图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 SDWAN跨境：SDWAN助力DeepSeek模型定向加速 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

服务名称 功能相关 参考文档链接 关系数据库MySQL版 DTS可支持关系数据库MySQL版进行迁移、同步操作，包括：MySQL到MySQL、PostgreSQL及ClickHouse的迁移，MySQL到MySQL的单向、双向同步。 关系数据库PostgreSQL版 DTS可支持关系数据库PostgreSQL版进行迁移、同步操作，包括：PostgreSQL到PostgreSQL、MySQL的迁移，PostgreSQL到PostgreSQL的单向、双向同步。 关系数据库SQL Server版 DTS可支持关系数据库SQL Server版进行迁移、同步操作，包括：SQL Server到SQL Server、PostgreSQL的迁移，SQL Server到SQL Server的同步。 文档数据库（DDS） DTS可支持文档数据库（DDS）进行迁移、同步操作，包括：MongoDB/DDS 到MongoDB/DDS的迁移和同步。 云数据库ClickHouse DTS可支持将MySQL数据库迁移到ClickHouse。 虚拟私有云 虚拟私有云，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP和DTS实例绑定，可使用DTS进行公网数据库迁移、同步。 数据管理服务 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 云审计 对接云审计服务，对DTS关键操作记录提供收集、存储和查询功能，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 标签管理 对接标签管理，对DTS实例绑定标签，便于对实例进行查找与筛选，实现更快捷的管理。

资源池 状态 广州6 √ 合肥2 √ 湛江 √ 宁波边缘云 √ 西安5 √ 西宁政务云 √ 玉溪 √ 乌鲁木齐4 √ 厦门3 √ 十堰1 √ 福州4 √ 佛山3 √ 兰州2 √ 固原政务云 √ 吴忠政务云 √ 石嘴山政务云 √ 内蒙6 √ 襄阳 √ 南京4 √ 上海7 √ 西安4 √ 南宁2 √ 武汉4 √ 昆明2 √ 晋中1 √ 北京5 √ 南京3 √ 海口2 √ 成都4 √ 中卫2 √ 西宁2 √ 杭州2 √ 贵州3 √ 芜湖2 √ 拉萨3 √ 泉州1 √ 福州3 √ 重庆2 √ 西安3 √ 雄安2 √ 郴州2 √ 九江 √ 南京2 √

本节主要介绍公网NAT网关的定义及使用流程。 公网NAT网关（Public NAT Gateway）能够为虚拟私有云内的云主机（弹性云主机、物理机）或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器，提供网络地址转换服务，使多个云主机可以共享弹性IP访问Internet或面向Internet提供服务。 公网NAT网关使用流程如下： 图 公网NAT使用流程

本节主要介绍怎么通过SNAT访问公网。 当多个云主机（弹性云主机、物理机）在没有绑定弹性IP的情况下需要访问公网，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，可以通过NAT网关共享弹性IP的方式访问公网，可以按照下图所示，实现无弹性IP的云主机访问公网。 图 无弹性IP的云主机访问公网流程图

云点播配置回调有哪些途径。 云点播配置回调有哪些途径？ 云点播支持以下回调方式： 全局回调； 实例回调； SDK/API回调。 详情可以查看【点播模式】【回调通知】和【点播模式API】【提交转码任务】。

本章节为您介绍如何对接天翼云云日志管理服务 Web应用防火墙（原生版）已对接云日志服务，目前需手动配置开启，需提交工单申请。 约束限制 云日志服务中对应的存储容量若已满，WAF不会删除旧日志，需要您手动及时扩容，否则无法存入新的日志。 使用过程中，请不要删除对应，若删除会导致推送至云日志服务的日志丢失，且无法找回。 目前仅支持转存至华东1资源池的云日志服务。 开启步骤 1.在天翼云官网购买云日志服务。 2.在管理控制台提交工单，联系天翼云技术支持为您手动对接云日志服务，请参照下表中的内容提前准备相关信息。 参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考：如何获取AK/SK？ 日志项目（可选） 在云日志服务中创建的日志项目，可参考：管理日志项目。 不可选择默认项目：wafproject。 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考：管理日志单元。 不可选择默认单元：wafattackunit 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 3.待处理完成后，即可在云日志服务控制台查看日志信息，下表为日志字段说明。 规则类型 Code Name 对应产品模块 系统规则 sysrule Web 基础防护模块 CC 规则 ccrule CC 防护模块 BOT 规则 botrule BOT 防护模块 精准防护规则 userdefinedrule 精准防护模块 IP 规则 iprule IP 防护模块 地域规则 georule 地域防护模块 规则白名单 sysrulewhitelist Web 基础防护模块系统规则白名单 响应信息检测规则 responserule 响应信息检测与脱敏模块 QPS超限规则 qpsexceeded 访问控制模块 带宽超限规则 bandwidthexceeded 访问控制模块 Cookie 防篡改 cookietamperproof Cookie 防篡改模块 隐私屏蔽 privacymask 隐私屏蔽模块 防护白名单规则 protectionwhite 防护白名单 攻击惩罚规则 attackpenalty 攻击惩罚 增强BOT规则 enhancebotrule BOT防护模块 全局IP黑白名单规则 globaliprule 全局IP黑白名单模块 全局防护白名单规则 globalprotectionwhite 全局防护白名单模块 全局精准防护规则 globaluserdefinedrule 全局精准防护模块

本文介绍如何实现同地域跨AZ挂载文件系统。 目录 操作场景 前提条件 操作步骤 操作场景 针对企业而言，业务上云越来越关注服务的稳定和连续性，海量文件通过支持同地域跨AZ挂载文件系统，实现业务的服务高可用，降低不可抗力因素对服务提供造成的影响。通过为文件系统添加不同的VPC，即可将文件系统挂载至不同可用区的云主机上，实现跨AZ访问。 前提条件 已有1个海量文件系统。 在同一个地域已创建2个不同的VPC。 在同一个地域不同的可用区已有2台云主机，分别归属于以上2个VPC。 操作步骤 1. 登录天翼云控制中心，在管理控制台左上角选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 将文件系统分别挂载至两台不同可用区云主机，具体操作方法请参考挂载NFS文件系统到弹性云主机(Linux)。 5. 挂载成功后，可以在Linux 云主机上访问文件系统，执行读取或写入操作。您可以把文件系统当作一个普通的目录来访问和使用。依次执行如下命令在两个文件系统中创建文件、文件夹。 6. 依次执行如下命令读取文件内容。 plaintext cat /mnt/localpath/file2 cat /mnt/azpath/file2 7. 依次执行如下命令删除文件。

本节介绍了什么是DDoS高防（边缘云版）。 产品定义 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务。该产品依托于丰富的边缘云清洗节点，采用自主研发的高性能负载均衡服务，可实现网络层、CC等应用层防护，保障客户在大规模流量攻击的同时业务稳定、安全运行。 产品架构 DDoS 高防（边缘云版）采用的是分布式架构，将防护能力赋能于更下沉的边缘节点，使用云原生为内核，结合智能调度，可以实现边缘就近清洗，动态扩容，可以满足业务突发、大规模流量攻击。 支持大规模流量清洗，清洗能力达到T级以上。 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护。 依托强大的自研防护集群优势，结合 AI 智能引擎持续优化防护策略、IP 画像、行为模式分析、Cookie 挑战等多维算法，实现大数据联动防护。 提供可视化管理界面，结合云原生、智能调度能力，实现资源动态扩容，满足三网防护需求。

天翼云物理机与自建物理机、云主机的功能对比 天翼云物理机与自建物理机、云主机的对比如下表所示。其中，√表示支持，×表示不支持。 表 特性对比： 功能分类 功能 天翼云物理机 自建物理机 云主机 ::::: 发放方式 自动化发放 √ × √ 计算 无特性损失 √ √ × 计算 无性能损失 √ √ × 计算 无资源争抢 √ √ × 存储 拥有本地存储 √ √ × 存储 使用云硬盘（系统盘）启动 √ × √ 存储 使用镜像，免操作系统安装 √ × √ 网络 使用虚拟私有云网络 √ × √ 网络 物理机集群和云主机集群之间通过VPC通信 √ × √ 管控 VNC远程登录等体验和云主机一致 √ × √ 管控 支持监控以及关键操作审计 √ × √

本章节主要介绍如何使用Linux gsql客户端连接集群。 用户在创建好数据仓库集群，开始使用集群数据库之前，需要使用数据库SQL客户端连接到数据库。DWS提供了与集群版本配套的Linux gsql命令行客户端工具，您可以使用Linux gsql客户端通过集群的公网地址或者内网地址访问集群。 它的运行环境是Linux操作系统，在使用Linux gsql客户端远程连接DWS集群之前，需要准备一个Linux主机用于安装和运行Linux gsql客户端。如果通过公网地址访问集群，也可以将Linux gsql客户端安装在用户自己的Linux主机上，但是该Linux主机必须具有公网地址。若DWS集群没有配置公网IP，为方便起见，推荐您创建一台Linux弹性云主机（简称ECS）。 （可选）准备ECS作为gsql客户端主机 创建弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“快速入门 > 创建弹性云主机”章节。 创建的弹性云主机需要满足如下要求： 弹性云主机需要与DWS 集群具有相同的区域、可用区。 如果使用DWS 提供的gsql命令行客户端连接DWS 集群，弹性云主机的镜像必须满足如下要求： 镜像的操作系统必须是gsql客户端所支持的下列Linux操作系统： −“Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 −“SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 如果客户端通过内网地址访问集群，请确保创建的弹性云主机与DWS 集群在同一虚拟私有云里。 虚拟私有云相关操作请参见《虚拟私有云用户指南》中“虚拟私有云和子网”。 如果客户端通过公网地址访问集群，请确保创建的弹性云主机和DWS 集群都要有弹性IP。 创建弹性云主机时，参数“弹性IP”需设置为“自动分配”或“使用已有”。 弹性云主机对应的安全组规则需要确保能与DWS 集群提供服务的端口网络互通。 安全组相关操作请参见《虚拟私有云用户指南》中“安全组”章节。 请确认弹性云主机的安全组中存在符合如下要求的规则，如果不存在，请在弹性云主机的安全组中添加相应的规则： −方向：出方向 −协议：必须包含TCP，例如TCP、全部。 −端口：需要包含DWS 集群提供服务的数据库端口，例如，设置为“165535”或者具体的DWS 数据库端口。 −目的地址：设置的IP地址需要包含所要连接的DWS集群的地址，例如，设置为“0.0.0.0/0”或者具体的DWS 集群的连接地址。 DWS 集群的安全组规则需要确保DWS 能接受来自客户端的网络访问。 请确认DWS 集群的安全组中存在符合如下要求的规则，如果不存在，请在DWS 集群的安全组中添加相应的规则。 −方向：入方向 −协议：必须包含TCP，例如TCP、全部。 −端口：设置为DWS 集群提供服务的数据库端口，例如“8000”。 −源地址：设置的IP地址需要包含DWS 客户端主机的IP地址，例如“192.168.0.10/32”。

NAT网关产品广泛应用云上VPC公网统一出口和面向Internet提供公网服务场景，本文带您更快了解NAT网关经典应用场景。 公网NAT网关 应用场景一：云上网络入口，面向Internet提供服务 场景说明 当VPC内的云主机需要面向公网提供服务时，可以使用NAT网关的DNAT功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络安全。 推荐配置 DNAT功能绑定弹性IP，可通过端口映射方式，NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽，精确的控制带宽资源，节省公网带宽资源。 组网架构 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如： 弹性IP1的80端口，映射到云主机ECS 1的10080端口。 弹性IP1的8080端口，映射到云主机ECS 2的20080端口。 弹性IP2的443端口，映射到云主机ECS 3的30443端口。

禁用root用户直接登录 Linux的默认管理员名即是root，只需要知道root密码即可直接登录SSH。禁止root从SSH直接登录可以提高服务器安全性。经过以下操作后即可实现。 1. 新建用户 useradd test 2. 配置密码 使用passwd命令即可给相应帐户设置或修改密码。 passwd test 根据图示，设置或修改密码需要填写两次，第二次为效验密码，输入完毕后请回车确认。 Changing password for user test. New password: Retype new password: passwd: all authentication tokens updated successfully. 3. 配置不允许root用户直接登录，修改相关文件 vi /etc/ssh/sshdconfig 查找 PermitRootLogin yes” 默认为132行 将“ ”去掉，末尾“Yes”改为“No” 并:wq保存 4. 重启SSHD服务 systemctl restart sshd 5. 测试连接，可以看到，直接使用root 连接服务器 ssh会直接拒绝 添加安全组规则 安全组中的入方向规则默认开启了22端口，当云服务器的SSH登录端口修改为2222时，需要为安全组新加一条规则。 登录管理控制台。 1. 选择“计算 > 弹性云主机”，进入云主机控制台。 2. 单击云服务器名称进入详情页面。 3. 选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 4. 添加一条入方向规则。 采用密钥登录 密钥对登录比起密码登录更加安全，因此在创建弹性云主机时您可以选择密钥对登录的方式。 1. 新建密钥对，或者选择已有的密钥对，并下载至本地。 2. 创建云主机时，登录方式选择密钥对。 3. 使用xshell登录弹性云主机 通过弹性公网IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性公网IP 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 在“用户密钥”窗口中，单击“导入”。 选择本地保存的密钥文件，并单击“打开”。 单击“确定”，登录弹性云主机。

本文主要介绍云数据库GaussDB 能否赋予用户权限 云数据库GaussDB 如何赋予用户SUPER权限？ 云数据库GaussDB 不能赋予用户SUPER权限。 如果无法导入存储过程，是因为存储过程语句中有部分需要super权限的语句，去掉这些语句后，即可正常导入存储过程。

本文向您介绍如何解决GPU设备显示异常问题。 问题描述 GPU弹性云主机中，执行nvidiasmi命令查看GPU设备状态或使用情况时，有如下问题： 单卡GPU弹性云主机上，报错“No devices were found”。 多卡GPU弹性云主机上显示卡数目不全，执行 lspcigrep i nvidia显示GPU卡数目正常。 可能原因 GPU设备或者驱动状态异常。 处理方法 请尝试在控制台，执行重启GPU弹性云主机操作。再执行nvidiasmi查看GPU设备信息和状态，确认GPU数量是否正常。 如果问题依然存在，请联系客服，由技术支持人员处理。

算力专网产品的开放范围是？ 算力专网的业务开放范围为中国境内（港澳台除外），支持多云接入（含天翼云资源池站点和第三方公有云资源池站点）。 客户组网的站点中必须有天翼云站点才能使用算力专网产品吗？ 不是。算力专网的站点支持总部/分支等普通站点，天翼云资源池站点和第三方云站点。 算力专网支持多云接入吗？支持哪些云商？ 算力专网支持多云接入，支持阿里云、腾讯云、华为云、AWS和微软云等。

方向 授权策略 类型 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 Any Any 默认安全组ID (例如：sgxxxxx) 允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv6 Any Any 默认安全组ID (例如：sgxxxxx) 允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv4 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv4 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的通讯状况。

本文为您介绍如何查看审计事件。 当您已开通云审计服务，系统开始记录云服务资源的操作，并支持查看近7天的操作事件。 本文为您介绍如何在云审计控制台查看操作审计事件。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围。 读写类型：支持根据事件的读写类型进行筛选。 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）。 操作用户：支持根据同一租户下的不同主子账号进行筛选。 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

本节介绍了DDoS高防（边缘云版）的主要产品优势。 针对天翼云云内或云外用户业务，在遭受大流量 DDoS 攻击后，导致服务不可用时，都可以使用天翼云DDoS高防（边缘云版）服务。 与传统DDoS防护方案相比，天翼云DDoS高防（边缘云版）具有全场景支持、超强清洗能力、AI大数据协调、极简管理等优势，保障业务稳定、安全运行。 全场景支持 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护 支持IPv4/IPv6双栈协议 支持网站和非网站业务，覆盖金融、电商、游戏、政府等各类业务，充分满足用户不同业务的安全防护需求 依托天翼云攻防对抗实战经验，可为客户提供DDoS攻击演练服务，帮助用户提前发现内部潜在安全威胁，提升应急响应能力 超强清洗能力 海量边缘节点能力升级，防御总带宽超过12T 百G抗D节点支持大区粒度覆盖，根据攻击情况进行智能调度 分布式架构，减少单点故障概率，结合云原生、智能调度能力，实现资源动态扩容，有效应对业务突发和大流量攻击 根据用户需求进行规划资源，提供属地+三网的防护节点，就近接入，减少服务延迟，提高访问速度

本文为您介绍Ubuntu系统部署Palworld幻兽帕鲁服务器的最佳实践。 1. 登录云主机控制台，选择创建云主机的资源池，点击“创建云主机”按钮。 2. 基础配置。 CPU架构选择“X86计算”，规格分类选择“通用型”。为确保游戏顺畅运行，建议您选择4C16G及以上的规格。 镜像类型选择“应用镜像”，镜像下拉菜单中选择“ubuntu”“幻兽帕鲁（Palworld）Ubuntu”。 点击“下一步：网络配置”。 3. 网络配置。 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口”。 点击“确定”，完成安全组创建。 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 点击“确定”，完成安全组选择。 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保游戏顺畅运行，建议带宽选择10M以上。 点击“下一步：高级配置”。 4. 根据提示完成高级配置，点击“下一步：确认配置”。 确认配置无误后，点击“立即购买”。 5. 完成支付后，返回云主机控制台，确认云主机状态为“运行中”，则可以进行后续操作。 6. 添加安全组规则 在云主机列表中点击云主机名称，进入云主机详情页。点击安全组页签，点击“添加规则”按钮，新增IP放行。 在添加规则弹窗中： 1）协议选择“UDP”。 2）端口范围填写“8211”。 端口也可自定义进行修改，修改后可提高服务器的安全性： 登录云主机后，首先使用密码登录root用户，执行以下命令进入编辑配置界面。 vim /etc/rc.local 按i进入编辑状态，将第二行改为： su steam c "cd /home/steam/.steam/SteamApps/common/PalServer;steamcmd +login anonymous +appupdate 2394010 validate +quit;nohup ./PalServer.sh portxxx &" 其中xxx为165535中的任意希望启用的端口，修改完成后按esc退出编辑，再输入:wq进行保存并退出。 3）地址处将“1.1.1.1”更改为自己的IP地址。 点击“确定”，完成安全组规则修改。 7. 进入游戏。 先在云主机控制台云主机列表中找到云主机的公网IP地址。 启动游戏，在游戏界面选择“加入多人游戏（专用服务器）”。在地址输入框输入“公网IP:8211”，点击“联系”即可进入帕鲁世界。

本节介绍了安装CloudInit工具的操作场景、前提条件、安装步骤说明等内容。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），请在创建私有镜像前安装CloudInit工具。 安装CloudInit工具时需要从官网下载并安装，因此，需要提前为云主机绑定弹性公网IP。 不安装CloudInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudInit，不需要执行安装及配置操作。 用户导入镜像创建的云主机，请按照指导安装及配置CloudInit。配置CloudInit操作请参考配置CloudInit工具章节。 前提条件 已为云主机绑定弹性公网IP。 已登录云主机。 云主机的网卡属性为DHCP方式。 安装步骤说明 1. 请先检查是否已安装CloudInit工具。 具体操作请参考下文“检查是否已经安装CloudInit工具”。 2. 安装CloudInit工具。 CloudInit安装方式分为：采用官方提供的包源安装CloudInit工具（优先推荐）、采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具和采用源码编译安装方法，如下文。 检查是否已经安装CloudInit工具 请先执行如下步骤检查是否已安装CloudInit工具。 在不同的操作系统下，查看是否已经安装CloudInit工具的方法不同，以CentOS 6系列为例，执行以下命令查看是否安装CloudInit工具。 rpm qa grep cloudinit 回显类似如下，表示已经安装CloudInit工具，无需重复安装。 cloudinit0.7.510.el6.centos.2.x8664 如果已安装CloudInit工具，还需要执行以下操作： 请确认当前云主机操作系统中的证书是否继续使用。如果不再使用该证书，请删除证书。 − root用户对应目录下的文件（如 “/$path/$to/$root/.ssh/authorizedkeys”），执行以下命令： cd /root/.ssh rm authorizedkeys − 非root用户对应目录下的证书文件（如 “/$path/$to/$noneroot/.ssh/authorizedkeys”），执行以下命令： cd /home/centos/.ssh rm authorizedkeys 执行以下命令，清除CloudInit工具产生的缓存，确保使用该私有镜像创建的云主机可以使用证书方式登录。 sudo rm rf /var/lib/cloud/ 说明： 设置完成后请勿重启云主机，否则，需重新设置。

本小节介绍云堡垒机术语解释。 资产数 资产数是指云堡垒机管理的云服务器上运行的资源数，同一台云服务器上对应有多个需要运维的协议、应用等资源。 云堡垒机实例 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 主备实例 在单机实例基础上增强高可用性。主备实例具有以下特征： 实例包含一个主节点和一个备节点，支持数据持久化。 主备节点通过数据同步的方式保持一致。 备节点对用户不可见，不支持客户端直接读写数据。 当主节点故障后，备节点自动升级为主节点，无需用户操作。 区域 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region： 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。 一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。

本章节主要介绍服务的基础配置修改建议。 核心原则：混部部署场景下的资源总量控制 在翼 MR 集群中，多个大数据组件（如 HDFS、HBase、YARN 等）可能会部署在同一台 ECS 实例上（即混部场景）。为避免资源竞争导致系统不稳定，请遵循以下基本原则： · 总内存控制 ：所有组件 JVM 堆内存之和 ≤ 实例总内存 ×80%。预留至少 20% 的内存给操作系统、Page Cache、堆外内存及突发流量。 · CPU 资源控制 ：各组件线程池参数（如 Kafka 的num.io.threads等）配置之和不宜超过实例 vCPU 核数的 2~3 倍，避免过度竞争。 · YARN 资源隔离 ：若该节点同时运行 YARN NodeManager，其yarn.nodemanager.resource.memorymb配置不应超过实例总内存的 60%，以保证其他常驻组件的内存安全。 说明 以下各组件配置建议均基于独立部署场景给出。若您采用混部部署，请务必参照上述核心原则，适当调低各组件内存及线程参数。 Doris Doris 所在节点配置升级后，需根据实际内存和磁盘情况调整 FE 和 BE 配置。 FE（Frontend）配置建议 JVM 堆内存 ：修改fe.conf中的 JVM 参数。推荐使用 G1 垃圾回收器，堆内存初始与最大值保持一致。生产环境下建议按业务调整， 最大不超过 100 GB 。示例：JAVAOPTS"Xms16g Xmx16g XX:+UseG1GC XX:MaxGCPauseMillis200" 日志路径 ：避免将日志放在系统目录。平台默认（翼 MR 版本 ≥ 2.21）会将日志放到数据目录下；低版本需手动修改fe.conf中的LOGDIR、syslogdir、auditlogdir为目标路径。请确保日志盘有至少 50 GB 空间。 日志滚动数量 ：syslogrollnum（默认 10 个，每个 1 GB）、auditlogrollnum（默认 30 个，每个 1 GB），可根据需要调整。

本实践介绍了如何基于全站加速服务实现对象存储ZOS的传输加速。 操作场景 全站加速（ICDN，Integrated Content Delivery Network），通过动静分离、多级缓存、智能路由、协议优化、链路优化等多项技术实现静态内容的就近交付及动态内容的快速回源，从而解决因网络拥堵、链路抖动、流量突增等因素导致的响应慢问题，显著提升源站性能。 以下场景您可以基于全站加速服务来加速您的对象存储访问。 远距离数据传输 当客户端与对象存储的地域距离较远时，数据访问过程中容易因传输路径过长，导致访问时延增加、连接稳定性下降。以全球性论坛、在线协同办公平台等场景为例，远距离传输带来的长时延会直接影响用户上传、下载数据的效率，进而降低使用体验。而基于全站加速的传输加速方案，能够有效缩短全球各地客户与对象存储之间的数据传输距离，大幅提升上传和下载速度，让不同地域的用户都能获得流畅、稳定的访问体验。 动态文件访问 与其他加速技术相比，全站加速的优势在于：不仅能高效加速静态资源，更可适配各行业中动静态内容混合的场景，尤其擅长处理包含大量动态资源请求（如 asp、jsp、php 等格式文件）的源站应用服务。 前提条件 已开通对象存储服务和全站加速服务。全站加速服务的开通请参考开通全站加速服务。 如果要访问的桶在中国内地，确保域名已备案且备案信息有效。 注意 全站加速从ZOS源站获取数据时，支持CDN回源流量的资源池采用CDN回源流量计费，不支持CDN回源流量的资源池采用公网流出流量计费。支持CDN回源流量的资源池有：西南1、福州25、杭州7、华北2、合肥2、华东1、武汉41、长沙42、华南2、呼和浩特3。

此小节介绍数据库审计的部署架构。 天翼云数据库审计架构图 天翼云数据库审计从产品部署架构可以自下而上分为数据采集、协议解析、风险识别、数据存储四个部分，在管理控制侧分成日志查询、仪表盘与报表、数据开发和分布式统一管理。 数据采集层的功能是接入需要审计的流量信息，并对流量二三层网络协议和TCP层协议进行解析，提取IP、端口等信息，并根据过滤规则去除不需要进行审计的流量。 协议解析层的功能是按照各种不同数据库的传输协议解析数据包中包含的有效信息，提取出数据库名称、SQL语句、客户端工具等信息，天翼云数据库审计在协议解析领域已积累十三年的解析经验，对数据库协议有着较深的理解，对协议的解析精确且全面。 风险识别功能将解析出来的SQL语句和安全规则进行匹配，以此来发现SQL语句中存在的可疑风险；规则匹配是采用基于DFA状态机的AC算法，该算法实现多条安全规则只需进行一次匹配，实现了高效的规则匹配。如果规则匹配的过程中没有发现风险，那么需要将SQL预计进行字段标准化形成一条审计日志，如果发现了风险，还会根据风险级别相应的产生一条标准化的告警日志，为了达到审计日志和告警日志可回溯，需要将日志进行存储，此时入库程序就会将产生的日志存储到磁盘当中。 当需要查询审计日志和风险日志时，天翼云数据库审计的数据输出模块提供了Web端查询功能，并可将这些日志信息通过Syslog、Kafka等方式发送到第三方平台。同时天翼云数据库审计的系统管理模块提供丰富的管理功能，包括了规则管理、软件升级等功能。

旨在让管理员能够轻松查看并管理本租户下所有用户的训推服务使用情况 前置条件 账号为主账号或者角色为IAM管理员的子账号 操作步骤 1. 进入成员管理模块，成员管理详情页分为用户数据大盘以及用户列表两大板块。 2. 定位到用户数据大盘，设置时间范围，即可查看所选时间段内的总用户数、每日用户数、总付费用户数、每日付费用户数。付费用户指在平台使用了耗费算力的功能，比如模型训练的用户。 3. 定位到用户列表，可查看本租户下所有用户的基本信息如账号、名称、登录信息、任务信息、消耗资源信息以及消费金额信息，右侧操作列支持为每个用户【设置任务资源】，即最大可用GPU卡数/CPU核数。用户列表支持按用户名称筛选；右侧操作列还支持【分配资源】操作，此功能允许管理员为二级管理员分配专属集群资源，二级管理员可基于被分配的资源来进行AI作业，此功能再结合工作空间能力+账号权限体系，可匹配客户自身组织层级结构，实现多层级资源管理，进行AI作业，详见多层级资源管理最佳实践。 4. 导出资源分配明细： 1. 定位到用户列表，点击【导出】折叠按钮，选择资源分配明细，可导出页面选择时间范围内的二级管理员资源分配明细表。 2. 该功能仅导出列表中二级管理员的分配明细，不统计其他用户。 3. 表格数据给出了二级管理员在集群卡型号维度的卡时分配量，该统计值会考虑资源分配的变动，例如，二级管理员A在1月1日分配卡数为1卡，在1月2日分配卡数为2卡，那么1月1日至2日的分配卡时为124+22472卡时。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽上升。 Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 可以。WAF支持防护HTTP/HTTPS协议业务。 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。 NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。 对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

数据安全专区数据脱敏能力具有广泛的数据库支持、出色的性能和良好的可扩展性。它采用独特的脱敏与水印/溯源算法，能够高效处理敏感数据，实现去标识化和匿名化。多种处理方式如固定值替换、置空、乱序、保留统计特征等确保了在不改变现有业务逻辑的前提下，脱敏后的数据仍能保留原有业务逻辑特征。 数据安全专区支持软硬件一体机或虚拟化部署（保证与生产环境和开发 第三方测试环境前后路由可达即可）。生产库中的原始数据，经过数据脱敏清洗后离线分发至测试环境，所有敏感数据全部在内存中处理，可保证整个环节敏感数据不落地。 主要功能 敏感数据自动发现 数据脱敏系统内置多种发现规则，支持基于数据内容的识别，不仅依赖于用户的元数据管理系统、字段名或字段注释等信息。支持用户基于自身需求自定义规则，实现对敏感数据的自动发现和标识。 同时数据脱敏系统可和数据分级分类平台进行对接，可基于行业或法律法规对敏感数据进行分类分级与梳理，便于用户按照不同级别进行脱敏算法的配置，有效避免数据的过度保护。 支持采用随机采样的方式，在采样的过程中过滤空值及脏数据。如在业务初期数据逻辑定义不规范往往会产生较多脏数据，而传统的敏感数据检索方式通常是简单过滤表中前若干条数据，无法有效避免此类脏数据的干扰。数据脱敏系统的随机采样是基于表总行数进行随机抽取，可有效避免脏数据的干扰，提高敏感数据识别的准确性。数据发现算法除常规的正则表达式、字典等，还加入了NLP算法，开箱即用70多种通用敏感字段识别算法，大幅提升了对敏感数据内容的识别和处理能力。有效避免敏感数据的误报、漏报。

名称 服务阶段 工作任务内容 交付物 数据分类分级服务方案 数据分类分级产品部署 数据分类分级工具的安装调试，系统联调与测试，保障平台工具正常运行 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 数据资产调研方案制定 制定数据资产调研工作方案，内容包括调研范围、参与对象、工作目的、时间进度、配合分工等 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 数据资产梳理 针对XX组织单位业务部门开展调研，梳理业务部门对应的关键业务流程以及业务活动，分析各业务流程涉及的关键敏感数据 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 制定数据分类分级逻辑框架 根据数据安全标准和法律法规要求，调研梳理XX组织单位的业务条线，制定数据安全分类分级逻辑框架，为数据分类分级实施奠定基础 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 数据分类分级实施 针对XX组织单位试点系统范围内的数据，协调系统业务管理部门，开展数据发现梳理盘点、数据分类分级、归类归级工作，数据分类分级结果讨论形成一致意见，通过自动化工具整理数据分类分级结果 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 制定数据分类分级指南 基于数据分类分级逻辑框架基础以及数据分类分级工作持续实施的结果，优化数据分类分级工作流程及方法，输出数据分类分级指南 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》

边缘安全加速平台——安全与加速服务 该产品可有效实现核心业务静态资源的缓存管理，并对动态请求实施优化回源机制。同步启用分布式DDoS防御、境外恶意请求拦截及境内异常攻击防护策略，在显著降低客户机房运行负载的同时，构建云端防护体系与客户本地安全系统的联动联防机制，形成覆盖网络传输层与应用层的立体化纵深防御架构。 服务流程 为有效保障服务的持续稳定与高效运转，由资深技术专家组成的专项团队秉承卓越运维理念，经深入调研行业最佳实践，牵头设计了体系化的服务质量管理规范。团队深谙行业特性及业务痛点，经过多维度评估论证，综合考量业务模式、技术基础设施及潜在风险因素，最终构建出覆盖全流程的标准化服务保障框架，配套涵盖需求调研、服务设计、部署实施、测试优化、保障值守、全面复盘等关键环节的全周期管理机制。 针对本次客户的业务保障需求，严格遵循了内部服务质量管理规范的要求，将执行力落地到流程中的每个细微环节中： 服务效果 为了确保真实报考时业务系统稳定运行，客户组织某地市考生模拟志愿填报，当天QPS峰值达到1.26万，并遭受了CC攻击。因运营专家团队前期做了大量的策略准备工作，本次模拟全程稳定，CC攻击100%拦截。 6月23日6月29日该省全省高考志愿填报期间，峰值带宽达到473 Mbps，请求数峰值达75.99 万次，峰值并发QPS 2533 次，总计请求数 34132.91 万次，安全防护9553 次，全程业务稳定0 故障、0 安全事件，服务得到了客户的高度认可。

本文以CDN加速产品为例，为您介绍CDN加速产品在手机应用商店发布应用、更新应用的集中高并发业务场景下，如何将业务流量下沉边缘，缓解源站服务器压力，提升用户端下载体验。 业务场景简介 风起云涌的高科技时代，智能终端的普及不仅推动了移动互联网的发展，也带来了移动APP应用的爆炸式增长。越来越多的企业已经意识到手机应用可以为其提供自有销售平台、精准消费者数据信息、线下到线上的无缝连接和品牌宣传渗透的稳定渠道。无独有偶，各地的政务服务也在逐步从传统的线下办理模式到移动终端线上快捷高效办理的模式进行转变。 业务场景痛点 手机应用在给用户带来极度便利的同时，也为企业带来了许多问题： 用户需求飞速衍生，应用体量越来越大 因业务需要和用户诉求多元化，各类手机应用的功能都在不断叠加、丰富，市面上超过百M大小的手机应用已经成为普遍现象。 应用更新、发布后，用户更新和下载行为集中 现有应用的更新和新应用的发布，往往在上线后的3天内会面临着用户的集中更新和下载，造成服务站点的下行带宽暴涨、机器资源被耗尽，客户业务随时都面临瘫痪风险，用户下载体验差，流失风险高。 客户端多网分布，跨网传输稳定性差 用户分布于国内各大主要运营商网络下，客户自建服务站点在不具备BGP线路时，用户的下载、更新存在跨网传输的情况，极易造成下载速度慢、不稳定、下载中断等情况。 硬件、网络资源扩容建设成本高昂 通过服务站点硬件和网络带宽的扩容建设解决用户集中下载、更新带来的一系列问题，建设的成本让大多数企业望而却步；在业务闲时，扩建的资源也无法得到有效利用。