华为云用户手册

奖励规则 使用包年包月弹性云服务器（不含Flexus应用服务器X实例、 L实例 ）的客户，华为云将根据客户提交ICP备案初审的时间至网站或App通过管局审核备案完成的时间，相应的免费延长对应相同时长的用于办理备案的服务器的服务期限（延长的该服务期限，以下简称“赠送时长”），该赠送时长不能转移给其他服务器。 赠送时长不超过 30 天。 在任何情况下，赠送时长不能折抵服务费用。 备案成功后系统自动延长对应服务器的赠送时长（不包含云服务器绑定的云硬盘、带宽、弹性公网IP等资源）。

开启 云审计 服务记录CAE的所有访问操作便于事后审查 云审计服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 您开通云审计服务并创建和配置追踪器后，CTS可记录CAE的事件用于审计。CAE支持云审计的关键操作请参见CAE支持云审计的关键操作。

使用CAE提供的访问控制能力对权限进行最小化设置 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CAE部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问CAE时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 CAE权限管理详情请参见权限管理。

结合CAE网络安全设计，正确规划自身业务，减少被网络攻击的风险 建议根据业务隔离诉求规划环境，确保不同业务之间无法互相访问 环境是用于区分业务部署场景，并自带隔离的概念。在CAE中，可根据业务需求设置开发环境、测试环境、预生产环境和生产环境。环境内网络互通，可以按环境维度来管理组件、部署服务，减少具体组件运维管理的复杂性，方便应用组件生产上线管理。 建议应用组件七层访问使用HTTPS协议，确保数据传输过程中不被窃取和破坏 HTTPS（超文本传输安全协议）是一种互联网通信协议，可保护客户端与服务端之间传输的数据的完整性和机密性。建议您使用HTTPS协议进行数据访问。 建议敏感数据托管到DEW，CAE通过DEW获取使用，确保敏感数据不泄露 每个企业都有自己的核心敏感数据，这些数据都需要被加密，从而保护它们。为了提高数据安全性，CAE通过添加对应DEW凭据，以环境变量方式注入到组件内，帮您实现数据保护。

名词解释 弹性云服务器 E CS ：是一种云上可随时自助获取、可弹性伸缩的计算服务，可帮助您打造安全、可靠、灵活、高效的应用环境。 虚拟私有云 VPC：是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮您打造可靠、稳定、高效的专属云上网络。 弹性公网IP EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑，提供访问公网和被公网访问能力。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步”完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

操作步骤 登录华为云解决方案实践，选择“快速部署Qwen-QwQ-32B模型”，单击“一键部署（GPU版部署） --白名单客户开放”，跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考“表1 参数填写说明”完成自定义参数填写，部分参数会自动默认填充参数值。如需修改请在参数配置页面删除文本框内的默认值后填写新的参数值，所有参数填写完成后方可单击“下一步”。 图3 配置参数 表1 参数填写说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板使用新建VPC，不允许重名。取值范围：1-54个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 deploying-qwen-qwq-32b-models-demo security_group_name string 必填 安全组名称，该模板新建安全组，请参考安全组规则修改进行配置。取值范围：1-64个字符，支持字母、数字、中文、下划线（_）、中划线（-）、英文句号（.）。 deploying-qwen-qwq-32b-models-demo ecs_name string 必填 云服务器实例名称，不支持重名。取值范围：1-64个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 deploying-qwen-qwq-32b-models-demo ecs_gpu_mapping string 必填 弹性云服务器 ECS规格与GPU显卡大小的映射关系。B-1对应显存1*24G、B-2对应显存2*24G、B-4对应显存4*24G、B-6对应显存6*24G，推荐显存大小24GB及以上。当参数{ecs_flavor}有值时，此参数不生效。 B-1 ecs_flavor string 必填 弹性云服务器实例规格，须使用GPU加速型，推荐显存大小24GB及以上。此参数优先级高于{ecs_gpu_mapping}，允许为空。规格信息具体请参考官网弹性云服务器规格清单。 空 ecs_password string 必填 云服务器密码，长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，仅支持小写字母、数字、中划线（-）、英文句号（.）。修改密码，请参考重置云服务器密码登录ECS控制台修改密码。管理员账户默认root。 空 system_disk_size number 必填 云服务器系统盘大小，磁盘类型默认为通用型SSD，单位：GB，取值范围为40-1,024，不支持缩盘。 70 charging_mode string 必填 云服务器计费模式，默认自动扣费，可选值为：postPaid（按需计费）、prePaid（包年包月）。 postPaid charging_unit string 必填 云服务器订购周期类型，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：month（月），year（年）。 month charge_period number 必填 云服务器订购周期，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：charging_unit=month（周期类型为月）时，取值为1-9；charging_unit=year（周期类型为年）时，取值为1-3。 1 （可选，如果使用华为主账号或admin用户组下的IAM子账户可不选委托）在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，堆栈部署成功，表示顺利完成资源的下发和部署。堆栈部署成功后，搭建DeepSeek脚本开始执行，耐心等待5-10分钟左右（受网络波动影响）。 图9 部署完成

资源和成本规划 该解决方案主要部署如下资源，以下费用仅供参考，具体请参考华为云官网价格详情，实际收费以账单为准。 表1 资源和成本规划（按需计费） 华为云服务 资源名称 配置示例 数量 每月预估花费 虚拟私有云 VPC deploying-qwen-qwq-32b-models-demo VPC网段：172.16.0.0/16 区域：华北-北京四 1 0.00元 子网 Subnet deploying-qwen-qwq-32b-models-demo-subnet 子网网段：172.16.1.0/24 区域：华北-北京四 1 0.00元 安全组 SecurityGroup deploying-qwen-qwq-32b-models-demo 允许ping：0.0.0.0/0 开放端口22允许Cloud Shell 登录：121.36.59.153/32 区域：华北-北京四 1 0.00元 弹性云服务器 ECS deploying-qwen-qwq-32b-models-demo 按需计费：8.14/小时 区域：华北-北京四 规格：GPU加速型 | pi5.4xlarge.4 | 16vCPUs | 64GiB | GPU显卡: 1 * NVIDIA Tesla L2 / 1 * 24GiB 镜像：Ubuntu 22.04 server 64bit with Tesla Driver 535.183.01 and CUDA 12.2 系统盘：通用型SSD | 70GB 1 5861.45元 弹性公网IP EIP deploying-qwen-qwq-32b-models-demo-eip 按需计费：0.80元/GB 区域：华北-北京四 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 1 0.80元/GB 合计 - 5861.45元 + 弹性公网IP EIP费用 表2 资源和成本规划（包年包月） 华为云服务 资源名称 配置示例 数量 每月预估花费 虚拟私有云 VPC deploying-qwen-qwq-32b-models-demo VPC网段：172.16.0.0/16 区域：华北-北京四 1 0.00元 子网 Subnet deploying-qwen-qwq-32b-models-demo-subnet 子网网段：172.16.1.0/24 区域：华北-北京四 1 0.00元 安全组 SecurityGroup deploying-qwen-qwq-32b-models-demo 允许ping：0.0.0.0/0 开放端口22允许Cloud Shell 登录：121.36.59.153/32 区域：华北-北京四 1 0.00元 弹性云服务器 ECS deploying-qwen-qwq-32b-models-demo 包年包月 区域：华北-北京四 规格：GPU加速型 | pi5.4xlarge.4 | 16vCPUs | 64GiB | GPU显卡: 1 * NVIDIA Tesla L2 / 1 * 24GiB 镜像：Ubuntu 22.04 server 64bit 系统盘：通用型SSD | 40GB 1 4039.00元 弹性公网IP EIP deploying-qwen-qwq-32b-models-demo-eip 按需计费：0.80元/GB 区域：华北-北京四 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 1 0.80元/GB 合计 - 4039.00元 + 弹性公网IP EIP费用

操作步骤 登录弹性云服务器 ECS控制台，如下图所示获取3.2快速部署步骤3中的部署的弹性云服务器的弹性公网 IP地址和私有 IP地址。 图1 获取公网IP 浏览器输入http://[弹性公网IP]，访问Dify的开发平台。首次登录需注册管理员账号，依次填写邮箱、账号、密码。 图2 Dify开发平台 依次输入上一步骤中的“邮箱”、“密码”登录Dify平台。 图3 登录Dify平台 单击右侧“用户名称”下拉并单击“设置”。 图4 设置 单击左侧“模型供应商”，在Ollama下单击“添加模型”。 图5 添加模型 模型名称填写3.2快速部署中部署的模型“qwq:latest”，基础URL填写步骤1中获取的私网IP地址，端口号11434，单击右下角“保存”并关闭“设置”。 图6 添加Ollama 选择“创建空白应用”，单击“聊天助手”并填写“应用名称&图标”，单击右下角“创建”。 图7 创建空白应用 图8 创建应用 单击左侧“编排”，在右下角“和机器人聊天”中输入内容即可调试预览。 图9 调试与预览 拓展应用请参考： 华为云ModelArts Studio，助力快速搭建专属大模型 探索Dify：开启AI应用开发的新篇章

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

应用场景 该解决方案帮助您在华为云GPU加速型云服务器上快速部署QwQ-32B推理模型。QwQ 是 Qwen 系列的推理模型，QwQ-32B 是中型推理模型，性能强大、专注于提升数学推理、代码生成及复杂任务处理能力，同时降低部署成本，通过Ollama在云服务器中部署模型，快速打造您的私人AI助手，主要适用如下场景： 自然语言处理：能够理解和生成自然语言文本，适用于对话、翻译、摘要等任务。 文本生成：能够生成连贯、逻辑清晰的文本，适用于内容创作、故事编写等。 问答系统：能够回答用户提出的问题，适用于客服、知识库查询等场景。 情感分析：能够分析文本中的情感倾向，适用于市场调研、舆情监控等。 文本分类：能够对文本进行分类，适用于垃圾邮件过滤、新闻分类等。 信息抽取：能够从文本中提取关键信息，适用于数据挖掘、知识图谱构建等。

资源和成本规划 该解决方案主要部署如下资源，以下费用仅供参考，具体请参考华为云官网价格详情，实际收费以账单为准。 表1 资源和成本规划（按需计费） 华为云服务 资源名称 配置示例 数量 每月预估花费 虚拟私有云 VPC deploying-qwen-qwq-32b-models-demo VPC网段：172.16.0.0/16 区域：华北-北京四 1 0.00元 子网 Subnet deploying-qwen-qwq-32b-models-demo-subnet 子网网段：172.16.1.0/24 区域：华北-北京四 1 0.00元 安全组 SecurityGroup deploying-qwen-qwq-32b-models-demo 允许ping：0.0.0.0/0 开放端口22允许Cloud Shell 登录：121.36.59.153/32 区域：华北-北京四 1 0.00元 弹性云服务器 ECS deploying-qwen-qwq-32b-models-demo 按需计费：8.14/小时 区域：华北-北京四 规格：GPU加速型 | pi5.4xlarge.4 | 16vCPUs | 64GiB | GPU显卡: 1 * NVIDIA Tesla L2 / 1 * 24GiB 镜像：Ubuntu 22.04 server 64bit with Tesla Driver 535.183.01 and CUDA 12.2 系统盘：通用型SSD | 70GB 1 5861.45元 弹性公网IP EIP deploying-qwen-qwq-32b-models-demo-eip 按需计费：0.80元/GB 区域：华北-北京四 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 1 0.80元/GB 合计 - 5861.45元 + 弹性公网IP EIP费用 表2 资源和成本规划（包年包月） 华为云服务 资源名称 配置示例 数量 每月预估花费 虚拟私有云 VPC deploying-qwen-qwq-32b-models-demo VPC网段：172.16.0.0/16 区域：华北-北京四 1 0.00元 子网 Subnet deploying-qwen-qwq-32b-models-demo-subnet 子网网段：172.16.1.0/24 区域：华北-北京四 1 0.00元 安全组 SecurityGroup deploying-qwen-qwq-32b-models-demo 允许ping：0.0.0.0/0 开放端口22允许Cloud Shell 登录：121.36.59.153/32 区域：华北-北京四 1 0.00元 弹性云服务器 ECS deploying-qwen-qwq-32b-models-demo 包年包月 区域：华北-北京四 规格：GPU加速型 | pi5.4xlarge.4 | 16vCPUs | 64GiB | GPU显卡: 1 * NVIDIA Tesla L2 / 1 * 24GiB 镜像：Ubuntu 22.04 server 64bit 系统盘：通用型SSD | 40GB 1 4039.00元 弹性公网IP EIP deploying-qwen-qwq-32b-models-demo-eip 按需计费：0.80元/GB 区域：华北-北京四 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 1 0.80元/GB 合计 - 4039.00元 + 弹性公网IP EIP费用

操作步骤 登录华为云解决方案实践，选择“快速部署Qwen-QwQ-32B模型”，单击“一键部署（GPU版部署） --白名单客户开放”，跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考“表1 参数填写说明”完成自定义参数填写，部分参数会自动默认填充参数值。如需修改请在参数配置页面删除文本框内的默认值后填写新的参数值，所有参数填写完成后方可单击“下一步”。 图3 配置参数 表1 参数填写说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板使用新建VPC，不允许重名。取值范围：1-54个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 deploying-qwen-qwq-32b-models-demo security_group_name string 必填 安全组名称，该模板新建安全组，请参考安全组规则修改进行配置。取值范围：1-64个字符，支持字母、数字、中文、下划线（_）、中划线（-）、英文句号（.）。 deploying-qwen-qwq-32b-models-demo ecs_name string 必填 云服务器实例名称，不支持重名。取值范围：1-64个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 deploying-qwen-qwq-32b-models-demo ecs_gpu_mapping string 必填 弹性云服务器 ECS规格与GPU显卡大小的映射关系。B-1对应显存1*24G、B-2对应显存2*24G、B-4对应显存4*24G、B-6对应显存6*24G，推荐显存大小24GB及以上。当参数{ecs_flavor}有值时，此参数不生效。 B-1 ecs_flavor string 必填 弹性云服务器实例规格，须使用GPU加速型，推荐显存大小24GB及以上。此参数优先级高于{ecs_gpu_mapping}，允许为空。规格信息具体请参考官网弹性云服务器规格清单。 空 ecs_password string 必填 云服务器密码，长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，仅支持小写字母、数字、中划线（-）、英文句号（.）。修改密码，请参考重置云服务器密码登录ECS控制台修改密码。管理员账户默认root。 空 system_disk_size number 必填 云服务器系统盘大小，磁盘类型默认为通用型SSD，单位：GB，取值范围为40-1,024，不支持缩盘。 70 charging_mode string 必填 云服务器计费模式，默认自动扣费，可选值为：postPaid（按需计费）、prePaid（包年包月）。 postPaid charging_unit string 必填 云服务器订购周期类型，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：month（月），year（年）。 month charge_period number 必填 云服务器订购周期，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：charging_unit=month（周期类型为月）时，取值为1-9；charging_unit=year（周期类型为年）时，取值为1-3。 1 （可选，如果使用华为主账号或admin用户组下的IAM子账户可不选委托）在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，堆栈部署成功，表示顺利完成资源的下发和部署。堆栈部署成功后，搭建DeepSeek脚本开始执行，耐心等待5-10分钟左右（受网络波动影响）。 图9 部署完成

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步”完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

名词解释 弹性云服务器 ECS：是一种云上可随时自助获取、可弹性伸缩的计算服务，可帮助您打造安全、可靠、灵活、高效的应用环境。 虚拟私有云 VPC：是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮您打造可靠、稳定、高效的专属云上网络。 弹性公网IP EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑，提供访问公网和被公网访问能力。

操作步骤 登录弹性云服务器 ECS控制台，如下图所示获取3.2快速部署步骤3中的部署的弹性云服务器的弹性公网 IP地址和私有 IP地址。 图1 获取公网IP 浏览器输入http://[弹性公网IP]，访问Dify的开发平台。首次登录需注册管理员账号，依次填写邮箱、账号、密码。 图2 Dify开发平台 依次输入上一步骤中的“邮箱”、“密码”登录Dify平台。 图3 登录Dify平台 单击右侧“用户名称”下拉并单击“设置”。 图4 设置 单击左侧“模型供应商”，在Ollama下单击“添加模型”。 图5 添加模型 模型名称填写3.2快速部署中部署的模型“qwq:latest”，基础URL填写步骤1中获取的私网IP地址，端口号11434，单击右下角“保存”并关闭“设置”。 图6 添加Ollama 选择“创建空白应用”，单击“聊天助手”并填写“应用名称&图标”，单击右下角“创建”。 图7 创建空白应用 图8 创建应用 单击左侧“编排”，在右下角“和机器人聊天”中输入内容即可调试预览。 图9 调试与预览 拓展应用请参考： 华为云ModelArts Studio，助力快速搭建专属大模型 探索Dify：开启AI应用开发的新篇章

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

应用场景 该解决方案帮助您在华为云GPU加速型云服务器上快速部署QwQ-32B推理模型。QwQ 是 Qwen 系列的推理模型，QwQ-32B 是中型推理模型，性能强大、专注于提升数学推理、代码生成及复杂任务处理能力，同时降低部署成本，通过Ollama在云服务器中部署模型，快速打造您的私人AI助手，主要适用如下场景： 自然语言处理：能够理解和生成自然语言文本，适用于对话、翻译、摘要等任务。 文本生成：能够生成连贯、逻辑清晰的文本，适用于内容创作、故事编写等。 问答系统：能够回答用户提出的问题，适用于客服、知识库查询等场景。 情感分析：能够分析文本中的情感倾向，适用于市场调研、舆情监控等。 文本分类：能够对文本进行分类，适用于垃圾邮件过滤、新闻分类等。 信息抽取：能够从文本中提取关键信息，适用于数据挖掘、知识图谱构建等。

处理方法 执行“su”命令切换到root用户。 执行“chmod g+w /var/log”和“chmod o+w /var/log”命令为文件夹添加所属组和其他用户的写权限。 执行“chmod g+r /var/log/日志文件名”和“chmod o+r /var/log/日志文件名”命令为日志文件添加所属组和其他用户的读权限。 执行“chmod g+w /var/log/日志文件名”和“chmod o+w /var/log/日志文件名”命令为日志文件添加所属组和其他用户的写权限。 执行exit退出root用户。

删除端口配置 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 单击“访问方式”模块中的“编辑”。 在“环境内其他组件访问本组件”中，选择待操作端口配置，单击操作列“删除”。 在弹框中单击“是”，完成端口配置删除。 图5 删除端口配置 单击“确定”，完成访问方式配置确认。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”待部署执行完成后，配置生效。

添加端口配置 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 图1 选择组件 单击“访问方式”模块中的“编辑”。 在“环境内其他组件访问本组件”中，单击“添加配置”，参考表1进行参数配置。 表1 内网访问配置 参数 参数说明 协议 支持TCP、UDP协议。 监听端口 组件中程序的监听端口，一般从用户的程序代码中获取。 取值范围[1，65535]。 访问端口 组件提供给外部访问的端口，一般由用户自行设定，端口号唯一，避免冲突。 取值范围[1，65535]。 以TCP协议为例，监听端口为80，访问端口为35475，配置生效后，登录集群节点使用curl命令访问组件。 图2 配置内网访问参数 （可选）如需添加多条端口配置，单击“添加端口配置”，参考表1进行参数配置。 单击“确定”完成配置。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”待部署执行完成后，配置生效。 图3 内网访问

修改端口配置 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 图4 选择组件 单击“访问方式”模块中的“编辑”。 在“环境内其他组件访问本组件”中，参考表2更新参数配置。 表2 内网访问配置 参数 参数说明 协议 支持TCP、UDP协议。 监听端口 组件中程序的监听端口，一般从用户的程序代码中获取。 取值范围[1，65535]。 访问端口 组件提供给外部访问的端口，一般由用户自行设定，端口号唯一，避免冲突。 取值范围[1，65535]。 单击“确定”完成配置。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”待部署执行完成后，配置生效。

创建环境 环境用于隔离您创建的组件，通过给环境命名来自动新建一个仅供当前租户使用的基础资源组。 登录CAE控制台。 选择以下任意方式创建环境。 在您首次使用本服务时，页面会提醒您尚未创建环境。 单击创建环境卡片中的“立即创建”。 图1 创建环境 在弹出的对话框中输入对应的参数，具体参照表2。 表2 创建环境 参数 说明 环境名称 输入自定义的环境名称 企业项目 设置企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 开通企业项目后可以使用。 虚拟私有云 下拉框中选择环境资源所在VPC。 如需创建VPC，请单击“创建虚拟私有云”，具体操作参考创建虚拟私有云。 说明： 环境创建完成后，不支持修改VPC。 子网 下拉框中选择环境子网。 无可用子网时，单击“创建子网”，进入网络控制台创建新子网，具体操作参考为虚拟私有云创建新的子网。 说明： 子网需要保留至少2个可用网络IP地址，以供CAE配置和优化使用，如果不满足条件，会创建失败。 安全组 支持“自动生成”和“选择已有”。 说明： 安全组需要放通所选择的子网到子网网关地址，以及需要访问的中间件如RDS，CSE等服务的访问地址和端口。 镜像仓库组织 如果您是首次使用本服务，在该下拉框中选择“创建组织”，输入自定义的组织名称。 非首次使用本服务，选择“组件列表”。 单击页面上方环境模块右侧。 在弹出的“新增环境”对话框中输入新增环境的名称。 单击“确定”，完成创建环境。

前提条件 CAE运行于虚拟私有云，创建环境前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考创建虚拟私有云和子网。 如果引擎创建账号的权限为创建引擎的最小权限，如云应用引擎细粒度权限依赖说明中的“cae:environment:create”所示，则需要由主账号为其预置VPC默认安全组cae-default-sg，并添加如表1 默认安全组cae-default-sg规则说明所示规则。 添加安全组规则，请参考添加安全组规则。 表1 默认安全组cae-default-sg规则说明 方向 优先级 策略 协议端口 类型 源地址 入方向 1 允许 TCP : 3000-65535 IPv4 0.0.0.0/0 1 允许 全部 IPv6 cae-default-sg 1 允许 全部 IPv4 cae-default-sg 出方向 100 允许 全部 IPv4 0.0.0.0/0 100 允许 全部 IPv6 ::/0 默认安全组请勿随意修改和删除，否则会导致系统运行异常。

操作步骤 登录CAE控制台。 在左侧导航栏中选择“组件监控”。 您可以通过页面上方的下拉框切换组件、实例以及选择监控指标，查看组件监控信息。 CAE支持同时显示多个组件的状态情况，您可以在组件下拉框中选择多个组件，选了多个组件之后，不支持按实例、自定义指标查看。 图1 查看多组件监控 组件监控主要提供上行Bps、下行Bps、上行Pps、下行Pps、文件系统读取速率、文件系统写入速率、CPU使用量率、内存使用率及自定义监控指标等。具体参数请参考表1。 表1 组件监控信息 参数 参数说明 上行Bps 该指标用于统计测试对象的出方向网络流速。 下行Bps 该指标用于统计测试对象的入方向网络流速。 上行Pps 每秒网卡发送的数据包个数。 下行Pps 每秒网卡接收的数据包个数。 CPU使用率 该指标用于统计实例的CPU使用率。 内存使用率 该指标用于统计实例的内存使用率。 文件系统读取速率 单位时间内读取文件系统的字节数。 文件系统写入速率 单位时间内写入文件系统的字节数。 自定义监控指标 用户在组件中自定义，并在“自定义监控指标”处配置的监控维度，具体请参考配置自定义监控指标。 默认显示上行Bps、下行Bps、CPU使用量率、内存使用率，如需变更请在下拉框中根据需求自行勾选。 图2 选择展示监控指标 图3 查看组件监控

操作步骤 登录CAE控制台。 在左侧导航栏中选择“实例列表”。 在“实例列表”页面上方的下拉框中选择环境、应用及待操作的组件。 选择待操作实例，在“操作”列单击“远程登录”。 在弹框中选择执行命令。 /bin/sh /bin/bash 单击“确认”，即可访问容器。 页面跳转到CloudShell，并初始化启动kubectl，然后自动执行kubectl exec命令登录到容器。 请等待kubectl exec命令自动执行后再操作，此命令出现需要一段时间。 图1 执行kubectl exec命令登录容器 按需在Cloudshell窗口执行命令，查看并调试您的容器。

添加启停策略 登录CAE控制台。 在左侧导航栏中选择“系统设置”。 单击“启停策略配置”模块中的“编辑”，进入“启停策略配置”页面。 单击“启停策略配置”页面左上角的“添加启停策略”。参考下表设置启停策略。 配置项 配置项说明 策略名称 输入策略名称。 策略名称必须唯一，不能重复。 生效组件范围 环境内所有组件：启停策略会对当前所在环境内所有组件生效。 应用内所有组件：启停策略会对选中的应用内所有组件生效。 说明： 若组件状态为“未部署”，则启停策略不对该组件生效。 若组件为部署中的状态，则针对该组件的策略会执行失败，失败原因详见查看启停策略。 新增的组件也会受对应环境内或应用内组件策略的影响。 部分组件：启停策略会对选中的组件生效。 说明： 部分组件列表中不可选中未部署的组件。 启停状态 开启：使启停策略生效，在配置的时间触发启停策略。 关闭：关闭启停策略，策略在配置的触发时间不再执行。 策略类型 启动策略：当前策略配置后会对组件进行批量启动。启动策略中已启动的组件不受影响。 停止策略：当前策略配置后会对组件进行批量停止。停止策略中已停止的组件不受影响。 触发策略 仅执行一次：当前策略只触发一次，触发后启停状态关闭。 周期性执行：当前策略会周期性的执行，目前支持周/天粒度的循环。 触发时间 当触发策略为“仅执行一次”时，选择相应的策略触发时间。 当触发策略为“周期性执行”时： 每周：选择每周触发策略的日期和时间。例如：每周，周一 17:30。 每天：选择每天触发策略的时间。例如：每天，01:00。 说明： 需选择至少晚于当前时间两分钟后的时间。 单击“确定”，完成启停策略添加。

编辑启停策略 登录CAE控制台。 在左侧导航栏中选择“系统设置”。 单击“启停策略配置”模块中的“编辑”，进入“启停策略配置”页面。 选择待修改启停策略名称，在“操作”栏单击“编辑”，参考下表重新设置启停策略。 配置项 配置项说明 策略名称 输入策略名称。 策略名称必须唯一，不能重复。 生效组件范围 环境内所有组件：启停策略会对当前所在环境内所有组件生效。 应用内所有组件：启停策略会对选中的应用内所有组件生效。 说明： 若组件状态为“未部署”，则启停策略不对该组件生效。 若组件为部署中的状态，则针对该组件的策略会执行失败，失败原因详见查看启停策略。 新增的组件也会受对应环境内或应用内组件策略的影响。 部分组件：启停策略会对选中的组件生效。 说明： 部分组件列表中不可选中未部署的组件。 启停状态 开启：使启停策略生效，在配置的时间触发启停策略。 关闭：关闭启停策略，策略在配置的触发时间不再执行。 策略类型 启动策略：当前策略配置后会对组件进行批量启动。启动策略中已启动的组件不受影响。 停止策略：当前策略配置后会对组件进行批量停止。停止策略中已停止的组件不受影响。 触发策略 仅执行一次：当前策略只触发一次，触发后启停状态关闭。 周期性执行：当前策略会周期性的执行，目前支持周/天粒度的循环。 触发时间 当触发策略为“仅执行一次”时，选择相应的策略触发时间。 当触发策略为“周期性执行”时： 每周：选择每周触发策略的日期和时间。例如：每周，周一 17:30。 每天：选择每天触发策略的时间。例如：每天，01:00。 说明： 需选择至少晚于当前时间两分钟后的时间。 单击“确定”，完成修改。

修改负载均衡配置 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 单击“访问方式”模块中的“编辑”。 “从环境外部访问本组件”页面，选择“负载均衡配置”。 在负载均衡配置列表中选择待操作配置项，单击操作列“编辑”。 图7 修改负载均衡配置 参考表1更新参数配置。 单击“确定”，完成负载均衡配置修改。 单击“确定”，完成访问方式配置确认。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”待部署执行完成后，配置生效。

删除负载均衡配置 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 单击“访问方式”模块中的“编辑”。 “从环境外部访问本组件”页面，选择“负载均衡配置”。 在负载均衡配置列表中选择待操作配置项，单击操作列“删除”。 在弹框中单击“是”，完成负载均衡配置删除。 图8 删除负载均衡配置 单击“确定”，完成访问方式配置确认。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”待部署执行完成后，配置生效。