本章节主要介绍数据治理中心的新建连接功能。 操作场景 用户在创建数据迁移的任务前，需要先创建连接，让CDM集群能够读写数据源。一个迁移任务，需要建立两个连接，源连接和目的连接。不同的迁移方式（表或者文件迁移），哪些数据源支持导出（即作为源连接），哪些数据源支持导入（即作为目的连接），详情请参见支持的数据源。 不同类型的数据源，创建连接时的配置参数也不相同，本章节指导用户根据数据源类型创建对应的连接。 约束限制 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 前提条件 已具备CDM集群。 CDM集群与目标数据源可以正常通信。 1. 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 2. 如果目标数据源为云上服务（如DWS、MRS及ECS等），则网络互通需满足如下条件： ①CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 ②CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 已获取待连接数据源的地址、用户名和密码，且该用户拥有数据导入、导出的操作权限。 使用Agent时需用主账户给子账户赋予CDM操作权限。

计费模式 包年/包月 按需计费 付费方式 预付费。按照订单的购买周期结算。 后付费。按照实例实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 适用计费项 实例规格（vCPU和内存）、存储空间、备份空间、冷存储空间、弹性公网IP。 实例规格（vCPU和内存）、存储空间、备份空间、冷存储空间、弹性公网IP。 变更计费模式 支持变更为按需计费模式。但包年/包月资费模式到期后，按需的资费模式才会生效。详情请参考2.5.3 包年/包月转按需。 支持变更为包年/包月计费模式。详情请参考2.5.2 按需转包年/包月。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于计算资源需求波动的场景，可以随时开通，随时删除。

本节介绍态势感知（专业版）数据同步、一致性相关问题。 为什么WAF、HSS中的数据和态势感知（专业版）中的数据不一致？ 由于态势感知（专业版）中汇聚了WAF、HSS上报的所有历史告警数据，而WAF和HSS中展示的是实时告警数据，导致存在态势感知（专业版）与WAF、HSS中数据不一致的情况。 因此，建议您前往对应服务（WAF或HSS）进行查看并处理。 为什么总览页面中没有显示资产总数？ 问题现象： 工作空间新增完成后，在工作空间内的“资产管理”页面中同步并已显示资产信息，但是“总览”页面中的资产总数仍然显示为0。 问题原因： 工作空间创建成功，且资产等数据信息接入完成后，态势感知（专业版）将在整点进行数据同步，请耐心等待同步后再进行查看。 解决方法： 请您耐心等待，同步会系统将更新资产等相关数据信息。

本文主要介绍云服务备份的计费样例。 计费场景 某用户在2023/03/18 15:00:00在苏州购买容量为100GB的按需计费的云主机备份存储库A，其中备份数据占用40GB存储库空间。用了一段时间后，因为该备份存储库打算长期使用下去，于2023/03/20 10:00:00将备份存储库A转为包年/包月计费，购买时长为1个月。那么在3~4月份，该云服务备份总共产生多少费用呢？ 计费构成分析 可以将云服务备份的使用阶段按照计费模式分为两段：在2023/03/18 15:00:00 ~ 2023/03/20 10:00:00期间为按需计费，2023/03/20 10:00:00 ~ 2023/04/20 23:59:59期间为包年/包月计费。 按需计费 在2023/03/18 15:00:00 ~ 2023/03/20 9:00:00期间按照100GB备份存储库A计费，计费时长为42小时，费用为：0.00028元/GB/小时100GB42小时1.176元 包年/包月计费 在2023/03/20 10:00:00 ~ 2023/04/20 23:59:59期间为包年/包月计费，计费时长为1个月， 0.210020元/月。 由此可见，在3~4月份，该云服务备份总共产生的费用为：1.176+2021.176元。 注意 上述价格仅供参考，详细的资费项费率标准请参见产品规格和价格。

本节介绍了常见问题:实例相关问题。 实例访问地址不通 确认使用的地址是否正确。内网地址只能在用户的VPC内的主机上访问。外网地址可以从公网访问。 个人实例和企业实例配额问题 个人版容器镜像实例不支持调整命名空间配额和仓库配额，而企业版支持通过扩容或缩容操作修改空间配额和仓库配额。

本文介绍云备份存储库的计费详情。 文件备份存储库 适用于ECS文件备份、物理机文件备份、本地文件备份功能，进行文件/目录的备份。 文件备份存储库仅支持包年包月计费模式，按照备份存储库容量和购买周期计费。 包年包月是一种先付费后使用的计费方式，按订单的购买周期结算。 计费项 计费项说明 包月标准价格 1TB一年价格举例 ::: 备份存储（GB） 预先购买的备份空间容量 0.2664元/GB/月 2455.14元 备份存储库还享受包年一次性付费折扣，一年、两年、三年均为75折。 混合备份存储库 适用于混合备份（存储版）功能，进行数据库、磁盘、VMware的备份。 混合备份存储库仅支持包年计费模式，按照备份存储库容量和购买周期计费。 包年是一种先付费后使用的计费方式，按订单的购买周期结算。 计费项 计费项说明 包年标准价格 1TB一年价格举例 ::: 备份存储（TB） 预先购买的备份空间容量 3563.52元/TB/年 3207.17元 备份存储库还享受包年一次性付费折扣，一年9折、两年或三年8折、四年或五年7折。

专属磁盘可以挂载给非专属云主机吗？ 不可以。 专属磁盘只能挂载给专属云主机，不能挂载给公有云中开通的云主机。 非专属云主机可以挂载公有云中开通的云硬盘。 云硬盘容量不足了怎么办？ 当您云硬盘容量不足且可能影响到自身业务时，可以参考以下内容来解决此问题： 单独购买一块云硬盘做数据盘，并挂载至弹性云主机，挂载成功之后进行初始化。 扩容当前已有云硬盘。 清理当前云硬盘上不需要的程序或文件来清理磁盘空间，具体步骤可参见：解决Linux云主机磁盘空间不足的问题、解决Windows弹性云主机磁盘空间不足的问题。 Linux系统的云硬盘挂载至Windows系统后需如何处理？ 不建议将Linux系统云主机上的云硬盘卸载后，重新挂载至Windows系统云主机，也不建议将Windows系统云主机上的云硬盘重新挂载至Linux系统云主机。 在这种情况下，由于文件系统的格式不一致，可能导致磁盘无法正确显示。如果磁盘无法显示，可以重新进行磁盘初始化和分区的操作。磁盘格式化会造成数据丢失，请提前对云硬盘创建备份，避免数据丢失。

本章节主要介绍如何查看已有情报指标信息。 操作场景 可以查看情报指标的威胁度、发现时间、状态等信息。支持翻页查看或自定义过滤条件筛选情报指标。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理> 情报管理”，进入情报管理页面。 5. 在情报管理页面查看情报指标信息。 参数名称 参数说明 情报类型 呈现所有类型情报指标总数及对应类型下情报指标数量。 超期情报 呈现已超过威胁情报指标设置的失效时间，且还未关闭的威胁情报指标总数。 情报状态 呈现不同状态的情报指标总数及对应状态下情报指标数量。 关闭：已经关闭的情报指标数量。 作废：已经作废的情报指标数量。 打开：处于打开状态的情报指标数量。 威胁度 呈现不同威胁程度对应的情报指标数量。 黑：表示危险，威胁程度为黑的情报指标数量。 灰：表示一般，威胁程度为灰的情报指标数量。 白：表示安全，威胁程度为白的情报指标数量。 情报管理列表 展示情报的详细信息。 在情报指标列表中下方可以查看情报指标总条数。其中，使用翻页查看时最多可查看10000条情报指标信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 情报指标列表中，可以查看情报的威胁度、发现时间、状态等信息。如需查看某个指标详细信息，可单击指标名称，页面右侧将展示指标的详细信息。 在情报概览页面可以查看情报的基本信息和关联信息（包括关联的威胁指标、告警、事件）。 在关联信息中，可以将情报指标和其他情报指标、告警和事件进行绑定或解绑操作。

帮助用户完成SFS Turbo备份存储库的创建，快速创建SFS Turbo备份容器。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份> SFS Turbo备份”。 2. 在界面右上角单击“购买SFS Turbo备份存储库”。 3. 选择计费模式。 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除存储库。费用直接从账户余额中扣除。 4. （可选）在文件系统列表中勾选需要备份的文件系统，勾选后将在已选文件系统列表区域展示，如下图所示。 图 选择文件系统 说明 所选文件系统未绑定存储库且状态必须为“可用”。 若不勾选文件系统，如需备份可在创建存储库后绑定文件系统即可。 说明 单AZ备份：备份数据仅存储在单个可用区（AZ），成本更低。 多AZ备份：备份数据冗余存储至多个可用区（AZ），可靠性更高。 5. 输入存储库容量。此容量为绑定文件系统所需的总容量。您需要提前规划存储库容量，存储库的空间不能小于备份文件系统的空间。取值范围为[10，10485760]GB。 6. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的文件系统都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 7. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 8. （可选）为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 9. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 10. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月~5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 11. 根据页面提示，完成支付。 12. 返回SFS Turbo备份页面。可以在存储库列表看到成功创建的存储库。

本实践介绍了用户可能发生的备份异常场景,您可按照本实践内容进行排查和处理。 问题表现： 在手动执行备份或备份策略自动执行备份时，备份任务执行失败。 可能原因1：备份执行所关联的存储库使用容量已超过总容量。 注意：存储库已使用容量超过总容量上限后，备份服务将不会继续执行新的备份，策略的自动执行会失败，在此期间将不会有新的备份数据可用。 建议操作： 您可以通过增加存储库总容量或减少备份副本的数量和容量来增加存储库的可使用容量空间。 1. 扩容存储库：如果希望能够继续产生新的备份数据同时也保留已生成的旧备份数据（在备份策略保留期内的），可以选择扩容存储库，具体操作请参考扩容存储库。 2. 取消全量备份配置：全量备份通常会占用更多的存储库空间，如果您在备份策略中配置了定期全量备份，可以取消定期全量备份的配置来减少后续备份对存储库空间的占用，具体参数可参考创建备份策略。无论是全量备份还是增量备份，均可以恢复出对应时间点的完整数据。但您需确认修改后的备份配置满足您的备份保护需求，否则仍建议您进行存储库扩容。 3. 修改保留规则：可以减少备份策略中备份数据的保留规则时间或数量，如将保留数量从保留15个改为保留10个，以释放存储库空间，具体参数可参考创建备份策略。但您需确认修改后的保留规则满足您的备份保护需求，否则仍建议您进行存储库扩容。 4. 手动删除备份副本：在目标存储库，手动删除您不再需要的备份副本以释放存储库空间，具体操作可参考删除备份。但需确认删除后的剩余备份数据满足您的备份保护需求，否则仍建议您进行存储库扩容。

本实践介绍了用户可能发生的备份异常场景,您可按照本实践内容进行排查和处理。 问题表现： 在手动执行备份或备份策略自动执行备份时，备份任务执行失败。 可能原因1：备份执行所关联的存储库使用容量已超过总容量。 注意：存储库已使用容量超过总容量上限后，备份服务将不会继续执行新的备份，策略的自动执行会失败，在此期间将不会有新的备份数据可用。 建议操作： 您可以通过增加存储库总容量或减少备份副本的数量和容量来增加存储库的可使用容量空间。 1. 扩容存储库：如果希望能够继续产生新的备份数据同时也保留已生成的旧备份数据（在备份策略保留期内的），可以选择扩容存储库，具体操作请参考扩容存储库。 2. 取消全量备份配置：全量备份通常会占用更多的存储库空间，如果您在备份策略中配置了定期全量备份，可以取消定期全量备份的配置来减少后续备份对存储库空间的占用，具体参数可参考创建备份策略。无论是全量备份还是增量备份，均可以恢复出对应时间点的完整数据。但您需确认修改后的备份配置满足您的备份保护需求，否则仍建议您进行存储库扩容。 3. 修改保留规则：可以减少备份策略中备份数据的保留规则时间或数量，如将保留数量从保留15个改为保留10个，以释放存储库空间，具体参数可参考创建备份策略。但您需确认修改后的保留规则满足您的备份保护需求，否则仍建议您进行存储库扩容。 4. 手动删除备份副本：在目标存储库，手动删除您不再需要的备份副本以释放存储库空间，具体操作可参考删除备份。但需确认删除后的剩余备份数据满足您的备份保护需求，否则仍建议您进行存储库扩容。

本章节介绍自定义授权服务 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建测试命名空间 kubectl create ns foo 打开sidecar自动注入 kubectl label ns foo istioinjectionenabled 部署sleep和httpbin应用 apiVersion: v1 kind: ServiceAccount metadata: name: sleep apiVersion: v1 kind: Service metadata: name: sleep labels: app: sleep service: sleep spec: ports: port: 80 name: http selector: app: sleep apiVersion: apps/v1 kind: Deployment metadata: name: sleep spec: replicas: 1 selector: matchLabels: app: sleep template: metadata: labels: app: sleep spec: terminationGracePeriodSeconds: 0 serviceAccountName: sleep containers: name: sleep image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/curl command: ["/bin/sleep", "infinity"] imagePullPolicy: IfNotPresent volumeMounts: mountPath: /etc/sleep/tls name: secretvolume volumes: name: secretvolume secret: secretName: sleepsecret optional: true 部署外部授权服务 apiVersion: v1 kind: Service metadata: name: extauthz labels: app: extauthz spec: ports: name: http port: 8000 targetPort: 8000 name: grpc port: 9000 targetPort: 9000 selector: app: extauthz apiVersion: apps/v1 kind: Deployment metadata: name: extauthz spec: replicas: 1 selector: matchLabels: app: extauthz template: metadata: labels: app: extauthz spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/extauthz:1.16.2 imagePullPolicy: IfNotPresent name: extauthz ports: containerPort: 8000 containerPort: 9000 apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/httpbin imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80

如果您希望将当前应用的配置完全复制到其他命名空间，您可以在应用引擎控制台使用应用复制功能。 功能入口 1. 在 CAE 控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表 页面，单击目标应用操作列的复制按钮，跳转至复制应用页面。 3. 复制应用 页面，您可以按需修改命名空间 以及配置信息，并按照界面提示创建当前应用。

查看与编辑混部规则详情 1. 登录云容器引擎控制台，选择指定集群后，选择左侧菜单栏“混合部署应用混部应用优先级配置”菜单。在规则列表中点击某一规则名称，进入详情页面。 2. 点击左上角“编辑”按钮，可修改 QoS 类型及负载感知调度器设置。 绑定与解绑应用 1. 登录云容器引擎控制台，选择指定集群后，选择左侧菜单栏“混合部署应用混部应用优先级配置”菜单。在规则列表中点击某一规则名称，进入详情页面。 2. 点击“绑定”按钮，弹出批量绑定应用窗口。 3. 可通过命名空间、工作负载类型等筛选待绑定应用。 4. 勾选目标应用，点击“确定”即可批量绑定。 5. 在已绑定应用列表中，点击单个应用末尾的“解绑”按钮，可解除该应用与规则的绑定关系。 常见问题与说明 绑定应用后无效果？ 确认应用已正确选择并绑定，稍等片刻或刷新页面。 规则删除失败？ 检查是否有应用仍绑定该规则，需先解绑所有应用。 编辑规则后部分应用未生效？ 编辑后新配置仅对后续调度生效，已运行的应用需重启或重新调度。 注意 建议为不同业务类型的应用设置合理优先级，避免资源争抢。 编辑或删除规则前，请确认相关应用的运行影响。 批量操作时请谨慎选择目标应用，避免误操作。

本文为您介绍如何针对已经开启的云搜索服务进行实例扩容。 当实例数据面临业务变化时，可动态调整实例的节点数量、容量、类型以满足业务需要。 使用限制 1. 允许扩容到数据节点上限50个，冷数据节点上限50个，协调节点上限32个，专属master节点上限3个。 2. 允许数据节点、冷数据节点的数据盘上限为单节点6T。 3. 扩容和升配的各个类型之间不支持同时操作。 4. 专属master节点和专属协调节点的存储容量不支持扩容。 5. 新增专属master和专属协调节点暂不支持回退，请按需增加。 前提条件 1. 实例处于运行中状态，没有其他正在进行的任务。 2. 节点数量、类型或者单节点容量暂未到达上限，仍有可扩容的空间。 扩容节点数量和节点存储 1. 登录云搜索控制台，在目标扩容的实例所在行点击“更多>实例变更”。 2. 在页面上选择“扩容>扩容”。 3. 根据需求，设置需要扩容的节点数量或数据盘的存储量，点击下一步。 4. 确认变更信息，勾选协议后点击提交；完成支付流程后，返回实例列表页。 5. 当实例状态为“处理中”时，表示实例正在扩容，若实例状态变为“运行中”，则扩容完成。 您可通过实例的基础信息页查看实例最新的节点情况，如遇失败，请前往事件管理页面查看原因。

本文介绍如何查看ECI实例监控指标。 在ECI控制台上，可以查看ECI实例的监控数据，包括CPU、内存和网络等相关指标。 监控指标概述 在ECI控制台上查看ECI实例的监控数据时，可以筛选时间段查看某一小时的数据，或者查看近5分钟的实时数据，支持查看的监控指标如下： CPU：显示CPU利用率，即实例的CPU使用率，上限为100%。 内存：显示内存利用率，即实例的内存使用率，上限为100%。 网络：显示发送速率和接收速率，即在对应时间窗内平均发送速率和平均接收速率。 磁盘：显示磁盘分区和空间数据。具体如下： 磁盘分区数据：包括系统分区和数据分区，其中数据分区为挂载作为数据盘的云盘分区。 磁盘空间数据：包括磁盘的总空间、已使用空间、剩余可用空间和使用率。 CPU指标计算方式 CPU数据如下： 名称 类型 示例值 描述 UsageNanoCores Long 0 CPU在采样窗口内的使用量（纳秒） UsageCoreNanoSeconds Long 70769883 CPU历史使用总量 Load Long 0 最近10秒的平均负载情况 Limit Long 2000 CPU使用上限（CPU核数1000） CPU相关指标计算方式如下： CPU核数利用率UsageNanoCores/10^9 CPU利用率UsageNanoCores/Limit/10^6

参数 参数类型 说明 示例 下级对象 orgOid String 部门ID orgkpz1fw8ukvdirwi2y40gj orgName String 部门名称 测试 cpu Integer 计算包CPU数量（单位：核） 5 cpuRemaining String 计算包CPU剩余数量（单位：核） 5.00 memory Integer 计算包内存数量（单位：GB） 10 memoryRemaining String 计算包剩余内存数量（单位：GB） 10.00 diskSize Integer 存储包空间大小（单位：GB） 10 diskRemaining String 存储包剩余空间（单位：GB） 10.00

本节介绍翼共享的应用场景。 企业文件共享 目标用户：企业内各部门员工、管理层。 核心诉求：保障企业数据安全，实现部门间高效协作与信息精准传递，满足不同部门对各类文档的管理与共享需求，同时便于权限管控与资料归档。 使用流程：企业管理员根据部门和组织架构在翼共享平台设置用户读写权限及文档共享范围；员工使用各自账号登录天翼AI云电脑，通过挂载的翼共享盘进行文件上传、下载、编辑等操作，如上传部门报表、产品文档等，下载所需资料；新员工入职时可获取相应权限访问入职培训资料和员工手册等。 共享盘推荐：翼共享具有严格权限分层管理和大容量存储功能的共享盘类型，以适应企业多部门、多文档类型的存储与权限管理需求。如有外部客户访问场景可以选择网络共享盘，本地数据大容量并发场景推荐使用NAS共享盘。 电子教室 目标用户：学校师生。 核心诉求：确保教学资料便捷存储与快速访问，满足课堂教学互动需求，保障学生作业安全存储与有效管理，同时简化教学设备管理流程。 使用流程：学校 IT 人员配置翼共享盘与池化AI云电脑的挂载连接；教师将课件及教学视频上传至翼共享盘；课堂上，学生通过池化AI云电脑登录访问翼共享盘，打开教学资料学习，并在课后将作业保存至共享盘指定位置。 共享盘推荐：翼共享学生空间版本，具备高并发读写能力和稳定数据传输性能的共享盘，可以支持按照学生账号进行作业空间配置，满足课堂作业提交场景，以保障多学生同时访问和操作教学资料时的流畅性。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

本节介绍如何查看Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞的详细信息。 前提条件 已接入HSS产品日志并已开启自动转告警设置，详细操作请参见数据集成。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防> 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理页面，查看漏洞统计情况。 漏洞类型分布 ：呈现漏洞整体数量，及各类型漏洞分布情况。 漏洞TOP5排行 ：漏洞编号页签中，呈现漏洞编号数量TOP5的漏洞及受影响资产数量；漏洞类型页签中，呈现漏洞类型数量TOP5的漏洞、漏洞危险程度及受影响资产。 风险资产TOP5排行 ：呈现TOP5的风险资产。 6. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 当漏洞较多时，可以通过搜索功能，选择漏洞的“漏洞名称”、“漏洞编号”、“等级”或者“是否处理”，并在搜索框中输入关键词，单击，即可快速查询指定漏洞。 页面最多可查看9999条漏洞信息。 漏洞参数说明： 参数名称 参数说明 漏洞名称 扫描出的漏洞名称。单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 等级 漏洞的危险程度。 ID 漏洞ID。 影响资产 受某个漏洞影响的资产总数。 漏洞编号 漏洞对应的编号。 最近扫描时间 最近一次扫描的时间。 是否处理 该漏洞是否已处理。 7. 如需查看某个漏洞的详细信息，可单击漏洞名称，在右侧弹出的详情页面进行查看。

本章节主要介绍 ALM27006 数据目录磁盘空间使用率超过阈值的告警。 告警解释 系统每30秒周期性检查DBServer主节点的数据目录磁盘空间使用率，并把实际数据目录磁盘空间使用率和阈值相比较，当数据目录磁盘空间使用率连续5次（可配置，默认值为5）超过设定阈值时，系统将产生此告警。数据目录磁盘空间使用率的阈值设为80%（可配置，默认值为80%）。 平滑次数可配置，当平滑次数为1，数据磁盘目录空间使用率小于或等于阈值时，该告警恢复；当平滑次数大于1，数据磁盘目录空间使用率小于阈值的90%时，该告警恢复。 告警属性 告警ID 告警级别 是否自动清除 27006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 设备分区名 产生告警的磁盘分区。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 业务进程不可用。 当数据目录磁盘空间使用率超过90%时，数据库进入只读模式并发送告警“数据库进入只读模式”，业务数据丢失。

本实践介绍了用户可能发生的备份异常场景,您可按照本实践内容进行排查和处理。 问题表现： 在手动执行备份或备份策略自动执行备份时，备份任务执行失败。 可能原因1：备份执行所关联的存储库使用容量已超过总容量。 注意：存储库已使用容量超过总容量上限后，备份服务将不会继续执行新的备份，策略的自动执行会失败，在此期间将不会有新的备份数据可用。 建议操作： 您可以通过增加存储库总容量或减少备份副本的数量和容量来增加存储库的可使用容量空间。 1. 扩容存储库：如果希望能够继续产生新的备份数据同时也保留已生成的旧备份数据（在备份策略保留期内的），可以选择扩容存储库，具体操作请参考扩容存储库。 2. 取消全量备份配置：全量备份通常会占用更多的存储库空间，如果您在备份策略中配置了定期全量备份，可以取消定期全量备份的配置来减少后续备份对存储库空间的占用，具体参数可参考创建备份策略。无论是全量备份还是增量备份，均可以恢复出对应时间点的完整数据。但您需确认修改后的备份配置满足您的备份保护需求，否则仍建议您进行存储库扩容。 3. 修改保留规则：可以减少备份策略中备份数据的保留规则时间或数量，如将保留数量从保留15个改为保留10个，以释放存储库空间，具体参数可参考创建备份策略。但您需确认修改后的保留规则满足您的备份保护需求，否则仍建议您进行存储库扩容。 4. 手动删除备份副本：在目标存储库，手动删除您不再需要的备份副本以释放存储库空间，具体操作可参考删除备份。但需确认删除后的剩余备份数据满足您的备份保护需求，否则仍建议您进行存储库扩容。

本实践介绍了用户可能发生的备份异常场景,您可按照本实践内容进行排查和处理。 问题表现： 在手动执行备份或备份策略自动执行备份时，备份任务执行失败。 可能原因1：备份执行所关联的存储库使用容量已超过总容量。 注意：存储库已使用容量超过总容量上限后，备份服务将不会继续执行新的备份，策略的自动执行会失败，在此期间将不会有新的备份数据可用。 建议操作： 您可以通过增加存储库总容量或减少备份副本的数量和容量来增加存储库的可使用容量空间。 1. 扩容存储库：如果希望能够继续产生新的备份数据同时也保留已生成的旧备份数据（在备份策略保留期内的），可以选择扩容存储库，具体操作请参考扩容存储库。 2. 取消全量备份配置：全量备份通常会占用更多的存储库空间，如果您在备份策略中配置了定期全量备份，可以取消定期全量备份的配置来减少后续备份对存储库空间的占用，具体参数可参考创建备份策略。无论是全量备份还是增量备份，均可以恢复出对应时间点的完整数据。但您需确认修改后的备份配置满足您的备份保护需求，否则仍建议您进行存储库扩容。 3. 修改保留规则：可以减少备份策略中备份数据的保留规则时间或数量，如将保留数量从保留15个改为保留10个，以释放存储库空间，具体参数可参考创建备份策略。但您需确认修改后的保留规则满足您的备份保护需求，否则仍建议您进行存储库扩容。 4. 手动删除备份副本：在目标存储库，手动删除您不再需要的备份副本以释放存储库空间，具体操作可参考删除备份。但需确认删除后的剩余备份数据满足您的备份保护需求，否则仍建议您进行存储库扩容。

云数据库ClickHouse存储空间查看 要查看每张表所占的磁盘空间，您可以使用以下步骤： 1. 使用管理员账号登录到云数据库ClickHouse。 2. 执行以下查询语句来获取每张表的磁盘空间占用情况： sql SELECT database, table, formatReadableSize(sum(bytes)) AS diskspace FROM system.parts GROUP BY database, table ORDER BY diskspace DESC; 这个查询会从系统表 system.parts 中检索数据，并按表的磁盘空间占用大小进行降序排序。 返回的结果将包含每张表所属的数据库、表的名称以及占用的磁盘空间大小，以易读的格式进行展示。 执行这个查询可能会消耗一定的时间和资源，特别是当系统中存在大量的表和分区时。因此，在执行之前请确保您具备足够的系统资源，并在适当的时机进行操作。 云数据库ClickHouse数据迁移 1. 通过Flink导入数据 1. 读取源数据: 在Flink定义Source功能从Kafka、HDFS等渠道读取源数据。 2. 调整数据格式: 执行转换操作，如提取字段、格式化数据类型等，配合云数据库ClickHouse表结构。 3. 配置云数据库ClickHouse连接器: 导入flinkconnectorclickhouse连接器，设置JDBC URL等连接云数据库ClickHouse的参数。 4. 定义云数据库ClickHouse输出: 使用ClickHouseSink将输出目标定义为云数据库ClickHouse表，设置插入策略如插入或更新模式。 5. 执行Flink任务: 提交Flink Job运行任务，源数据经转换实时写入云数据库ClickHouse表中。如遇错误自动重试。 详情查看从Flink迁移数据。

本章节会介绍天翼云关系型数据库如何创建新实例。 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“实例管理”页面，单击“创建数据库实例”。 步骤 5. 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 创建数据库实例 计费模式 包年/包月 ： 若选择该模式，跳过步骤1，执行步骤2。 按需计费 ： 若选择该模式，继续执行步骤1。 表1 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。适用于个人学习、微型网站以及中小企业的开发测试环境。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 数据库创建成功后可进行扩容。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 表4 数据库配置 参数 描述 :: 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入!@

本节介绍了常见问题:实例相关问题。 实例访问地址不通 确认使用的地址是否正确。内网地址只能在用户的VPC内的主机上访问。外网地址可以从公网访问。 个人实例和企业实例配额问题 个人版容器镜像实例不支持调整命名空间配额和仓库配额，而企业版支持通过扩容或缩容操作修改空间配额和仓库配额。

本章将介绍如何对云硬盘进行删除操作,包括删除云硬盘的操作场景、约束与限制以及删除云硬盘的具体步骤。 单盘删除 操作场景 当用户不再使用按量付费的云硬盘时，可以删除云硬盘以释放存储空间资源。删除云硬盘后，将停止对云硬盘收取费用。当云硬盘被删除后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 若您开通了回收站功能，按需云硬盘在删除的第一时间会进入回收站中，以避免云硬盘的误删除操作。回收站功能默认为关闭状态，具体开通请参见开启回收站。 约束与限制 当云硬盘状态为“未挂载”或“已冻结”或“错误”时，才可以被删除。 开启回收站功能后，已经删除的云硬盘会进入回收站，若业务需要，可在回收站中进行恢复。 存在快照的云硬盘无法被直接删除，需要您手动删除该盘全部快照或开启全部快照随云硬盘释放功能。 只有按量付费的云硬盘支持删除，包年包月的云硬盘不支持删除。 随云主机一起订购的系统盘不支持单独退订/删除，而数据盘可在云主机界面进行产品拆分后卸载、退订/删除。

您可以登录微服务引擎控制台，根据实际的业务需求对Nacos引擎的角色进行创建、编辑、删除和查看的操作。支持按命名空间或更细粒度的权限控制。 创建角色 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待操作的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 在“角色管理”页签，单击“创建角色”。 步骤 6 输入新角色名称。 说明 角色创建后，角色名称不可修改。 步骤 7 设置关联用户，在下拉框中选择新增帐号中创建的用户。 步骤 8 添加权限配置。 单击“添加权限配置”，在“命名空间”下拉框选择命名空间，在“权限动作”下拉框选择动作权限，包括只读、只写和读写。可同时添加多条权限配置，也可单击权限配置“操作”列的“删除”，删除某一条权限配置。 说明 权限之间是与的关系，即该角色同时拥有此处配置的权限。 步骤 9 单击“创建”，创建角色。 编辑角色 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待操作的开启了安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 在“角色管理”页签，单击待编辑角色“操作”列的“编辑”。 步骤 6 根据实际业务需求，修改“命令空间”和“权限动作”。 步骤 7 单击“编辑”，完成角色编辑。

kubectl get enicfg NAME TYPE PRIORITY SELECTOR PHASE AGE elasticnetworkinterfaceconfigurationsample fixed 100 {"namespaceSelector":{"matchLabels":{"foo":"bar"}},"podSelector":{"matchLabels":{"foo":"bar"}}} Ready 3m31s 可选步骤2：为命名空间添加匹配的标签 创建EniCfg自定义资源后，可为指定命名空间增加匹配的标签，以确保与EniCfg的selector.namespaceSelector匹配。如下所示，为test命名空间添加与示例EniCfg匹配的标签foobar。 plaintext kubectl label namespaces test foobar 预期输出如下： plaintext kubectl get ns test showlabels NAME STATUS AGE LABELS test Active 11s foobar,kubernetes.io/metadata.nametest 步骤3：创建使用独占ENI的Pod Pod创建时，Cubecni将根据Pod的标签以及所在命名空间的标签，查找匹配的EniCfg资源。如果没EniCfg资源匹配，将使用默认的安全组和子网。如果有EniCfg匹配，Cubecni将按照该资源定义的配置来申请ENI。 除了EniCfg外，可通过Pod注解方式声明独占ENI使用的子网和安全组，Pod注解优先级高于EniCfg，注解定义如下： 键 值 cubecni.eni.securityGroups 值为安全组ID列表，表示在已有安全组的基础上，额外增加的安全组，最终生效的安全组数量<5 cubecni.eni.additionalSecurityGroups 值为安全组ID列表，如sgxxx,sgaaa cubecni.eni.subnets 值为子网ID列表 通过打标方式，声明Pod使用独占ENI，此时，Cubecni会创建类型为Eni的自定义资源来描述Pod所占用的ENI。如下所示： 1. 创建名为demo的Pod，打标cubecni.exclusiveEni"true"声明该Pod使用独占ENI plaintext cat << EOF kubectl apply f apiVersion: apps/v1 kind: Deployment metadata: name: demo spec: replicas: 1 selector: matchLabels: app: demo template: metadata: labels: app: demo cubecni.exclusiveEni: "true"

kubectl get enicfg NAME TYPE PRIORITY SELECTOR PHASE AGE elasticnetworkinterfaceconfigurationsample fixed 100 {"namespaceSelector":{"matchLabels":{"foo":"bar"}},"podSelector":{"matchLabels":{"foo":"bar"}}} Ready 3m31s 可选步骤2：为命名空间添加匹配的标签 创建EniCfg自定义资源后，可为指定命名空间增加匹配的标签，以确保与EniCfg的selector.namespaceSelector匹配。如下所示，为test命名空间添加与示例EniCfg匹配的标签foobar。 plaintext kubectl label namespaces test foobar 预期输出如下： plaintext kubectl get ns test showlabels NAME STATUS AGE LABELS test Active 11s foobar,kubernetes.io/metadata.nametest 步骤3：创建使用独占ENI的Pod Pod创建时，Cubecni将根据Pod的标签以及所在命名空间的标签，查找匹配的EniCfg资源。如果没EniCfg资源匹配，将使用默认的安全组和子网。如果有EniCfg匹配，Cubecni将按照该资源定义的配置来申请ENI。 除了EniCfg外，可通过Pod注解方式声明独占ENI使用的子网和安全组，Pod注解优先级高于EniCfg，注解定义如下： 键 值 cubecni.eni.securityGroups 值为安全组ID列表，表示在已有安全组的基础上，额外增加的安全组，最终生效的安全组数量<5 cubecni.eni.additionalSecurityGroups 值为安全组ID列表，如sgxxx,sgaaa cubecni.eni.subnets 值为子网ID列表 通过打标方式，声明Pod使用独占ENI，此时，Cubecni会创建类型为Eni的自定义资源来描述Pod所占用的ENI。如下所示： 1. 创建名为demo的Pod，打标cubecni.exclusiveEni"true"声明该Pod使用独占ENI plaintext cat << EOF kubectl apply f apiVersion: apps/v1 kind: Deployment metadata: name: demo spec: replicas: 1 selector: matchLabels: app: demo template: metadata: labels: app: demo cubecni.exclusiveEni: "true"

本文主要介绍DNS概述。 CoreDNS介绍 创建集群时会安装CoreDNS插件，CoreDNS是用来做集群内部域名解析。 在kubesystem命名空间下可以查看到CoreDNS的Pod。 $ kubectl get po namespacekubesystem NAME READY STATUS RESTARTS AGE coredns7689f8bdf295rk 1/1 Running 0 9m11s coredns7689f8bdfh7n68 1/1 Running 0 11m CoreDNS安装成功后会成为DNS服务器，当创建Service后，CoreDNS会将Service的名称与IP记录起来，这样Pod就可以通过向CoreDNS查询Service的名称获得Service的IP地址。 访问时通过nginx..svc.cluster.local访问，其中nginx为Service的名称，为命名空间名称，svc.cluster.local为域名后缀，在实际使用中，在同一个命名空间下可以省略.svc.cluster.local，直接使用ServiceName即可。 使用ServiceName的方式有个主要的优点就是可以在开发应用程序时可以将ServiceName写在程序中，这样无需感知具体Service的IP地址。 CoreDNS插件安装后也有一个Service，在kubesystem命名空间下，如下所示。 $ kubectl get svc n kubesystem NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE coredns ClusterIP 10.247.3.10 ​ 默认情况下，其他Pod创建后，会将coredns Service的地址作为域名解析服务器的地址写在Pod的 /etc/resolv.conf 文件中，创建一个Pod，查看/etc/resolv.conf文件，如下所示。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh / cat /etc/resolv.conf nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 timeout singlerequestreopen 集群内域名解析示例图