通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 1. 打开本地远程桌面连接（MSTSC）工具。 2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 3. 单击“连接”，在登录页面完成登录。 username： 堡垒机用户登录名 @Windows主机资源账户名@Windows主机资源IP:Windows 远程端口（默认3389 ） ，例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。 password：输入当前堡垒机的用户密码。

Linux系统通过SCP方式上传到Linux云主机 SCP是一种安全的文件传输协议，可以方便地在本地计算机和远程服务器之间进行文件的复制操作，并通过SSH协议提供了数据加密和身份验证的安全保障。 如您的本地电脑使用和购买的云主机均使用Linux操作系统，您可通过SCP方式将本地文件上传至云主机。 前提条件： ● 本地操作系统类型为Linux。 ● 云主机操作系统类型为Linux。 ● 云主机配备弹性IP。 ● 云主机所在的安全组放行了22端口（SSH服务）。 操作步骤： scp sourcefile user@targetip:destinationfile 将本地文件通过scp方式上传到云主机上 scp r sourcedir user@targetip:destinationpath/ 将本地目录通过scp r方式上传到云主机上

本文将介绍如何通过Kubernetes命令行工具kubectl来连接集群。 前提条件 已经下载并安装最新的kubectl客户端。 完成kubectl的相关配置。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称 。 3. 在集群详情界面中选择连接信息页签，复制集群凭据到本地文件中。您可以在$HOME/.kube/config（kubectl默认寻找凭据的路径）下创建并保存集群凭据。 4. 执行以下命令，确认集群连接情况。 PowerShell kubectl get namespace 预期输出 PowerShell NAME STATUS AGE default Active 5d5h kubenodelease Active 5d5h kubepublic Active 5d5h kubesystem Active 5d5h 5. 配置完成后，您可以通过kubectl命令行工具，从本地计算机访问Kubernetes集群，实现对集群的管理和操作。

本节介绍了配置安全组规则的操作场景、操作步骤、结果验证。 操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云主机。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云主机访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“安全组”页签，展开安全组，查看安全组规则。 6. 单击安全组ID。系统自动跳转至安全组页面。 7. 在入方向规则页签，单击“添加规则”，添加入方向规则。 单击“+”可以依次增加多条入方向规则。 添加入方向规则 入方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 若源地址为安全组，则选定安全组内的云主机都遵从当前所创建的规则。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 8. 在出方向规则页签，单击“添加规则”，添加出方向规则。 单击“+”可以依次增加多条出方向规则。 添加出方向规则 表 出方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 允许：允许安全组内的服务器按照该出方向规则进行出网访问 拒绝：拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 目的地址 目的地址：可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 9.单击“确定”，完成安全组规则配置。

本章节主要介绍如何创建Elasticsearch集群。 场景描述 当创建的集群类型不同时，需要关注如表1所示的关键参数的配置。 表1 集群创建差异 集群类型 “安全模式” “HTTPS访问” “公网访问” “Kibana公网访问” 非安全模式的集群 关闭 不涉及 不支持启用 不支持启用 安全模式+HTTP协议的集群 开启 关闭 不支持启用 支持启用 安全模式+HTTPS协议的集群 开启 开启 支持启用 支持启用 前提条件 已经完成待创建的Elasticsearch集群规划。 创建集群 1. 登录云搜索服务管理控制台。 2. 在总览页面单击右上角的“创建集群”，进入“创建集群”页面。 或者左侧导航栏单击“集群管理> Elasticsearch”，单击右上角的“创建集群”，进入“创建集群”页面。 3. 在“基础配置”页面，完成Elasticsearch集群的基本信息和资源配置。 表2 Elasticsearch集群的基础配置 参数 说明 计费模式 集群支持包年/包月和按需计费两种模式。 l 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为3年。如果购买时长超过9个月，建议包年购买，价格更优惠。 l 按需计费：按实际使用时长计费，计费周期为一小时，不足一小时按一小时计费。 订购周期 选择包年/包月模式后，需要选择购买时长。 您可以根据需求，选择是否需要“自动续费”。 当前区域 选择集群的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 选择集群工作区域下关联的可用区。 最多支持配置3个“可用区”。 集群类型 选择“Elasticsearch”。 集群版本 选择所需的集群版本，支持的版本以界面可选项为准。 集群名称 自定义集群名称，可输入的字符范围为4～32个字符，只能包含数字、字母、中划线和下划线，且必须以字母开头。 节点数量 集群中的数据节点个数。可选节点数为1~32，建议节点数为3或3以上，以提升集群可用性。 l 当集群未启用Master节点和Client节点时，数据节点将同时承担集群管理、存储数据、提供接入集群和分析数据的职责。此时，为保证集群中数据的稳定性，建议设置节点数量大于等于3个。 l 当集群启用了Master节点但未启用Client节点时，数据节点将用于存储数据并提供接入集群和分析数据的功能。 l 当集群未启用Master节点但启用了Client节点时，数据节点将用于存储数据并提供集群管理功能。 l 当集群同时启用了Master节点和Client节点时，数据节点将仅用于存储数据。 说明 当集群中数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 CPU架构 支持“X86计算”和“鲲鹏计算”两种类型。具体支持的类型由实际区域环境决定。 节点规格 集群中数据节点的规格。您可以根据需求，选择对应的规格。每个集群只能选择一个规格。 节点存储 当“节点规格”选择的是云硬盘时，需要选择集群数据节点的云硬盘类型。节点存储支持普通I/O、高I/O、超高I/O。 节点存储容量 设置数据节点的存储空间大小，其取值范围与“节点规格”关联，不同的规格允许的取值范围不同。 节点存储容量只支持配置为20的倍数。 启用Master节点 Master节点负责管理集群中所有节点任务，如元数据管理、索引创建与删除、分片分配等。在大规模集群的元数据管理、节点管理、稳定性保障和集群操作控制中发挥着至关重要的作用。 启用Master节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”必须是不小于3的奇数，最多设置9个节点。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用Client节点 Client节点负责接收并协调外部请求，如search和write请求，在处理高负载查询、复杂聚合、大量分片管理以及优化集群扩展性方面发挥着重要作用。 启用Client节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用冷数据节点 冷数据节点用于存储对查询时延要求不高，但数据量较大的历史数据，是管理大规模数据集和优化存储成本的有效方式。 启用冷数据节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储类型和存储容量可以根据实际情况选择。 开启冷数据节点之后，支持切换集群的冷热数据，详情请参见2.7.9 切换Elasticsearch集群冷热数据。 说明 当集群中冷数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 企业项目 如果开通了“企业项目”，在创建集群时可以给集群绑定一个企业项目。 在下拉框中选择企业项目，单击“查看项目管理”跳转到“企业项目管理”管理控制台，查看已有的企业项目。 4. 单击“下一步：网络配置”。 5. 在“网络配置”页面，完成Elasticsearch集群的网络和安全模式配置。 表3 Elasticsearch集群的网络配置 参数 说明 虚拟私有云 指定集群节点使用的虚拟专用网络，实现不同业务的网络隔离。 单击“查看虚拟私有云”跳转到虚拟私有云列表，查看已创建的VPC名称和ID。 如果没有合适的VPC，建议联系CSS服务管理员新建VPC，具体请参见。 说明 此处选择的VPC必须包含网段（CIDR），否则集群将无法创建成功。新建的VPC默认包含网段（CIDR）。 子网 集群使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下集群需要的子网。 当选择的虚拟私有云支持IPv6，则在下拉框中选择是否分配IPv6地址。只有7.6.2和7.10.2版本的Elasticsearch集群支持分配IPv6地址。 安全组 安全组起着虚拟防火墙的作用，为集群提供安全的网络访问控制策略。 选择集群需要的安全组，单击“查看安全组”跳转到安全组列表，可以了解安全组详情。 说明 请确保安全组的“端口范围/ICMP类型”为“Any”或者包含端口9200的端口范围。 如果创建的集群为7.6.2及以上版本，则需要确保同安全组内节点之间的端口全放通。如果无法放通同安全组内节点之间的全部端口，请至少确保9300端口的通信。 放开9300端口通信后，如果集群磁盘使用率较高，可清理过期数据，释放磁盘存储空间。 安全模式 选择是否开启集群安全模式。 l默认开启，则创建的是安全模式的集群。安全模式的集群会对集群进行通讯加密和安全认证。因此必须配置集群的“管理员账户名”和“管理员密码”。 − 管理员账户名 默认为admin。 − 设置并确认管理员密码 。要记住设置的密码，后续访问集群需要输入密码。 l不开启，则创建的是非安全模式的集群。非安全模式的集群无需安全认证即可访问，并且采用HTTP明文传输数据。建议确认访问环境的安全性，勿将访问接口暴露到公网环境上。 HTTPS访问 只有开启集群的安全模式才可以启用HTTPS访问，开启HTTPS访问后，访问集群将进行通讯加密。 说明 安全集群使用HTTPS通信，相比非安全集群使用HTTP通信在读取性能上会降低，预期相对HTTP集群在大并发压力下有20%的性能劣化。如果想要读取性能快，又想要使用安全集群所提供的用户权限隔离资源（索引、文档、字段等）的功能，则可以关闭HTTPS访问。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 公网访问 仅当集群开启了“安全模式”和“HTTPS访问”时，才可以选择是否配置“公网访问”。配置公网访问后，用户可以获得一个公网访问的IP地址，通过这个IP地址可以在公网访问该安全集群。 6. 单击“下一步：高级配置”。 7. 在“高级配置”页面，完成Elasticsearch集群的快照和其他高级配置。 a. 设置集群快照。 系统默认打开集群快照开关，如果您不需要启用自动快照，可以在“集群快照开关”右侧关闭。自动快照会创建委托访问对象存储服务OBS，快照存储在OBS标准存储中需额外计费。 表4 集群快照基础配置 参数 说明 OBS桶 在下拉框中选择存储快照的OBS桶。也可以单击右侧的“创建桶”新建OBS。 创建或者已存在的OBS桶需满足如下条件： l“存储类别”为“标准存储”。 l“区域”须与创建的集群所在区域相同。 备份路径 快照在OBS桶中的存放路径。 备份路径配置规则： l备份路径不能使用符号“:?"<>”。 l备份路径不能以“/”开头。 l备份路径不能以“.”开头或结尾。 l备份路径的总长度不能超过1023个字符。 IAM委托 指当前账号授权云搜索服务访问或维护存储在OBS中数据。如果没有合适的委托可以联系CSS服务管理员新建IAM委托。 所选的IAM委托需满足如下条件： l“委托类型”选择“云服务”。 l“云服务”选择“Elasticsearch”或者“云搜索服务 CSS”。 l必选策略：“Tenant Administrator”或“OBS Administrator” 表5 设置自动创建快照 参数 说明 快照名称前缀 快照名称前缀的长度为1～32个字符，只能包含小写字母、数字、中划线和下划线，且必须以小写字母开头。快照名称由快照名称前缀加上时间戳组成，例如自动生成的快照名称为“snapshot1566921603720”。 时区 指备份时间对应的时区，不支持修改。基于此时区选择备份开始时间。 备份开始时间 指每天自动开始备份的时间，只能指定整点时间，如00:00、01:00，取值范围为00:00～23:00。请在下拉框中选择时间。 8. 单击“下一步：确认配置”，确认完成后单击“立即创建”开始创建集群。 9. 单击“返回集群列表”，系统将跳转到“集群管理”页面。您创建的集群将展现在集群列表中，且集群状态为“创建中”，创建成功后集群状态会变为“可用”。 如果集群创建失败，请根据界面提示重新创建集群。

本节主要介绍CCE发布Kubernetes 1.29版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.29集群。本文介绍Kubernetes 1.29版本的变更说明。 新增特性及特性增强 Service的负载均衡IP模式（Alpha） 在Kubernetes1.29版本，Service的负载均衡IP模式以Alpha版本正式发布。其在Service的status中新增字段ipMode，用于配置集群内Service到Pod的流量转发模式。当设置为VIP时，目的地址为负载均衡IP和端口的流量将由kubeproxy重定向到目标节点，当设置为Proxy时，流量将被发送到负载均衡器，然后由负载均衡器转发到目标节点。这项特性将有助于解决流量绕过负载均衡器缩导致的负载均衡器功能缺失问题。 NFTables代理模式（Alpha） 在Kubernetes1.29版本，NFTables代理模式以Alpha版本正式发布。该特性允许kubeproxy运行在NFTables模式，在该模式下，kubeproxy使用内核netfilters子系统的nftables API来配置数据包转发规则。 未使用容器镜像的垃圾收集（Alpha） 在Kubernetes1.29版本，未使用容器镜像的垃圾收集以Alpha版本正式发布。该特性允许用户为每个节点配置本地镜像未被使用的最长时间，超过这个时间镜像将被垃圾回收。配置方法为使用kubelet配置文件中的ImageMaximumGCAge字段。 PodLifecycleSleepAction（Alpha） 在Kubernetes1.29版本，PodLifecycleSleepAction以Alpha版本正式发布。该特性在容器生命周期回调中引入了Sleep回调程序，可以配置让容器在启动后和停止前暂停一段指定的时间。 KubeletSeparateDiskGC（Alpha） 在Kubernetes1.29版本，KubeletSeparateDiskGC以Alpha版本正式发布。该特性启用后，即使在容器镜像和容器位于独立文件系统的情况下，也能进行垃圾回收。 matchLabelKeys/mismatchLabelKeys（Alpha） 在Kubernetes1.29版本，matchLabelKeys/mismatchLabelKeys以Alpha版本正式发布。该特性启用后，在Pod的亲和/反亲和配置中新增了matchLabelKeys/mismatchLabelKeys字段，可配置更丰富的Pod间亲和/反亲和策略。 clusterTrustBundle投射卷（Alpha） 在Kubernetes1.29版本，clusterTrustBundle投射卷以Alpha版本正式发布。该特性启用后，支持将ClusterTrustBundle对象以自动更新的文件的形式注入卷。 基于运行时类的镜像拉取（Alpha） 在Kubernetes1.29版本中，基于运行时类的镜像拉取以Alpha版本正式发布。该特性启用后， kubelet 会通过一个元组（镜像名称，运行时处理程序）而不仅仅是镜像名称或镜像摘要来引用容器镜像。 您的容器运行时可能会根据选定的运行时处理程序调整其行为。基于运行时类来拉取镜像对于基于VM的容器会有帮助。 PodReadyToStartContainers状况达到Beta 在Kubernetes1.29版本，PodReadyToStartContainers状况特性达到Beta版本。其在Pod的status中新增了一个名为PodReadyToStartContainers的Condition，该Condition为true表示Pod的沙箱已就绪，可以开始创建业务容器。该特性使得集群管理员可以更清晰和全面地查看 Pod 沙箱的创建完成和容器的就绪状态，增强了指标监控和故障排查能力。 Job相关特性 Pod更换策略达到Beta 在Kubernetes1.29版本，Pod更换策略特性达到Beta版本。该特性确保只有Pod达到Failed阶段（status.phase: Failed）才会被替换，而不是当删除时间戳不为空时，Pod仍处于删除过程中就重建Pod，以此避免出现2个Pod同时占用索引和节点资源。 逐索引的回退限制达到Beta 在Kubernetes1.29版本，逐索引的回退限制特性达到Beta版本。默认情况下，带索引的 Job（Indexed Job）的 Pod 失败情况会被统计下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。该特性可以在某些索引值的 Pod 失败的情况下，仍完成执行所有索引值的 Pod，并且通过避免对持续失败的、特定索引值的Pod进行不必要的重试，更好的利用计算资源。 原生边车容器达到Beta 在Kubernetes1.29版本，原生边车容器特性达到Beta版本。其在initContainers中新增了restartPolicy字段，当配置为Always时表示启用边车容器。边车容器和业务容器部署在同一个Pod中，但并不会延长Pod的生命周期。边车容器常用于网络代理、日志收集等场景。 传统ServiceAccount令牌清理器达到Beta 在Kubernetes1.29版本，传统ServiceAccount令牌清理器特性达到Beta版本。其作为kubecontrollermanager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过legacyserviceaccounttokencleanupperiod指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacytokeninvalidsince标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过legacyserviceaccounttokencleanupperiod指定）内未被使用，清理器将会删除它。 DevicePluginCDIDevices达到Beta 在Kubernetes1.29版本，DevicePluginCDIDevices特性达到Beta版本。该特性在DeviceRunContainerOptions增加CDIDevices字段，使得设备插件开发者可以直接将CDI设备名称传递给支持CDI的容器运行时。 PodHostIPs达到Beta 在Kubernetes1.29版本中，PodHostIPs特性达到Beta版本。该特性在Pod和downward API的Status中增加hostIPs字段，用于将节点IP地址暴露给工作负载。该字段是hostIP的双栈协议版本，第一个IP始终与hostIP相同。 API优先级和公平性达到GA 在Kubernetes1.29版本，API优先级和公平性（APF）特性达到GA版本。APF以更细粒度的方式对请求进行分类和隔离，提升最大并发限制，并且它还引入了空间有限的排队机制，因此在非常短暂的突发情况下，API 服务器不会拒绝任何请求。 通过使用公平排队技术从队列中分发请求，这样，一个行为不佳的控制器就不会导致其他控制器异常 （即使优先级相同）。 APIListChunking达到GA 在Kubernetes1.29版本，APIListChunking特性达到GA版本。该特性允许客户端在List请求中进行分页，避免一次性返回过多数据而导致的性能问题。 ServiceNodePortStaticSubrange达到GA 在Kubernetes1.29版本，ServiceNodePortStaticSubrange特性达到GA版本。该特性kubelet会根据Nodeport范围计算出预留地址大小，并将Nodeport划分为静态段和动态段。在Nodeport自动分配时，优先分配在动态段，这有助于减小指定静态段分配时的端口冲突。 PersistentVolume的阶段转换时间戳达到Beta 在Kubernetes1.29版本，PersistentVolume的阶段转换时间戳特性达到Beta版本。该特性在PV的status中添加了一个lastPhaseTransitionTime字段，表示PV上一次phase变化的时间。通过该字段，集群管理员可以跟踪PV上次转换到不同阶段的时间，从而实现更高效、更明智的资源管理。 ReadWriteOncePod达到GA 在Kubernetes1.29版本中，ReadWriteOncePod特性达到GA版本。该特性允许用户在PVC中配置访问模式为ReadWriteOncePod，确保同时只有一个 Pod能够修改存储中的数据，以防止数据冲突或损坏。 CSINodeExpandSecret达到GA 在Kubernetes1.29版本中，CSINodeExpandSecret特性达到GA版本。该特性允许在添加节点时将Secret身份验证数据传递到CSI驱动以供后者使用。 CRD验证表达式语言达到GA 在Kubernetes1.29版本中，CRD验证表达式语言特性达到GA版本。该特性允许用户在CRD中使用通用表达式语言（CEL）定义校验规则，相比webhook更加高效。

名称 概念说明 自然语言处理 自然语言处理（Natural Language Processing，简称 NLP）是人工智能（AI）的核心分支，旨在让计算机理解、分析、生成人类日常使用的自然语言（如中文、英文），打破人机间的语言沟通壁垒，提升办公效能。 智能看数 智能看数通常是指为数据分析和决策支持设计的专业服务平台或应用程序，通过实时推送最新数据提示，帮助用户快速掌握关键信息。系统基于存量用户研究，结合用户消费行为和偏好，从市场数据感知、渠道落地、营销效果评估分析以及实时数据支撑等方面提供全面数据支持，助力制定策略，实现用户留存和业务增长优化目标，提升整体运营价值。 多模态识别 多模态识别是人工智能（AI）领域的关键技术，核心是让机器同时处理、分析并理解 多种不同类型的信息（即 “模态”） ，而非单一依赖文本、图像或语音等单类数据，最终实现更精准、全面的认知与判断，模拟人类 “多感官协同感知世界” 的能力。

使用UEFI启动方式的镜像创建云主机，云主机启动异常怎么办？ 使用UEFI启动方式的镜像创建云主机时出现启动异常，可能会导致以下问题： 镜像操作系统是UEFI启动方式，但UEFI启动配置错误。 镜像属性与实际启动方式不匹配，如UEFI镜像被标记为BIOS属性，或者BIOS镜像被标记为UEFI属性。 处理方法 设定启动顺序： 进入计算机的BIOS设置，找到Boot选项，并将UEFI Boot选项移至列表顶端，确保首先以UEFI模式启动计算机。如果UEFI模式无法启动，可以尝试Legacy模式，并确保Legacy Boot顺序正确设置。 修复启动配置： 如果启动时出现“missing operating system”错误，可能是启动配置损坏。您可以尝试修复启动配置，具体方法可能因操作系统而异。在Windows操作系统中，可以使用安装介质进行启动修复。 注意 UEFI启动和BIOS启动有一些区别，特别是在启动方式、分区表等方面。请确保镜像的启动方式与创建云主机时的配置相匹配。

本节介绍翼共享的常见问题。 操作系统自身问题&应用支持问题 为什么在共享盘和本地盘之间剪切粘贴文件夹，有时候会提示权限不足？ 为什么共享盘符名称偶尔会变成"断开的网络驱动"? 在共享盘内或在共享盘与本地盘之间通过拖拽移动文件时，会提示“这些文件对你的计算机有害”，如何处理？ 在共享盘中解压缩文件时，会有一定概率出现Zone.identifier格式的额外文件，如何处理？ 常见使用问题说明 挂载共享盘后，在云电脑中无法看到对应盘符怎么办？ 为什么点击共享盘会提示无法访问？ 多人在共享盘内编辑同一个文件是否会互相覆盖？ 为什么有些应用无法直接打开共享盘内文件？ 翼共享功能支持说明 共享盘内是否可以安装或运行应用程序？ 共享盘内文件使用什么加密策略？ [翼共享盘是否支持Linux/国产化云电脑挂载？](

物理机服务为您提供优质的服务体验,本文带您了解产品优势。 安全稳定 天翼云物理机提供硬件隔离，确保敏感数据物理隔离，避免与其他租户共享计算资源，提供了更高的安全性和隔离性。 性能可靠 用户可以在无虚拟化层的情况下直接访问物理硬件资源，获得更高的性能和更低的延迟。这使用户可以将自己的操作系统、虚拟化软件和应用程序部署到物理机上，获得与传统物理机相似的性能。 高吞吐低时延 结合天翼云全新分布式4.0架构及深度学习智能调度引擎，实现超大规模部署，云网络访问性能带宽最高可达50Gbps，支持高带宽、低时延云存储，满足企业数据库、大数据、容器、HPC、AI等关键业务部署密度和性能诉求。 灵活可控 天翼云物理机允许用户根据需求选择硬件配置、存储选项和网络设置，并根据需要进行动态调整。用户可以定制适合自己业务需求的物理机环境，提供灵活的部署和管理选项。

介绍等保满足程度。 二级等保服务是指信息安全等级保护的一个级别，它是根据《中华人民共和国网络安全法》和《网络安全等级保护管理条例》等法律法规制定的一套完整的网络安全管理体系。 根据《网络安全等级保护定级指南》，需要进行二级等保服务的信息系统主要包括以下几类： 承载涉及国家秘密或者重要数据的政府部门、事业单位、企业单位、社会团体等组织机构的内部管理类信息系统； 承载涉及大量个人隐私数据或者重要数据的互联网平台类信息系统； 承载涉及大量个人隐私数据或者重要数据的云计算平台/系统； 承载涉及大量个人隐私数据或者重要数据的物联网； 承载涉及大量个人隐私数据或者重要数据的工业控制系统； 承载涉及大量个人隐私数据或者重要数据的移动互联技术。 如果需要满足等保二级合规要求，您需要购买企业版、旗舰版、容器版或者网页防篡改版才能满足等保二级及以上的认证，基础版的功能无法满足整改要求。

本章节介绍当Windows操作系统的服务器在恢复完成后未显示数据盘，可能造成的原因和解决方案。 现象描述 使用备份恢复云主机成功后，Windows操作系统的云主机上没有显示恢复后的数据盘。 可能原因 Windows操作系统自身限制，导致数据盘处于脱机状态。 解决方法 步骤 1 在Windows操作系统的服务器桌面，右键单击“计算机”图标。 步骤 2 选择“管理”，弹出“计算机管理”页面。 步骤 3 在左侧导航树中，选择“存储 > 磁盘管理”。 此时，可以在页面下方看到有数据盘处于脱机状态，如下图所示。 步骤 4 右键单击处于脱机状态的数据盘，选择“联机”，如下图所示。 数据盘置为联机状态后，会在上方的磁盘列表中显示，如下图所示。 联机完成后，数据盘将在服务器中正常显示。

操作 具体动作 说明 创建租户 添加租户 添加子租户 添加用户并绑定租户的角色 创建租户时，便可根据业务需求，为租户配置计算资源、存储资源和关联服务；为租户添加用户，并为用户绑定需要的角色。 创建一级租户的用户，需要绑定“Manageradministrator”或“Systemadministrator”角色。创建子租户的用户，至少需要绑定父租户对应的角色。 管理租户 管理租户目录 恢复租户数据 清除租户非关联队列 删除租户 管理租户是随着业务变化对租户进行的编辑操作。 管理或删除一级租户的用户，以及恢复租户数据的用户，需要绑定“Manageradministrator”或“Systemadministrator”角色。 管理或删除子租户的用户，至少需要绑定父租户对应的角色。 管理资源 添加资源池 修改资源池 删除资源池 配置队列 配置资源池的队列容量策略 清除队列配置 管理资源是随着业务变化对租户再次配置资源的操作。 管理资源的用户，需要绑定“Manageradministrator”或“Systemadministrator”角色。

本文主要介绍弹性负载均衡 弹性负载均衡（Elastic Load Balance ，以下简称ELB）通过将访问流量自动分发到多台弹性云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 用户通过基于浏览器、统一化视图的云计算管理图形化界面，可以创建ELB，为服务配置需要监听的端口，配置云主机。消除单点故障，提高整个系统的可用性。 通过云审计服务，您可以记录与弹性负载均衡相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的ELB操作列表 操作名称 资源类型 事件名称 创建健康检查 healthcheck createHealthcheck 删除健康检查 healthcheck removeHealthcheck 更新健康检查 healthcheck updateHealthcheck 创建证书 certificate createCertificate 删除证书 certificate removeCertificate 更新证书 certificate updateCertificate 创建监听器 listener createListener 删除监听器 listener deleteListener 更新监听器 listener updateListener 删除ELB elb deleteELB 创建ELB elb createELB 更新ELB elb updateELB 添加后端主机 member createMember 移除后端主机 member deleteMember 配置访问日志 AccessLog ConfigureAccessLog

本章会按照数据库实例规格大小介绍收费模式。 基于云计算平台，稳定可靠、可弹性伸缩、即开即用的在线数据库服务，实现数据库数据备份、智能监控、便捷迁移。资费包括主备实例、主实例、只读实例、存储和备份租用费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 包年预付费优惠政策：一年85折，2年7折，3年享受5折优惠。 PG SQL主备实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） :::: 2 4 0.96 462 2 8 1.4 672 2 16 1.8 860 4 8 1.9 910 4 16 2.58 1239 4 32 3.6 1720 8 16 3.79 1820 8 32 5.12 2457 8 64 7.2 3440 16 32 7.58 3640 16 64 10.15 4872 16 128 14.4 6880 32 64 15.16 7278 32 128 20.26 9723 60 128 30.24 14556 60 256 40.52 19446 64 128 30.24 14556 64 256 40.52 19446 64 512 56 27000

本文帮助您了解创建云硬盘相关的场景、约束及操作步骤。 操作场景 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 约束与限制 系统盘只能在购买云主机或物理机时自动创建并挂载，云硬盘创建页面只能创建数据盘。 随云主机或物理机创建的云硬盘，计费模式与云主机或物理机保持一致。 共享盘或磁盘模式为SCSI或磁盘类型为极速型SSD的云硬盘不支持加密模式。 随云主机或物理机一起创建的云硬盘会自动挂载至云主机或物理机上，不可卸载，无法再挂载至其他云主机或物理机中使用。 随云主机一起创建的云硬盘，磁盘类型可以在VBD或SCSI中进行选择，随着物理机一起创建的云硬盘磁盘类型默认为VBD类型。 云硬盘只能被挂载在同一个可用区的云主机或物理机上，可用区在创建完成后不支持修改。 创建云硬盘时若选择“立即挂载”，则无法批量创建，一次只能创建一个云硬盘。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击“创建云硬盘”，进入云硬盘创建页面。 5. 根据界面提示，配置云硬盘的基本信息。各配置项说明如下： 参数 是否必选 说明 地域 是 请选择云硬盘的地域，尽量选择距离您更近的区域以提高访问速度。 可用区 是 在拥有多个可用区的资源池中，选择其中一个可用区创建云硬盘。 云硬盘只能挂载至同一个可用区的云主机上。云硬盘创建完成后不支持修改可用区。 付费方式 是 云硬盘支持的计费类型有包年/包月和按需计费两种。 包年包月是一种先付费后使用的计费方式，按订单的购买周期结算。 按需计费是一种先使用后付费的计费方式，按照云硬盘的实际使用时长计费，每小时结算一次。 是否挂载 是 选择是否在云硬盘创建完成后自动挂载到弹性云主机。 暂不挂载（默认）：云硬盘创建完成后不自动挂载至云主机。 立即挂载：云硬盘创建完成后自动挂载至用户选择的云主机。 注意 挂载到云主机的云硬盘，您还需要登录云主机进行数据盘初始化才可以正常使用。 数据源 否 云硬盘支持从快照、备份或镜像创建云硬盘。 从快照创建： 从快照创建云硬盘可选择目标地域目标可用区下的快照。 从快照创建云硬盘所创建的云硬盘磁盘模式、磁盘类型、加密属性、所在地域可用区与源快照保持一致，不支持修改。 从快照创建云硬盘创建磁盘容量不小于快照容量。 从备份创建： 从备份创建云硬盘可选择目标地域下的备份副本。 从备份创建云硬盘所创建的云硬盘磁盘模式、加密属性和备份源云硬盘保持一致。 从备份创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从备份创建云硬盘创建磁盘容量不小于备份容量。 从镜像创建： 从镜像创建云硬盘可选择目标地域下的镜像。 从镜像创建云硬盘仅支持VBD模式、且不支持磁盘加密。 从镜像创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从镜像创建云硬盘创建磁盘容量不小于镜像容量。 仅支持“正常”状态的私有镜像或“已接受”状态的共享镜像。 注意 无论是从快照、备份或镜像创建，都不支持一次性创建多个云硬盘。 磁盘规格 是 云硬盘的类型：普通IO，高IO，通用型SSD，超高IO，极速型SSD，XSSD0，XSSD1，XSSD2。具体规格可参见产品规格。 云硬盘的容量范围可参考云硬盘使用限制。 说明 从备份创建云硬盘时，容量大小不小于备份源盘大小，默认容量为备份源盘大小。 从快照创建云硬盘时，容量大小不小于快照源盘大小，默认容量为快照源盘大小。 未选择数据源时，XSSD2默认容量大小为512GB，其他类型云硬盘的默认容量大小为40GB。 当前配置 用于显示当前所选磁盘类型和容量计算出来的基础IOPS上限及IOPS突发上限。具体计算方式可参见磁盘类型及性能介绍。 云硬盘备份 否 创建云硬盘时支持同时订购云硬盘备份服务。可以选择暂不配置、使用已有、现在购买。 使用已有：若您想要配置备份且已有可用的存储库，可以选择“使用已有”。 现在购买：若您想要配置备份但没有可用的存储库，可以选择“现在购买”。 配置存储库和备份策略并成功购买云硬盘后，系统会按此备份策略定期对云硬盘进行备份。云硬盘备份服务的计费说明请参考云硬盘备份服务计费说明。 共享盘 否 勾选“共享盘”，则创建的是共享云硬盘，共享云硬盘最多可同时挂载至16台云主机或物理机。 不勾选“共享盘”，则默认为非共享云硬盘，只能挂载至1台云主机或物理机。 是否编辑标签 否 标签用于标识资源，可通过标签管理功能对云硬盘进行分类和筛选。 勾选后需要输入标签键和标签值，具体操作可参考标签功能概述。 磁盘模式 否 VBD（默认）：VBD类型的云硬盘仅支持简单的读写命令。 SCSI：支持SCSI指令透传，允许云主机操作系统直接访问存储介质。 FCSAN：FCSAN云硬盘仅适用于物理机。 磁盘加密 否 支持创建加密云硬盘，磁盘加密能够最大限度的为您的数据提供安全防护。 加密磁盘生成的快照/备份及通过这些快照/备份创建的磁盘将自动继承加密属性。 释放设置 否 支持设置释放策略。 可设置云硬盘释放时是否同步释放该盘的全部快照。 磁盘名称 是 自定义所创建的磁盘名称。 不能使用中文，且长度为263字符。 企业项目 是 支持为云硬盘选择企业项目。 数量 是 创建云硬盘的数量，默认为“1”，表示只创建一个云硬盘。 注意 目前一次最多可批量创建100个云硬盘。 创建时长 是 如果计费类型选择“包年/包月”，则需要选择购买时长，可选取的时间范围为1个月到5年。 自动续订 否 启用自动续订，包年/包月订购的云硬盘到期后会自动续订。 6. 确定云硬盘的配置信息后，点击“下一步”。 7. 在“资源详情”页面，您可以再次核对云硬盘信息。确认无误后，阅读并勾选服务协议，单击“确认下单”，开始创建云硬盘。如果还需要修改，点击“上一页”，修改参数。 8. 在云硬盘主页面，查看云硬盘状态。待云硬盘状态变为“未挂载”时，表示创建成功。

创建方式导航 本文介绍创建物理机的几种方式。 在控制中心按照流程指引创建物理机是常见的方式，您可以灵活选择配置项，确保满足业务的需求。详细操作请参见下文“创建物理机”。 如果您有常用的操作系统、应用程序等配置，可以先创建私有镜像，然后在创建物理机时选择该私有镜像，提高配置效率。详细操作请参见通过私有镜像创建物理机。 创建物理机 操作场景 本章节介绍如何使用控制中心向导创建物理机。创建物理机时，您需要配置规格、镜像、存储、网络、安全组等必备信息。同时，向导也提供了丰富的扩展配置功能，方便您进行个性化部署和管理。 前提条件 完成账号注册、实名认证且账户金额充足，请参见注册账号。 操作步骤 1. 登录天翼云，进入控制中心。 2. 在“计算 > 物理机服务”选框单击“购买”，进入物理机购买页面。 3. 在基础配置页进行选配。“地域”建议按实际需求或就近选择靠近您业务的区域，可减少网络时延，提高访问速度。“可用区”建议根据实际部署高可用需求进行选择。 4. 您可以对“实例名称”及“主机名”进行修改，并且支持批量设置有序的实例名称或主机名称。具体规则请参照下表。 场景1：不使用模式串创建单台实例 参数 命名规则 计费模式 支持“包年/包月”和“按量付费”方式。 实例名称 • 长度为231字符 • 支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式 主机名称 • Windows 系统长度为 215个字符，其他操作系统(如Linux)长度为 263个字符 • 允许使用大小写字母、数字、连字符 “” • 支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式 • 不能连续使用 “” • 必须以字母开头，“”不能用于开头或结尾 • 不能仅使用数字 场景2：使用模式串创建单台实例，或者批量创建多台实例 参数 命名规则 计费模式 支持“包年/包月”和“按量付费”方式。 实例名称 • 长度为227字符（{R:数字}模式串不计入字符长度） • 支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式 主机名称 •Windows 系统长度为 211个字符，其他操作系统(如Linux)长度为 259个字符（{R:数字}模式串不计入字符长度） • 允许使用大小写字母、数字、连字符 “” • 支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式 • 不能连续使用 “” • 必须以字母开头，“”不能用于开头或结尾 • 不能仅使用数字 说明 1. 创建多台物理机时，默认将批量购买的实例设置为前缀相同，仅序号递增的名称，例如：我的物理机0001、我的物理机0002...... 2. 当您需要创建 n 个实例，并指定实例名称/主机名称带有序号且序号从 x 开始递增时，您可通过指定模式串命名实现。 5. 完成“规格”、“镜像”及“本地磁盘”等配置项的选配之后，单击“下一步：网络配置”。 6. 进行网络配置，包括“虚拟私有云”、 “网卡”、“安全组”、“弹性IP”等信息。 参数 说明 虚拟私有云 物理机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者单击“控制中心创建”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。用户可以在安全组中定义各种访问规则，当弹性裸金属加入该安全组后，即受到这些访问规则的保护。当您需要修改安全组时，请前往管理安全组进行操作。标准裸金属不支持安全组，需要系统内配置iptable。 网卡 默认设置主网卡，用户可根据需求设置扩展网卡。 弹性IP 弹性IP将公网IP地址和物理机绑定，通过此绑定，虚拟私有云内的物理机可以使用固定的公网IP地址对外提供访问。 可以根据实际情况选择以下三种方式：不使用：物理机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需物理机进行使用。 自动分配：自动为每台物理机分配独享带宽的弹性IP，可选带宽规格为1~300Mbps。使用已有：为物理机分配已有弹性IP，使用已有弹性IP时，不能批量创建物理机。 7. 完成后，单击“下一步：高级配置”。 8. 在此完成密码配置后，单击“下一步：确认配置”。 说明 密码长度限制8到30个字符 必须包含大小写字母，同时必须包含一个数字或者特殊字符(()~!@

本章节主要介绍数据架构示例。 DataArts Studio数据架构以关系建模、维度建模理论支撑，实现规范化、可视化、标准化数据模型开发，定位于数据治理流程设计落地阶段，输出成果用于指导开发人员实践落地数据治理方法论。 本章节操作场景如下： 对MRS Hive数据湖中的出租车出行数据进行数据模型设计。 数据库demosdidb中已具备出租车出行原始数据表sditaxitripdata。 原始数据表sditaxitripdata的数据字段介绍如下： 数据说明如下： 下表为出租车行程数据 序号 字段名称 字段描述 1 VendorID 供应商编号 取值如下： 1A Company 2B Company 2 tpeppickupdatetime 上车时间 3 tpepdropoffdatetime 下车时间 4 passengercount 乘客人数 5 tripdistance 行驶距离 6 ratecodeid 费率代码 取值如下： 1Standard rate 2JFK 3Newark 4Nassau or Westchester 5Negotiated fare 6Group ride 7 storefwdflag 存储转发标识 8 PULocationID 上车地点 9 DOLocationID 下车地点 10 paymenttype 付款方式代码 取值如下： 1Credit card 2Cash 3No charge 4Dispute 5Unknown 6Voided trip 11 fareamount 车费 12 extra 加收 13 mtatax MTA税 14 tipamount 手续费 15 tollsamount 通行费 16 improvementsurcharge 改善附加费 17 totalamount 总车费 数据架构的流程如下： 1. 准备工作 ： 添加审核人 ：在数据架构中，业务流程中的步骤都需要经过审批，因此，需要先添加审核人。只有工作空间管理员角色的用户才具有添加审核人的权限。 管理配置中心 ：数据架构中提供了丰富的自定义选项，统一通过配置中心提供，您需要根据自己的业务需要进行自定义配置。 2. 数据调研 ：基于现有业务数据、行业现状进行数据调查、需求梳理、业务调研，输出企业业务流程以及数据主题划分。 主题设计 ：通过分层架构表达对数据的分类和定义，帮助厘清数据资产，明确业务领域和业务对象的关联关系。 流程设计 ：本例暂不涉及。流程设计是针对流程的一个结构化的整体框架，描述了企业流程的分类、层级以及边界、范围、输入/输出关系等，反映了企业的商业模式及业务特点。 3. 标准设计 ：新建码表&数据标准。 新建码表并发布 ：通常只包括一系列允许的值和附加文本描述，与数据标准关联用于生成值域校验质量监控。 新建数据标准并发布 ：用于描述公司层面需共同遵守的属性层数据含义和业务规则。其描述了公司层面对某个数据的共同理解，这些理解一旦确定下来，就应作为企业层面的标准在企业内被共同遵守。 4. 模型设计： 应用关系建模和维度建模的方法，进行分层建模。 关系建模：新建SDI 层和DWI层两个模型 。 SDI ：Source Data Integration，又称贴源数据层。SDI是源系统数据的简单落地。 DWI ：Data Warehouse Integration，又称数据整合层。DWI整合多个源系统数据，对源系统进来的数据进行整合、清洗，并基于三范式进行关系建模。 维度建模：在DWR层新建并发布维度 & 维度建模：在DWR层新建并发布事实表。 DWR ：Data Warehouse Report，又称数据报告层。DWR基于多维模型，和DWI层数据粒度保持一致。 维度 ：维度是用于观察和分析业务数据的视角，支撑对数据进行汇聚、钻取、切片分析，用于SQL中的GROUP BY条件。 事实表 ：归属于某个业务过程的事实逻辑表，可以丰富具体业务过程所对应事务的详细信息。 5. 指标设计：新建并发布技术指标 ：新建业务指标（本例不涉及）和技术指标，技术指标又分为原子指标、衍生指标和复合指标。 指标 ：指标一般由指标名称和指标数值两部分组成，指标名称及其涵义体现了指标质的规定性和量的规定性两个方面的特点，指标数值反映了指标在具体时间、地点、条件下的数量表现。 业务指标用于指导技术指标，而技术指标是对业务指标的具体实现。 原子指标 ：原子指标中的度量和属性来源于多维模型中的维度表和事实表，与多维模型所属的业务对象保持一致，与多维模型中的最细数据粒度保持一致。 原子指标中仅含有唯一度量，所含其它所有与该度量、该业务对象相关的属性，旨在用于支撑指标的敏捷自助消费。 衍生指标 ：是原子指标通过添加限定、维度卷积而成，限定、维度均来源于原子指标关联表的属性。 复合指标 ：由一个或多个衍生指标叠加计算而成，其中的维度、限定均继承于衍生指标。 注意，不能脱离衍生指标、维度和限定的范围，去产生新的维度和限定。 6. 维度建模：在DM 层新建并发布汇总表 。 DM (Data Mart) ：又称数据集市。DM面向展现层，数据有多级汇总。 汇总表 ：汇总表是由一个特定的分析对象（如会员）及其相关的统计指标组成的。组成一个汇总逻辑表的统计指标都具有相同的统计粒度（如会员），汇总逻辑表面向用户提供了以统计粒度（如会员）为主题的所有统计数据（如会员主题集市）。

使用GeminiDB Redis时要注意什么 使用GeminiDB Redis时要注意什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及GeminiDB Redis使用的系统容器，都对用户不可见，它们只对GeminiDB Redis后台管理系统可见。 3. 申请数据库实例后，您还需要做什么。 申请实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： a. 数据库实例的CPU、IOPS、空间是否足够。 b. 数据库实例是否存在性能问题，是否需要优化等。 什么是GeminiDB Redis实例可用性 实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 其中，故障时间是指数据库实例创建完成后，运行期间累计发生故障的总时长。服务总时间指数据库实例创建完成后运行的总时长。

此小节介绍云堡垒机产品定义。 云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

本节为您介绍云迁移服务CMS成本评估资源映射查看。 1. 云迁移服务CMS 提供成本评估资源映射查看功能。用户可以点击左侧导航栏选择迁移评估选项，点击【成本评估】进入[成本评估]界面。点击【查看资源映射】按钮，进入[资源映射]界面。 2. 资源映射表主要展示源端与天翼云信息，其中源端（产品、规格、购买方式、资源用量、网络规格/是否按流量、用均价）天翼云端只要展示（产品、规格、购买方式、资源用量、网络规格、月均价）如图所示。 3. 在[ 资源映射 ] 界面，点击【编辑】按钮，跳转至 [ 修改添加计算资源映射条目 ]界面。如图所示。 4. 在[ 资源映射 ] 界面，点击【添加资源映射条目】按钮，即可手动添加。如图所示。

本节介绍天翼云电脑（公众版）的产品定义，以便您了解云电脑。 天翼云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的云电脑使用体验。即开即用，便捷访问，适配多种终端类型。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼云电脑（公众版） 为个人/家庭用户提供安全、快速的云电脑使用服务，满足日常办公、娱乐、在线学习需要，多终端支持，随时随地使用智能终端一键接入云电脑。 产品架构图 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

容器IP地址管理 云原生网络2.0下的BMS节点和ECS节点分别使用的是弹性网卡和辅助弹性网卡： Pod的IP地址从配置给容器网络的VPC子网上直接分配，无需为节点分配一个单独的小网段。 ECS节点添加到集群中，先绑定用于承载辅助弹性网卡的弹性网卡，待弹性网卡绑定完成后，即可绑定辅助弹性网卡。 ECS节点上绑定的弹性网卡数： 该节点最多可绑定的辅助弹性网卡数/64 ，向上取整。 ECS节点上绑定的总网卡数： 用于承载辅助弹性网卡的弹性网卡数+当前Pod使用的辅助弹性网卡数+预热的辅助弹性网卡数 。 BMS节点上绑定的网卡数： 当前Pod使用的弹性网卡数+预热的弹性网卡数 。 Pod创建时，优先从节点的预热网卡池中随机分配一个可用的网卡。 Pod删除时，网卡释放回节点的预热网卡池。 节点删除时，将释放节点上所有已绑定的网卡（弹性网卡释放回集群预申请的网卡池，辅助弹性网卡直接删除）。 云原生2.0网络目前支持两种网卡预热策略：节点容器网卡动态预热策略 和 节点绑定容器网卡数总量高低水位策略（废弃中） 。使用场景如下表所示： 表 容器网卡预热策略对比表 容器网卡预热策略 节点容器网卡动态预热策略（默认策略） 节点绑定容器网卡数总量高低水位策略（废弃中） 管理策略 节点最少绑定容器网卡数（nicminimumtarget）：保障节点最少有多少张容器网卡绑定在节点上（未被Pod使用+已被Pod使用） 节点预热容器网卡上限检查值（nicmaximumtarget）：当节点绑定的容器网卡数超过该值，不再主动预热容器网卡 节点动态预热容器网卡数：当Pod使用完节点最少绑定容器网卡数（nicminimumtarget）后，会始终额外预热多少张容器网卡 节点预热容器网卡回收阈值(nicmaxabovewarmtarget)：只有当 节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值时，才会触发预热容器网卡的解绑回收 节点绑定容器网卡数低水位：保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用） 节点绑定容器网卡数高水位：保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡 适用场景 在尽可能提高IP资源利用率的前提下，尽可能加快Pod的启动速度，适用于容器网段IP地址数紧张的场景 通过合理配置上述四个参数，可适用于各种业务场景。 适用于容器网段IP地址数充足，且节点上Pod数变化剧烈，但固定在某个范围的场景 说明 1.19.16r2、1.21.5r0、1.23.3r0到1.19.16r4、1.21.7r0、1.23.5r0之间的集群版本只支持nicminimumtarget和nicwarmtarget两个容器网卡动态预热参数配置，绑定网卡数总量高低水位配置优先级高于容器网卡动态预热配置。 1.19.16r4、1.21.7r0、1.23.5r0、1.25.1r0及以上集群版本支持全部四个容器网卡动态预热参数配置，容器网卡动态预热配置优先级高于绑定网卡数总量高低水位配置。 图节点容器网卡动态预热策略 针对节点容器网卡动态预热策略，CCE提供了四个参数配置，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这四个参数。 表容器网卡动态预热参数 容器网卡动态预热参数 默认值 参数说明 配置建议 节点最少绑定容器网卡数(nicminimumtarget) 10 保障节点最少有多少张容器网卡绑定在节点上，支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如10，表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如10%，如果节点容器网卡配额128，表示节点最少有12张（向下取整）容器网卡绑定在节点上。建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时日常运行的Pod数。 节点预热容器网卡上限检查值(nicmaximumtarget) 0 当节点绑定的容器网卡数超过节点预热容器网卡上限检查值(nicmaximumtarget)，不再主动预热容器网卡。 当该参数大于等于节点最少绑定容器网卡数(nicminimumtarget)时，则开启预热容器网卡上限值检查；反之，则关闭预热容器网卡上限值检查。支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如0，表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如50%，如果节点容器网卡配额128，表示节点预热容器网卡上限检查值64（向下取整）。 建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时最多运行的Pod数。 节点动态预热容器网卡数(nicwarmtarget) 2 当Pod使用完节点最少绑定容器网卡数(nicminimumtarget)后，会始终额外预热多少张容器网卡，只支持数值配置。 当节点动态预热容器网卡数(nicwarmtarget) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nicmaximumtarget) 时，只会预热nicmaximumtarget与节点当前绑定的容器网卡数的差值。 建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。 节点预热容器网卡回收阈值(nicmaxabovewarmtarget) 2 只有当节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值 时，才会触发预热容器网卡的解绑回收。只支持数值配置。 调大此值会减慢空闲容器网卡的回收，加快Pod的启动速度，但会降低IP地址的利用率，特别是在IP地址紧张的场景，请谨慎调大 。 调小此值会加快空闲容器网卡的回收，提高IP地址的利用率，但在瞬时大量Pod激增的场景，部分Pod启动会稍微变慢。 建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 大部分节点日常10s内会瞬时弹性扩容的Pod数。 说明 上述容器网卡动态预热参数支持集群级别的全局配置和节点池级别的差异化配置，其中节点池级别的容器网卡动态预热配置优先级高于集群级别的容器网卡动态预热配置。 容器网络组件会为每个节点维护一个可弹性伸缩的预热容器网卡池，定时（约10s一次）检测并计算需要绑定的预热容器网卡数 或需要解绑的空闲容器网卡数 : 需要绑定的预热容器网卡数 min(nicmaximumtarget 当前绑定的容器网卡总数，max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget 当前空闲的容器网卡数)) 需要解绑的空闲容器网卡数 min(当前空闲的容器网卡数 nicwarmtarget nicmaxabovewarmtarget，当前绑定的容器网卡总数 nicminimumtarget) 节点上当前预热的容器网卡数稳态后会维持在以下区间内： 当前预热的容器网卡数区间最小值 min(max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget), nicmaximumtarget 当前绑定的容器网卡总数) 当前预热的容器网卡数区间最大值 max(nicwarmtarget+ nicmaxabovewarmtarget, 当前绑定的容器网卡总数 nicminimumtarget) Pod创建时，优先从节点的预热容器网卡池中顺序分配（最早未被使用的）一张空闲的容器网卡，如没有可用的空闲网卡，会新创建一张网卡（辅助弹性网卡）或 新绑定一张网卡（弹性网卡）以分配给该Pod。 Pod删除时，对应的容器网卡先释放回节点的预热容器网卡池，2分钟冷却时间内可供下一个Pod循环使用，超过2分钟冷却时间后且节点预热容器网卡池计算出需要释放该容器网卡，才会释放该容器网卡。 图节点绑定容器网卡数总量高低水位策略 针对总量高低水位算法，CCE提供了一个配置参数，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这个参数： 节点绑定容器网卡数低水位：默认为0，保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用）。ECS节点预绑定低水位网卡数节点绑定网卡数低水位节点总辅助弹性网卡数；BMS节点预绑定低水位网卡数节点绑定网卡数低水位节点总弹性网卡数。 节点绑定容器网卡数高水位：默认为0，保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡。ECS节点预绑定高水位网卡数节点绑定网卡数高水位节点总辅助弹性网卡数；BMS节点预绑定高水位网卡数节点绑定网卡数高水位节点总弹性网卡数。 容器网络组件会为每个节点维护一个可弹性伸缩的容器网卡池： 当已绑定容器网卡数量（Pod使用的容器网卡数+预绑定的容器网卡数） 预绑定高水位容器网卡数 ，且 节点预绑定的容器网卡数>0 时，会定时释放预绑定的容器网卡（超过2分钟未被使用的空闲网卡），直到 Pod使用的容器网卡数+预绑定的容器网卡数节点预绑定高水位容器网卡数 或Pod使用的容器网卡数 > 节点预绑定高水位容器网卡数 且 节点预绑定的容器网卡数0。

本节介绍了无公网IP的弹性云主机访问Internet的操作场景、前提条件、Linux操作系统的代理主机。 操作场景 为保证安全和节省公网IP资源，通常只为特定的弹性云主机配置公网IP，可直接访问Internet，其他弹性云主机只配置私网IP，无法直接访问Internet。因此，当只配置了私网IP的弹性云主机需要访问Internet，执行软件升级、给系统打补丁或者其它需求时，可选择一台绑定了公网IP的弹性云主机作为代理弹性云主机，为其他无公网IP的云主机提供访问通道，正常访问Internet。 说明 优先推荐您使用NAT（NAT Gateway）网关服务。NAT网关能够为VPC内的弹性云主机提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。 前提条件 已拥有一台绑定了公网IP的弹性云主机作为代理弹性云主机。 代理弹性云主机和其他需要访问Internet的弹性云主机均处于同一网段，并且在同一安全组内。 Linux操作系统的代理主机 本节操作中，以代理弹性云主机的操作系统是CentOS 6.5为例。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，输入代理云主机名称进行搜索。 5. 单击代理弹性云主机的名称，查看详情。 6. 在代理弹性云主机详情页面，选择“弹性网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 7. 登录代理弹性云主机。 详细操作方法请参见Linux弹性云主机登录方式概述。 8. 执行以下命令，检测代理弹性云主机是否可以正常连接Internet。 ping www.baidu.com 回显包含类似如下信息时，表示代理弹性云主机可正常连接Internet。 检测是否可以正常连接Internet 9. 执行以下命令，查看代理弹性云主机的IP转发功能是否开启。 cat /proc/sys/net/ipv4/ipforward − 回显为“0”表示关闭，请执行10。 − 回显为“1”表示开启，请执行16。 10. 执行以下命令，打开IP转发功能配置文件。 vi /etc/sysctl.conf 11. 按“i”，进入编辑模式。 12. 修改如下参数的值。 将参数“net.ipv4.ipforward ”的值修改为“1”。 说明：如果“sysctl.conf”文件中不存在参数“net.ipv4.ipforward ”，执行以下命令进行添加： echo net.ipv4.ipforward1 >> /etc/sysctl.conf 13. 按“Esc”，输入 :wq ，按“Enter”。 保存设置并退出vi编辑器。 14. 执行以下命令，使配置文件修改生效。 sysctl p /etc/sysctl.conf 15. 执行以下命令，清除原有iptables规则。 iptables F 16. 执行以下命令，配置SNAT，使代理弹性云主机所在的网段内其他弹性云主机可通过代理弹性云主机访问Internet。 iptables t nat A POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat A POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4 为了确保重启后上述规则不丢失，可以执行vi /etc/rc.local 编辑rc.local 文件，将步骤16中的规则复制到rc.local文件，按“ESC”退出编辑模式，输入“:wq”保存并退出。 17. 执行以下命令，保存iptables的配置并设置开机自启动。 service iptables save chkconfig iptables on 18. 执行以下命令，查看SNAT配置是否成功。 iptables t nat list 回显类似如下图所示时，表示SNAT配置成功。 图 SNAT配置成功 19. 添加自定义路由。 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”。 3. 选择需要添加路由表的虚拟私有云，在“路由表”页面，单击“添加路由”。 4. 根据界面提示，填写路由信息。 目的地址：是目的网段，默认是0.0.0.0/0。 下一跳地址：是代理弹性云主机的私有IP地址。 您可以在弹性云主机页面，查看该弹性云主机的私有IP地址。 20. 如需删除添加的iptables规则，需执行以下命令： iptables t nat D POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat D POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4

修改性能参数 若干参数相关说明如下： maxconnections 数据库允许的最大连接数，参数值设置较小时，将会影响数据库建立连接访问。 innodbbufferpoolsize 、 maxconnections 和 backlog参数都依赖于实例的规格，实例规格不同对应其默认值也不同。 联动参数 charactersetserver：如果修改该参数的值， 系统会自动联动调整collationserver、charactersetdatabase,和collationdatabase的取值。一般的，如果字符序charactersetserver为utf8，则collationserver为utf8ci，两者之间存在对应关系。 innodbbufferpoolsize ： 该参数受innodbbufferpoolchunksize innodbbufferpoolinstances的影响，最终有效值为两参数乘积的整数倍向上取值。 比如innodbbufferpoolchunksize为128M，innodbbufferpoolinstances为8，那么当innodbbufferpoolsize为4.5G时候，系统会自动向上调节为5G大小(必须大于等于1288M(1G)的整数倍）。 参数修改限制 innodbbufferpoolsize参数值必须是innodbbufferpoolinstances和innodbbufferpoolchunksize参数值乘积的整数倍，非整数倍会自动向上调节为整数倍。 innodbbufferpoolinstances参数值设置大于1时，innodbbufferpoolsize值必须大于等于1GB。 maxpreparedstmtcount：对于MySQL5.7版本，上限值为1048576，对于MySQL 8.0版本，如果内核版本大于等于8.0.18，参数上限值为4194304，超过修改会自动截断为最大值。 其他参数 maxpreparedstmtcount：准备大量的语句会消耗服务器的内存资源，参数设置较小时，业务产生大量的prepare语句，并且可能会超出maxpreparedstmtcount参数限制，出现报错，建议您根据业务情况，调整该参数的值。 如下参数的输入会根据MySQL内核规则对取值进行对应的调整，调整的规则如下所示： (a) keycacheagethreshold会自动调整为100的倍数，设置为非100的整数倍时，会自动向下调节为100的整数倍。 (b) joinbuffersize和keycacheblocksize会自动调整为128的倍数。 (c) querycachesize、querypreallocsize、innodblogbuffersize和maxallowedpacket 、threadstack 会自动调整为1024的倍数。 (d) readbuffersize、readrndbuffersize、binlogcachesize 、binlogstmtcachesize 会自动调整为4096的倍数。 (e) databuffersize、logbuffersize、sharedpoolsize、tempbuffersize 会自动调整为1048576的倍数。 binlogformat：默认设置为row，表示将binlog记录成每一行数据被修改的形式，包括修改前和修改后的数据。该参数限制了进行修改，否则可能影响您的正常使用。 binlogrowsquerylogevents：默认设置为ON，表示binlog在记录events的同时，也会记录原始的SQL语句，方便以后的查询和审计，以及一些ETL等同步工具的兼容性，在大量更新场景下，对性能也有一定的影响。 binlogrowimage：默认设置为FULL，表示无论有没有主键约束或者唯一约束binlog都会记录所有前后镜像. logtimestamps：控制错误日志消息的时间戳时区，以及写入文件的一般查询日志消息和慢日志消息的时间戳时区。默认设置为系统时区，且无法修改。 defaulttimezone：默认设置为"+8:00"，可根据您的业务规则自定义修改。 skipnameresolve：默认值为ON，表示跳过域名解析从白名单的IP中判断是否可以建立连接。 innodbstrictmode：用于限制InnoDB的检查策略，默认值为ON，不建议进行修改为OFF来跳过限制检查。 transactionisolation：默认值设置为READCOMMITTED，可根据您的业务场景需要自行修改。 innodbadaptivehashindex：默认设置为OFF，可根据您的业务需要自行修改。 tabledefinitioncache和tableopencache分别默认为2000，可根据实例预计有多少个数据表，最大并发连接数的大小来调节这些参数值大小。 gtidmode：默认值设置为ON，采用GTID模式复制，修改会影响高可用组件，所以不支持修改。 tmptablesize：默认值设置为16M，可以根据业务SQL查询复杂度场景，比如使用复杂的order by ,group by查询，导致使用很多磁盘临时表，查询性能下降，适当增加此值，可以减少磁盘临时表的创建，减少IO。 maxheaptablesize：默认值设置为64M，设置允许用户创建的内存表的最大大小，变量的值用于计算内存表MAXROWS值。

本文主要介绍创建节点伸缩策略。 CCE的自动伸缩能力是通过节点自动伸缩组件autoscaler实现的，可以按需弹出节点实例，支持多可用区、多实例规格、多种伸缩模式，满足不同的节点伸缩场景。 当节点伸缩中创建的策略和autoscaler插件中的配置同时生效时（比如不可调度和指标规则同时满足时），将优先执行不可调度扩容。 若不可调度执行成功，则会跳过指标规则逻辑，进入下一次循环。 若不可调度执行失败，将执行指标规则逻辑。 前提条件 使用节点伸缩功能前，需要安装autoscaler插件，插件版本要求1.13.8及以上。 约束限制 仅按需计费节点池支持弹性伸缩。 弹性伸缩的策略作用在节点池，当节点池中节点为0时，且按CPU/内存弹性伸缩时，不会触发节点伸缩。 缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。缩容节点时使用了本地持久存储卷的Pod会从缩容的节点上被驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。 操作步骤 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“节点伸缩”，进入创建节点伸缩策略页面。 若插件名称后方显示“未安装”，请单击插件后方的“安装”，根据业务需求配置插件参数后单击“安装”，等待插件安装完成。 若插件名称后方显示“已安装”，则说明插件已安装成功。 步骤 3 单击右上角“创建节点伸缩策略”，参照如下参数设置策略。 策略名称：新建策略的名称，请自定义。 关联节点池：选择要关联的节点池。您可以关联多个节点池，以使用相同的伸缩策略。 说明 节点池新增了优先级功能，弹性扩容时CCE将按照如下策略来选择节点池进行扩容： 1. 通过预判算法判断节点池是否能满足让Pending的Pod正常调度的条件，包括节点资源大于Pod的request值、nodeSelect、nodeAffinity和taints等是否满足Pod正常调度的条件；另外还会过滤掉扩容失败（因为资源不足等原因）还处于15min冷却时间的节点池。 2. 有多个节点池满足条件时，判断节点池设置的优先级（优先级默认值为0，取值范围为0100，其中100为最高，0为最低），选择优先级最高的节点池扩容。 3. 如果有多个节点池处于相同的优先级，或者都没有配置优先级时，通过最小浪费原则，根据节点池里设置的虚拟机规格，计算刚好能满足Pending的Pod正常调度，且浪费资源最少的节点池。 4. 如果还是有多个节点池的虚拟机规格都一样，只是AZ不同，那么会随机选择其中一个节点池触发扩容。 5. 如果出现优先选择的节点池资源不足，会按照优先级顺序自动选择下一个节点池。 节点池优先级功能详情请参见创建节点池。 执行规则：单击“添加规则”，在弹出的添加规则窗口中设置如下参数： 规则名称： 请输入规则名称，可自定义。 规则类型： 可选择“指标触发”或“周期触发”，两种类型区别如下：指标触发： 触发条件：请选择“CPU分配率”或“内存分配率”，输入百分比的值。该百分比应大于autoscaler插件中配置的缩容百分比。 说明 分配率 节点池容器组（Pod）资源申请量 / 节点池Pod可用资源量 (Node Allocatable) 。 如果多条规则同时满足条件，会有如下两种执行的情况： 如果同时配置了“CPU分配率”和“内存分配率”的规则，两种或多种规则同时满足扩容条件时，执行扩容节点数更多的规则。 如果同时配置了“CPU分配率”和“周期触发”的规则，当达到“周期触发”的时间值时CPU也满足扩容条件时，较早执行的A规则会将节点池状态置为伸缩中状态，导致B规则无法正常执行。待A规则执行完毕，节点池状态恢复正常后，B规则也不会执行。 配置了“CPU分配率”和“内存分配率”的规则后，策略的检测周期会因autoscaler每次循环的处理逻辑而变动。只要一次检测出满足条件就会触发扩容（当然还要满足冷却时间、节点池状态等约束条件）。 周期触发： 触发时间：可选择每天、每周、每月或每年的具体时间点，如下图所示，则为每天15:00触发。 图 周期触发时间 执行动作 ：与上述“触发条件”或“触发时间”相对应，达到触发条件或触发时间值后所要执行的动作。 您可以单击“添加规则”，设置多条节点伸缩策略。您最多可以添加1条CPU使用率指标规则、1条内存使用率指标规则，且规则总数小于等于10条。 步骤 4 设置完成后，单击“确定”。

本小节介绍云下一代防火墙双向访问控制最佳实践。 背景信息 云下一代防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需整理按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址； 访问互联网业务是否存在限制，是否需要记录上网行为审计； 对外发布业务云主机信息，内网IP及对应公网IP； 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 配置操作 云计算边界扩展要求针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1） 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》 2） 访问互联网业务是否存在限制，是否需要记录上网行为审计； 3） 对外发布业务云主机信息，内网IP及对应公网IP； 4） 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 5） 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 6） 是否有WAF/CDN业务访问，提供源站白名单 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】，详细配置参考配置网络接口属性 3 配置基础准备环境 按需配置对象薄、地址薄等信息登录云墙，【对象】→【服务薄】/【地址薄】，详细配置参考配置服务对象薄 4 配置出向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【源NAT】，详细配置参考配置出站NAT策略 5 配置入向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【目的NAT】，详细配置参考配置入站NAT策略 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考配置出站路由和配置平台默认路由 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本文为您介绍轻量型云主机支持的镜像。 操作系统镜像是指对一个完整的操作系统进行位级别的复制，以创建一个与原始操作系统完全相同的副本。它是一个可启动的副本，可以直接安装到计算机的硬盘驱动器或虚拟机中，以创建一个与原始系统完全相同的工作环境。镜像包含了操作系统的所有文件、配置、驱动程序和应用程序，以及相应的目录结构和文件系统。通过操作系统镜像，用户可以快速而方便地配置新的计算机系统，而无需逐个安装操作系统、驱动程序和应用程序。镜像可以提供一个预先配置好的、可靠的基础系统，使得系统部署和配置变得更加简单和高效。 系统镜像 系统镜像是指对整个计算机系统（包括操作系统、应用程序、配置文件、驱动程序等）进行完全的位级别复制，以创建一个与原始系统完全相同的副本。系统镜像是一个完整的备份，可以用于系统部署、恢复和备份。 天翼云为用户提供以下类型的系统镜像： 镜像类型 说明 提供版本 Centos CentOS是一种基于开源代码的操作系统，它是以Red Hat Enterprise Linux（RHEL）为基础的免费发行版本。CentOS致力于提供企业级的稳定性、可靠性和兼容性，并长期提供安全更新和支持。 CentOS7.6 64位 CentOS7.7 64位 CentOS7.8 64位 CentOS8.0 64位 CentOS8.1 64位 CentOS8.2 64位 CentOS8.4 64位 Ubuntu Ubuntu是一种基于开源Linux的操作系统，以简单易用、稳定可靠和强大的社区支持而闻名。它提供直观友好的用户界面和广泛的软件选择，通过APT包管理工具轻松安装、更新和删除软件包。 Ubuntu 18.04 64位 Ubuntu 20.04 64位 Ubuntu 22.04 64位 Windows Windows操作系统是由微软公司开发和发布的操作系统，广泛应用于个人计算机和企业环境。它提供了直观的用户界面、丰富的应用程序和广泛的硬件兼容性，使用户能够轻松地进行日常任务、娱乐和生产工作。 Windows Server 2008 标准版 64位中文版 Windows Server 2008 企业版 R2 64位中文版 Windows Server 2012 标准版 R2 64位中文版 Windows Server 2012 数据中心版 R2 64位中文版 Windows Server 2016 标准版 R2 64位中文版 Windows Server 2016 数据中心版 64位中文版 Windows Server 2019 数据中心版 64位中文版 Windows Server 2022 数据中心版 64位中文版 注意 该表内为各资源池全量镜像，部分资源池支持镜像版本不一致，请以控制台实际情况为准。

测试环境URL plaintext 生产环境URL plaintext 示例 wget 接口验签 对ai/portal/v1/app/queryUserInfoByTicket 请求接口URL进行参数验签 请求头需带 参数名 参数值类型 值描述 YLSignature YLTimestamp 毫秒时间戳 YLRandom 8位随机数，例如Cq8s9vqi YL3rdAppcode ak 管理员提供 第三方应用的签名生成由下面几项决定： URL参数params(目前只支持验签URL参数，body参数不验） 时间戳YLTimestamp 随机数YLRandom（由客户端随机生成，用于区分极短时间内发起的相同参数请求） 第三方应用标识码YL3rdAppcode 本地预埋的sk 签名YLSignature生成方法： 1.将请求参数键值对中的key按照字母升序排序，而后将排好序的参数以“&”为分隔符进行拼接，产生一个字符串； 2.在步骤1字符串的基础上，再按顺序将sk、YLTimestamp、YLRandom、YL3rdAppcode以“&”为分隔符拼接在末尾； 3.基于单向哈希算法SHA256，应用密钥sk对步骤2的字符串生成签名。 例如：SHA256(param1123¶m2456&sk×tamp&random&appcode) 参数 参数类型 参数说明 ak String 用于请求参数签名的ak 向服务方申请提供 sk String 用于请求参数签名的私钥，私发 Java签名算法例子 OpenApiUtil.txt plaintext package com.ctg.ai.platform.demo.util; import org.apache.commons.lang3.RandomStringUtils; import java.nio.charset.StandardCharsets; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.; public class OpenApiUtil { private static final String KEYSEPARATOR "&"; / ak 由管理员提供 / private static final String HTTPHEADERYLAPPCODE "YL3rdAppcode"; / 时间戳 单位毫秒 / private static final String HTTPHEADERYLTIMESTAMP "YLTimestamp"; / 8位随机数 / private static final String HTTPHEADERYLRANDOM "YLRandom"; / 签名 / private static final String HTTPHEADERYLSIGNATURE "YLSignature"; / 组装验签头部 @param appKey @param appSecret @param paramMap @return / public static Map buildHeaders(String appKey, String appSecret, Map paramMap) { if (appKey null appSecret null) { return null; } // 组装前置条件 Long timestamp System.currentTimeMillis(); String random RandomStringUtils.randomAlphanumeric(8); // 计算签名 String signature buildSignature(appKey, appSecret, random, timestamp, paramMap); // 组装HTTP头部 return buildHeaders(appKey, random, timestamp, signature); } / 签名 @param appKey @param appSecret @param random @param timestamp @param paramMap @return / private static String buildSignature(String appKey, String appSecret, String random, Long timestamp, Map paramMap) { if (appKey null appSecret null random null timestamp null) { return null; } // 组成签名前原串 StringBuilder sb new StringBuilder(); if (paramMap ! null && paramMap.size() > 0) { List keys new ArrayList<>(paramMap.keySet()); // 参数排序 (ASCII 升序) Collections.sort(keys); for (String key : keys) { String val paramMap.get(key)[0]; sb.append(key).append("").append(val).append(KEYSEPARATOR); } } sb.append(appSecret).append(KEYSEPARATOR) .append(timestamp).append(KEYSEPARATOR) .append(random).append(KEYSEPARATOR) .append(appKey); ; return sha256(sb.toString().getBytes(StandardCharsets.UTF8)); } / 组装验签头部 @param appKey @param random @param timestamp @param signature @return / private static Map buildHeaders(String appKey, String random, Long timestamp, String signature) { Map headers new HashMap<>(4); if (appKey ! null) { headers.put(HTTPHEADERYLAPPCODE, appKey); } if (random ! null) { headers.put(HTTPHEADERYLRANDOM, random); } if (timestamp ! null) { headers.put(HTTPHEADERYLTIMESTAMP, ""+timestamp); } if (signature ! null) { headers.put(HTTPHEADERYLSIGNATURE, signature); } return headers; } // 哈希部分逻辑 private static final char[] LOWERHEXDIGITS new char[]{'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'}; private static final String MD5ALGORITHMNAME "MD5"; private static final String SHA256ALGORITHMNAME "SHA256"; public static String md5(byte[] data) { return encodeAsHexString(MD5ALGORITHMNAME, data); } public static String sha256(byte[] data) { return encodeAsHexString(SHA256ALGORITHMNAME, data); } / 使用 {@code algorithmName} 加密算法编码 {@code data} @param algorithmName 算法名 @param data 被编码的字节数组 @return {@code data} 编码后的小写 16 进制形式字符串 @throw IllegalStateException 当找不到 {@code algorithmName} 对应算法 / private static String encodeAsHexString(String algorithmName, byte[] data) { try { byte[] hash MessageDigest.getInstance(algorithmName).digest(data); return new String(encodeHex(hash)); } catch (NoSuchAlgorithmException e) { throw new IllegalStateException("MessageDigest 找不到算法：" + algorithmName, e); } } private static char[] encodeHex(byte[] data) { int l data.length; char[] arr new char[l >> 4]; arr[j++] LOWERHEXDIGITS[15 & data[i]]; } return arr; } public static void main(String[] args) { String ak "ak"; String sk "sk"; Map paramMap new HashMap<>(2); paramMap.put("param2", new String[]{"456","789"}); paramMap.put("param1", new String[]{"123"}); Map header buildHeaders(ak, sk, paramMap); System.out.println("header"+header); } }

解密本地文件 步骤1 请准备基础认证信息。 ACCESSKEY: 帐号Access Key SECRETACCESSKEY: 帐号Secret Access Key PROJECTID: 项目ID KMSENDPOINT: KMS服务访问终端地址。 步骤2 解密本地文件。 示例代码中： 用户主密钥：控制台创建的密钥ID。 输出的密文数据文件：SecondEncryptFile.jpg。 加密后再解密的数据文件：ThirdDecryptFile.jpg。 import com.ctyun.sdk.core.auth.BasicCredentials; import com.ctyun.sdk.kms.v1.KmsClient; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequest; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequestBody; import com.ctyun.sdk.kms.v1.model.CreateDatakeyResponse; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequest; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequestBody; import javax.crypto.Cipher; import javax.crypto.spec.GCMParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.nio.file.Files; import java.security.SecureRandom; / 使用数据密钥（DEK）进行文件加解密 激活assert语法，请在VMOPTIONS中添加ea / public class FileStreamEncryptionExample { private static final String ACCESSKEY " "; private static final String SECRETACCESSKEY " "; private static final String PROJECTID " "; private static final String KMSENDPOINT " "; // KMS服务接口版本信息，当前固定为v1.0 private static final String KMSINTERFACEVERSION "v1.0"; / AES算法相关标识： AESKEYBITLENGTH: AES256密钥比特长度 AESKEYBYTELENGTH: AES256密钥字节长度 AESALG: AES256算法，本例分组模式使用GCM，填充使用PKCS5Padding AESFLAG: AES算法标识 GCMTAGLENGTH: GCM TAG长度 GCMIVLENGTH: GCM 初始向量长度 / private static final String AESKEYBITLENGTH "256"; private static final String AESKEYBYTELENGTH "32"; private static final String AESALG "AES/GCM/PKCS5Padding"; private static final String AESFLAG "AES"; private static final int GCMTAGLENGTH 16; private static final int GCMIVLENGTH 12; public static void main(final String[] args) { // 您在控制台创建的用户主密钥ID final String keyId args[0]; // 创建数据密钥时，响应的密文数据密钥 final String cipherText args[1]; decryptFile(keyId, cipherText); } / 使用数据密钥加解密文件实例 @param keyId 用户主密钥ID @param cipherText 密文数据密钥 / static void decryptFile(String keyId，String cipherText) { // 1.准备访问认证信息 final BasicCredentials auth new BasicCredentials().withAk(ACCESSKEY).withSk(SECRETACCESSKEY) .withProjectId(PROJECTID); // 2.初始化SDK，传入认证信息及KMS访问终端地址 final KmsClient kmsClient KmsClient.newBuilder().withCredential(auth).withEndpoint(KMSENDPOINT).build(); // 3.准备待加密的文件 // inFile 待加密的文件 // outEncryptFile 加密后的文件 // outDecryptFile 加密后再解密的文件 final File inFile new File("FirstPlainFile.jpg"); final File outEncryptFile new File("SecondEncryptFile.jpg"); final File outDecryptFile new File("ThirdDecryptFile.jpg"); // 4.使用AES算法进行解密时，初始向量需要与加密时保持一致，此处仅为占位。 final byte[] iv new byte[GCMIVLENGTH]; // 5.组装解密数据密钥的请求，其中cipherText为创建数据密钥时返回的密文数据密钥。 final DecryptDatakeyRequest decryptDatakeyRequest new DecryptDatakeyRequest() .withVersionId(KMSINTERFACEVERSION).withBody(new DecryptDatakeyRequestBody() .withKeyId(keyId).withCipherText(cipherText).withDatakeyCipherLength(AESKEYBYTELENGTH)); // 6.解密数据密钥，并对返回的16进制明文密钥换成byte数组 final byte[] decryptDataKey hexToBytes(kmsClient.decryptDatakey(decryptDatakeyRequest).getDataKey()); // 7.对文件进行解密，并存储解密后的文件 // 句末的iv为加密示例中创建的初始向量 doFileFinal(Cipher.DECRYPTMODE, outEncryptFile, outDecryptFile, decryptDataKey, iv); // 8.比对原文件和加密后再解密的文件 assert getFileSha256Sum(inFile).equals(getFileSha256Sum(outDecryptFile)); } / 对文件进行加解密 @param cipherMode 加密模式，可选值为Cipher.ENCRYPTMODE或者Cipher.DECRYPTMODE @param infile 待加解密的文件 @param outFile 加解密后的文件 @param keyPlain 明文密钥 @param iv 初始化向量 / static void doFileFinal(int cipherMode, File infile, File outFile, byte[] keyPlain, byte[] iv) { try (BufferedInputStream bis new BufferedInputStream(new FileInputStream(infile)); BufferedOutputStream bos new BufferedOutputStream(new FileOutputStream(outFile))) { final byte[] bytIn new byte[(int) infile.length()]; final int fileLength bis.read(bytIn); assert fileLength > 0; final SecretKeySpec secretKeySpec new SecretKeySpec(keyPlain, AESFLAG); final Cipher cipher Cipher.getInstance(AESALG); final GCMParameterSpec gcmParameterSpec new GCMParameterSpec(GCMTAGLENGTH Byte.SIZE, iv); cipher.init(cipherMode, secretKeySpec, gcmParameterSpec); final byte[] bytOut cipher.doFinal(bytIn); bos.write(bytOut); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } } / 十六进制字符串转byte数组 @param hexString 十六进制字符串 @return byte数组 / static byte[] hexToBytes(String hexString) { final int stringLength hexString.length(); assert stringLength > 0; final byte[] result new byte[stringLength / 2]; int j 0; for (int i 0; i < stringLength; i + 2) { result[j++] (byte) Integer.parseInt(hexString.substring(i, i + 2), 16); } return result; } / 计算文件SHA256摘要 @param file 文件 @return SHA256摘要 / static String getFileSha256Sum(File file) { int length; MessageDigest sha256; byte[] buffer new byte[1024]; try { sha256 MessageDigest.getInstance("SHA256"); } catch (NoSuchAlgorithmException e) { throw new RuntimeException(e.getMessage()); } try (FileInputStream inputStream new FileInputStream(file)) { while ((length inputStream.read(buffer)) ! 1) { sha256.update(buffer, 0, length); } return new BigInteger(1, sha256.digest()).toString(16); } catch (IOException e) { throw new RuntimeException(e.getMessage()); } } }

本文主要介绍搭建可自动伸缩的web服务场景介绍。 某电商平台为吸引用户，除定期推出优惠活动外，还会在节假日、会员日、购物节开展大型促销活动。为保证顺利承载活动带来的流量，运维人员可以分析活动历史数据，提前预估新活动所需的计算资源。但如果高峰期流量超出预估，仍需要临时手动创建ECS实例，不仅操作仓促，而且可能因操作不及时影响应用可用性。 本文重点介绍创建弹性伸缩实现云主机自动伸缩的过程。如何利用弹性伸缩搭建可自动伸缩的Web应用，快速响应业务的峰谷波动，稳定承载日常业务的同时，轻松应对活动期间突增的流量。当电商平台服务的负载增加时云主机的CPU使用率会增大，负载降低时CPU使用率会降低。我们配置两条监控CPU使用率的告警策略，分别在CPU使用率高于50%时增加一台云主机，在CPU使用率低于10%时减少一台云主机，保证服务始终有合适数量的云主机，实现自动伸缩云主机的功能。

介绍分布式消息服务RocketMQ与天翼云其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务RocketMQ提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 分布式消息服务RocketMQ订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务RocketMQ持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 分布式消息服务RocketMQ订购后，默认按照用户选择的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务RocketMQ提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。