步骤三：高级配置 高级配置 1. 设置“云主机名称”。 名称可自定义，但需符合命名规则：只能由中文字符、英文字母、数字及“”、“”、“.”组成。 如果同时创建多台弹性云主机，系统会自动按序增加后缀。 一次创建多台弹性云主机时，系统自动增加后缀，例如：输入ecs，云主机名称为ecs0001, ecs0002，……。再次创建多台云主机时，命名从上次最大值连续增加，例如：输入ecs，已有云主机ecs0010，新创云主机名称为ecs0011、ecs0012、……，命名达到9999时，从0001开始。 允许重名：允许创建的云主机名称相同。如果是批量创建，勾选“允许重名”后，批量创建的多台云主机名称全部相同，不再按序增加。 2. 设置“登录凭证”。 “密钥对”方式创建的弹性云主机安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如表21所示，保证密码符合要求，防止恶意攻击。 − 密钥对 指使用密钥对作为弹性云主机的鉴权方式。您可以选择使用已有的密钥，或者单击“新建密钥对”创建新的密钥。 说明 如果选择使用已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 − 密码 指使用设置初始密码方式作为弹性云主机的鉴权方式，此时，您可以通过用户名密码方式登录弹性云主机。 Linux操作系统时为root用户的初始密码，Windows操作系统时为Administrator用户的初始密码。 密码复杂度需满足下表要求。 表 创建弹性云主机时密码设置规则 参数 规则 样例 密码 密码长度范围为8到26位。密码至少包含以下4种字符中的3种：大写字母小写字母数字特殊字符，包括“$”、“!”、“@”、“%”、“”、“”、“”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?”密码不能包含用户名或用户名的逆序。Windows系统的弹性云主机，不能包含用户名中超过两个连续字符的部分。 YNbUwp!dUc9MClnv说明样例密码随机生成，请勿复制使用样例。 说明 系统不会定期自动修改弹性云主机密码。为安全起见，建议您定期修改密码。 − 创建后设置 暂不设置弹性云主机的密码。待弹性云主机创建成功后，您需要单击“操作”列下的“重置密码”，根据界面提示，为弹性云主机设置密码，然后登录弹性云主机。 3. 设置“云备份”。 云备份提供对云硬盘和弹性云主机的备份保护，并支持利用备份数据恢复云主机和云硬盘的数据。云备份设置完成后，系统会将弹性云主机绑定至云备份存储库并绑定所选备份策略，定期备份弹性云主机。 您可以根据实际情况选择以下三种方式。 − 自动分配： i. 输入云备份存储库的名称：只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vaultf61e。默认的命名规则为“vaultxxxx”。 ii. 输入存储库的容量：此容量为备份云主机所需的容量。存储库的空间不能小于云主机的空间。取值范围为[云主机总容量，10485760]GB。 iii. 设置备份策略：在下拉列表中选择备份策略，或进入云备份控制台查看或编辑备份策略。 − 使用已有： i. 选择云备份存储库的名称：在下拉列表中选择已有的云备份存储库。 ii. 设置备份策略：在下拉列表中选择备份策略，或进入云备份控制台查看或编辑备份策略。 − 不使用：跳过云备份的配置步骤。如云主机创建成功后仍需设置备份保护，请进入云备份控制台找到目标存储库，绑定服务器。 4. 设置云主机组 可选配置，云主机组内的弹性云主机将遵循反亲和策略，尽量分散地创建在不同主机上。创建云主机组的详细操作，请参见管理弹性云主机组。 说明 包含本地盘的弹性云主机无法在创建后加入弹性云主机组，如需使用弹性云主机组功能，请在创建时选择弹性云主机组。 5. 配置“高级配置”：如需使用“高级配置”中的功能，请勾选“现在配置”。否则，请勿勾选。 − 文件注入 可选配置，主要用于创建云主机时向云主机注入脚本文件或其他文件。配置文件注入后，系统在创建云主机时自动将文件注入到指定目录下。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹云主机。 文件注入的详细操作，请参见文件注入。 − 用户数据注入 可选配置，主要用于创建云主机时向云主机注入用户数据。配置用户数据注入后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹云主机。 用户数据注入的详细操作，请参见用户数据注入。 − 委托 可选配置。当需要与其他帐号共享云主机资源，或者委托更专业的人或团队来代为管理时，租户管理员可以在IAM创建委托并授予云主机资源的管理权限。被委托方使用自己的用户登录系统后，切换到您的帐号下管理资源，避免您将自己的安全凭证（密码）共享给其他帐号，确保了您的帐号安全。 如果您在IAM上创建了委托，可以通过单击下拉列表选择委托名称，获取相应权限。如何创建委托，请参见《统一身份认证服务用户指南》。 − CPU选项 可选配置。 当需要为云主机实例开启或关闭超线程时，勾选“指定CPU选项”。关于超线程的详细介绍，请参见“开启/关闭超线程”章节。当勾选“指定CPU选项”时，显示该参数。在“每核心线程数”下拉框进行设置。 当需要为云主机实例开启或关闭灵动核时，勾选“开启灵动核”。关于灵动核的详细介绍，请参见“开启/关闭灵动核”章节。 6. 单击“下一步：确认配置”。

为什么扩容后云主机内云硬盘容量没有变化？ 通过控制台扩容成功后，只是扩大了云硬盘的存储容量，您还需要登录云主机执行扩展分区和文件系统的操作。完成这些操作后，您才可以使用新增容量。 扩展磁盘分区和文件系统的操作请参见： 扩展磁盘分区和文件系统（Windows） 分区和文件系统扩展概述（Linux） 云硬盘容量不足了怎么办？ 当您云硬盘容量不足且可能影响到自身业务时，可以参考以下内容来解决此问题： 单独购买一块云硬盘做数据盘，并挂载至弹性云主机，挂载成功之后进行初始化。具体操作步骤请参见创建云硬盘。 扩容当前已有云硬盘，系统盘和数据盘均可进行扩容。操作步骤请参见扩容云硬盘。 清理当前云硬盘上不需要的程序或文件来清理磁盘空间，具体步骤可参见：解决Linux云主机磁盘空间不足的问题、解决Windows弹性云主机磁盘空间不足的问题。 扩容时显示扩容失败怎么办？还会收费吗？ 云硬盘按照云硬盘的实际使用时长/购买周期和容量计费。 若出现云硬盘扩容失败的情况，云硬盘的容量变更会失败，计费容量仍保持为扩容操作之前云硬盘的容量。扩容预期新增但实际并未新增的容量不会收费。 如果出现扩容失败，请您尽快联系天翼云客服提交工单处理。

概述 EnvoyFilter提供了定制化修改服务网格数据面配置的能力，通过EnvoyFilter可以实现修改某个数据面配置字段、添加或修改过滤器、监听器、集群等配置，功能十分强大，所以在使用改功能时必须小心，确保对数据面配置有比较深入的理解；错误的配置可能影响网格数据面的稳定性。 对于任何数据面，允许存在多个EnvoyFilter匹配该数据面，位于根命名空间的EnvoyFilter优先级最高，其次是位于数据面所在的命名空间的EnvoyFilter。 注意 1. EnvoyFilter API和服务网格底层实现耦合较为紧密，在升级网格版本的时候需要关注已经定义的EnvoyFilter版本和新版本的网格是否存在兼容性问题 2. 多个EnvoyFilter匹配同一个数据面时，生效的优先级为根命名空间下的EnvoyFilter优先级最高，其他的按照创建时间顺序生效；如果EnvoyFilter之间存在冲突，结果是未定义的 3. 需要配置EnvoyFilter匹配不同的工作负载时（比如网关和sidecar），可以考虑在根命名空间下定义，且不配置workloadselector 配置示例 配置示例一 在根命名空间下创建全局生效的EnvoyFilter，在sidecar outbound方向9307端口的tcp proxy插件之前插入mongo的代理配置；为所有数据面（网关和sidecar）的HttpConnectionManager插件配置HTTP空闲连接时间为30秒。 apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: customprotocol namespace: istiosystem as defined in meshConfig resource. spec: configPatches: applyTo: NETWORKFILTER match: context: SIDECAROUTBOUND will match outbound listeners in all sidecars listener: portNumber: 9307 filterChain: filter: name: "envoy.filters.network.tcpproxy" patch: operation: INSERTBEFORE value: This is the full filter config including the name and typedconfig section. name: "envoy.extensions.filters.network.mongoproxy" typedconfig: "@type": "type.googleapis.com/envoy.extensions.filters.network.mongoproxy.v3.MongoProxy" ... applyTo: NETWORKFILTER http connection manager is a filter in Envoy match: context omitted so that this applies to both sidecars and gateways listener: filterChain: filter: name: "envoy.filters.network.httpconnectionmanager" patch: operation: MERGE value: name: "envoy.filters.network.httpconnectionmanager" typedconfig: "@type": "type.googleapis.com/envoy.extensions.filters.network.httpconnectionmanager.v3.HttpConnectionManager" commonhttpprotocoloptions: idletimeout: 30s

参数 类型 描述 是否必须 path String 指定要修改容量配额的数据目录。 是 capacityQuota Long 指定数据目录的容量配额，即针对加入到服务器中的每个数据目录，HBlock可写入的数据总量。当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 取值：小于数据目录所在磁盘的总容量，单位是bytes。负整数表示无限制写入，0表示禁止写入。默认不限制写入。 注意 如果相同的数据目录出现多次，以第一次出现的数据目录的容量配额为准。 是

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 myns2

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

云数据库ClickHouse存储空间查看 要查看每张表所占的磁盘空间，您可以使用以下步骤： 1. 使用管理员账号登录到云数据库ClickHouse。 2. 执行以下查询语句来获取每张表的磁盘空间占用情况： sql SELECT database, table, formatReadableSize(sum(bytes)) AS diskspace FROM system.parts GROUP BY database, table ORDER BY diskspace DESC; 这个查询会从系统表 system.parts 中检索数据，并按表的磁盘空间占用大小进行降序排序。 返回的结果将包含每张表所属的数据库、表的名称以及占用的磁盘空间大小，以易读的格式进行展示。 执行这个查询可能会消耗一定的时间和资源，特别是当系统中存在大量的表和分区时。因此，在执行之前请确保您具备足够的系统资源，并在适当的时机进行操作。 云数据库ClickHouse数据迁移 1. 通过Flink导入数据 1. 读取源数据: 在Flink定义Source功能从Kafka、HDFS等渠道读取源数据。 2. 调整数据格式: 执行转换操作，如提取字段、格式化数据类型等，配合云数据库ClickHouse表结构。 3. 配置云数据库ClickHouse连接器: 导入flinkconnectorclickhouse连接器，设置JDBC URL等连接云数据库ClickHouse的参数。 4. 定义云数据库ClickHouse输出: 使用ClickHouseSink将输出目标定义为云数据库ClickHouse表，设置插入策略如插入或更新模式。 5. 执行Flink任务: 提交Flink Job运行任务，源数据经转换实时写入云数据库ClickHouse表中。如遇错误自动重试。 详情查看从Flink迁移数据。

本文向您介绍经典版VPN支持的监控指标。 功能说明 本节定义了虚拟专用网络服务上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供的管理控制台检索VPN服务产生的监控指标和告警信息。 命名空间 plaintext SYS.VPN 监控指标 表经典版VPN网关支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） upstreambandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度（原指标为上行带宽）。 单位：比特/秒 ≥ 0 bit/s 带宽或弹性公网IP 1分钟 downstreambandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度（原指标为下行带宽）。 单位：比特/秒 ≥ 0 bit/s 带宽或弹性公网IP 1分钟 upstreambandwidthusage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率，以百分比为单位。 出网带宽使用率出网带宽指标/购买的带宽大小 0100% 带宽或弹性公网IP 1分钟 downstreambandwidthusage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率，以百分比为单位。 入网带宽使用率入网带宽指标/购买的带宽大小 说明 由于在部分站点对10Mbps以下的配置带宽提供10Mbps的入网带宽上限，此时监控的入网带宽使用率会存在大于100%的情况。 EIP使用时修改带宽大小，带宽使用率的指标同步生效会有5~10min的延时。 0100% 带宽或弹性公网IP 1分钟 upstream 出网流量 该指标用于统计测试对象出云平台的网络流量（原指标为上行流量）。 单位：字节 ≥ 0 bytes 带宽或弹性公网IP 1分钟 downstream 入网流量 该指标用于统计测试对象入云平台的网络流量（原指标为下行流量）。 单位：字节 ≥ 0 bytes 带宽或弹性公网IP 1分钟

前提条件 已登录弹性云主机，具体请参见登录Windows弹性云主机。 云主机的系统盘与数据盘都已经挂载至云主机，且已经初始化过。 云硬盘容量已经在控制台上分配扩容，并已经挂载至弹性云主机。具体请参见云硬盘扩容概述。 操作步骤 如果在云主机关机的时候扩容了云硬盘，则云主机开机后，Windows系统盘和数据盘的新增容量可能会自动扩展至末尾分区内，此时新增容量可以直接使用，不再需要执行下述步骤。 系统盘扩容至原有分区 1. 在云主机桌面左下角，单击“开始”，在弹出的菜单列表中选择“管理工具”，选择“服务器管理器”，弹出“服务器管理器”窗口。 2. 在左侧导航栏中，选择“存储 > 磁盘管理”。进入“磁盘管理”页面。在页面右边“操作”区域，点击“更多操作>重新扫描磁盘”后，更新出新增扩容未分配容量。 3. 在“磁盘管理”窗口选择需要分配分区的磁盘，当前需要分配至原有分区内，原有分区C盘当前显示扩容前的容量大小。鼠标右键点击所选磁盘，在菜单中选择“扩展卷”。 说明 若此时无法看到扩容部分的容量，请选中“磁盘管理”，右键单击“刷新”后即可。 4. 在弹出的“扩展卷向导”窗口根据界面提示选择“下一步”。 5. 在弹出的“扩展卷向导”窗口中的“选择空间量（MB）（E）：”配置项中输入需要扩容的磁盘容量，这里已检索出默认扩容数据，单击“下一步”。 6. 在跳转的“扩展卷向导”页面，单击“完成”。回到“磁盘管理”页面，扩容成功后原有分区C盘显示磁盘的容量将大于扩容前磁盘的容量，此时就表示扩容成功。

集群内资源迁移 源集群应用备份 注意 以下命令在源集群的master上运行。 Velero可以实现多个粒度的集群备份及恢复，如集群级、命名空间级、资源对象级等。Velero备份集群命令基本格式为：velero backup create RESTORENAME [flags]，它有多种参数，以下举一些例子： 备份集群所有资源 velero backup create clusterbackup 备份一个namespace，如命名空间demo velero backup create namespacebackup includenamespaces demo 备份一个namespace下的一种资源，如命名空间demo下的deployments velero backup create namespacedeploybackup includenamespaces demo includeresources deployments 备份过程中可以通过以下命令查看备份情况： velero backup get 目标集群应用恢复 注意 以下命令在目标集群的master上运行。 Velero恢复/同步数据的命令基本格式为velero restore create RESTORENAME [frombackup BACKUPNAME] [flags]。以同步上面的namespacedeploybackup为例，以下命令可以将源集群已备份的数据（即demo命名空间下的deployments），同步到目标集群上，实现集群数据的迁移： velero restore create frombackup namespacedeploybackup 恢复过程中可以通过以下命令查看恢复情况： velero restore get 资源更新适配 由于基础设施或环境信息的改变，迁移后的资源配置需要针对新环境进行适配。以下列举一些常见的需要适配的资源及对应的处理方法。 镜像更新适配 一般情况下，集群内的应用使用的镜像都会保存在一个镜像仓库中，如果目标集群可以直接访问源集群使用的镜像仓库，那么不需要针对容器镜像做任何适配。 如果原有的镜像仓库无法访问或者有网络性能的问题，就需要在集群外资源迁移时进行镜像仓库迁移，并将应用中的镜像名称更改为新的镜像名称。

本章节介绍自定义授权服务 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建测试命名空间 kubectl create ns foo 打开sidecar自动注入 kubectl label ns foo istioinjectionenabled 部署sleep和httpbin应用 apiVersion: v1 kind: ServiceAccount metadata: name: sleep apiVersion: v1 kind: Service metadata: name: sleep labels: app: sleep service: sleep spec: ports: port: 80 name: http selector: app: sleep apiVersion: apps/v1 kind: Deployment metadata: name: sleep spec: replicas: 1 selector: matchLabels: app: sleep template: metadata: labels: app: sleep spec: terminationGracePeriodSeconds: 0 serviceAccountName: sleep containers: name: sleep image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/curl command: ["/bin/sleep", "infinity"] imagePullPolicy: IfNotPresent volumeMounts: mountPath: /etc/sleep/tls name: secretvolume volumes: name: secretvolume secret: secretName: sleepsecret optional: true 部署外部授权服务 apiVersion: v1 kind: Service metadata: name: extauthz labels: app: extauthz spec: ports: name: http port: 8000 targetPort: 8000 name: grpc port: 9000 targetPort: 9000 selector: app: extauthz apiVersion: apps/v1 kind: Deployment metadata: name: extauthz spec: replicas: 1 selector: matchLabels: app: extauthz template: metadata: labels: app: extauthz spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/extauthz:1.16.2 imagePullPolicy: IfNotPresent name: extauthz ports: containerPort: 8000 containerPort: 9000 apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/httpbin imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80

本文介绍如何查看IaC告警信息及如何处置相关告警。 在IaC告警页面，用户可以查看IaC告警信息，并对告警进行处理。 查看告警列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > IaC告警”，进入IaC告警页面。 3. 查看告警数据统计：显示未处理的告警数量，并分别按不同级别进行数量统计。 4. 单击数据统计中某一级别的告警，下方报警列表将根据选择的级别进行筛选。 5. 告警列表内，支持按照“报警级别”、“文件名称/路径”、“文件类型”、“集群名称”、“命名空间”、“状态”进行筛选查询。 告警信息参数说明： 参数 说明 报警名称 报警的原因。单击报警名称可查看报警详情。 报警级别 报警分为紧急、异常、提示这三种类型。 集群名称 存在报警的镜像所属集群的名称。 受影响的命名空间 受影响的命名空间名称。 文件名称/路径 告警的文件名称。单击可查看文件详情及文件告警详情。 文件类型 告警的文件类型。 处理状态 状态分为已处理和未处理。 最近发现时间 最近一次发现报警事件的时间。

云硬盘容量不足了怎么办？ 当您云硬盘容量不足且可能影响到自身业务时，可以参考以下内容来解决此问题： 单独购买一块云硬盘做数据盘，并挂载至弹性云主机，挂载成功之后进行初始化。具体操作步骤请参见云硬盘快速入门。 扩容当前已有云硬盘，系统盘和数据盘均可进行扩容。操作步骤请参见扩容云硬盘。 清理当前云硬盘上不需要的程序、文件来清理磁盘空间，具体步骤可参见： 解决Linux云主机磁盘空间不足的问题 解决Windows弹性云主机磁盘空间不足的问题 本地盘实例怎么添加到云主机组？ 本地盘实例 创建后无法加入云主机组 ，如需使用云主机组功能，请在购买时选择云主机组。 云主机组是对云主机的一种逻辑划分，云主机组中的弹性云主机遵从同一策略，如强制反亲和性、强制亲和性、反亲和性、亲和性等。 如何只对系统盘进行快照？ 操作方法如下： 1. 在云主机控制台选中该云主机，点击进入详情页 2. 点击云硬盘标签，在磁盘属性中找到“系统盘”，复制该云盘名称。 3. 在“控制中心所有服务”页面，单击“存储>云硬盘”，进入云硬盘主页面 4. 在云硬盘列表页搜索第2步复制好的云盘名称，找到该系统盘。 5. 点击该系统盘“操作>创建快照”, 进入“创建快照”页面，创建快照。 更多操作信息可参考创建云硬盘快照。

修改服务保护阈值 健康保护阈值为Nacos服务元数据中的一个属性，当该注册服务下的健康注册实例数 / 该注册服务下的总注册实例数的比值 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表。 5. 找到目标服务所在行，点击“查看”按钮，进入服务详情页面，进一步点击“保护阈值”旁边的编辑按钮，设置具体的值，有效范围0~1之间的小数； 删除服务 您可以在控制台服务管理服务列表页面删除服务，只有当服务中的实例数量为0时才允许删除。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，确认提供者数量为0，点击右侧删除按钮，弹出框点击确定，即可删除服务；

存储容量规划 副本数量：副本有利于增加数据的可靠性，但同时会增加存储成本。默认和建议的副本数量为1。 压缩比：Elasticsearch和OpenSearch通常可以将数据压缩20~30%，因此，1GB原始数据> 11.2(Json转换因子)0.8(压缩) > 0.96压缩比。 磁盘空间使用率：一般建议为70%。 索引开销：可以使用cat/indices?v API 和 pri.store.size 值计算确切的开销计算，通常比源数据大10%。 操作系统预留空间：默认操作系统会保留5%的文件系统供您处理关键流程、系统恢复以及防止磁盘碎片化问题等。 因此，存储容量 源数据 (1 + 副本数量) 0.96 / （1 磁盘使用率）（1 索引开销）（1 预留空间） ≈ 源数据 2 0.96 / 0.7 1.1 1.05 源数据3.168。根据原始数据大小，至少要预留大概3倍以上的空间。 数据节点数量规划 实例建议最大节点数 单节点 CPU 5。 单节点磁盘最大容量： 搜索类场景：单节点磁盘最大容量 单节点内存大小（GB） 10。 日志类等场景：单节点磁盘最大容量 单节点内存大小（GB） 50。 通用类等场景：单节点磁盘最大容量 单节点内存大小（GB） 30。 综上，示例节点数量规划如下： 配置 最大节点数 单节点磁盘最大容量 (查询) 单节点磁盘最大容量 (日志) 4核16GB 20 160 GB 800 GB 8 核 32GB 40 320 GB 1.5 TB 16 核 64GB 80 640 GB 2 TB

本节介绍了如何将扩容系统盘的空白分区在线扩容到末尾的root分区的操作场景、操作步骤。 操作场景 弹性云主机创建成功后，如果发现系统盘分区的容量大小和实际创建的系统盘大小不一致，可以将空白分区扩容到根分区，扩容系统盘的空白空间。 本节介绍了怎样将空白分区在线扩容到末尾的root分区。 操作步骤 以CentOS 6.5 64bit 50GB系统盘为例，root分区在最末尾分区(e.g: /dev/xvda1: swap,/dev/xvda2: root)的扩容场景。 1. 执行以下命令，查询当前弹性云主机的分区情况。 parted l /dev/xvda [root@sluoecs5e7d ~] parted l /dev/xvda Model: Xen Virtual Block Device (xvd) Disk /dev/xvda: 53.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos Number Start End Size Type File system Flags 1 1049kB 4296MB 4295MB primary linuxswap(v1) 2 4296MB 42.9GB 38.7GB primary ext4 boot 2. 执行以下命令，获取文件系统类型、UUID。 blkid /dev/xvda1: UUID"25ec3bdbba244561bcdc802edf42b85f" TYPE"swap"​/dev/xvda2: UUID"1a1ce4dee56a4e1f864d31b7d9dfb547" TYPE"ext4" 3. 执行以下命令，安装growpart工具。 工具growpart可能集成在cloudutilsgrowpart/cloudutils/cloudinitramfstools/cloudinit包里，可以直接执行命令yum install cloud确保growpart命令可用即可。 yum install cloudutilsgrowpart 4. 执行以下命令，使用工具growpart将第二分区的根分区进行扩容。 growpart /dev/xvda 2 [root@sluoecs5e7d ~]

本节介绍天翼云电脑（政企版）相关的产品规格，以便您正确理解和使用。 说明 AI云电脑系统盘显示的空间略小于默认配置，这部分被占用的空间用于系统保留分区。 天翼AI云电脑（政企版）普通AI云电脑产品规格如下： 产品名称 规格类型 功能适用 系统支持 普通AI云电脑 2核4G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 2核8G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 4核8G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 4核16G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 8核16G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 8核32G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 16核32G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 16核64G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 32核64G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 32核128G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 64核128G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 120 GB SAS 系统盘 80 GB 默认系统盘 + 40 GB 赠送存储

Set to the actual namespace namespace: default spec: source: If there is a conflict with other VolumeSnapshotContent, you can change it to another name volumeSnapshotContentName: csistaticsnapshotcontent VolumeSnapshot的配置文件参数： 参数 描述 是否必填 metadata.name 快照名称。需要与VolumeSnapshotContent配置文件中的spec.volumeSnapshotRef.name保持一致。 是 metadata.namespace 命名空间。 取值：HBlock CSI安装时绑定的Kubernetes命名空间名称。 是 spec.source.volumeSnapshotContentName VolumeSnapshotContent的名称。 是 3. 应用VolumeSnapshotContent和VolumeSnapshot的配置文件。 plaintext kubectl apply f VolumeSnapshotContent.yaml kubectl apply f VolumeSnapshot.yaml 4. 查看快照。 plaintext kubectl get volumesnapshot [snapshotName] [ n namespace ] kubectl describe volumesnapshot snapshotName [ n namespace ] 查看快照详情

回滚工作负载版本 若升级验证失败，或者因为其他原因需要进行回滚，请参照以下步骤。 1. 登录CSM控制台，选定您的网格实例进入网格管理页面。 2. 在左侧栏，网格实例中，选中全局命名空间。 3. 选择ratings所在的命名空间，将istio.io/rev标签，改为default值（表示注入旧版本）。 4. 后续步骤与上述流程一样，此处不在赘述。 回滚金丝雀升级 当所有临时升级的工作负载都回滚后，您可以选择把整次金丝雀升级回滚掉。 操作步骤如下 1. 登录CSM控制台，选定您的网格实例进入网格管理页面。 2. 在左侧栏，网格实例中，选中网格实例升级。 3. 选择金丝雀版本，点击开始回滚升级。 注意 回滚前请确保所有命名空间都已注入稳定Sidecar代理版本，否则无法撤销。 回滚后，新控制面会被清理，只保留稳定版本的控制面。 此时大致架构如下，后续您可以择期重新进行金丝雀升级，重复上述步骤进行控制面部署，工作负载验证等步骤即可。

返回结果 CopyPartResult 返回的属性如下： 参数 类型 说明 etag String 包含复制分片的Entity Tag lastModifiedDate Date 复制分片的最新修改时间 partNumber String 分片序号 取消分片上传任务 功能说明 取消分片上传任务操作用于终止一个分片上传。当一个分片上传被中止后，不会再有数据通过与之相应的upload id上传，同时已经被上传的分片所占用的空间会被释放。执行取消分片上传任务操作后，正在上传的分片可能会上传成功也可能会被中止，所以必要的情况下需要执行多次取消分片上传任务操作去释放全部上传成功的分片所占用的空间。可以通过执行列举已上传分片操作来确认所有中止分片上传后所有已上传分片的空间是否被被释放。 代码示例 java String bucket " "; String key " "; String uploadId " "; System.out.println("multiPartUpload: error" + e.getMessage()); AbortMultipartUploadRequest abortReq new AbortMultipartUploadRequest(bucket, key, uploadId); s3Client.abortMultipartUpload(abortReq); 请求参数 AbortMultipartUploadRequest 可设置的参数如下： 参数 类型 说明 是否必要 bucket String 执行本操作的桶名称 是 key String 分片上传的对象的key 是 uploadId String 指定需要终止的分片上传的id 是

本节主要介绍如何查看事件信息。 操作场景 通过查看事件列表，您可以了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面上方，查看事件统计情况。 急需处理事件 ：呈现事件等级为致命或高危，且状态为非关闭的事件总数。 超期事件 ：呈现已超过事件设置的计划关闭时间，且还未关闭的事件总数。 事件状态 ：呈现“打开”、“阻塞”、“关闭”状态的事件总数及对应状态下事件数量。 事件数量 ：当前工作空间内的事件总数，以及各个等级对应的事件数量。 6. 在事件列表中，查看事件详细信息。 页面最多可查看9999条事件信息。 参数 说明 事件名称 事件名称。 事件ID 事件对应的ID。 事件等级 事件严重等级，分为以下等级：提示、低危、中危、高危、致命。 类型 事件类型。 状态 事件状态，分为以下状态：打开、阻塞、关闭。 影响资产 受此事件影响的资产。 验证状态 此事件的验证状态，即事件的准确性。分为以下状态：未知、确认、误报。 责任人 此事件的主要责任人。 创建时间 此事件的创建时间。 首次发生时间 此事件首次发生时间。 最近发生时间 此事件最近一次发生的具体时间。 计划关闭时间 此事件的计划关闭时间。 描述 事件的描述信息。 数据源产品名称 事件来源产品的名称。 标签 事件的标签信息 操作 可对事件进行编辑、关闭等操作。 7. 如需查看某个事件详概览，可单击告警名称，页面右侧将展示事件的概览信息。 在事件概览页面可以查看事件的处置建议、基本信息和关联信息（包括关联的威胁指标、告警、事件、攻击信息等）。 如果需要查看事件详情，可以在事件概览页面右下角单击“事件详情”，进入事件详情页面。 在详情页面除了可以查看概览页面的信息外，还可以查看事件的时间线和攻击信息。例如：事件首次发生时间、检测时间、攻击进程ID等。 在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。 在事件概览/详情页面可以关联或取消关联告警、事件、情报，还可以查看受影响资产相关信息。

参数 是否必填 参数类型 说明 示例 下级对象 systemAccountId 是 String 系统账号ID cf9f5ca532e4e8195cbaa6ba94cfa4f2 description 否 String 描述信息，最大255个字符 更新后的描述信息 expirable 否 Boolean 是否设置过期时间 true expirationTime 否 String 过期时间，格式：yyyyMMdd HH:mm:ss 20251231 23:59:59 scope 否 String 权限范围。可选值：all（全部命名空间）、namespace（指定命名空间） all auth 否 String 权限类型。当scope为all时必填，可选值：push（推送权限）、pull（拉取权限） push auths 否 Array of Objects 权限列表。当scope为namespace时必填 auths enabled 否 Boolean 是否启用 true 表 auths

参数 是否必填 参数类型 说明 示例 下级对象 systemAccountId 是 String 系统账号ID cf9f5ca532e4e8195cbaa6ba94cfa4f2 description 否 String 描述信息，最大255个字符 更新后的描述信息 expirable 否 Boolean 是否设置过期时间 true expirationTime 否 String 过期时间，格式：yyyyMMdd HH:mm:ss 20251231 23:59:59 scope 否 String 权限范围。可选值：all（全部命名空间）、namespace（指定命名空间） all auth 否 String 权限类型。当scope为all时必填，可选值：push（推送权限）、pull（拉取权限） push auths 否 Array of Objects 权限列表。当scope为namespace时必填 auths enabled 否 Boolean 是否启用 true 表 auths

本文说明如何设置应用画面全屏。 为什么应用画面没有全屏展示？ 一般设备常见有两种方式的全屏 1. 屏幕全屏 在设备屏幕范围内全屏，没有浏览器的导航栏等界面，可以通过 发布应用时开启全屏实现 ，也可通过 SDK toggleFullscreen开启 。 2. 网页全屏 界面元素占满浏览器 viewport 范围，全屏后仍可以看到浏览器的地址栏等界面。不同设备对全屏 API 的支持情况不同，若设备已至此全屏API仍然没有将应用画面铺满屏幕，您的应用可能遇到以下情况： 应用画面有黑边 修改显示模式：云渲染默认云实例桌面分辨率为19201080p，若您的应用画面存在黑边，是由于应用窗口与终端显示屏 宽高比不同 ，您可以通过在应用发布时设置画面显示模式改为拉伸、裁剪达到无黑边全屏展示。SDK接入时也可通过landscapeType修改显示模式。 设置运行窗口为全屏模式： 通过设置应用运行窗口Fullscreen Mode为Windowed Fullscreen ，可将应用分辨率按桌面分辨率显示。 应用画面被裁剪 网页端默认实现了裁剪功能(相对中心裁剪)以保证应用无黑边全屏显示, 如果你要使用裁剪功能, 你应该确保你的应用预留了裁剪空间, 例如, 你的应用在被裁剪边没有紧贴边缘的UI, 否则UI也会一并被裁剪. 保证裁剪余量可以通过UMG的锚点定位轻松实现。 应用画面被压缩 窗口大小超出了桌面大小，云实例桌面分辨率为1080p，若您的应用超过此大小则会出现画面被压缩情况，请联系后台人员帮助您修改云实例分辨率。 注意 1.iOS系统限制，不支持网页端开启全屏、画面拉伸模式。 2.修改云实例桌面分辨率功能仅对包周期客户开放。

本章节介绍应用总览界面相关功能 概述 应用总览界面可以查看应用基本信息、访问方式、容器组、工作负载等信息。 应用总览 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击应用实例进入到应用详情界面。 基本信息 基本信息中展示了运行状态、资源池、环境、部署单元、微服务空间、K8s命名空间、集群名称、所属应用、规格等信息。部署单元可进行编辑，编辑后下次发布可选择已编辑的部署单元。规格信息可进行编辑，编辑后应用会立刻重启。 访问方式 访问方式展示了已邦定的负载均衡（公网）、负载均衡（私网）、服务（service）信息，可以通过+按钮进行新增，负载均衡需要先导入到环境才可进行绑定。 容器组 容器组列表展示了当前应用的pod信息，通过容器组列表可查看pod状态、ip、部署单元、节点等信息。通过操作栏可查看应用日志、pod事件、进入pod终端、删除pod等操作。 工作负载 容工作负载列表展示了当前应用的deployment信息，通过工作负载列表可查看负载名称、镜像、命名空间、创建时间等信息。通过操作栏可查看工作负载事件。

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

就近访问 用户上传对象时，可以选择就近存储。OOS通过系统自动调度，将数据写入距离客户较近的资源池，以实现较低的访问延迟。 用户下载对象时，可以从距离较近的资源池中获取数据，提高下载速度。 全国统一管理 OOS将多个地区的存储资源池连为一体，为用户提供了具有统一名字空间的对象存储服务。用户可以通过一个域名地址，访问全国的所有对象，数据可以在各个资源池间流动。 简单易用 OOS提供标准REST API、丰富的SDK、数据迁移工具，并可通过云存储网关支持iSCSI协议 ，让用户业务快速上云。OOS不限制存储空间大小，用户可根据所需存储量无限扩展存储空间；还可以通过设置生命周期规则，将到期数据批量删除或者转储为更低成本的低频访问型存储。 精准控制 OOS提供统一身份认证、Bucket权限、Bucket策略、签名验证等多种访问控制方式，对数据资源进行精准控制。支持操作跟踪和Bucket日志管理，实时记录访问请求的详细信息。

本章节会介绍天翼云关系型数据库如何创建新实例。 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“实例管理”页面，单击“创建数据库实例”。 步骤 5. 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 创建数据库实例 计费模式 包年/包月 ： 若选择该模式，跳过步骤1，执行步骤2。 按需计费 ： 若选择该模式，继续执行步骤1。 表1 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。适用于个人学习、微型网站以及中小企业的开发测试环境。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 数据库创建成功后可进行扩容。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 表4 数据库配置 参数 描述 :: 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入!@

参数 参数说明 实例名称 新建模板实例名称，命名必须唯一。 命名空间 指定部署的命名空间。 选择版本 选择模板的版本。 配置文件 用户可以导入values.yaml文件，导入后可替换模板包中的values.yaml文件；也可直接在配置框中在线编辑模板参数。 说明 此处导入的values.yam 文件需符合yaml规范，即KEY:VALUE格式。对于文件中的字段不做任何限制。 导入的value.yaml的key值必须与所选的模板包的values.yaml保持一致，否则不会生效。 即key不能修改。单击“添加文件”。选择对应的values.yaml文件，单击“打开”。

本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider:

“日审总览”页面呈现统计周期内当前工作空间中整体日志审计状况。 查看日审总览 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 日审总览”，进入日审总览页面。 5. 在日审总览页面查看整体日志审计状况，具体展示信息如下： 参数模块 参数说明 统计周期 日志审计的统计周期，可以在右上角设置显示周期。可以选择周期范围： 昨天 上一周 上一月 自定义：自定义日志审计报告的开始日期和结束日期。 日志存储 展示统计周期内日志总览和日志流速情况，包含以下信息： 总览 日志源数及其较上期变化 当前日志存储量及其较上期变化 日志记录总条数及其较上期变化 日志流速 日志平均每秒流入速率 日志平均每秒流入吞吐 日志平均日记录数 日志平均日存储量 日志记录数变化趋势 日志源接入流量TOP5 日志源接入数量分布TOP5 主机安全审计 统计周期内，HSS的安全日志和告警日志审计情况，包含以下信息： 活跃主机数及其较上期变化 主机登录源IP数及其较上期变化 主机告警次数及其较上期变化 活跃主机Top5 主机登录源IP分布 Top5 主机告警源IP分布 Top5 主机告警类型Top5分布 主机稀有告警类型Top5分布 公网网络审计 统计周期内，NDR的攻击日志和流量日志、DDoS的攻击日志审计情况，包含以下信息： NDR审计 公网来访流量（源IP） Top5 访问公网流量（源IP） Top5 公网来访范围（源IP） Top5 访问公网范围（源IP） Top5 网络攻击类型Top5 DDoS审计 DDoS攻击次数及其较上期变化 DDoS攻击源IP数及其较上期变化 DDoS攻击次数变化趋势 DDOS攻击来源IP Top5 应用访问审计 统计周期内，WAF的攻击日志和访问日志审计情况（核心审计对象为：应用、网络和域名），包含以下信息： 活跃域名数量及其较上期变化 WAF访问源IP数及其较上期变化 WAF攻击次数及其较上期变化 WAF拦截次数及其较上期变化 WAF访问源IP Top5 WAF攻击源IP Top5 WAF拦截源IP Top5 WAF攻击类型 Top5 活跃域名访问频次Top5 数据库访问审计 统计周期内，DBSS的告警日志审计情况（核心审计对象为：用户、数据库和操作），包含以下信息： 活跃数据库数及其较上期变化 数据库活跃用户数及其较上期变化 数据库告警源IP数及其较上期变化 SQL执行种类数及其较上期变化 活跃数据库IP Top5 数据库活跃用户Top5 SQL执行类型 Top5 数据库用户源IP数 Top5

本文介绍如何进行容器设置。 在容器设置页面，支持设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器设置”，进入容器设置页面。也可以在容器实时检测页面，单击右上角的“设置”按钮，进入容器设置页面。 3. 设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 参数 说明 历史容器保留时间 默认为7，不支持修改。 存在报警的历史容器保留时间 默认为7，不支持修改。 容器调查审计信息保留时间 最大值为“1095天”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存天数。 容器调查审计信息保留容量 最大值为“65535G”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存容量。 说明 “容器调查审计信息保留时间”和“容器调查审计信息保留容量”两个参数值均为0时，代表关闭审计功能。