本文主要介绍云硬盘服务支持审计的关键操作 云硬盘服务（Elastic Volume Service，以下简称EVS）是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。您可以在线进行操作，使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。 通过云审计服务，您可以记录与云硬盘相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的EVS操作列表 操作名称 资源类型 事件名称 创建磁盘 evs createVolume 更新磁盘 evs updateVolume 扩容磁盘 evs extendVolume 删除磁盘 evs deleteVolume 说明 表2中EVS的操作，为底层（OpenStack）服务触发；部分事件名称与表1重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表1中描述的事件。 表 云审计服务支持的EVS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建卷 volumes createVolumes 创建type types createTypes 创建快照 snapshots createSnapshots 创建备份 backups createBackups 创建一致性组 consistencygroups createConsistencygroups 创建快照一致性组 cgsnapshots createCgsnapshots 创建qosspecs qosspecs createQosspecs 创建卷传递 osvolumetransfer createOsvolumetransfer 添加卷快照的元数据 snapshots createSnapshotsMetadata 添加卷的元数据 volumes createVolumesMetadata 为卷类型创建新的扩展参数 types createTypesExtraspecs 导入卷备份记录信息 backups createBackupsImportrecord 恢复卷备份 backups createBackupsRestore 强制删除卷 volumes volumesOsforcedelete 挂载卷 volumes volumesOsattach 卸载卷 volumes volumesOsdetach 保留卷 volumes volumesOsreserve 预卸载卷 volumes volumesOsbegindetaching 回滚预卸载卷 volumes volumesOsrolldetaching 挂卷初始化连接 volumes volumesOsinitializeconnection 卸卷断开连接 volumes volumesOsterminateconnection 卷上传镜像 volumes volumesOsvolumeuploadimage 扩容卷 volumes volumesOsextend 取消保留卷 volumes volumesOsunreserve 设置为为只读 volumes volumesOsupdatereadonlyflag 更改卷的卷类型 volumes volumesOsretype 设置卷为可启动卷 volumes volumesOssetbootable 强制删除快照 snapshots volumesOsforcedelete 删除卷 volumes deleteVolumes 删除类型 types deleteTypes 删除卷快照 snapshots deleteSnapshots 删除备份 backups deleteBackups 删除卷快照的单个元数据 snapshots deleteSnapshotsSingleMetadata 删除一致性组 consistencygroups createConsistencygroupsDelete 删除快照一致性组 cgsnapshots deleteCgsnapshots 删除qosspecs qosspecs deleteQosspecs 删除卷传递过程 osvolumetransfer deleteOsvolumetransfer 删除卷的单个元数据 volumes deleteVolumesSingleMetadata 更新快照信息 snapshots updateSnapshots 更新卷 volumes updateVolumes 更新租户的配额信息 osquotasets updateOsquotasets 更新租户的配额等级 osquotaclasssets updateOsquotaclasssets 替换卷快照的元数据 snapshots updateSnapshotsMetadata 替换卷的元数据 volumes updateVolumesMetadata 更新一致性组 consistencygroups updateConsistencygroupsUpdate 更新卷的单个元数据 volumes updateVolumesSingleMetadata 更新卷快照的单个元数据 snapshots updateSnapshotsSingleMetadata

步骤六：创建跨域连接 云间高速跨域连接的创建，具体操作请参见：创建跨域连接云间高速 步骤七：测试连通性 VPC1、VPC2、VPC3之间已经可以互相通信，您可以通过以下操作测试VPC之间的连通性。 1. 测试VPC1和VPC2之间的连通性。 a) 登录VPC1的云主机实例。 b) 在VPC1的云主机实例中执行ping命令，尝试访问VPC2的云主机实例。 ping 2. 测试VPC3和VPC1之间的连通性。 a) 登录VPC3的云主机实例。 b) 在VPC3的云主机实例中执行ping命令，尝试访问本地IDC的服务器。 ping 3. 测试VPC3和VPC2之间的连通性。 a) 登录VPC3的云主机实例。 b) 在VPC3的云主机实例中执行ping命令，尝试访问VPC2的服务器。 ping 如果VPC3和VPC2之间网络已连通，那么可以实现资源互访。

本章主要介绍大版本升级。 目前DDS不支持直接通过控制台进行版本升级。如您需要可以通过数据库复制DRS进行迁移。 例如：使用数据库复制将DDS 3.4版本迁移到DDS 4.0版本，可以实现应用不停服的情况下，平滑完成数据库的迁移工作。 使用该方式进行迁移，需要提前准备好待迁移到的高版本数据库实例。 具体迁移操作，请参见《数据库复制用户指南》的“入云迁移”内容。 DDS数据库版本信息 源数据库版本 目标数据库版本 迁移类型 自建MongoDB/其他云MongoDB/DDS 3.4 4.0 DDS 3.4 4.0 4.2 4.4 DDS数据库版本升级 说明 DRS仅支持从低版本迁移到高版本。 迁移过程中，如果发生规格变更、重启等动作，可能会产生主备倒换，以及迁移任务闪断，需要及时检查drs任务状态。 大版本升级后，如果需要保证迁移前后实例的IP地址不变，可以修改高版本的IP地址为原来的连接地址（原实例的IP地址需要先释放出来）。具体操作请参见

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

本节主要介绍Kubectl常用命令参考。 基础命令 get get命令用于获取集群的一个或一些resource信息。 该命令可以列出集群所有资源的详细信息，resource包括集群节点、运行的pod、Replication Controller、service等。 须知： 集群中可以创建多个namespace，未指定namespace的情况下，所有操作都是针对namespacedefault。 例如： 获取所有pod的详细信息： kubectl get po o wide 获取所有namespace下的运行的所有pod： kubectl get po allnamespaces 获取所有namespace下的运行的所有pod的标签： kubectl get po showlabels 获取该节点的所有命名空间： kubectl get namespace 说明 查询其他节点需要加s指定节点，类似可以使用“kubectl get rc”，“kubectl get svc”，“kubectl get nodes”，“kubectl get deploy”等获取其他resource信息。 以yaml格式输出pod的详细信息： kubectl get po o yaml 以json格式输出pod的详细信息： kubectl get po o json kubectl get po rcnginx2btv4j ocustomcolumnsLABELS:.metadata.labels.app 说明 其中LABELS为显示的列标题，可以自己设置，“.metadata.labels.app”为查询的数据需要按照之前的yaml或json获取。 create kubectl命令用于根据文件或输入创建集群resource。 如果已经定义了相应resource的yaml或json文件，直接kubectl create f filename即可创建文件内定义的resource。 kubectl create f filename expose expose将一个资源包括pod、Replication Controller、service、deployment等公开为一个新的service。 kubectl expose deployment deployname port81 typeNodePort targetport80 nameservicename 说明 给deployname发布一个服务，port为暴露出去的端口，type为服务类型，targetport为容器端口，port通过clusterip加端口访问，targetport通过节点ip加端口访问。 run 例如： 在集群中运行一个特定的镜像。 kubectl run deployname imagenginx:latest 在创建时指定运行的命令： kubectl run deployname imagebusybox command ping baidu.com set 在对象上设置特定功能。 例如： 将一个deployname的image改为镜像为1.0的image： kubectl set image deploy deployname containernamecontainername:1.0 edit edit提供了另一种更新resource源的操作。 例如： 使用edit直接更新pod的命令为： kubectl edit po ponginxbtv4j 上面命令的效果等效于： kubectl get po ponginxbtv4j o yaml >> /tmp/nginxtmp.yaml vim /tmp/nginxtmp.yaml /do some changes here / kubectl replace f /tmp/nginxtmp.yaml explain 查看文档或参考资料。 例如： 查看pods/service的相关文档： kubectl explain pods,svc delete 根据resource名或label删除resource。 例如： 立刻删除该pod： kubectl delete po podname now kubectl delete f nginx.yaml kubectl delete deployment deployname

查看实例HA主备详情 购买云堡垒机主备版实例后，可以通过HA主备详情查看HA状态、IP地址、接口等信息。 说明 仅“一类节点”区域的实例支持主备版。 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择目标实例，单击“更多 > HA主备详情”。 4. 查看HA主备详情，查看主备节点的运行状态、IP地址等信息。

本小节介绍云解析智能解析线路类型说明。 云解析平台支持分运营商、分区域的智能解析，用户可以自行配置指定区域和运营商的解析记录。无论是配置分区域还是分运营商的线路前，均需先配置一条“默认”线路的记录。 例如 test. ctyun.cn 设置“默认”线路解析到1.1.1.1，“电信”线路解析到2.2.2.2，则电信运营商用户访问将返回2.2.2.2的 IP 地址，非电信运营商用户访问将返回1.1.1.1的 IP 地址。

参数 描述 IP地址或域名 业务数据库的IP地址或域名。 端口 业务数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 业务数据库的用户名。 数据库密码 业务数据库的用户名所对应的密码。支持在任务创建后修改密码。任务为启动中、初始化、灾备中、灾备异常状态时，可在“基本信息”页面的“灾备信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。

本节主要介绍如何使用API查询存储池关联的QoS。 此操作用来查询存储池关联的QoS信息。 请求语法 plaintext GET /rest/v1/system/storagepool/poolName/qos HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 参数 类型 描述 是否必须 poolName String 存储池名称。 是 响应结果 名称 类型 描述 qosPolicy Object of qosPolicy QoS策略信息集合，详见“表1 响应参数qosPolicy/qosPolicyforLUN说明”。 qosPolicyforLUN Object of qosPolicyforLUN 存储池中卷的默认QoS策略信息，详见“表1 响应参数qosPolicy/qosPolicyforLUN说明”。 表1 响应参数qosPolicy/qosPolicyforLUN说明 名称 类型 描述 qosName String QoS策略名称。 IOPS Long 每秒能够进行读写操作次数的最大值。 说明 1表示不限制。 readIOPS Long 每秒能够进行读操作次数的最大值。 说明 1表示不限制。 writeIOPS Long 每秒能够进行写操作次数的最大值。 说明 1表示不限制。 Bps Long 每秒可传输数据量的最大值，单位是B/s。 说明 1表示不限制。 readBps Long 读带宽上限，单位是B/s。 说明 1表示不限制。 writeBps Long 写带宽上限，单位是B/s。 说明 1表示不限制。 IOPSBurst Long 使用Burst功能时，每秒能够进行读写操作次数的最大值。 说明 1表示不限制。 readIOPSBurst Long 使用Burst功能时，每秒能够进行读操作次数的最大值。 说明 1表示不限制。 writeIOPSBurst Long 使用Burst功能时，每秒能够进行写操作次数的最大值。 说明 1表示不限制。 BpsBurst Long 使用Burst功能时，每秒可传输的数据量最大值，单位是B/s。 说明 1表示不限制。 readBpsBurst Long 使用Burst功能时，读带宽上限，单位是B/s。 说明 1表示不限制。 writeBpsBurst Long 使用Burst功能时，写带宽上限，单位是B/s。 说明 1表示不限制。 IOPSBurstSecs Long 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。单位是秒。 readIOPSBurstSecs Long 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。单位是秒。 writeIOPSBurstSecs Long 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。单位是秒。 BpsBurstSecs Long 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。单位是秒。 readBpsBurstSecs Long 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。单位是秒。 writeBpsBurstSecs Long 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。单位是秒。 createTime Long QoS策略创建的时间。 reclaimPolicy String QoS策略的回收策略： Delete：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，系统会触发删除QoS策略。 Retain：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，QoS策略仍保留。 description String QoS策略的描述信息。

本节介绍了在迁移完成后如何进行数据校验。 当任务状态变为“增量同步”，说明全量同步已经完成，全量同步完成后，登录云数据库GaussDB 查看数据迁移结果。 1. 等待迁移任务状态变为“增量同步”。 2. 单击任务名称，进入任务详情页。 3. 在“同步进度”页签查看全量同步结果。 如图所示，本次实践将TESTINFO库中DATATYPELIST表迁移至shard0，共迁移了两条数据。 4. 验证数据一致性。 a) 在“同步对比 > 对象级对比”页面，查看库和表的迁移结果。 b) 在“同步对比 > 数据级对比”页面，创建对比任务，查看表中行的迁移结果。 5. 通过DAS连接云数据库GaussDB openGauss版的目标库“ testdatabaseinfo ”。 DAS连接实例的方法请参考《新增数据库登录》。 6. 执行如下语句，查询全量同步结果。 SELECT FROM testinfo.datatypelistafter; Oracle数据库中的模式迁移完成后，会在云数据库GaussDB 数据库中作为Schema，所以查询语句中添加Schema精确查询。 如图所示，查询表中的各个数据类型都迁移成功，并且数据正确无误。 7. 验证增量同步。 由于本次实践为“全量+增量”同步模式，全量同步完成后，如果在创建任务后有数据写入，这些写入的数据会一直同步至目标库中，直到任务结束。下面我们模拟写入另外的数据。 a) 根据本地的Oracle数据库的IP和地址，通过数据库连接工具连接数据库。 b) 执行如下语句，在源库插入一条数据。 我们插入一条“id”为1的数据。 insert into testinfo.DATATYPELIST values(1,'Migratetest','test1','test2','test3','test4', 666,12.321,1.123,2.123,sysdate,sysdate,sysdate,sysdate,'hw','cb','df','FF','FF','AAAYEVAAJAAAACrAAA');commit; c) 在目标库执行如下语句查询结果。 SELECT FROM testinfo.datatypelistafter; 如图所示，在源库新增的数据，可以实时同步至目标库。 8. 结束迁移任务。 根据业务情况，待业务完全迁移至目标库，可以结束当前任务。 a) 单击“操作”列的“结束”。 b) 仔细阅读提示后，单击“是”，结束任务。 9. 迁移完成后，进行性能测试。

本节介绍了云容器引擎的最佳实践：容器化Web访问MySQL。 本篇以实际场景介绍如何发布无状态工作负载，并连接有状态数据库，并配合使用持久存储，在本片教程中，我们使用Local PV作为持久存储介质，在生产使用中建议使用Ceph存储。 创建持久存储类 选择Local存储，如下： 创建持久存储卷：在新建存储卷界面，选择第一步中创建的持久存储类 选择LocalPV所在节点以及LocalPV的目录，这里LocalPV所在节点即想要把容器数据持久化到哪一个k8s节点上，LocalPV的目录即是我们所选节点上的指定目录。 注意 此目录需要在我们所选择节点上存在，若不存在需要手动在改节点上创建目录。 创建MySQL有状态服务并使用持久存储卷： 出现新建存储卷界面，我们创建MySQL的流程如下： 点击新建PVC后，我们需要格外注意下图中的注意点。 StorageClasss名称：必须和第二步中创建的持久存储卷使用同一个StorageClass。 所需容量：这里选择的容量不能超过第二步中创建的持久存储卷的容量。 然后开始设置MySQL容器的参数，依次输入MySQL容器名称、选择MySQL镜像及版本号，需要格外注意挂载点的名称和容器路径。 其中数据卷选择刚刚添加的数据卷。 MySQL容器的数据目录为/Var/lib/mysql，所以容器路径输入这个目录。 设置容器的资源参数及环境变量，MySQL容器正常运行我们必须要设置MYSQLROOTPASSWORD这个环境变量，设置root用户密码，同时如果需要在MySQL容器启动后帮我们创建一个database，我们可以使用MYSQLDATABASE这个环境变量。 最后一步，我们为MySQL容器配置集群内访问方式，所以我们选择类型为ClusterIP。 注意 服务端口可以直接与容器端口相同。 创建web无状态工作负载并连接数据库 1、web工作负载配置 我们使用的web工作负载使用的配置文件如下： spring: jpa: showsql: false openinview: true datasource: driverclassname:"com.mysql.cj.jdbc.Driver" jdbcurl: "jdbc:mysql://{MYSQLHOST}:MYSQLHOST:{MYSQLPORT}/test?autoReconnecttrue&useUnicodetrue&characterEncodingUTF8&allowMultiQueriestrue&useSSLfalse" username: "${MYSQLUSERNAME}" password:"${MYSQLPASSWORD}" 在上述配置中，我们通过读取环境变量来设置应用所需的MySQL主机IP、端口、用户名、密码。 2、创建无状态工作负载 这里我们只介绍无状态工作负载的环境变量怎么设置，其他的参数配置与MySQL的类似：

缩容校验策略 缩容节点选择完成后，为了避免组件退服失败，不同组件提供了不同的退服约束规则，只有满足了所有安装组件的退服约束规则才允许缩容。缩容校验策略如下表所示。 组件退服约束规则 组件名称 退服约束规则 HDFS/DataNode 规则：缩容后节点数不小于当前HDFS的副本数且HDFS数据总量不超过缩容后HDFS集群总容量的80%，可以执行缩容操作。 原因：确保缩容后剩余空间足够存放现有数据，并预留一部分空间。 说明 为了保证数据的可靠性，HDFS中每保存一个文件则自动生成1个备份文件，即默认共2个副本。 HBase/RegionServer 规则：除缩容节点外，其他节点RegionServer剩余可用内存的总和，大于所选缩容节点RegionServer当前使用内存的1.2倍。 原因：当一个节点退服时，这个节点上的Region会迁移到其他节点，所以其他节点的可用内存必须足够才能负担起退服节点的Region。 Storm/ Supervisor 规则：缩容后集群slot数足够运行当前已提交的任务。 原因：防止缩容后没有充足的资源运行流处理任务。 Flume/FlumeServer 规则：节点安装了FlumeServer，并且已经配置了Flume任务，则该节点不能删除。 原因：防止误删了已部署的业务程序。 指定数量缩容 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要缩容的节点组的“操作”列，单击“缩容”，进入缩容集群页面。 只有运行中的集群且集群中的节点都在运行中才能进行该操作。 4.设置“缩容节点数量”，并单击“确定”。 说明 缩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 若HDFS存在损坏的数据块，则缩容集群可能出现失败，请联系支持人员处理。 5.页面右上角弹出缩容节点提交成功提示框。 集群缩容过程说明如下： 缩容中：集群正在缩容时集群状态为“缩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续缩容和删除集群，也不建议重启集群和修改集群配置。 缩容成功：集群缩容成功后集群状态为“运行中”。 缩容失败：集群缩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行缩容操作。 缩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

黑产挖矿的特点 1.系统的脆弱越少，被植入挖矿概率就越低 只要提升系统的安全系数，可以攻破对应系统的挖矿病毒种类就会减少：不同挖矿病毒的横向能力往往是参差不齐的。例如：H2Miner挖矿病毒一般就只会通过ssh弱密码进行横向扩散。如果系统不存在ssh弱密码，就不会被该种病毒入侵。但HolesWarm、LemonDuck等挖矿病毒可以利用几十乃至近百种不同的漏洞横向自身。 所以只要提升系统的安全系数，可以攻破对应系统的挖矿病毒种类就会减少，系统中挖矿的概率也会减小。而且如果希望确保系统不中挖矿，则需要对系统的安全做持续的监控、运维。 2.隐蔽性高，进化快 由于不法分子的最终目的是将挖矿持久的留在系统中，所以会采用各种各样的手段确保挖矿病毒不被发现：包括但不限于，破坏系统自带的进程查看软件，让其不显示挖矿进程和cpu占用；限制自身只使用50%的cpu（仍会对业务产生较大影响）；在系统各处留下”不死马”，让自身很难被删除等。 同时，不法分子在不断分析安全软件，不断通过新技术绕过旧的检测逻辑。例如2020年之前，一种常见的检测逻辑是：检测进程是否和矿池ip通信。这种结合了威胁情报的检测可以有效针对挖矿病毒的变种。但是2021年后的一个大趋势是：挖矿病毒不直接和矿池通信了，而是通过访问各种各样的代理去连接矿池。这就导致该检测逻辑的可靠性下降。只能靠漏洞利用痕迹、行为特征等去进一步判断。 3.动态对抗 由于上面提到的特点2（挖矿病毒的隐蔽性高，进化快），挖矿病毒的检测往往是一件动态对抗的事情，理论上再巧妙精确的检测规则都有被绕过的可能。然后安全人员可能会去分析不法分子通过哪些行为特征进行的绕过，再去对这些绕过特征做检测，直到不法分子再次发明新的绕过姿势的检测绕过姿势，安全人员再对绕过姿势的检测绕过姿势进行检测.....这种对抗会一直持续。 即使所有规则都有被绕过的可能，但例如使用了多锚点的检测技术，往往能最大程度的确保系统不会存在未被发现的挖矿。多锚点就是对病毒的从入侵到横向的每个环节和特征，都去进行检测，可能中间会有4~7层检测逻辑。精心构筑的挖矿病毒绕过其中一层相对容易，但如果想绕过所有层的检测逻辑，是一件非常困难的事情。

本章节主要介绍如何扩容集群。 MRS的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 MRS集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。 操作步骤 1.登录MRS管理控制台。 2.选择 “集群列表 > 现有集群” ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。 只有运行中的集群才能进行扩容操作。 4.设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考添加Task节点配置Task节点。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

步骤五：测试连通性 VPC1、VPC2、本地IDC之间已经可以互相通信，您可以通过以下操作测试VPC与VPC、VPC与本地IDC之间的连通性。 1. 测试VPC1和VPC2之间的连通性。 a) 登录VPC1的云主机实例。 b) 在VPC1的云主机实例中执行ping命令，尝试访问VPC2的云主机实例。 ping 2. 测试VPC1和本地IDC之间的连通性。 a) 登录VPC1的云主机实例。 b) 在VPC1的云主机实例中执行ping命令，尝试访问本地IDC的服务器。 ping 当VPC1和本地IDC之间的网络已经连通，可以实现资源互访，我们即可在两个网络之间自由地传输数据，并且不需要进行任何额外的配置。 3. 测试VPC2和本地IDC之间的连通性。 a) 登录VPC2的云主机实例。 b) 在VPC2的云主机实例中执行ping命令，尝试访问本地IDC的服务器。 ping 如果VPC2和本地IDC之间网络已连通，那么可以实现资源互访。

参数 参数类型 说明 示例 id String IPv6 带宽 ID bandwidthsjwu65pf9t status String IPv6 带宽状态: ACTIVE（正常） / EXPIRED（过期） / FREEZING（冻结） /CREATEING（创建中） CREATEING name String IPv6 带宽名字 xxxx bandwidth Integer IPv6 带宽峰值 mbps 1 resourceSpec String 独享 / 共享 standalone paymentType String 计费类型 包年包月 createdTime String IPv6 带宽创建时间 20221011T19:50:44Z expiredTime String IPv6 带宽过期时间 20221111T19:50:44Z ipAddress String IP 地址 :: ipv6GatewayID String IPv6 网关 ID xxxx

参数 参数类型 说明 示例 id String IPv6 带宽 ID bandwidthsjwu65pf9t status String IPv6 带宽状态: ACTIVE（正常） / EXPIRED（过期） / FREEZING（冻结） /CREATEING（创建中） CREATEING name String IPv6 带宽名字 xxxx bandwidth Integer IPv6 带宽峰值 mbps 1 resourceSpec String 独享 / 共享 standalone paymentType String 计费类型 包年包月 createdTime String IPv6 带宽创建时间 20221011T19:50:44Z expiredTime String IPv6 带宽过期时间 20221111T19:50:44Z ipAddress String IP 地址 :: ipv6GatewayID String IPv6 网关 ID xxxx

失败原因 处理建议 源数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 源数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 源库迁移账号登录权限不足。 登录源库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。

失败原因 处理建议 目标数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 目标数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 目标库迁移账号登录权限不足。 登录目标库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。

参数 参数类型 说明 示例 下级对象 desktopOid String 云电脑ID。 fooId pubUserOid String 用户ID。 fooId userName String 用户名称。 fooName userAccount String 用户账号。 fooAccount orgOid String 部门ID。 fooName orgName String （云电脑）部门名称。 fooName completeOrgName String （云电脑）部门完整名称。由从根部门到当前部门的名称，以半角斜线号（/）为分隔符拼接而成。 fooRoot/fooName startConnectTime String 开始连接时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 20231122T08:36:27Z endConnectTime String 结束连接时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 20231122T08:36:28Z deviceType String 终端类型。可能值： ArmThinClient：瘦终端ARM。 X86ThinClient：瘦终端X86。 Iptv：IPTV。 AndroidThinClient：Android 瘦终端。 AndroidPhone：Android Phone。 Windows：Windows客户端。 Iphone：iPhone。 AndroidPad：Android Pad。 Ipad：iPad。 Mac：Mac客户端。 Windows subnetIpAddress String （云电脑）子网IP地址。 192.168.0.242 deviceIpAddress String 终端IP地址。 66.66.66.66 devicePrivateIpAddress String 终端内网IP地址。 66.66.66.66 deviceMacAddress String 终端MAC地址。 CC:CC:CC:CC:CC:CC deviceSnCode String 终端SN码。 cccccccccccccccccccccccccccccccc

限制项 限制说明 用户使用 云硬盘类似于传统服务器中的硬盘，无法单独使用，必须挂载在弹性云主机或物理机上使用。 创建云硬盘 单个用户在单个地域，最多创建1000块云硬盘。 单个用户在单个地域下所有磁盘的总容量，不得超过204800GB。 挂载云硬盘 一台云主机默认情况下最多可以挂载9块云硬盘（1块系统盘+8块数据盘）。 如需挂载超过9块云硬盘，请联系天翼云客服提交工单处理，处理后最多可挂载23块云硬盘。 当云硬盘为非共享盘时，只能挂载到一台云主机上。 当云硬盘为共享盘时，支持同时挂载最多16台云主机。 注意 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机最多只允许挂载3块极速型SSD云硬盘。 扩容云硬盘 云硬盘支持容量的扩容，不支持缩容。如扩容的是状态为“已挂载”的云硬盘，那么云硬盘所挂载的云主机状态必须为“运行中”或者“关机”才支持扩容。 系统盘支持的最大容量为2TB。 数据盘支持的最大容量为32TB（X系列云硬盘支持的最大容量为64TB）。 最小扩容容量为1GB，扩容步长为1GB。 注意 扩容成功后，需要对扩容部分的云硬盘进行后续处理。不同操作系统的云主机处理方式不同，具体请参见 卸载云硬盘 只有数据盘支持卸载操作，系统盘不支持卸载。 当卸载数据盘时，支持离线卸载或在线卸载，即可在挂载该数据盘的云主机处于“关机”或“运行中”状态时进行卸载。 容量 数据盘的取值范围： 普通IO/高IO/通用型SSD/超高IO/极速型SSD：10GB~32768GB XSSD0：10GB65536GB XSSD1：20GB65536GB XSSD2：512GB65536GB XSSD3：1024GB65536GB 系统盘的取值范围： 普通IO/高IO/通用型SSD/超高IO/极速型SSD：40GB2048GB XSSD0：40GB2048GB XSSD1：40GB2048GB XSSD2：512GB2048GB XSSD3：1024GB2048GB 云硬盘快照 非X系列单块云硬盘最多可以保留40个手动快照，X系列单块云硬盘最多可以保留1000个手动快照（暂不支持通过工单提升）。 单个快照最多可创建128块云硬盘。 单个用户单个地域自动快照策略个数最多为20个。 单个自动快照策略关联云硬盘个数最多200个。 非X系列单个云硬盘最多可创建自动快照和手动快照总数为50，X系列单个云硬盘最多可创建自动快照和手动快照总数为2000（暂不支持通过工单提升）。 注意 磁盘模式为FCSAN、ISCSI的云硬盘暂不支持快照服务。 挂载至物理机的云硬盘、和物理机一起订购的云硬盘暂不支持快照服务。 云硬盘快照回滚只支持回滚至源云硬盘，不支持回滚至其他云硬盘。

本文为您介绍分布式消息服务MQTT的创建实例内容。 实例介绍 MQTT实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占MQTT实例，可根据业务需要可定制相应规格的MQTT实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台订购实例，进入订购分布式消息MQTT页面。 2、 订购实例，注意选择产品规格。 （1）填写实例名称，长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()。 （2）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （3）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （4）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （5）设置节点数，可输入3~16个。MQTT 的节点数是指MQTT 集群中的节点数量。在MQTT 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的MQTT 服务器实例。 （6）下拉选择主机类型，目前提供计算增强型。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （7）选择实例规格，分布式消息服务MQTT提供计算增强型多种云主机规格，各规格详细说明参见弹性云主机规格。 （8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （9）选择已有子网，若无子网，点击创建跳转到子网页面新增，了解更多内容参见虚拟私有云子网管理 创建子网。 （10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增，了解更多内容参见虚拟私有云安全组 创建安全组。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看MQTT实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

本节为您介绍如何添加PTR类型记录集。 操作场景 当您想要通过私网IP地址反向解析对应的内网域名时，可以通过PTR类型记录集实现。 更多关于记录集类型的介绍，请参见支持记录集类型。 约束和限制 在添加PTR记录前，必须先根据IP地址网络计算反向解析域名。 假设您的网络地址范围是 192.168.0.1192.168.0.255，和192.168.0.1/24这个C段网络。那么对应的IP地址网络反解域名为0.168.192.inaddr.arpa。当您在域名0.168.192.inaddr.arpa内添加主机记录为1的PTR记录指向www.example.com时，IP地址192.168.0.1的反向解析即是www.example.com。 说明 在创建反向解析域名时，IPV4反向解析域名固定后缀为inaddr.arpa，IPV6反向解析域名固定后缀为ip6.arpa。 操作步骤 1. 登录到内网DNS控制中心页面, 单击“创建内网域名”。 2. 出现“创建内网域名”弹窗，在“域名”对反解域名进行配置后单击“确定”。（本例输入1.168.192.inaddr.arpa） 3. 添加反向解析域名后，在权威域名列表找到创建好的域名，在“操作”列单击“管理记录集”。 4. 在解析记录界面单击“添加记录集”，添加主机记录为 1 的 PTR 记录，将其指向主机 www.example.com。 表1 添加PTR类型记录集参数说明 参数 说明 取值样例 主机记录 填写反向解析记录的名称。 例如，用户IP地址为192.168.1.10，则反向解析域名的完整格式为10.1.168.192.inaddr.arpa。 若创建的域名为192.inaddr.arpa，则主机记录为10.1.168。 若创建的域名为1.168.192.inaddr.arpa，则主机记录为10。 类型 记录集的类型，此处为PTR类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 PTR – 将IP地址指向域名 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 反向解析返回的域名值，只能写1个域名。 www.example.com 描述 选填字段，最多支持输入100个字符。 5. 填写完成后，点击“确定”完成PTR类型记录集创建。 6. 在“解析记录”页面，可以看到创建成功的解析记录。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点关联的终端节点服务 endpsert3jqijb64e endpointID String 是 节点id 6442d4f9c6994305a3129d6c21d54e36 transitIPAddress String 是 中转ip地址 192.168.4.12 transitPort Integer 是 中转端口,1到65535 8080 protocol String 是 TCP:TCP协议,UDP:UDP协议 TCP targetIPAddress String 是 目标ip地址 192.168.0.5 targetPort Integer 是 目标端口,1到65535 9090

失败原因 处理建议 源数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 源数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 源数据库迁移账号登录权限不足。 登录源库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。

基线核查主要是针对主机的操作系统、数据库、虚拟化设备、软件基础、应用程序的配置合规性进行检查，并提供检测结果说明和加固建议。 功能说明 基线检查功能进行系统安全加固，降低入侵风险并满足安全合规要求。 展示基线漏洞详细信息以及漏洞发生IP地址。 记录基线合规相关风险信息，其中包括终端IP地址、基线名称、基线检查类型、发现时间及是否修改符合。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

本节介绍如何开启数据加速。 您可以在创建数据集或者数据集版本时，开启数据加速功能。 开启数据加速将同步生成数据源配置资源（Dataset）与后端加速引擎资源（Runtime）；两者就绪后，数据集进入加速状态，将远端数据加载至本地缓存并创建加速 PVC，业务应用通过挂载该 PVC 即可获得数据访问加速能力。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 确保存储插件cstorcsi运行正常。 建议开启加速前进行缓存节点和路径规划，以合理利用节点资源，提升集群稳定性。 约束与限制 数据加速引擎使用开源社区的模板与镜像，使用过程中可能存在缺陷，我们会定期同步社区版本来修复已知漏洞。请评估是否满足您的业务场景要求。 目前，仅支持通过Alluxio底层存储引擎使用数据缓存的能力。alluxio 是一个面向基于云的数据分析和人工智能的开源的数据编排技术。 它为数据驱动型应用和存储系统构建了桥梁, 将数据从存储层移动到距离数据驱动型应用更近的位置从而能够更容易被访问。 选择存储介质为SSD，存储路径不能配置根目录。 选择存储介质为MEM，存储路径开头配置为/dev/shm 或 /run/shm。 操作步骤 1. 创建数据集 登录云容器引擎管理控制台 在集群列表页点击进入指定集群 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择创建数据集 在新建数据集页面，首先完成基础信息配置，参考 创建数据集 进行数据加速配置： 配置项说明如下： 配置项 说明 加速类型 选择 本地缓存。 存储类型 缓存层级所使用的存储介质类型，当前支持SSD、MEM，默认使用SSD。 存储路径 缓存介质的本地挂载 / 存储路径。 注意 1. 选择SSD存储，路径不能配置根目录，更进一步，建议不适用系统盘路径 2. 选择MEM存储，路径开头配置为/dev/shm 或 /run/shm 缓存配额 可使用的本地缓存存储配额（即本地缓存的最大容量限制），单位可选GiB、MiB。 立即预热 提前将远程存储系统中的数据拉取到本地缓存，使得消费该数据集的应用能够在首次运行时即可享受到缓存带来的加速效果。 高级选项 实例副本数 指定 缓存引擎Worker 节点数量，Replica 数量越多，缓存容量总和越大。默认为 1个节点。 高级选项 节点亲和性 指定 缓存引擎节点需要部署在符合特定条件的 K8s 节点上，可以控制缓存节点的部署位置，提升数据访问效率、合理利用节点资源。 高级选项 预留空间上限 当前缓存层级的缓存容量上限阈值（以百分比形式表示，取值 0~1 之间，如 0.95 对应 95%）。 当缓存数据占用量达到对应的百分比时，缓存引擎会自动触发缓存淘汰机制（默认 LRU 策略），开始清理（淘汰）不常用的缓存数据，防止缓存容量超出配额。 高级选项 预留空间下限 当前缓存层级的缓存容量下限阈值（以百分比形式表示，取值 0~1 之间，如 0.7 对应 70%）。 作为缓存淘汰机制的停止阈值，当缓存数据占用量因淘汰机制降至对应的百分比时，停止缓存淘汰，保留当前可用缓存数据。

本章节向您介绍VPC对等连接组网迁移实施步骤。 步骤一：创建云服务资源 1. 创建迁移过程中验证ER和VPC通信情况的子网。在每个待迁移的VPC内，各创建一个新的子网。 2. 在迁移验证子网内，创建ECS。在每个待迁移的子网内，各创建一个ECS。 3. 创建1个企业路由器。本示例中，对等连接两端的VPC网段不重叠，因此创建企业路由器时，同时开启“默认路由表关联”和“默认路由表传播”。 注意 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 步骤二：在企业路由器中添加VPC连接及路由 1. 将3个待迁移的VPC分别接入企业路由器中。添加连接时，不开启“配置连接侧路由”功能，添加“虚拟私有云（VPC）”连接。 2. 检查ER路由表中指向VPC的路由。本示例中，ER开启了“默认路由表关联”和“默认路由表传播功能”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 说明 开启“配置连接侧路由”功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不能使用自动添加的路由。 如果您未开启“默认路由表传播”功能，则需要手动在ER路由表中添加指向VPC的路由。 步骤三：验证VPC和ER之间的网络通信情况 1. 在接入ER的VPC的路由表中，添加指向ER的迁移验证路由。 2. 在弹性云主机的远程登录窗口，执行以下步骤，验证VPC和ER的网络通信情况。 登录ecsA02，验证vpcA与vpcB是否可以通过ER通信。 登录ecsA02，验证vpcA与vpcC是否可以通过ER通信。 登录ecsB02，验证vpcB与vpcC是否可以通过ER通信。 3. 验证完成后，删除迁移验证相关的路由、ECS和子网。 步骤四：在VPC路由表中添加路由 在VPCA、VPCB和VPCC的路由表中，依次添加路由。 1. 添加指向任意VPC对等连接的临时通信路由。此路由确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 在vpcA的路由表中，添加1.1.1.1/32路由。 在vpcB的路由表中，添加1.1.1.2/32路由。 在vpcC的路由表中，添加1.1.1.3/32路由。 2. 添加指向ER的大网段路由。该路由的目的地址即需要覆盖待迁移的所有VPC网段，又不能被其他业务占用。 在vpcA的路由表中，添加172.16.0.0/14路由。 在vpcB的路由表中，添加172.16.0.0/14路由。 在vpcC的路由表中，添加172.16.0.0/14路由。

本章节主要介绍如何添加安全组规则。 安全组的默认规则是在出方向上的数据报文全部放行，安全组内的物理机无需添加规则即可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 说明 在创建物理机时只能添加一个安全组。物理机创建完成后，可以在详情页面修改每个网卡对应的安全组。 当需要从安全组外访问安全组内的物理机时，需要为安全组添加相应的入方向规则。建议将不同公网访问策略的物理机划分到不同的安全组。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的物理机。 1．登录天翼云，进入控制中心。 2．在系统首页，单击“计算 > 物理机服务”。 3．在物理机列表，单击待变更安全组规则的物理机名称，系统跳转至该物理机详情页面。 4．选择“安全组”页签，并单击 ，查看安全组规则。 5．单击安全组ID，系统自动跳转至安全组页面。 6．单击“添加规则”，添加安全组规则，相关参数说明如下表所示。 参数 说明 取值样例 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 方向 安全组规则生效的方向，取值范围：入方向，出方向。入方向指从外表进入安全组的流量，出方向指从安全组内出去的流量。 Inbound 端口范围 规则的端口范围，取值范围为：0～65535。 22或2230 源地址 当方向为入方向时，需要填入此参数。源地址可以是IP地址，也可以是安全组。 0.0.0.0/0 目的地址 当方向是出方向时，需要填入此参数。目的地址可以是IP地址，也可以是安全组。 0.0.0.0/0

本文为您介绍半托管模式迁移任务的创建与管理。 操作场景 通过对象存储迁移服务的控制台，创建半托管模式的迁移任务，并对半托管模式的迁移任务进行管理操作。 前提条件 您已经创建完成代理，并完成代理的部署，存在至少一个代理为“已连接”状态。 您的源端存在待迁移的数据，您已经在天翼云对象存储ZOS开通Bucket。 请确保您的业务处于空闲阶段或非高峰期，避免迁移执行时影响您的业务。 请确保您的源端数据已经解冻，并在迁移完成前保持解冻状态，避免因源端数据未解冻迁移失败。 创建半托管模式迁移任务 1. 进入“对象存储>对象存储迁移服务>迁移任务 ”控制台，选择“迁移任务列表”分页进入迁移任务列表页面，点击“创建迁移任务 ”。 注意 使用对象存储迁移服务会获取您的AK/SK等认证信息，为确保您一定知情，创建任务时会有使用提示弹窗，需要您阅读并手动勾选服务协议，进行确认。您有权不勾选服务协议，并不使用该服务，请您知悉。 2. 在创建迁移任务的页面，迁移任务模式选择“半托管迁移”，并选择执行任务的代理。填写其他任务相关参数后，点击“下一步：确认任务 ”即可。参数说明如下表： 参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明： 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 迁移模式 迁移任务运行模式 选择创建迁移任务的模式，支持全托管模式和半托管模式。 说明： 全托管模式：迁移任务将在服务端执行，适合数据量在10TB以内，或对迁移耗时没有紧急诉求的客户。 半托管模式：迁移任务将运行在客户自己的设备上，客户可通过提供更高的网络带宽和更多的迁移设备，实现更高速的迁移，适合数据量在10TB以上，或对迁移耗时有明确诉求的客户。 注意： 半托管迁移模式依赖您已经部署完成代理，代理设备与迁移服务服务端连通，否则无法创建半托管模式的迁移任务。 迁移模式 选择执行本任务的代理设备 选择执行本任务的代理设备，迁移任务将会下发给指定的代理设备用于执行迁移。 说明： 仅能选择“已连接”状态的代理。 选择源端 源端 选择源端数据的服务提供方。 说明： 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 注意： 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定对象、指定前缀。 说明： 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定对象 ：选择“指定对象”时，将会迁移选中的对象。最大支持指定100个对象。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。 选择源端 迁移晚于起始时间的对象 选择该选项时，用户可配置“起始时间 ”，任务将仅迁移最后修改时间晚于该“起始时间 ”的对象。 选择源端 迁移早于终止时间的对象 选择该选项时，用户可配置“终止时间 ”，任务将仅迁移最后修改时间早于该“终止时间 ”的对象。 注意： 若您同时设定“起始时间 ”和“终止时间 ”，限制“终止时间 ”需晚于（不包含等于）“起始时间 ”。 选择目的端 目的端 指定为天翼云对象存储ZOS。 选择目的端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明： 目的端为ZOS，您可在对象存储ZOS的bucket“概览域名信息”中找到终端节点（Endpoint）信息。 选择目的端 Access Key 输入您目的端的Access Key。 选择目的端 Secret Key 输入您目的端的Secret Key。 选择目的端 存储桶 输入您目的端的对象存储桶名称。 选择目的端 目的端指定前缀 是否在目的端指定前缀： 关闭 目的端指定前缀，则会将源端数据按原有目录结构迁移至目的端存储桶。 开启 目的端指定前缀，可为迁移至目的端的对象（或文件夹）增加指定的前缀，可分为“增加前缀”和“增加前缀目录”。 说明： 增加前缀 ：若您输入的前缀不为目录，则为迁移的对象（或文件夹）增加该部分前缀。例如：指定源端桶 bucketA 的文件夹 bucketA/a/folder1 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test，则迁移至目的端后为 bucketB/Testa/folder1 。 增加前缀目录 ：若您输入的前缀为目录，则为迁移的对象（或文件夹）增加该部分前缀目录，实现将对象迁移至指定的目录下的效果。例如：指定源端桶bucketA的对象 bucketA/a/fileA.png 和 bucketA/b/fileB.png 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test/，则迁移至目的端后为 bucketB/Test/a/fileA.png 和 bucketB/Test/b/fileB.png 。 选择目的端 存储类型 选择迁移数据在目的端的存储类型，支持：匹配源端、标准存储、低频存储、归档存储。 说明： 匹配源端 ：会自动匹配源端存储类型，与源端存储类型保持一致。但仅能自动匹配源端的“标准”和“低频”类型，匹配源端的“归档”或“深度归档”类型，请您务必提前对源端归档数据进行手动解冻，并确保迁移任务完成前数据保持解冻状态，否则该部分数据会迁移失败。 标准存储 ：将会存储为标准类型。 低频存储 ：将会存储为低频类型。 归档存储 ：将会存储为归档类型。 不同地域的对象存储ZOS bucket所支持的存储类型不一致，若您此处选择的存储类型，在您的目的端bucket所在地域并不支持，则迁移会失败。您可参考对象存储ZOS产品能力地图，以便确定您的目的端对不同存储类型的支持情况。 选择目的端 ACL配置 选择迁移数据在目的端的ACL配置，支持：匹配源端、私有、公共读。 说明： 匹配源端 ：会自动匹配源端的ACL配置，与源端保持一致。 私有 ：会将目的端ACL配置为私有。 公共读 ：会将目的端ACL配置为公共读。 高级选项 同名文件是否覆盖 选择迁移的同名文件处理策略，支持：同名文件不覆盖、同名文件全覆盖、按最后修改时间判断。 说明： 不覆盖 ：对同名文件，不进行任何判断，一律执行跳过。 全覆盖 ：对于同名文件，不进行任何判断，一律执行覆盖。 按最后修改时间 ：对于同名文件，优先判断二者的Lastmodified（即最后修改时间），仅当源端文件相较目的端修改时间更新时，进行覆盖。若源端与目的端文件最后修改时间一致，则判断两者的文件大小，大小一致则执行跳过，大小不一致则执行覆盖。 注意： 选择“全覆盖 ”将会覆盖您目的端的同名文件，被覆盖的文件无法被恢复，请您配置时慎重评估是否全覆盖，避免不必要的损失。 注意 创建迁移任务的参数涉及您源端存储数据的相关信息，需要您自行在源端获取，部分信息涉及您的隐私，请注意保密。 3. 在确认任务页面，您可以再次检查填写的任务参数，确定无误后，点击“创建任务 ”，这里需要您进行二次确认，确认后即可创建任务。回到迁移任务列表页面，该任务会在列表中展示。 说明 针对半托管模式的迁移任务，创建任务后，迁移服务依赖您的代理对源端进行连通性检查，存在一定的等待时间，若创建任务失败，任务状态会变为“创建失败 请重新创建任务 ”，您可选择该状态后方的问号图标，鼠标悬停查看创建失败的具体错误信息，以帮助您检查配置参数是否有误。 4. 若迁移任务参数校验均通过，则会自动启动任务并变为“启动中 ”状态，启动成功的任务会变为“排队中 ”状态，排队等待您的代理执行任务，无需您再手动执行任务。 注意 若自动启动任务失败，您的任务会变为“已创建”状态，您依旧可以手动开始该任务。

Nacossdkgo Nacossdkgo是Nacos的Go语言客户端，它实现了服务发现和动态配置的功能 使用限制 支持Go>v1.15版本 支持Nacos>2.x版本 安装 安装开源SDK go get github.com/nacosgroup/nacossdkgo/v2 快速使用 ClientConfig constant.ClientConfig{ TimeoutMs uint64 // 请求Nacos服务端的超时时间，默认是10000ms NamespaceId string // ACM的命名空间Id CacheDir string // 缓存service信息的目录，默认是当前运行目录 UpdateThreadNum int // 监听service变化的并发数，默认20 NotLoadCacheAtStart bool // 在启动的时候不读取缓存在CacheDir的service信息 UpdateCacheWhenEmpty bool // 当service返回的实例列表为空时，不更新缓存，用于推空保护 Username string // Nacos服务端的API鉴权Username Password string // Nacos服务端的API鉴权Password LogDir string // 日志存储路径 RotateTime string // 日志轮转周期，比如：30m, 1h, 24h, 默认是24h MaxAge int64 // 日志最大文件数，默认3 LogLevel string // 日志默认级别，值必须是：debug,info,warn,error，默认值是info } ServerConfig constant.ServerConfig{ ContextPath string // Nacos的ContextPath，默认/nacos，在2.0中不需要设置 IpAddr string // Nacos的服务地址 Port uint64 // Nacos的服务端口 Scheme string // Nacos的服务地址前缀，默认http，在2.0中不需要设置 GrpcPort uint64 // Nacos的 grpc 服务端口, 默认为 服务端口+1000, 不是必填 } 我们可以配置多个ServerConfig，客户端会对这些服务端做轮询请求 服务发现 注销实例：DeregisterInstance success, err : namingClient.DeregisterInstance(vo.DeregisterInstanceParam{ Ip: "${ipAddr}", Port: 8848, ServiceName: "demo.go", Ephemeral: true, Cluster: "clustera", // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取服务信息：GetService services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"clustera"}, // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取所有的实例列表：SelectAllInstances services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"DEFAULT"}, // 默认值 GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取实例列表 ：SelectInstances // SelectInstances 只返回满足这些条件的实例列表：healthy${HealthyOnly},enabletrue 和weight>0 instances, err : namingClient.SelectInstances(vo.SelectInstancesParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT HealthyOnly: true, }) 获取一个健康的实例（加权随机轮询）：SelectOneHealthyInstance // SelectOneHealthyInstance将会按加权随机轮询的负载均衡策略返回一个健康的实例 // 实例必须满足的条件：healthtrue,enabletrue and weight>0 instance, err : namingClient.SelectOneHealthyInstance(vo.SelectOneHealthInstanceParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT }) 监听服务变化：Subscribe // Subscribe keyserviceName+groupName+cluster // 注意:我们可以在相同的key添加多个SubscribeCallback. err : namingClient.Subscribe(vo.SubscribeParam{ ServiceName: "rccdemo", GroupName: "DEFAULTGROUP", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT SubscribeCallback: func(services []model.Instance, err error) { log.Printf("nn callback return services:%s nn", utils.ToJsonString(services)) }, })