步骤二：在自建Kubernetes集群备份应用 由于本地集群已接入分布式容器云平台CCE One注册集群，因此可在控制台上进行备份任务操作，具体步骤如下： 1. 在CCE One集群管理页面，找到对应的本地注册集群，点击进入云上单集群控制台； 2. 进入【运维管理】>【备份】，然后按需选择【集群备份】； 3. 首次进入该页面，将检查ccsebackup插件的安装情况，若当前该插件还未安装，会有对应流程提示；请参考流程指引，部署并配置ccsebackup插件的运行参数； 4. 创建集群备份任务，等待备份任务执行完成； 具体操作，请参考云容器引擎集群备份 步骤三：在线上CCE集群中恢复应用 若只是本集群按需恢复，则可以在对应备份任务操作中，点击【还原】并再次点击确认即可； 若需要在天翼云上的其他CCE注册集群中恢复应用，则可以参考如下步骤： 1. 将天翼云CCE集群关联到CCE One注册集群中来； 2. 进入天翼云CCE注册集群控制台，选择【运维管理】>【备份】>【集群备份】>【上传】，将源集群中备份下载的副本，上传到目标集群的集群备份列表中； 3. 点击操作中的【还原】，并按需选择命名空间重命名和数据清洗配置； 跨集群数据恢复场景，建议通过【数据清洗】配置，快速完成镜像地址、PVC StorageClass等差异化配置的替换； 等待以上【还原】任务执行完成后，进度目标集群中检查workload运行状态。预期输出如下： 设置kubectl proxy，尝试访问服务： 验证目标集群中应用服务访问正常，应用迁移完成。

本文为您介绍查看历史告警的操作场景、前提条件和操作步骤。 操作场景 告警历史可以展示近30天所有告警规则的状态变化，您可以统一、方便地回溯和查看告警记录。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务">“告警记录”，在告警记录页面可以查看“正在告警/历史告警”。 5. 在“正在告警”页签下，支持查看当前未恢复的告警信息。 说明 正在告警列表包含各云产品资源、站点监控、自定义监控、自定义事件类告警。 正在告警状态包括“告警中”及“无数据”。 告警状态“无数据“表示一段时间内监控未收到该实例监控数据，状态冻结为”无数据“。如再次收到监控数据，会根据新数据判定状态为告警中或恢复。 6. 在“历史告警”页签下，支持查看当前已恢复的告警信息。界面默认展示近4小时的告警历史。您可以选择页面上方的时间范围按钮，查看“近1小时”、“近4小时”、“近6小时”、“近12小时”、“近1天”、“近3天”、“近7天”和“近1个月”的历史告警记录。 说明 历史告警页签下状态包括：已恢复、已过期、无数据。其中指标类告警对应已恢复/无数据，事件类告警对应已过期。 事件类正在告警记录超过7天，会自动归到到历史告警且状态为”已过期“。 状态”已失效“表示对应告警规则停用/修改/实例删除。

本章节为媒体存储入门流程。 本教程将指引用户快速了解、使用媒体存储。 登录控制台 1. 注册并登录天翼云，需完成实名认证。 2. 通过【产品视频视频服务】进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，点击“立即开通”。 4. 进入媒体存储控制台页面，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 说明 天翼云官网目前仅支持对象存储（标准型）能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 目前天翼云官网仅支持开通海南资源池2区。 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 如资源池售罄，或用户需开通其他产品类型或存储类型，可联系客户经理或天翼云客服进行开通。 使用对象存储 对象存储使用可参考以下入门流程： 1. 如用户通过XstorBrowser、API或SDK访问对象存储，需先获取访问密钥，具体操作可参考：密钥管理。 2. 如用户通过XstorBrowser访问媒体存储时，用户需指定区域节点访问。具体可参考：资源池与区域节点。 3. 进行创建存储桶操作，支持多种使用方式，具体操作可参考：创建存储桶。 4. 完成创建存储桶后，即可进行上传对象操作，具体可参考：上传对象。 5. 下载对象，支持通过控制台、API、SDK等方式下载对象，具体可参考：下载对象。 6. 对象存储支持多种访问方式进行访问获取对象，具体可参考：访问方式。

本章节主要介绍翼MapReduce服务的购买类常见问题。 翼MapReduce（MRS）可以做什么？ MapReduce服务（MRS）为客户提供ClickHouse、Spark、Flink、Kafka、HBase等Hadoop生态的高性能大数据引擎，支持数据湖、数据仓库、BI、AI融合等能力，完全兼容开源，快速帮助客户上云构建低成本、灵活开放、安全可靠、全栈式的云原生大数据平台，满足客户业务快速增长和敏捷创新诉求。 天翼云都有哪些资源池可订购翼MapReduce（MRS）？ 目前翼MapReduce（MRS）已在苏州、贵州、广州4、杭州、福州、西安2、兰州、上海4、北京2、长沙2、芜湖、石家庄、南昌、郑州、成都3、武汉2等资源池上线，您可根据实际需求选择资源较丰富的资源池或就近选择。 如您的目标资源池暂未部署翼MapReduce（MRS），请您就近选择已部署该服务的资源池，或联系客户经理反馈需求，我们会尽快进行产品部署可行性评估。 翼MapReduce（MRS）支持什么类型的分布式存储？ 翼MapReduce提供目前主流的Hadoop，目前支持Hadoop 3.1.x版本，并且随社区更新版本。 什么是区域和可用区？ 通常用区域和可用区来描述数据中心的位置，用户可以在特定的区域、可用区创建云服务资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图表示区域和可用区之间的关系。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本文主要介绍测试报告说明 性能测试提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。 测试报告由报告总览和SLA报告构成。 报告总览：显示测试用例的各项测试指标。 SLA报告：显示已配置的SLA规则详情，以及触发SLA规则的事件详情。 报告总览 测试报告说明如下表所示。 测试报告展现了测试过程中被测系统在模拟高并发用户的响应性能，为了更好阅读测试报告，请参考以下信息： 统计维度： 测试报告的TPS、RPS、响应时间、并发等统计维度均为单个用例，如用例中有请求多个报文，只有在多个请求报文均正常返回会认为成功，响应时间也是多个请求报文的求和值。 响应超时： 出现该情况是在设置的响应超时时间内（默认5s），对应的TCP连接中没有响应数据返回时，会将本次用例请求统计为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败： 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 解析失败： 响应报文已全部接收完成，但是部分报文丢失导致整个用例响应不完整，这种情况一般需要考虑网络丢包。 带宽统计： 本报告统计的是性能测试服务执行端的带宽，上行表示从性能测试服务发出的流量，下行表示接收到的流量。如果是外网压测场景，您需要关注执行机的EIP带宽是否可以满足上行带宽的要求。而下行带宽需要关注单台执行机是否超过1GB。 TPS： TPS是指云性能测试服务在统计周期内每秒从被测服务器获取到的响应用例实时统计，TPS统计周期内的正常返回数/统计周期。 RPS： RPS是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 如何判断被测应用优劣： 根据应用本身的服务质量定义，理想状态是没有任何响应失败、校验失败的情况，如果有，需要在服务质量定义范围之内，通常情况下不超过1%，同时响应时间越低越好（2s内体验较好，5s内可以接受，超过5s则需要考虑优化），TP90、TP99指标可以客观反映出90%、99%用户的体验响应时间。 测试报告说明 参数 参数说明 :: 各项指标总量 所有用例各项指标总量的汇总。 最大并发：最大并发操作的虚拟用户数。 RPS：是指云性能测试服务在统计周期内平均每秒发送到被测服务器的请求数统计。 响应时间：指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应码：记录压测任务进行中响应码分布的情况。 带宽：记录压测任务运行所消耗的实时带宽变化。 SLA事件：SLA中定义的事件发生情况。 正常返回：如设置了检查点，检查点通过的用例响应数，如未设置默认为返回2XX的用例响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 平均RPS 是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 平均RT 某一秒发出的所有请求的平均响应时间。 并发数 记录压测任务运行时，当前并发操作的虚拟用户数的变化。 带宽（KB/S） 记录压测任务运行所消耗的实时带宽变化。 上行带宽：从性能测试测试执行机往外发送出去数据的速度。 下行带宽：性能测试测试执行机接收到数据的速度。 响应状态分布 正常返回、解析失败、校验失败、响应超时的每秒处理用例数，该项指标与思考时间、并发用户、服务器响应能力均有关，比如思考时间为500ms，如果服务器对于当前用户的上个请求响应时间小于500ms，则该用户每秒请求2次。 正常返回：如设置了检查点，检查点通过的用例响应数，如未设置默认为返回2XX的用例响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 解析失败：HTTP响应无法被正常解析的数量。 校验失败：如设置了检查点，检查点未通过的用例响应数，如未设置，返回不是2XX的用例响应数。 响应超时：在请求报文发送5S内未收到服务器响应的用例请求数量。 连接被拒绝：发送报文建立连接时，服务器拒绝连接数。 其他错误：不属于以上几种错误的数量。 响应码分布 1XX/2XX/3XX/4XX/5XX。 响应时间区间比例 用例的响应时间区间比例。 TP最大响应时间 指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取对应的百分比的那个值作为TPXX的最大响应时间。 TP50：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第50%的那个值作为TP50的值。 TP75：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第75%的那个值作为TP75的值。 TP90：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第90%的那个值作为TP90的值。 TP95：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第95%的那个值作为TP95的值。 TP99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99%的那个值作为TP99的值。 TP99.9：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.9%的那个值作为TP99.9的值。 TP99.99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.99%的那个值作为TP99.99的值。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 1. 设置后端主机组名称。 2. 选择后端主机类型，仅可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考HTTP监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。 完成步骤三后，点击“立即创建”，完成HTTP监听器创建。 HTTP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数；最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTP协议的会话保持方式支持如下重写Cookie/植入Cookie。植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。重写Cookie：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入Cookie时，可设置会话保持超时时间。缺省3600s。选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’。 HTTP方法 可选GET或HEAD。 WebSocket支持 选用HTTP监听时，默认支持无加密版本WebSocket协议（WS协议）。仅集群资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本章节指导您如何编辑识别任务。 前提条件 已完成识别任务的创建。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4. 在待编辑敏感数据识别任务所在行的“操作”列，单击“更多 > 编辑”。 5. 在“编辑任务”对话框中，编辑检测任务的具体参数，相关参数说明如下表所示。 参数 参数说明 取值样例 开启任务 是否开启敏感数据识别任务，系统默认开启任务。 任务名称 您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 任务名称不能与已有的任务名称重复。 数据类型 选择识别的数据类型。可多选。 OBS，添加OBS资产，参考添加OBS资产章节。 数据库，添加云数据库资产，参考添加云数据库章节。 大数据，添加大数据源资产，参考添加大数据源资产章节。 MRS，添加Hive资产，参考添加MRS资产。 数据库 识别规则组 选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 识别模式 选择检测任务的扫描模式： 快速识别：根据规则组进行扫描，实现数据分布快速识别。 全量识别：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。 快速扫描 识别周期 选择任务的识别周期： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，需要设置“启动时间”，即在每天的固定时间执行该识别任务。 每周：选择该选项，需要设置“启动时间”，即在设定的时间以及每周这一时间点执行该识别任务。 每月：选择该选项，需要设置“启动时间”，即在设定的时间以及每月这一时间点执行该识别任务。 单次 执行计划 “扫描周期”选择“单次”时，显示该参数。 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。 定时启动：在指定时间执行一次该识别任务。 立即执行 启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。 设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 告警通知的具体操作请参见告警通知。 6. 单击“确定”。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

此章节为您介绍如何选购云密评专区的相关业务。 若您需要购买云密评专区的相关业务，可参考本章节进行选购。 说明 您在控制台购买云密评专区业务前，请先提交工单申请开通购买白名单。 操作步骤 1. 登录云密评专区管理控制台。 2. 单击右上角的“订购密评专区”，跳转至订购页面。 3. 选择您业务所需要的部署地域和可用区。 4. 选择需要购买的产品和规格。 配置项 配置项说明 密码产品 综合安全网关服务 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用。 密码产品 密钥管理服务 提供安全、可靠的密钥管理服务，密钥管理购买后保存的密钥请在密钥管理服务中查询。 密码产品 数据加密网关服务 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 密码产品 协同签名服务 每个服务支持1000并发，可叠加，最多支持购买10个。 密码产品 数字证书认证系统 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 国密浏览器 选择需购买的国密浏览器个数，兼容主流国产操作系统，满足国密安全传输要求。 国密套件 智能密码钥匙 选择需购买的密钥钥匙个数。 国密套件 协同签名客户端 支持IOS、Android、Windows、Linux等操作系统，每个客户端占1个配额，最多支持购买10000个。 国密套件 证书管理服务 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 密评服务 密评咨询服务 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评服务 密评测评服务 支持1个应用密码应用安全性评估。 密评服务 密码改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。 5. 购买密码产品，还需要配置企业项目、网络信息。 配置项 配置项说明 企业项目 选择此次购买的密评服务所属的企业项目，方便您进行管理。 虚拟私有云 选择密码产品实例所要配置的虚拟私有云。 注意 成功创建后，VPC不可更换，请谨慎选择。 安全组 选择密码产品实例所在的安全组。 子网 选择密码产品实例所属的子网。 6. 购买密码产品，还需要配置密码产品管理员账号初始账密。 配置项 配置项说明 用户名 设置购买的密码产品实例管理员初始账号。 密码 设置购买的密码产品实例管理员初始密码。 确认密码 二次确认购买的密码产品实例管理员初始密码。 7. 选择购买密码产品、证书管理服务的时长。 支持开启“到期自动续费”。开启自动续费后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 配置完成后，勾选“我已阅读并同意《天翼云云密评专区服务协议》《隐私政策声明》”后，单击“提交订单”。

本节介绍网页防篡改（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

本文为您提供天翼云AOne SDK版本发布记录。 天翼云AOne SDK介绍 天翼云AOne SDK主要提供SDK的能力，用于有开发能力的企业，可以将自身APP和AOne SDK进行集成，实现边缘安全加速平台零信任服务的移动端零信任内网访问能力。 天翼云AOne SDK 隐私政策详见：天翼云AOne SDK隐私和信息处理规则，合规指南详见：天翼云AOne SDK合规使用指南。 Android SDK版本 SDK 版本号 SDK包名 使用说明 主要功能 工程文件MD5 开发者 发布时间 更新内容 Android SDK V1.0.10 SDKAndroid1.0.10 AOne Android SDK接入文档 提供零信任内网访问能力 863788b29e25b3a46266d5b0fb332159 AOne移动端团队 20250620 1. 提供零信任访问能力 2. 修复已知问题 iOS SDK 版本 SDK 版本号 SDK包名 使用说明 主要功能 工程文件MD5 开发者 发布时间 更新内容 iOS SDK V1.0.9 SDKiOS1.0.9 AOne iOS SDK接入文档 提供零信任内网访问能力 6824ecb5b3012d3b52f09b49179e68ed AOne移动端团队 20250620 1. 提供零信任访问能力 2. 修复已知问题

v11916) 节点池配置管理支持软驱逐和硬驱逐的设置。 修复部分安全问题。 v1.19.16r30 ++v1.19.16++ 负载均衡支持设置超时时间。 kubeapiserver高频参数支持配置。 修复部分安全问题。 v1.19.16r20 ++v1.19.16++ 云原生2.0网络支持命名空间指定子网。 增强节点重启后，docker运行时拉取镜像的稳定性。 优化CCE Turbo集群在非全预热场景分配网卡的性能。 修复部分安全问题。 v1.19.16r4 ++v1.19.16++ 支持GPU节点的设备故障检测和隔离能力。 支持配置集群维度的自定义安全组。 CCE Turbo集群支持节点级别的网卡预热参数配置。 优化节点污点场景下负载调度的性能。 增强Containerd运行时绑核场景下长时间运行的稳定性。 优化ELB Service/Ingress在大量连接场景下的稳定性。 优化kubeapiserver在频繁更新crd场景下的内存使用。 修复部分安全问题及以下CVE漏洞： CVE20223294 CVE20223162 CVE20223172 v1.19.16r0 [++v1.19.16++](

当您需要在linux创建swap分区/swap文件时,可参考此文本。 适用场景 本节操作以CentOS 6.8操作系统云服务器为例，指导用户创建swap分区。 约束与限制 操作过程中涉及创建指定大小的文件，请确认系统磁盘空间有足够的空余空间。 场景一：使用块设备创建swap 1. 执行以下命令，新建一个分区（以2G为例）。 fdisk /dev/vdb 回显信息如下： Command (m for help): n Partition type: p primary (0 primary, 0 extended, 4 free) e extended Select (default p): Using default response p Partition number (14, default 1): First sector (204820971519, default 2048): Using default value 2048 Last sector, +sectors or +size{K,M,G} (204820971519, default 20971519): +2G Partition 1 of type Linux and of size 2 GiB is set Command (m for help): p Disk /dev/vdb: 10.7 GB, 10737418240 bytes, 20971520 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x1f02f438 Device Boot Start End Blocks Id System /dev/vdb1 2048 4196351 2097152 83 Linux Command (m for help): w The partition table has been altered! Calling ioctl() to reread partition table. Syncing disks. 2. 执行以下命令，将新建的分区创建为swap。 mkswap /dev/vdb1 3. 执行以下命令，激活swap分区。

本文主要介绍云日志服务如何根据关键字出现的次数设置告警。 如果您希望在一定时间范围内日志关键字出现的次数达到指定次数时，才触发告警，则您可以参考本案例设置查询分析语句和告警监控规则。 设置查询语句 选择查询时间范围为1小时（相对），然后执行如下语句，统计1小时内出现ERROR关键字的次数。具体操作，请参见查询和分析。 ERROR 查看查询结果 根据下述查询结果可知，当前1小时内出现11次ERROR关键字。 告警监控规则配置 基于上述查询分析结果创建告警监控规则。具体操作，请参见告警规则创建。重要配置项说明如下：设置触发条件为特定条数据 > 5，则1小时内日志中出现ERROR关键字大于5次时，触发告警。 设置标注中的描述为1小时内发生 {{fireresultcount}} 次ERROR报错，则告警通知中将显示当前1小时内日志中出现ERROR关键字的次数。 告警通知 创建上述告警监控规则后，只要当前1小时内日志中出现ERROR关键字的次数超过5次，您就可以收到告警通知。您还可以查看告警详情，进行溯源。

本节为您介绍云迁移服务CMS中数据库迁移工具任务相关参数配置。 1. 进入“数据库迁移工具”，点击“数据传输”展开菜单，点击“数据迁移”。 2. 点击“创建任务”按钮，跳转至任务参数配置界面。 任务名称 任务的名称，用于更好地识别迁移任务。 启动时间 迁移任务的启动时间。配置后迁移任务会在预定的时间开始运行。 迁移选择 可选择结构迁移、全量迁移、增量迁移和稽核修复中的一个或多个，根据需求组合，模式说明如下： 全量迁移：迁移源库表中的存量数据； 结构迁移：迁移源库中的表、函数等结构（支持的结构类型需根据源库和目标库类型而定，异构数据库间仅支持表结构迁移）； 增量迁移：迁移任务启动后，数据库发生的数据变更（仅限INSERT、UPDATE、DELETE变更）； 稽核修复：比对源库和目标库中表数据的一致性。 全量并发数 全量迁移表的数量。 增量并发数 增量迁移时同时处理表的数量。 稽核并发数 数据比对时同时处理表的数量。 结构并发数 结构迁移时同时处理结构的数量。 允许自建表 允许用户在迁移前自行建表。请确保建好的表中无数据，否则可能导致迁移失败。

本节为您介绍云迁移服务CMS中数据库工具迁移模块节点管理相关操作。 节点列表查看 数据库迁移工具可以查看当前用户的子节点信息，如子节点的地址、状态、类型等信息。 节点搜索 数据库迁移工具提供节点搜索功能，用户可节点名称、节点地址筛选出想要查看或操作的节点。 节点添加 数据库迁移工具提供节点信息添加功能，当用户完成新节点开通后，可通过添加节点，让节点投入使用。 操作步骤 1. 进入“数据库迁移工具”，点击“节点管理”。 2. 点击“添加节点”按钮，并填写相关信息后，点击“保存按钮”，即可完成节点添加。 节点上线/下线 数据库迁移工具提供节点上线/下线功能，用于控制节点在任务过程中的使用。当用户想停用节点时，可点击“下线”按钮，后续的迁移任务将不再发送到该节点执行；当用户想重新启用节点时，可点击“上线”按钮。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和可用区的亲和性 > 与可用区的反亲和性”前的。 步骤 2 单击工作负载不希望部署到的可用区。 当前创建的工作负载不会部署到已选择的可用区中。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见[](file:///C:/Users/shuan/Downloads/%E4%BA%91%E5%AE%B9%E5%99%A8%E5%BC%95%E6%93%8E%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97202105%20(1).docx section155246177178 " ")通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和可用区反亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: failuredomain.beta.kubernetes.io/zone

本章节主要描述订单及费用查询的快速入门。 查看资源 可以通过ECX控制台，查看开通的资源实例情况。 边缘虚拟机：控制台边缘虚拟机实例 。 边缘裸金属：控制台边缘裸金属裸金属服务器。 边缘存储：根据选购的存储类型不同，在控制台边缘存储本地盘、云硬盘、本地裸盘、文件存储等板块中查看。 边缘网络：根据选购的网络产品不同，在控制台边缘网络公网访问公网IP、控制台边缘网络公网访问共享带宽、控制台边缘网络公网访问IPv6网关、控制台边缘网络NAT网关、控制台边缘网络弹性负载均衡等板块中查看。 切换不同节点，查看在不同节点开通的资源实例情况。 查看订单 在天翼云官网我的费用中心订单管理中查看。 订单与资源实例的区别：一个订单中可能包含多种、多个资源实例。资源实例开通、升配、续订、退订都会产生新的订单。在ECX控制台查看到的订单号为资源的开通订单号。 您可以在ECX控制台查看资源的计费资源ID，在ECX控制台费用板块、官网首页我的费用中心板块中，通过该ID查询到相应的订单记录。 部分资源实例在我的订单中不展示，有效的资源实例以控制台中展示的为准。

本节主要介绍闲时抢占型虚拟机的特点、优势、使用限制及开通方法。 概述 闲时抢占型虚拟机，是ECX提供的一种按需计费的边缘云主机实例，其具有以下的特点： 当库存充足时，支持用户开通闲时抢占型虚拟机。 用户购买成功后，保护期为1小时，即确保用户稳定使用1小时。 当库存不足时，有可能会被驱逐释放。 不支持升配、按需转包周期等操作。 CPU、内存及GPU价格仅为标准价格虚拟机的20%，存储及带宽资源维持标准价格，具体参考：价格。 优势 高性价比，价格折扣幅度大。 有保护周期，至少可以稳定使用1小时。 使用限制 由于系统中断机制，不建议运行对稳定性要求极高的服务或有状态的应用，如数据库服务。 实例被释放时数据不保留，需要用户自行备份。 不支持实例规格变更及按需转包周期。 注意 目前仅部分资源池支持开通闲时抢占型虚拟机，如需开通，请联系客户经理咨询。 适用场景 适合非生产环境的计算任务，如开发、测试等。 适合对稳定性要求不高的计算任务，如爬虫、非实时图像渲染等。 适合分布式容错应用程序、无状态应用程序及非紧急或高度并行化的工作负载。

本节介绍了ECX主要具备的网络能力。 支持VPC子网实例生命周期管理、扩展VPC网段、新增子网，支持子网启用或取消IPv6网段。 支持查看VPC、子网内运行的实例。 支持EIP实例生命周期管理，支持EIP绑定、解绑，支持网络IO监控，支持带宽大小修改。 支持共享带宽实例生命周期管理、网络IO监控、带宽大小修改。 支持NAT网关实例生命周期管理、设置DNAT条目和SNAT条目规则。 支持路由表实例生命周期管理、分布式路由、设置路由转发条目规则。 支持负载均衡实例生命周期管理、配置监听器和后端服务器组，支持L4/L7协议监听转发、网络IO监控。 支持查看、删除边缘入云专线，设置专线网关的路由转发。 支持内网VIP实例生命周期管理、内网VIP绑定至虚拟机和EIP，以及从以上实例中解绑。 支持查看公网VIP，支持公网VIP绑定虚拟机和解绑。 支持网络ACL实例生命周期管理、关联子网管理、设置出入规则。 支持安全组实例生命周期管理、关联子网管理、设置出入规则。 支持SSL证书上传和管理。 支持NAT64服务实例生命周期管理、配置黑白名单。 支持对等连接实例生命周期管理，支持接受或拒绝对等连接请求。 支持在VPC内部署零信任连接器，通过零信任访问VPC内的实例。 支持查看、删除边边网络实例，管理网络实例和路由表。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载间的亲和性 > 与工作负载的亲和性”下的“添加”。 步骤 2 勾选希望部署到相同节点的工作负载，单击“确定”。 当前创建的工作负载会和已勾选的工作负载部署在相同节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载.docx section155246177178 " ")或通过kubectl命令行创建有状态工作负载.docx section113441881214 " ")，工作负载间亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: app

本文介绍如何基于Serverless集群和容器镜像服务部署helloworld应用。 在这篇文章中，我们将介绍如何基于Serverless集群和容器镜像服务来快速部署helloworld应用，您可以选择使用控制台来完成应用部署。 前提条件 确保您已经成功创建了Serverless集群。 已创建容器镜像服务实例，且容器镜像服务实例和Serverless集群处于同一地域。 操作步骤 步骤一：上传helloworld应用镜像 将本地编译构建好的helloworld应用镜像或者从docker hub拉取helloworld应用镜像上传到容器镜像服务实例镜像仓库中。 步骤二：在Serverless集群中部署helloworld应用 1. 登录云容器引擎管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写Deployment名称、副本数量等。 4. 在实例内容器项填写容器名称、镜像、镜像版本、cpu/内存限制等。 在上一步骤中，helloworld镜像已经上传到容器镜像服务实例，点击选择镜像选择helloworld镜像即可。 5. 在服务配置下，点击“+”创建服务。选择负载均衡类型的服务，并增加一条端口映射。 6. 返回无状态页面，确认应用创建成功。

本节主要描述在使用云容器引擎前，需理解该产品所涉及的概念，以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 功能入口 创建配置项 1. 登录云应用引擎控制台。 2. 在左侧导航栏单击“配置管理”>“保密字典”，进入保密字典管理页面。 3. 单击“创建”，在右侧弹出的创建保密字典面板，根据需求选择不同的保密字典类型并根据下表说明完成参数配置，然后单击“确认”。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque是默认的Secret类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储TLS证书相关的数据，当您的服务需要启用HTTPS访问时，可以使用这种类型的Secret来保存和管理TLS证书，以确保在SAE环境中的Pod中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得Kubernetes在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的Secret用于存储仓库用户名和密码或访问令牌，确保SAE在部署应用时能够拉取到私有镜像。 Opaque类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择Opaque类型 Opaque 配置映射 单击“添加变量”，在对话框中输入敏感信息的Key和Value 变量名：env 变量值：test TLS证书类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择TLS证书类型 TLS证书 Cert TLS证书的公钥 Key TLS证书的私钥 私有镜像仓库登录秘钥类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择私有镜像仓库登录密钥类型 私有镜像仓库登录密钥 镜像仓库地址 镜像仓库地址 默认 用户名 镜像仓库的用户名 admin 密码 镜像仓库的密码 123456 说明 1. 修改保密字典后，生成的新版本仅对新创建的实例生效。 2. 删除保密字典可能导致关联应用无法正常运行。请务必先在关联应用中解除该保密字典的使用，再执行删除操作。 创建的保密字典将显示在 保密字典 页面，您可以在保密字典列表的 操作 列进行 编辑 、复制 和 删除 操作。

集群开启自动变更规格 前提条件 已创建托管版容器集群且已开通自动变更规格权限。 操作步骤 1. 登录云容器引擎控制台。 2. 在左侧导航栏中，单击“集群”，进入集群列表页面。 3. 在集群列表页面，单击目标托管版集群的名称，进入该集群的管理页面。 4. 在集群管理页面，切换到“运维管理”“控制面规格变更”“规格变更配置”页签。 5. 点击安装masterautoscaler插件，插件安装成功后即可开启“自动变更规格”开关。 集群自动变更规格触发条件 1. 开启/关闭“自动变更规格”开关不会直接触发集群规格变更。支持基于集群节点数量或控制面组件负载情况的监控指标自动触发规格变更，您可选择其中一种指标或组合使用两种指标。 2. 节点规模变更触发：当开启自动变更规格功能后，若集群内节点数量发生变更（如添加、移除节点或节点池伸缩），且节点数量达到设定阈值时，将自动触发规格变更操作。 3. 控制面负载变更触发：当开启自动变更规格后，集群内控制面组件(如：kubeapiserver、kubecontrollermanager、kubescheduler)的CPU或内存指标在指定时间内达到阈值，将自动触发规格变更流程。

前提条件 实例计费模式为“按需计费”。 实例状态为“正常”。 操作步骤 1、登录管理控制台。 2、在服务列表中选择“数据库 > 云数据库 GeminiDB”，选择兼容接口为InfluxDB的数据库实例。 3、在“实例管理”页面，选择目标实例，选择操作列“转包周期”，进入“按需转包周期”页面。 图1 按需转包周期 或者您也可以单击实例名称，进入基本信息页面，在“计费信息 > 计费模式”处，单击“转包周期”。 图2 转包周期 说明 系统支持批量转包年/包月操作，即一次将多个按需计费的实例变更为包年/包月计费模式的。操作如下： 1.勾选待转包年/包月的多个实例。 2.单击实例列表上方“转包周期”。 4、在“按需转包周期”页面，选择购买时长，以月为单位，最小包周期时长为一个月。 如果订单确认无误，单击“去支付”，进入“支付”页面。 5、选择支付方式，单击“确认”。 6、按需转包周期创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 在实例列表的右上角，单击刷新列表，可查看到按需转包周期完成后，实例状态显示为“正常”。“计费模式”显示为“包年/包月”。

本文主要介绍 创建守护进程集(DaemonSet) 。 操作场景 云容器引擎（CCE）提供多种类型的容器部署和管理能力，支持对容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等特性。 其中守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod 。 当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群，请参照购买CCE集群中内容创建。 通过控制台创建 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 3 配置工作负载的信息。

本文介绍如何在天翼云函数计算控制台查看和编辑应用环境的流水线。 查看流水线 每个应用的环境都会搭配一条流水线，用于构建代码并发布至函数计算。 您可以在函数计算控制台，点击左上角导航栏选择应用 ，进入应用列表。然后点击对应的应用以及环境，进入环境详情页面，通过点击流水线管理 页签，进入流水线管理页面。页面包含流水线配置 、流水线环境变量 、流水线执行历史等模块。 编辑流水线 编辑流水线 在应用环境详情页面流水线管理 页签，点击流水线配置 旁边的编辑链接，进入流水线配置页面。您可以配置： 流水线触发方式 流水线触发方式，支持分支Push触发、Tag创建触发、分支合并触发三种方式。 资源描述YAML Serverless Devs的资源描述文件，默认为s.yaml。 执行环境 流水线的运行环境。 编辑流水线环境变量 在应用环境详情页面流水线管理 页签，点击流水线环境变量 旁边的编辑链接，进入流水线环境变量配置页面。支持使用表单编辑和使用JSON格式编辑。

section1553217101617 " ") 步骤一：创建用户组 步骤二：为用户组授权 步骤三：创建IAM用户并加入用户组 步骤四：使用IAM用户登录并验证权限 步骤一：创建用户组 在“统一身份认证IAM”服务控制台创建用户组，并授予具有云容器引擎只读权限的“CCE ReadOnlyAccess”策略。 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您在IAM中创建的用户，需要加入特定用户组后，用户才具备用户组所拥有的权限。关于创建用户组并给用户组授权的方法，可以参考如下操作。 步骤 1 使用注册的帐号登录，登录时请选择“帐号登录”。 步骤 2 在控制台首页菜单中单击“云容器引擎CCE”，进入CCE控制台。 步骤 3 单击CCE控制台左侧导航栏中的“权限管理”，单击“集群权限”页签下的“创建用户组”。 步骤 4 进入“统一身份认证服务”控制台的“创建用户组”界面，输入用户组名称（本例以“开发人员组”为例）。 单击“确定”，用户组创建完成，界面自动返回用户组列表，列表中显示新建的用户组。 说明：您最多可以创建20个用户组，如果当前资源配额无法满足业务需要，您可以申请扩大配额。 步骤二：为用户组授权 步骤 1 在用户组列表中，单击新建用户组右侧操作栏的“修改”。 在用户组修改页面中，找到用户组权限管理部分。 步骤 2 根据各区域（资源节点）的授权要求，分别设置每个资源节点的用户组权限： 基于区域（如苏州、青岛），授权后将只在授权区域生效，如果需要所有区域都生效，则所有区域都需要进行授权操作。 步骤 3 在搜索框中搜索“CCE”，勾选需要授予用户组的权限，本例此处选择“CCE ReadOnlyAccess”。 步骤 4 单击“确定”，完成用户组授权。 步骤三：创建IAM用户并加入用户组 IAM用户与企业中的实际员工或是应用程序相对应，有唯一的安全凭证，可以通过加入一个或多个用户组来获得用户组的权限。关于IAM用户的创建方式请参见如下步骤。 1. 在统一身份认证服务，左侧导航窗格中，单击“用户”>“创建用户”。 2. 在“创建用户”页面填写“用户信息”。如需一次创建多个用户，可以单击“添加用户”进行批量创建，每次最多可创建10个用户。 用户信息 说明 用户名 必填。IAM用户登录的用户名，此处以“James”和“Alice”为例。 邮箱 “访问方式”选择“首次登录时设置”时必填，选择其他时选填。IAM用户绑定的邮箱，可作为子帐户的登录凭证，也可由IAM用户自己绑定。 手机号 选填。IAM用户绑定的手机号，可作为子帐户的登录凭证，也可由IAM用户自己绑定。 描述 选填。记录IAM用户相关信息。 3. 在“创建用户”页面选择“访问方式”，完成后单击“下一步”。 访问方式 配置信息 说明 管理控制台访问 控制台登录密码设置方式 首次登录时设置 如果您不是用户James的使用主体，建议您选择该方式，输入用户的邮箱和手机，用户James通过邮件中的一次性链接登录，自行设置密码。 管理控制台访问 控制台登录密码设置方式 自动生成 仅在创建单个用户时适用，如果您本次创建2个及以上的用户，则不支持此方式。 管理控制台访问 控制台登录密码设置方式 自定义 如果您是用户James的使用主体，建议您选择该方式，设置自己的登录密码。 管理控制台访问 登录保护 开启登录保护 开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高帐号安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 管理控制台访问 登录保护 不开启 编程访问 创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对进行编程调用，例如，通过API调用方式访问时，您可能需要使用访问密钥。 说明： 用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录。 当用户忘记密码时，可以通过此处绑定的邮箱或手机自行重置密码，如果用户没有绑定邮箱或手机号码，只能由管理员重置密码。 用户登录系统时，输入用户名和初始密码后，将进入“首次登录修改密码”，需要创建一个新密码，该功能可以保证用户的密码是由使用者本人所设置，防止密码泄露。 4. 单击“下一步”，将用户加入到用户组（可选）。 − 选择新创建的用户组“开发人员组”。将用户加入用户组，用户将具备用户组的权限，这一过程即给该用户授权。其中“admin”为系统缺省提供的用户组，具有管理人员以及所有云服务资源的操作权限。 − 如需创建新的用户组，可单击“创建用户组”，填写用户组名称和描述（可选），创建成功后即可将用户加入到新创建的用户组中。 5. 单击“下一步”，IAM用户创建成功，用户列表中显示新创建的IAM用户。如果在访问方式中勾选了“编程访问”，可在此页面下载访问密钥。 步骤四：使用IAM用户登录并验证权限 IAM用户创建完成后，可以使用新用户的用户名及身份凭证登录验证权限，即“CCE ReadOnlyAccess”权限。 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户“James”时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 使用IAM用户“James”登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，返回CCE控制台主界面，对IAM用户James的集群权限进行验证。 验证方式（参考）：您可以尝试创建一个集群或休眠一个已创建的集群，此时如果提示“您的权限不足。”，则表明您为James用户设置的“CCE ReadOnlyAccess”只读权限策略已生效。

本节介绍了如何获取天翼云提供的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。