本页主要介绍云容器引擎产品的API使用中password字段加密的方法。 涉及的OpenAPI包括：纳管节点 通过API创建节点时password字段需要进行加密处理，具体方法如下： Java 以下是Java环境下对密码进行加密的示例步骤： plaintext import javax.crypto.Cipher;import java.security.KeyFactory; import java.security.PublicKey; import java.security.spec.X509EncodedKeySpec; import java.util.Base64; public class PasswordEncryptDemo { public final static String publicKeyWord "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCcX/slG/wUF6+qVw34VTW+gwFuVvHMHAPmu9jDn+jwED2A+i87CuYpvcjyYwPij41uS6SPZ/MSWDTO6f8/1YRs0Jbj1SIDNpRl/udTEbsPquFIqHSQSZsQseZS+j0HCAIwLUgMAJHW4AHw622Vgiirsm7gOY0qwnry1BmymiVXlQIDAQAB"; private static String encrypt(String password) throws Exception { Cipher cipher Cipher.getInstance("RSA"); PublicKey publicKey KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(Base64.getDecoder().decode(publicKeyWord))); cipher.init(Cipher.ENCRYPTMODE, publicKey); byte[] encrypts cipher.doFinal(password.getBytes("UTF8")); return Base64.getEncoder().encodeToString(encrypts); } public static void main(String[] args) throws Exception { String password "密码"; String encryptPassword encrypt(password); System.out.println(encryptPassword); }} GO 以下是GO环境下对密码进行加密的示例步骤： plaintext package mainimport ( "crypto/rand" "crypto/rsa" "crypto/x509" "encoding/base64" "encoding/pem" "fmt")const publicKeyword "BEGIN PUBLIC KEYnMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCcX/slG/wUF6+qVw34VTW+gwFuVvHMHAPmu9jDn+jwED2A+i87CuYpvcjyYwPij41uS6SPZ/MSWDTO6f8/1YRs0Jbj1SIDNpRl/udTEbsPquFIqHSQSZsQseZS+j0HCAIwLUgMAJHW4AHw622Vgiirsm7gOY0qwnry1BmymiVXlQIDAQABnEND PUBLIC KEY"func Encrypt(password string) string { publicKeywordByte : []byte(publicKeyword) block, : pem.Decode(publicKeywordByte) if block nil { fmt.Println("解析pem 失败") return "" } publicKeyInterface, error : x509.ParsePKIXPublicKey(block.Bytes) if error ! nil { fmt.Println("Failed to parse public key:", error) return "" } publicKey, ok : publicKeyInterface.(rsa.PublicKey) if !ok { fmt.Println("Public key is not type rsa.publicKey") return "" } ciphertext, err : rsa.EncryptPKCS1v15(rand.Reader, publicKey, []byte(password)) if err ! nil { fmt.Println("Encryption failed:", err) return "" } return base64.StdEncoding.EncodeToString(ciphertext)}func main() { fmt.Println(Encrypt("密码"))}

本节介绍云容器引擎的最佳实践:合理分配容器资源。 CPU和内存是节点重要的资源，分配不当时可能导致容器频繁重启或者被驱赶，甚至导致节点宕机。特别是内存这类不可压缩的资源。 Kubernetes 将运行的 Pod 分为不同的 QoS 类，QoS 类由 Pod 中容器的资源请求（request）和限制（limit）决定。当 Node 资源不足时，Kubernetes 会根据 QoS 类驱逐可驱逐的 Pod。此外，Pod 或因超过限制（limit）被 kubelet 终止，或因没有限制而导致节点 OOM。 Kubernetes QoS 类有Guaranteed、Burstable、BestEffort。 Guaranteed Guaranteed Pod 具有最严格的资源限制，且最不可能被驱逐。在这些 Pod 未超过其资源的limit，或没有可从 Node 抢占的低优先级 Pod 之前，它们不会被kill。即它们只能使用其指定的资源限制。Pod 被赋予 Guaranteed QoS 类的几个判断： Pod 中的每个容器必须有 CPU 和内存的 request 和 limit 对于 Pod 中的每个容器，CPU 和内存的 limit 必须分别等于 CPU 和内存的 request Burstable Burstable Pod 具有基于请求的资源下限保证，但不需要资源限制。如果未指定资源limit，则默认为节点容量。这允许 Burstable Pod 在资源可用时灵活地增加其资源。在由于节点资源压力导致 Pod 被驱逐的情况下，Burstable Pod 只会在所有 BestEffort Pod 被驱逐后才会被驱逐。Burstable Pod 可以包括没有资源 limit 或 request 的容器，因此可以尝试使用任意数量的节点资源。 Pod 不满足 QoS 类 Guaranteed 的判定依据 Pod 中至少一个容器有CPU或内存的 request 或 limit

本节介绍了:云容器引擎发布 Kubernetes 1.23版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.23 Changelog 1. FlexVolume弃用，推荐使用 CSI。 2. IPv4/IPv6 双栈网络 GA，使用双栈网路非强制要求。 3. HorizontalPodAutoscaler v2版本 GA，HorizontalPodAutoscaler autoscaling/v2beta2 API已弃用，建议使用 autoscaling/v2。 4. 通用临时卷功能 GA，此功能允许存储驱动程序动态供应临时卷，其生命周期与 Pod一致。 5. 跳过卷所有权变更功能 GA，此功能允许用户在 Pod 挂载存储卷时跳过递归地权限变更，从而加速 Pod 启动 6. PodSecurity 升级到Beta，取代已经弃用的 PodSecurityPolicy。Kubernetes 1.23中 PodSecurity 默认启用 更多信息请参考：Kubernetes 1.23 Changelog Kubernetes 1.22 Changelog 1. Ingress将移除 extensions/v1beta1 和 networking.k8s.io/v1beta1，Ingress影响7层路由转发能力，推荐使用 networking.k8s.io/v1 2. 资源 ValidatingWebhookConfiguration和 MutatingWebhookConfiguration admissionregistration.k8s.io/v1beta1 API将不再支持，继续使用老版本API将影响 Webhook的正常运行，建议使用 admissionregistration.k8s.io/v1 3. 资源 CustomResourceDefinition apiextensions.k8s.io/v1beta1 API将不再支持，继续使用老板本 API创建 CRD，将影响 Controller 的调协，建议使用 apiextensions.k8s.io/v1 4. APIService apiregistration.k8s.io/v1beta1已弃用，APIService影响 APIServer aggregator的路由，推荐更新为 apiregistration.k8s.io/v1 5. Kubernetes 发版节奏从一年4次改为一年3次 更多信息请参考：Kubernetes 1.22 Changelog

云应用引擎深度集成了 MSE 服务的微服务治理功能，通过此功能，可以更高效的管理您的应用。 功能介绍 微服务治理功能介绍 CAE 通过无缝集成微服务引擎 MSE（Microservices Engine），提供了强大的微服务治理能力。它不仅支持服务发现和配置管理，还实现了无损上下线、流量治理、系统防护消息灰度、全链路追踪、智能熔断、降级策略、同可用区优先等功能，从而显著提升服务响应速度与稳定性，同时简化架构运维。基于这些能力，MSE能够确保您的微服务应用高效、稳定地运行。 无损上下线功能介绍 无损上线 对于任何一个线上应用来说，发布、扩容、缩容、重启等操作不可避免。在应用启动各阶段，无损上线能够提供相应的保护能力。微服务的 Provider 服务只要注册到注册中心即可被 Consumer 调用，但此时，Provider 可能还需要进一步的初始化，例如数据库连接池的初始化等。因此，对于流量比较大的微服务应用，推荐开启无损上线功能。 无损下线 线上应用在服务更新部署过程中，需要尽量保证客户端无感知，即从应用停止到重启恢复服务的阶段不能影响正常的业务请求。由于微服务应用自身调用特点，在高并发下，服务提供端应用实例的直接下线，会导致服务消费端应用实例无法实时感知下游实例的状态，因而出现继续将请求转发到已下线的实例，导致请求报错，进而造成流量损失。因此，在应用执行部署、停止、回滚、缩容和重置时，需要通过无损下线配置来保证应用正常关闭。

添加公网ELB访问 在云应用引擎部署应用后，默认无法从公网访问应用。为解决上述问题，您可以为应用绑定公网ELB，实现通过一个固定的公网IP访问应用，并实现应用实例间的负载均衡。 1. 在应用访问设置 区域中，选择基于 ELB 访问页签。 2. 单击添加公网ELB访问。 3. 为应用绑定公网ELB实例：您可以新建ELB实例或绑定已有ELB实例。 4. 参考以下说明，至少配置一个监听。如果您需要添加多条监听，请单击添加下一条监听 配置项 说明 示例值 HTTP协议 HTTP端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 HTTP端口 ：80 容器端口 ：8080（Web服务的默认端口） HTTPS协议 HTTPS端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 SSL证书：SSL协议证书，在下拉列表中选择已创建的SSL证书。 容器端口：进程监听端口，由程序定义。 HTTPS端口 ：443 SSL证书：在下拉列表中选择已创建的SSL证书。 容器端口 ：8080（Web服务的默认端口） TCP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：21 容器端口 ：8080（Web服务的默认端口） UDP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：49152 容器端口 ：8080（Web服务的默认端口） 5. 完成配置后，单击确定。 6. 等待ELB绑定完成，在公网访问地址区域，可以查看应用的IP地址和端口。

本实践将为您介绍如何使用未分配容量扩展逻辑卷的容量。 操作场景 当逻辑卷容量不能满足用户需求时，可以扩展逻辑卷的容量。 本指导假设您前期挂载了两个大小为10GB的数据盘，创建了一个卷组，并使用15GB创建了一个逻辑卷，还有5GB未分配的空间。此时逻辑卷容量已不能满足您的使用需求，需要从卷组未分配的容量为逻辑卷扩容4GB。 注意 在进行扩容时，请确保需要扩容的逻辑卷所在的卷组有足够的空闲空间。 操作步骤 1. 以root用户登录弹性云主机。 2. 执行 lvextend L +增加容量 逻辑卷路径，扩展逻辑卷的容量。其中，增加容量的值应小于组卷剩余可用空间大小，单位可以选择“MB”或“GB”；逻辑卷路径处填写待扩容的逻辑卷的路径。 此处执行命令lvextend L +4GB /dev/vgdata/lvdata，回显信息如图所示： 此时只是扩展的逻辑卷的容量，在其之上的文件系统也要随之进行扩展才能使用。 3. 执行 resize2fs 逻辑卷路径，扩展文件系统的容量。此处执行命令resize2fs /dev/vgdata/lvdata，回显信息如图所示： 4. 执行 df h 命令，查看文件系统容量是否增加。具体回显如图所示： 可以看到，文件系统“/dev/mapper/vgdatalvdata”的容量相比之前增加了4GB。

本文介绍如何处理linux操作系统云主机中buffer和cache占用内存问题。 问题描述 系统长期运行后，free命令查看系统内存，发现剩余内存不足，大部分是buffers和cached。 问题分析 在Linux操作系统中，缓冲（buffer）和缓存（cache）占用了部分内存。这些是操作系统用于提高文件系统和磁盘访问性能的正常数据结构。然而，如果你发现内存占用过高，可能需要采取一些措施来优化系统。 在 Linux 的内存管理中，buffer是Linux内存中的Buffer cache。cache是Linux内存中的Page cache。 · Buffer cache：主要是当系统对块设备进行读写的时候，对块进行数据缓存的系统来使用，即对块的操作会使用buffer cache进行缓存。 例如：当对一个文件进行写操作的时候，page cache 的内容会被改变，而buffer cache则可以用来将page标记为不同的缓冲区，并记录是哪一个缓冲区被修改了。内核在后续执行脏数据的回写writeback时，就不用将整个page写回，而只需要写回修改的部分可。 · Page cache：主要用来作为文件系统上的文件数据的缓存来用，尤其是针对当进程文件有read/write操作的时候。Linux默认会将读取的文件内容缓存在内存中，方便后续使用。 Linux默认使用的是lazy模式，即内存如果还够用，则不会主动释放当前的占用的buffer和cache，如果需要内存，则会自动释放buffer和cache，所以正常情况下，cache占用高不会对系统造成影响。

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

本节介绍了通过puttygen.exe工具创建的密钥对,导入管理控制台失败怎么办的问题描述、可能原因、处理方法。 问题描述 通过puttygen.exe工具创建的密钥对，在导入管理控制台使用时，系统提示导入公钥文件失败。 可能原因 公钥内容的格式不符合系统要求。 当用户使用puttygen.exe工具创建密钥对时，如果使用puttygen.exe工具的“Save public key”按钮保存公钥，公钥内容的格式会发生变化，不能直接导入管理控制台使用。 处理方法 使用本地保存的私钥文件，在“PuTTY Key Generator”中恢复内容格式正确的公钥文件，然后再将该公钥文件导入管理控制台。 1. 双击“PUTTYGEN.EXE”，打开“PuTTY Key Generator”。 图 PuTTY Key Generator 2. 单击“Load”，并在本地选择该密钥对的私钥文件。 系统将自动加载该私钥文件，并在“PuTTY Key Generator”中恢复格式正确的公钥文件内容，如下图所示，红框中的内容即为符合系统要求的公钥文件。 图 恢复公钥文件内容 3. 复制红框中的公钥内容，并将其粘贴在文本文档中，以.txt格式保存在本地，保存公钥文件。 4. 将公钥文件导入管理控制台。 a. 登录管理控制台。 b. 选择“计算 > 弹性云主机”。 c. 在左侧导航树中，选择“密钥对”。 d. 在“密钥对”页面，单击“导入密钥对”。 e. 将“.txt”格式文本文档中的公钥内容粘贴至“Public Key Content”的空白区域，并单击“OK”，导入公钥文件。

本节为Oracle RAC搭建最佳实践云网络资源创建进行说明。 VPC创建 VPC虚拟网络的创建，先设定VPC网段（演示中设定为192.168.0.0/16），子网配置中可以先将Oracle RAC的public network子网一并创建（示例中为192.168.0.0/24）。 继续为Oracle RAC创建private network子网（示例中为192.168.100.0/24）。 单击“下一步”后，确认创建信息无误，勾选“我已阅读”并单击“立即创建”按钮。 虚拟IP创建 进入已创建的public network子网 在公开服务子网中申请虚拟IP地址 申请的虚拟IP可以在绑定的实例之间浮动。 示例创建的是集群节点一的VIP地址：192.168.0.41 按相同流程操作，创建节点二的VIP地址：192.168.0.42 创建提供服务的SCAN IP：192.168.0.50

本节介绍云等保专区产品的漏洞扫描配置类问题。 漏扫扫描如何进行接入配置？ 1. 用户登录后先进行资产管理设置，添加资产，便于后续对资产进行扫描，在菜单栏选择“ 资产管理 > 资产列表 ”，选择主机资产页签，点击“新增”。 在弹出的新建主机资产对话框中编辑相关信息，点击“提交”。 2. 接着创建扫描策略，制定扫描策略模板，使扫描任务更具针对性，在菜单栏选择“ 模板中心 > 漏洞模板 ”，选择主机策略页签，点击“新增”。 进入新建主机策略模板页面，编辑策略模板名称，选择策略规则（策略规则从等级、目标、类型三个维度进行分类），勾选对应的策略，点击“提交”。 3. 然后创建扫描任务，开启扫描任务后对于主机漏洞进行扫描，在菜单栏选择“ 任务管理 > 任务列表 ”，进入任务列表页面，点击“新增”，页面跳转至创建任务页面，具体操作请参见创建任务。 4. 最后扫描结束后，导出扫描报告，针对扫描结果分析资产安全风险，菜单栏选择“报告管理”，进入报告管理页面，点击“新增”。 进入新建报告页面，编辑相关信息，点击“输出报告”。

关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置 刷新策略 1 关闭本地组策略编辑器，选择“开始 > 运行”，执行 gpupdate /force 。 2 刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。

问题描述 在升级Linux内核后，用户可能会遇到NVIDIA驱动不可用的问题。这种情况通常表现为以下错误信息： 错误1：执行 nvidiasmi 时出现以下错误： 错误信息： Failed to initialize NVML: Driver/library version mismatch 说明： 该错误表示NVIDIA驱动和库版本不匹配，通常是因为内核升级后旧版驱动不再适用于新内核。 错误2： 执行 nvidiasmi 时出现以下错误： 错误信息： NVIDIASMI has failed because it couldn't communicate with the NVIDIA driver 说明： 该错误表示NVIDIA驱动未正确加载或未安装，导致无法与NVIDIA硬件进行通信。 解决方法 1.检查当前内核版本 uname r 2.查看安装驱动时的内核版本 RedHat系（CentOS）系统执行 find /usr/lib/modules name nvidia.ko Debian类（Ubuntu）系统执行 find /lib/modules name nvidia.ko 如果当前内核版本与安装驱动时的内核版本不一致，则确认为内核升级后导致的驱动不可用。 3.移除现有NVIDIA驱动模块 依次执行以下命令，以确保所有与NVIDIA相关的驱动模块已被移除： rmmod nvidiadrm rmmod nvidiamodeset rmmod nvidia 4.查看GPU信息 执行以下命令以查看当前GPU的状态： nvidiasmi 5.检查回显结果 如果命令输出正常，且能够显示GPU信息，则问题已修复。 如果输出仍然报错，请参考以下步骤进行进一步处理。 如果业务依赖于新版本内核，则需要参考官方文档卸载当前驱动，并在该内核下重新安装驱动。 如果不小心升级了内核驱动，而当前的驱动与新版本内核不兼容，可以通过重启云主机并使用旧版本内核登录，从而恢复驱动的正常运行。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则 待签名字符串 需要进行签名的Header排序后的组合列表 + "n" + 排序的query + "n" + toHex(sha256(原封的body)) 排序的header例子： 假设您需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果您加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z。 1、先是拿您申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 2、拿ktime作为密钥，您申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据，算出kdate。

本文介绍如何创建服务。 云容器引擎为满足多种复杂场景下应用间的互相访问，提供了不同的访问方式，从而满足不同场景提供不同访问通道。本平台暂时支持的服务类型（Service）包括：集群内访问（ClusterIP）和节点访问（Nodeport）两种类型，集群内访问表示可以被同个集群内的其他应用访问，节点访问可以将service暴露给外部使用。 操作步骤 1.单击左侧控制台导航栏的【资源管理】>【网络管理】，将默认进入【服务】管理页面； 2.点击【创建服务】，进入服务创建页面，惨照下表设置参数，其中带“”的参数为必填参数； 参数 参数说明 服务名称 新建服务的名称 集群 服务所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 服务所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 关联应用 选择需要添加Service的工作负载（如果还未创建应用请优先创建有状态应用或无状态应用） 访问方式 “集群内访问 ( ClusterIP )”、“节点访问（Nodeport）” 端口映射 . 协议：请根据业务的协议类型选择TCP、UDP . 容器端口：应用程序实际监听的端口 . 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用 . Nodeport: 绑定到节点上的端口，默认取值范围为3000032767 . 添加端口配置：点击添加端口配置新增一行端口映射 3.单击【创建】，等待创建成功，创建成功后将自动返回服务列表页，可对已经创建的服务可以编辑YAML、更新、删除的操作。

本文主要介绍工作负载概述。 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 云容器引擎CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器（container）、存储资源（volume）、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。通常这种场景下应用包含一个主容器和几个辅助容器（SideCar Container），例如主容器为一个web服务器，从一个固定目录下对外提供文件服务，而辅助容器周期性的从外部下载文件存到这个固定目录下。 图 Pod 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment和Job。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。

本文为您介绍如何通过快照对OpenSearch实例进行恢复。 利用已有快照通过恢复功能将实例恢复至指定快照状态 约束限制 1. 仅限恢复至当前实例或同一资源池内实例，不支持跨资源池恢复。 2. 实例正在恢复中时不支持重启、删除当前实例，也不支持删除正在恢复的快照。 前提条件 快照列表中快照状态为“已生成”，实例状态为“运行中”。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要恢复的实例，进入实例详情，在备份管理的快照列表中找到需要恢复的快照，点击“备份恢复”。 2. 选择要恢复的目标实例，目标实例须在运行中，不能正在执行处理任务或异常状态。 3. 填写恢复的参数，支持全部实例恢复和指定部分索引恢复。指定索引恢复时，需要先确保实例中没有同名称的索引存在。支持使用“”匹配多个索引，例如“index ”表示备份名称前缀时index的所有索引数据。 4. 支持对恢复的索引进行重命名，请填写重命名匹配模式的正则表达式，在恢复时，将根据文本框中定义的过滤条件去筛选快照中符合条件的索引。同时，您需要填写重命名替换模板，将根据上述匹配到的索引以您指定的规则模版进行重命名恢复。填写框支持0～1024个字符，不支持大写字母、空格以及字符" /?。 5. 单击确定开始恢复，当恢复信息对应记录变为“已完成”即恢复成功，您可通过索引管理查看对应索引的恢复情况。

本文为您介绍如何通过配置管道信息，从指定数据源（input）迁移数据到目标目的端（output）。 Logstash实例通过配置管道定义数据处理方案，从指定的数据源（input）迁移数据到目标目的端（output）。 约束限制 创建的管道文件大小不能超过50KB。 前提条件 创建管道前，必须先获取数据源和目的端的服务器或集群信息，例如IP地址、用户名、密码等。 创建管道 1. 登录云搜索服务管理控制台。 2. 左侧导航栏选择“Logstash实例管理”，进入实例列表页面。 3. 在实例列表，单击实例名称，进入实例基本信息页面，在左侧导航栏选择“管道管理”，进入管道管理页面。 4. 单击右上角“新建管道”，进入新建管道页面，编辑管道文件&参数。 参数 说明 管道名称 自定义管道名称，实例内不可重复 管道描述 作业管道的描述信息，非必填 管道工作线程数 并行执行管道的Filters和Outputs阶段的工作线程数。 管道批处理大小 每个批次处理的最大事件数量 管道批处理延迟 当管道批处理大小不满足时，每个批次最大的等待时间，单位为毫秒 队列类型 用于事件缓冲的排队模型，可选值为： memory：基于内存的队列 persisted：基于磁盘的持久化队列 队列最大字节数 当选择 persisted 队列类型时，队列中可存放的最大字节数量，需确保该值小于实例单节点的磁盘容量 队列检查点写入数 当选择 persisted 队列类型时，在强制执行检查点时已写入的最大的事件数量，若设置为0，则表示无限制 编辑完成的管道需要单击保存或者保存并部署，部署后的管道才会生效。

场景四：在线教育 在线教育场景为老师与学生提供实时互动的视频教育体验，需要在边缘侧提供区域间稳定互联的低时延通信链路，从而有效支撑师生间多点对多点实时互动。ECX具有以下优势： 低时延：用户就近接入边缘计算节点，最大限度减少公网损耗。 弹性灵活：新业务敏捷启动，有效应对业务洪峰。 场景五：自建CDN 当前互联网企业或服务商自建CDN网络时，大多采取租赁IDC的模式，需要建设和维护遍布多地域的大量站点。ECX提供依托中国电信国内的边缘算力网络，具有丰富的机房、网络资源优势，以及全局管理和自动化运维能力，帮助用户快速搭建和维护CDN网络。 如何申请更多节点开通和查看权限？ 请您提前准备好您的业务场景、资源需求规模、资源分布等信息，联系您的客户经理，或者提交客服工单，或者直接拨打客服热线将您的需求告知相关人员，审核通过，权限开放后会有运营人员联系您。 ECX支持开放边缘云节点权限，提供专享节点，亦或按您的需求新增建设节点。 ECX虚拟机支持自定义规格吗？ 支持自定义规格，例如2vCPU 6GB内存。您可以联系您的客户经理，或者提交客服工单。一般建议您使用内存GB数量为vCPU核数的2倍或4倍，以便实现较高性价比。 ECX实例带宽资源有哪些类型？ ECX实例带宽有单线、三线、BGP资源，主要以电信线路为主，不同集群资源不同。如需三线、BGP资源您可以联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。

本节介绍了虚拟机如何通过NAT网关配置实现公网互访。 虚拟机可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节内容主要介绍通过NAT网关实现公网互访。 NAT网关为虚拟私有云（Virtual Private Cloud，VPC）内的计算实例提供网络地址转换服务，实现多个虚拟机使用相同的弹性IP访问Internet或提供互联网接入服务。 NAT网关支持设置SNAT规则，即虚拟机访问公网，出方向访问；也支持设置DNAT规则，外部访问虚拟机，入方向访问。 前提条件 已创建VPC网卡虚拟机。 已创建相同VPC的NAT网关。 已创建空闲的公网IP。 虚拟机通过NAT网关访问公网 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网IP&带宽>公网IP】，在【IP列表】选择空闲状态的IP，单击【操作>绑定】。 3. 在【公网IP绑定】界面，实例类型选择【NAT网关实例】，选择需要绑定的NAT网关，单击【提交】完成弹性公网IP绑定NAT网关。 4. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关，单击【操作>设置规则】进入网关详情。 5. 在网关详情页，选择【SNAT规则】页签，单击【SNAT规则】，弹窗【添加SNAT规则】页面。 6. 在【添加SNAT规则】页面，子网需要选择与虚拟机VPC网卡相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 7. 在【SNAT规则】页签可以查看已添加的规则。 8. 登录虚拟机，输入账号密码，ping测公网可ping测成功。

本节主要介绍功能特性 微服务引擎是微服务应用的云中间件，可为用户提供注册发现、服务治理、配置管理等企业级应用服务能力。 服务注册与发现 微服务引擎的注册发现中心Apache ServiceComb Service Center是一款restful风格的、高可用无状态的服务注册发现中心，提供微服务发现和微服务管理功能。服务提供者可以将自身的实例信息注册到注册发现中心，以供服务消费者发现并使用。 微服务治理 提供熔断、隔离、限流、负载均衡等微服务治理能力。微服务架构存在一些常见的故障模式，通过这些治理能力，能够减少故障对于整体业务的影响，避免产生雪崩效应。 服务配置管理 配置管理可为所有微服务提供统一的配置管理视图，有效降低配置管理的复杂性，搭配服务治理控制台，可在微服务运行态对微服务的行为进行调整，满足不升级应用即可适配业务场景变化的业务诉求。 灰度发布 为保障新特性平稳上线，可以先选择少部分用户试用，待新特性成熟以后，再让所有用户使用。微服务引擎的灰度发布功能可以保证整体系统的稳定，在初始灰度的时候就可以发现、调整问题，降低版本升级风险。 微服务仪表盘 微服务引擎可将有关联的微服务间调用依赖关系进行可视化展现，并提供各微服务实例的接口运行统计，如吞吐量、时延和调用成功率等指标，并集成在实时监控仪表盘中。

如果已添加的数据库服务器的用户名和密码已修改或者访问数据库的用户名和密码配置有误，您可以参考本章节进行重新配置。 前提 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已添加数据库资产。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在需要编辑的数据库资产所在行的“操作”列，单击“编辑”。 6.在系统弹出编辑数据库对话框中，修改数据库服务器的用户名或密码。 7.点击“确定”。修改完成后，数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的数据库。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

使用场景 企业拥有大量技术文档、标准操作流程（SOP）和产品资料，分散在各部门和员工的本地电脑或邮件中。新员工入职时需要花费大量时间查找资料，而老员工在编写技术方案时也常因缺乏最新资料而反复询问。部门间的文档共享和版本控制也存在问题，经常出现使用旧版文件导致的生产事故或质量问题。 用户痛点 文档分散在不同部门和个人手中，缺乏统一的存储和检索机制，员工需要花费大量时间搜索文件，降低了工作效率。 版本控制困难，多人协作修改同一文档时容易出现版本不一致，导致决策失误或返工。 知识沉淀不足，随着人员流动和离职，重要的操作指南、经验分享可能随之流失，新员工难以快速获取关键知识，影响了团队整体能力。 产品优势 云空间为企业提供了统一的文件存储空间，所有文档、资料集中存储在云端，支持按账号设置访问权限，提高了文档安全性和访问便利性。 在线文档编辑功能允许多人同时编辑同一文档，实时保存并自动生成版本历史。提供版本对比功能，使管理者可以追溯并审核，提高了文档管理的规范性。 场景4：构建活水知识库 使用场景 在传统办公模式下，办公消息分散在不同的聊天窗口中，上传的文件也可能存放在员工个人电脑、不同的云盘文件夹或邮件附件里，造成很多隐形知识的流失。

本文介绍什么是RBI云端浏览器。 什么是远程浏览器隔离（RBI） Web浏览器是整个网络环境中最广泛应用的软件之一，因浏览器漏洞导致的网络安全事件层出不穷，同时浏览器漏洞的存在是难免的，往往是通过事后修补都方式，都依赖人员意识。远程浏览器隔离（RBI）主要解决Web浏览器访问问题，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。 当用户使用浏览器访问网页时，Web隔离系统利用RBI技术，将网页内容加载到远端浏览器上，在远端的浏览器上执行渲染后，将渲染的结果以图像的方式传到用户端浏览器上显示。 可管控限制用户在浏览器内执行有风险的操作，包括限制下载、上传、复制粘贴、键盘输入和打印功能。 零信任可安全连通内网进行身份认证、权限管控，提供完整链路访问。

完成创建 点击创建按钮完成知识库的添加。 获取 RAGFlow 配置信息 通过 CAE 部署 RAGFlow 后，需登录 RAGFlow 平台提取以下配置信息。 获取 Endpoint 1. 点击 RAGFlow 右上角用户头像，进入个人设置/账户管理页面。 2. 找到 API 部分，查看基础请求地址 API Server ，即为 Endpoint。 获取 API 密钥 1. 在 RAGFlow 个人 API 设置页面中，找到 API KEY。 2. 复制已有的 API KEY，如果没有创建过，点击 Create new key 按钮进行创建。 获取数据集 ID 1. 点击 RAGFlow 顶部菜单栏的 Knowledge Base。 2. 在列表中找到您想要关联的数据集，点击进入。 3. 检查浏览器地址栏的 URL，或在页面的配置信息栏中找到该数据集的 UUID，即为 数据集 ID。 常见问题 没有 RAGFlow 知识库怎么办？ 可前往云应用引擎(CAE)应用中心部署 RAGFlow 应用，部署完成后即可在知识库页面添加。 调用知识库失败怎么办？ 确认已在 CAE 完成 RAGFlow 应用部署。 确认 Endpoint 地址可以正常访问，确保 AgentEngine 服务所在的环境能够正常访问该地址。 检查 API 密钥是否正确且有效。 检索结果不准确怎么办？ 建议知识库所采用的 Embedding 模型与 Agent 实际使用的 LLM 在语义理解能力上保持匹配，以获得最佳的检索召回效果。 尝试调整检索配置中的相似度阈值和向量相似度权重参数。

本章节为您介绍事件下载功能模块。 云WAF将所有在防护事件模块下载的事件任务统一保存在事件下载中，用户可在事件下载列表中查看任务名称、事件条数、所属实例、文件大小、事件时间范围、创建时间、任务状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 已经创建事件下载任务 查询事件下载任务 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 事件下载”，进入事件下载页面。 5. 在事件下载列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 实例选择 选择需要下载事件报告所属的实例，默认展示所有实例。 任务名称 根据任务名称搜索要下载的事件报告。 创建时间 选择需要搜索的事件报告下载任务的创建时间。 下载防护事件 说明 下载时，核心 Web 攻击事件、CC 攻击事件、智能 BOT 事件、IP / 地域黑名单、攻击惩罚每类日志会单独生成一个 CSV 文件，每个文件一次最多支持导出 100 万条日志，若日志量存储不足 100 万条，将会按照存储实际数量导出，日志量过大时耗时较长请耐心等候。 在查询防护事件模块[添加下载任务](

态势感知（专业版）提供数据消费功能，支持通过客户端实时消费数据。 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据，是对全量数据的顺序读写。 开启数据消费 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，单击目标管道名称后的“更多> 数据消费”，进入数据消费页面。 6. 在数据消费页面中，单击当前状态后的，开启数据消费。 开启后，将显示消费配置信息，具体说明如下表所示。 参数名称 参数说明 当前状态 当前管道中数据消费配置状态。 管道名称 当前数据管道的名称。 订阅器 系统预制的订阅模式，决定数据如何传递给消费者。 访问节点 当前数据的访问节点。 相关操作 数据消费开启后，如需关闭，则可在数据消费页面，单击“当前状态”后的，关闭数据消费。

本节介绍如何解除数据集加速。 当不再需要使用加速数据时，可以通过解除加速来释放存储资源。 解除加速后，将同步删除数据源配置资源（Dataset）、加速引擎资源（Runtime）、预热资源（DataLoad），本地缓存数据将自动清理。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 确保存储插件cstorcsi运行正常。 数据集已开启数据加速。 确认已没有业务资源在使用加速数据集。 约束与限制 解除加速将清理缓存数据，业务无法再使用加速功能，请谨慎操作。 解除加速前请确认已没有业务资源在使用加速数据集，否则无法执行解除。 操作步骤 1. 解除加速 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择数据集； 进入数据集详情页 > 版本： 数据集版本列表中，对于已加速数据集，开放“解除加速”入口。点击“解除加速”，将开启清理操作。 解除加速完成，数据集加速状态将置为“未加速”。 2. 解除加速失败 Cannot decelerate, pods [XXX] are using PVC fluiddsXXX 该错误由于检查当前仍有应用在使用加速数据集导致。可根据提示pod确认是否要解除加速，如仍需解除，需首先释放占用资源，再重试解除即可。

子账号使用流程 前置条件 子账号为IAM普通用户角色且已登录到训推智算服务平台 子账号使用流程 若子账号为IAM管理员角色，则其拥有全部操作权限，操作流程和主账号别无二致，故角色为IAM管理员的子账号使用流程参见主账号使用流程章节；角色为IAM普通用户的子账号，使用流程如下： 子账号的使用流程主要是为了进行任务作业，具体步骤如下： 流程 子任务 说明 详细指导 数据集准备与处理 创建基础数据集 可上传基础数据集到ZOS或HPFS 基础数据集 数据集准备与处理 创建标注数据集 创建标注数据集，可对数据集进行标注，并发布为新的数据集 标注数据集 数据集准备与处理 数据清洗 可以对数据 数据处理 镜像准备 预置镜像 预置镜像即平台预先设置的完整镜像，可直接用于创建任务时使用 预置镜像 镜像准备 自定义镜像 可以通过开发机自主制作镜像或通过天翼云容器镜像服务将镜像服务内的容器共享给训推智算服务平台 [自定义镜像](

本文主要介绍如何安装一键式重置密码插件(Linux) 操作场景 为了保证使用生成的镜像创建的新云主机可以实现一键式重置密码功能，建议您安装密码重置插件CloudResetPwdAgent，可以应用一键式重置密码功能，给云主机设置新密码。 操作步骤 1.下载一键式重置密码插件CloudResetPwdAgent。 说明 虚拟机需要绑定弹性公网IP才能自动更新一键式重置密码插件。 下载并解压软件包CloudResetPwdAgent.zip。 32位操作系统下载地址 64位操作系统下载地址 2.执行以下命令，解压软件包CloudResetPwdAgent.zip。 unzip o d 插件解压目录 CloudResetPwdAgent.zip 安装一键式重置密码插件对插件的解压目录无特殊要求，请自定义。例如插件解压的目录为“/home/PwdAgent/test”，则命令如下： unzip o d /home/PwdAgent/test CloudResetPwdAgent.zip 3.安装一键式重置密码插件。 a.执行以下命令，进入文件CloudResetPwdUpdateAgent.Linux。 cd CloudResetPwdAgent/CloudResetPwdUpdateAgent.Linux b.执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh c.执行以下命令，安装插件。 sudo sh setup.sh d.执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status service cloudResetPwdUpdateAgent status 如果服务CloudResetPwdAgent和CoudResetPwdUpdateAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

本章节主要介绍如何查看天翼云物理机的创建状态。 操作场景 用户创建物理机服务器后，可以通过“申请状态”栏查看任务的创建状态。创建物理机服务器的任务可以包括创建物理机服务器资源、绑定弹性公网IP、挂载云硬盘等子任务。 申请状态栏的任务状态包括如下两类： 处理中：指系统正在处理的请求。 处理失败：指未能成功处理的请求。对于处理失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（BMS.3033）创建系统卷失败。” 本节介绍如何查看物理机服务器的申请状态以及申请状态栏的提示信息说明。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机服务器页面。 3. 常用操作“开机、关机、重启、删除”的右侧即为“申请状态”，用户执行创建物理机服务器操作后，申请状态栏将显示该任务的创建状态。 图 申请状态 4. 单击“申请状态”栏对应的数字，即可查看“处理中”的任务和“处理失败”任务的详情，查看物理机服务器的创建状态。 图 申请状态详情 说明 如果用户发现申请状态栏显示创建物理机服务器的任务失败，而物理机服务器列表中显示该服务器已创建成功，关于此问题请参见

APM适合多种运维监控场景,此篇例举部分应用场景如下。 场景一：定位应用性能瓶颈与故障异常 场景说明 随着业务不断发展，业务逻辑日益复杂，导致应用性能问题分析与定位日益艰难，给监控运维带来了巨大的挑战： 应用之间的依赖关系复杂，难以梳理。 调用链路长，排查和定位群体困难。 接口调用、数据库调用关系复杂，管理难度大。APM提供了大型分布式应用的异常诊断能力，当应用出现请求失败或性能下降时，通过应用拓扑、调用链、性能指标监控等能力组合，可以帮助用户快速定位问题。 业务价值 应用拓扑展示：自动梳理业务应用，以拓扑图的方式全面展示相关应用调用关系。 丰富的指标监控：提供包括JVM、资源监控、Netty内存等基础监控；Kafka、RocketMQ等消息监控；Mysql，redis，es等数据库监控；httpClient、grpc等调用监控。 慢SQL分析：通过自定义的慢查询阈值、结合SQL的调用频次，获取导致数据库性能下降的不规范的SQL语句。 告警：针对接口响应时间、异常调用、数据库、JVM等性能指标做一定阈值的告警，先于客户之前发现并解决问题。 场景二：容器运维监控 场景说明 众所周知，Prometheus 是容器场景的最佳监控工具，但自建 Prometheus 对运维人力有限的中小企业成本过高，对业务快速发展的企业又易出现性能瓶颈。因此使用云托管 Prometheus 已成为越来越多上云企业的首选。