本文介绍了RDSPostgreSQL的实例规格详情。 RDSPostgreSQL支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。RDSPostgreSQL支持创建实例后变更CPU、内存规格。 实例引擎版本 RDSPostgreSQL实例支持的数据库版本请参见关系数据库PostgreSQL版产品介绍实例说明数据库版本。 实例规格类型 RDSPostgreSQL实例规格CPU架构为X86或ARM架构，均有通用型、计算增强型和内存优化型。详见下表。 表1 RDSPostgreSQL支持的云主机对应规格类型 规格 说明 适用场景 通用型 共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。 适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 计算增强型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，提供更大规格的CPU和内存组合。 适用于计算密集型业务等场景，如大型网站、电商营销等。 内存优化型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，CPU和内存配比可达1:8。 适用于高内存计算应用，如大数据分析、核心数据库等。 云主机规格详情，请您参考弹性云主机产品概述产品规格。 实例详细规格 RDSPostgreSQL目前共有4种系列，分别是单机实例、主备实例、一主两备、只读实例，其系列规格明细见下表。 表2 RDSPostgreSQL实例规格 规格 vCPU(个) 内存(GB) 单机版、主备版、一主两备版、只读实例 2 4 单机版、主备版、一主两备版、只读实例 2 8 单机版、主备版、一主两备版、只读实例 2 16 单机版、主备版、一主两备版、只读实例 4 8 单机版、主备版、一主两备版、只读实例 4 16 单机版、主备版、一主两备版、只读实例 4 32 单机版、主备版、一主两备版、只读实例 8 16 单机版、主备版、一主两备版、只读实例 8 32 单机版、主备版、一主两备版、只读实例 8 64 单机版、主备版、一主两备版、只读实例 16 32 单机版、主备版、一主两备版、只读实例 16 64 单机版、主备版、一主两备版、只读实例 16 128 单机版、主备版、一主两备版、只读实例 32 64 单机版、主备版、一主两备版、只读实例 32 128 单机版、主备版、一主两备版、只读实例 32 256 单机版、主备版、一主两备版、只读实例 64 128 单机版、主备版、一主两备版、只读实例 64 256 单机版、主备版、一主两备版、只读实例 64 512 单机版、主备版、一主两备版、只读实例 96 192 单机版、主备版、一主两备版、只读实例 96 384 单机版、主备版、一主两备版、只读实例 96 768 单机版、主备版、一主两备版、只读实例 128 256 单机版、主备版、一主两备版、只读实例 128 512 单机版、主备版、一主两备版、只读实例 128 1024 单机版、主备版、一主两备版、只读实例 192 384 单机版、主备版、一主两备版、只读实例 192 768 单机版、主备版、一主两备版、只读实例 192 1536 注意 由于每个资源池销售情况不同，每个资源池可用的主机型号，请在对应资源池订购页确认。 不同资源池因IaaS资源能力等原因，支持的数据库版本有所差异，详见 使用场景推荐 不同的系列规格，适用于不同的使用场景。使用场景主要分为开发测试场景和线上生产场景。开发测试场景提供小规格数据库实例，仅用于个人学习或者非生产环境下的功能验证使用。如果在小规格场景下运行大量生产业务数据，可能会导致实例异常等问题；线上生产场景则提供多种规格实例，以满足不同大小的生产业务正常运行；所以推荐用户按场景按需选取对应的实例系列规格。不同场景下的一些常用的实例系列规格推荐见下表。 推荐使用场景 实例系列 vCPU（核） 内存（GB） 开发测试 单机 2 4 开发测试 主备 2 4 开发测试 只读 2 4 线上生产 主备 8 32 线上生产 主备 16 64 线上生产 一主两备 8 32 线上生产 一主两备 16 64 线上生产 只读 8 32 线上生产 只读 16 64

本文介绍如何删除跨域复制任务。 操作场景 当不再需要使用跨域复制功能进行文件系统的备份和容灾时，可以删除源文件系统或目标文件系统的详情页删除对应的文件系统复制任务。 操作步骤 1. 在源文件系统或目标文件系统详情页，点击“跨域复制“页签； 2. 点击“删除复制”即可。 说明 若删除失败，可尝试再次删除。仍无法删除请提交工单进行故障定位。

本文帮您了解负载均衡相关监控指标及含义。 功能说明 云监控会自动获取您当前账号下云产品的资源并关联相应监测指标，帮助您实时了解弹性负载均衡产品的性能指标，及时掌握各项资源的运行状态。本文介绍弹性负载均衡服务上报云监控的监控指标列表和维度。 监控指标 负载均衡器监控指标 序号 指标名称 指标描述 单位 监控周期 1 新建连接数 统计测量对象每秒新建连接数量 个/秒 1分钟 2 并发连接数 统计测量对象当前处理的并发连接数量 个 1分钟 3 入带宽 网络流入速率，统计每秒流入测量对象的网络流量 比特/秒 1分钟 4 出带宽 网络流出速率，统计每秒流出测量对象的网络流量 比特/秒 1分钟 5 7层查询速率 该指标用于统计测量对象当前7层查询速率 次/秒 1分钟 6 7层协议返回码（2XX） 该指标用于统计测量对象当前7层协议2XX系列状态响应码的数量 个/秒 1分钟 7 7层协议返回码（3XX） 该指标用于统计测量对象当前7层协议3XX系列状态响应码的数量 个/秒 1分钟 8 7层协议返回码（4XX） 该指标用于统计测量对象当前7层协议4XX系列状态响应码的数量 个/秒 1分钟 9 7层协议返回码（5XX） 该指标用于统计测量对象当前7层协议5XX系列状态响应码的数量 个/秒 1分钟 10 7层协议返回码（Others） 该指标用于统计测量对象当前7层协议非2XX，3XX，4XX，5XX系列状态响应码的数量 个/秒 1分钟 11 健康后端主机数 统计当前时间周期中负载均衡器关联的所有后端主机组中健康检查正常后端主机数量（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个 1分钟 12 异常后端主机数 统计当前时间周期中负载均衡器关联的所有后端主机组中健康检查异常后端主机数量（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个 1分钟 13 流入包个数 统计每秒流入测量对象的数据包个数（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个/秒 1分钟 14 流出包个数 统计每秒流出测量对象的数据包个数（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个/秒 1分钟 15 活跃连接数 统计周期内测量对象的的活跃连接数（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个 1分钟 监听器监控指标 序号 指标名称 指标描述 单位 监控周期 1 新建连接数 统计测量对象当前处理的新建连接数量 个/秒 1分钟 2 并发连接数 统计测量对象当前处理的并发连接数量 个 1分钟 3 入带宽 网络流入速率，统计每秒流入测量对象的网络流量 比特/秒 1分钟 4 出带宽 网络流出速率，统计每秒流出测量对象的网络流量 比特/秒 1分钟 5 7层查询速率 该指标用于统计测量对象当前7层查询速率 次/秒 1分钟 6 7层协议返回码（2XX） 该指标用于统计测量对象当前7层协议2XX系列状态响应码的数量 个/秒 1分钟 7 7层协议返回码（3XX） 该指标用于统计测量对象当前7层协议3XX系列状态响应码的数量 个/秒 1分钟 8 7层协议返回码（4XX） 该指标用于统计测量对象当前7层协议4XX系列状态响应码的数量 个/秒 1分钟 9 7层协议返回码（5XX） 该指标用于统计测量对象当前7层协议5XX系列状态响应码的数量 个/秒 1分钟 10 7层协议返回码（Others） 该指标用于统计测量对象当前7层协议非2XX，3XX，4XX，5XX系列状态响应码的数量 个/秒 1分钟 11 健康后端主机数 统计当前时间周期中监听器关联的所有后端主机组中健康检查正常后端主机数量（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个 1分钟 12 异常后端主机数 统计当前时间周期中监听器关联的所有后端主机组中健康检查异常后端主机数量（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个 1分钟 13 流入包个数 统计每秒流入测量对象的数据包个数（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个/秒 1分钟 14 流出包个数 统计每秒流出测量对象的数据包个数（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个/秒 1分钟 15 活跃连接数 统计周期内测量对象的的活跃连接数（仅部分集群资源池支持该指标，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准） 个 1分钟

该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

本文为您介绍创建应急切换的具体操作。 概述 应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的切换任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。 使用条件 应急切换主要用于突发故障下切换工作，为单次执行，不可重复执行。若需定时多次演练，可在容灾演练模块进行相关操作。 进行应急切换前，需完成命名空间创建、容灾管理中心配置、应用接入（可选）、预案编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表上方的“创建应急切换”按钮，弹出创建应急演练弹窗。 7. 填写创建应急切换信息，各配置项信息如下： 参数 是否必填 配置说明 切换名称 √ 填写切换名称，同命名空间下切换名称需唯一。 关联预案 √ 选择当前命名空间下已发布状态的预案名称。 涉及容灾管理中心 × 显示选择关联预案后容灾管理中心。 切换超时时间 √ 填写切换超时时间，单位为分钟。 系统将在执行“开始切换”操作后计时，超时系统将自动终止该切换，最新切换状态更新为“已终止”且无法恢复。 时间范围为10分钟6小时。 单个任务超时时间 √ 填写单个任务超时时间，单位为分钟。 单个任务超时时间指任务执行时间超出后系统自动将该任务状态置为“已超时”，需人工介入处理。 该超时时间仅对脚本任务及资源操作类的内置任务有效，人工任务及流程控制类的内置任务不受此超时时间影响。 时间范围为1分钟2小时。 描述 × 填写容灾切换描述。 长度为0100个字符。 8. 点击“确定”按钮，完成应急切换创建。成功创建后，列表新增一条相关记录，状态为“未开始”。

本节主要介绍查看一致性快照。 在“快照管理”>“一致性快照”页面，点击具体的一致性快照名称，可以查看该一致性快照的详细信息。 图1 一致性快照详细信息 基本信息 点击“编辑”，可以编辑一致性快照信息，详见编辑一致性快照。 项目 描述 一致性快照名称 一致性快照的名称。 卷快照数 一致性快照的卷快照数。 状态 一致性快照的状态： 正常。 异常。 创建中。 删除中。 创建时间 一致性快照的创建时间。 描述 一致性快照的描述信息。 卷快照 选择目标卷快照，可以对卷快照进行编辑（编辑快照）、回滚（回滚快照）、克隆（创建克隆卷）、备份（创建备份）或者删除（删除快照）。 项目 描述 卷快照名称 卷快照的名称。 源卷 卷快照的源卷名称。 源卷容量 创建一致性快照时刻，源卷的容量。 回收策略 卷快照回收策略： 删除：当快照无关联克隆卷，且最多拥有1个子节点（子节点表示存在其他快照依赖此快照，或者当前写操作基于此快照），快照自动删除。 保留：当快照无关联克隆卷，且最多拥有1个子节点，快照仍然保留。 克隆卷数量 卷快照关联的克隆卷数量。 状态 卷快照状态： 正常。 异常。 创建中。 删除中。 描述 卷快照的描述信息。

本章节主要介绍翼MR Manager查看主机状态的操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“主机”，进入主机列表页面。 5. 单击指定主机的主机IP或主机名称进入到主机详情页面，默认进入到主机状态页面。如图所示：

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 91.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本

类型 功能 网络共享盘 NAS型共享盘 使用方式 AI云电脑挂载访问 支持 支持 使用方式 第三方平台系统（企业OA，SAP系统等）集成访问 支持 不支持 使用方式 天翼AI云电脑、网盘网页版、支持桌面端和移动端访问 支持 不支持 共享范围 跨资源池共享 支持 支持 共享范围 文件对外分享 不支持（规划中） 不支持 共享范围 跨企业（租户）共享 不支持（规划中） 不支持 数据安全 文件落盘自动加密 支持 支持 数据安全 多数据中心备份，数据异地容灾高可用 支持 部分资源池支持 翼起来生态融合 支持虚拟应用保存文件至翼共享盘 支持 支持 翼起来生态融合 支持翼连访问打开翼共享盘的文件，以及保存文件至翼共享盘 支持 不支持 翼起来生态融合 支持翼飞表单、问卷采集文件或图片保存至翼共享盘 不支持（规划中） 不支持 翼起来生态融合 云智助手设置共享盘为知识库 支持 不支持 权限管控 企业/个人空间容量分配，动态扩容 支持 支持 权限管控 挂载盘设置 支持用户挂载 支持桌面颗粒度挂载 权限管控 支持读写、分享等权限设置 支持 仅支持读写权限设置 权限管控 支持下载/分享/删除等操作审批 支持 不支持 权限管控 日志审计 不支持 仅支持新建、修改、删除操作

本章节主要介绍翼MapReduce的主机操作。 选择“主机 > 资源概况 > 主机”，可查看主机资源概况，分为基础配置（CPU/内存）和磁盘配置两部分，如下图所示。 单击“导出数据”，可导出集群中所有主机的配置列表，包括主机名称、管理IP、主机类型、核数、平台类型、内存容量、磁盘大小等。 详见下图：主机资源概况 基础配置（CPU/内存） 鼠标放置饼图上会显示当前区域集群中各节点不同硬件配置下的配置信息及数量，格式为： 核数（平台类型）内存大小：数量 。 单击相应区域，会在下方显示相应的主机列表。 磁盘配置 横轴为节点上磁盘总容量（包含OS盘），纵轴为逻辑磁盘数量（包含OS盘）。 鼠标放置圆点上会显示处于当前配置状态下的磁盘信息，包括磁盘数量、总容量、主机数。 单击相应圆点，会在下方显示相应的主机列表。

本节介绍了云容器引擎的最佳实践:会话保持。 不使用会话保持 前提条件 创建一个nginx工作负载，并确保工作负载的实例个数大于1，工作负载不需要其他的额外特殊配置。 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意Session Affinity不需要设置，保持默认值即可。 测试验证 发起服务调用，在集群节点上执行这个命令发起对服务的100次调用 > for i in {1..100};do curl 10.96.116.221:80;done; 上述curl命令中的IP和端口来自如下地方： 观察工作负载日志，查看Pod实例的日志输出。 结论：服务请求会随机的转发到任一个Pod实例。 集群内请求会话保持 1、前提条件 创建一个nginx工作负载，同上。 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意需要展开高级设置，并设置Session Affinity为客户端IP。 2、测试验证 发起服务调用，同上。观察工作负载日志，查看Pod实例的日志输出。 结论：服务请求会全部转发到某一个Pod实例，进行会话保持。 集群外NodePort访问请求会话保持 1、前提条件 创建一个nginx工作负载，同上。创建一个NodePort类型的服务（Service）并关联到上述nginx工作负载，指定一个合法的主机端口，注意需要展开高级设置，并设置Session Affinity为客户端IP。 2、测试验证 发起服务调用；在集群外执行这个命令发起对服务的100次调用 > for i in {1..100};do curl 10.142.232.160:30080;done; 上述curl命令中的IP可以是集群的vip或者集群任意节点IP，端口是服务（Service）中指定的主机端口。 观察工作负载日志，查看Pod实例的日志输出。 结论：集群外的请求会全部转发到某一个Pod实例，进行会话保持。

本节主要介绍云存储网关的产品优势。 易用即装即用 高度优化的压缩安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。云存储网关与通用64位x86服务器和ARM服务器上的主流Linux操作系统兼容。 成本利用率高 兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，支持自动精简配置，显著提高了资源利用率，降低使用成本。 安全稳定可靠 支持多副本和纠删码数据冗余保护机制，多种异常情况下确保数据不丢，并且保持数据一致性，可以承载企业核心业务数据；通过传输加密、监控告警、配置备份等最大程度实现安全保障。 高可用业务永续 可达秒级故障切换速度，实现不中断会话的故障转移，媲美传统高端存储，单节点故障不影响可用性，确保企业核心应用724永续。 快速读写延迟低 采用分布式双控架构，提升读写性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 上云弹性扩展 可作为本地与云端存储之间的桥梁，利用天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）提供的PB级弹性存储空间能力，实现大规模横向扩展，将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

本文介绍海量文件服务配额相关限制及操作。 目录 什么是服务配额？ 配额说明 如何查看服务配额？ 如何申请扩大配额？ 常见问题 什么是服务配额？ 服务配额是指天翼云账号在使用云资源时的最大限制。为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如用户最多可以创建多少台弹性云主机、多少块云硬盘、多少个文件系统等。 配额说明 对于海量文件服务，一般情况下您需要关注以下3个配额： 配额项 说明 文件系统总容量配额 单用户单地域默认分配500TB配额用于创建文件系统，所有的文件系统都使用这500TB。 若不满足使用需求，例如需要创建1PB的文件系统，则可以提交工单申请调整此配额。 文件系统数量配额 默认10个，即默认情况下，在某资源池您可以创建10个文件系统。在多可用区资源池，各可用区共用该资源池总数量配额。 如不满足使用需求，可以申请调整至20个，见下方场景示例。 若需要创建20+个文件系统，请提交工单进行资源评估。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 单个文件系统容量上限 单文件系统默认容量上限为1PB。如不满足使用需求，可以申请调整，最大可调整至4PB。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 海量文件服务容量和性能不是线性相关，性能不会随容量增大线性增长，最大性能详见产品规格。

本章节主要介绍翼MapReduce服务的计费方式。 计费项 购买翼MapReduce集群的费用包含两个部分： 翼MapReduce服务管理费用 IaaS基础设施资源费用（云主机、物理机、云硬盘） 计费方式 翼MapReduce当前支持包年包月与按需两种计费方式。 • 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，实际可订购时长以页面显示为准。适用于需要长期稳定运行的服务。 • 按需：是一种更灵活的计费模式，适用于需要灵活调整资源、业务不稳定或资金有限的场景。在选择计费模式时，应结合业务需求和实际情况来做出合适的选择。 注意 若选择按需模式，请确保现金账户余额不低于100元。 到期 • 包年/包月：集群到期后进入保留期，此时无法在翼MapReduce管理控制台进行该集群的操作，无法调用相关接口，自动化监控或告警等运维也会停止。如果在保留期结束时您没有续费，集群将终止服务，系统中的数据也将被永久删除。 • 按需：不涉及到期问题，无需担心服务到期。 欠费 • 包年/包月：如果您选择使用云日志服务、对象存储等按需计费产品，余额欠费后，将会导致相关功能无法继续使用，请及时续费。 • 按需：集群按小时进行扣费，当余额不足，无法对上一个小时的费用进行支付时，会导致集群欠费并暂停服务。对于欠费导致暂停的集群，您可以在7天内充值，对相关集群进行续费。续费后，被冻结的集群可继续正常使用。请注意，冻结期进行的续费，是以冻结开始时间作为生效时间，您应当支付从进入冻结期开始到续费时的服务费用。

当您的防护网站以独享模式部署到WAF后，您可以在WAF管理控制台上通过升级操作，将WAF独享引擎实例升级到最新版本，以获取独享引擎实例最新防护性能。为了提升业务的高可靠性，请您参照以下操作指导完成独享引擎实例升级操作。 说明 对于可靠性要求较高的业务，建议您至少购买2个独享引擎实例部署为双活或多活高可靠架构。如果业务部署单引擎实例，当实例对应的ECS发生故障时，WAF将不可用。 前提条件 防护网站以“独享模式”接入WAF。 单独享引擎实例节点升级 如果您的业务只部署了一个独享引擎实例，请参照以下操作升级实例。 步骤 1 购买一个新的独享引擎实例。 新购买的独享引擎实例为最新版本。当实例为最新版本时，“升级”按钮为灰化状态。 确保新购买的实例，虚拟私有云，子网，安全组等配置，与原实例一致。在这些参数都一致的情况下，新实例会自动同步原实例的所有WAF防护配置。 步骤 2 在原独享引擎实例所属VPC下的任一台ECS上，执行curl命令，验证业务是否正常。 HTTP业务 curl http:// WAF独享引擎实例IP : 业务端口H "host：业务域名 " H "UserAgent: Test" HTTPS业务 curl https:// WAF独享引擎实例IP : 业务端口 H "host：业务域名" H "UserAgent: Test 检查业务是否正常，如果业务正常，请执行步骤3；如果业务异常，请参照业务中断排查排查故障后，再执行步骤3。 说明 执行curl命令的主机需要满足以下条件： 网络通信正常。 已安装curl命令。Windows操作系统的主机需要手动安装

如果让客户端和云存储网关服务端断开连接，应如何操作？ 对于 Windows 客户端，需要先进行脱机才能断开连接，先断开备连接，再断开主连接，否则可能丢失数据。 对于 Linux 客户端，需要先执行sync命令才能断开连接，否则可能丢失数据。 部署了云存储网关后，集群内的服务器 IP地址变更会有什么影响？ 部署云存储网关后： 如果云存储网关集群内服务器通信使用的IP地址变更，云存储网关服务不可用。 如果云存储网关服务器与客户端连接的IP地址变更，则会导致客户端无法连接到服务器。客户端需要重新进行discovery、login操作，才能与云存储网关连接。 能否将文件存在云存储上，然后分配给云电脑和云主机？ 可以。云存储网关支持连接云电脑和云主机。 云存储网关升级失败了该如何处理？ 目前云存储网关的升级均由运维工程师处理，且支持滚动升级，用户无需干预。 如何登录本地云存储网关控制台？ 设置防火墙，开放web端口，默认443端口。安装的时候也可以及自行调整web端口号。 在浏览器中，输入访问地址https:// 云存储网关IP地址 : web端口 。 云存储网关和OOS的之间的数据传输是怎样的？ 对于云存储网关，后端以切片形式上传。云存储网关会根据数据热度做读缓存。当访问的是冷数据，如果本地没有缓存数据，则直接访问OOS，此时就会有下载动作，对应产生下行流量。

本章节主要介绍翼MapReduce的查看主机概览操作。 总览 登录FusionInsight Manager以后，单击“主机”，在主机列表单击指定的主机名称，可以访问主机详情页面，主要包含基本信息区、磁盘状态区、角色列表区和监控图表等。 基本信息区 主机详情页面的基本信息包含该主机的各个关键信息，例如管理IP地址、业务IP地址、主机类型、机架、防火墙、CPU核数、操作系统等信息。 磁盘状态区 磁盘状态区包含了该主机所有为集群配置的磁盘分区，并显示每个磁盘分区的使用情况。 实例列表区 实例列表区显示了该主机所有安装的角色实例，并显示每个角色实例的状态，单击角色实例名称后的日志文件，可在线查看该实例对应日志文件内容。 告警和事件的历史记录 告警和事件的历史记录区显示了当前主机上报的关键告警与事件记录，系统最多可显示20条历史记录。 图表 主机详情页面的右侧展示图表区，包含该主机的各个关键监控指标报表。 用户可以单击右上角的“ > 定制”，自定义在图表区展示的监控报表。选择时间区间后，单击“ > 导出”，可以导出指定时间区间内的详细监控指标数据。 单击监控指标标题后的可以打开监控指标的解释说明。 单击主机的“图表”页签，可直接查看该主机的全量监控图表信息。

本文为您介绍提交工单显示主机cpu或者内存不足的问题现象、问题原因和解决方案。 问题现象 提交工单时提示主机资源不足。 原因分析 通过查看错误日志发现需要的主机资源远超主机本身规格，实例主机规格是（96C256G），内存不够。 但是统计发现实例主机使用的资源是192G，与dcp计算的相差甚大。 解决方案 调整配置库的cgroupcluster表数据，降低比例。 plaintext usedcp selectoversaleratefromcgroupcluster updatecgroupclustersetoversalerate200;

本文为您介绍提交工单显示主机cpu或者内存不足的问题现象、问题原因和解决方案。 问题现象 提交工单时提示主机资源不足。 原因分析 通过查看错误日志发现需要的主机资源远超主机本身规格，实例主机规格是（96C256G），内存不够。 但是统计发现实例主机使用的资源是192G，与dcp计算的相差甚大。 解决方案 调整配置库的cgroupcluster表数据，降低比例。 plaintext usedcp selectoversaleratefromcgroupcluster updatecgroupclustersetoversalerate200;

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

云容器引擎通过将Kubernetes网络和VPC深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 容器开启hostPort或hostNetwork网络模式后，若需对外提供服务，则需要给容器所在节点开启对应端口的安全组(containerPort)。 Service基本概念 Kubernetes中每一个工作负载会有一个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象。 Service是一种资源，提供了我们访问单个或多个容器应用的能力。每个服务在其生命周期内，都拥有一个固定的IP地址和端口。每个服务对应了后台的一个或多个Pod，通过这种方式，客户端就不需要关心Pod所在的位置，方便后端进行方便的Pod扩容、缩容等操作。 用户在Kubernetes中可以部署各种容器，其中一部分是通过HTTP、HTTPS协议对外提供七层网络服务，另一部分是通过TCP、UDP协议提供四层网络服务。而Kubernetes定义的Service资源就是用来管理集群中四层网络的服务访问。 根据创建Service的type类型不同，可分成如下模式： ClusterIP ：默认类型，为服务分配集群虚拟IP，此时集群内部的pod可以通过服务名称寻址到服务的集群虚拟IP地址，集群外无效。 NodePort ：在每个节点上为服务分配静态端口号，此时如果在集群外部访问任何一个节点的IP地址加指定的端口号，kubeproxy会将流量转发到服务的集群虚拟IP，再由虚拟IP寻址到Pod。 LoadBalancer ：通过云服务供应商提供的load balancer向外部暴露服务，由指定的load balancer负责对NodePort与ClusterIP服务的路由。 ClusterIP和NodePort类型的Service，在不同云服务商或是自建集群中的行为表现通常情况下相同。而LoadBalancer类型的Service，由于使用了云服务商的负载均衡进行服务暴露，云服务商会围绕其负载均衡的能力提供不同的额外功能。例如，控制负载均衡的网络类型，后端绑定的权重调节等，详情请参见本章相关文档。 服务访问方式 在CCE中，支持以下类型的互联互通： 集群内访问（ClusterIP ） 工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。集群内部域名格式为“ . .svc.cluster.local”，例如“nginx.default.svc.cluster.local”。详细请参见集群内访问(ClusterIP)。 节点访问（NodePort ） 节点访问 ( NodePort）是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。详细请参见节点访问(NodePort)。 负载均衡 ( LoadBalancer ) 通过弹性负载均衡从公网访问工作负载，与弹性IP方式相比提供了高可靠的保障，一般用于系统中需要暴露到公网的服务。访问方式由公网弹性负载均衡ELB服务地址以及设置的访问端口组成，例如“10.117.117.117:80”。详细请参见负载均衡(LoadBalancer)。 七层负载均衡（Ingress） 通常情况下，service和pod的IP仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到service在Node上暴露的NodePort上，然后再由kubeproxy通过边缘路由器 (edge router) 将其转发给相关的Pod或者丢弃，而Ingress就是为进入集群的请求提供路由规则的集合。 Ingress可以给service提供集群外部访问的URL、负载均衡、SSL终止、HTTP路由等。为了配置这些Ingress规则，集群管理员需要部署一个Ingress controller，它监听Ingress和service的变化，并根据规则配置负载均衡并提供访问入口。 Ingress的组成部分： Nginx：实现负载均衡到pod的集合。 Ingress Controller：从集群api获取services对应pod的ip到nginx配置文件中。 Ingress：为nginx创建虚拟主机。 Ingress的创建与管理请参见Ingress概述。 网络策略（NetworkPolicy） 网络策略（NetworkPolicy）是一种关于pod间及pod与其他网络端点间所允许的通信规则的规范。 NetworkPolicy资源使用标签选择pod，并定义选定pod所允许的通信规则，详细请参见NetworkPolicy。 网络底层基础设施 VPC 虚拟私有云（Virtual Private Cloud，以下简称VPC），是基于创建的自定义私有网络，不同的专有网络之间彻底逻辑隔离。可以为云服务器、云数据库和负载均衡等构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。 弹性负载均衡支持经典型、共享型两种负载均衡： − 经典型负载均衡：适用于访问量较小，应用模型简单的web业务。 − 共享型负载均衡：适用于访问量较大的web业务，提供基于域名和URL的路由均衡能力，实现更加灵活的业务转发。

本文主要介绍后端云主机概述。 绑定后端云主机时，请注意以下事项： 如果未开启跨VPC后端，请确保后端云主机和负载均衡器属于同一个VPC。 建议您选择相同操作系统的后端云主机，以便日后管理和维护。 您可以设置后端主机组内各后端云主机的转发权重。权重越高的后端云主机将被分配到更多的访问请求。 如果您开启了会话保持功能，那么有可能会造成后端云主机的访问量不均衡。如果出现了访问不均衡的情况，建议您暂时关闭会话保持功能，观察一下是否依然存在这种情况。 慢启动 开启慢启动后，负载均衡器向该模式下的后端云主机线性增加请求分配权重，当配置的慢启动持续时间期限结束后，负载均衡器向后端云主机正常发送完请求，并退出慢启动模式。使用慢启动功能时，请注意以下事项： 目前仅HTTP和HTTPS类型的后端主机组支持慢启动功能。 只对加权轮询算法生效。 只对于新增后端云主机开启慢启动，如果原来的主机组没有后端云主机，则新增的首个后端云主机慢启动也不生效。 在健康检查开启时，后端云主机在线后慢启动生效； 如果慢启动过程中健康检查抖动，慢启动计时不会停止。 在健康检查关闭时，慢启动立即生效。 后端云主机的慢启动结束之后，不会再次进入慢启动模式。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

本文向您介绍弹性IP服务的基本概念。 独享带宽 当您购买EIP时，无论是哪种计费模式，只要没有加入共享带宽，那么您的EIP使用的是独享带宽。 您可以根据业务需求随时调整独享带宽大小，带宽大小的修改即时生效。 独享带宽支持对单个EIP进行限速，该EIP只能被一个云资源（弹性云主机、NAT网关、弹性负载均衡等）使用。一般情况下，如果所有IP业务都是同时间进行公网访问，建议使用独享带宽。 共享带宽 共享带宽可以实现多个EIP共同使用一条带宽，针对多个EIP进行集中限速。 同一区域下的所有已绑定EIP的ECS、ELB等实例共用一条带宽资源，实现VPC和区域级别的带宽统一管理，同时方便运维统计和运营成本结算。 区域和可用区 什么是区域、可用区 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本章节主要介绍翼MapReduce的执行主机健康检查操作。 操作场景 如果某个主机节点的运行状态不是良好，用户可以执行主机健康检查，快速确认某些基本功能是否存在异常。在日常运维中，管理员也可以执行主机健康检查，以保证主机上各角色实例的配置参数以及监控没有异常、能够长时间稳定运行。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 勾选待操作主机前的复选框。 4. 在“更多”选择“健康检查”启动任务。 健康检查的结果可直接在检查列表左上角单击“导出报告”，选择导出结果。如果发现问题，可以单击“查看帮助”。

参数 默认值 推荐值 说明 acks 1 高可靠：all或者1高吞吐：1 收到Server端确认信号个数，表示producer需要收到多少个这样的确认信号，算消息发送成功。 acks参数代表了数据备份的可用性。常用选项：acks0：表示producer不需要等待任何确认收到的信息，副本将立即加到socket buffer并认为已经发送。没有任何保障可以保证此种情况下server已经成功接收数据，同时重试配置不会发生作用（因为客户端不知道是否失败）回馈的offset会总是设置为1。 acks1：这意味着至少要等待leader已经成功将数据写入本地log，但是并没有等待所有follower是否成功写入。如果follower没有成功备份数据，而此时leader又无法提供服务，则消息会丢失。 acksall或者1：这意味着leader需要等待ISR中所有备份都成功写入日志。只要任何一个备份存活，数据都不会丢失。min.insync.replicas指定必须确认写入才能被认为成功的副本的最小数量。 retries 0 结合实际业务调整 客户端发送消息的重试次数。值大于0时，这些数据发送失败后，客户端会重新发送。 注意，这些重试与客户端接收到发送错误时的重试没有什么不同。允许重试将潜在的改变数据的顺序，如果这两个消息记录都是发送到同一个partition，则第一个消息失败第二个发送成功，则第二条消息会比第一条消息出现要早。针对网络闪断场景，生产者建议配置重试能力，推荐重试次数retries3，重试间隔retry.backoff.ms1000。 request.timeout.ms 30000 结合实际业务调整 设置一个请求最大等待时间，超过这个时间则会抛Timeout异常。超时时间如果设置大一些，如127000（127秒），高并发的场景中，能减少发送失败的情况。 block.on.buffer.full TRUE TRUE TRUE表示当我们内存用尽时，停止接收新消息记录或者抛出错误。默认情况下，这个设置为TRUE。 然而某些阻塞可能不值得期待，因此立即抛出错误更好。如果设置为false，则producer抛出一个异常错误：BufferExhaustedException batch.size 16384 262144 默认的批量处理消息字节数上限。producer将试图批处理消息记录，以减少请求次数。 这将改善client与server之间的性能。不会试图处理大于这个字节数的消息字节数。 发送到brokers的请求将包含多个批量处理，其中会包含对每个partition的一个请求。较小的批量处理数值比较少用，并且可能降低吞吐量（0则会仅用批量处理）。 较大的批量处理数值将会浪费更多内存空间，这样就需要分配特定批量处理数值的内存大小。 buffer.memory 33554432 67108864 producer可以用来缓存数据的内存大小。如果数据产生速度大于向broker发送的速度，producer会阻塞或者抛出异常，以“block.on.buffer.full”来表明。 这项设置将和producer能够使用的总内存相关，但并不是一个硬性的限制，因为不是producer使用的所有内存都是用于缓存。一些额外的内存会用于压缩（如果引入压缩机制），同样还有一些用于维护请求。

本文介绍了数据库安全设置相关说明。 密码复杂度要求 RDSPostgreSQL实例要求数据库用户密码复杂度需要符合以下要求： 长度为832个字符。 由大写字母、小写字母、数字、特殊字符中的任意三种组成。 特殊字符为!@$%^&~()+。 创建用户建议 用户在使用CREATE USER或CREATE ROLE命令时，建议制定VALID UNTIL 'timestamp' 参数，设置用户密码的过期时间。 账户说明 您在创建RDSPostgreSQL实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 如果试图删掉、重命名、修改这些帐户的密码和权限，会导致实例出错，请谨慎操作。 Ⅱ类资源池实例系统账户 ctgadmin：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、恢复等操作。 ctgagent：高可用功能专用账号，用于高可用组件对实例进行相关操作。 ctgbackup：备份功能专用帐户，用于后台的备份。 ctgmonitor：监控采集专用账户，用于读取各种监控视图。 ctgproxy：数据库代理组件专用账号，用于数据库代理组件对实例进行相关操作。 Ⅰ类资源池实例系统账户 telepg：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查等操作。 repmgr：高可用功能专用账号，用于高可用组件对实例进行相关操作。 rdsorzdba：监控采集专用账户，用于读取各种监控视图。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本节介绍网络的用户指南:节点维度的网络配置。 使用场景 Cubecni网络插件会为节点额外添加网卡，用来构建容器网络。这些网卡，如eth1，默认使用配置项cubecniconfig配置的Pod子网和安全组，其中Pod子网为订购时选择的子网，安全组为订购时委托自动创建或用户选择的安全组。 可通过创建新的配置项，为特定节点或节点池配置单独的Pod子网和安全组，实现节点维度的容器网络配置。 如下场景，为特定节点配置独立的子网和安全组，以实现节点C的Pod独享NAT出口IP和带宽： 使用限制 1. 仅新建 的网卡会使用新配置的Pod子网和安全组，已创建的ENI会继续使用原有配置。若需配置节点维度Pod子网和安全组，建议为新节点 或节点池配置; 2. 该特性要求Cubecni版本不低于v1.1.6，且集群已配置资源委托。 操作步骤 1. 在命名空间kubesystem中创建名称为foo的ConfigMap。 a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择配置管理 > 配置项； d. 在配置项页面，命名空间选择kubesystem，单击创建配置项; e. 创建页面，配置项名称设置为foo，单击添加配置项，变量名设置为nodeconfig.json，变量值填入以下内容，将iaassubnets和securitygroups参数替换为实际值： plaintext { "action": "override", "iaassubnets": ["subnetjin7fmxxxx"], "securitygroups": ["sg6hxh19xxxx"] } 参数名 说明 action 值固定为override，默认为override，即子网/安全组配置会覆盖cubecniconfig的配置 iaassubnets 值为VPC子网ID列表。若配置多个子网，优先使用可用IP最多的子网；如无需修改，则无需配置iaassubnets，或值配置为null securitygroups 值为安全组ID列表。用于配置新建的Pod共享ENI，最多可配置5个；若无需修改，则无需配置securitygroups，或值配置为null 2. 节点配置标签 新建节点配置标签 创建节点池时添加节点标签，键设置为cubecniconfig，值设置为foo。新建节点池，详见节点池管理。 注意 节点池新增节点会使用foo指定的配置，不会更新存量节点已创建的网卡的安全组。 已有节点配置标签 a. 集群管理页面左侧导航栏，选择节点>标签 ，点击右侧对应节点的设置标签。 b. 在设置节点标签页面，选择自定义标签 ，点击添加标签。 c. 标签名设置为cubecniconfig，标签值值设置为foo，点击确认。 添加标签后，需重建cubecni插件： a. 集群管理页面左侧导航栏，选工作负载>守护进程。 b. 命名空间 选择kubesystem ，找到cubecni服务，点击右侧的重新部署。 c. 选择滚动重启 或快速重启 ，点击确认，当运行/期望Pod数量相等，说明重启成功。 注意 对于存量节点，不会更新已创建的网卡的安全组。 3. 检查配置是否生效 登录弹性云主机控制台，进入云主机实例详情页，可见弹性网卡配置的子网和安全组信息。

本节介绍云等保专区产品的专用术语。 术语 说明 :: cURL cURL是一个利用URL语法在命令行下工作的文件传输工具，可用于检测系统是否可以访问目标站点。 Dig Dig是一个在类Unix命令行模式下查询DNS信息（包括NS记录、A记录、MX记录等）的工具。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。 基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞扫描 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。 引擎 本文的“引擎”为扫描核心技术，即最终进行漏洞扫描工作的服务。 资产 即扫描器所扫描的主机、数据库、网站等。 DDoS 分布式拒绝服务攻击（Distributed Denial of Service Attack，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 EDR 端点检测与响应（Endpoint Detection & Response，EDR）是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。EDR是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。 认证 是一种信用保证形式。按照国际标准化组织（ISO）和国际电工委员会（IEC）的定义，由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范（TS）或其强制性要求的合格评定活动。 虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能够实现。 在计算机中创建虚拟机时，需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统，可以像使用实体机一样对虚拟机进行操作。 AES 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。 Apache Apache是一款Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 CC攻击 CC攻击（Challenge Collapsar Attack，挑战黑洞攻击）是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量假冒合法的请求，造成被攻击服务器资源耗尽，一直到宕机崩溃。 DES DES（Data Encryption Standard，数据加密标准）是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 HA 高可靠性（High Availability，简称HA）能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。 LACP LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的协议。 LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。链路聚合往往用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。 LDAP LDAP（Lightweight Directory Access Protocol，是轻量目录访问协议）是互联网上目录服务的通用访问协议。 LDAP服务可以有效解决众多网络服务的用户账户问题，LDAP服务器是用于查询和更新LDAP目录的服务器，包括用户账号目录。 MTU 最大传输单元（Maximum Transmission Unit，MTU）用来通知对方所能接受服务单元的最大尺寸，说明发送方能够接受的有效荷载大小。 SSL SSL（Secure Sockets Layer，安全套接字协议）及TLS（Transport Layer Security，继任者传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，它是一种路由容错协议，也可以叫做备份路由协议。 WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门。 黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP（Simple Network Management Protocol，简单网络管理协议）是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL（Structured Query Language，结构化查询语言）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。 Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

本章节介绍如何删除按需实例。 操作场景 对于“按需计费”模式的主实例或只读实例，您可根据业务需要，在关系型数据库“实例管理”页面手动删除来释放资源。（对于包年包月的主实例，您需要进行订单退订才可删除实例，详细操作请参见退订包周期实例）。 删除实例有如下约束： 执行操作中的实例不能手动删除，只有在实例操作完成后，才可删除实例。 “按需计费”类型的实例删除后将不再产生费用，自动备份会被同步删除，保留的手动备份会继续收取费用。 说明 删除主实例时，会同步删除其对应的只读实例，请您谨慎操作。 实例删除后，不可恢复，请谨慎操作。如需保留数据，请务必确认完成数据备份后再删除实例。 删除按需主实例 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面的实例列表中，选择需要删除的主实例，在“操作”列，选择“更多 > 删除实例”。 步骤 5 在“删除实例”弹框，单击“是”下发请求，稍后刷新“实例管理”页面，查看删除结果。 删除按需只读实例 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面的实例列表中，选择对应主实例，单击实例名称前的，可查看到该主实例下的全部只读实例。 步骤 5 选择目标只读实例，在“操作”列，选择“更多 > 删除实例”。 步骤 6 在“删除实例”弹框，单击“是”下发请求，稍后刷新“实例管理”页面，查看删除结果。

本小节介绍服务器安全卫士知管理类常见问题。 Agent启动、停止、重启的操作命令是什么？ Linux系统环境下，需进入/titan/agent目录，操作命令如下： Agent停止命令：./titanagent s Agent启动命令：./titanagent –d Agent卸载命令：bash installagent.sh discleanagent.sh Windows系统环境下，打开服务管理器，找到Titan Agent Service for Windows服务，右击该服务，即可对Agent进行启动、停止和重新启动操作，如下图： 非bash环境下，入侵功能是否可以使用？ 入侵功能中仅可疑操作功能和bash里的操作相关，故非bash环境入侵仅可疑操作功能可能受影响。 后门检测中隔离与删除的区别？ 隔离与删除的区别如下： 隔离把文件备份到了Agent安装目录下的隔离目录中并进行了加密（AES对称加密算法），防止其再次运行，之后对原路径下的后门进行删除，因此隔离后的文件是可以通过Agent下发还原指令进行恢复的。 删除则直接将原文件删除，并无备份，故删除操作是不可逆的，具备一定风险。 风险扫描耗时很久，此时点击其他界面是否会中断扫描任务？ 扫描任务为服务端后台运行，所以点击扫描后不会被中断，客户此时点击其他界面也不会影响扫描任务，还会在后台继续运行扫描。 审计功能正常，为何前台界面不显示？ 检查Agent所在的服务器时间与标准时间是否一致。