本页主要介绍关系数据库MySQL版的性能测试方法。 前提条件 快速创建关系数据库MySQL版实例。 创建弹性云主机ECS。 测试环境 测试使用ECS和RDS实例均在同一地域、同一可用区。所有测试在西南1资源池完成。 测试使用ECS和RDS实例在同一VPC内。 测试使用ECS信息： 规格为s8.4xlarge.2 镜像为CentOS 7.9 测试使用RDS信息： 规格为通用计算增强型C7下各规格、存储类型为超高IO数据盘500G； 通用计算增强型C8下各规格、存储类型为XSSD1数据盘500G； 参数模板均为RDS默认参数模板。 说明 1.ECS规格较高是为了保证测试时性能瓶颈不在ECS端。 2.RDS数据盘大小涉及IOPS及IO吞吐量上限，需确保容量符合IO能力要求。 测试工具 Sysbench工具 Sysbench是一个跨平台且支持多线程的模块化基准测试工具，用于评估系统在运行高负载的数据库时相关核心参数的性能表现。 本次测试使用的Sysbench版本为1.0.20。 表1 Sysbench参数说明 参数 说明 dbdriver 数据库引擎。 mysqlhost RDS实例连接地址。 mysqlport RDS实例连接端口。 mysqluser RDS实例账号。 mysqlpassword RDS实例账号对应的密码。 mysqldb RDS实例用于测试的数据库名。 tablesize 测试表大小。 tables 测试表数量。 events 测试请求数量。 time 测试时间。 threads 测试并发线程数。 percentile 需要统计的百分比，默认值为95%，即请求在95%的情况下的执行时间。 reportinterval 测试进度报告输出频率，表示N秒输出一次测试进度报告。 skiptrx 是否跳过事务。1：跳过0：不跳过 安装方法 ECS实例执行如下命令安装Sysbench。 plaintext sudo yum install gcc gccc++ autoconf automake make libtool mysqldevel git mysql git clone

如果系统预置的CBR权限，不满足您的授权要求，可以创建自定义策略。 目前云平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见《统一身份认证服务用户指南》的“创建自定义策略”章节。 本章为您介绍常用的CBR自定义策略样例。 CBR自定义策略样例 示例1：授权用户创建、修改和删除存储库 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbr::get", "cbr::list", "cbr:vaults:update", "cbr:vaults:delete", "cbr:vaults:create" ] } ] } 示例2：拒绝用户删除存储库和备份 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CBR FullAccess的系统策略，但不希望用户拥有CBR FullAccess中定义的删除存储库权限，您可以创建一条拒绝删除存储库和备份的自定义策略，然后同时将CBR FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对CBR执行除了删除存储库和备份外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cbr:backups:delete", "cbr:vaults:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbr:vaults:create", "cbr:vaults:update", "cbr:vaults:delete" ] }, { "Effect": "Allow", "Action": [ "sfs:shares:createShare" ] } ] }

操作场景 为生产站点与容灾站点建立绑定关系。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面右上角，单击“创建站点复制对”。 4. 选择需要创建的站点复制对类型，根据界面提示配置参数，参数说明表如下表所示 1. 跨可用区：生产站点和容灾站点位于同区域内不同可用区 2. 跨区域：生产站点和容灾站点位于不同区域 3. IDC上云：生产站点为本地数据中心。 表 参数说明 参数 说明 取值样例 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择搭建云上容灾专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 容灾站点 可用区 容灾站点服务器所在的可用区。 AZ2 容灾站点 网络 容灾站点服务器所在的VPC。 VPC02

为保证Web应用防火墙实例的可靠性、可用性和可观测性，对Web应用防火墙进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的Web应用防火墙监控功能，可方便用户更快、更直观的了解Web应用防火墙的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理Web应用防火墙实例。 当用户开通Web应用防火墙（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 实例支持的监控指标 监控指标 指标说明 是否支持告警 监控周期 QPS瞬时峰值 该指标用于统计近1分钟内防护域名的QPS峰值。 是 1分钟 QPS均值 该指标用于统计近1分钟内防护域名的QPS均值。 是 1分钟 QPS 该指标用于统计测量对象近1分钟内WAF返回的请求量的总数。 是 1分钟 返回码（2XX） 该指标用于统计测量对象近1分钟内返回的2XX状态码的数量。 是 1分钟 返回码（3XX） 该指标用于统计测量对象近1分钟内返回的3XX状态码的数量。 是 1分钟 返回码（4XX） 该指标用于统计测量对象近1分钟内返回的4XX状态码的数量。 是 1分钟 返回码（5XX） 该指标用于统计测量对象近1分钟内返回的5XX状态码的数量。 是 1分钟 长连接峰值数 该指标用于统计5分钟内长连接峰值数。 是 5分钟 入网带宽的峰值 该指标用于统计近1分钟内防护域名入网带宽的峰值。 是 1分钟 入网带宽的均值 该指标用于统计近1分钟内防护域名入网带宽的均值。 是 1分钟 出网带宽的峰值 该指标用于统计近1分钟内防护域名出网带宽的峰值。 是 1分钟

对比维度 云主机备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云服务器的“装机盘”，它提供了启动云服务器所需的所有信息，其目的是为了创建云服务器，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云服务器/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原服务器/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的服务器/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将服务器的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的服务器，数据盘镜像可以创建新的磁盘，实现业务迁移。 应用场景 数据备份和恢复 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

一台弹性云主机是否可以绑定多个弹性公网IP？ 一台弹性云主机可以绑定多个弹性公网IP，但是不建议您这样操作。 当云主机绑定多个公网IP时，需要在云主机内部配置策略路由，才可以确保这些弹性IP可以正常进行外部通信。 未绑定弹性公网IP的弹性云主机能否访问外网？ 能。 您可以使用天翼云的NAT网关产品。NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，VPC）内的计算实例提供网络地址转换（Network Address Translation），分为SNAT和DNAT两个功能。通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。 为什么弹性云主机可以远程连接，但是无法ping通？ 弹性云主机需要确保安全组的入方向规则添加了“ICMP协议”。 登录弹性云主机控制台，单击弹性云主机实例名称，进入详情页，单击安全组页签，点击安全组名称，下拉详情，点击添加规则： 方向：入方向 授权策略：允许 协议：ICMP 源地址：IP 地址 0.0.0.0/0 单击确定，完成ICMP协议添加，再次尝试是否能够ping通。 如何查询云平台上服务器的出口公网IP地址？ 操作场景 当云主机绑定弹性公网IP（对于可用区资源池配置了指向IPv4网关的路由；对于地域资源池绑定弹性公网IP即可），通常通过弹性公网IP访问Internet。 您可以登录天翼云控制台，在弹性云主机列表中查看弹性云主机绑定的弹性公网IP，具体请参见查看云主机详细信息。 您也可以直接在弹性云主机上通过命令查询IP地址，本文以Ubantu20.04系统的弹性云服务器为例进行介绍。 操作步骤 1. 登录弹性云主机。 2. 执行以下任意一条命令，查询弹性云主机绑定的的弹性公网IP地址。 curl icanhazip.com curl ifconfig.me curl ipinfo.io/ip curl ipecho.net/plain

对比维度 云服务备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云主机的“装机盘”，它提供了启动云主机所需的所有信息，其目的是为了创建云主机，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云主机/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原主机/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的主机/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将主机的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的主机，数据盘镜像可以创建新的磁盘，实现业务迁移。 是否可以导出至本地：部分可以，整机镜像不支持导出至本地，详见 应用场景 适用场景： 数据备份与恢复 业务快速部署和迁移 适用场景： 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据。 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

本文档为制作Linux系统私有镜像指导手册的步骤4,安装QEMUGuestAgent。 操作场景 QEMUGuestAgent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 安装QEMUGuestAgent 如果您已经参考步骤2完整安装了全量软件，则可以直接配置cloudinit。 如果您未安装cloudinit，请执行以下命令完成安装。 说明 以下命令均可直接全量复制到命令行执行。 Red Hat系列Linux操作系统使用如下命令 plaintext yum install y qemuguestagent Debian系列Linux操作系统使用如下命令 plaintext apt install y qemuguestagent 配置QEMUGuestAgent 1. 通过执行以下shell命令，完成对qemuga和qemuguestagent.service配置文件的修改。 plaintext 若 /etc/sysconfig/qemuga 文件存在，则确认 BLACKLISTRPC、FILTERRPCARGS 所在行已被注释。 qemugaconfig'/etc/sysconfig/qemuga' if [ f "$qemugaconfig" ]; then [ ! f "${qemugaconfig}.bak" ] && cp "$qemugaconfig" "${qemugaconfig}.bak" sed i '/^[[:space:]]BLACKLISTRPC/ s/^/ /' "$qemugaconfig" sed i '/^[[:space:]]FILTERRPCARGS/ s/^/ /' "$qemugaconfig" fi 自定义 qemuguestagent 服务配置。 if [ f '/lib/systemd/system/qemuguestagent.service' ] [ f '/usr/lib/systemd/system/qemuguestagent.service' ]; then qemugaservicedropindir'/etc/systemd/system/qemuguestagent.service.d/' mkdir p "$qemugaservicedropindir" cat <<'EOT' >"${qemugaservicedropindir}zzctims.conf" [Install] WantedBydevvirtiox2dportsorg.qemu.guestagent.0.device EOT systemctl daemonreload fi 2. 配置服务。 plaintext systemctl enable qemuguestagent 3. 检查服务状态。 plaintext systemctl status qemuguestagent

本文介绍创建私有镜像的一个场景:通过镜像文件导入创建Linux系统盘镜像。 场景说明 除了通过云主机创建私有镜像外，天翼云也支持外部镜像导入功能，可将本地或者其他云平台的服务器系统盘镜像文件导入至镜像服务私有镜像中。导入后，用户可以使用该镜像创建新的云主机。 本次以Linux操作系统为例，介绍如何通过外部镜像文件创建Linux系统盘镜像。 前提条件 1. 在导入私有镜像前，在源服务器上完成以下准备工作。 安装并使用镜像规范检测工具，自动检测Linux系统设置是否符合导入条件。 安装Cloudinit，使运行该镜像的实例能成功完成初始化配置。 安装virtio驱动（必装），使该镜像创建的云主机实例能够启动。如未安装，会导致虚拟机无法启动。 安装QGA驱动（必装）,使镜像能够进行重置密码等操作。如未安装，会导致虚拟机无法重置密码。 安装监控驱动（建议），实现对基于该镜像创建的云主机的状态监控。 具体操作步骤参见导入私有镜像用户操作指南。 2. 转换镜像格式，目前天翼云镜像服务支持RAW、qcow2、vmdk、vhd格式的镜像文件的上传，如果想要较快创建镜像，建议使用qcow2格式镜像。其他类型文件请做格式转换。 操作步骤 步骤一：上传镜像文件至对象存储 1. 登录控制中心，选择业务地域，选择“存储>对象存储”。 2. 在对象存储控制台点击“创建桶”，配置桶参数（Bucket名称、企业项目、存储类型、读写权限）。单击“确定”，完成桶创建。 3. 单击桶名称进入桶详情页，选择文件管理页签，单击“上传文件”。 4. 选择要上传到对象存储的本地镜像文件。点击“确定“，等待镜像文件上传完成。 5. 点击镜像文件名称，进入文件详情页，获取镜像文件URL。

本文介绍事件总线EventBridge中的基本概念。 CloudEvents 1.0 CloudEvents 1.0 是一个用于以标准方式描述事件数据的开源规范，旨在简化事件声明及跨服务、跨平台的消息投递。 事件 事件源状态变化的数据记录。 事件源 事件的来源，负责生产事件。事件源包括以下类型： 天翼云官方事件源：作为事件源与事件总线EventBridge对接的其他天翼云服务。 自定义事件源：自定义应用或者存量消息数据作为事件源将事件主动拉取到自定义总线。 事件总线 负责接收来自事件源的事件。事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需要您自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。 事件规则 用于监控、路由与转换特定类型的事件。当发生匹配事件时，事件会被路由到与事件规则关联的事件目标。规则可以与一个或多个事件目标关联。事件规则包括： 事件模式 事件转换 事件目标 事件模式 对事件进行过滤的模块。事件模式支持对符合CloudEvents协议的事件对除data外的字段进行过滤。事件模式采用JSON格式进行描述。 事件转换 对事件内容进行转换，在事件被路由到事件目标前转换事件内容。事件转换器支持以下类型： 完整事件：将全部的事件内容路由到目标。 部分事件：通过JSONPath提取事件中的数据，将指定的事件内容路由到目标。 常量：不管事件内容是什么，都将常量路由到目标。 模板：自定义一个模板并定义模板里需要的变量，通过JSONPath提取事件中的数据，按照模板定义的形式进行转换。

本节介绍了分布式消息服务RabbitMQ产品常见应用场景。 行业应用 RabbitMQ在需要高效、可靠的消息传递和处理的任何行业都有广泛的应用，常见行业及其实际业务场景如下。 电子商务：RabbitMQ可用于处理订单和库存管理，处理支付通知及其它与物流相关的消息。 金融服务：RabbitMQ可以用于处理实时交易数据、通知和报价，并支持金融机构之间的异步通信。 电信：RabbitMQ可用于处理电话呼叫记录、短信和多媒体消息的分发等。 物流和供应链管理：RabbitMQ可以用于跟踪货物的位置和状态，以及协调供应链中各个环节的消息传递。 社交媒体：RabbitMQ可以用于实现实时消息推送、聊天和通知功能，以及处理用户生成内容。 游戏开发：RabbitMQ可用于处理游戏中的多人互动、玩家间的消息传递和协作。 科学和研究领域：RabbitMQ可以用于分布式计算、任务队列和数据流处理。 RabbitMQ通常用于业务的应用解耦、错峰流控与流量削峰和异步通信场景。 应用解耦 RabbitMQ可以将应用程序之间的耦合度降低，使得系统更加灵活和可扩展。以下是一些使用RabbitMQ实现应用解耦的举例： 订单和库存管理系统：假设有一个在线商店，订单系统负责接收和处理用户的订单，而库存管理系统则负责跟踪库存并更新库存状态。通过使用RabbitMQ，订单系统可以将订单信息发送到一个名为"orderqueue"的消息队列中，而库存管理系统则监听该队列，并在收到订单消息时进行库存更新。这样，订单系统和库存管理系统可以解耦，并且可以独立地进行扩展和维护。 日志处理系统：在一个大规模的分布式系统中，各个服务都会生成大量的日志信息。为了对这些日志进行集中管理和分析，可以使用RabbitMQ作为日志消息的中间代理。每个服务将其产生的日志消息发送到RabbitMQ的一个名为"logqueue"的消息队列中，然后日志处理系统从该队列中消费日志消息，并进行相应的处理和存储。这样，每个服务的日志处理可以独立进行，互不影响。 流量控制系统：在一个微服务架构中，可能会有多个服务实例同时运行，当某个服务实例过载时，传统的负载均衡器无法有效地控制流量分发。通过使用RabbitMQ，可以实现基于消息的流量控制。每个服务实例将其当前的负载情况发送到一个名为"loadqueue"的消息队列中，一个负载控制器订阅该队列，并根据各个服务实例的负载情况来动态调整流量分发。这样，流量控制仍然可以在应用层面进行解耦。

SQL审核功能够对提交的SQL语句进行规范审查，并提供针对性的优化建议。这一功能有助于防止使用未建立索引或格式不规范的SQL语句，从而有效减少SQL注入的安全风险。 前提条件 组织版本为企业版。 目前仅支持MySQL、PostgreSQL、DRDS、Oracle数据库。 功能介绍 在项目开发阶段，业务逻辑和数据显示依赖于数据库的SQL操作。上线前，必须对所有SQL进行严格审核，以防不规范语句影响生产环境。为避免人工审核的低效和资源浪费，DMS提供了SQL审核功能，依据自定义安全规则提出优化建议，如设定表需有主键、主键类型限制等，以提高研发效率和保障数据库规范。SQL相关规则详细配置请参考SQL规范。 操作步骤 创建SQL审核工单 1. 登录DMS控制台。 2. 在左侧导航栏，选择SQL治理 > SQL审核 ，进入SQL审核管理页面。 3. 单击SQL审核按钮，弹出SQL审核工单填写界面，工单需要输入的内容说明见下表1。 4. 填写完SQL审核工单后，单击提交按钮，即完成工单的提交，进入SQL规范检查。 5. SQL审核工单检查通过之后，会自动进入审批流程。管理员将再次确认SQL，审批完成则工单流程结束。 表1 SQL审核工单输入内容说明 输入内容 说明 : 目标实例 必填项，选择执行SQL语句的目标实例，目前支持MySQL，PostgreSQL，DRDS，Oracle数据源。 目标数据库 选填项，选择执行SQL语句的目标数据库。如果未选中目标数据库，则会只检查“离线规则”，“在线规则”和“离线规则”详见 SQL规范。 关联人 选填项，选择需要看到此工单的用户名，关联人可在工单列表页面查看到此工单。 审核内容 必填项，上传或编辑审核内容。 注意 支持单个SQL文件、MyBatis框架XML文件或多文件打包成ZIP。单SQL/XML文件最大2M。ZIP不可超过20M，路径深度最大5层，最多包含200个文件。 如果上传文件为单文件，上传的文件内容将自动解析至输入框中，覆盖输入框内原有内容；如果上传文件为ZIP，上传的文件目录、文件名将自动展示到页面。 工单说明 描述工单备注内容。 说明 检查结果中如果有强制改进项，用户需要改进该项命中的SQL并重新检查通过之后，才能进入审批流程。 如果有建议改进项，不会阻断任务流程，但会出现改进建议。 强制改进和建议改进的定义，详见

建议您开启风险告警，配置了风险告警后，当数据库访问触发了审计规则时，DBSS才能及时将风险通知给您。 场景一：核心资产数据库表的异常访问、告警 示例：某电商网站后台分为多个微服务，分别为订单管理服务、用户管理服务、商品搜索服务等，各服务部署在不同的服务节点上，有不同IP地址，如图所示。 服务器部署拓扑图 绿色箭头为正常访问路径，如果订单管理服务或商品搜索服务两个节点被攻陷，攻击者会从这两个节点去访问数据库的用户信息表，意图窃取用户信息，就属于数据库的异常访问。 在DBSS中可通过如下规则设置来检测数据库异常访问情况： 添加数据库异常访问 如图所示填写的规则表示从192.168.1.1或192.168.3.3上发起的所有针对userinfo表的操作都是“高风险”。 设置该规则后，所有异常访问或窃取表userinfo的行为都会被审计，并且触发风险告警。 添加“操作对象”时，单击“添加操作对象”，填写“目标数据库”和“目标表”，单击“确认”，完成添加。 场景二：利用DBSS进行应用程序的SQL语句性能优化 示例：某应用上线之后发现当用户执行某些操作时总会出现界面长时间卡顿。经定位，发现后台应用访问数据库时出现好几秒的时延，但未定位到具体是哪些语句导致。 此时可利用DBSS的“数据库慢SQL检测”规则进行辅助定位，帮助开发人员进行性能优化。 操作步骤如下： 1. 登入DBSS控制台，进入风险操作页面。进入风险操作页面 2. 单击“数据库慢SQL检测”项“操作”列的“编辑”，在编辑页面的底部设置执行时长规则设置为大于1000毫秒。设置执行时长 3. 单击“确认”，完成设置。 4. 设置完成后，待运行一段时间，在语句页面下的规则名称搜索框中填入“数据库慢SQL检测”对检测情况进行检索。 说明 您可对检索的结果进行分析，对可进行优化的SQL进行优化。 若需要进行多轮优化，您可对规则中的“执行时长”字段进行修改，逐步缩小时间，直到达成性能提升的目标。

本节介绍了权限管理的相关内容。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望拥有云数据库 GeminiDB的使用权限，但是不希望拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制对云数据库 GeminiDB资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了云数据库 GeminiDB的所有系统权限。 表 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 服务所有权限。 系统策略 无 GeminiDB ReadOnlyAccess 服务只读权限。 系统策略 无 下表列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 标签列表 √ √ 标签操作 √ x 下表列出了常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 标签操作 nosql:instance:tag 支持： IAM项目(Project) 标签列表 nosql:tag:list 支持： IAM项目(Project)

本节介绍集群定时备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 下发备份任务 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 集群定时备份 > 创建备份 ，进入集群定时备份配置页面。 4. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一。 命名空间 非必填，选择备份资源的命名空间，可多选。 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入。 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath。 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理。 时间点 必填，定时备份时执行的时间点，为整点。 重复周期 必填，定时备份任务重复在一周内哪几天触发执行。 说明 1. 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理。 2. 备份任务下发后，在备份列表中可查看定时备份任务的各项配置。 备份列表的操作列还包含以下三个操作： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。

本文为您介绍Linux系统重启后/etc/hosts自动添加主机名解析的处理方法。 问题描述 重启使用 Linux 系统的云主机后发现 /etc/hosts 文件被全部重写或被添加了主机名和回环地址（例：127.0.0.1、127.0.1.1）的解析，导致域名解析不符合预期或出现问题。 问题原因 云平台 Linux 镜像中的一个核心组件是 cloudinit。作为开源的云初始化程序，cloudinit 主要用于对主机名、初始密码等一些自定义信息进行初始化配置。若 cloudinit 配置中存在对 manageetchosts 的配置，则 cloudinit 会根据具体配置值决定如何调整 /etc/hosts 文件。公共镜像默认不启用 cloudinit 对 /etc/hosts 的修改功能，即 manageetchosts 不做配置或配置为 false（默认值）。若您使用了公共镜像并修改了 cloudinit 配置或使用了私有镜像，则可参考此指导来尝试解决问题。 问题排查思路 /etc/hosts 文件被全部重写可能是因为 cloudinit 配置中将 manageetchosts 配置成了true（若您安装的 cloudinit 版本低于22.3，则还可能是配置成了 template）。此时，cloudinit 会根据/etc/cloud/templates/hosts.tmpl 来重写 /etc/hosts 文件。 而 /etc/hosts 文件被添加主机名解析可能是因为 cloudinit 配置中将 manageetchosts 配置成了 localhost。 解决步骤 1. Cloudinit 配置文件是 /etc/cloud/cloud.cfg，您可能还将自定义配置放于 /etc/cloud/cloud.cfg.d/ 目录下。搜索包含 manageetchosts 配置的文件可使用以下命令： grep rn ‘manageetchosts’ /etc/cloud/ 返回结果示例： 2. 以上述返回结果为例，可以看到在/etc/cloud/cloud.cfg 文件中的第20 行将 manageetchosts 配置成了 localhost，此时您需要修改 cloud.cfg 中的 manageetchosts 配置，即： 原文：manageetchosts: localhost 修改后：

步骤二：首次镜像配置—配置私有引导镜像 1. 在服务列表选择“计算”“镜像服务”，进入“++镜像服务控制台++”。 2. 按照“流程引导”进行相关步骤操作：开通对象存储并创建桶、上传镜像文件（该步骤可忽略，多活容灾侧已提供镜像文件）、导入镜像。 3. 在创建私有镜像页面，镜像源选择“镜像文件”，Linux系统操作系统恢复引导镜像为LiveCD.qcow2（可参考++镜像文件地址++），操作系统固定选择Centos7.3版本。 步骤三：备份服务器配置 1. 在服务列表选择“计算”“多活容灾服务”，进入++多活容灾服务控制台++。 2. 创建命名空间：点击左侧菜单栏 “命名空间”，进入命名空间页面。点击右上角“创建命名空间”按钮，进入创建命名空间页面。选择容灾形态为“异地主备”，生产中心和容灾中心为资源池A和资源池B。 3. 纳管资源：点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页，选择上步创建的命名空间。点击“同步天翼云云主机”按钮，选择分区后 ，选择需要同步的备份服务器，同步至多活容灾服务平台。 4. 安装客户端：点击操作列“安装客户端”按钮，完成drnode一键安装。该安装步骤包括创建VPCE、修改hosts文件、下载drnode安装包、配置网络参数等操作。 5. 开启数据保护：点击操作列“开启数据保护”按钮，页面分为基础配置、节点角色配置、确认配置三部分。在基础配置部分，填写用户名、密码、认证码后，点击“认证”按钮进行节点认证，填写其他内容后，点击“下一步：角色配置”；在角色配置部分，选择节点角色为备份客户端、备份服务器、FFO/CDM整机客户端。具体操作可参考：[++开启数据保护++](

本文主要介绍如何记录弹性伸缩。 操作场景 弹性伸缩支持使用云审计记录服务资源操作。云审计记录的操作类型有三种，通过云平台帐户登录管理控制台执行的操作，通过云服务支持的API执行的操作，以及系统内部触发的操作。 如果用户开通了云审计，AS服务的API被调用时，调用信息将会上报到云审计，云审计会将操作信息定时的转储到用户指定的对象存储桶。通过云审计服务，您可以记录与弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 Cloud Trace Service中的AS信息 在您的应用系统中启用云审计服务后，将在日志文件记录对弹性伸缩执行的API调用的操作。您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录，您可以通过对象存储服务（Object Storage Service，以下简称OBS），将操作记录实时同步保存至OBS。 云审计服务支持的AS操作列表如下表所示。 表 云审计服务支持的AS操作列表 操作名称 资源类型 事件名称 创建伸缩组 scalinggroup createScalingGroup 修改伸缩组 scalinggroup modifyScalingGroup 删除伸缩组 scalinggroup deleteScalingGroup 启用伸缩组 scalinggroup enableScalingGroup 停用伸缩组 scalinggroup disableScalingGroup 操作伸缩组 scalinggroup operateScalingGroup 创建伸缩配置 scalingconfiguration createScalingConfiguration 删除伸缩配置 scalingconfiguration deleteScalingConfiguration 批量删除伸缩配置 scalingconfiguration batchDeleteScalingConfiguration 创建伸缩策略 scalingpolicy createScalingPolicy 修改伸缩策略 scalingpolicy modifyScalingPolicy 删除伸缩策略 scalingpolicy deleteScalingPolicy 启用伸缩策略 scalingpolicy enableScalingPolicy 停用伸缩策略 scalingpolicy disableScalingPolicy 执行伸缩策略 scalingpolicy executeScalingPolicy 操作伸缩策略 scalingpolicy operateScalingPolicy 批量启用伸缩策略 scalingpolicy batchEnableScalingPolicies 批量停用伸缩策略 scalingpolicy batchDisableScalingPolicies 移除实例 scalinginstance removeInstance 批量移除实例 scalinginstance batchRemoveInstances 批量添加实例 scalinginstance batchAddInstances 批量操作实例 scalinginstance batchOperateInstance 批量设置实例保护 scalinginstance batchProtectInstances 批量取消实例保护 scalinginstance batchUnprotectInstances 批量转入实例备用 scalinginstance batchEnterStandbyInstances

本文介绍AD域相关的概念及工作原理。 AD域功能是微软Windows服务器的活动目录所构建的一种网络管理架构，它提供了一种标准化方法创建、组织和管理计算机网络中的用户、计算机、服务等资源，为企业提供集中管理用户身份验证、授权和访问控制的能力。AD域中的管理节点叫做域控制器DC，域控制器实现对AD域中资源的具体管理。 天翼云支持用户对VPC内的域控制器进行用户和文件系统访问权限管理。通过将文件系统加入Windows的AD域服务，天翼云弹性文件服务可以实现基于AD域的用户身份认证及文件系统级别的权限访问控制，文件系统可以设置通过AD域用户身份或者匿名用户身份（nobody）挂载访问，进而实现文件或文件夹的权限控制。 基本概念 Kerberos协议 Kerberos是一种计算机网络认证协议，使用对称加密技术为客户端/服务器应用程序提供强身份验证。目前主流的Kerberos实现版本有两个，一种是麻省理工版的mitkrb5，主要支持DES加密算法；一种是开源社区的heimdalkrb5，主要支持AES、Triple DES和RC4等加密算法；Heimdal Krb5还提供了跨平台的支持，包括Windows、Linux、MacOS X等。Kerberos中有三种核心角色： 服务端（Server）：域内提供具体服务的应用程序或服务器，如Samba Server。每个服务端都有一个唯一的服务主体名称（SPN），用于在网络中标识自己。 客户端（Client）：需要使用kerbores服务的客户端，如AD域中的另一台Windows节点或者用户。 密钥分发中心（KDC）：作为客户端和服务端都信任的第三方，主要提供许可证和会话秘钥。KDC上运行着认证服务器（Athentication Service，AS）和许可证服务器（Tickt Granting Service，TGS）。AS 专门用来认证客户端的身份并发放客户用于访问 TGS 的许可证认购权证（TGT）；TGS 用来发放客户端访问服务端时所需的许可证（Service Ticket）。

本文为您介绍什么是云专线。 云专线提供用户本地数据中心与天翼云VPC虚拟私有云之间的连接服务。云专线产品在充分利用中国电信云网融合优势的同时，依托现有的IT基础设施，灵活搭建云上云下高速、低时延、稳定安全的专属连接通道。 产品架构 云专线服务的物理专线一端连接本地数据中心的本地网关设备，一端连接云专线的专线网关，将客户本地数据中心的内部局域网连接到天翼云的接入点，对接天翼云上的虚拟专有网络VPC，实现安全、可靠、高速的内网级通信质量。 云专线服务的产品架构如下图所示： 云专线服务和VPN连接区别 云专线服务和VPN连接都是用于连接用户本地网络与天翼云平台之间的网络连接方式，但它们有一些区别。下表是它们之间的对比： 对比项 云专线服务 VPN连接 网络质量 云专线是通过专用线路物理专线来连接用户本地数据中心与天翼云数据中心，提供更可靠、低延迟的连接。 VPN是通过公共网络（如互联网）创建一个安全的加密通道，使得用户可以在不同地点之间建立私密的连接。 传输带宽 云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容。 受限于公共网络的带宽，即互联网带宽为多少则VPN连接最大传输带宽是多少。 安全性 与互联网物理隔离，用户可以选择独享物理专线，用户独占一个物理端口资源，无数据泄露风险，安全性高。 基于互联网的加密通信，可以满足一般用户的网络传输安全性需求。 适用场景 云专线适用于需要大量带宽、稳定性和可扩展性的连接，比如大规模数据迁移、持续性数据传输等。 VPN连接适用于临时、小规模的连接需求。

本节介绍了使用故障类的问题描述和处理流程。 问题背景 Windows弹性云主机虚拟化驱动异常（Tools没有正常运行）。为保证弹性云主机的正常使用，请参见本节内容进行修复。 问题描述 弹性云主机虚拟化驱动异常会影响弹性云主机服务数据安全、可用性、系统性能。 具体影响的表现： 1. 可能导致弹性云主机文件系统损坏。 用户控制台单击“关机”、“重启”按钮，由于没有Tools，在云平台底层弹性云主机会被“强制关机”、“强制重启”。 2. 可能导致弹性云主机服务不可用。 虚拟化驱动异常的弹性云主机无法在物理机之间做热迁移，当物理机故障或做硬件维护时，弹性云主机无法被迁移到其他物理机，无法保证弹性云主机服务的高可用性。 3. 弹性云主机网络和存储性能降低。 虚拟化驱动对弹性云主机的网络、存储性能进行了优化，虚拟化驱动不正常时网络、存储性能降低。 操作场景 场景一： Windows弹性云主机未安装Tools。 场景二： 弹性云主机虚拟化驱动被卸载，导致虚拟化驱动无法正常运行。 操作步骤 Windows弹性云主机安装Tools的步骤： 1. 获取Tools安装包“pvdriverwindows.zip”。 请向管理员获取pvdriverwindows.zip升级包。 2. 解压缩安装包，双击setup.exe执行文件开始安装，安装过程类似如下图所示。 图 安装pvdriver 3. 单击“下一步”，选择是否接受许可。 4. 单击“Install”开始安装，安装进度显示如下图所示。 图 安装进度 5. 单击“Finish”，安装完成，如下图所示。 图 安装完成界面 6. 重启弹性云主机，如下图所示。 图 选择重启弹性云主机界面提示 7. 在弹性云主机桌面的右下角查看Tools是否正常，如果有黄色图标代表正常，如下图所示。 图 Tools状态正常

本文介绍日志审计的监控指标以及如何查看日志审计的监控数据。 为保证日志审计实例的可靠性、可用性和可观测性，对日志审计进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的日志审计监控功能，可方便用户更快、更直观的了解日志审计的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理日志审计实例。 当用户开通日志审计（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 日志审计（原生版）支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计日志审计实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计日志审计实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计日志审计实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计日志审计实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计日志审计实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计日志审计实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计日志审计实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计日志审计实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计日志审计实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计日志审计实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟

多Provider定义 在 requiredproviders 声明后，可以使用 provider 块进一步声明provider配置。 java provider "ctyun" { regionid "200000001852" azname "cnhuabei2tj1Apublicctcloud" } 上述代码块的主体（{和之间}）包含天翼云的provider的配置参数。在本例中 regionid 和 azname 都是由 ctyun 的provider的定义的。除了provider中提供的参数外，还有两个由 Terraform 本身定义且适用于所有 provider 块的“元参数”： alias ：多provider配置字段 version：已弃用，被 requiredproviders 中 version 取代 利用alias参数可以支持云平台的多个region，用于提供多资源池，多场景高可用的需求。可以通过创建多个provider声明块实现。对于每个额外的非默认配置，请使用alias元参数提供额外的名称段。例如： java 默认provider配置；以 ctyun 开头的资源将使用 它作为默认值，并且可以将其引用为 ctyun。 provider "ctyun" { regionid "200000002368" azname "cnxinan1xn1Apublicctcloud" } 华北2的provider配置；资源可以将其引用为 ctyun.huabei2。 provider "ctyun" { alias "huabei2" regionid "200000001852" azname "cnhuabei2tj1Apublicctcloud" } 上述示例中声明了西南1和华北2资源池的provider，并对华北2资源池增加了别名，在资源中使用元参数 provider 来选择非默认的 provider块，其格式为： . java 创建vpc，指定vpc创建在华北2资源池 resource "ctyunvpc" "vpctest" { provider ctyun.huabei2 name "tfvpc" cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } 当然，天翼云支持在某个资源声明中直接指定region和可用区（az）信息，相比 alias + provider 的方式，这种方式更加灵活简单。 java provider "ctyun" { regionid "200000002368" azname "cnxinan1xn1Apublicctcloud" }

本文介绍数据库审计的监控指标以及如何查看数据库审计的监控数据。 为保证数据库审计实例的可靠性、可用性和可观测性，对数据库审计进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的数据库审计监控功能，可方便用户更快、更直观的了解数据库审计的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理数据库审计实例。 当用户开通数据库审计服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 数据库审计支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计数据库审计实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计数据库审计实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计数据库审计实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计数据库审计实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计数据库审计实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计数据库审计实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计数据库审计实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计数据库审计实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计数据库审计实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计数据库审计实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟

对比维度 云服务备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云服务器的“装机盘”，它提供了启动云服务器所需的所有信息，其目的是为了创建云服务器，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的服务器/磁盘删除，对应的镜像不会被同时删除。 使用方式 操作对象：保存云服务器/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 操作对象：可以将服务器的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 使用方式 用途：备份可以恢复数据至原服务器/磁盘中，也可以直接创建新的磁盘或整机镜像。 用途：系统盘镜像或整机镜像可以创建新的服务器，数据盘镜像可以创建新的磁盘，实现业务迁移。 使用方式 是否可以导出至本地：否。 是否可以导出至本地：是。整机镜像不支持导出至本地。 应用场景 数据备份和恢复 服务器上云或云上迁移 应用场景 数据备份和恢复 部署特定软件环境 应用场景 数据备份和恢复 批量部署软件环境 应用场景 数据备份和恢复 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

项目 描述 快照名称 克隆卷关联的快照名称。 克隆卷名称 设置克隆卷名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 iSCSI目标 设置克隆卷关联的iSCSI目标名称，可以跟源卷的iSCSI目标不同。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 说明 创建卷时可以选择已经存在的iSCSI目标；也可以输入新的iSCSI目标名称，在创建卷的同时创建新的iSCSI目标，新创建的iSCSI目标的回收策略默认为删除。 缓存存储池 指定缓存存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 存储池与缓存存储池不能设置为同一个存储池。 当克隆卷的存储池和缓存存储池配置与源卷一致，无需额外设置。若单独设置了克隆卷的存储池或缓存存储池，则不再沿用源卷的存储池和缓存存储池，而是采用所设参数值。例如，源卷同时有存储池和缓存存储池，若克隆卷仅重新设置了存储池而未设置缓存存储池，则克隆卷使用新存储池，无缓存存储池；反之，若克隆卷设置了缓存存储池，则必须同时设置存储池，或使用基础存储池作为存储池。 存储池 指定克隆卷的存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 存储池与缓存存储池不能设置为同一个存储池。 当克隆卷的存储池和缓存存储池配置与源卷一致，无需额外设置。若单独设置了克隆卷的存储池或缓存存储池，则不再沿用源卷的存储池和缓存存储池，而是采用所设参数值。例如，源卷同时有存储池和缓存存储池，若克隆卷仅重新设置了存储池而未设置缓存存储池，则克隆卷使用新存储池，无缓存存储池；反之，若克隆卷设置了缓存存储池，则必须同时设置存储池，或使用基础存储池作为存储池。 卷冗余模式 克隆卷的冗余模式（仅集群版支持）： 取值： 副本: 单副本。 两副本。 三副本。 EC N + M ：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。分片大小可以为1 KiB、2 KiB、4 KiB、8 KiB、16 KiB、32 KiB、64 KiB、128 KiB、256 KiB、512 KiB、1024 KiB、2048 KiB、4096 KiB。 默认值为源卷的卷冗余模式。 说明 以下场景均为集群可用的前提下： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 最小副本数 克隆卷的最小副本数（仅集群版支持）。点击“卷冗余模式”后的“更多”按钮，可以填写最小副本数。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。若未设置克隆卷的最小副本数，默认值为源卷的最小副本数。 折叠副本数 克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域为path，此参数不生效。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；EC卷，取值范围是[1, N+M]。若未设置克隆卷的折叠副本数，默认值为源卷的折叠副本数。 容量 克隆卷的容量。整数形式，数字后面可以选择单位（GiB、TiB、PiB）。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 扇区大小 克隆卷的磁盘扇区大小。 取值：512 Bytes、4 KiB。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4 KiB；单次I/O操作的数据大小接近512 Bytes，则推荐选择512 Bytes。如果对接VMware等虚拟化平台，则推荐选择512 Bytes。 高可用 克隆卷的高可用类型（仅集群版支持）： 主备：该卷关联对应Target下的所有IQN。 禁用：不启用主备，该卷关联对应Target下的1个IQN。 默认值为源卷的高可用类型。 写策略 克隆卷的写策略： 回写：指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 透写：指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 绕写：指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 数据目录 克隆卷的数据的存储位置（仅单机版支持）。 如果创建克隆卷时不指定数据目录，默认与源卷配置保持一致。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。

本文介绍如何在GPU云主机上部署NGC环境。 NVIDIA NGC 是用于深度学习、机器学习和HPC的GPU优化软件的中心，可提供容器、模型、模型脚本和行业解决方案，以便数据科学家、开发人员和研究人员可以专注于更快地构建解决方案和收集见解。 前提条件 用户需要注册NGC的账号：NGC账号注册。 GPU云主机配备弹性公网IP。 安装步骤 1. 创建一台GPU云主机，操作方法请参见创建未配备GPU驱动的GPU云主机。 2. 安装GPU云主机驱动， 建议安装最新版本的操作系统驱动，操作方法请参见NVIDIA驱动安装指引。 3. 安装Docker和针对NVIDIA GPU的Docker Utility Engine，即nvidiadocker。 a. 在安装Docker新版本之前，请卸载所有的旧版本以及关联的依赖项。 sudo yum remove docker dockerclient dockerclientlatest dockercommon dockerlatest dockerlatestlogrotate dockerlogrotate dockerengine b. 设置Docker 存储库。 sudo yum install y yumutils sudo yumconfigmanager addrepo c. 安装Docker 引擎。 sudo yum install dockerce dockercecli containerd.io dockerbuildxplugin dockercomposeplugin d. 启动docker。 sudo systemctl start docker e. 安装nvidiadocker。 设置存储库和 GPG 密钥。 distribution$(. /etc/osrelease;echo $ID$VERSIONID) && curl s L sudo tee /etc/yum.repos.d/nvidiacontainertoolkit.repo 更新包列表后安装nvidiacontainertoolkit包（和依赖项）。 sudo yum clean expirecache sudo yum install y nvidiacontainertoolkit 配置Docker 守护程序以识别 NVIDIA 容器运行时。 sudo nvidiactk runtime configure runtimedocker sudo systemctl restart docker 通过运行基本 CUDA 容器来测试工作设置。 sudo docker run rm runtimenvidia gpus all nvidia/cuda:11.6.2baseubuntu20.04 nvidiasmi

操作步骤 图1 授权流程 步骤 1 创建用户组并授权系统角色。 使用云账号登录统一身份认证服务IAM控制台，创建用户组，并授予DataArts Studio的系统角色，如“DAYU Administrator”或“DAYU User”。 创建用户组并授权的具体操作，请参见《统一身份认证服务IAM用户指南》中的“用户组及授权>创建用户组并授权”。 说明 配置用户组的DataArts Studio权限时，直接在搜索框中输入权限名“DAYU”进行搜索，然后勾选需要授予用户组的权限，如“DAYU User”。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“授权范围方案”如果选择“所有资源”，则该权限在所有区域项目中都生效；如果选择“指定区域项目资源”，则该权限仅对此项目生效。IAM用户授权完成后，访问DataArts Studio时，需要先切换至授权区域。 步骤2 创建用户并加入用户组。在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 创建用户并加入用户组的具体操作，请参见《统一身份认证服务IAM用户指南》中的“IAM用户> 创建IAM用户”。 说明 仅当创建IAM用户时的访问方式勾选“编程访问”后，此IAM用户才能通过认证鉴权，从而使用API、SDK等方式访问DataArts Studio。 步骤 3 为“DAYU User”系统角色用户自定义工作空间角色，并将其添加到工作空间成员、配置角色。 对于“DAYU User”权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这五种预置角色可被分配。如果预置角色可以满足您的使用需求，则无需自定义工作空间角色，直接将用户添加到工作空间成员、配置预置角色即可；否则，请您创建自定义角色，再将用户添加到工作空间成员、配置自定义角色。自定义工作空间角色的具体操作请参见（可选）自定义工作空间角色，添加工作空间成员并配置角色的具体操作请参见 添加工作空间成员和角色。 角色的权限说明请参见产品介绍中的“DataArts Studio权限列表”章节。 步骤 4 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限，例如： 在“服务列表”中选择数据治理中心，进入DataArts Studio实例卡片。从实例卡片进入控制台首页后，确认能否正常查看工作空间列表情况。 进入已添加当前用户的工作空间业务模块（例如管理中心），查看能否根据所配置的工作空间角色，正常进行业务操作。

本文主要介绍云日志服务C SDK接入指南。 1. 前言 安装使用C SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持日志同步上传。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK C版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装C 运行环境。 2.2. 下载及安装 下载ctyunltscsdk.zip压缩包，放到相应位置后并解压。“ctyunltscsdk”目录中sampleputlogs.c为SDK的使用示例代码。 2.2.1. 依赖 cmake2.8或更新版本，GCC 4.9或更新版本。以下库及其相关头文件，可在对应Linux发行版的包管理器中安装，括号中给出的是经过验证的版本。 plaintext libcurldevel(7.6.1) openssldevel (1.1.1k) protobufc(1.3.06.el8) lz4(v1.8.3) jsonc(0.13.12.el8) 对于 CentOS 安装，可用如下命令搭建依赖环境。 plaintext yum install gccc++ yum install cmake yum install libcurldevel openssldevel libuuiddevel yum install lz4devel.x8664 yum install protobufcdevel.x8664 yum install jsoncdevel.x8664 2.2.2. 编译使用 1、进入ctyunltscsdk目录下，里面有CMakelists.txt文件。 2、执行build.sh，其包含以下命令。 plaintext !bin/bash generate .pbc.c .pbc.h from .proto protocc protopath./protoc cout./ common.proto resource.proto logs.proto echo "generate 6 file (commonresourcelogs).(pbc.cpbc.h)" mkdir build cd build cmake install location is .. cmake .. DCMAKEINSTALLPREFIX.. make make install 其中make 主要做的工作有：为.proto文件生成对应的.pbc.c、.pbc.h，以及动态链接构建出库文件libltssdk.a，存放在lib目录下。 3、将ctyunltscsdk目录下的头文件，全部移动到您项目的对应目录下，（如果直接使用SDK 则可以不用移动）。 4、之后你就可以在你的项目内使用SDK了，只需要引入对应的头文件即可。 5、编译您的程序，在您目录下内编译您的程序，构建出可执行文件， 如sampleputlogs.c。 plaintext gcc sampleputlogs.c o sampleputlogs I./ L./lib/ lltssdk lssl llz4 lcurl lprotobufc lcrypto ljsonc 或者 根据主目录中的Makefile 文件。执行以下命令,也能实现上面的构建出可执行文件。 plaintext make sampleputlogs 6、执行你的可执行文件。 plaintext ./sampleputlogs 3. SDK使用设置

通过PHP连接实例 主要介绍使用PHP访问GeminiDB Redis实例的方法。 前提条件 已成功创建GeminiDB Redis实例，且实例状态为“正常”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机快速入门》中“登录弹性云主机”章节。 弹性云主机上已经安装GCC等编译工具。 操作步骤 获取GeminiDB Redis实例的内网IP地址或域名、端口。 内网IP地址和端口的查看方法请参见查看IP地址和端口。 内网域名获取方法请参见配置内网域名。 登录弹性云主机，具体操作请参见《弹性云主机快速入门》中“登录弹性云主机”。 安装PHP开发包与命令行工具。 执行如下命令，使用yum方式直接安装。 yum install phpdevel phpcommon phpcli 说明 以CentOS(redhat系列)为例，如果是Ubuntu(debian系列)，则需要使用其对应的安装命令。 安装完后可查看版本号，确认成功安装。 php version 安装Redis的PHP客户端。 1. 下载phpredis源文件。 wget 说明 以上是当前最新版本，也可以通过 2. 解压phpredis源文件包。 tar zxvf redis4.1.0RC3.tgz cd redis4.1.0RC3 3. 编译前先执行扩展命令。 phpize 4. 配置phpconfig文件。 ./configure withphpconfig/usr/bin/phpconfig 说明 不同的操作系统，安装PHP的方式不同，该配置文件位置可能不同。建议在配置前，先确认该文件的目录，命令如下：find / name php.ini。 5. 编译和安装phpredis客户端。 make && make install 6. 安装完后在php.ini文件中增加extension配置项，用于增加redis模块的引用配置。 使用如下命令，查找到php.ini文件： vim /usr/local/php/etc/php.ini 在php.ini文件中，增加如下配置项： extension "/usr/lib64/php/modules/redis.so" 说明 php.ini和redis.so两个文件的目录可能不同，可通过如下命令先查找确认。 find / name php.ini find / name redis.so 7. 保存退出后确认扩展生效。 php m grep redis 如果以上命令返回了redis，表示php redis客户端环境搭建好了。 使用phpredis客户端连接GeminiDB Redis实例。 1. 编写测试代码redis.php。 connect($redishost, $redisport) false) { die($redis>getLastError()); } if ($redis>auth($userpwd) false) { die($redis>getLastError()); } if ($redis>set("key", "php test ok!") false) { die($redis>getLastError()); } $value $redis>get("key"); echo $value; $redis>close(); ?> 2. 执行redis.php，确认结果正常。

项目 描述 快照名称 克隆卷关联的快照名称。 克隆卷名称 设置克隆卷名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 iSCSI目标 设置克隆卷关联的iSCSI目标名称，可以跟源卷的iSCSI目标不同。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 说明 创建卷时可以选择已经存在的iSCSI目标；也可以输入新的iSCSI目标名称，在创建卷的同时创建新的iSCSI目标，新创建的iSCSI目标的回收策略默认为删除。 缓存存储池 指定缓存存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 存储池与缓存存储池不能设置为同一个存储池。 当克隆卷的存储池和缓存存储池配置与源卷一致，无需额外设置。若单独设置了克隆卷的存储池或缓存存储池，则不再沿用源卷的存储池和缓存存储池，而是采用所设参数值。例如，源卷同时有存储池和缓存存储池，若克隆卷仅重新设置了存储池而未设置缓存存储池，则克隆卷使用新存储池，无缓存存储池；反之，若克隆卷设置了缓存存储池，则必须同时设置存储池，或使用基础存储池作为存储池。 存储池 指定克隆卷的存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 存储池与缓存存储池不能设置为同一个存储池。 当克隆卷的存储池和缓存存储池配置与源卷一致，无需额外设置。若单独设置了克隆卷的存储池或缓存存储池，则不再沿用源卷的存储池和缓存存储池，而是采用所设参数值。例如，源卷同时有存储池和缓存存储池，若克隆卷仅重新设置了存储池而未设置缓存存储池，则克隆卷使用新存储池，无缓存存储池；反之，若克隆卷设置了缓存存储池，则必须同时设置存储池，或使用基础存储池作为存储池。 卷冗余模式 克隆卷的冗余模式（仅集群版支持）： 取值： 副本: 单副本。 两副本。 三副本。 EC N + M ：纠删码模式。其中N、M为正整数，N>M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。分片大小可以为1KiB、2KiB、4KiB、8KiB、16KiB、32KiB、64KiB、128KiB、256KiB、512KiB、1024KiB、2048KiB、4096KiB。 默认值为源卷的卷冗余模式。 说明 以下场景均为集群可用的前提下： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 最小副本数 克隆卷的最小副本数（仅集群版支持）。点击“卷冗余模式”后的“更多”按钮，可以填写最小副本数。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。若未设置克隆卷的最小副本数，默认值为源卷的最小副本数。 折叠副本数 克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域为path，此参数不生效。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；EC卷，取值范围是[1, N+M]。若未设置克隆卷的折叠副本数，默认值为源卷的折叠副本数。 容量 克隆卷的容量。整数形式，数字后面可以选择单位（GiB、TiB、PiB）。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 扇区大小 克隆卷的磁盘扇区大小。 取值：512bytes、4KiB。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4KiB，则推荐选择4KiB；单次I/O操作的数据大小接近512Bytes，则推荐选择512bytes。如果对接VMware等虚拟化平台，则推荐选择512Bytes。 高可用 克隆卷的高可用类型（仅集群版支持）： 主备：该卷关联对应Target下的所有IQN。 禁用：不启用主备，该卷关联对应Target下的1个IQN。 默认值为源卷的高可用类型。 写策略 克隆卷的写策略： 回写：指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 透写：指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 绕写：指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 数据目录 克隆卷的数据的存储位置（仅单机版支持）。 如果创建克隆卷时不指定数据目录，默认与源卷配置保持一致。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。

（可选）创建虚拟私有云 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。 若您已有虚拟私有云，可重复使用，无需重复创建。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“网络 > 虚拟私有云”。 步骤 4 单击“创建虚拟私有云”。 步骤 5 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。 创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 步骤 6 单击“立即创建”。 （可选）创建密钥对 云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息，密码或密钥对用于远程登录节点时的身份认证。 如果选择密钥登录方式，您需要在创建云容器引擎的集群节点时指定密钥对的名称，然后在SSH登录时提供私钥。 如果选择密码登录方式，可以跳过该任务。 说明 如果您计划在多个区域创建实例，则需要在每个区域中创建密钥对。 通过管理控制台创建密钥对 如果您尚未创建密钥对，可以通过管理控制台自行创建。步骤如下： 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“计算 > 弹性云主机”。 步骤 4 在左侧导航树中，选择“密钥对”。 步骤 5 在“密钥对”页面，单击“创建密钥对”。 步骤 6 输入密钥名称，单击“确定”。 步骤 7 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 步骤 8 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 这是您保存私钥文件的唯一机会，请妥善保管。当您创建弹性云主机时，您将需要提供密钥对的名称；每次SSH登录到弹性云主机时，您将需要提供相应的私钥。