云应用引擎创建完成后，还需不断迭代升级，如果升级的版本出现问题，需要回退至所需的历史版本。 说明 系统仅保留已发布成功最新的至多十个历史版本配置信息 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在目标应用的基础信息页面，单击回退历史版本。 4. 在回退历史版本页面，选择需要回退的版本以及配置升级方式。 5. 单击确定即可进行回退操作。

本节介绍了什么是DDoS高防（边缘云版）。 产品定义 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务。该产品依托于丰富的边缘云清洗节点，采用自主研发的高性能负载均衡服务，可实现网络层、CC等应用层防护，保障客户在大规模流量攻击的同时业务稳定、安全运行。 产品架构 DDoS 高防（边缘云版）采用的是分布式架构，将防护能力赋能于更下沉的边缘节点，使用云原生为内核，结合智能调度，可以实现边缘就近清洗，动态扩容，可以满足业务突发、大规模流量攻击。 支持大规模流量清洗，清洗能力达到T级以上。 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护。 依托强大的自研防护集群优势，结合 AI 智能引擎持续优化防护策略、IP 画像、行为模式分析、Cookie 挑战等多维算法，实现大数据联动防护。 提供可视化管理界面，结合云原生、智能调度能力，实现资源动态扩容，满足三网防护需求。

本节介绍网络的用户指南： 网络策略。 背景信息 Kubernetes网络策略（NetworkPolicy）是一种用于控制容器网络访问的资源对象。它基于标签（Label）选择器定义允许的网络流量白名单，控制Pod 之间的通信、Pod与外部服务的连接行为。通过网络策略可以实现细粒度的网络隔离，提升集群的安全性。Cubecni容器网络插件的策略路由模式和IPVLAN模式支持网络策略，独占ENI模式不支持网络策略。 开启网络策略 Cubecni网络插件，若开启网络策略，会额外消耗一部分系统资源，默认不开启网络策略。可在订购集群时开启网络策略，或集群创建后再开启网络策略。 订购集群 订购集群，若使用Cubecni插件，可选择开启网络策略。 已有集群 Cubecni若不低于v1.1.1版本，可参考如下操作步骤开启网络策略： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 守护进程； d. 命名空间 选择kubesystem ，找到cubecni 服务，点击右侧的更多>查看YAML； e. 点击编辑，将环境变量CHAININGRUNMODE的值改为on，点击保存； f. 等待Cubecni服务重启，待运行/期望Pod数量相等，说明重启完成。 备注：如下所示，cubecnidaemon镜像版本不低于v1.1.1，则支持手动开启网络策略。

本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider:

本章节介绍如何使用SDK操作istio资源 Go语言版本 准备工作 1. 创建应用服务网格实例。 2. 到云容器引擎控制台找到应用服务网格控制面部署所在的集群，创建命名空间demo。 3. 获取网格控制面云容器引擎集群的kubeconfig信息，保存到本地文件中。 4. 准备一个VirtualService资源，保存到vs.yaml文件中。 具体操作 使用go在default命名空间创建VirtualService资源并列举default命名空间下所有的VirtualService资源，代码示例： package main import ( "context" "flag" "gopkg.in/yaml.v2" "istio.io/clientgo/pkg/apis/networking/v1beta1" "istio.io/clientgo/pkg/clientset/versioned" v1 "k8s.io/apimachinery/pkg/apis/meta/v1" "k8s.io/clientgo/tools/clientcmd" "log" "os" ) var ( ns flag.String("namespace", "demo", "namespace to deploy") vsFile flag.String("vs", "vs.yaml", "virtual service yaml") kubeConf flag.String("kubeconfig", "", "kube config file") ) func main() { flag.Parse() rc, err : clientcmd.BuildConfigFromFlags("", kubeConf) if err ! nil { panic(err) } clientset, err : versioned.NewForConfig(rc) if err ! nil { panic(err) } bytes, err : os.ReadFile(vsFile) if err ! nil { panic(err) } vs : &v1beta1.VirtualService{} err yaml.Unmarshal(bytes, vs) if err ! nil { panic(err) } log.Println(vs) , err clientset.NetworkingV1beta1().VirtualServices(ns).Create(context.TODO(), vs, v1.CreateOptions{}) if err ! nil { panic(err) } vsList, err : clientset.NetworkingV1beta1().VirtualServices(ns).List(context.TODO(), v1.ListOptions{}) if err ! nil { panic(err) } for , vsItem : range vsList.Items { log.Println(vsItem) } }

本节介绍了：黑盒监控的用户指南。 应用场景 云容器引擎监控体系集成黑盒监控能力，黑盒监控即以用户的身份测试服务的外部可见性，常见的黑盒监控包括HTTP探针、TCP探针等用于检测站点或者服务的可访问性，以及访问效率等。 前提条件 已创建集群，具体操作请参见用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 应用接入黑盒监控 工作负载接入黑盒监控 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 在工作负载菜单中选择一种工作负载，本文以无状态为例：选择 工作负载 > 无状态 > 创建Deployment 进入工作负载创建页面。 点击工作负载选项中的显示 高级设置展开工作负载高级设置，点击接入黑盒监控按钮进入监控注解设置界面。可以选择HTTP探针和TCP探针，填写端口和路径后点击确认就会自动生成相关注解。 填写工作负载的其他信息后点击提交 创建工作负载。创建好的工作负载就已经接入黑盒监控了。

版本功能列表 下表描述了WAF主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 防护 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 WebSocket防护 支持防护使用WebSocket协议的网站。 √ √ √ √ √ 业务接入 智能负载均衡 通过智能调度，实现网络自动容灾的高可靠性，提供智能路由选路+缓存能力，满足用户"加速"需求。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 √ √ √ √ √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 支持IP、URI、METHOD、PATH字段 支持IP、URI、METHOD、PATH、IP段、区域字段 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 √，10条/域名 √，20条/域名 √，50条/域名 √，100条/域名 √，200条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √ √ √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 √ √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 基础安全防护 特殊字符拦截 若请求的URI携带特殊字符，支持对其请求进行防护 × √ √ √ √ 业务安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 业务安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × × × √ √ 业务安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × × √ √ 业务安全防护 广告防护 实现广告防护和监测功能。 × × × × √ 业务安全防护 账户安全 支持防护暴力破解、批量注册。 × √ √ √ √ 业务安全防护 防web挖矿 防止占用用户终端设备的系统资源和网络资源进行挖矿。 × × × × √ 业务安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 业务安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 业务安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 业务安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 √ √ √ √ √ 产品服务 监控告警 支持自定义监控告警。 × √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

本节介绍了设置资源配额与限制的用户指南。 资源配额与限制是对用户资源使用量的管控机制，主要用于实现资源的合理分配管理、成本的有效控制以及系统整体稳定性的保障。通过配额管理，云容器引擎能够对容器的计算、存储等资源进行统一的配额管控，确保不同项目或团队间的资源公平分配，防止因误操作或恶意行为导致的资源过度消耗，同时避免单用户过度占用资源而影响平台性能。您可为命名空间配置包括CPU、内存、Pod数量等资源的额度，更多信息请参见资源配额。 操作步骤 1. 登录云容器引擎控制台，单击集群名称进入集群。 2. 在左侧导航栏中选择“命名空间”。 3. 单击对应命名空间后的“更多”，下拉点击"设置资源配额"。 4. 在弹出的弹窗中设置资源配额与资源限制，然后单击“确定”。 参数说明 资源配额 资源类型 说明 CPU申请(requests.cpu) 所有非终止状态的 Pod，其 CPU 申请总量不能超过该值 CPU限制(limits.cpu) 所有非终止状态的 Pod，其 CPU 限制总量不能超过该值 内存申请(requests.memory) 所有非终止状态的 Pod，其内存申请总量不能超过该值 内存限制(limits.memory) 所有非终止状态的 Pod，其内存限制总量不能超过该值 存储空间(requests.storage) 所有持久卷声明的申请总量不能超过该值 持久卷声明数量(persistentvolumeclaims) 在该命名空间中允许存在的 PVC 的总数上限 配置项数量(configmaps) 在该命名空间中允许存在的 ConfigMap 总数上限 容器组数量(pods) 在该命名空间中允许存在的非终止状态的 Pod 总数上限 服务数量(services) 在该命名空间中允许存在的 Service 总数上限 负载均衡型服务数量(services.loadbalancers) 在该命名空间中允许存在的 LoadBalancer 类型的 Service 总数上限 主机端口型服务数量(services.nodeports) 在该命名空间中允许存在的 NodePort 或 LoadBalancer 类型的 Service 的 NodePort 总数上限 保密字段数量(secrets) 在该命名空间中允许存在的 Secret 总数上限 RC数量(replicationcontrollers) 在该命名空间中允许存在的 ReplicationController 总数上限 资源配额数量(resourcequotas) 在该命名空间中允许存在的 ResourceQuota 总数上限 Deployment数量(deployments.apps) 在该命名空间中允许存在的无状态负载(Deployment)的总数上限 Daemenset数量(daemonsets.apps) 在该命名空间中允许存在的守护进程(Daemonset)的总数上限 Statefulset数量(daemonsets.apps) 在该命名空间中允许存在的有状态负载(Statefulset)的总数上限 Job数量(jobs.batch) 在该命名空间中允许存在的任务(Job)的总数上限 Cronjob数量(cronjobs.batch) 在该命名空间中允许存在的定时任务(Cronjob)的总数上限

智算容器：云容器引擎与DeepSeek融合实践

智算容器：云容器引擎与DeepSeek融合实践

此小节介绍企业主机安全。 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 企业主机安全工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443 。 每日凌晨定时执行检测

本文介绍分布式消息服务RocketMQ的入门指引。 本章节将为您介绍分布式消息服务RocketMQ入门的基本流程，主要包括环境准备、控制台创建RocketMQ实例、创建Topic以及生成消费验证，帮助您快速上手RocketMQ。 操作流程 步骤说明 操作流程如下： 1.环境准备 创建RocketMQ实例先要准备好虚拟私有云、子网和安全组。 2.创建RocketMQ实例 在订购分布式消息RocketMQ填写和确认实例名称、引擎类型、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3.创建主题和订阅组 开通实例后，在控制台相关页面按照指引创建主题和订阅组，用于发送和接收消息。 4.创建应用用户和分配权限 创建应用用户并分配主题和订阅组权限，实现各应用共享或者独占消息队列的效果。 5.生产消费验证 以上工作完成后，通过控制台拨测功能生成生产和消费测试数据，用户应用也可按照规范接入RocketMQ，发送、消费消息。

说明 分布式消息服务Kafka如下资源池支持Kafka2.8、3.6版本引擎，提供集群和单机两种规格实例，支持X86和ARM计算CPU架构类型的计算增强型主机，可选350代理数量。 目前在 华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 资源池开放订购。 上述资源池订购和续订可享受1年83折，2年7折，3年5折优惠。 价格计算公式 分布式消息服务Kafka费用由实例费用和存储费用两部分组成，两者单价如下表所示，计费公式为： 实例费用实例规格单价 代理数量，单机版代理数量为1。 存储费用存储类型单价 代理数量 单节点存储空间GB大小，单机版代理数量为1。 实例规格单价 Intel计算增强型 规格名称 实例单价（单个节点） 规格名称 按需标准价格(元/小时) 包月标准价格(元/月) Kafka.2u4g.cluster 0.98 441 Kafka.4u8g.cluster 2.24 1008 Kafka.8u16g.cluster 4.86 2187 Kafka.12u24g.cluster 7.38 3321 Kafka.16u32g.cluster 9 4050 Kafka.24u48g.cluster 15.12 6804 Kafka.32u64g.cluster 20.16 9072 Kafka.48u96g.cluster 30.24 13608 Kafka.64u128g.cluster 40.32 18144

备案过程中任何问题都可以电话、工单、在线的形式咨询备案专员。 电话：40081098893 工单：天翼云官网（www.ctyun.cn）——右上角“我的”——工单管理——新建工单 在线客服：点击官网智能客服 1、登录天翼云门户www.ctyun.cn，点击备案 2、点击开始备案。 3、选择立即备案，填写单位信息 4、点击“详情”去录入信息 5、如实填写主办单位信息，单位名称要和取得域名的单位名称要保持一致 6、填写单位负责人信息，即单位的法人 7、点击下一步“填写网站/APP信息” 8、注意，如果单位的经营范围（以经营执照上的内容为准）涉及到前置审批，需要额外上传相应的经营许可证，如政府部门颁发的网络游戏许可证、金融许可证等。 9、填写备案的IP，如果IP在此提交备案的账号下，可以选择“使用自有接入服务号”，会直接弹出该IP的信息。如果IP不在此账号下，可以选择“使用他人接入服务号”。 他人接入服务号查询路径：登录IP所属天翼云账号，天翼云官网（ctyun.cn）首页备案我的备案接入服务号管理。 以上方法如无法查询到接入服务号，可以提交工单，工单中写明公网IP地址，由备案客服后台查询告知您接入服务号，多个服务号之间用英文分号分隔。 10、确认备案信息，点击“下一步，上传备案材料” 11、建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，免去传统备案方式的邮寄幕布拍照过程，缩短备案所需时长，方便快捷 12、扫描二维码，进入微信小程序，以下操作均由网站负责人进行，务必使用网站负责人的手机和微信号进行操作 13、弹出如下界面 14、选择授权 15、上传单位负责人（法人）的身份证照片、营业执照的照片（要用高清照片拍摄，否则会提示翻拍导致识别失败），请在识别文字后确认单位名称文字显示是否准确，单位名称中带有标点符号，请注意输入格式 16、网站负责人进行活体验证，需要手机开启摄像头，进行点头，摇头等操作。注意，需要用白色背景拍摄 17、完成图片采集完成后会自动生成 18 位验证码，需将验证码填报至下图指定位置后，点击“确定”按钮，系统会自动将图片对应到相应位置 18、检查图片并提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。 审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行审核；提交管局后，请主体和网站负责人收到验证短信后（发信号码12381），在24 小时内按照短信指引完成，否则会被管局退单；反之，审核拒绝，退回备案信息给备案发起人进行修改。

产品优势 产品优势详情 环境准备阶段 自助高效获取资源按需付费 业务开发阶段 基于契约(Open API)的开发模式，让微服务的开发、测试、文档、协作和管控活动标准化、自动化。 支持JAVA、Go、PHP、Python、Node.js开发语言。 高性能REST/RPC微服务开发框架，提供开箱即用的工具，降低开发门槛。提供ServiceComb、Spring Cloud、Service Mesh。敏捷高效一站式微服务治理控制台，提供微服务负载均衡、限流、降级、熔断、容错、错误注入等治理能力。支持微服务级升级、灰度发布。 安装部署阶段 开发者只需使用ServiceStage+任意源码仓库，实现一键自动部署和更新。 应用配置 支持配置以文件的形式导入到应用中。实现配置文件与环境解耦，一次维护，多个环境共用。配置文件支持多版本，方便更新和回滚。 应用升级 支持滚动升级：升级过程中，业务会同时均衡分布到新老实例上，因此业务不会中断。支持灰度发布：为保障新特性能平稳上线，可以通过灰度发布功能选择少部分用户试用，降低发布风险。 应用运维 实时图形化展示应用监控指标CPU占用、告警、节点异常、运行日志、关键事件实时掌握。微服务治理支持微服务接口级SLA指标（吞吐量、时延、成功率）实时（秒级）监控和治理，保障应用运行不断服。

本节介绍云容器引擎的最佳实践：使用hostAliases配置Pod /etc/hosts。 使用场景 DNS配置不满足要求时，可以通过配置 hostAliases 向pod的“/etc/hosts”文件中添加域名解析条目。 操作步骤 进入云容器引擎集群控制台 选择工作负载>无状态>创建Deployment 点击高级配置，设置主机别名配置 远程登录pod查看配置的 hostAliases 是否正常，执行如下命令：

本章节介绍错误注入功能的使用。 概述 错误注入功能提供模拟微服务间异常调用的能力，可应用于故障演练、能力验证等场景。该能力支持调用延时和调用异常响应的模拟，通过该能力可进行应用容错能力研发、测试和演示，提高开发测试人员工作效率。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 客户端：Feign、RestTemplate Dubbo 2.5.3+ 无 jdk版本 1.8+ 无 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用详情页后，点击流量治理，选择错误注入页面 5. 点击创建错误注入规则按钮，完成错误注入规则创建。 错误注入规则参数说明： 参数 说明 规则名称 错误注入规则的名称 框架 支持SpringCloud和Dubbo框架 服务消费者应用 服务消费者对应的应用名称 服务提供者应用 服务提供者对应的应用名称 服务 被调用服务标识 SpringCloud框架：服务注册名称 Dubbo框架：服务名称/分组/版本信息，格式为{DubboService}:{group}:{version}， 如 com.example.DemoService:dev:v1 请求路径 SpringCloud框架被调用接口的路径 请求方法 SpringCloud框架Http请求方法 支持GET/POST/PUT/DELETE 选择ALL匹配所有方法 服务方法 Dubbo框架被调用的方法，格式为{MethodName}:{ParamType...}如 sayHello:java.lang.String,java.lang.String 类型 延迟：模拟调用延迟，可自定义延迟时间 错误：SpringCloud框架下模拟调用返回的Http状态码和响应体；Dubbo框架下模拟调用触发的异常，可输入异常类全路径和异常信息 触发概率 触发此规则相关模拟调用的概率

专属云容器引擎采用独享的容器资源，为用户提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 资源独享 专属资源与公有云资源物理隔离，配套云服务部署在专属资源池，租户独享 灵活组合 专属云服务和天翼云基础云服务灵活搭配，满足行业安全合规要求，优化成本结构 安全合规 隔离且专属的物理资源，满足行业、组织对安全合规性的要求 简单易用 一键创建容器集群，一站式部署和运维容器应用，无需再自行搭建容器运行环境，真正实现开箱即用

适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

本节介绍注册集群控制台用户指南。 注册集群控制台 分布式容器云平台 注册集群控制台 说明 1. 天翼云注册集群控制台，提供与云容器引擎CCE相同的功能体验。 2. 其他注册集群控制台，提供与云容器引擎CCE高度一致的功能体验。 产品功能 与云容器引擎基本一致的运维体验：通过分布式容器云平台控制台统一管理云容器引擎集群和本地自建Kubernetes集群，体验一致的运维能力，统一管理集群和应用，统一的日志、监控和告警体系，以及集群巡检和故障诊断能力。 备份容灾：提供云上备份、还原的能力，支持ETCD和集群的云容灾，全面提升企业的业务连续性。 文档使用指引 注册集群控制台功能包括：集群信息、命名空间、工作负载、网络、配置管理、存储、插件、安全管理、运维管理等。 命名空间、工作负载、网络、配置管理、安全管理、运维管理等相同功能请参考 云容器引擎产品文档。 功能模块 功能项 相关文档 注册集群 注册集群 天翼云注册集群 本地注册集群 三方云注册集群 AnyWhere注册集群 节点管理 节点池 混合集群网络 节电池管理 节点伸缩 节点管理 云下节点池 云下节点池 节点管理 虚拟节点 虚拟节点 权限配置 授权 授权概述 IMA授权 RBAC授权 存储 对象存储 对象存储 运维 监控 Prometheus 监控 运维 备份 ETCD 备份 集群备份 集群定时备份 运维 集群巡检 集群巡检 运维 日志中心 日志 运维 故障诊断 故障诊断

本节主要介绍产品优势 快速接入 客户应用的快速接入。可以选择使用容器、虚机等方式部署应用，快速实现分布式微服务应用的细粒度治理和高可用保障。 开源开放 多种微服务开发框架支持。支持SpringCloud、ServiceComb等主流微服务框架，支持使用service mesh接入客户的既有应用。 稳定可靠 帮助用户实现云原生化改造。提供业务的微服务基础支撑底座，满足云原生用户严苛的性能、可用性和安全合规要求。 多语言 兼容客户的异构遗留系统。提供Java、Go、.NET、Node.js、PHP等多语言微服务解决方案。

参数 描述 计费模式 选择“包年/包月”或“按需计费”。 包年/包月 − 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 − 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。 按需计费 − 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 − 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。 可用区 可用区是指在同一区域下，电力、网络隔离的物理区域，可用区内部网络互通，不同可用区之间物理隔离。 如果业务要求实例之间的网络延时较低，则建议您选择单可用区，将实例的组件部署在同一个可用区内。实例选择单可用区部署时，会默认配置为反亲和部署。反亲和部署是出于高可用性考虑，将您的Primary、Secondary和Hidden节点分别创建在不同的物理机上。 如果业务需要较高的容灾能力，建议您选择3可用区。此时，实例下的dds mongos节点、shard节点和config节点分别部署在3个不同的可用区内。 实例名称 实例名称允许和已有名称重复。 该实例名称为购买完成后进行创建的实例名称。实例名称长度在4个到64个字节之间，必须以字母或中文字开头，区分大小写，可以包含字母、数字、中划线、下划线或中文（一个中文字符占用3个字节），不能包含其他特殊字符。 创建成功后，可修改实例名称。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 5.0 4.4 4.2 4.0 3.4 CPU类型 当前文档数据库实例的CPU架构支持x86和鲲鹏两种类型。 x86 x86类型的CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏 鲲鹏类型的CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于X86类型的CPU架构具有更加均衡的性能功耗比。 鲲鹏类型CPU架构的优势是高密度低功耗，可以提供更高的性价比，满足重载业务场景使用。 存储类型 超高IO 存储引擎 WiredTiger 规格类型 x86 CPU架构。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE(千兆以太网)智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 性能规格 当用户创建的实例的CPU和内存规格无法满足业务需要时，可以进行CPU和内存的规格变更。 存储空间 存储空间最小10GB，节点规格小于8U时，最大扩容到的磁盘容量为5000GB，节点规格为8U及以上时，最大扩容到的磁盘容量为10000GB，用户选择大小必须为10的整数倍。创建成功后可进行扩容。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 testhostname displayName String 实例名称 testinstancename publicIp String 公网ip 192.168.1.1 agentIp String agent ip 192.168.1.1 agentGuid String agentguid 1234567890 userName String 用户名 testusername findTime String 首次发现时间 20220614 10:00:00 timestamp String 最后发现时间 20220614 10:00:00 docId String 事件id testid path String 文件路径 /bin/test.sh virusName String 病毒名称 testvirusname severity String 威胁等级 1低危 2中危 3高危 1 status Integer 状态 0未处理 1已隔离 2已加白 3已删除 7已忽略 99处理中 1 osType String 操作系统类型 Linux/Windows Linux md5 String 文件md5 1234567890 virusHandleType String 病毒处理方式 HANDLE收手动处理 AUTO自动处理 HANDLE quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 virusType String 病毒类型 普通木马 pivotalDoc Integer 是否关键文件 1关键文件 0非关键文件 0 sha256 String sha256 1234567890 pid Integer 进程id 1212 cmd String 进程命令行 /bin/test.sh checkModel Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 taskId Integer 任务id 1 checkWay Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 handleRules Array of Objects handleList 操作列表 handleRules whiteData Object 白名单数据 whiteData eventCategoryId String 告警类型 2 eventTypeId String 告警名称id 4400 virusEngine String 病毒查杀引擎 1:"云查引擎" 2:"本地查杀引擎" 3:"本地查杀引擎" 1 isAutoIsolate String 处理类型 0手动 1自动 为空展示 0 表 whiteData

本节介绍了：基础资源监控的用户指南。 应用场景 云容器引擎监控体系提供基础资源监控能力，通过安装ccsemonitor插件可以无侵入地采集集群基础资源指标。可以通过监控面板查看节点、工作负载、Pod的CPU、内存、网络、磁盘等基础资源的使用情况和健康状态，确保集群稳定运行。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 通过Grafana仪表盘查看集群监控信息 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要查看监控的集群，进入集群管理页面。 左侧菜单选择 运维管理 > 监控 查看Grafana仪表盘，可以查看集群监控概览、核心组件监控、节点监控、应用监控、网络监控等监控面板。 查看节点的监控信息 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要查看监控的集群，进入集群管理页面。 左侧菜单选择 节点 > 节点 进入节点列表页，点击要查看监控的节点进入节点详情页，在节点详情页可以查看节点的监控信息

本文介绍可观测性相关操作。 容器引擎服务目前提供了总体资源的基础监控能力。用户可通过点击控制导航栏处的【总览】，进入总览界面，查看汇总的资源信息。也可单独查看各个应用、容器的相关信息。 操作步骤 总览界面查看使用CCE的相关信息，需首先选择当前集群，将展现选择集群的以下信息： 节点、应用、容器组、服务、ingress的数量统计数量； 监控管理：提供集群监控信息，包括网络速率，及磁盘、cpu、内存类型的资源利用率； 组件状态监控：提供API server、Controller Managers、Scheduler组件状态监控； 用户也可以通过点击【资源管理】>【集群管理】等入口，获得各应用状态及监控信息，同时可查看集群及容器日志： 监控：无状态应用及容器组运行情况，包括正常与异常两种状态; 应用资源使用量监控：记录当前的资源使用量，包括CPU使用量、内存使用量； 应用事件：记录应用事件，包括发生次数、事件、类型、消息内容等； 容器组日志：提供容器内部的日志信息； 容器事件：记录容器事件，包括发生次数、事件、类型、消息内容等； 集群日志：提供集群创建过程中的日志信息； 集群监控：提供cpu、内存、磁盘使用率指标及网络上下行速率监控指标查看； 节点监控：提供cpu、内存、磁盘使用率指标及网络上下行速率监控指标查看； 节点事件：记录容器事件，包括发生次数、事件、类型、消息内容等。

本页介绍什么是关系数据库MySQL版。 MySQL是全球流行的开源关系型数据库管理系统之一，具有良好的跨平台能力。天翼云关系数据库MySQL版（CTRDS MySQL）是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备和只读四种实例类型，并具备完善的安全防护措施和性能监控体系，提供了专业的数据库管理控制台，方便用户使用数据库。通过关系数据库MySQL版服务的管理控制台，用户可以方便快捷地执行所有必需任务，有效降低运营难度和运维成本，只需专注开发应用和业务发展。关系数据库MySQL版优势如下： 资源弹性调度：支持根据业务需求对实例资源进行弹性调度。用户可以根据需要进行升级或降级，以满足不同业务场景下的需求，提高资源的利用效率。 管理简单：通过简单易用的控制台和API，提供丰富的管理功能，包括备份和恢复、性能监控、访问控制等，为用户提供高效的管理体验。 高可扩展性：支持只读实例，从而将读请求分担到只读实例上，提高服务的可扩展性。 高可用性和容错性：支持主备架构，保证数据的备份和在主库故障情况下的无缝切换，提高服务的可用性和容错性。 安全可靠：提供全面的安全性支持，包括数据加密和网络隔离等，保障数据的安全可靠。 当前关系数据库MySQL版支持版本，请参见存储引擎和版本。

接口描述 查询PostgreSQL实例支持的字符集 请求方法 GET URI /v1/database/charactersetname 请求参数 名称 位置 类型 必选 说明 engine query String 是 数据库引擎类型。取值： postgreSQL：PostgreSQL 响应参数 名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Array 所有的返回信息都以JSON形式保存 characterSetNameItems List 支持的字符集列表,例如： ["gbk","utf8","ascii"] engine String 数据库引擎类型。取值： postgreSQL：PostgreSQL 示例 请求示例 /v1/database/getCharacterSetName?enginepostgreSQL 响应示例 { "message": "SUCCESS", "returnObj": { "characterSetNameItems": [ "utf8", "gbk", "ascii" ], "engine": "postgreSQL" }, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

说明：本章节会介绍如何创建数据库只读实例 操作场景 只读实例用于增强主实例的读能力，减轻主实例负载。 关系型数据库单实例或主备实例创建成功后，您可根据业务需要，创建只读实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“创建只读”，进入“服务选型”页面。 步骤 5 您也可在实例的“基本信息”页面，单击实例拓扑图中，主实例下方的添加按钮，创建只读实例。 步骤 6 在“服务选型”页面，填选实例相关信息后，单击“立即创建”。 表1基本信息 参数 描述 当前区域 只读实例默认与主实例在同一区域。 实例名称 实例名称的长度在4~64个字符之间，必须以字母开头，可包含大写字母、小写字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 默认与主实例的数据库引擎一致，不可更改。 数据库版本 默认与主实例的数据库版本一致，不可更改。 可用区 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主实例和只读实例，只读实例的选择和主实例可用区对应情况： 相同，主实例和只读实例会部署在同一个可用区。 不同，主实例和只读实例会部署在不同的可用区，提高可靠性。 表2规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。 创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 只读实例的存储空间大小默认与主实例一致。 表3网络 参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。 步骤 7 在“规格确认”页面，进行信息确认。 如果需要重新选择，单击“上一步”，回到服务选型页面修改基本信息。 信息确认无误，单击“提交”，下发新增只读实例请求。 步骤 8 只读实例创建成功后，您可以对其进行查看和管理。 管理只读实例操作，请参见管理只读实例。 步骤 9 您可以通过“任务中心”查看详细进度和结果。

本章节主要介绍数据仓库服务的产品定义。 数据仓库服务(Data Warehouse Service) 是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。数据仓库服务兼容标准ANSI SQL 99和SQL 2003，同时兼容PostgreSQL/Oracle数据库生态，为各行业PB级海量大数据分析提供有竞争力的解决方案。 产品架构 DWS基于Sharednothing分布式架构，具备MPP (Massively Parallel Processing)大规模并行处理引擎，由众多拥有独立且互不共享的CPU、内存、存储等系统资源的逻辑节点组成。在这样的系统架构中，业务数据被分散存储在多个节点上，数据分析任务被推送到数据所在位置就近执行，并行地完成大规模的数据处理工作，实现对数据处理的快速响应。 产品架构 应用层 数据加载工具、ETL（ExtractTransformLoad）工具、以及商业智能BI工具、数据挖掘和分析工具，均可以通过标准接口与DWS 集成。DWS兼容PostgreSQL生态，且SQL语法进行了兼容Oracle和Teradata的处理。应用只需做少量改动即可向DWS平滑迁移。 接口 支持应用程序通过标准JDBC 4.0和ODBC 3.5连接DWS 。 DWS （MPP大规模并行处理集群） 一个DWS集群由多个在相同子网中的相同规格的节点组成，共同提供服务。集群的每个DN负责存储数据，其存储介质是磁盘。协调节点（Coordinator）负责接收来自应用的访问请求，并向客户端返回执行结果，此外，协调节点还负责分解任务，并调度任务分片在各DN上并行执行。

参数名 参数描述 名称 弹性资源池添加的队列名称。 类型 弹性资源池添加的队列类型。 SQL队列。 通用队列。 时间段 弹性资源池队列扩缩容策略的开始和结束时间范围。时间区间包括开始时间，不包括结束时间即[开始时间,结束时间) 最小CUs 弹性资源池队列扩缩容策略配置的最小CU数。 最大CUs 弹性资源池队列扩缩容策略配置的最大CU数。 优先级 弹性资源池队列扩缩容策略的优先级。优先级范围为1到100，数字越小，优先级越低。 执行引擎 添加的队列类型为“SQL队列”时执行引擎为spark。 添加的队列类型为“通用队列”时执行引擎可以是spark和flink，当前界面显示为。 创建时间 弹性资源池添加队列的时间。 企业项目 队列所属的企业项目。 弹性资源池支持添加不同企业项目的队列资源。 所有者 弹性资源池添加队列的用户名。 操作 编辑：重新修改或者添加弹性资源池队列的扩缩容策略。 删除：删除当前弹性资源添加的队列。

本节介绍了如何创建云数据库TaurusDB实例的参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 注意 并非所有数据库引擎参数都可在用户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，可通过复制参数模板来实现，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您在实例的“参数修改”页面，修改参数并保存后，动态参数将立即生效，静态参数需要手动重启实例后生效。此操作仅应用于当前实例，不会对其他实例造成影响。 当您在“参数模板管理”页面，更改参数并保存数据库参数模板时，需执行应用后，才对数据库实例生效。动态参数将立即生效，静态参数需要手动重启实例后生效。 在数据库参数模板内设置参数不恰当可能会造成性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 每个用户最多可以创建100个参数模板。 TaurusDB引擎共享参数模板配额。

参数 描述 数据流动方向 选择入云。 源数据库引擎 选择MySQL数据库引擎。 目标数据库引擎 选择MySQL数据库引擎。 网络类型 选择公网网络。建议您开启SSL安全连接，SSL约降低2030%的迁移性能，但保证了数据的安全性。 目标数据库实例 选择您所创建的目标MySQL实例。 目标库读写设置 此处以只读设置为示例。 只读迁移中，目标数据库将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写迁移中，目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。 迁移模式 此处以全量+增量模式为示例。 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。说明：如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。