在应用的发布、重启过程中，不可避免的会造成流量的损失，可能会因为服务没有预热而出现抖动，或因为服务没有完全初始化之前就注册在注册中心导致访问失败。微服务治理提供了服务上线的保护能力，提供服务预热、延迟注册服务的能力解决流量损失问题。 使用无损下线 默认情况下，当应用开启服务治理后即可享受无损下线功能，无需额外操作 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 无损上下线 服务预热 应用在启动后，由于内部资源还未彻底初始化，直接处理大流量可能会导致出现请求阻塞或报错的情况。在应用刚启动的一段时间内，通过小流量预热的方式使应用完成内部资源的初始化，这样可以有效的避免应用上线后出现的抖动问题。 预热参数说明： 参数 说明 预热时长（秒） 应用实例下一次启动的预热时间，默认预热时长为120秒。服务预热时长设置范围为0~86400秒（即24小时）。 预热曲线 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。预热曲线设置范围为0~20。

本文主要介绍散点图配置。 散点图是一种在直角坐标系平面上，通过数据点展示两个变量关系的图表。每组数据分别对应X轴和Y轴的坐标值，点的位置、分布和密集程度可用于判断两个变量之间的相互影响程度。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击散点图图。 6. 结果将以散点图图的形式展示。 配置参数 查询分析配置 参数 说明 图表名称 支持自定义图表名称。 x轴字段 选择目标日志字段作为X轴。 y轴字段 选择目标日志字段作为Y轴。 分类列 选择用于数据分类的日志字段。 点大小列 选择一个字段，将根据该字段的值动态设置点的大小。 图形配置 参数 说明 线宽 设置线的宽度。 透明度 设置透明度 点大小 设置点的大小。 若您设置了点大小列，则此处的点大小设置不会生效。 形状 设置点的形状（圆形、方形和三角形）。

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编排工作流，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编排工作流，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 plaintext { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

本节介绍了：云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规格流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

本节介绍云容器引擎的最佳实践：容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

本节介绍了云容器引擎的最佳实践： 通过配置kubeconfig文件实现集群权限精细化管理。 集群权限精细化管理的背景 云容器引擎默认给用户的kubeconfig文件对集群操作的权限相当于root级别，这样的权限级别对于某用户来说过大，很不便于对集群的精细化管理。为了达到对集群精细化管理的目标，我们可以通过kubeconfig设置特定的用户，然后给用户赋予集群的部分操作权限（如：增、查、改）。 注意事项 下面配置步骤操作前，请先确保您的机器上有kubectl工具，若没有请到社区下载与集群版本对应的或者最新的kubectl。 基于Role实现集群权限精细化管理的配置步骤 说明 下述示例创建一个用户，并且该用户只能查看default下的Pod，不能查看其他namespace下的Pod且不能删除default下的任何Pod。 1. 配置ServiceAccount，名称为testsa，命名空间为default kubectl create sa testsa n default 3. 创建Role，并配置针对不同资源相对应的操作权限 vi addRole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: testrole namespace: default rules: apiGroups: "" resources: pods verbs: get list watch apiGroups: apps resources: pods verbs: get list watch kubectl create f addRole.yaml 4. 配置RoleBinding，将sa绑定到Role上，让sa获取相应权限 vi addRoleBinding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myrolebinding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: testrole subjects: kind: ServiceAccount name: testsa namespace: default kubectl create f addRoleBinding.yaml 5. 配置集群访问信息 4.1 通过sa的名称testsa获取sa对应的密钥，第一列testsatokennttvl即为密钥名 kubectl get secret n default grep testsa 4.2 将密钥中的ca.crt解码后导出 kubectl get secret testsatokend6b4q n default oyaml grep ca.crt: awk '{print $2}' base64 d > ca.crt 4.3 设置集群访问方式，其中dev 为需要访问的集群名称，10.50.208.30为集群ApiServer地址，test.config为配置文件的存放路径 （1）如果通过内部ApiServer地址，执行命令如下： kubectl config setcluster dev server certificateauthorityca.crt embedcertstrue kubeconfigtest.config （2）如果通过公网ApiServer地址，执行命令如下： kubectl config setcluster dev server kubeconfigtest.config insecureskiptlsverifytrue 集群ApiServer地址为内网ApiServer地址，绑定弹性IP后也可为公网ApiServer地址。如下图： 5. 配置集群认证信息 5.1 获取集群的token信息 token$(kubectl describe secret testsatokend6b4q n default awk '/token:/{print $2}') 5.2 设置使用集群的用户uiadmin kubectl config setcredentials uiadmin token$token kubeconfigtest.config 7. 配置集群认证访问的上下文信息，uiadmin@test为上下文的名称 kubectl config setcontext uiadmin@test clusterdev useruiadmin kubeconfigtest.config 8. 设置上下文 kubectl config usecontext uiadmin@test kubeconfigtest.config

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

本章节主要介绍如何通过物理机服务器创建私有镜像。 操作场景 您可以基于物理机服务器实例创建私有镜像，将实例的系统盘数据完整地复制到私有镜像中。系统盘一般包含用户运行业务所需的操作系统、应用软件。 约束限制 只有系统盘为云硬盘时，才支持此操作。 暂不支持将物理机服务器实例的数据盘导出为镜像。 物理机服务器实例必须为“关机”状态。 此操作依赖于物理机服务器镜像中的bmsnetworkconfig和CloudInit插件。 如果待创建私有镜像的物理机服务器使用的是公共镜像，镜像中已内置bmsnetworkconfig和CloudInit插件。 如果待创建私有镜像的物理机服务器使用的是私有镜像，请确认是否已安装并配置bmsnetworkconfig和CloudInit插件。 操作须知 请将物理机服务器实例中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 请将操作系统中的残留文件进行清理。请参考临时文件清理。 创建私有镜像的过程中，请不要改变实例的状态，避免创建失败。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。 进入物理机服务器页面。 3. 在需要创建私有镜像的物理机服务器的“操作”列，单击“更多 > 关机”。 4. 只有关机状态的物理机服务器才能制作私有镜像。 5. 待物理机服务器状态变为“关机”时，单击“操作”列的“更多 > 制作镜像”。 进入“创建镜像”页面。 6. 填写镜像名称，根据需要设置标签并输入该镜像的描述。 设置完成后，单击“立即申请”。 7. 在“确认规格”页面，确认规格无误后，单击“提交”。 8. 页面跳转至镜像列表，可以看到正在创建的私有镜像，待状态变为“正常”时，表示创建成功。

本章节主要介绍物理机的安全。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云主机、物理机服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的物理机服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。 密钥对 密钥对概述 密钥对，也称SSH密钥对，是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥，一个对外界公开，称为公钥，另一个由用户自己保留，称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据（例如一个密码），用户可以使用私钥解密数据。 天翼云只会存储公钥，您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息，因此将您的私钥保存在一个安全的位置非常重要。 密钥对的功能优势 相比用户名+密码认证方式，密钥对在安全性和便捷性上都更具优势，如下表所示。 表 密钥对与密码对比 对比项 密钥对 用户名 + 密码 安全性 安全强度远高于常规用户口令，可以杜绝暴力破解威胁。 可能通过公钥推导出私钥。 安全性较低。 便捷性 便于远程登录大量Linux实例，方便管理。 一次只能登录一台Linux实例，不利于批量维护。

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

本文汇总了使用天翼云弹性高性能计算产品时常见的操作类问题。 创建集群需要哪些步骤？ 首先在天翼云官网选择“计算”——“弹性高性能计算”，进入弹性高性能计算控制台。在控制台首页点击“创建集群”后，根据创建流程配置集群、管理节点、队列与计算节点，详细的操作步骤请参考“创建集群”章节。 集群从开始创建到可用预计需要多长时间？ 创建集群所需时间与您所选的机型和配置有关，通常几分钟内即可创建完成，但创建完成后集群还需要进行自动初始化，在此过程中请不要进行关机、重启等操作，请您在集群状态变为“可用”后再进行操作。 能否自己安装或者升级操作系统？ 不能。 天翼云弹性高性能计算产品在集群创建时已为您集成默认镜像中的操作系统，为保证集群能够正常使用，请您不要自行安装或升级操作系统，自行操作风险不可控，可能会导致您的业务无法进行。 正在运行的集群是否支持增删节点？ 支持。 您可以在节点列表中对计算节点进行增删操作，但在删除节点前请确认是否有在该节点上正在运行的作业，如果强行删除节点会导致作业终止。 暂不支持增删管理节点，在物理机列表中删除管理节点会导致集群不可用。 可以使用物理机控制台对弹性高性能计算集群的节点进行操作吗？ 如果您需要对节点进行操作，请直接在弹性高性能计算控制台操作，在物理机控制台进行开关机、重启、重装系统等操作可能会造成集群或部分节点状态异常以及集群相关资源不可使用等问题。

本文介绍了Windows Server 操作系统停止支持应对计划。 微软已经于2020年01月14日停止对Windows Server 2008/2008 R2操作系统提供支持，并于2023年10月10日停止对Windows Server 2012/2012 R2操作系统提供支持。如果您有使用上述操作系统的弹性云主机，建议您采取相应的措施以持续获得软件更新和安全补丁，以避免操作系统停止维护EOL（End of Life）带来影响。本文主要介绍Windows Server 2008/2008 R2/2012/2012 R2操作系统EOL的应对方案。 注意 如果您因业务需求需要继续使用Windows Server 2008/2008 R2/2012/2012 R2，请您仔细评估操作系统EOL带来的风险。 Windows Server EOL 如何应对 推荐您将Windows Server 2008/2008 R2/2012/2012 R2迁移到替代的操作系统，以继续获取软件更新和安全补丁。 迁移前，请先评估： 1、需要迁移到哪种目标操作系统。 您可以综合考虑安全合规、稳定性、操作系统兼容性、预算、长期OS策略等因素，决定具体的迁移方案。 2、根据需求评估操作系统的迁移方式。 （推荐）重新部署环境：重新部署环境指重新购买新实例以替换原实例或者针对已有实例切换操作系统。 注意 更换操作系统后，原来的旧系统盘会被释放且所有数据会被清空，请务必在更换操作系统前备份数据。 优缺点：该方式可以使用最新的操作系统，同时可以清除历史遗留问题，更有利于长期的系统健康和可维护性。但是在重新部署业务期间可能需要暂停服务，影响业务的连续性。 适用场景：如果您希望利用操作系统EOL的时机重新部署环境，可以选择此方案。 适用的目标操作系统：无限制。

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用环境。 创建环境 在函数计算控制台，点击对应的应用进入应用详情页面，您可以点击创建环境按钮，进入环境创建页面。 填写字段说明： 环境名称：一个应用不能出现两个相同的环境名称。 环境类型 ：根据实际的业务诉求选择合适的环境类型，支持测试环境 、预发环境 、生产环境三种环境类型。 描述：环境的描述。 流水线配置 ：环境对应的流水线配置，请见管理流水线。 查看环境 在函数计算控制台，点击对应的应用进入应用详情页面，可以看到当前应用关联的环境列表。 点击对应的环境名称，进入环境详情页面，该页面包含环境详情、流水线管理等2个页签。 环境详情 环境详情页签主要包含应用和环境的基本信息、环境绑定的代码源、部署构建历史以及部署的资源。 流水线管理 您可以在此处配置当前环境的构建流水线，请见管理流水线。 编辑环境 您可以在环境详情页面环境详情页签处，点击环境信息旁的编辑链接，进行编辑环境的描述、分支绑定以及流水线触发方式。 删除环境 您可以在应用详情页，点击对应环境操作列的删除链接，然后您需要确认选择需要删除环境相关的资源，进行删除指定环境。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 testhostname displayName String 实例名称 testinstancename publicIp String 公网ip 192.168.1.1 agentIp String agent ip 192.168.1.1 agentGuid String agentguid 1234567890 userName String 用户名 testusername findTime String 首次发现时间 20220614 10:00:00 timestamp String 最后发现时间 20220614 10:00:00 docId String 事件id testid path String 文件路径 /bin/test.sh virusName String 病毒名称 testvirusname severity String 威胁等级 1低危 2中危 3高危 1 status Integer 状态 0未处理 1已隔离 2已加白 3已删除 7已忽略 99处理中 1 osType String 操作系统类型 Linux/Windows Linux md5 String 文件md5 1234567890 virusHandleType String 病毒处理方式 HANDLE收手动处理 AUTO自动处理 HANDLE quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 virusType String 病毒类型 普通木马 pivotalDoc Integer 是否关键文件 1关键文件 0非关键文件 0 sha256 String sha256 1234567890 pid Integer 进程id 1212 cmd String 进程命令行 /bin/test.sh checkModel Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 taskId Integer 任务id 1 checkWay Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 handleRules Array of Objects handleList 操作列表 handleRules whiteData Object 白名单数据 whiteData eventCategoryId String 告警类型 2 eventTypeId String 告警名称id 4400 virusEngine String 病毒查杀引擎 1:"云查引擎" 2:"本地查杀引擎" 3:"本地查杀引擎" 1 isAutoIsolate String 处理类型 0手动 1自动 为空展示 0 表 whiteData

本章介绍天翼云关系型数据库的一些常用概念解释。 实例 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态。 数据库引擎 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 实例类型 云数据库RDS的实例分为：单机实例、主备实例等。不同类型支持的引擎类型和实例规格不同，请以实际界面为准。 实例规格 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）。 自动备份 创建实例时，关系型数据库默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 手动备份 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 区域和可用区

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

本文介绍RDSPostgreSQL安全白皮书内容。 关系数据库PostgreSQL版（以下简称RDSPostgreSQL）是天翼云为用户打造的一款安全可信赖的数据库产品。 为了保障用户数据安全，高效支撑客户业务运行，天翼云禁止非客户授权人员操作用户实例与数据，禁止运维人员未经授权接入用户实例，禁止任何人非法处理客户数据。 另外，RDSPostgreSQL支持包括VPC、安全组、自动备份和跨可用区部署在内的多种特性，帮助用户更好管理数据，保障用户数据安全。 网络隔离 VPC（Virtual Private Cloud，即虚拟私有云）是一种运行在公有云上，专为某个用户私有使用的资源集合。在天翼云上，用户开通的RDSPostgreSQL实例运行在独立的VPC内，可以通过配置VPC控制连接数据库的IP地址段，量身定制网络访问策略。在网络层面，VPC配合安全组，用户即可便捷实现RDSPostgreSQL实例的网络隔离，从而保障RDSPostgreSQL实例的高安全性。 数据隔离 RDSPostgreSQL实例存储的所有数据都是以用户维度来分配和管理的，不同用户之间的数据相互独立、资源隔离，不会受到彼此的干扰与影响。另外，多可用区部署更提升了用户数据安全性。 访问控制 用户创建RDSPostgreSQL实例时，系统会默认会为用户分配一个独享的数据库主账户，该账户允许用户操作其所创建的数据库，且账户密码只能由用户保存，保障用户数据仅供用户本身访问。另外，用户还可以根据自身业务需要，创建其他权限的账户，从而实现权限分离。用户还可以通过安全组设置RDSPostgreSQL实例的出入访问策略，控制实例的网络访问范围。

本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本页介绍了关系数据库MySQL版产品如何设置安全组规则。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本文介绍使用Rediscli迁移自建Redis（AOF文件） 迁移介绍 Rediscli 是 Redis 自带的命令行客户端工具，它允许用户通过命令行与 Redis 服务器进行交互。 在本章节中，我们将重点介绍如何使用 Rediscli 工具以 AOF 文件的方式，将自建的 Redis 数据迁移到 DCS 缓存实例。 说明 进行迁移操作前，建议暂停相关业务，以避免数据丢失或不完整。 建议业务空闲时间进行迁移操作。 步骤1：生成AOF文件 使用以下命令来开启缓存持久化并生成 AOF 持久化文件： ./rediscli h {redisaddress} p {redisport} a {password} config set appendonly yes 如果 AOF 文件的大小不再变化，说明AOF文件为全量缓存数据。 说明 使用 Rediscli 工具登录 Redis 实例，输入命令“config get dir”可以查找生成的AOF文件保存路径。如果没有进行特殊指定，该文件的文件名默认为 appendonly.aof。 如果需要关闭同步，可以使用 Rediscli 工具登录 Redis 实例，并输入命令 “config set appendonly no” 来关闭同步。 步骤2：上传AOF文件至天翼云ECS 为节省传输时间，请先压缩AOF文件再传输。 将压缩文件（如以SFTP/SCP等方式）上传到天翼云ECS。 说明 ECS需保证有足够的磁盘空间，供数据文件存储，同时需要与缓存实例网络互通，通常要求相同VPC和相同子网，且安全组规则不限制访问端口。 步骤3：导入数据 ./rediscli h {redisaddress} p {redisport} a {password} pipe < appendonly.aof 步骤4：迁移后验证 数据导入成功后，连接DCS缓存实例，通过dbsize命令，确认数据是否导入成功 如果导入不成功，需要分析原因，修正导入语句，然后使用flushall或者flushdb命令清理实例中的缓存数据，并重新导入。

介绍分布式缓存服务Redis版的到期与欠费规则 到期前续费 手动续订：对于包年/包月订购的分布式缓存服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，分布式缓存服务进入保留期，您将不能正常访问及使用天翼云分布式缓存服务Redis版，但对于您存储在分布式缓存服务中的数据予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，存储在分布式缓存服务中的数据将被删除 欠费原因 在按需计费的模式下帐号的余额不足。 欠费停服说明 欠费后分布式缓存服务Redis版服务会自动停止。 您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。 如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云分布式缓存服务Redis版的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用分布式缓存服务Redis版，请务必及时删除存储于分布式缓存服务Redis版上的数据。

本文介绍AOne会议服务到期与续订。 服务到期 AOne会议的基础套餐为包年包月的销售品，在资源到期前第7天、第3天、第1天会以邮件的方式向您发送资源到期提醒。在到期当天会以邮件、站内信和短信的方式再次进行通知。 服务到期后，平台将暂停向您提供服务，并冻结相关资源，冻结期15天。冻结期间，您的用户数据（包含用户组织信息、会议数据、云录制文件等）会保留15天，但无法正常访问和使用。15天后资源将被系统自动释放，所有数据将被永久清除且不可恢复。 如果您希望在服务期满后继续使用，请在到期前及时完成套餐续订。您也可以选择开通自动续订，避免服务终端。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且到期剩余时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2025年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。

本章节主要介绍数据目录相关问题。 数据目录组件有什么用？ 数据目录的核心是通过元数据采集任务，采集并展示企业的数据资产地图，包括所有的元数据信息和数据血缘关系。 数据目录支持采集哪些对象的资产？ 数据目录目前支持采集的资产有：数据仓库服务（DWS）、MapReduce服务（MRS HBase）、MapReduce服务（MRS Hive）、MySQL、云数据库 RDS（DataArts Studio仅支持MySQL和PostgreSQL数据库）。 什么是数据血缘关系？ 大数据时代，数据爆发性增长，海量的、各种类型的数据在快速产生。这些庞大复杂的数据信息，通过联姻融合、转换变换、流转流通，又生成新的数据，汇聚成数据的海洋。 数据的产生、加工融合、流转流通，到最终消亡，数据之间自然会形成一种关系。我们借鉴人类社会中类似的一种关系来表达数据之间的这种关系，称之为数据的血缘关系。与人类社会中的血缘关系不同，数据的血缘关系还包含了一些特有的特征： 归属性 ：一般来说，特定的数据归属特定的组织或者个人，数据具有归属性。 多源性 ：同一个数据可以有多个来源（多个父亲）。一个数据可以是多个数据经过加工而生成的，而且这种加工过程可以是多个。 可追溯性 ：数据的血缘关系，体现了数据的生命周期，体现了数据从产生到消亡的整个过程，具备可追溯性。 层次性 ：数据的血缘关系是有层次的。对数据的分类、归纳、总结等对数据进行的描述信息又形成了新的数据，不同程度的描述信息形成了数据的层次。 如图所示数据血缘关系示例

功能名称 功能描述 站点自动开通 22个人工环节优化为3个，在资源具备条件下（含本地接入段），IPRAN/STN/光纤直驱/OTN接入7个工作日开通，PON/SDWAN/5G切片专线接入1个工作日开通，具备自动化能力的云资源池分钟级开通。 差异化 QoS 分级 标准服务可提供“钻石、白金、金、银、铜、BE”6个 QoS 等级，保障客户不同应用的指标要求。 支持一线多用 PON接入站点客户可单独开通互联网业务或通过一条接入线路同时承载互联网业务与算力专网业务, SDWAN接入站点支持客户一点开通PON互联网业务和SDWAN业务，其中互联网业务支持拨号宽带或互联网专线。 支持多种接入方式 算力专网的网侧站点支持高达6种接入方式，包含：IPRAN、PON、光纤直驱、5G切片专线、OTN和SDWAN。（其中PON、光纤直驱、5G切片专线、OTN和SDWAN的接入能力正在研发中） 业务全流程可视化 实现客户自助查看业务开通进展、业务完整网络拓扑、电路运行状态、故障告警提醒、电路流量监测，提供多种产品增值功能，多维度持续提升客户满意度。 支持调整站点的接入电路速率 在创建完成算力专网站点后，可以在算力专网的控制台页面对指定站点的接入电路速率进行调整。 支持对站点接入电路速率的随选调整 在创建完成算力专网站点后，可以在算力专网的控制台页面对指定站点的接入电路速率在约定时间内进行变更。 支持查看站点的开通进度 用户在创建站点或发起站点变更功能后，可以在站点列表页的“状态”列中查看当前业务的开通进度。

本文为您介绍分布式消息服务MQTT的快速入门连接实例。 创建用户名和密码 终端设备连接MQTT队列需要先创建用户密码。 1、 天翼云官网点击控制中心，选择产品分布式消息服务MQTT。 2、 登录分布式消息服务MQTT控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入认证授权菜单，点击【新增】按钮，在弹出框输入认证用户名、用户密码、确认密码等信息。 主题授权 对用户名进行主题授权，客户端方可正常收发。 1、 选择需要授权的用户，点击【授权】按钮。 2、 在弹出框填写已创建的主题名称，主题权限包含3种：pub、sub、pubsub，支持通配符， 代表所有主题。 绑定公网IP 公网接入若未绑定弹性公网ip需先进行购买弹性ip并进行绑定。 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务MQTT动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务MQTT实例的需求，用户可开通弹性IP后，在MQTT实例页面进行绑定。 1、 进入实例列表，点击【管理】按钮进入管理菜单。 2、 在实例详情查看公网IP，点击【绑定】按钮，选择已购买的弹性IP。 弹性ip带宽大小计算规则可参照：带宽 报文大小TPS 120%，建议按120%购买，应对突发流程。如规格，报文大小1KB，TPS 2W/s，则带宽2000010008160Mb/s,建议200Mb/s。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

如何将源数据库的用户与权限导出，再导入到目标数据库 步骤 1 选择一台可以访问源数据库的虚拟机。 步骤 2 执行如下命令后，输入密码并回车，将源库用户导出到临时文件“users.sql”中。 mysql h 'host' u 'user' p N $@ e "SELECT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') AS query FROM mysql.user" > /tmp/users.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 3 执行如下命令，将源数据库中原有用户的授权信息导出到文件“grants.sql”中。 mysql h 'host' u 'user' p N $@ e " source /tmp/users.sql" > /tmp/grants.sql sed i 's/$/;/g' /tmp/grants.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 4 命令运行成功后，打开“grants.sql”文件可以看到类似以下的结果。 Grants for root@% GRANT ALL PRIVILEGES ON . TO 'root'@'%'; Grants for testt@% GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'testt'@'%'; Grants for debiansysmaint@localhost GRANT ALL PRIVILEGES ON . TO 'debiansysmaint'@'localhost' WITH GRANT OPTION; Grants for mysql.session@localhost GRANT SUPER ON . TO 'mysql.session'@'localhost'; GRANT SELECT ON performanceschema. TO 'mysql.session'@'localhost'; GRANT SELECT ON mysql.user TO 'mysql.session'@'localhost'; Grants for mysql.sys@localhost GRANT USAGE ON . TO 'mysql.sys'@'localhost'; GRANT TRIGGER ON sys. TO 'mysql.sys'@'localhost'; GRANT SELECT ON sys.sysconfig TO 'mysql.sys'@'localhost'; Grants for root@localhost GRANT ALL PRIVILEGES ON . TO 'root'@'localhost' WITH GRANT OPTION; GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION; 步骤 5 在步骤 4 显示的结果中，可以看到源数据库中所有的用户以及对应的权限，请选择所有需要的用户，逐个添加到本云关系型数据库MySQL中。

天翼云网页防篡改（原生版）产品通过Agent进行自动化采集，获取被保护的服务器中写防护目录下文件的进程列表，实时识别异常进程和异常文件变动，并对异常变动进行告警和恢复。 支持的操作系统 网页防篡改（原生版）支持的操作系统请参见支持的操作系统。 防护状态 可查看防护的总体情况，帮助您实时的掌握所有云上网站被篡改的总体态势。 功能 说明 防护总览 查看今日文件变动数 查看最近15天文件变动数 查看防护服务器数 查看防护目录数 查看防护文件总数 查看未绑定/已绑定服务器配额数 防护文件状态图 查看防护文件类型分布（最近15天）统计图 查看文件变动数Top5（最近15天）统计图 告警列表 展示文件增加、删除、修改异常的告警列表 告警查询 根据时间、服务器IP和告警名称进行告警筛选和查询 告警忽略 若当前告警不需要再展示，选择忽略或批量忽略操作后，则该告警不再展示在列表中 防护管理 可为您账号下的云主机和物理机添加防护目录，可采用白名单或黑名单的方式进行添加。可展示当前已添加的服务器的防护目录和备份目录，并进行添加、编辑和删除。 功能 说明 创建网页防篡改（原生版） 适用于首次订购后创建网页防篡改（原生版） 添加防护服务器 适用于非首次订购，对需防护的服务器添加防护策略 防护服务器列表 显示防篡改实例服务器列表 变更防护状态：开启/关闭 添加防护目录 编辑备份目录 解绑配额 绑定配额 防护目录管理 显示服务器防护目录列表 编辑防护目录设置 删除防护目录

本节介绍了设置磁盘自动扩容的操作场景、约束限制和操作步骤等内容。 操作场景 RDS for MySQL云盘实例支持存储空间自动扩容，在实例存储空间达到阈值时，会触发自动扩容。 只读实例设置自动扩容与主实例自动扩容互不影响，因此，您需要单独为只读实例设置扩容，以满足业务需求。对只读实例设置自动扩容时，您可选择大于或等于主实例的存储空间。 约束限制 云数据库 RDS for MySQL实例最大可自动扩容至4000GB。 如果是主备实例，针对主节点设置自动扩容时，会同时对其备节点生效。 实例在进行规格变更、内核小版本升级、备机迁移、重启时，不能进行此操作。 该功能目前已上线苏州、广州、华北。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击目标实例或只读实例名称，进入“基本信息”页面，可通过单击实例名称前的 查看到只读实例。 步骤 5 在“存储空间”模块，打开“磁盘自动扩容”开关。 步骤 6 在“存储空间自动扩容”弹框，设置如下参数： 表 参数说明 类别 说明 存储空间自动扩容 存储空间自动扩容开关。 可用存储空间率 当可使用存储空间百分比小于等于该阈值时或者10GB时，会触发自动扩容。 存储自动扩容上限 自动扩容上限，默认取值：40~4000，单位：GB。需要大于等于实例当前存储空间总大小。 步骤 7 单击“确定”。 结束

比较项 开源Redis DCS Redis 服务搭建 从自行准备服务器资源到Redis搭建，需要0.5~2天。 Redis3.0版本5~15分钟完成创建。 Redis4.0及以上版本，采用容器化部署，8秒完成创建。 版本 深度参与开源社区，及时支持最新Redis的版本。目前支持Redis 3.0、Redis 4.0、Redis 5.0、Redis 6.0版本。 安全 自行保证网络与服务器的安全。 使用云上虚拟私有云与安全组，确保网络安全。 主备与集群多副本、定时备份，确保数据高可靠。 性能 单节点达10万QPS（Query Per Second）。 监控 提供简单的信息统计。 提供30余项监控指标，并支持用户自定义监控阈值和告警策略。 指标类型丰富 常见的外部业务监控和统计：命令数、并发操作数、连接数、客户端数、拒绝连接数等。 常见的资源占用监控和统计：cpu占用率、物理内存占用、网络输入/输出流量等。 常见的关键内部监控和统计：键个数、键过期个数、容量占用量、pubsub通道个数、pubsub模式个数、keyspace命中、keyspace错过。 自定义监控阈值及告警提供基于各项监控制定阈值告警，支持客户自定义，便于及时发现业务异常。 备份恢复 支持。 提供定时与手动备份数据能力，支持备份文件下载到本地。 支持控制台一键恢复数据。 可视化维护缓存参数 不具备，需要自行开发。 web控制台可视化维护。 可在线修改配置参数。 支持在web控制台连接并操作数据。 可扩展性 需要中断服务。首先为服务器调整运行内存，然后调整Redis内存配置并重启操作系统与服务。 提供不中断服务的在线扩容或缩容能力。 规格可根据实际需要，在DCS支持的规格范围内进行扩容或者缩容。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：