配置项 描述 智算套件 设置是否安装智算套件 Ingress 设置是否安装Ingress网络组件。如果有对外暴露服务的需求，则推荐安装Ingress组件。默认为Nginx Ingress。可选择不安装。安装Nginx Ingress需要配置可用的ELB，请选择 80 或 443 端口未被监听的 ELB 服务发现 是否安装 NodeLocal DNSCache组件。NodeLocal DNSCache用于在节点上运行 DNS 缓存代理以提升域名解析性能和稳定性 AccessKey 设置您的AccessKey和SecurityKey，您可以通过“账号中心”>“安全设置”>“用户AccessKey”中查看您的AccessKey、SecurityKey信息 日志服务 设置是否启用日志服务，开启后，将自动为您安装ctglogoperator插件，该插件是天翼云自研基于CCSE的一站式日志插件，为CCSE提供的日志采集、存储、检索能力，具有日志数据集中存储，高效压缩，秒级检索等特性 集群巡检 是否启用集群巡检功能，开启后，使用集群巡检定时扫描集群状态，识别潜在风险

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到CPU高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测CPU使用率指标。 2、业务应用验证： 观察业务应用是否出现响应变慢、处理失败率升高等现象。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到CPU高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测CPU使用率指标。 2、业务应用验证： 观察业务应用是否出现响应变慢、处理失败率升高等现象。

消费消息 消费者需要创建一个连接到RabbitMQ服务器，然后创建一个通道（Channel）来进行消息的订阅。在订阅消息之前，消费者通常需要先声明一个队列，以确保能够正确地接收和处理消息。 一旦连接和通道建立完成，消费者可以使用basicConsume()方法来订阅指定的队列，并注册一个回调函数来处理接收到的消息。当有消息到达队列时，RabbitMQ会将消息推送给消费者，消费者的回调函数将被调用，从而可以对消息进行处理。 消费者可以根据自己的需求设置消息的确认机制。在默认情况下，消费者在接收到消息后，会自动向RabbitMQ发送一个确认（ack）消息，表示已成功接收并处理该消息。如果消费者在处理消息时发生错误，可以选择不发送确认消息，从而使消息重新进入队列，以便其他消费者重新处理。 通过使用RabbitMQ，消费者可以实现解耦，即它们可以独立地进行开发和部署。消费者可以根据自己的处理能力和负载来接收和处理消息，从而实现负载均衡和水平扩展。 代码示例： import com.rabbitmq.client.; import java.io.IOException; import java.nio.charset.StandardCharsets; import java.util.concurrent.TimeoutException; public class RabbitmqConsumer { //队列名称 private final static String QUEUENAME "YOUR QUEUE NAME"; public static void main(String[] args) throws IOException, TimeoutException { //创建连接工厂 ConnectionFactory factory new ConnectionFactory(); //设置主机ip factory.setHost("YOUR HOST IP"); //设置amqp的端口号 factory.setPort(YOUR PORT); //设置用户名密码 factory.setUsername("YOUR USER NAME"); factory.setPassword("YOUR USER PASSWORD"); //设置Vhost，需要在控制台先创建 factory.setVirtualHost("YOUR VHOST"); //基于网络环境合理设置超时时间 factory.setConnectionTimeout(30 1000); factory.setHandshakeTimeout(30 1000); factory.setShutdownTimeout(0); Connection connection factory.newConnection(); Channel channel connection.createChannel(); //声明队列，主要为了防止消息接收者先运行此程序，队列还不存在时创建队列。 channel.queueDeclare(QUEUENAME, false, false, false, null); System.out.println(" [] Waiting for messages. To exit press CTRL+C"); Consumer consumer new DefaultConsumer(channel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { String message new String(body, StandardCharsets.UTF8); System.out.println(" [x] Received '" + message + "'"); } }; channel.basicConsume(QUEUENAME, true, consumer); } } 完成上述步骤后，可以在控制台查看消费者是否启动成功。 完成以上所有步骤后，就成功接入了RabbitMQ服务，可以用消息队列进行消息发送和订阅了。

消费消息 消费者需要创建一个连接到RabbitMQ服务器，然后创建一个通道（Channel）来进行消息的订阅。在订阅消息之前，消费者通常需要先声明一个队列，以确保能够正确地接收和处理消息。 一旦连接和通道建立完成，消费者可以使用basicConsume()方法来订阅指定的队列，并注册一个回调函数来处理接收到的消息。当有消息到达队列时，RabbitMQ会将消息推送给消费者，消费者的回调函数将被调用，从而可以对消息进行处理。 消费者可以根据自己的需求设置消息的确认机制。在默认情况下，消费者在接收到消息后，会自动向RabbitMQ发送一个确认（ack）消息，表示已成功接收并处理该消息。如果消费者在处理消息时发生错误，可以选择不发送确认消息，从而使消息重新进入队列，以便其他消费者重新处理。 通过使用RabbitMQ，消费者可以实现解耦，即它们可以独立地进行开发和部署。消费者可以根据自己的处理能力和负载来接收和处理消息，从而实现负载均衡和水平扩展。 代码示例： import com.rabbitmq.client.; import java.io.IOException; import java.nio.charset.StandardCharsets; import java.util.concurrent.TimeoutException; public class RabbitmqConsumer { //队列名称 private final static String QUEUENAME "Hello，RabbitMQ"; public static void main(String[] args) throws IOException, TimeoutException { //创建连接工厂 ConnectionFactory factory new ConnectionFactory(); //设置主机ip factory.setHost("YOUR HOST IP"); //设置amqp的端口号 factory.setPort(YOUR PORT); //设置用户名密码 factory.setUsername("YOUR USER NAME"); factory.setPassword("YOUR USER PASSWORD"); //设置Vhost，需要在控制台先创建 factory.setVirtualHost("YOUR VHOST"); //基于网络环境合理设置超时时间 factory.setConnectionTimeout(30 1000); factory.setHandshakeTimeout(30 1000); factory.setShutdownTimeout(0); Connection connection factory.newConnection(); Channel channel connection.createChannel(); //声明队列，主要为了防止消息接收者先运行此程序，队列还不存在时创建队列。 channel.queueDeclare(QUEUENAME, false, false, false, null); System.out.println(" [] Waiting for messages. To exit press CTRL+C"); Consumer consumer new DefaultConsumer(channel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { String message new String(body, StandardCharsets.UTF8); System.out.println(" [x] Received '" + message + "'"); } }; channel.basicConsume(QUEUENAME, true, consumer); } } 完成上述步骤后，可以在控制台查看消费者是否启动成功。 完成以上所有步骤后，就成功接入了RabbitMQ服务，可以用消息队列进行消息发送和订阅了。

开源对比 相较于开源自建Kafka，分布式消息服务Kafka在低成本运维、分区规模、消息查询、ACL访问控制、可视化配置、运维监控、集群巡检、稳定可靠、安全保证、简单易用等方面更具优势。更多信息请参见开源对比。 产品优势 分布式消息服务Kafka具备高可用性、高安全性、可靠性、全托管等优势，使其成为大规模数据处理和实时流处理的理想选择。更多信息请参见产品优势。 功能特性 分布式消息服务Kafka的功能特性主要体现在以下几个方面： 消息能力 广播消息：在同一个消费组内对所有消费者投递相同消息。 消息回溯：支持根据时间重置消费进度。 消息数据自动删除功能：在磁盘满后，在保护期外的数据，能自动删除，保证服务可用性。 自动故障切换功能：生产消费自动负载均衡，消息节点故障时自动主备切换，保证服务的连续性。 队列能力 高吞吐，消息多副本异步复制。 高可靠，消息多副本同步复制。 可视化管理 应用用户管理：多个应用可调用同一个消息服务，通过应用用户，对消息服务下的应用接入权限进行管理。 主题管理：支持对实例下的主题进行管理，执行创建删除等操作。 消费组管理：支持对实例下的消费组进行管理。 Broker监控：提供Broker详细信息以及多维度的监控指标查看。 Topic监控：提供Topic详细信息以及多维度的监控指标查看。

本节主要介绍微服务治理 业务场景 ServiceStage中的微服务引擎CSE，可提供负载均衡、降级、限流、容错、熔断、错误注入、黑白名单等服务治理策略。 用户可以根据实际的业务场景提前配置相应的治理策略，灵活应对业务需求变化，保障应用的稳定运行。 降级：在本实践中，假设前台请求剧增，导致系统响应缓慢甚至可能崩溃，在这样的场景下，我们可以在fusionweather对forecast使用降级策略，对forecast 进行降级处理，只请求比较重要的实时天气weather的数据，保障重要业务功能的正常运行，等流量洪峰过去再进行复原。 体验微服务降级 ServiceStage支持从界面上设置按微服务或接口粒度降级。 以对forecast微服务降级为例，操作步骤如下。 1、登录ServiceStage控制台，选择“基础设施 > 微服务引擎 CSE”。 2、选择在实践“使用ServiceStage托管微服务应用”中创建环境时选择的微服务引擎，单击“查看控制台”。 3、单击“服务治理”，进入服务治理页面。 4、单击创建应用时创建的应用名称（例如weathermap）。 5、配置降级策略： 1. 选择fusionweather微服务。 2. 选择“降级”。 3. 单击“新增”。 4. “降级对象”选择“forecast”和“所有方法”。 5. “降级策略”设置为“开启”。 单击“确定”。 6、配查看效果。 在浏览器中访问应用，原天气预报页面右侧天气预测部分显示空白。 7、单击，删除降级策略，以免对后续体验造成影响。

本节主要介绍应用场景。 场景一：企业架构转型 场景特点： 传统应用架构复杂，牵一发而动全身。企业用云化、容器化应用替代传统应用，实现单一架构解耦拆分为多个容器服务，系统更灵活，轻松应对市场变化。 推荐使用多控制节点云容器引擎，搭配云容器镜像服务，实现容器化微服务的独立部署、独立扩展。同时体验云的弹性伸缩和自动化。 场景优势： 松耦合 将单体式应用从不同纬度拆分成多个微服务，每个微服务的内容使用一个容器镜像管理 易维护 在功能不变的情况，应用拆分成多个可管理的服务，每个单体服务容易理解、开发和维护，充分体现云的弹性伸缩和自动化 场景二：互联网应用快速上线 场景特点： 适用对于互联网应用所需敏捷快速上线的场景，实现容器镜像贯穿从开发到运维各环节，统一环境配置，业务快速上线。 推荐使用多控制节点云容器引擎，搭配云容器镜像服务，实现应用构建在云上，使平均负载维持较高水平，提升资源利用率，每分钱都真正支持企业发展。

本节介绍如何测试数据集加速性能。 本文档记录数据集加速前后的对比性能测试结果。测试覆盖了对象存储（ZOS）和并行文件服务（HPFS）两种存储后端，在不同存储介质（SSD、MEM）和不同部署环境（弹性云主机、物理机）下的性能表现，并与未加速场景进行了对比分析。 测试说明 天翼云智算套件提供基于fluid的数据集加速解决方案，通过本地缓存机制显著提升数据访问性能。该功能支持： 多种存储后端：支持对象存储S3 和 数据卷PVC 多种缓存介质：支持 SSD 和内存（MEM）缓存介质 智能缓存策略：支持数据预热和缓存管理 跨节点访问优化：优化跨节点数据访问性能 测试环境 测试数据量：15GB 并发配置：8 并发，块大小 1MB 读服务资源：2C4G 缓存配额：100G 存储介质配置： SSD：使用超高 IO 磁盘或物理机 NVMeSSD MEM：存储路径配置为 /dev/shm 测试步骤 一、访问ZOS测试 1.1 数据准备 1、创建存储资源 创建对象存储类型的 StorageClass（SC） 创建 PersistentVolumeClaim（PVC） 2、创建工作负载 创建工作负载并挂载步骤 1 中创建的 PVC 进入容器执行数据写入操作 3、数据写入 使用 fio 工具执行数据写入测试： shell fio nameseqwritesingle filenamefile1 rwwrite bs1M size15G numjobs8 iodepth4 direct1

本页介绍天翼云TeleDB数据库存储以及备份介质故障处理应急预案。 故障定位 存储以及备份介质发生故障。 故障影响 可能对业务造成影响。 处理步骤 存储组成为冗余的两个控制器，两个冗余电源，所有的LUN都通过两条链路连接到主机，这样保证了一条链路断开时不影数据的访问。同时主机上安装多路径软件进行数据的负载均衡以及路径的冗余。数据资源组的数据同时通过备份网络在每天晚上通过备份软件备份，起到数据备份的双重保障功能。 存储设备出现故障情况下的应急措施如下： 1. 如果其中一个控制器出现问题，主机会通过另外一个控制器访问资源。可以随时在线更换控制器。 2. 如果是其中一个电源有问题，那么不会影身到存储的正常运行，可以及时在线更换电源排除故障。 3. 对于是硬盘故障，根据硬盘的具体报错信息在线更换硬盘。如果是对应的一个raid组中2块硬盘同时损坏资源不能正常访问，那么就需要停止主机的数据库，然后重新建立raid资源，利用备份软件对备份数据进行数据恢复操作。 4. 如果不能在短时间恢复故障系统时，将联系公司备件保障中心提供不低于故障系统的备机运到现场，替换故障存储，恢复数据备份，主要有如下步骤： 1. 连接新存储到主机和备机上，划分存储资源，绑定到主机上，识别到存储资源。 2. 恢复数据。 3. 主机和备机启动双机软件，启动数据库，启动应用即可。 5. 数据库恢复正常后通知业务部门。 6. 由项目经理对问题进行总结，事后汇报情况处理记录。

!/bin/sh /sbin/modinfo F filename /root/toa/toa.ko > /dev/null 2>&1 if [ $? eq 0 ]; then /sbin/insmod /root/toa/toa.ko fi d. “/root/toa/toa.ko”为TOA内核模块文件的路径，您需要将其替换为自己编译的TOA内核模块路径。 e. 为toa.modules启动脚本添加可执行权限，执行以下命令： sudo chmod +x /etc/sysconfig/modules/toa.modules 5. 安装多节点 假如要在相同的操作系统中加载此内核模块，可以将toa.ko文件拷贝到您的虚拟机中，参照以上加载内核模块的步骤，内核模块加载成功以后，应用程序可以正常获取访问者的真实源IP地址。 6. 验证TOA内核模块 a. TOA内核模块安装成功后即可直接获取到源地址，在安装有python的后端服务器中启动一个HTTP服务，执行如下命令： python m SimpleHTTPServer port b. 其中，port需要与ELB添加该后端服务器时配置的端口一致，默认为80。启动之后，通过客户端访问ELB的IP时，服务端的访问日志如下： 192.168.1.10 [08/Sep/2022 15:21:21] "GET / HTTP/1.1" 200 – Proxy Protocol模式 1. 在TCP监听器对应的后端主机组上打开如下开关。（只可创建时打开，不可修改） 2. 在后端主机内开启Proxy Protocol。修改/etc/nginx/nginx.conf文件内容如下（以nginx为例演示，用户可按照后端主机真实应用情况决定如何获取客户端源IP）。 http { 确认已设置$proxyprotocoladdr logformat main '$proxyprotocoladdr $remoteaddr $remoteuser [$timelocal] "$request" ' '$status $bodybytessent "$httpreferer" ' '"$httpuseragent" "$httpxforwardedfor"'; 以888监听端口为例，增加proxyprotocol字段 server { listen 888 proxyprotocol; ... } } 3. 在后端主机的Nginx日志可以看到已获取到客户端源IP。

本节介绍了什么是CPU积分、工作原理、相关概念、关机对CPU积分的影响等相关内容。 什么是CPU积分 CPU积分是一种用来衡量云主机计算、存储以及网络配置利用率的方式。云主机利用CPU积分机制保证云主机基准性能，解决超分云主机长期占用CPU资源的问题。 使用CPU积分机制的弹性云主机适用于平时CPU负载不高、但突发时可接受因积分不足，而导致云主机性能无法超过基准性能的场景。 当前通用入门型弹性云主机使用积分机制，了解更多通用入门型云主机规格请参考通用入门型。 工作原理 当您购买使用CPU积分机制的弹性云主机后，云平台会发放初始积分，用来满足云主机安装后的突发性能要求。 云主机运行后，就会开始消耗积分以满足需求，同时云平台按照一定的速度发放积分。当云主机实际计算性能高于基准CPU计算性能时，会消耗更多的CPU积分来提升CPU性能，满足工作需求。 说明 云平台发放的积分可以累积，但达到最大积分后，停止累积。 初始积分不计入累积积分上限。 当云主机开始消耗CPU积分时，优先使用初始CPU积分。 1个vCPU按照100%利用率，运行1分钟 ，消耗1个积分。 如果实际计算性能长期高于基准性能，则会持续消耗累积积分，当累积积分为0时，实际计算性能无法超过基准性能。

枚举参数 无 请求示例 请求url POST /v4/elb/createaccesscontrol 请求头header 无 请求体body { "clientToken": "xxxxxxxxx", "regionID": "100054c0416811e9a6690242ac110002", "name": "test", "sourceIps": [ "192.168.0.1/24" ] } 响应示例 成功响应示例 { "statusCode": 800, "message": "success", "description": "成功", "errorCode": "SUCCESS", "returnObj": { "ID": "xxxxx" } } 失败响应示例 { "statusCode": 900, "message": "request param error", "description": "参数错误", "errorCode": "Openapi.Parameter.Error" } 状态码 请参考 状态码 错误码 请参考 错误码

枚举参数 无 请求示例 请求url GET /v4/elb/showaccesscontrol?regionIDxxxxx&accessControlIDxxx 请求头header 无 请求体body 无 响应示例 { "statusCode": 800, "errorCode": "SUCCESS", "message": "success", "description": "成功", "returnObj": { "azName": null, "projectID": "0", "ID": "ac0pwgqkc0qw", "name": "t123456789012345678901234567892", "description": "t5", "sourceIps": [ "172.16.100.0/24" ], "createTime": "20221003T09: 44: 22Z" } } 状态码 请参考 状态码 错误码 请参考 错误码

理解责任共担模型 在您设计和部署企业应用系统之前，请您充分理解企业自身和天翼云的安全责任边界。 CCE 托管版架构下集群安全的责任共担模型如下所示。 责任对象 责任范畴 责任项 客户 负责业务应用安全防护，云上资源的安全配置和更新 业务应用数据 客户 负责业务应用安全防护，云上资源的安全配置和更新 应用容器进行，应用源码，IAM 客户 负责业务应用安全防护，云上资源的安全配置和更新 RBAC授权、配置管理、安全策略、KubeConfig凭证管理、QoS & Pod Priority、NetworkPolicy 客户 负责业务应用安全防护，云上资源的安全配置和更新 CCE 集群配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点池/节点配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点OS，kubelet，CRI配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 云网络配置，包括VPC、ELB、安全组、云服务白名单等 天翼云 负责集群托管面组件和基础设施安全 APIServer 天翼云 负责集群托管面组件和基础设施安全 Controller Manager 天翼云 负责集群托管面组件和基础设施安全 Scheduler 天翼云 负责集群托管面组件和基础设施安全 etcd 天翼云 负责集群托管面组件和基础设施安全 CCE 托管面基础设置 CCE 专有版架构下集群安全的责任共担模型如下所示。 责任对象 责任范畴 责任项 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 业务应用数据 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 应用容器进行，应用源码，IAM 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 RBAC授权、配置管理、安全策略、KubeConfig凭证管理、QoS & Pod Priority、NetworkPolicy 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 CCE 集群配置 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 节点池/节点配置 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 节点OS，kubelet，CRI配置 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 云网络配置，包括VPC、ELB、安全组、云服务白名单等 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 APIServer 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 Controller Manager 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 Scheduler 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 etcd 天翼云 负责计算、存储、网络等云产品的基础安全 当您选择 CCE 托管集群中部署虚拟节点时，除集群托管面与基础设施的安全保障外，天翼云还将负责 Pod 底层弹性容器实例（ECI）的运行时安全；而应用 Pod 的重建工作则由客户负责，以确保修复措施生效。 下图展示的是 CCE 集群中调度虚拟节点时的安全责任共担模型。 责任对象 责任范畴 责任项 客户 负责业务应用安全防护，云上资源的安全配置和更新 业务应用数据 客户 负责业务应用安全防护，云上资源的安全配置和更新 应用容器进行，应用源码，IAM 客户 负责业务应用安全防护，云上资源的安全配置和更新 RBAC授权、配置管理、安全策略、KubeConfig凭证管理、QoS & Pod Priority、NetworkPolicy 客户 负责业务应用安全防护，云上资源的安全配置和更新 CCE 集群配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点池/节点配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点OS，kubelet，CRI配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 云网络配置，包括VPC、ELB、安全组、云服务白名单等 客户 负责业务应用安全防护，云上资源的安全配置和更新 虚拟节点 客户 负责业务应用安全防护，云上资源的安全配置和更新 ECI 容器OS，CRI配置 天翼云 负责集群托管面组件和基础设施安全 APIServer 天翼云 负责集群托管面组件和基础设施安全 Controller Manager 天翼云 负责集群托管面组件和基础设施安全 Scheduler 天翼云 负责集群托管面组件和基础设施安全 etcd 天翼云 负责集群托管面组件和基础设施安全 CCE 托管面基础设置

本文介绍弹性伸缩设置。 弹性伸缩能够根据业务需求的变动经济地调整弹性计算资源。容器引擎服务目前主要提供扩缩容Pod个数的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），并支持自动伸缩策略配置及手动伸缩两种触发方式，以应对业务高峰时期，提高业务处理能力，从而保证业务能够正常提供服务。 弹性伸缩设置 容器引擎平台目前支持设置应用级别的伸缩策略，用于容器组（Pod）的弹性伸缩，通过设置伸缩指标可实现自动弹性伸缩。以无状态应用为例，其它应用操作步骤一致。用户可通过应用列表的【伸缩】操作进入配置界面，也可以通过应用详情页的【伸缩】页签进入配置界面。 操作步骤 1.点击控制导航栏【工作负载】>【无状态】，进入无状态应用列表界面，选择需要设置伸缩策略的应用名称，点击进入应用详情页； 2.在应用详情页，点击【伸缩】页签，切换到伸缩策略配置界面，点击【添加伸缩策略】，将弹出伸缩策略设置界面； 3.依次完成【策略名称】、【策略类型】及【指标】等信息的选择与填写，各参数详情参考下表： 参数 参数说明 :: 策略名称 输入策略的名称，伸缩策略名称必须符合163个字符，由小写字母、数字、横线（）和点（.）组成， 且必须以字母和数字开头结尾 策略类型 选择自动伸缩策略类型，目前支持告警策略，告警策略基于检测的告警数据进行判断触发应用伸缩。 根据设定的监控周期，周期性的去判断指标是否满足触发条件，且连续n个周期都满足触发条件，将会执行操作。 指标 指标包括cpu使用率、物理内存使用率两种。触发条件为触发伸缩条件的阈值，高于所设阈值则扩展， 低于所设阈值则收缩 触发条件 设置触发指标的阈值，单位为% 最大实例数 伸缩时允许达到的最大实例数，最大值为100 最小实例数 伸缩时允许达到的最小实例数，最小可设置为1 4.设置完成后，下方记录设置的伸缩策略，并记录该策略触发的事件，同时可通过【修改】>【删除】操作，对已配置的伸缩策略进行修改。

流量匹配网络ACL规则的顺序 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，流量按照规则的生效顺序进行匹配。序号越小，排序越靠前，越先执行该规则。默认网络ACL规则的序号为，排在末尾，流量最后匹配该规则。 以入方向的流量为例，子网的网络流量将按照以下原则匹配网络ACL规则，入方向和出方向的流量匹配顺序相同。 当流量匹配上自定义规则，则根据规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量未匹配上任何自定义规则，则执行默认规则，拒绝流量流入子网。 网络ACL的使用限制 在一个资源节点内，单个用户默认最多可以创建200个网络ACL，超过此数量后，有可能造成您所配置的网络ACL失效。 在一个资源节点内，单个用户建议创建最多200条ACL规则，超过此数量后，有可能造成您所配置的ACL规则失效。 建议一个网络ACL单方向拥有的规则数量不要超过20条，否则会引起网络ACL性能下降。 在一个网络ACL的入方向中，最多可以有124条规则关联IP地址组，出方向同理。 在一个网络ACL中，对于入方向规则来说，源地址是IP地址组的规则数量+目的地址是IP地址组的规则数量+源端口是不连续端口号的规则数量+目的端口是不连续端口号的规则数量 ≤ 120条，否则超过数量的网络ACL规则将不生效。当同时存在IPv4和IPv6类型的网络ACL规则时，两种类型的网络ACL规则单独计算，即IPv4规则和IPv6规则可以各有120条。 对于网络ACL出方向规则来说，源地址、目的地址、源端口和目的端口存在一样的限制。 以网络ACLFwA的入方向IPv4规则为例，下表中提供了部分符合限制条件的规则供您参考。其中，当一条网络ACL规则同时符合多个限制时，比如规则A02即使用了不连续端口作为源端口，又使用了IP地址组作为源地址，此时只占用一条配额。 入方向网络ACL规则说明表 规则编号 优先级 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 规则A01 1 IPv4 拒绝 TCP 0.0.0.0/0 22,25,27 0.0.0.0/0 165535 规则A02 2 IPv4 允许 TCP IP地址组：ipGroupA 2224,25 0.0.0.0/0 165535 规则A03 3 IPv4 允许 全部 0.0.0.0/0 全部 IP地址组：ipGroupB 全部 规则A04 4 IPv4 允许 UDP 0.0.0.0/0 165535 0.0.0.0/0 8083,87 当您的组网中，ELB实例的监听器开启“获取客户端IP”功能时，来自ELB的流量将不受网络ACL和安全组规则的限制。比如规则已明确拒绝来自ELB实例的流量进入后端云主机，此时该规则无法拦截来自ELB的流量，流量依然会抵达后端云主机。

本文为您介绍克隆实例的使用场景和操作流程。 操作场景 当您需要多个相似的云主机或环境时，可以克隆现有的主机来快速部署所需的配置、应用程序和设置，节省了配置时间和劳动成本。 如果主机出现故障或问题，克隆主机可以快速替代原始主机，减少服务中断时间。 在需要快速增加服务器以应对流量增加或负载均衡的情况下，通过克隆现有主机，可以更迅速地扩展服务器规模，以满足需求。 前提条件 选择支持克隆云主机操作的区域。 待克隆的云主机处于“运行中”或“关机”状态，处于中间态的云主机无法进行克隆。 本地盘云主机不支持克隆。 其余类型云主机状态为创建中、停止中、启动中、重启中、规格变更中、重建中、快照创建中、备份创建中、按量删除中、已冻结、已到期、包周期退订中、包周期已退订、节省关机中、节省关机、错误 不支持克隆。 操作步骤 1. 登录控制中心； 2. 单击控制中心顶部的，选择“地域”； 3. 选择“计算 >云主机”； 4. 在待克隆的云主机的“操作”列下，单击“更多 >克隆云主机”； 5. 在克隆云主机界面，填写克隆云主机的相关信息后，单击“立即购买”，支付成功后完成克隆。 注意 部分资源池由于版本问题可能不支持克隆，如遇相关问题可联系天翼云客服。

本节为Oracle RAC搭建最佳实践的Grid集群管理软件进行说明。 静默安装 本安装示例中，使用response文件进行静默安装，省去了Linux桌面机器的配置，如需通过GUI界面的方式安装，请参考Oracle RAC的安装手册。 Oracle Grid的默认静默安装配置文件位于 /u01/app/gridhome/install/response/gridsetup.rsp ，需要 Oracle DBA修改其中的配置项，一些关键的配置项如： loracle.install.crs.config.clusterNodesracnode01:racnode01vip,racnode02:rac node02vip ：设定集群节点。 oracle.install.crs.config.networkInterfaceListens2:192.168.100.0:5,ens5:192.168.0. 0:1 ：设定PUBLIC 和ASM&PRIVATE网络使用的网卡。 oracle.install.asm.diskGroup.disks/dev/vdc,/dev/vdd,/dev/vde ：设定仲裁盘。 静默安装的配置文件准备好之后，可先进行依次尝试安装（切换到grid用户，并切换到 /u01/app/gridhome/ 目录）： [grid@racnode01 gridhome]$ ./gridSetup.sh silent responseFile install/response/gridsetup.rsp 尝试安装如果失败，需要提示的报错日志，依次排查报错项，处理完错误问题或确认遗留问题可忽略，则可以通过添加ignorePrereqFailure参数跳过依赖报错问题。 [grid@racnode01 gridhome]$ ./gridSetup.sh silent ignorePrereqFailure responseFile install/response/gridsetup.rsp 安装后执行脚本 安装完成之后，执行输出会提示需要以root账号执行脚本，分别在各个节点上执行： [root@racnode01 ~] /u01/app/oraInventory/orainstRoot.sh [root@racnode01 ~] /u01/app/gridhome/root.sh 安装后检查 注意 由于心跳线haip功能暂时无法使用，心跳通信受阻，OCR disk group会显示未正常挂载。没有心跳线负载均衡需求的用户，可以通过禁用haip功能，将集群状态恢复。 [root@racnode01 ~]

本节主要介绍集群弹性扩容。 操作场景 通过云容器引擎管理控制台，您可以根据实际业务需要对集群的工作节点进行扩容和缩容，当集群中出现由于资源不足而无法调度的工作负载时自动触发扩容，从而减少人力成本。 约束与限制 该功能仅支持通过按需计费方式购买的虚拟机节点，不支持“包年/包月”方式购买的节点和裸金属节点。 目前不支持集群中Master节点的扩容和缩容。 如果您有集群自动扩缩容的需求，请通过autoscaler插件实现，具体请参见插件管理>autoscaler。 v1.17及以上版本的集群将不再支持AOM提供的弹性伸缩机制，请使用节点池功能进行弹性伸缩，详情请参见节点池管理>节点池概述。 集群自动扩容 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待设置伸缩策略集群下的“更多 > 弹性扩容”。 步骤 2 在“扩容配置”页签，单击“编辑”，为集群的弹性扩容设置冷却时间、集群最大节点数和节点配置。 表扩容配置 参数 参数说明 冷却时间 扩容策略执行后停止继续匹配的时间，目的是等待扩容动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。取值范围为：60秒~3600秒，默认为900秒。由于节点创建时间需要210分钟，冷却时间小于900秒可能无法达到预期。 单次扩容节点数上限 扩容策略执行时，集群下最大节点数。例如集群最大节点数为x，取值范围：1≤x<集群节点配额。说明：集群节点配额受两处限制，一是集群的规模，即单集群的节点数量。二是帐户的节点配额。此处的集群节点配额数，取两处限制中配额较少的。 节点配置 如果扩容策略执行后需要扩容，则系统会创建节点。1. 单击“设置”，配置创建节点的各项参数。创建节点的参数配置请参见购买节点.docx

枚举参数 无 请求示例 请求url POST /v4/elb/updatetarget 请求头header 无 请求体body { "clientToken": "xxxx", "regionID": "81f7728662dd11ec810800155d307d5b", "targetID": "targetcjh730fhyz", "description": "yacosupdate" } 响应示例 成功响应示例 { "statusCode": 800, "errorCode": "SUCCESS", "message": "success", "description": "成功", "returnObj": [ { "ID": "target49bp8uzydb" } ] } 失败响应示例 { "statusCode": 900, "message": "request param error", "description": "参数错误", "errorCode": "Openapi.Parameter.Error" } 状态码 请参考 状态码 错误码 请参考 错误码

本文为您介绍如何查看GPU相关的监控项。 前提条件 确保GPU云主机已安装GPU驱动/GRID驱动。驱动安装请参见NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云 (ctyun.cn)。 确保您已在GPU云主机上安装云监控插件，关于如何安装云监控插件，请参见安装监控Agent弹性云主机用户指南监控 天翼云 (ctyun.cn)。 注意 目前仅部分支持安装监控Agent的地区能够支持GPU监控项，详情请参见监控Agent概览弹性云主机用户指南监控 天翼云 (ctyun.cn)。 GPU监控项说明 1.指标类监控 监控项 单位 指标说明 维度 GPU使用率 % 评估负载所消耗的计算能力，非空闲状态百分比 perGPU GPU显存使用量 可选KB、MB、GB，默认展示MB 。 评估负载对显存的占用 perGPU GPU显存使用率 % 评估负载对显存的占用的百分比 perGPU GPU温度 ℃ 评估GPU散热情况 perGPU GPU功耗 W 评估GPU耗电情况 perGPU 时钟频率 MHz GPU时钟频率。 仅Linux操作系统、英伟达GPU支持。 perGPU SM活跃度 无 SM处于活跃状态的时间占比值。 仅Linux操作系统、英伟达GPU支持。 perGPU SM占用率 % SM占用线程数量的比例。 仅Linux操作系统、英伟达GPU支持。 perGPU PCIe出方向流量 Byte/s GPU的PCI出方向流量。 仅Linux操作系统、英伟达GPU支持。 perGPU PCIe入方向流量 Byte/s GPU的PCI入方向流量。 仅Linux操作系统、英伟达GPU支持。 perGPU NVLink出方向流量 Byte/s GPU的NVLink出方向流量。 仅Linux操作系统、英伟达GPU支持。 perGPU NVLink入方向流量 Byte/s GPU的NVLink入方向流量。 仅Linux操作系统、英伟达GPU支持。 perGPU 注意 监控Agent采集 SM 占用率、SM 活跃度、PCIe 入 / 出流量、NVLink 入 / 出流量等 GPU 监控指标，必须提前在GPU云主机内正确安装 GPU 驱动程序、DCGMI 工具和 CUDA 环境。 2.事件类监控 监控项 事件说明 维度 GPU掉卡 通过对比 lspci 识别的显卡数量与 nvidiasmi 识别的可用显卡数量，不一致时判定为掉卡并推送系统事件。 GPU云主机 GPU XID 异常 通过监控日志捕获报错 XID 码，检测到“NVRM.Xid” 时判定为 GPU XID 异常并推送系统事件。 GPU云主机 注意 1. 仅NVIDIA GPU 支持GPU掉卡、GPU XID 异常事件监控 。 2. 仅在GPU实例正确安装驱动且驱动正常时可准确获取GPU事件。 3. GPU事件类监控支持的资源池如下：长沙42。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘IO高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测磁盘读速率、磁盘写速率指标。 2、业务应用验证： 检查应用日志，确认是否存在文件读写超时、数据库连接异常或请求处理缓慢等错误。

您可以根据实际情况,使用复杂查询引擎(TeleMatrix),专注处理OLAP请求,确保分析查询的高效与准确。 注意 该功能仅白名单用户可见。 仅V5.1.9.6020.2541及以后版本的实例，支持该功能。 该功能尚在小范围公测中，请注意评估功能可能带来的风险并谨慎使用。 复杂查询引擎（TeleMatrix） 随着数据规模增长与业务逻辑复杂化，DBProxy原有的计算能力已难以支撑业务需求。它主要解决分库分表路由、读写分离等OLTP（OnLine Transaction Processing，联机事务处理）场景，存在以下难点： 对跨节点JOIN、分布式聚合等复杂分析查询执行能力有限。 OLAP（OnLine Analytical Processing，联机分析处理）查询往往涉及大量数据的扫描与复杂聚合，易占用大量资源，若与OLTP任务混合运行，将导致生产环境的事务性能下降。 为此，DRDS新增复杂查询引擎（TeleMatrix），用于专门处理OLAP请求。在架构上，用户SQL统一由DBProxy接收，作为系统唯一入口以保障安全与可控。DBProxy会根据SQL复杂度进行智能路由： 简单查询由其快速执行以保障低延迟。 复杂查询则转发至Telemarix进行深度优化与执行，从而确保分析查询的高效与准确。 通过将计算密集型任务转发至专用的复杂查询引擎，实现了计算资源隔离，可以有效防止复杂查询阻塞简单查询通道。同时，该架构还具备良好的扩展性： DBProxy可部署多实例以实现负载均衡与高可用。 复杂查询引擎亦可独立横向扩展，从而灵活应对业务增长，持续增强企业的数据分析能力。

您可以根据实际情况,使用复杂查询引擎(TeleMatrix),专注处理OLAP请求,确保分析查询的高效与准确。 注意 该功能仅白名单用户可见。 仅V5.1.9.6020.2541及以后版本的实例，支持该功能。 该功能尚在小范围公测中，请注意评估功能可能带来的风险并谨慎使用。 复杂查询引擎（TeleMatrix） 随着数据规模增长与业务逻辑复杂化，DBProxy原有的计算能力已难以支撑业务需求。它主要解决分库分表路由、读写分离等OLTP（OnLine Transaction Processing，联机事务处理）场景，存在以下难点： 对跨节点JOIN、分布式聚合等复杂分析查询执行能力有限。 OLAP（OnLine Analytical Processing，联机分析处理）查询往往涉及大量数据的扫描与复杂聚合，易占用大量资源，若与OLTP任务混合运行，将导致生产环境的事务性能下降。 为此，DRDS新增复杂查询引擎（TeleMatrix），用于专门处理OLAP请求。在架构上，用户SQL统一由DBProxy接收，作为系统唯一入口以保障安全与可控。DBProxy会根据SQL复杂度进行智能路由： 简单查询由其快速执行以保障低延迟。 复杂查询则转发至Telemarix进行深度优化与执行，从而确保分析查询的高效与准确。 通过将计算密集型任务转发至专用的复杂查询引擎，实现了计算资源隔离，可以有效防止复杂查询阻塞简单查询通道。同时，该架构还具备良好的扩展性： DBProxy可部署多实例以实现负载均衡与高可用。 复杂查询引擎亦可独立横向扩展，从而灵活应对业务增长，持续增强企业的数据分析能力。

此小节介绍数据库安全服务产品优势。 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 操作简单，快速上手 采用数据库旁路部署方式是一种简单且快速上手的数据库审计部署方式，该部署方式是在数据库服务器之外设置一个独立的审计服务器，通过旁路方式捕获数据库的操作和日志信息，实现对数据库的实时监控和记录。同时方便用户快速上手，对数据库实例操作简单。 天翼云自建数据库全量审计 支持对管理控制台上自建的数据库进行审计，同时也兼容国内外常见数据库。 快速识别，精确分析 实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。通过分析应用程序的日志、监控网络通信以及使用数据库审计工具等方式实现，确保所有的应用程序操作都能被审计并与相应的用户或应用程序关联起来。对SQL语句进行全面的解析和分析，以获取其中的各个组成部分，如表名、列名、查询条件等。深入了解数据库通信协议的结构和内容，并能够准确地解析和分析其中的数据包。 高效分析，秒级响应 通过数据库技术选型、数据库优化、分布式存储、缓存技术、数据分区和分布式计算、硬件优化以及数据库集群和负载均衡等技术，达到每秒万次入库、海量存储、亿级数据秒级响应。

本文主要介绍UDP健康检查。 对于四层（UDP）监听器，默认配置UDP健康检查，通过发送UDP探测报文获取后端云主机的状态信息。 UDP健康检查机制如下： 1. 四层ELB节点根据健康检查配置，向后端云主机发送ICMP Echo Request报文。 如果在超时时间内没有收到ICMP Echo Reply报文，则判定健康检查失败。 如果在超时时间内收到了ICMP Echo Reply报文，则向后端云主机发送UDP探测报文。 2. 如果在超时时间内没有收到后端云主机返回的ICMP Port Unreachable报文，则判定健康检查成功。否则，判定健康检查失败。

本章节介绍如何通过云原生网关访问bookinfo应用 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云应用服务网格实例。 3. 开通天翼云微服务引擎，并在应用服务网格控制面集群同VPC内创建云原生网关实例。产品入口：微服务引擎MSE。 操作步骤 我们在当前云容器引擎实例同VPC下预先开了一个云原生网关实例；通过云原生网关，我们可以从外部访问到云容器引擎内的服务，具体操作如下说明。 1. 首先通过云原生网关实例内服务来源>创建来源，将当前云容器引擎集群添加为服务来源。 2. 然后通过服务列表>创建服务，将sample命名空间下的bookinfo应用入口服务productpage添加为云原生网关的服务。 3. 在路由配置内，通过配置网关路由规则，将bookinfo的访问流量路由到productpage服务，需要添加路由匹配如下路径： /logout /login /api/v1/products/ /static/ /productpage 请求转发到productpage服务。 4. 通过网绑定的ELB地址可以访问到bookinfo应用的首页（

本节主要介绍相关术语解释。 使用云容器引擎服务，会涉及到以下基本概念： 集群： 是指容器运行所需云资源的集合，包含了若干台云主机、负载均衡器等云资源。 实例（Pod）： 由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载： Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service： 由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress： Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用 ：Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库 ：用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见：<

本文为您介绍如何将网站域名接入Web应用防火墙（原生版）实例。 使用CNAME接入方式接入云WAF前，先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。 前提条件 已购买WAF云SaaS型实例，且当前实例支持接入的域名数量未超过限制。 您必须先为域名完成ICP备案，才可以将网站接入WAF进行防护。如何备案请参见新增备案。 说明 根据《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入防护对象信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 防护对象 填写网站域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名（如CNAME）格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的公网IP地址。需要为公网可达的IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 合规认证 选择是否开启PCI DSS和PCI 3DS合规认证。 PCI DSS合规认证说明如下：开启PCI DSS合规认证后，您将不能修改 TLS 最低版本和加密套件，最低 TLS 版本将设置为“TLS v1.2及以上”，加密套件设置为指定范围。如果您需要修改 TLS 最低版本和加密套件，请关闭该认证。 PCI 3DS合规认证说明如下：开启 PCI 3DS 合规认证后，您将不能修改 TLS 最低版本，且最低 TLS 版本将设置为“TLS v1.2及以上”，并且您将不能关闭该认证，请根据业务实际需求进行操作。开启该认证后，该域名将不支持添加 HTTP 协议的协议端口接入。 说明 当“服务器配置协议端口”配置仅为“HTTPS”时，才支持配置 PCI DSS/3DS 合规。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 IPv6 WAF默认只处理IPv4请求流量。如果需要支持IPv6请求，请开启该功能。 ：开启IPv6功能，支持将IPv6请求流量接入WAF进行防护。 注意 功能开启并完成域名接入后无法修改，如需关闭IPv6请求防护，需要重新接入域名。 ：不开启IPv6功能，仅防护IPv4请求流量。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置源IP获取方式。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 自定义响应Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 说明 标准版最多支持1000个回源长连接，企业版、旗舰版最多支持6000个回源长连接。 功能关闭后，将不支持WebSocket。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 6. 本地验证。 根据页面提示，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。更多信息，请参见本地验证。 7. 修改DNS解析。 根据页面提示修改域名的DNS解析，将网站域名解析到WAF进行防护，完成后单击“下一步”。更多信息，请参见修改域名DNS。 8. 添加完成。 根据页面提示设置放行WAF回源IP段，完成后单击“完成，返回防护对象列表”，返回域名接入页面。更多信息，请参见放行WAF回源IP段。 9. 域名添加完成后，该域名WAF防护开关默认开启。

枚举参数 无 请求示例 请求url GET /v4/elb/listvmpool?regionID81f7728662dd11ec810800155d307d5b 请求头header 无 请求体body 无 响应示例 { "statusCode": 800, "errorCode": "SUCCESS", "message": "success", "description": "成功", "returnObj": [ { "regionID": "81f7728662dd11ec810800155d307d5b", "azName": null, "projectID": "0", "ID": "edbe1a3ebac348a59357d9239d7d1577", "name": "yacostesttargetgroup3", "description": "yacostest3", "vpcID": "vpcmv4gqflr2x", "healthCheckID": "", "algorithm": "lc", "sessionSticky": { "sessionStickyMode": "CLOSE", "cookieExpire": 0, "rewriteCookieName": "", "sourceIpTimeout": 0 }, "status": "ACTIVE", "createdTime": "20220928T07: 37: 38Z", "updatedTime": "20220928T07: 37: 38Z" } ] } 状态码 请参考 状态码 错误码 请参考 错误码

本节介绍Kafka业务过载最佳实践 方案概述 Kafka业务过载，一般表现为CPU使用率高、磁盘写满的现象。 当CPU使用率过高时，系统的运行速度会降低，并有加速硬件损坏的风险。 当磁盘写满时，相应磁盘上的Kafka日志目录会出现offline问题。此时，该磁盘上的分区副本不可读写，降低了分区的可用性和容错能力。同时由于Leader分区迁移到其他节点，会增加其他节点的负载。 CPU使用率高的原因 数据操作相关线程数（num.io.threads、num.network.threads、num.replica.fetchers）过多，导致CPU繁忙。 分区设置不合理，所有的生产和消费都集中在某个节点上，导致CPU利用率高。 磁盘写满的原因 业务数据增长较快，已有的磁盘空间不能满足业务数据需要。 节点内磁盘使用率不均衡，生产的消息集中在某个分区，导致分区所在的磁盘写满。 Topic的数据老化时间设置过大，保存了过多的历史数据，容易导致磁盘写满。 实施步骤 CPU使用率高的处理措施： 优化线程参数num.io.threads、num.network.threads和num.replica.fetchers的配置。 num.io.threads和num.network.threads建议配置为磁盘个数的倍数，但不能超过CPU核数。 num.replica.fetchers建议配置不超过5。 合理设置Topic的分区，分区一般设置为节点个数的倍数。 生产消息时，给消息Key加随机后缀，使消息均衡分布到不同分区上。 磁盘写满的处理措施： 扩容磁盘，使磁盘具备更大的存储空间。 迁移分区，将已写满的磁盘中的分区迁移到本节点的其他磁盘中。 合理设置Topic的数据老化时间，减少历史数据的容量大小。 在CPU资源情况可控的情况下，使用压缩算法对数据进行压缩。 常用的压缩算法包括：ZIP，GZIP，SNAPPY，LZ4等。选择压缩算法时，需考虑数据的压缩率和压缩耗时。通常压缩率越高的算法，压缩耗时也越高。对于性能要求高的系统，可以选择压缩速度快的算法，比如LZ4；对于需要更高压缩比的系统，可以选择压缩率高的算法，比如GZIP。 可以在生产者端配置“compression.type”参数来启用指定类型的压缩算法。 Properties props new Properties(); props.put("bootstrap.servers", "localhost:9092"); props.put("acks", "all"); props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer"); props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer"); // 开启GZIP压缩 props.put("compression.type", "gzip"); Producer producer new KafkaProducer<>(props);