2. UDP 测试 ● 无连接性：UDP是一个无连接的协议，这意味着它不需要建立连接就可以发送数据。这使得iperf可以快速开始发送数据，而不需要等待TCP的三次握手过程。 ● 无流量控制：由于 UDP 没有流量控制机制，iperf可以通过指定的带宽参数设置发送速率。这使得 UDP 测试更适用于测试网络的最大传输能力，有助于测试网络的带宽极限。 ● 低延迟：由于UDP没有TCP的拥塞控制和流量控制机制，它可以提供更低的延迟。这对于测试网络的实时性能非常有用。 3. 测试结果的解读 ● TCP 结果：通常会显示带宽（Mbps）、测试持续时间、传输的数据量，以及传输过程中可能发生的重传情况。 ● UDP 结果：会显示实际带宽、丢包率、延迟（如果启用了延迟测量）、抖动等。UDP 测试更能反映出网络在高负载下的表现。 4. 适用场景 ● TCP 测试：适用于测试网络的实际可用带宽，评估在常见应用（如文件传输、网页加载等）中的表现。 ● UDP 测试：适用于测试实时应用（如视频流、VoIP）的网络性能，尤其是关注丢包、延迟和抖动的影响。 当您想测试天翼云出入方向的最大带宽时，建议通过iperf UDP协议来进行打流测试。 测试方式 以天翼云华东1和西南1上云主机之间进行打流测试公网带宽为例，介绍如何在创建云主机并绑定弹性IP后，进行云主机之间公网带宽的测试工作。

$%^&()+ <>?:{},./;'[,]·！@ ￥%……&（） —— +{},。 instanceType：服务后端实例类型，vm:虚机类型,bm:物理机,vip:vip类型,lb:负载均衡类型, 这里需要填vm。 instanceID：第5点展示的Node ID。 subnetID：服务后端子网id。 autoConnection：是否自动连接，true 表示自动链接，这里需要填true。 rules：节点服务规则。 protocol：协议，TCP:TCP协议,UDP:UDP协议。 serverPort：服务端口(用于创建backend传入)，这里根据需要填写，端口范围：90119020、1000118000。 endpointPort：节点端口(用于创建rule传入)，这里根据需要填写，端口范围：90119020、1000118000。 参数示例： 记录响应信息中的“endpointServiceID”参数值，此参数表示终端节点服务的ID，也可以在VPC终端节点服务里面看到（在管理控制台左上角单击，选择“网络 > VPC终端节点”，进入”终端节点服务“页面） 9.参考8，为5中其他节点创建终端节点服务，并记录终端节点服务的ID。 购买终端节点 1.在管理控制台左上角单击，选择“网络 > VPC终端节点”，进入终端节点页面。 2.单击“创建终端节点”，进入“创建终端节点”页面。 3.设置如下参数。 区域：与Kafka实例保持一致。 服务类型：选择“按实例服务ID查找服务”。 服务名称：输入第8点中记录的终端节点服务名称，单击“验证”。显示“已找到服务”后，继续后续操作。 虚拟私有云：选择Kafka客户端所属的VPC。 子网：选择Kafka客户端所属的子网。 其他参数保持默认，如果想要了解更多的参数信息，请参考购买终端节点。 图6 终端节点参数设置 4.单击“下一步”，进入规格确认页面。 5.确认无误后，点击“确认下单”。 6.购买成功后，返回终端节点页面，查看终端节点状态是否为“已接受”，“已连接”表示终端节点已成功连接至终端节点服务。 图7 查看终端节点状态 7.单击终端节点ID，在“基本信息”页签，查看并记录节点IP。 您可以使用节点IP访问终端节点服务，进行跨VPC资源通信。 图8 查看节点IP 8.参考1~7，为9中创建的终端节点服务购买终端节点，查看并记录节点IP。

本文介绍当源站响应302时，CDN针对不同场景可采用的相关处理手段来保障用户体验。 源站响应302时，可能有如下两种场景，分别对应不同解决方案： 场景一： 客户网站使用CDN加速后，用户的请求会经由CDN节点回源，此时如果源站基于用户的某些属性做了不同的跳转处理，例如针对PC端大屏用户返回页面A，针对手机端用户302跳转至页面B，此时如果CDN节点缓存了源站的302跳转页面，可能会导致PC端大屏用户访问到CDN节点时，也302跳转至页面B，与客户预期不匹配。 解决方案：如客户未在CDN加速控制台配置302缓存规则，则CDN节点一般遵循源站的缓存相关头部执行缓存策略。针对上述情况，可在源站增加不缓存头的方式（不缓存头包括CacheControl：nocache/private/nostore；Pragma：nocache），实现302响应在CDN节点不缓存；同时在CDN加速控制台上配置302跳转后的页面在CDN节点缓存。通过如上方式来确保客户源站对不同用户的302跳转策略生效的同时，仍能充分利用CDN的缓存特性，提升用户体验和感知。 场景二： 1. 部分客户源站做了请求粒度的负载均衡，即对不同CDN回源请求可能会302跳转至不同的源站地址。如果CDN直接把源站302跳转地址透传给用户，则用户会访问到客户源站，非客户预期。 2. 部分客户源站对CDN节点请求返回302，只是因为该文件内容转移到相同域名另外的地址，如果CDN直接把源站302地址透传给用户，则会增加用户与CDN节点间的302交互次数，增加用户获取内容的时延，影响用户体验。 解决方案：如要避免上述问题，可以配置回源302/301跟随功能。功能开启后，CDN节点会代替用户去处理源站给出的302/301状态码内容，即CDN节点会直接到源站302/301响应中的Location地址请求资源并缓存，同时将其返回给用户。回源302/301跟随功能的具体介绍及配置说明，详情请见：回源302/301跟随。

使用保密字典 方式1： 通过挂载数据卷使用配置项 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页 2、在集群列表中点击需要使用保密字典的集群，进入集群管理页面 3、在集群管理页面导航栏中选择工作负载， 在列表中选择需要创建的工作负载，本文以无状态为例。 4、点击新建，进入新建Deployment页面 5、根据实际需要设置工作负载的基本信息（名称、镜像等），并在数据卷中，点击添加数据卷，选择secret类型，填写卷名称，并选择添加已有secret选择已有的保密字典 6、在实例内容器的挂载点中，选择挂载数据卷，并添加挂载的容器路径及权限 7、点击提交，完成创建。 方式2：环境变量中使用配置项 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面 2、在集群列表中点击需要使⽤保密字典的集群，进入集群管理页面 3、在集群管理页面导航栏中选择工作负载， 在列表中选择需要创建的工作负载，本文以无状态为例。 4、点击新建，进入新建Deployment页面 5、根据实际需要设置工作负载的基本信息（名称、镜像等），并在环境变量中，点击新增变量，类型选择secretKeyRef，并选择已有的保密字典，填写环境变量名 6、点击提交，完成创建。

使⽤配置项 ⽅式1： 通过挂载数据卷使⽤配置项。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要使⽤配置项的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择工作负载， 在列表中选择需要创建的⼯作负载，本文以无状态为例。 4、点击新建，进入新建Deployment页面。 5、根据实际需要设置工作负载的基本信息（名称、镜像等），并在 数据卷中，点击添加数据卷，选择configMap类型，填写卷名称，并选择添加已有配置项选择已有的配置项。 6、在实例内容器的挂载点中，选择挂载数据卷，并添加挂载的容器路径及权限。 7、点击提交，完成创建。 方式2：环境变量中使⽤配置项。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要使用配置项的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择工作负载， 在列表中选择需要创建的工作负载，本文以无状态为例。 4、点击新建，进入新建Deployment页面。 5、根据实际需要设置工作负载的基本信息（名称、镜像等），并在环境变量中，点击新增变量，类型选择configMapKeyRef，并选择已有的配置项，填写环境变量名。 6、点击提交，完成创建。

物理机服务广泛应用于多种场景,本文带您更快了解物理机服务经典应用场景。 高安全性和监管要求 国防、银行、金融机构以及具有高度合规性要求的行业，如医疗和保险，对于数据安全和监管合规性有严格的要求。天翼云物理机提供了物理隔离和独享资源的能力，通过采用物理机部署、网络隔离和专线接入等方式，确保数据的安全性和隐私保护，满足这些行业的高要求。 关键业务核心数据库 企业核心业务的关键数据库，如客户关系管理（CRM）、企业资源计划（ERP）和大型交易系统等，通常对性能、可靠性和数据安全有较高的要求。天翼云物理机提供了专属的计算资源和本地存储，保证高负载和复杂查询的需求，并确保数据的隔离和可靠性，为企业提供稳定可靠的关键业务支持。 大数据分析 互联网、电商、社交媒体等行业需要处理海量数据并进行实时分析。天翼云物理机提供高带宽、大容量的存储和计算资源，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 容器场景 电商平台、游戏等业务弹性要求较高、性能要求更高的场景，可采用物理机部署容器的方案。相比在云主机中容器，物理机中部署容器提供更高的部署密度、更低的资源开销和更加敏捷的部署效率。基于云原生技术，帮助客户实现降低云化成本的目标，满足业务快速发展和高性能要求。

内网DNS产品为您提供优质的服务体验，本文带您了解内网DNS的产品优势。 多AZ容灾，就近响应 以其中一个租户的www.example.com域名为例，同一个域名对应的后端实服务器组可以跨AZ部署，从而实现域名解析服务AZ级别的高可用。 具体实现如下图：DNS解析服务器采用集群部署方式，和Client 同AZ的DNS服务器会优先响应DNS的查询。当AZ1的DNS服务器故障时，会自动由AZ2的DNS服务器响应DNS查询请求。 高性能 天翼云的内网DNS可以同时支持裸金属和虚拟机部署，具备高性能和强大的处理能力，可以满足大规模应用场景下的需求。最高QPS可支持到2000w+。 天翼云域名解析服务具备网络容灾与横向扩容能力，实现网络无损扩容，面临网络故障或高负载也能保障高可用性和稳定性。 安全可靠 内网域名就是在云内网有效的域名，仅在域名关联的VPC内有效，互联网无法攻击内网DNS，可以有效防护外部攻击和解析劫持。其他未关联的VPC也无法查询到对应的服务器，界定了您的内部系统访问边界，将核心数据访问限制在最小范围。 对于保存核心数据的云服务器，不绑定弹性IP，使用内网DNS为其提供域名解析服务，这样，既保证了核心数据的安全性，又实现了对核心数据的访问。

本章节介绍应用服务网格的服务监控能力 概述 应用服务网格具备控制面&数据面日志以及数据面指标采集上报、查询，链路数据上报能力，本章节介绍具体的观测能力。 服务监控 指标监控页面展示了网格内服务的访问数据，需要选择集群、命名空间和服务名称，可以查看服务的相关访问指标。这里给出了服务，以及更进一步的服务的客户端工作负载（调用该服务的工作负载）和服务工作负载（提供该服务的工作负载）的详细指标。 查询语句中涉及的指标名均为istio官方自带指标。

业务场景 将 Redis 客户端部署到 CCSE 集群中，以通过 CCSE 连接到 Redis，并访问和操作 Redis 数据。 业务需求 1. 将 Redis 客户端容器化，以便更好地管理和部署。 2. 用 CCSE 提供的容器编排能力，实现高可用和负载均衡。 3. 确保 Redis 客户端能够安全地连接到 Redis，并正常地进行数据读写操作。 需求分析 1. 准备 Redis 客户端容器镜像，包含 Redis 客户端的依赖和配置。 2. 创建 CCSE 集群，配置网络和节点资源。 3. 部署 Redis 客户端容器到 CCSE 集群中。 4. 配置容器环境变量，指定连接 Redis 的相关信息。 5. 运行 Redis 客户端容器，并测试连接和数据操作功能。 实现方案 1. 准备 Redis 客户端容器镜像：创建一个 Dockerfile，并在其中指定 Redis 客户端的版本和依赖。例如： FROM redis:latest 配置客户端所需的其他依赖和配置 ... 2. 创建 CCSE 集群：在 CCSE 控制台创建一个集群，并配置网络和节点资源。根据实际需求选择合适的规格和数量。 3. 部署 Redis 客户端容器：使用 CCSE 控制台或命令行工具，在创建的 CCSE 集群中部署 Redis 客户端容器。指定前面准备的 Redis 客户端容器镜像。 4. 配置容器环境变量：在 Redis 客户端容器中配置连接 Redis 的环境变量，包括 Redis 服务器的地址、端口、密码等。例如，在容器启动时，设置以下环境变量 export REDISHOSTyourdcshost export REDISPORTyourdcsport export REDISPASSWORDyourdcspassword 5. 测试连接和数据操作：启动 Redis 客户端容器，并使用适当的客户端库和代码进行连接测试和数据操作。例如，使用 Java 语言的 Jedis 客户端库： import redis.clients.jedis.Jedis; public class RedisClientExample { public static void main(String[] args) { // 获取环境变量 String host System.getenv("REDISHOST"); int port Integer.parseInt(System.getenv("REDISPORT")); String password System.getenv("REDISPASSWORD"); // 创建 Jedis 客户端实例 Jedis jedis new Jedis(host, port); jedis.auth(password); // 进行数据操作 jedis.set("key", "value"); String value jedis.get("key"); System.out.println("Value: " + value); // 关闭连接 jedis.close(); } } 以上示例代码展示了如何使用 Java 的 Jedis 客户端库连接 Redis，并进行数据操作。您可以根据自己的需求和使用的编程语言选择适当的客户端库，并根据环境变量配置连接参数。 通过以上步骤，您可以将 Redis 客户端部署到 CCSE 集群容器中，并通过 CCSE 连接到Redis，实现对 Redis 数据的访问和操作。

资源 默认值 临时磁盘空间（“/tmp”空间） 512MB 文件描述符 1024 进程和线程数（总和） 1024 单个请求最大执行时长 900秒 函数同步调用请求正文有效负载大小 6MB 函数同步调用响应正文有效负载大小 6MB 函数异步调用请求正文有效负载大小 256KB 函数导入的资源大小 zip格式压缩文件，大小50MB以内 函数导出资源包大小 50MB以内

本节介绍了：创建一个无状态工作负载——创建工作负载及服务的用户指引。 进入云容器引擎控制台，在集群选项卡中选择一个集群进入集群详情界面。选择工作负载 > 无状态 > 新增 选择命名空间，创建一个Deployment 配置项说明 配置项 说明 Deployment名称 工作负载的名称 数据卷（选填） 为容器提供存储，目前支持临时路径、主机路径、配置文件、本地卷（Local PV）、NFS、Ceph，还需挂载到容器的指定路径中。 实例数量 工作负载的副本数，可选择手动设置或自动伸缩。 实例内容器 工作负载中的容器实例配置，可配置一个或多个。 容器名称 容器实例的名称 镜像及镜像版本 支持选择容器镜像服务企业版、容器镜像服务个人版的镜像。 CPU/内存限制 Request用于预分配资源，当集群中的节点没有request所要求的资源数量时，容器会创建失败。Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多。 环境变量（选填） 支持配置容器的环境变量。 启动执行（选填） 启动执行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数。 启动执行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数。 启动后处理 容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数。 停止前处理 容器停止前执行，常用于资源清理；每个输入框仅输入一个命令或参数。 容器健康检查 存活检查：检查容器是否正常，不正常则重启实例。 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例。 特权级容器 容器开启特权级，将拥有宿主机的root权限。 Container安全上下文 为Container设置安全上下文，仅适用于该Container：若Pod、Container层面都设置了用户、用户组、Selinux上下文，Container的设置会覆盖Pod的设置。 访问设置 配置Service访问负载

本节介绍了：创建一个无状态工作负载——查看容器实例日志的用户指引。 在工作负载实例详情的界面中，选择日志可以查看容器实例的日志。

选择合适的数据分布策略 分片集群支持将单个集合的数据分散存储在多个分片上，用户可以根据集合内文档的分片键来分布数据。 目前，主要支持两种数据分布策略，即范围分片（Range based sharding）和Hash分片（Hash based sharding）。 下面分别介绍这两种数据分布策略以及各自的优缺点。 范围分片 基于范围进行分片，即集群按照分片键的范围把数据分成不同部分。假设有一个数字分片键，为一条从负无穷到正无穷的直线，每一个片键的值均在直线上进行标记。可以理解为将该直线划分为更短的不重叠的片段，并称之为数据块，每个数据块包含了分片键在一定的范围内的数据。 图 数据分布示意图 如上图所示，x表示范围分片的片键，x的取值范围为[minKey,maxKey]，且为整型。将整个取值范围划分为多个chunk，每个chunk（通常配置为64MB）包含其中一小段的数据。其中，chunk1包含x值在[minKey, 75]中的所有文档，每个chunk的数据都存储在同一个分片上，每个分片可以存储多个chunk，并且chunk存储在分片中的数据会存储在config服务器中，mongos也会根据各分片上的chunk的数据自动执行负载均衡。 范围分片能够很好的满足范围查询的需求，例如，查询x的取值在[60,20]中的文档，仅需mongos将请求路由到chunk2。 范围分片的缺点在于，如果分片键有明显递增（或递减）趋势，新插入的文档很大程度上会分布到同一个chunk，从而无法扩展写的能力。例如，使用“id”作为分片键，集群自动生成id的高位值将是递增的时间戳。 Hash分片 根据用户的分片键值计算出Hash值（长度64bit且为整型），再按照范围分片策略，根据Hash值将文档分布到不同的chunk中。基于Hash分片主要的优势为保证数据在各节点上分布基本均匀，具有“相近”片键的文档很可能不会存储在同一个数据块中，数据的分离性更高。 图 数据分布示意图 Hash分片与范围分片互补，能将文档随机分散到各个chunk，充分扩展写能力，弥补范围分片的不足。但所有的范围查询要分发到后端所有的分片，才能获取满足条件的文档，查询效率低。

本小节介绍微隔离防火墙接入工作负载（BEA端）操作方法。 功能说明 授权码代表了工作负载的身份，一个工作负载在接入系统时，系统将根据其授权码决定是否允许其接入、配置什么样的安全策略、分配到哪个工作组等。 操作步骤 1.创建授权码有两个入口，一个是菜单栏的授权管理，通过此入口可以查看管理所有授权码。 第二个入口，可以通过工作组详情查看该工作组的授权码（由某个组的授权码接入的工作负载，将自动分配到该工作组）。 2.创建授权码 点击创建授权码，在弹出的对话框中输入相关参数，点击确定即可完成授权码的建立。 3.点击授权码，可进入授权码详细页面。 4.授权码详细页面最下方的自动化安装部分，可根据此授权码自动生成安装命令，用于实现工作负载的自动化安装。 注意 1.执行该命令，系统会自动到管理中心下载安装脚本，请确保安装客户端的工作负载与管理中心网络可达。 2.安装脚本执行后自动判定系统版本，并从管理中心获取相应安装包。 3.linux系统安装命令一致、Windows系统安装命令一致。 4.agent成功安装后，不会清空原有iptables中的策略。后续产品添加安全策略会在iptables最上层添加。若只在监测模式下运行，可在安装命令后加nf true则不安装产品防护模块。

本节为您介绍如何卸载集群Agent。 如果不再需要HSS为您的集群容器提供安全防护，您可以为集群卸载Agent。Agent卸载后，HSS将停止对容器的检测和防护，且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“容器服务 > 云容器引擎”，进入云容器引擎界面。 3、单击目标集群名称，进入集群详情页。 4、在左侧导航栏，选择“工作负载”，进入“工作负载”界面。 5、选择“守护进程集”页签，删除名称为“installagentds”的工作负载。在工作负载所在行的操作列，选择“更多 > 删除”，删除该工作负载。 6、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 7、 选择“Agent管理”页签，卸载目标CCE集群所有容器节点服务器的Agent。 自建集群卸载Agent 1、登录k8s集群环境。 2、执行以下命令删除名称为“installagentds”的工作负载。 kubectl delete ds installagentds n default 3、登录管理控制台。 4、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理”页签，卸载目标自建集群所有容器节点服务器的Agent。

本文主要介绍故障类问题 为什么创建组织失败？ 问题现象：创建组织失败，页面提示该组织已经存在，但在“组织管理”页面没有查询到该组织。 解决办法：组织名称全局唯一，即当前区域下，组织名称唯一。 创建组织时如果提示组织已存在，可能该组织名称已被其他用户使用，请重新设置一个组织名称。 CCE工作负载拉取SWR镜像异常，提示为“未登录” 当CCE工作负载无法正常拉取SWR的镜像，且提示“未登陆”时，请排查该工作负载的yaml文件中是否存在“imagePullSecrets”字段，且name参数值需固定为defaultsecret。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginximagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret 为什么登录指令执行失败？ 登录指令执行失败有以下几种情况： 1. 容器引擎未安装正确，报如下所示错误： “docker: command not found” 解决方法： 重新安装docker容器引擎。 由于容器镜像服务支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 2. 临时登录指令已过期或登录指令中区域项目名称、AK、登录密钥错误，报如下所示错误： “unauthorized: authentication required” 解决方法： 登录容器镜像服务控制台，在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”获取登录指令。 a. 获取临时的登录指令：单击“生成临时登录指令”，在弹出的页面中单击复制登录指令。 b. 获取长期有效的登录指令：单击“如何获取长期有效登录指令”，具体方法请参见用户指南 > 镜像管理> 获取长期有效登录指令。 3. 登录指令中镜像仓库地址错误，报如下所示错误： “Error llgging in to v2 endpoint, trying next endpoint: Get dial tcp: lookup {{endpoint}} on xxx.xxx.xxx.xxx:53 : no such host” 解决方法： c. 修改登录指令中的镜像仓库地址。 镜像仓库地址格式: registry.区域项目名称.ctyun.cn，如“苏州”对应的镜像仓库地址为registry.cnjssz1.ctyun.cn。 d. 获取临时登录指令。 4. x509: certificate has expired or is not yet valid 长期有效登录指令中AK/SK被删除导致，请使用有效的AK/SK生成登录指令。 5. x509: certificate signed by unknown authority 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果服务端证书不是权威机构颁发的，则会报如下错误：x509: certificate signed by unknown authority 解决方法： 如果用户信赖服务端，跳过证书认证，那么可以手动配置Docker的启动参数，配置方法如下： CentOS： 修改“/etc/docker/daemon.json”文件（如果没有，可以手动创建），在该文件内添加如下内容： { "insecureregistries": ["{镜像仓库地址}"] } Ubuntu： 修改“/etc/default/docker”文件，在DOCKEROPTS配置项中增加如下内容： DOCKEROPTS"insecureregistry {镜像仓库地址}" EulerOS： 修改“/etc/sysconfig/docker”文件，在INSECUREREGISTRY配置项中增加如下内容： INSECUREREGISTRY'insecureregistry {镜像仓库地址}' 说明 镜像仓库地址支持域名和IP形式。 域名：registry.区域项目名称.ctyun.cn。例如“苏州”的镜像仓库地址为：registry.cnjssz1.ctyun.cn。 IP：可通过ping镜像仓库地址（域名形式）获取。 配置完成后，执行systemctl restart docker重启容器引擎。

约束与限制 安全容器不支持使用对象存储卷。 OBS限制单用户创建100个桶，但是CCE使用OBS桶为单个工作负载挂载一个桶，当工作负载数量较多时，容易导致桶数量超过限制，OBS桶无法创建。建议此种场景下直接通过OBS的API或SDK使用OBS，不在工作负载中挂载OBS桶。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 1.19及以下版本的集群在卸载subpath时会遍历subpath下所有文件夹，若文件夹数量较多的情况下，遍历时间较长，卸卷时间对应较长。建议在subpath下不要建立太多文件夹，否则可能会出现Pod删除卸卷时间较长的情况。 CCE集群下挂载的OBS中单个文件大小限制远小于obsfs限制。 插件使用推荐 使用CSI插件（Everest）要求Kubernetes版本需为 1.15及以上 ，v1.15及以上版本的集群在创建时将默认安装本插件，v1.13及以下版本集群创建时默认安装Flexvolume插件（storagedriver）。 集群版本由v1.13升级到v1.15后，v1.13版本集群中的Flexvolume容器存储插件（storagedriver）能力将由v1.15的CSI插件（Everest，插件版本v1.1.6及以上）接管，接管后原有功能保持不变。 插件版本为1.2.0的Everest优化了使用OBS存储时的 密钥认证功能 ，低于该版本的Everest插件在升级完成后，需要重启集群中使用OBS存储的全部工作负载，否则工作负载使用存储的能力将受影响。

参数 参数说明 计费模式 支持如下两种计费方式。 包年包月 包年包月需要选择购买时长。 按需计费 可用区 节点云主机所在的可用区，集群下节点创建在不同可用区下可以提高可靠性。 创建后不可修改。建议您选择“随机分配”，可根据选择的节点规格随机分配一个可以使用的可用区。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您将云主机创建在不同的可用区。 节点类型 CCE集群支持弹性云主机虚拟机和物理机。 操作系统 选择操作系统类型，不同类型节点支持的操作系统有所不同。 公共镜像：请选择节点对应的操作系统。 节点名称 节点云主机使用的名称，批量创建时将作为云主机名称的前缀。系统会默认生成名称，支持修改。节点名称以小写字母开头，支持小写字母、数字和中划线()，不能以中划线()结尾。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对 选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。

操作场景 配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。配置项创建完成后，可在容器工作负载中作为文件或者环境变量使用。 配置项允许您将配置文件从容器镜像中解耦，从而增强容器工作负载的可移植性。 配置项价值如下： 使用配置项功能可以帮您管理不同环境、不同业务的配置。 方便您部署相同工作负载的不同环境，配置文件支持多版本，方便您进行更新和回滚工作负载。 方便您快速将您的配置以文件的形式导入到容器中。 前提条件 已创建集群和节点资源，具体操作请参见购买混合集群。若已有集群和节点资源，无需重复操作。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“配置中心 > 配置项（ConfigMap）”，单击“创建配置项”。 步骤 2 参照下表设置新增配置参数。 表新建配置参数说明 参数 参数说明 配置名称 新建的配置名称，同一个命名空间里命名必须唯一。 所属集群 使用新建配置的集群。 集群命名空间 新建配置所在的命名空间。若不选择，默认配置为default。 描述 配置项的描述信息。 配置数据 工作负载配置的数据可以在容器中使用，或被用来存储配置数据。其中，“键”代表文件名；“值”代表文件中的内容。 1. 单击“添加更多配置数据” 。 2. 输入键、值。 配置标签 标签以Key/value键值对的形式附加到各种对象上（如工作负载、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 1. 单击“添加标签” 。 2. 输入键、值。 步骤 3 配置完成后，单击“创建”。 工作负载配置列表中会出现新创建的工作负载配置。 使用kubectl创建配置项 步骤 1 请参见通过kubectl操作CCE集群配置kubectl命令。 步骤 2 创建并编辑cceconfigmap.yaml文件。 vi cceconfigmap.yaml apiVersion: v1 kind: ConfigMap metadata: name: cceconfigmap data: SPECIALLEVEL: Hello SPECIALTYPE: CCE 步骤 3 创建配置项。 kubectl create f cceconfigmap.yaml kubectl get cm NAME DATA AGE cceconfigmap 3 3h cceconfigmap1 3 7m 相关操作 配置项创建完成后，您还可以执行下表中的操作。 操作 说明 查看YAML 单击配置项名称后的“查看YAML”，可查看到当前配置项的YAML文件。 更新配置 1. 选择需要更新的配置项名称，单击“更新”。 2. 更改配置项的信息。 3. 单击“更新”。 删除配置 选择要删除的配置项，单击“删除”。 根据系统提示删除配置。

接口功能介绍 更新多证书 接口约束 无 URI POST /v4/elb/updatedomaincertlinks 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b domainCertID 是 String 多证书 ID dclxxxx description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@ $%^&()+ <>?:{},./;'[]·！@ ￥%……&（） —— +{} 《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 decs certificateID 否 String 证书 ID certxxxxx 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 检查结果 见下表 表 returnObj 参数 参数类型 说明 示例 下级对象 domainCertID String 多证书 id dclxxxx

通过控制台设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 在无状态工作负载或有状态工作负载列表中，单击工作负载名称进入详情页，在“调度策略”页签下，单击 “自定义调度策略”。 步骤 3 在节点亲和性设置中，依据节点中的标签进行业务需求的设置。 须知：节点亲和性调度支持必须满足和尽量满足（硬约束Required/软约束Preferred），以及可以设置相应的匹配关系（In, NotIn, Exists, DoesNotExist, Gt, and Lt）： 必须满足：即硬约束，设置必须要满足的条件，对应于requiredDuringSchedulingIgnoredDuringExecution，您可以添加多条必须满足的规则，多条规则间是一种“或”的关系，即只需要满足一条规则即会进行调度。 尽量满足：即软约束，设置尽量满足的条件，对应于preferredDuringSchedulingIgnoredDuringExecution，您可以添加多条尽量满足的规则，无论是满足其中一条或者是都不满足都会进行调度。另外可以为规则设置权重值，权重值越高会被优先调度。 选择器：对应于matchExpressions，您可以添加多条选择器，多条选择器之间是一种“与”的关系，即需要满足全部选择器才能依据此条规则进行调度。 标签名：对应节点的标签，可以使用默认的标签也可以用户自定义标签。 匹配关系：即操作符，可以设置六种匹配关系（In, NotIn, Exists, DoesNotExist. Gt, and Lt）。In和NotIn操作符可以添加单个值或者多个value值（多值使用；进行划分），Exists和DoesNotExist判断某个label是否存在，不需设置value值。Gt和Lt判断label的值大于或者小于某个值（value值要求整数）。 通过kubectl命令行设置 本节以nginx为例，创建节点的亲和性。 前提条件 已有使用nginx容器的工作负载和节点。 操作步骤 使用内置节点标签kubernetes.io/hostname，并添加相应的节点，同时设置操作符为In，最后单击“确定”提交。 设置后的工作负载节点亲和性所得的yaml如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: kubernetes.io/hostname operator: In values: 192.168.6.174

使用镜像拉取凭证 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页 2、在集群列表中点击需要使用镜像拉取凭证的集群，进入集群管理页面 3、在集群管理页面导航栏中选择工作负载， 在列表中选择需要创建的工作负载，本文以无状态为例。 4、点击新建，进入新建Deployment页面 5、根据实际需要设置工作负载的基本信息（名称、镜像等），并点击 新建Deployment 中的显示高级设置展开工作负载的高级设置 6、在镜像拉取凭证 中点击添加并选择已创建的镜像拉取凭证。 7、点击提交完成创建。

检查云主机是否设置了禁Ping Windows 使用命令行方式开启Ping设置。 1. 打开cmd运行窗口。 2. 执行如下命令开启Ping设置。 netsh firewall set icmpsetting 8 Linux 检查云主机的内核参数。 1. 检查文件/etc/sysctl.conf中配置项“net.ipv4.icmpechoignoreall”的值，0表示允许Ping，1表示禁止Ping。 2. 允许PING设置。 − 临时允许PING操作的命令： echo 0 >/proc/sys/net/ipv4/icmpechoignoreall − 永久允许PING配置方法： net.ipv4.icmpechoignoreall0 检查网络ACL规则 VPC默认没有网络ACL，如果关联了网络ACL，请检查“网络ACL”规则。 1. 查看云主机对应的子网是否关联了网络ACL。 如显示具体的网络ACL名称说明已关联网络ACL。 2. 点击网络ACL名称查看网络ACL的状态。 3. 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 检查网络是否正常 1. 检查本地网络，使用相同区域主机进行Ping测试。 使用在相同区域的云主机去Ping没有Ping通的弹性公网IP，如果可以正常Ping通说明虚拟网络正常，请排除本地网络故障后重新Ping测试。 2. 检查是否链路故障。 链路拥塞、链路节点故障、服务器负载高等问题均可能引起执行Ping命令时出现丢包或时延过高的问题。 检查云主机路由配置（多网卡场景） 一般操作系统的默认路由优先使用主网卡，如果出现使用扩展网卡导致网络不通现象通常是路由配置问题。 如果云主机配置了多网卡，请确认云主机内默认路由是否存在。 a. 登录云主机，执行如下命令，查看是否存在默认路由。 ip route 图 查看默认路由 b. 若没有该路由，执行如下命令，添加默认路由。 ip route add default via XXXX dev eth0 XXXX表示网关IP。 如果云主机配置了多网卡，且弹性IP绑定在非主网卡上，需要在云主机内部配置策略路由来实现非主网卡的通信。

kubectl get deploy nginxNAME READY UPTODATE AVAILABLE AGE nginx 1/1 1 1 66s[root@cluster1] kubectl get podNAME READY STATUS RESTARTS AGE nginx6799fc88d8sqjj4 1/1 Running 0 2m12s 我们可以基于联邦控制面kubectl方式，执行以下命令来将其提升到联邦控制面管理： shell [root@master1] karmadactl promote deployment nginx n default c member1Resource "apps/v1, Resourcedeployments"(default/nginx) is promoted successfully 此时，再在联邦控制面中查询该工作负载，可看到已经可以查询到，说明已被联邦实例接管： shell [root@master1] kubectl get deployNAME READY UPTODATE AVAILABLE AGE nginx 1/1 1 1 7m25s 检查成员集群中对应nginx无状态工作负载，对应Pod并未重启： shell [root@cluster1] kubectl get podNAME READY STATUS RESTARTS AGE nginx6799fc88d8sqjj4 1/1 Running 0 15m 方式二：批量提升接管，源集群中工作负载Pod可能会重启； 对于希望批量提升到联邦控制面接管，以及对Pod重启无感知的的服务或资源，可考虑采用本方式，其执行效率相对更高。 在成员集群中已部署服务非常多或应用较复杂情况下，该方式更适合。可基于更大的粒度，来做资源的接管和提升，例如： 以资源为粒度，迁移某种类型的全部资源 以应用为粒度，迁移某个应用涉及的所有类型的资源 此时，就需要资源模板结合集群联邦的调度策略PropagationPolicy，来接管相应资源，可以按如下方式操作。 a.将所有资源的 YAML 配置应用到 集群联邦控制面, 作为集群联邦的 ResourceTemplate。此时，资源模板只会存在联邦控制面，并不会下发任何成员集群； b.编写 PropagationPolicy 调度策略, 并将其应用到集群联邦控制面。 您需要注意以下两个字段： spec.conflictResolution: Overwrite：该字段的值必须是 Overwrite。 spec.resourceSelectors：指定哪些资源需要被迁移。 如果你希望的是将所有Deployment资源提升到联邦控制面管理，则可以配置类似如下的调度策略： shell apiVersion: policy.karmada.io/v1alpha1kind: PropagationPolicymetadata: name: deploymentsppspec: conflictResolution: Overwrite placement: clusterAffinity: clusterNames: member1 priority: 0 resourceSelectors: apiVersion: apps/v1 kind: Deployment schedulerName: defaultscheduler 当前，除了YAML方式创建外，也支持基于前端页面的引导创建。可进入联邦控制台>策略管理>调度策略>创建调度策略页面进行配置； 在以上调度策略配置完成后，联邦实例将进行联邦资源模板与底层的同步与覆盖。一段时间后即可观测到相关工作负载已被联邦实例接管； 3. 基于集群联邦，将服务逐步迁移到目标集群中 已接管的工作负载，支持按需调整其调度策略及差异化策略，来实现工作负载多集群之间的灵活调度。此时，您可以在联邦控制面中编辑需要迁移工作负载的实例数或调度策略，使其复制分发到目标成员集群中去。 点击进入工作负载>无状态，选在对应的工作负载实例后，点击后侧“全量替换”操作按钮进行编辑： 在编辑页面中，直接跳过模板配置步骤，进入调度与差异化配置页面。通过设置调整集群调度策略，可将工作负载复制分发到目标集群，或按权重拆分部分副本到新集群。如下： 如上图配置，提交更新后，工作负载将在源集群和目标集群中1：1比例部署。 4. 服务验证及终端灰度切流 该步骤中，用户可基于应用实际架构及服务需求，在验证目标成员服务正常后，实施真实用户流量的逐步切流。 切流过程中，可配合通过调度策略逐步调整工作负载Pod副本在源集群与目标集群之间的分布，并最终全部迁移到天翼云上CCE集群，以实现完整的切流。

为部署在CCE容器中的JAVA应用安装Agent 前提条件 部署APM Agent时，必须确保接入APM的机器与APM服务网络连通，Agent才能正常工作。 可使用Telnet命令测试目标机器与APM服务器网络是否连通。 访问域名（Endpoint）列表，获取所在region的endpoint。 选择“系统管理 > 访问密钥”进入访问密钥页面，查看获取接入javaagent所需的AK/SK。 图 获取AK/SK 使用说明 目前只支持部署CCE的JAVA应用。相关参数说明参见下表。 表 性能管理配置参数列表 参数名称 参数说明 安装探针 选择安装探针。目前只支持“APM探针”。 探针类型 选择探针的版本类型。 探针升级策略 探针升级的方式、策略。默认为“重启自动升级”。 重启自动升级：每次都尝试重新下载镜像。 重启手动升级：如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像。 APM环境 输入APM环境名称，该参数为选填。 APM业务 选择一个已有的APM应用。 子业务 输入APM子应用，该参数为选填。 接入密钥 将会自动获取APM服务的密钥信息。 操作步骤 步骤 1 登录CCE管理控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”，单击“创建无状态工作负载”或“创建有状态工作负载”。 步骤 2 在创建工作负载时，在“高级设置”中找到“性能管理配置”，在“安装探针”处勾选“APM探针”，将会启用应用性能管理服务并在节点上安装探针。 说明 安装探针会产生少量资源消耗，主要作用是可对java工作负载提供应用调用链、拓扑、SQL分析、堆栈追踪等监控能力。 步骤 3 填写探针相关参数。 监控组：输入监控组名称，如testapp。若已有监控组，可下拉选择。 探针版本：选择探针的版本。 “探针升级策略”，默认为“重启自动升级”。 重启自动升级：每次都尝试重新下载镜像。 手动升级：如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像。 步骤 4 应用启动后，等待约3分钟，应用数据就会呈现在APM界面中，此时登录APM，您可以在APM上通过拓扑、调用链等进行应用性能优化。 为CodeArts Deploy应用安装Agent

本节介绍云容器引擎的最佳实践： 应用高可用部署推荐。 基本原则 可参考如下几点，实现容器应用高可用部署： 1. 集群控制节点高可用，控制节点数大于等于3； 2. 集群需有多个属于不同可用区的节点，业务根据自身需求合理配置调度策略，以实现多可用区部署及资源均匀分配； 3. 创建多个在不同可用区的节点池，通过节点池做节点伸缩； 4. 工作负载实例数需大于等于2； 5. 配置工作负载的亲和性规则，让Pod尽量分布在不同可用区、不同节点上。 操作步骤 假设集群3个控制节点和3个工作节点，工作节点可用区分布如下所示： $ kubectl get node L topology.kubernetes.io/zone grep v master NAME STATUS ROLES AGE VERSION ZONE ccseagent1b54ffbc17 Ready 40m v1.25.6 cnxinan11A ccseagent59ab9e7689 Ready 38m v1.25.6 cnxinan12A ccseagenta7527e3e80 Ready 36m v1.25.6 cnxinan13A 创建工作负载，如下所示，定义两条podAntiAffinity反亲和性规则： 工作负载多实例配置可用区反亲和，参数设置如下： 权重weight：权重值越高会被优先调度，本示例设置为50； 拓扑域topologyKey：为节点标签，用于指定调度时的作用域，下述示例为topology.kubernetes.io/zone，该标签用于识别节点在哪个可用区。 标签选择labelSelector：选择Pod的标签，与工作负载本身反亲和。 工作负载多实例配置节点反亲和，参数设置如下： 权重weight：设置为50； 拓扑域topologyKey：为标签kubernetes.io/hostname，该标签值为节点名； 标签选择labelSelector：即工作负载多个实例Pod的标签，实例间反亲和。 kind: Deployment apiVersion: apps/v1 metadata: name: demo namespace: default spec: replicas: 2 selector: matchLabels: app: demo template: metadata: labels: app: demo spec: containers: name: container0 image: nginx:latest resources: limits: cpu: 300m memory: 512Mi requests: cpu: 400m memory: 512Mi affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: weight: 50 podAffinityTerm: labelSelector:

参数 参数说明 云存储类型 云硬盘：云硬盘的使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或工作负载。 注意 如需挂载云硬盘，创建工作负载时的实例数量必须选择为1个实例，即单实例，选择多实例后挂载云硬盘的选项将置灰，无法挂载。 创建有状态工作负载并添加云存储时，云硬盘暂不支持使用已有存储。 云硬盘不支持跨可用区挂载，且暂时不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。 分配方式 使用已有存储 选择已创建的存储，您需要提前创建好存储。 针对同一集群和命名空间，创建无状态工作负载时可以选择“使用已有存储”。 创建有状态工作负载时暂不支持选择“使用已有存储”，只能使用“自动分配存储”。 自动分配存储 选择自动分配存储后，需要配置如下选项： 1. 访问模式：是用来对PV进行访问模式的设置，用于描述用户应用对存储资源的访问权限。 ReadWriteOnce (RWO)： 基于云硬盘非共享卷提供容器负载单Pod单独单写块存储的功能，但是该卷只能被单个节点挂载。v1.13.10r1开始支持RWO模式的存储卷。 ReadWriteMany (RWX)： 基于云硬盘共享卷提供容器负载访问块存储的功能。由于容器侧不支持跨节点的共享卷读写一致性能力，在老集群（<1.15.6）下受限使用（需要确保单负载单实例单独单写），1.15开始只支持创建和使用RWO模式的非共享卷 2. 可用区：存储所在的可用区，自动分配存储仅支持Node节点所在可用区。 3. 子类型：选择存储的子类型。 高I/O：指由SAS存储介质构成的云硬盘。 普通I/O：指由SATA存储介质构成的云硬盘。 超高I/O：指由SSD存储介质构成的云硬盘。 4. 存储容量：输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 1. 单击“添加容器挂载”。 2. 挂载路径：输入数据卷挂载到容器上的路径。 须知 请不要挂载在系统目录下，如“ / ”、“ /var/run” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。

云容器引擎中发布工作负载 1、点击 工作负载 – 无状态 新增。 2、选择已推送到容器镜像实例的镜像。 3、选择已创建的镜像拉取凭证，点击发布，等待发布成功结果。

本章节介绍Redis节点内存高负载故障演练。 背景介绍 Redis 性能受节点可用内存限制。当内存异常占用时，Redis 可能触发内存淘汰、拒绝写入，甚至被操作系统终止。本演练模拟高内存占用场景，帮助您验证内存淘汰策略、应用容错能力及监控告警效果。 基本原理 在节点启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 预留资源 ：强烈建议将目标内存占用率设置在90%以下，为操作系统内核和关键系统进程（如SSH服务）预留足够的内存。若内存被完全耗尽，可能导致主机失去响应，需要通过控制台强制重启才能恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。 内存占用率：指定内存负载百分比（取值 0100）。

本章节介绍Redis节点内存高负载故障演练。 背景介绍 Redis 性能受节点可用内存限制。当内存异常占用时，Redis 可能触发内存淘汰、拒绝写入，甚至被操作系统终止。本演练模拟高内存占用场景，帮助您验证内存淘汰策略、应用容错能力及监控告警效果。 基本原理 在节点启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 预留资源 ：强烈建议将目标内存占用率设置在90%以下，为操作系统内核和关键系统进程（如SSH服务）预留足够的内存。若内存被完全耗尽，可能导致主机失去响应，需要通过控制台强制重启才能恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。 内存占用率：指定内存负载百分比（取值 0100）。

本节主要介绍使用Authorization请求头验证的V4签名。 概述 Authorization请求头包含以下信息（增加换行是为了方便阅读，实际为空字符串）： Authorization: AWS4HMACSHA256 Credential2a948fd3f00ba0925806/20180501/region/s3/aws4request, SignedHeadershost;range;xamzdate, Signaturefe5f80f77d5fa3beca038a248ff027d0445342fe2855ddc963176630326f1024 组成字段说明如下： 字段 描述 :: AWS4HMACSHA256 用于签名的算法，固定值。 Credential 用户AccessKeyID和范围信息，范围信息包括请求日期、区域、服务、终止字符串aws4request，格式如下： AccessKeyID /date /region /service/aws4request 其中： date格式为YYYYMMDD。 region： 对于oos api：访问域名为oosxx.ctyunapi.cn，region为xx。 对于统计api：访问域名为oosxxmg.ctyunapi.cn，region为xxmg。 对于操作跟踪api：访问域名为oosxxcloudtrail.ctyunapi.cn，region为xx。 对于iam api：访问域名为oosxxiam.ctyunapi.cn，region为xx。 各资源池的详细访问域名详见域名（Endpoint）列表。 service： 若使用OOS API服务，service为s3。 若使用统计分析服务，service为s3。 若使用操作跟踪服务，service为cloudtrail。 若使用IAM服务，service为sts。 SignedHeaders 已签名请求头的列表。该列表只需包含请求头名字，用分号分隔，必须全部小写，并按字符顺序对其进行排序，示例如下： host;range;xamzdate。 Signature 计算出的256位签名信息，以64个小写十六进制字符串形式表示。 有两种签名计算方式： 签名负载方式 ：用户可以选择计算整个负载（即请求体）的checksum，并将其包含在签名计算中。这种方式提高了安全性，但用户需要读取两次负载或将其缓冲在内存中。我们建议用户包含负载checksum以增强安全性。 无签名负载方式 ：在签名计算中不包括负载的checksum。将值设置为文本字符串UNSIGNEDPAYLOAD，直接作为签名计算。 上述两种方式，都必须携带xamzcontentsha256请求头，如果选择签名负载方式，请将xamzcontentsha256请求头的值设置为负载的checksum值，否则将值设置为文本字符串UNSIGNEDPAYLOAD。

本页介绍了RDSPostgreSQL的只读实例的功能特点、使用要求等。 RDSPostgreSQL支持只读实例。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至可能会对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有从节点、备份节点），采用PostgreSQL原生的流复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响。 功能特点 规格可以与主实例不一致，但需要大于等于主实例规格1/2，如主实例规格为8C16G，则只读实例规格至少4C8G，并支持规格扩容，便于弹性升级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。RDSPostgreSQL提供了近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看只读实例的负载情况。 使用要求 个数限制：1个主实例最多可以创建5个只读实例。 生命周期：RDSPostgreSQL的只读实例支持单独退订，但如果主实例退订，则对应的只读实例也会随之退订。 计费模式：仅支持按需计费。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库，只读实例的数据库与主实例保持一致。 账号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，具体详见