云服务器内容精选

  • SSL认证方式及客户端参数介绍 SSL认证有两种认证方式,如表1所示。从安全性考虑,建议使用双向认证方式。 表1 认证方式 认证方式 含义 配置客户端环境变量 维护建议 双向认证(推荐) 客户端验证服务器证书的有效性,同时服务器端也要验证客户端证书的有效性,只有认证成功,连接才能建立。 设置如下环境变量: PGSSLCERT PGSSLKEY PGSSLROOTCERT PGSSLMODE 该方式应用于安全性要求较高的场景。使用此方式时,建议设置客户端的PGSSLMODE变量为verify-ca。确保了网络数据的安全性。 单向认证 客户端只验证服务器证书的有效性,而服务器端不验证客户端证书的有效性。服务器加载证书信息并发送给客户端,客户端使用根证书来验证服务器端证书的有效性。 设置如下环境变量: PGSSLROOTCERT PGSSLMODE 为防止基于TCP链接的安全攻击,建议使用SSL证书认证功能。除配置客户端根证书外,建议客户端使用PGSSLMODE变量为verify-ca方式连接。 在客户端配置SSL认证相关的环境变量,详细信息请参见表2。 客户端环境变量的路径以“/home/dbadmin/dws_ssl/”为例,在实际操作中请使用实际路径进行替换。 表2 客户端参数 环境变量 描述 取值说明 PGSSLCERT 指定客户端证书文件,包含客户端的公钥。客户端证书用于表明客户端身份的合法性,公钥将发送给对端用来对数据进行加密。 必须包含文件的绝对路径,如: export PGSSLCERT='/home/dbadmin/dws_ssl/sslcert/client.crt' 默认值:空 PGSSLKEY 指定客户端私钥文件,用于数字签名和对公钥加密的数据进行解密。 必须包含文件的绝对路径,如: export PGSSLKEY='/home/dbadmin/dws_ssl/sslcert/client.key' 默认值:空 PGSSLMODE 设置是否和服务器进行SSL连接协商,以及指定SSL连接的优先级。 取值及含义: disable:只尝试非SSL连接。 allow:首先尝试非SSL连接,如果连接失败,再尝试SSL连接。 prefer:首先尝试SSL连接,如果连接失败,将尝试非SSL连接。 require:只尝试SSL连接。如果存在CA文件,则按设置成verify-ca的方式验证。 verify-ca:只尝试SSL连接,并且验证服务器是否具有由可信任的证书机构签发的证书。 verify-full: GaussDB (DWS)不支持此模式。 默认值:prefer 说明: 若集群外访问客户端时,部分节点出现报错:ssl SYSCALL error。则可执行export PGSSLMODE="allow"或export PGSSLMODE="prefer"。 PGSSLROOTCERT 指定为客户端颁发证书的根证书文件,根证书用于验证服务器证书的有效性。 必须包含文件的绝对路径,如: export PGSSLROOTCERT='/home/dbadmin/dws_ssl/sslcert/certca.pem' 默认值:空 PGSSLCRL 指定证书吊销列表文件,用于验证服务器证书是否在废弃证书列表中,如果在,则服务器证书将会被视为无效证书。 必须包含文件的绝对路径,如: export PGSSLCRL='/home/dbadmin/dws_ssl/sslcert/sslcrl-file.crl' 默认值:空
  • 在gsql客户端配置SSL认证相关的数字证书参数 GaussDB(DWS)在集群部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。 登录GaussDB(DWS)管理控制台,在左侧导航栏中,进入“连接客户端”页面。 在“下载驱动程序”区域,单击“下载SSL证书”进行下载。 图1 SSL证书下载 使用文件传输工具(例如WinSCP工具)将SSL证书上传到客户端主机。 例如,将下载的证书“dws_ssl_cert.zip”存放到“/home/dbadmin/dws_ssl/”目录下。 使用SSH远程连接工具(例如PuTTY)登录gsql客户端主机,然后执行以下命令进入SSL证书的存放目录,并解压SSL证书: cd /home/dbadmin/dws_ssl/ unzip dws_ssl_cert.zip 在gsql客户端主机上,执行export命令,配置SSL认证相关的数字证书参数。 SSL认证有两种认证方式:双向认证和单向认证。认证方式不同用户所需配置的客户端环境变量也不同,详细介绍请参见SSL认证方式及客户端参数介绍。 双向认证需配置如下参数: export PGSSLCERT="/home/dbadmin/dws_ssl/sslcert/client.crt" export PGSSLKEY="/home/dbadmin/dws_ssl/sslcert/client.key" export PGSSLMODE="verify-ca" export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem" 单向认证需要配置如下参数: export PGSSLMODE="verify-ca" export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem" 从安全性考虑,建议使用双向认证方式。 配置客户端环境变量,必须包含文件的绝对路径。 修改客户端密钥的权限。 客户端根证书、密钥、证书以及密钥密码加密文件需保证权限为600。如果权限不满足要求,则客户端无法以SSL方式连接到集群。 chmod 600 client.key chmod 600 client.crt chmod 600 client.key.cipher chmod 600 client.key.rand chmod 600 cacert.pem
  • 客户端和服务器端SSL连接参数组合情况 客户端最终是否使用SSL加密连接方式、是否验证服务器证书,取决于客户端参数sslmode与服务器端(即GaussDB(DWS)集群侧)参数ssl、require_ssl。参数说明如下: ssl(服务器) ssl参数表示是否开启SSL功能。on表示开启,off表示关闭。 对于集群版本高于1.3.1(包括1.3.1)的集群,默认为on,不支持在GaussDB(DWS)管理控制台上设置。 对于集群版本低于1.3.1的集群,默认为on。ssl参数可通过GaussDB(DWS)管理控制台上集群的“安全设置”页面中的“SSL连接”进行设置。 require_ssl(服务器) require_ssl参数是设置服务器端是否强制要求SSL连接,该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。 对于集群版本高于1.3.1(包括1.3.1)的集群,默认为off。require_ssl参数可通过GaussDB(DWS)管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。 对于集群版本低于1.3.1的集群,默认为off,不支持在GaussDB(DWS)管理控制台上设置。 sslmode(客户端) 可在SQL客户端工具中进行设置。 在gsql命令行客户端中,为“PGSSLMODE”参数。 在Data Studio客户端中,为“SSL模式”参数。 客户端参数sslmode与服务器端参数ssl、require_ssl配置组合结果如下: 表3 客户端与服务器端SSL参数组合结果 ssl(服务器) sslmode(客户端) require_ssl(服务器) 结果 on disable on 由于服务器端要求使用SSL,但客户端针对该连接禁用了SSL,因此无法建立连接。 disable off 连接未加密。 allow on 连接经过加密。 allow off 连接未加密。 prefer on 连接经过加密。 prefer off 连接经过加密。 require on 连接经过加密。 require off 连接经过加密。 verify-ca on 连接经过加密,且验证了服务器证书。 verify-ca off 连接经过加密,且验证了服务器证书。 off disable on 连接未加密。 disable off 连接未加密。 allow on 连接未加密。 allow off 连接未加密。 prefer on 连接未加密。 prefer off 连接未加密。 require on 由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 require off 由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 verify-ca on 由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 verify-ca off 由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。
  • 模板配置开通流程 在控制台页面,勾选相关确认协议后,单击“模板配置开通”按钮,进入立即创建资源栈页面; 在部署页面,配置资源信息; 核对模板信息后,单击“下一步”; 在配置页面设置相关云服务密码,也可根据实际需求更改相关配置,配置完成后,单击“下一步”,页面弹窗提示“开启加密”,点击“确定”进入资源栈设置页面; 在“资源栈设置”页面配置 IAM 委托,设置完成后,单击“下一步”进入配置确认页面; 如果是首次创建委托,请参考如何创建委托。 如不选择委托,可直接点击“下一步”进行确认,系统将默认采用当前登录用户的权限进行部署。 在“配置确认”页面,检查已经配置的参数,确认无误后单击“创建执行计划”,页面弹窗提示确认“创建执行计划”,点击“确定”进入执行计划页面; 在执行计划页面,确保账户余额充足后,单击“部署”,开始进行资源部署。 点击“查看费用明细”,可查询资源费用明细。如选择的是包年或包月的计费模式,资源创建成功后自动扣费(请确保账号余额充足,否则资源将创建失败)。 部署成功后,查看输出界面,若是网站页面开发软件包,将生成网站访问地址。 部署成功后,若服务器不再需要访问外网,可在资源服务平台关闭绑定的eip。 如部署失败,请联系商家。 部署成功后,请根据商家提供的使用指南开始使用产品。 用户根据商家提供的使用指南开始使用。
  • 快捷开通流程 点击购买后,进入控制台; 如需选择自定义开通,可在该页面点击“自定义开通”切换至自定义开通页面。 首次使用云商店快捷开通方式的情况下,页面会先弹框提示您需要将创建云资源的权限委托给云商店,点击“确定”即可。 在控制台页面完成以下内容的配置: 勾选对应的E CS 实例,完成ECS实例配置; 选择网络和安全组配置,完成网络配置; 安全组:可以下拉选择商家推荐的安全组,也可以点击“新建安全组”创建安全组。 填写登陆凭证,即ECS登陆密码; 勾选“协议及授权”。 云资源配置费用及镜像费用可在页面底部栏查看。 如选择的是包年或包月的计费模式,资源创建成功后自动扣费(请确保账号余额充足,否则资源将创建失败)。 单击“启动部署”,即可完成镜像类商品的部署。此时页面会跳转到ECS管理台,可以查看创建成功的ECS实例。
  • 操作步骤 登陆华为云账号,进入云商店首页,搜索您需要的商品。 找到需要购买的License软件包商品,点击进入商品详情页面,查看商品信息、设置服务选型后,单击“立即购买”。 进入订单详情面,勾选相关协议及授权后,单击“去支付”。 核对订单无误后,选择支付方式,单击“确认付款”。 订单支付成功后,单击“返回我的云市场”回到“我的云商店”页面。 在我的云商店页面,单击左侧导航栏的“已购买的服务”,找到已购买的目标License商品,点击右侧操作列的“启动部署”,进入部署页面。 在部署页面,配置资源信息。 在部署区域弹框中,选择需要部署的区域,并选择软件版本、部署模板后,单击“确定并同意授权”。 进入配置页,核对模板信息后,单击“下一步”。 在配置页面设置相关云服务密码,也可根据实际需求更改相关配置,配置完成后,单击“下一步”。 配置IAM委托,资源栈设置完成后,单击“下一步”。 如果是首次创建委托,请参考如何创建委托。 配置确认后,单击“创建执行计划”。 进入执行计划页面,确保账户余额充足后,单击“部署”,开始进行资源部署。 点击“查看费用明细”,可查询资源费用明细。如选择的是包年或包月的计费模式,资源创建成功后自动扣费(请确保账号余额充足,否则资源将创建失败)。 部署成功后,查看输出界面,若是网站页面开发软件包,将生成网站访问地址。 部署成功后,若服务器不再需要访问外网,可在资源服务平台关闭绑定的eip。 如部署失败,请联系商家。 部署成功后,用户根据商家提供的使用指南开始使用产品。 用户根据商家提供的使用指南开始使用。 部署完成后,用户需前往服务监管页面找到对应订单确认验收,具体操作请参考License类商品软件包服务监管。
  • 商品升级和扩容费用计费规则 1、升级费用= 新配置价格*剩余天数*折扣-老配置价格*剩余天数*折扣 ① 新配置价格:目标产品按照剩余时长匹配到该产品的当前价格。 ② 老配置价格:当前产品按照购买时长匹配到该产品的当前价格。 2、扩容费用 原计费规则(2023年6月12日前): 线性 定价 、Step阶梯定价、Tier阶梯定价:扩容费用= 扩容累计用户数所在价格区间单价*扩容累计用户数*剩余周期*折扣-原扩容前价格*剩余周期*折扣 现计费规则(2023年6月12日后): ①线性定价、Step阶梯定价:扩容费用= 扩容累计用户数所在价格区间单价*扩容累计用户数*剩余周期*折扣-原扩容前价格*剩余周期*折扣 ②Tier阶梯定价:扩容费用= 新配置累计用户数所在价格区间单价*扩容增量数*剩余天数*折扣
  • 首页 数字化制造云平台(MBM Space)系统“首页”如图1所示。 图1 MBM Space系统首页 表1 首页各功能区域说明 序列 区域 说明 1 系统Logo/首页 快速返回系统首页。 2 顶部导航栏 切换各个功能模块进行业务管理,包括制造数据模型管理、计划管理 、生产管理、质量管理和系统管理。 3 菜单搜索框 输入菜单名称搜索,可快速进入对应菜单页面。 4 当前登录者 显示当前登录用户信息,支持退出登录。 5 常用功能 显示系统常用功能菜单快捷入口。 父主题: MBM Space界面使用指导
  • 方案概述 分布式缓存服务Redis支持原生Redis的Pipeline(管道传输)机制,通过Pipeline机制可以将多个命令同时发给Redis服务端,减少网络延迟,提高性能。 通常在非Pipeline的模式下,Redis客户端(Client)向Redis发送一个命令后,会等待服务端(Server)返回结果,然后再发送下一个命令,以此类推。但在Pipeline模式下,客户端发送一个命令后无需等待服务端返回执行结果,会继续发送其他命令。在全部命令发送完毕后,客户端关闭请求,开始接收响应,把收到的执行结果与之前发送的命令按顺序进行匹配。 图1 非Pipeline模式与Pipeline模式的网络通信示意图 在Pipeline模式的具体实现中,大部分Redis客户端采用批量处理的方式,即一次发送多个命令,在接收完所有命令执行结果后再返回给上层业务。通过Pipeline模式可降低网络往返时延(Round-trip time,简称RTT),减少read()和write()的系统调用和进程切换次数,从而提升程序的执行效率与性能。 因此,在需要执行Redis批量操作,且用户无需立即获得每个操作结果的场景下,可以使用Pipeline作为优化性能的批处理工具。 使用Pipeline时客户端将独占与服务器端的连接,此期间将不能进行其他“非Pipeline”的操作,直至Pipeline被关闭。如果需要同时执行其他操作,可以为Pipeline操作单独建立一个连接,将其与常规非Pipeline操作分开。 关于Pipeline的更多介绍,请参见Redis pipeline。
  • 约束与限制 Pipeline不能保证原子性。 Pipeline模式只是将客户端发送命令的方式改为批量发送命令,而服务端在批量处理命令的数据流时,仍然是解析出多个单命令并按顺序执行,各个命令相互独立,即服务端仍有可能在该过程中执行其他客户端的命令。如需保证原子性,请使用事务或Lua脚本。 若Pipeline执行过程中发生错误,不支持回滚。 Pipeline没有事务的特性,如待执行的命令前后存在依赖关系,请勿使用Pipeline。 如果某些客户端(例如redis-py)在实现Pipeline时使用事务命令MULTI、EXEC进行伪装,请您在使用过程中关注Pipeline与事务的区别,否则可能会产生报错,关于事务的限制请参见Redis transactions。
  • 自动诊断工具MA-Advisor简介 MA-Advisor是一款昇腾迁移性能问题自动诊断工具,当前支持如下场景的自动诊断: 推理场景下的子图数据调优分析,给出对应融合算子的调优建议。 推理、训练场景下对Profiling timeline单卡数据进行调优分析,给出相关亲和API替换的调优建议。 推理、训练场景下对Profiling单卡数据进行调优分析,给出AICPU相关调优建议。 推理、训练场景下对Profiling单卡数据进行调优分析,给出block dim、operator no bound相关AOE配置以及调优建议。 支持对昇腾训练、推理环境进行预检,完成相关依赖配置项的提前检查,并在检测出问题时给出相关修复建议。 自动诊断工具可以有效减少人工分析profiling的耗时,降低性能调优的门槛,帮助客户快速识别性能瓶颈点并完成性能优化。推荐用户在采集profiling分析后使用自动诊断工具进行初步性能调优。更进一步的性能调优再使用Ascend-Insight工具进行 数据可视化 并人工分析瓶颈点。 父主题: 自动诊断工具MA-Advisor使用指导
  • IndexPut算子替换 在tensor类型的赋值和切片操作时,会使用IndexPut算子执行,一般都在AICPU上执行,可以转换为等价的tensor操作转换到CUBE单元上执行。例如: masked_input[input_mask] = 01 建议替换为: masked_input *= ~input_mask 1 此处是将IndexPut的masked_input是float类型的tensor数据,input_mask是和masked_input shape 一致的bool类型tensor或者01矩阵。由于是赋0操作,所以先对input_mask 取反后再进行乘法操作。 以赋0操作为例,在shape = (512, 32, 64) 类型float32 数据上测试,替换前耗时: 9.639978408813477 ms,替换之后耗时为 0.1747608184814453 ms Profiling分析算子下发发现,替换前:总体耗时在9.902ms,Host下发到device侧执行5个算子,其中aclnnIndexPutImpl_IndexPut_IndexPut是执行在 AICPU上。 图3 替换前 替换后:总体耗时226.131us。下发三个执行算子,均执行在AI CORE上。 图4 替换后
  • ArgMin算子优化 ArgMin在CANN 6.3 RC2 版本上 算子下发到 AICPU执行,在 CANN 7.0RC1上下发到AI_CORE 上边执行。出现此类情形建议升级 CANN 包版本。 在 shape 大小是 (1024, 1024) 的 tensor 上测试,结果如下: CANN 6.3.RC2上,单算子执行时间 2.603 ms。 图5 单算子执行时间(CANN 6.3.RC2) CANN7.0 RC1上,单算子执行时间 223.516 us。 图6 单算子执行时间(CANN7.0 RC1)
  • 执行动作 创建执行动作步骤如下: 点击连接器名称,跳转到连接器详情页面,点击“执行动作” 点击“创建执行动作” 输入“执行动作名称”,“接口路径”,并点“下一步”,接口路径目前只支持GET和POST两种方式 根据API入参结构,点击“添加子节点”配置API入参的key值,类型和名称,配置完成后,点“下一步” 根据参数的json层级结构配置入参,如下: 根据API的出参结构,点击“添加子节点”或者“添加兄弟节点”配置API出参的key值,类型和名称 根据出参json结构配置响应体/响应头,如下: 点击“添加配置项”,选择参数进行接口校验。 点击“保存”,执行动作配置成功,跳转到执行动作列表页面。 父主题: 连接器使用指导
  • 客户端和服务器端SSL连接参数组合情况 客户端最终是否使用SSL加密连接方式、是否验证服务器证书,取决于客户端参数sslmode与服务器端(即GaussDB(DWS) 集群侧)参数ssl、require_ssl。参数说明如下: ssl(服务器) ssl参数表示是否开启SSL功能。on表示开启,off表示关闭。 对于集群版本高于1.3.1(包括1.3.1)的集群,默认为on,不支持在GaussDB(DWS) 管理控制台上设置。 对于集群版本低于1.3.1的集群,默认为on。ssl参数可通过GaussDB(DWS) 管理控制台上集群的“安全设置”页面中的“SSL连接”进行设置。 require_ssl(服务器) require_ssl参数是设置服务器端是否强制要求SSL连接,该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。 对于集群版本高于1.3.1(包括1.3.1)的集群,默认为off。require_ssl参数可通过GaussDB(DWS) 管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。 对于集群版本低于1.3.1的集群,默认为off,不支持在GaussDB(DWS) 管理控制台上设置。 sslmode(客户端) 可在SQL客户端工具中进行设置。 在gsql命令行客户端中,为“PGSSLMODE”参数。 在Data Studio客户端中,为“SSL模式”参数。 客户端参数sslmode与服务器端参数ssl、require_ssl配置组合结果如下: 表3 客户端与服务器端SSL参数组合结果 ssl(服务器) sslmode(客户端) require_ssl(服务器) 结果 on disable on 由于服务器端要求使用 SSL,但客户端针对该连接禁用了 SSL,因此无法建立连接。 disable off 连接未加密。 allow on 连接经过加密。 allow off 连接未加密。 prefer on 连接经过加密。 prefer off 连接经过加密。 require on 连接经过加密。 require off 连接经过加密。 verify-ca on 连接经过加密,且验证了服务器证书。 verify-ca off 连接经过加密,且验证了服务器证书。 off disable on 连接未加密。 disable off 连接未加密。 allow on 连接未加密。 allow off 连接未加密。 prefer on 连接未加密。 prefer off 连接未加密。 require on 由于客户端要求使用 SSL,但服务器端禁用了 SSL,因此无法建立连接。 require off 由于客户端要求使用 SSL,但服务器端禁用了 SSL,因此无法建立连接。 verify-ca on 由于客户端要求使用 SSL,但服务器端禁用了 SSL,因此无法建立连接。 verify-ca off 由于客户端要求使用 SSL,但服务器端禁用了 SSL,因此无法建立连接。