍Redis实例如何通过rediscli连接 rediscli是原生Redis自带的命令行工具，您可以在ECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 前提条件 1. 设置Redis账号密码。可选择以下任意方式： 设置Redis默认账号的密码，具体操作请参考重置缓存实例密码。 创建新的账号密码，具体操作请参考创建与管理账号。 2. 获取Redis连接信息。 使用专有网络连接：在Redis控制台，获取该实例的专有网络连接地址，具体操作请参考查看连接地址。 使用公网连接时：在Redis控制台，绑定并获取该实例的公网IP，具体操作请参考绑定公网IP。 说明 说明：Redis实例默认仅提供专有网络连接地址，通过公网连接时您需要手动申请公网连接地址，具体操作请查看 操作步骤 1. 登录安装rediscli的设备，例如天翼云弹性云主机实例或本地设备。 2. 进入rediscli安装目录下。 Windows：打开命令行窗口，进入rediscli所属的目录。 Linux：进入..redissrc所属的目录，例如cd /home/redis5.0.5/src。 3. 获取连接信息并执行下述命令连接Redis实例： rediscli h ip p port 各参数说明如下： 参数 说明 获取方式 ip Redis实例的连接地址 参见查看连接地址 port Redis实例的端口号 端口号。 4. 执行下述命令完成密码验证： AUTH password

本节主要介绍如何在智能视图服务控制台管理AI应用。 如果想使用智能分析服务，需要创建AI应用，并为要进行AI分析的设备绑定AI应用。 点击左侧导航栏的【AI管理AI应用】，可以查看平台的所有AI应用列表，包括算法类型、分析类型、描述、关联设备数等信息，用户可以进行查看/编辑/删除应用、查看分析结果和告警统计等操作。 创建AI应用 点击【新建AI应用】按钮，用户选择想要使用的AI算法，目前天翼云智能视图服务支持的算法包含人脸识别、人体识别和场景识别三种类别，也可以在右上角输入算法名称或者算法描述关键字进行搜索，找到目标算法后点击【选择】，进入下一步。 输入自定义应用名称并完成应用配置，包含以下配置项。 分析类型：包含分钟级、秒级和高算力型。 生效时段：支持配置AI分析时段，可选择全天或者指定时间段，支持添加多个生效时间段。 置信度：置信度越高，则会提升告警结果的准确率，但会存在漏检的情况；置信度越低，则可以捕捉到更多可能的告警，但会存在更多误检的情况。 告警配置：开启后可优化AI告警信息频繁的情况，自定义设置静默规则，包括告警周期、告警数量阈值和静默时间，可以压缩AI告警信息。

本章节举例介绍函数计算的典型应用场景,包括:Web应用、数据分析和处理、AI推理、视频转码等。 Web应用 Web应用是一种典型的事件驱动应用。函数计算搭配数据库、缓存、消息中间件等云产品，开发者只需要编写业务代码即可快速构建可靠的、可弹性伸缩的Web应用。这些程序可同时部署在多个数据中心实现高可用运行。 1. 简化开发流程：开发者只需专注于编写业务代码，而无需担心底层基础设施的管理和维护，从而大幅简化了开发流程。 2. 高可用性：Web应用可以轻松部署在多个数据中心，实现高可用运行。 3. 弹性扩展：基于请求量的实时变化，快速调度计算资源，实现毫秒级的自动弹性伸缩，高效应对业务洪峰。 4. 平滑迁移：支持多种开发语言和自定义运行时，兼容传统应用框架，传统Web应用到函数计算易迁移。 数据分析和处理 函数计算支持丰富的事件源。通过简单地配置事件触发条件，只需要很少的配置和代码，函数计算就可以对数据进行实时分析和处理。比如对日志数据进行清洗和处理、对上传对象存储的文件进行解压、校验和转换等。 1. 高灵活度：事件的处理逻辑可以根据实际业务场景的不同灵活定义。 2. 配置简单：支持各类事件源，只需要简单的配置就可以进行实时数据分析和处理。

本小节介绍等保咨询服务常见问题。 本产品是否支持试用？ 等保咨询服务不支持试用。如果您需要使用等保咨询服务，可以联系客服进一步了解该服务的内容和优势。感谢您的理解和支持。 本产品下订单后是否支持退订？ 等保咨询服务一旦服务开始后便不支持退订，感谢您的理解和支持。 等保咨询服务的报价依据包含哪些方面？ 主要依据系统等级（涉及测评项不同）、服务版本（标准版或精简版）、云主机数量（涉及工作量不同）、地区（不同省份人工成本有差距）、是否首次测评（首次涉及工作量较多，如：加固建议，管理建议等）、系统行业（不同行业有不同等保标准）。 什么是等级保护？ 等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等保咨询的服务范围包含哪些方面？ 等保咨询简化服务：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准服务：包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本章节主要介绍DataArts Studio的开发一个Hive SQL作业流程。 本章节介绍如何在数据开发模块上进行Hive SQL开发。 场景说明 数据开发模块作为一站式大数据开发平台，支持多种大数据工具的开发。Hive是基于Hadoop的一个数据仓库工具，可以将结构化的数据文件映射为一张数据库表，并提供简单的SQL查询功能；可以将SQL语句转换为MapReduce任务进行运行。 环境准备 已开通MapReduce服务MRS，并创建MRS集群，为Hive SQL提供运行环境。 MRS集群创建时，组件要包含Hive。 已开通数据集成CDM，并创建CDM集群，为数据开发模块提供数据开发模块与MRS通信的代理。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与MRS集群保持一致，确保网络互通。 建立Hive的数据连接 开发Hive SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到MRS Hive的连接，数据连接名称为“hive1009”。 关键参数说明： 集群名：已创建的MRS集群。 绑定Agent：已创建的CDM集群。 开发Hive SQL脚本 在“数据开发 > 脚本开发”模块中创建一个Hive SQL脚本，脚本名称为“hivesql”。在编辑器中输入SQL语句，通过SQL语句来实现业务需求。 开发脚本 关键说明： 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：建立Hive的数据连接创建的连接。

本文介绍天翼云全站加速节点下线优化措施。 节点说明 天翼云全站加速，在中国内地拥有1800+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市。在海外、中国香港、中国澳门和中国台湾拥有500+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达150Tbps。 天翼云会不定期进行节点设备升级、版本更新、线路割接甚至节点下线等等的操作。为了确保全网节点稳定、可靠运行，天翼云采取完善的运维措施来保障节点下线可能导致的影响。 运维措施 为了保障服务可用性，节点运维是CDN厂商均会进行的常规维护操作。例如： 节点监测及实时调度：当节点出现线路故障或者承载过大时，天翼云实时调度系统根据内部处理规范，会将该节点进行剔除，实时将流量调度解析至临近的正常节点上提供服务，最大限度保障用户的访问体验。 节点运维时间：通常运维时间选择在业务低峰期，一般是凌晨进行操作，避免对客户业务造成影响。 节点运维量级：节点运维的频率较低，且有一整套严格的下线流程及应急措施，平滑调度，客户无感知。 用户侧建议措施 但是存在一种情况：本地运营商、客户端的DNS缓存会导致部分用户仍然访问到已下线的节点，导致访问失败。此时建议用户采取以下方法降低影响： 清理客户端的DNS缓存。 联系本地运营商清理DNS缓存。

本文主要介绍分布式消息服务RabbitMQ的产品优势。 天翼云分布式消息服务RabbitMQ完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单，后台将自动创建部署完成一整套RabbitMQ实例。 兼容开源，业务零改动迁移上云 兼容社区版RabbitMQ的API，具备原生RabbitMQ的所有消息处理特性。 业务系统基于开源的RabbitMQ进行开发，只需加入少量认证安全配置，即可使用天翼云分布式消息服务RabbitMQ，做到无缝迁移。 说明 RabbitMQ实例兼容开源社区RabbitMQ 3.8.35版本。 独占式体验 RabbitMQ实例采用物理隔离的方式部署，租户独占RabbitMQ实例，每个RabbitMQ之间互不影响。 高性能 单队列性能最高可达10万TPS（默认配置），增加队列可获得更高性能。 数据安全 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 无忧运维 天翼云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。RabbitMQ专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。

阶段 限制说明 变更说明 磁盘扩容 云数据库 RDS for PostgreSQL实例最大可扩容至4000GB，扩容次数没有限制。 如果是主备实例，针对主实例扩容时，会同时对其备实例进行扩容。 扩容过程中，该实例不可删除。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。 磁盘扩容需要3～5分钟。 磁盘缩容 实例状态仅为“正常”时可以调整磁盘大小。 只支持存储类型为超高IO的实例。 当只读实例规格小于主实例规格时，有缩容失败的风险，建议只读实例规格大于等于主实例的规格。 磁盘缩容在业务高峰期执行，可能会使磁盘空间被耗尽，导致磁盘缩容失败，请在业务低峰期操作。 使用缩容前的备份进行恢复时，请选择大于等于缩容前磁盘大小的实例。 缩容会预留40GB的空间以防磁盘写满只读，所以可缩容的最小值为：当前磁盘使用量+预留空间大小（40G）。 如果是主备实例，针对主实例缩容时，会同时对其备实例进行缩容。 缩容过程中，该实例不可删除。 选择磁盘加密的实例，缩容后的磁盘空间依然会使用原加密密钥进行加密。 非业务高峰期，磁盘缩容时长和实例的资源使用情况及数据量相关，数据越多，时间越久。 在IO，CPU等资源充足条件下，1TB数据量完成缩容预计需要9小时左右。

本节介绍了停止实例的操作场景、约束限制、操作步骤等相关内容。 操作场景 如果您仅使用数据库实例进行日常开发活动，目前支持对实例进行关机，通过暂时停止按需实例以节省费用。 费用说明 实例停止后，虚拟机（VM）停止收费，其余资源包括弹性公网IP（EIP）、存储资源、备份正常计费。 约束限制 此能力目前已上线苏州、广州4资源池。 仅支持停止存储类型为超高IO、极速型SSD的按需实例，专属云RDS不支持停止实例。 已停止的实例被删除后不会进入回收站。 实例停止后，自动备份任务也会停止。实例开启后，会自动触发一次全量备份。 停止主实例时，如果存在只读实例，会同时停止只读实例。主实例和只读实例均默认停止十五天。不支持单独停止只读实例。 实例默认停止十五天，如果您在十五天后未手动开启实例，数据库实例将于十五天后的下一个可维护时间段内自动启动。可维护时间段的详细内容请参考设置可维护时间段，开启实例操作步骤请参考开启实例。 按需付费的数据库实例停止实例后，可能会由于底层ECS资源不足引起开启失败。若实例开启失败，可稍后再次尝试开启，或利用最新备份文件全量数据恢复：按备份文件恢复。 业务高峰期停止实例可能会导致实例停止失败，建议在业务低峰期停止实例。

本文主要介绍 CCE发布Kubernetes 1.19版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.19版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.19版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.19.10 Kubernetes 1.19版本弃用部分常用的APIVersion。建议您在升级集群前对本文档中所列举的弃用APIVersion进行相应升级。 CCE集群 Docker CentOS：18.09.0.100 Ubuntu：18.09.9 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 社区1.19 ReleaseNotes 增加对vSphere intree卷迁移至vSphere CSI驱动的支持。intree vSphere Volume插件将不再使用，并在将来的版本中删除。 apiextensions.k8s.io/v1beta1已弃用，推荐使用apiextensions.k8s.io/v1。 apiregistration.k8s.io/v1beta1已弃用，推荐使用apiregistration.k8s.io/v1。 authentication.k8s.io/v1beta1、authorization.k8s.io/v1beta1已弃用，1.22将移除，推荐使用authentication.k8s.io/v1、authorization.k8s.io/v1。 autoscaling/v2beta1已弃用，推荐使用autoscaling/v2beta2。 coordination.k8s.io/v1beta1在1.19中已弃用，1.22将移除，推荐使用v1。 Kubeapiserver: componentstatus API已弃用。 Kubeadm：kubeadm config view命令已被弃用，并将在未来版本中删除，请使用kubectl get cm o yaml n kubesystem kubeadmconfig来直接获取kubeadm配置。 Kubeadm：弃用kubeadm alpha kubelet config enabledynamic命令。 Kubeadm：kubeadm alpha certs renew命令useapi参数已弃用。 Kubernetes不再支持构建hyperkube镜像。 Remove export flag from kubectl get command kubectl get中移除 export参数。 alpha特性“ResourceLimitsPriorityFunction”已完全删除。 storage.k8s.io/v1beta1已弃用，推荐使用storage.k8s.io/v1。

本文针对linux文件系统提示“readonly file system”问题给出修复方案请您参考。 问题现象 Linux操作系统云主机删除或者修改文件的时候会提示文件系统：Readonly file system，最终导致操作失败。 问题分析 造成这个问题的原因大多数是因为非正常关机后导致文件系统受损引起的，在系统重启之后，受损分区就会被Linux自动挂载为只读。解决的方法是通过fsck来修复文件系统，然后重启即可。报错readonly file system的原因是所在的分区只有读权限，没有写权限(如下图)。 解决方法 使用fsck手动修复，具体操作如下： 重启系统后使用root进入单用户模式，运行。 fsck.ext3 y /dev/vda3 说明 ext3的文件系统使用fsck.ext3，ext4文件系统使用fsck.etx4。/dev/vda3是系统/根分区。运行完毕后，reboot重启系统就恢复正常。fsck.ext3开始进入扫描、修正文件系统，这个过程有时很快，有时比较长，中间有数次停顿的过程，只需等待即可，千万不要以为死机而重启服务器。修正完文件系统后，如果没有提示重启系统，也需要reboot来重启系统。 附fsck参数详解： 使用方法：fsck [参数] 设备名 参数： t : 给定档案系统的型式，若在/etc/fstab中已有定义或kernel 本身已支援的则不需加上此参数。 s : 依序一个一个地执行fsck 的指令来检查。 A : 对/etc/fstab 中所有列出来的partition做检查。 C : 显示完整的检查进度。 d : 列印e2fsck的debug 结果。 p : 同时有A 条件时，同时有多个fsck的检查一起执行。 R : 同时有A 条件时，省略/ 不检查。 V : 详细显示模式。 a : 如果检查有错则自动修复,所以你不用一直按y 键。 y: 与a类似，但是某些文件系统仅支持y 这个参数，所以也可以用y。 r : 如果检查有错则由使用者回答是否修复。

本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

配置 说明 是否迁移数据库账号和权限 请根据实际情况选择是否迁移源库的账号和权限。若选择“是”： 会对源库账号的授权信息和目标库登录用户的授权信息进行检查；如果目标库登录用户不包含源库账号所需的授权信息，则该源库账号的权限不进行迁移。 如果源库和目标库存在相同的账号信息，则在目标端会跳过该账号和权限的迁移。 账号迁移在所有表，视图，函数等结构迁移完成之后再迁移。 是否将目标库实例属性设置为只读 请根据实际情况选择是否将目标库实例属性设置为只读，仅当目标库为云实例时可设置。若选择“是”，则DTS任务运行时，目标库实例只允许DTS进行写操作，其它均不可写。 是否限制全量迁移速率 请根据实际情况选择是否设置全量限速。若选择“限速”，则可以按每秒全量迁移的行数RPS、每秒全量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 是否限制增量迁移速率 请根据实际情况选择是否设置增量限速。若选择“限速”，则可以按每秒增量迁移的行数RPS、每秒增量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 大小写策略 请根据实际情况选择大小写策略。大小写策略适用于当前配置页面上未选择或修改的级别数据，如选择了整库则针对表名和列名做转换， 如果选择了表，则对列名做转换。 选择"源和目标保持一致"时，目标库将和源库保存一致。 选择“转换为小写”时，目标库的对象名将转换为小写。

NodePort+Nginx+LVS 如果流量大，还需要支持HTTPS，则需要使用该种方案。 在kubeproxy的前面手动搭建Nginx，在Nginx的前面手动搭建LVS，如下： LVS需要手动安装，同时需要安装keepalived绑定VIP，以保证访问入口的高可用； Nginx需要手动安装，手动配置HTTPS证书 ；LVS处只需要配置一个端口，转发到Nginx的同端口；Nginx只需要监听一个端口，通过不同的域名，转发到kubeproxy上不同的端口；kubeproxy根据不同的端口，转发到的集群内的不同的应用。 Ingress Ingress是一种不同于NodePort的方案，如下： IngressController只监听一个端口，通过不同的域名转发到K8S集群中不同的应用；所以该方案只支持域名访问，不支持IP访问。 只有K8S的Master主机上才会有IngressController，Master主机上已经有VIP，所以DNS服务器把域名解析为VIP，即可保证入口的高可用。 在云容器引擎管理台页面上，通过为应用创建不同的Ingress对象，来为不同的应用指定不同的域名。 IngressController目前不支持配置HTTPS证书，后续会支持。所以该方案目前不支持HTTPS，只支持HTTP。 Ingress+LVS 上面的Ingress方案，由于VIP只在一台主机上，所以不适合大访问量的场景。如果访问量较大，可以使用Ingress+LVS，如下： LVS需要手动安装与配置，LVS主机上需要安装keepalived绑定VIP以保证入口高可用 。LVS只需要监听一个端口（IngressController监听的端口） 。浏览器通过域名访问，DNS服务器把域名解析为LVS的VIP，LVS把请求转给其中某个IngressController，IngressController通过域名转发到不同的集群内的应用。该方案与上面方案一样，目前不支持HTTPS，后续会支持。

本文对创建镜像会话的操作步骤进行说明。 使用场景 通过创建镜像会话，可以将网络流量从一个网卡复制到另一个网卡，从而实现实时的网络监控和分析。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成筛选条件的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，点击右上角的“创建镜像会话”按钮。 6. 根据界面提示，配置名称、描述、VNI参数，然后单击“下一步”，具体配置参数如下： 参数 说明 名称 输入镜像会话的名称输入范围232位，支持大小写英文字母和数字，以英文字母开头。 描述 输入镜像会话的描述信息 VNI 指定一个VNI来区分不同的镜像流量，取值范围为1~16777215。支持自定义VNI的值。 1、对于地域资源池来说，同一用户同一资源池内不允许重复。 2、对于可用区资源池来说，同一用户同一资源池内允许重复。 7. 在关联筛选条件页面，列表展示所有筛选规则，选择一个筛选条件，然后单击“下一步”。 8. 在关联镜像源页面，列表展示所有网卡，选择需要镜像流量的网卡，然后单击“下一步”。 9. 在关联镜像目的页面，选择目标网卡作为镜像目的，单击“下一步”。 10. 对创建的信息进行确认，确认无误后点击“创建”。 11. 配置完成后，单击“返回”或静待几秒后即可回到镜像会话展示界面。 说明 同一个网卡不能即作为镜像源又作为镜像目的。

本文主要介绍通过Helm v2客户端部署应用。 云容器引擎各region将逐步切换至Helm v3。模板管理不再支持Helm v2版本的模板，若您在短期内不能切换至Helm v3，可通过Helm v2 客户端在后台管理v2版本的模板。 前提条件 在CCE中创建的Kubernetes集群已对接kubectl，具体请参见使用kubectl连接集群。 注意事项 CCE当前会尝试转换v2模板实例到v3模板实例。若在后台操作Helm v2模板实例，删除实例后，发现CCE 模板管理页面仍有实例信息，单击删除即可。 安装Helm v2 本文以Helm v2.17.0为例进行演示。 如需选择其他合适的版本，请访问 步骤 1 在连接集群的虚拟机上下载Helm客户端。 wget 步骤 2 解压Helm包。 tar xzvf helmv2.17.0linuxamd64.tar.gz 步骤 3 将helm拷贝到系统path路径下，以下为/usr/local/bin/helm。 mv linuxamd64/helm /usr/local/bin/helm 步骤 4 因为Kubernetes APIServer开启了RBAC访问控制，所以需创建tiller使用的service account:tiller并给其分配clusteradmin这个集群内置的ClusterRole。按如下创建tiller的资源帐户。 vim tillerrbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: tiller namespace: kubesystem apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: tiller roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: clusteradmin subjects: kind: ServiceAccount name: tiller namespace: kubesystem 步骤 5 部署tiller资源帐户。 kubectl apply f tillerrbac.yaml 步骤 6 初始化Helm, 部署tiller的Pod。 helm init serviceaccount tiller skiprefresh 步骤 7 查看状态。 kubectl get pod n kubesystem l apphelm 回显如下 NAME READY STATUS RESTARTS AGE tillerdeploy7b56c8dfb7fxk5g 1/1 Running 1 23h 步骤 8 查看helm版本。

本文为您介绍云搜索实例内用户的创建和权限配置功能。 原理介绍 系统默认有admin用户，在admin用户下，可以创建不同用户。 账号密码提供了身份认证（authc），通过角色的映射实现了授权（authz），两者共同实现了多用户下的安全控制。 功能介绍 Elasticsearch和OpenSearch的此项功能类似，下面以OpenSearch Dashboards为例说明。 在OpenSearch Dashboards的左边栏Security菜单中，用户可以实现集群、索引、文档、字段等不同粒度的访问权限管控，并且提供灵活的用户删除、用户和角色的绑定和解绑。 下面，我们就以创建新用户并赋予它一个具备一定的访问权限的角色为例。 注意 必须登录admin账号创建其他用户。 1、创建Internal users 点击左边栏Security后，选择右上角Create internal user来创建用户。在页面中，我们输入用户名密码，并点击右下角“Create”创建用户。 用户创建完成后，我们自动返回Internal users界面，可以看到search用户已经创建完成。 2、创建角色 角色通过索引、实例多维度的精细访问控制，实现对实例、索引权限的安全组划分。如果复用已有的默认角色（不可删除），则无需创建，可以跳过此步骤。 下面我们将演示如何自定义角色。 登录左边栏Security界面，选择Roles，并且在右上角点击Create role： 1. 我们分别创建了角色名SearchRole，并且，在Cluster permission中给它赋予了相应的安全组权限。 2. 我们给它设定了索引级别的更细粒度的Index permission。 3. 下面还可以设置Document和Field维度的进一步细粒度的权限控制。 4. 点击右下角的Create ，就可以创建好角色SearchRole。

本页面介绍云数据库ClickHouse如何通过控制台查看正在执行的查询。 提供运行中的SQL详情，支持按用户、SQL关键字和查询ID维度查询并提供提供终止选定SQL的处理，达到临时释放资源的目的： 我们提供了查询监控功能，该功能允许您查看正在运行的查询，并提供以下信息： 信息 描述 用户 显示执行查询的用户。这可以帮助您追踪和监视不同用户的查询活动，并对用户权限进行管理。 请求IP 显示发起查询的客户端的IP地址。通过此信息，您可以了解查询的来源和执行环境。 请求ID 每个查询都有一个唯一的请求ID。此ID可以用于标识和跟踪特定的查询，以便在需要时进行调查和分析。 已执行时间 显示查询已经执行的时间。您可以根据已执行时间来评估查询的性能和执行效率。 读取行数 表示查询期间从数据库中读取的行数。这可以帮助您了解查询的数据访问模式和查询的结果集大小。 使用内存 显示查询期间使用的内存量。通过监控内存使用情况，您可以评估查询的内存消耗，并进行性能优化和资源管理。 SQL语句 显示实际执行的SQL查询语句。这对于理解查询逻辑和分析查询性能非常有用。 通过查询监控，您可以实时了解系统中当前正在执行的查询情况。您可以看到每个查询的用户是谁，请求的IP地址是什么，请求的ID是多少，已执行的时间有多长，读取的行数是多少，使用的内存量是多少，以及具体的SQL语句是什么。 此外，我们还提供了终止查询的功能。您可以选择终止单个查询，或者选择终止所有正在运行的查询。这使您能够对查询进行管理和优化，确保系统的运行效率和资源利用。 通过查询监控功能，您可以更好地了解和控制系统中的查询活动，以提高性能、优化资源使用，并及时处理问题查询。

本章节介绍了如何创建DRS实例，并将本地Oracle上的testinfo数据库迁移到云数据库GaussDB 实例中testdatabaseinfo数据库中。 迁移前检查 在创建任务前，需要针对迁移条件进行手工自检，以确保您的迁移任务更加顺畅。 在迁移前，您需要参考入云使用须知获取迁移相关说明。 创建迁移任务 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。选择目标实例所在的区域。 3. 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据复制”。 4. 左侧导航栏选择“实时同步管理”，单击“创建同步任务”。 5. 配置同步实例信息。 a) 选择区域，项目，填写任务名称。 b) 配置迁移任务的类型，选择目标实例和子网等。 c) 单击“开始创建”。 6. 配置源库及目标库信息。 a) 填写源库的IP、端口、用户、密码等信息。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 b) 填写目标库的账户和密码。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 c) 单击“下一步”，仔细阅读提示内容后，单击“同意，并继续”。 7. 设置同步。 a) 在源库选择需要迁移的数据库和表。本次实践中选择“ testinfo” 中的 “DATATYPELIST” 表。 b) 选择完成后，可以设置迁移后是否重新命名库名和表名。 c) 本次实践将表名重新命名为“ DATATYPELISTAfter ”。 注意重新命名时不要使用特殊符号，否则会导致迁移后执行SQL语句报错。 d) 确认重命名设置内容，单击“下一步”。 8. 高级设置。 本页面内容仅做确认，无法修改，确认完成后单击“下一步”。 9. 数据加工。 在该页面可以对迁移的表进行加工。包括选择迁移的列，重新命名迁移后的列名，本次实践将“ COL01CHARE ”重新命名为“ newline ”。 a) 选择需要加工的表。 b) 编辑“COL01CHARE”列。 c) 将“COL01CHARE”重新命名为“newline”，单击“确定”。 d) 单击“下一步”。 10. 预检查。 a) 所有配置完成后，进行预检查，确保迁移成功。 b) 对于未通过的项目，根据检查结果中的提示信息修复，修复完成后，单击“重新校验”，直到预检查通过率为100%。 c) 预检查全部通过后，单击“下一步”。 11. 任务确定。 a) 检查所有配置项是否正确。 b) 单击“启动任务”，仔细阅读提示后，勾选“我已阅读启动前须知”。 c) 单击“启动任务”，完成任务创建。 12. 任务创建成功。 任务创建成功后，返回任务列表查看创建的任务状态。

本节介绍如何添加自定义IPS特征。 CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 注意 自定义的特征建议具体化，避免太宽泛，否则可能会导致大部分流量匹配到该特征规则，影响流量转发性能。 约束条件 仅“专业版”支持自定义IPS特征。 最多支持添加500条特征。 自定义的IPS特征不受修改基础防御防护模式的影响。 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。 自定义IPS特征 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。 5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。 参数名称 参数说明 名称 需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过255个字符。 风险等级 设置特征的风险等级。 攻击类型 选择特征的攻击类型。 影响软件 选择受影响的软件。 操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 源端口 “源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 目的类型 选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 目的端口 “目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 动作 防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。 内容 特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。 6. 单击“确认”，完成添加IPS特征。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

本文主要介绍产品优势。 分布式消息服务Kafka完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 您只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明 Kafka实例兼容开源社区Kafka 1.1.0、2.3.0和2.7版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL（Simple Authentication and Security Layer）认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka实例支持跨AZ部署，代理部署在不同的AZ，进一步保障服务高可用。不同AZ之间基于Kafka ISR（insync replica）进行数据同步，Topic需要选择数据多副本并且将不同副本分布到不同的ISR上，在ISR正常同步状态下，故障RPO（Recovery Point Objective）趋近于0。 无忧运维 云服务平台提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数、副本数。

通用型 提供均衡的计算、存储以及网络配置，支持挂载可弹性扩展的云硬盘，满足资源专享、网络隔离、性能有基本要求的业务场景：如数据库、企业ERP系统、容器、大数据计算等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.c6s.xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 192GiB 无 SDI3.0 physical.c6s.3xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 384GiB 无 SDI3.0 physical.c6sd.3xlarge 大数据存算分离 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,3.0 GHz） 384GiB 43.2T NVMe SDI3.0（225GE） physical.s6.xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 无 SDI3.0（225GE） physical.s6.3xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 无 SDI3.0（225GE） 本地存储型 系统盘和数据盘均使用本地磁盘，针对数据量大，对计算性能、稳定性、实时性等要求很高的业务场景：如大数据、分布式缓存等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.d6.xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 1210TB SATA HDD SDI3.0（225GE） physical.d6.3xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 1210TB SATA HDD SDI3.0（225GE）

在虚拟机中制作好镜像后，还要完成下面任务才能在天翼云物理机上使用镜像。 转换镜像格式：虚拟机制作出来的镜像是qcow2格式，linux系统需要转换为天翼云物理机使用的squashfs格式，windows系统使用qcow2格式即可。 生成md5文件：使用md5sum命令生成镜像文件的md5校验和，避免传输过程中镜像损坏。 编写分区文件：不同于qcow2格式的镜像，squashfs格式的镜像中不包含分区表信息。需要使用额外的配置文件指定系统盘如何分区。这也使得修改系统盘镜像分区更灵活。 下面分别说明如何做这些任务。 1. 物理机镜像文件介绍 每个物理机镜像都需要4个镜像文件，同步至镜像服务后可使用该物理机镜像创建物理机。 1.1 Linux镜像文件 每个Linux镜像包含4个文件，镜像格式为squashfs，以CTyunOS23.01.2@2025镜像为例： 镜像文件命名规则: 镜像类型镜像版本镜像架构启动类型.squashfs 镜像类型：例如CentOS、 CTyunOS、Kylin等 镜像版本：例如 8.1、8.1@yunxiaonv535、8.1@gpu01等等 镜像架构：amd64、arm64。其中x8664设备的镜像架构名为amd64，arm设备使用的镜像架构名为arm64 启动类型：bios、uefi。其中x8664设备支持bios和uefi，具体看裸机配置（通常是uefi），arm设备支持uefi CTyunOS23.01.2@2025的4个镜像文件命名为： plaintext 文件1镜像文件：CTyunOS23.01.2@2025amd64uefi.squashfs 文件2镜像md5：CTyunOS23.01.2@2025amd64uefi.squashfs.md5 文件3镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.lvm 文件4镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.direct

本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

流程执行简介 概述 工作流执行是指对流程的一次具体运行。创建流程后，您可以多次执行同一个流程，每次执行可根据实际需求传入不同的输入参数。 执行属性 下文列出了执行的属性，除了 执行名称 和 执行输入 是开始执行输入外，其他是执行的输出信息。 执行名称(executionName): 执行的名称。可以为空。 工作流执行时定义 (executionWorkflowDsl): 执行时对应工作流定义的快照,工作流定义详情见工作流定义。 执行输入(input): 执行的输入,不可为空，必须是JSON对象格式。 执行输出(output): 执行完成后的输出，JSON对象格式。 执行模式(executionMode): 执行模式。包含 快速模式(express)、标准模式(standard)。 执行状态(status): 执行的状态。包含started、completed、faulted、canceled 执行开始时间(startTime): 执行的开始时间。 执行结束时间(endTime): 执行的结束时间。 执行事件历史 通常，一个流程包含多个步骤。在执行过程中，每个步骤都会产生相应的事件，这些事件详细记录了步骤的执行状态。通过这些事件，您可以清晰了解流程当前所处的步骤、输入输出、执行时长及失败原因等信息。同时，云工作流服务会利用这些状态数据实时跟踪流程执行，保障系统的高可用性。 您可以通过下述信息了解执行事件（Event）的属性。其中，事件详情（EventDetail）为 JSON 对象格式字符串，不同事件类型（Type）对应的事件详情内容可能有所差异。 事件类型(eventType): 事件类型。包含 started、 submitted、failed、succeeded 。 状态名称(taskName)：步骤名称。对应流程定义语言中的步骤名称。 状态类型(taskType): 步骤类型，如http、cloudflow:executionworkflow、cf:invokeFunction、noop、sleep、switch、parallel、foreach。 事件执行时间(eventTime): 事件发生时间。 执行输入(input): 事件发生时的输入。 执行输出(output): 事件发生时的输出。

本节介绍了集群备份的用户指南。 执行备份 集群备份可对集群中的资源进行备份，备份粒度可是集群中所有资源，也可以加入一定筛选条件缩小备份的范围，如根据资源的命名空间及资源自身的类型来筛选。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群备份】，点击【创建备份】，在弹出框中配置备份任务的信息，录入信息后点击【创建】 名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一 命名空间 非必填，选择备份资源的命名空间，可多选 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath 在备份列表中即可查看备份任务的执行状态，及备份完成后备份包的大小。 备份列表的操作列还包含以下三个操作： 还原：把当前备份包还原到当前集群中； 下载：下载当前备份任务的备份包； 删除：删除当前备份任务。 查看备份详情 在备份任务列表中，点击备份名称，进入备份详情页面。 在备份详情页面中，同样可以对当前备份任务执行还原、下载备份包和删除操作： 备份页面展示了当前备份任务的任务名称、备份时筛选的资源类型、是否包含持久卷、备份任务创建时间、备份包的大小和备份任务的状态这些这些信息。 此外如果曾经以当前备份任务的备份包执行了还原，还原记录会展示在界面下方的“相关还原记录”中。

ACL支持和子网关联后对子网流量进行过滤防护,本文帮助您快速熟悉ACL关联子网的操作流程。 使用场景 ACL是一个子网级别的防护能力，需要和子网进行关联才可以对子网的流量进行过滤防护。 注意 可用区资源池需要在ACL创建后关联子网；地域资源池需在创建ACL时指定与子网的关联关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 仅可用区资源池支持，实际情况以控制台展现为准。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击列表页的“关联子网”。 7. 在弹出的关联子网页面，选择需要关联的子网，单击“确定”。 注意 已被网络ACL关联的的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再进行重新关联。 仅可用区资源池支持在ACL创建后关联子网。 地域资源池需创建ACL时指定与子网的关联关系。 对于地域资源池来说，一个子网同一时间仅支持一个ACL，一个ACL仅支持关联一个子网。 对于可用区资源池来说，一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。