审计分析 对实时动态分析的日志进行归并处理和监测，可及时发现高危安全事件，如用户违规行为、数据泄露、攻击利用和主机通信异常。 关联分析策略是系统中的核心功能之一，主要关注各类日志之间的逻辑关联关系。它不仅支持以预定义规则进行事件关联，还能基于状态、时序和归并等方式发现关联。 系统可审计以下不同类型日志或事件（需结合相关设备，如防火墙和IPS等）：网络攻击、有害代码、漏洞、用户访问存取、系统运行、设备故障、配置状态、网络连接和数据库操作等。 关联事件的结果将在关联事件中显示，如果符合关联策略，将以告警形式在实时监控模块呈现给用户。用户可以对告警进行处理，以确保及时应对潜在的安全问题。 数据展示 提供可视化的总体概览，通过仪表板可以直观地展示日志数据的统计和分析结果，帮助用户快速了解系统的运行状态和问题。用户可以自定义展示安全事件以及各类审计分析信息，提供实时的审计分析可视化界面。 全局监视仪表板，可展示不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。 风险报表 用户可以根据自己的需求，自由选择需要包含在报表中的指标和数据，以便更好地满足特定的业务需求。系统还提供了对预置报表模板的选择和预览功能。用户可以浏览系统中已经存在的报表模板，并选择其中的一个进行生产。这有助于用户快速生成符合自己需求的报表，节省了手动设计和生成报表的时间和工作量。 在报表中，系统以柱状图、曲线图和饼状图的方式统计安全报警和原始日志情况。这种可视化的报表展示方式使得数据更加直观易懂，用户可以更轻松地分析和理解报表中的信息。报表格式方面，系统支持PDF、Word等文件格式的导出。用户可以根据需要选择合适的文件格式，以便将报表分享给其他人或保存到本地进行进一步分析。 此外，系统还支持周期性生成报表并通过邮件推送给用户。用户可以设置报表的生成周期，例如每天、每周或每月定期生成报表，并通过电子邮件将其发送给用户。这样，用户可以及时获得最新的安全报警和日志信息，以便及时采取相应的措施。

HPA的核心有如下2个部分： 监控数据来源 最早社区只提供基于CPU和Mem的HPA，随着应用越来越多搬迁到k8s上以及Prometheus的发展，开发者已经不满足于CPU和Memory，开发者需要应用自身的业务指标，或者是一些接入层的监控信息，例如：Load Balancer的QPS、网站的实时在线人数等。社区经过思考之后，定义了一套标准的Metrics API，通过聚合API对外提供服务。 metrics.k8s.io： 主要提供Pod和Node的CPU和Memory相关的监控指标。 custom.metrics.k8s.io： 主要提供Kubernetes Object相关的自定义监控指标。 external.metrics.k8s.io：指标来源外部，与任何的Kubernetes资源的指标无关。 扩缩容决策算法 HPA controller根据当前指标和期望指标来计算缩放比例，计算公式如下： desiredReplicas ceil[currentReplicas ( currentMetricValue / desiredMetricValue )] 例如当前的指标值是200m，目标值是100m，那么按照公式计算期望的实例数就会翻倍。那么在实际过程中，可能会遇到实例数值反复伸缩，导致集群震荡。为了保证稳定性，HPA controller从以下几个方面进行优化： 冷却时间：在1.11版本以及之前的版本，社区引入了horizontalpodautoscalerdownscalestabilizationwindow和horizontalpodautoScalerupscalestabilizationwindow这两个启动参数代表缩容冷却时间和扩容冷却时间，这样保证在冷却时间内，跳过扩缩容。1.14版本之后引入延迟队列，保存一段时间内每一次检测的决策建议，然后根据当前所有有效的决策建议来进行决策，从而保证期望的副本数尽量小的发生变更，保证稳定性。 忍受度：可以看成一个缓冲区，当实例变化范围在忍受范围之内的话，保持原有的实例数不变。 首先定义ratio currentMetricValue / desiredMetricValue 当ratio – 1.0 tolerance时， 就会根据之前的公式计算期望值。 当前社区版本中默认值为0.1 HPA是基于指标阈值进行伸缩的，常见的指标主要是 CPU、内存，当然也可以通过自定义指标，例如QPS、连接数等进行伸缩。但是存在一个问题：基于指标的伸缩存在一定的时延，这个时延主要包含：采集时延(分钟级) + 判断时延(分钟级) + 伸缩时延(分钟级)。这个分钟级的时延，可能会导致应用CPU飚高，响应时间变慢。为了解决这个问题，CCE提供了定时策略，对于一些有周期性变化的应用，提前扩容资源，而业务低谷时，定时回收资源。

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期(原始指标) rds001cpuutil CPU使用率 该指标用于统计测量对象的CPU使用率。 （0，60） 节点 60秒 rds002memutil 内存使用率 该指标用于统计测量对象的内存使用率。 （0，60） 节点 60秒 rds003bytesin 数据写入量 该指标用于统计测量对象对应VM的网络发送字节数，取时间段的平均值 暂无 节点 60秒 rds004bytesout 数据传出量 该指标用于统计测量对象对应VM的网络接受字节数，取时间段的平均值 暂无 节点 60秒 rds014iops 数据磁盘每秒读写次数 该指标用于统计测量对象的节点数据磁盘每秒读写次数，该值为实时值。 暂无 节点 60秒 rds016diskwritethroughput 数据磁盘写吞吐量 该指标用于统计测量对象的节点数据磁盘每秒写吞吐量，该值为实时值。 暂无 节点 60秒 rds017diskreadthroughput 数据磁盘读吞吐量 该指标用于统计测量对象的节点数据磁盘每秒读吞吐量，该值为实时值。 暂无 节点 60秒 rds020avgdiskmsperwrite 数据磁盘单次写入花费的时间 该指标用于统计测量对象的节点数据磁盘单次写入花费的时间，取时间段的平均值。 暂无 节点 60秒 rds021avgdiskmsperread 数据磁盘单次读取花费的时间 该指标用于统计测量对象的节点数据磁盘单次读取花费的时间，取时间段的平均值。 暂无 节点 60秒 iobandwidthusage 磁盘io 带宽占用率 当前磁盘io带宽与磁盘最大带宽比值 NA 节点 60秒 iopsusage IOPS 使用率 当前iops与磁盘最大iops比值 NA 节点 60秒 rds005instancediskusedsize 实例数据磁盘已使用大小 该指标用于统计测量对象的实例数据磁盘已使用大小，该值为实时值。 暂无 实例 60秒 rds006instancedisktotalsize 实例数据磁盘总大小 该指标用于统计测量对象的实例数据磁盘总大小，该值为实时值。 暂无 实例 60秒 rds007instancediskusage 实例数据磁盘已使用百分比 该指标用于统计测量对象的实例数据磁盘使用率，该值为实时值。 (0, 60%) 实例 60秒 rds035bufferhitratio buffer 命中率 该指标用于统计数据库buffer命中率。 （95，100） 实例 60秒 rds036deadlocks 死锁次数 该指标用于统计数据库发生事务死锁的次数，取该时间段的增量值。 (0，1) 实例 60秒 rds048P80 80% SQL的响应时间 该指标用于统计数据库80% SQL的响应时间，该值为实时值。 （0，150000） 实例 60秒 rds049P95 95% SQL的响应时间 该指标用于统计数据库95% SQL的响应时间，该值为实时值。 （0，200000） 实例 60秒 rds008diskusedsize 磁盘已使用大小 该指标用于统计测量对象的节点数据磁盘使用值，该值为实时值。 NA 组件 60秒 rds009disktotalsize 磁盘总大小 该指标用于统计测量对象的节点数据磁盘总大小，该值为实时值。 NA 组件 60秒 rds010diskusage 磁盘已使用百分比 该指标用于统计测量对象的节点数据磁盘使用率，该值为实时值。 80 组件 60秒 rds024currentsleeptime 主机流控时间 该指标用于统计测量对象的主机流控时间，该值为实时值。 1 组件 60秒 rds025currentrto 备机RTO时间 该指标用于统计测量对象的主备复制的RTO，该值为实时值。 60 组件 60秒 rds026logincounter 用户登入次数/秒 该指标用于统计CN节点上每秒的登入次数，取时间段的平均值。 1000 组件 60秒 rds027logoutcounter 用户登出次数/秒 该指标用于统计CN节点上每秒的登出次数，取时间段的平均值。 1000 组件 60秒 rds028standbydelay 备机redo进度 该指标用于统计分片内备机redo进度，表示备机和主机的差距，该值为实时值。 200MB 组件 60秒 rds030waitratio 锁等待状态会话比率 该指标用于统计当前处于锁等待状态会话占活跃工作状态下会话比率，该值为实时值。 50 组件 60秒 rds031activeratio 活跃会话率 该指标用于统计当前处于活跃工作状态会话占总会话数比率，该值为实时值。 20 组件 60秒 rds034inusecounter CN连接数 该指标用于统计CN连接池中正在使用的连接数，该值为实时值。 80 组件 60秒 rds037commitcounter 用户提交事务数/秒 该指标用于统计用户每秒提交的事务数，取时间段的平均值。 50000 组件 60秒 rds038rollbackcounter 用户回滚事务数/秒 该指标用于统计用户每秒回滚的事务数，取时间段的平均值。 0 组件 60秒 rds039bgcommitcounter 后台提交事务数/秒 该指标用于统计后台每秒提交的事务数，取时间段的平均值。 5000 组件 60秒 rds040bgrollbackcounter 后台回滚事务数/秒 该指标用于统计后台每秒回滚的事务数，取时间段的平均值。 0 组件 60秒 rds041respavg 用户事务平均响应时间 该指标用于统计用户事务的平均响应时间。 10ms 组件 60秒 rds042rollbackratio 用户事务回滚率 该指标用于统计用户事务回滚事务占用户提交、回滚事务之和的比率，取时间段的平均值。 0 组件 60秒 rds043bgrollbackratio 后台事务回滚率 该指标用于统计后台事务回滚事务占用户提交、回滚事务之和的比率，取时间段的平均值。 0 组件 60秒 rds044ddlcount data definition language 该指标用于统计用户负载在query层的DDL数量，取时间段的平均值。 10 组件 60秒 rds045dmlcount data manipulation language/min 该指标用于统计用户负载在query层的DML数量，取时间段的平均值。 50000 组件 60秒 rds046dclcount data Control Language/min 该指标用于统计用户负载在query层的DCL数量，取时间段的平均值。 10 组件 60秒 rds047ddldclratio DDL+DCL比率 该指标用于统计用户负载在query层的DDL+DCL占DDL+DCL+DML的比率，取时间段的平均值。 5 组件 60秒 rds050ckptdelay 待落盘的数据量 该指标用于统计信息同步到磁盘过程中待落盘的数据量，该值为实时值。 200MB/s 组件 60秒 rds051phyrds 读物理文件的IO次数/秒 该指标用于统计数据库每秒读物理物件的IO次数，取时间段的平均值。 20000 组件 60秒 rds052phywrts 写物理文件的IO次数/秒 该指标用于统计数据库每秒写物理物件的IO次数，取时间段的平均值。 10000 组件 60秒 rds053onlinesession 在线会话数量 该指标用于统计当前在线的session个数，该值为实时值。 NA 组件 60秒 rds054activesession 活跃会话数量 该指标用于统计当前所有活跃工作状态下会话个数，该值为实时值。 NA 组件 60秒 rds055onlineratio 在线会话率 该指标用于统计CN（分布式）/主DN（主备版）上的在线会话比例，该值为实时值 NA 组件 60秒 rds060longrunningtransactionexectime 数据库最长事务的执行时长 该指标用于统计测量对象的数据库最长事务的执行时长, 该值为实时值。 NA 组件 60秒 rds066replicationslotwallogsize 复制槽保留的WAL日志大小 该指标用于统计主DN上复制槽中保留的WAL日志的大小, 该值为实时值。 NA 组件 60秒 rds067xloglsn xlog速率 该指标用于统计CN或者DN上xlog的速率, 该值为实时值。 NA 组件 60秒 rds068swapusedratio 交换内存使用率 该指标用于描述操作系统交换内存使用率，该值为实时值。 NA 节点 60秒 rds069swaptotalsize 交换内存总大小 该指标用于描述操作系统交换内存总大小，该值为实时值。 NA 节点 60秒

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP 其他工具 下载安装工具Eclipse3.6.0以上版本或者IntelliJ，JDK 1.8.111以上版本。 购买实例 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 （4）点击“购买实例”跳转到购买页面。 （5）实例规格选择 以下规格选型适用于6个节点： 芜湖2、南京3、上海7、福州25、重庆2、北京5。 此6个节点可以选择普通版和高级版。 存储空间说明：目前基础版和高级版规格如下： 产品类型 产品规格 高级版本 三节点 8核16GBlvs节点 4核8GB总磁盘范围 300GB – 6000GB 基础版本 三节点 4核8Glvs节点 4核8GB总磁盘范围 300GB – 6000GB 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因为，您在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数，目前都是3。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3 + 预留磁盘大小100GB。 1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 2）区域默认为当前资源池，页面左上角切换区域。 3）选择类型，用户可选高级版和基础版两个版本。其中高级版规格为8核16GB，适用于大型应用系统。基础版规格为4核8GB，适用于中、小型企业应用。 4）服务节点数出于高可用考虑，默认3个。 5）选择主机类型，包括2系列、3系列和6系列。主机类型详细内容请参见弹性云主机规格。 6）选择存储空间，包括磁盘类型和空间。 磁盘类型默认提供普通IO。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以300G起步，可以以100倍数增加磁盘空间。 7）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 9）选择已有子网，若无子网，点击创建跳转到子网页面新增。 10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 11）选择购买时长，拖动选择112个月。 12）勾选自动续订。按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 13）填写购买数量，单次最多可批量申请5个分布式消息服务。 以下规格选型适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 这些节点可选择通用型和计算增强型，具体情况如下： 主机类型 节点数（个） 实例规格 存储IO 存储空间GB 通用型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 计算增强型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （6）下单购买。 选择理解并接受《产品服务协议》，然后下一步订购支付完成购买。

本节主要介绍服务器管理的错误码。 HTTP status 错误码 错误信息 描述 400 CanNotDeleteServer The server can not be deleted. Please stop the server, prepare a new server with same IP, and recover it. 服务器不能被移除。 400 CanNotRemoveDefaultPath This path path is the default disk path, please specify a new default disk path first. 无法移除默认数据目录。 400 CanNotRemoveServer The base server serverId can not be removed. Please migrate the base service on it and retry. 基础服务器不能删除，请先迁移服务器上的基础服务，然后重试。 400 DeleteServerForcibly Force delete should be used when deleting a server. When using this option, there may be a risk of data loss. 移除服务器时，必须使用强制移除，且有丢数据的风险。 400 ExceedMaxPathCount You can only add 100 local storage paths. 每台服务器最多只能添加100个数据目录。 400 InsufficientPath The disk path can not be deleted because the server must have at least one disk path. 数据目录不能被移除，因为服务器至少要有一个数据目录。 400 InsufficientPorts Insufficient available ports for server server . Expand the port range to support N additional ports. 服务器X端口范围中可用端口数量不足，请调整范围使之至少增加N个端口。 400 InsufficientSpace This method is not allowed because there is no more space to store data. 不能执行此操作，因为存储空间不足。 400 InvalidDiskPath The disk paths do not exist: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The available disk space must be greater than or equal to 1 GiB for each disk path: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The disk paths can not access: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The disk paths must be directory: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The disk paths include incompatible data: serverIP :diskPaths [,diskPaths ...] [; serverIP :diskPaths [,diskPaths...]]. The disk paths include unsupported symbols： serverIP :diskPaths [,diskPaths ...] [; serverIP :diskPaths [,diskPaths...]]. The disk paths is already on the server and the status is removing: serverIP :diskPaths [,diskPaths...] 因数据目录有问题导致操作失败。 400 InvalidDiskPathCapacityQuota The capacity quota for the following disk paths failed to satisfy constraint. It must be integer and not greater than the total capacity of disk path. serverIP:diskPaths [,diskPaths...] [;serverIP:diskPaths[,diskPaths...]..]. 容量配额参数错误。 400 InvalidLong Value value at 'argument' failed to satisfy constraint: Argument must be of type long. 参数填写错误，取值必须为长整型。 400 InvalidMetaDir The meta directory metaDir is invalid. reason 服务数据目录无效，请修改后重试。 400 InvalidPathStatus The path path status is 'status', the request is invalid. 数据目录状态不正确，无法执行操作。 400 InvalidPort Value value at 'argument' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidTargetPortalIP Value at 'ips' failed to satisfy constraint: only one target portal IP is supported. iSCSI目标门户IP、Port只允许输入一组。 400 MissingTargetPortalIP Value null at 'ip' failed to satisfy constraint: Argument must not be null when Target portal IP is enabled. iSCSI目标门户IP不能为空。 400 MissingTargetPortalIPOrPort Target portal IP and port must exist at the same time. iSCSI目标门户IP和Port要同时存在。 400 MissingTargetPortalPort Value null at 'port' failed to satisfy constraint: Argument must not be null when Target portal IP is enabled. iSCSI目标门户Port不能为空。 400 NoSuchService The serviceName service does not exist on server serverid. 待迁移的基础服务在源服务器不存在。 400 NotInterfaceIP The IP IP is not an interface IP address, check and retry. IP地址不是服务器的接口IP，请修改并重试。 400 PathUsed The path path is being used by LUN lunName, lunName..., please delete the LUN first. 路径正在被卷使用，请先删除卷后再重试。 400 RemoveFaultDomainRisk Can not remove multiple fault domains at the same time. You can use force remove. When using this option, there may be a risk of data loss. 无法同时移除的多个故障域。 400 RemoveNodeRisk The node nodeName or its child nodes are being used by a storage pool. Removing the node may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 移除节点可能会引起数据丢失。只能使用强制移除。请注意，强制移除，会产生数据丢失风险，请谨慎操作。 400 RemovePathRisk The path path status is 'status'. Removing the path may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 数据目录状态不正常，移除数据目录可能会引起数据丢失。只能使用强制移除。请注意，强制移除，会产生数据丢失风险，请谨慎操作。 400 RemovePathRisk There is LUN with redundancy mode, which has the minimum requirement for the number of paths. LUN: lunName1[, lunName2....] Removing the path may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 移除数据目录可能会引起数据丢失。只能使用强制移除。请注意，强制移除，会产生数据丢失风险，请谨慎操作。 数据目录移除后会造成卷数据损毁：lunName1[, lunName2....]。 400 RemoveServerRisk There is LUN with high availability disabled, and the LUN is connected with the client. LUN: lunName1[, lunName2....] There is LUN with redundancy mode, which has the minimum requirement for the number of servers. LUN: lunName1[, lunName2....] There is Target IQN which has no available server to migrate, removing server will cause the IQN deleted. Target: TargetIQN1[, TargetIQN2....] Removing the server may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 有单控卷，且处于连接状态，移除服务器会导致卷冗余度失败。 移除服务器会导致卷冗余度失败。 移除服务器之后，该服务器上面部分的IQN无法在其他机器上重建。 移除服务器时，有可能丢数据。如果必须移除，请使用强制移除。 400 RestartServerRisk There is no more space to store data or HBlock encountered an internal error. You can use force restart. When using this option, there may be a risk of data loss. 重启服务器失败。可以强制重启，但有丢失数据风险。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 SystemCrashRisk The node nodename can not be removed because there is only one available fault domain left in the base storage pool, or the node is related to multiple fault domains in the base pool, removing node may result in a system crash. 无法移除节点，存在以下情况之一，移除节点可能引发系统崩溃：基础存储池仅剩一个可用故障域时，无法移除故障域内的任何节点；节点涉及基础存储池的多个故障域。 404 NoSuchPath The path path does not exist in the HBlock. 路径不存在。 404 NoSuchServer The server with ID serverIddoes not exist. 服务器不存在。 404 NoTargetPortalIP Target portal IP is not configured. 没有配置target portal IP。 409 ConflictWithServiceMigrating Failed to action because the service serviceName on serverId is migrating to serverid. 基础服务正在迁移，无法执行操作。 409 InvalidServiceStatus The status of service serviceName on serverId is 'status', the request is invalid. 某节点上的服务状态异常，不运行执行操作。 409 InvalidServerStatus The server serverId status is 'status', the request is invalid. 服务器当前的状态不正确，请求无效。 409 PortConflict Error: the following port is/ports are in use. serverID/IP/ local server: portname port[, portname port...] 端口冲突。 409 RemovingAnotherPath There is another path being removed. You can use force remove. When using this option, there may be a risk of data loss. 有数据目录正在移除时，不能再移除其他数据目录。如果必须移除，请使用强制移除，但有丢数据风险。 409 RemovingAnotherServer There is another server being removed. You can use force remove. When using this option, there may be a risk of data loss. 有服务器正在移除时，不能再移除其他服务器。如果必须移除，请使用强制移除，但有丢数据风险。 409 ServiceAlreadyExists The service serviceName already exists on server serverid. 待迁移的服务在目标服务器上已存在。 409 ServerAlreadyExists The server with IP IP already exists. 服务器IP已经存在。 500 InsufficientResource Operation failed due to insufficient resources. 内存或其他资源不足，操作失败。

此小节介绍云堡垒机的运维任务。 支持分步骤同时对多个SSH协议资源批量执行多种运维操作，可同时运维操作包括执行命令、执行脚本、传输文件。 新建运维任务 云堡垒机支持自动运维任务功能，用户可按步骤自动执行命令和脚本方式运维多个目标资源，并可设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外，可设置执行周期和时间定期执行任务，并可同时执行多种任务步骤类型，实现多台资源设备自动化运维，提高运维效率。 运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持对Linux主机（SSH协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 运维任务仅能由个人帐户管理，不能被系统内其他用户管理。 前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 运维任务 > 任务列表”，进入运维任务列表页面。 3 单击“新建”，弹出新建运维任务窗口。 4 配置任务基本信息。 运维任务基本信息参数说明 参数 说明 :: 任务名称 自定义的运维任务名称，系统内“任务名称”不能重复。 执行方式 选择运维任务执行的方式，包括“手动执行”、“定时执行”、“周期执行”。 “定时执行”和“周期执行”需同时配置动作执行时间或周期。 手动执行：手动触发执行任务。 定时执行：定期自动触发执行任务。仅执行一次。 周期执行：周期自动触发执行任务。可按周期执行多次。 执行时间 定期执行任务的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期同步，需输入任务执行周期。 可选择每分钟、每小时、每天、每周、每月。 需同时选择“结束时间”，否则将无限期按周期执行任务。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 任务描述 简要描述运维任务信息。 5 单击“下一步”，配置执行帐户或帐户组，选择已创建的SSH协议类型资源账户或帐户组。 配置执行资源账户 6 单击“下一步”，配置任务步骤。 单击“添加任务步骤”，选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。 选择一个或多个任务类型，并配置任务参数。 运维任务步骤数不限制，一个任务可添加多个执行步骤。 7 单击“确定”，返回任务列表页面，查看新建的运维任务。 任务执行完成后，可以下载执行日志，获取任务执行结果。

对于有些网站，源IP无法精准获取。例如：存在未在header中插入“XForwardedFor”字段的Proxy或其他原因，建议使用配置Cookie字段实现用户标识并开启“全局计数”。 攻击案例 竞争对手控制数台主机，与大多普通访客一样，共用同一IP，或通过代理频繁更换源IP，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 说明 “防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 添加CC防护规则 限速模式：选择“源限速”、“用户限速”，根据Cookie键值区分单个Web访问者。 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 阻断页面：可选择“默认设置”或者“自定义”。

操作步骤 1. 登录数据管理服务。 2. 在左侧菜单栏，点击 开发空间>数据对比，进入数据对比工单列表页面。 3. 点击数据对比按钮，打开新建数据对比工单填写界面，工单输入说明如下： 输入内容 说明 源数据库 目前源数据库支持的数据库类型有：MySQL、PostgreSQL。 目标数据库 源数据库实例和目标数据库实例的数据库类型需要相同。 如果重新选择了目标数据库，则下面的对比内容列表则会清空。 并发数 选择并发对比的表数目，建议默认值即可，若调整请用户评估连接数过大带来实例操作性能降低的风险。 默认值为3。 可调整范围为1~5。 对比方式 选择对比方式。 完整对比：表的所有数据行都对比。 抽样对比：需要用户填写抽样比例，范围为0~100，大数据量时建议使用。 注意 抽样对比的对比结果可能会有误差。 对比内容 支持表数据对比。添加对比表的方式有： 点击"添加表"：添加单组表。 点击"快速填充"：多选源数据库中的表，根据同名策略匹配到目标表。默认情况下，字段映射会在工单创建后再进行，如果用户手动修改请点击“配置映射”。 添加对比表之后，系统会在工单创建后进行自动字段映射，如果用户需要手动修改请在工单提交前点击"配置映射"。对比内容展示的每列含义如下： 对比源：源数据库中的表名称。 对比目标：目标数据库中的表名称。 映射关系：源表和目标表对比基准字段。如果未正确配置映射字段，会展示相关信息提示用户修改。 已配置字段（个）："配置映射"详情页中，配置字段映射勾选的个数。 配置映射：打开“配置映射”，用户可勾选需要对比的表字段组合，对比基准字段必须保留一组主键或唯一键，如果字段为主键或唯一键，可以设置为基准或取消基准。 删除：删除该组对比表。 工单说明 可描述工单备注内容。 4.填写完数据对比工单后，点击提交 按钮，在弹出的开始执行弹窗点击确定按钮后即完成工单的提交，进入数据对比工单列表页。 5.在数据对比工单列表页点击对比工单号或详情按钮，可查看对比工单的概括内容，如对比对象的数目、进度条等。 6.如果对比工单状态为“执行中”或“执行完成”，可点击对比结果页面，查询对比内容是否一致，以及它们的DDL和变更SQL。用户可通过复制变更SQL到变更工单或查询窗口执行，也可以直接点击变更SQL弹窗中的“发起变更”按钮跳转到变更工单页，以修复源表和目标表行数据不一致的情况。

产品名称 规格类型 功能适用 系统支持 应用市场 基础版 支持应用管理功能 Windows 应用市场 旗舰版 包含基础版功能，支持应用推送、已装应用上报、应用卸载、应用黑白名单管控、审批流程等功能 Windows 翼飞低代码平台 标准版 提供图形化快速创建包含问卷表单、待办流程、可视化图表等多种服务的企业应用服务，并支持对企业数据进行汇总分析处理和业务动作自定义编排服务 Windows、Ubuntu、CentOS 翼加密 基础版 支持文档类文件的标准强度加密保护 Windows 翼加密 旗舰版 包含基础版功能的基础上，支持更改等级的加密强度算法与国密算法。并且包含密级权限管控、加密隔离组等加密权限管控功能，满足企业内部不同的权限管理需求 Windows 翼共享 共享盘服务端主机 翼共享为企业提供即开即用的共享存储空间。企业可向部门/用户自定义授权分配共享文件夹的访问权限，实现企业内部文件共享 Windows 翼共享 高IO存储 翼共享为企业提供即开即用的共享存储空间。企业可向部门/用户自定义授权分配共享文件夹的访问权限，实现企业内部文件共享 Windows 翼共享 超高IO存储 翼共享为企业提供即开即用的共享存储空间。企业可向部门/用户自定义授权分配共享文件夹的访问权限，实现企业内部文件共享 Windows 翼甲卫士 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 Windows、Ubuntu、CentOS 翼甲卫士 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 Windows、Ubuntu、CentOS 翼察 终端管控—标准版 提供基础安全和管控能力：终端防病毒、终端入侵检测、漏洞基线检测 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 终端管控—增强版 包含标准版功能，支持终端行为监控审计、ATT&CK威胁分析以及与远程接入能力实现安全联动 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 远程接入—标准版 提供基础接入安全防护：身份认证、最小化授权管理、传输通道双向加密防护 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 远程接入—增强版 包含标准版功能，支持办公行为监控审计、与终端管控能力实现安全联动 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 远程接入—连接器 应用资源接入零信任网络 Windows、 国产化系统(kylin、UOS、中科方德)

本节主要介绍使用限制 网络访问使用限制 在使用分布式关系型数据库（简称DRDS）过程中，对于网络访问存在一些使用限制。 用户申请的数据节点、部署应用程序的ECS、DRDS实例必须属于同一个VPC。 当用户需要在自己电脑访问DRDS服务时，需要为DRDS开通EIP服务，然后通过EIP访问DRDS。 MySQL实例使用限制 在使用DRDS过程中，对于MySQL实例存在一些使用限制。 目前支持5.7及8.0系列版本的MySQL实例。 DRDS暂不支持MySQL实例配置SSL连接。 禁止MySQL实例开启区分大小写。 对已经被DRDS关联的MySQL实例进行修改配置等操作时，可能导致使用异常。修改后需要在DRDS的DN管理页面，单击“同步DN信息”，将修改的配置进行同步，保证功能可用性。 不支持的特性和使用限制 不支持的特性 不支持存储过程； 不支持触发器； 不支持视图； 不支持事件； 不支持自定义函数； 不支持外键约束、外键关联； 不支持全文索引和空间函数； 不支持临时表； 不支持 BEGIN…END、LOOP…END LOOP、REPEAT…UNTIL…END REPEAT、WHILE…DO…END WHILE 等复合语句； 不支持类似 IF ，WHILE 等流程控制类语句； 不支持RESET、FLUSH语句； 不支持BINLOG语句； 不支持HANDLER语句； 不支持INSTALL/UNINSTALL PLUGIN语句； 不支持非 ascii/latin1/binary/utf8/utf8mb4 的字符集； 不支持SYS schema； 不支持MySQL追踪优化器； 不支持XProtocol； 不支持CHECKSUM TABLE 语法； 不支持表维护语句，包括ANALYZE/CHECK/CHECKSUM/OPTIMIZE/REPAIR TABLE； 不支持session变量赋值与查询，如set @rowid0;select @rowid:@rowid+1,id from user； 不支持SQL语句中包含单行注释 ' ' 或者多行（块）注释 ' /.../'； 不完整支持系统变量查询，系统变量查询语句返回值为RDS实例相关变量值，而非DRDS引擎内相关变量值。例如select @@autocommit返回的值，并不代表DRDS当前事务状态； 不支持SET Syntax修改全局变量； 不支持PARTITION 语法，建议不要使用partition表； 不支持LOAD XML语句； 不支持的运算符 不支持“:”赋值运算符； 不支持“>”运算符； 不支持“>>”运算符； 暂不支持“ ”运算符； 暂不支持“IS UNKNOWN”表达式； 不支持的函数 DRDS计算层暂不支持如下函数，如果无法确认函数是否能下推到RDS，请不要使用该函数。 不支持XML函数； 不支持ANYVALUE()函数； 不支持ROWCOUNT()函数； 不支持COMPRESS()函数； 不支持SHA()函数； 不支持SHA1()函数； 不支持MD5()函数； 不支持AESENCRYPT()函数； 不支持AESDECRYPT()函数； 不支持JSONOBJECTAGG()聚合函数； 不支持JSONARRAYAGG()聚合函数； 不支持STD()聚合函数； 不支持STDDEV()聚合函数； 不支持STDDEVPOP()聚合函数； 不支持STDDEVSAMP()聚合函数； 不支持VARPOP()聚合函数； 不支持VARSAMP()聚合函数； 不支持VARIANCE()聚合函数； SQL语法使用限制 SELECT 不支持DISTINCTROW; 不支持[HIGHPRIORITY]、[STRAIGHTJOIN]、 [SQLSMALLRESULT]、 [SQLBIGRESULT] 、[SQLBUFFERRESULT] 、[SQLNOCACHE] [SQLCALCFOUNDROWS]等选项放在DRDS实例下面。 不支持SELECT ... GROUP BY ... WITH ROLLUP语句； 不支持SELECT ... ORDER BY ... WITH ROLLUP语句； 不支持WITH语句； 不支持窗口函数； SELECT FOR UPDATE仅支持简单查询，不支持join、group by、order by、limit等语句。用于修饰FOR UPDATE的[NOWAIT SKIP LOCKED]选项对于DRDS无效； 对于UNION中的每个SELECT, DRDS暂不支持使用多个同名的列。如下SQL的SELECT中存在重复的列名。 SELECT id, id, name FROM t1 UNION SELECT pk, pk, name FROM t2； 排序与Limit LIMIT/OFFSET参数支持范围为02147483647； 聚合 不支持group by语句后添加asc/desc函数来实现排序语义； 说明 DRDS自动忽略group by后的asc/desc关键字。MySQL 8.0.13以下版本支持group by后添加asc/desc函数来实现排序语义，8.0.13及以上版本已废弃该用法，使用时会报语法错误。推荐使用order by语句来保证排序语义。 子查询 不支持孙子和爷爷存在关联关系的子查询； 不支持HAVING子句中的子查询，JOIN ON 条件中的子查询； Derived Tables 必须拥有一个别名； Derived Tables 不可以成为 Correlated Subqueries，即不能包含子查询外部表的引用； LOAD DATA语法限制 ESCAPED BY只支持''； 不支持PARTITION (partitionname [, partitionname] ...)； 不支持LINES STARTING BY 'string'； INSERT 和 REPLACE 不支持INSERT DELAYED...； 不支持不包含拆分字段的INSERT； 暂不支持PARTITION语法，建议不要使用partition表； INSERT操作不支持“datetime”字段取值1582年及之前年份； INSERT不支持ON DUPLICATE KEY UPDATE 关联子查询列； INSERT INTO t1(a, b) SELECT FROM(SELECT c, d FROM t2 UNION SELECT e, f FROM t3) AS dt ON DUPLICATE KEY UPDATE b b + c; 示例ON DUPLICATE KEY UPDATE语句中引用了子查询列c。 INSERT和REPLACE不支持拆分键值为DEFAULT关键字； UPDATE和DELETE 不支持更新拆分键值为DEFAULT的关键字； 不支持在一个语句中对同一字段重复更新； 不支持关联更新拆分键； UPDATE tbl1 a,tbl2 b set a.nameb.name where a.idb.id; 示例中“name”为tbl1的拆分键。 不支持通过INSERT ON DUPLICATE KEY UPDATE更新拆分键； 不支持自关联更新； UPDATE tbl1 a,tbl1 b set a.tinyblobcolconcat(b.tinyblobcol,'aaabbb'); 不支持不带关联条件的关联更新； UPDATE tbl3,tbl4 SET tbl3.varcharcol'dsgfdg'; 关联更新不支持在目标列的赋值语句或表达式中引用其它目标列； UPDATE tbl1 a,tbl2 b SET a.nameconcat(b.name,'aaaa'),b.nameconcat(a.name,'bbbb') ON a.idb.id； 对拆分字段的更新，将转换成delete+insert两个阶段操作，操作中间不保证其它涉及到这张表中的拆分字段值的查询语句的一致性； DDL 库名不可修改，拆分字段的名称和类型都不可以变更； 不支持通过SQL直接创建、删除逻辑库； 不支持FULLTEXT索引； 不支持 CREATE TABLE tblName AS SELECT stmt 语法； 不支持 CREATE TABLE tblName LIKE stmt 语法； 不支持单条语句中DROP多张表； DDL语句不支持多语句； 广播表、拆分表不支持创建外键； 不支持创建以“drds”为前缀的表； 不支持创建TEMPOPARY类型的拆分表、广播表； create table中的unique key只能保证物理表内唯一，无法保证全局唯一； 索引 不支持全局二级索引； 不支持全局唯一索引, unique keyprimary key无法保证全局唯一； 表回收站 不支持hint； 不支持按逻辑库清除回收表； 不支持按逻辑表清除回收表； 表恢复后不保证全局唯一序列无缝衔接递增，只确保递增； 数据不支持分片变更； 不支持无限期保留副本； 不支持恢复到任意表名； 不支持不限量副本数； 事务 不Savepoints； 不支持XA语法（DRDS内部已经通过XA实现了分布式事务，不需要用户层再处理这个语义）； 不支持自定义事务隔离级别，目前DRDS只支持READ COMMITTED隔离级别。考虑到兼容性因素，对于设置数据库隔离级别的语句（如SET GLOBAL TRANSACTION ISOLATION LEVEL REPEATABLE READ），DRDS不会报错，但会忽略对事务隔离级别的修改； 不支持设置事务为只读（START TRANSACTION READ ONLY），考虑到兼容性因素，DRDS会将只读事务的开启自动转换为开启读写事务； 权限 不支持列级权限； 不支持子程序层级权限； 数据库管理语句 不支持SHOW TRIGGERS语法； 不支持SHOW PROFILES、SHOW ERRORS、show warnings等多数运维SHOW语句； 下列的SHOW指令会随机发到某个物理分片，每个物理分片如果在不同的RDS for MySQL实例上，查得的变量或者表信息可能不同： SHOW TABLE STATUS； SHOW VARIABLES Syntax； SHOW WARNINGS Syntax 不支持 LIMIT/COUNT 的组合； SHOW ERRORS Syntax 不支持 LIMIT/COUNT 的组合； INFORMATIONSCHEMA 仅支持SCHEMATA、TABLES、COLUMNS、STATISTICS、PARTITIONS的简单查询（没有子查询、JOIN、聚合函数、ORDER BY、 LIMIT);

本小节介绍微隔离防火墙基本功能说明。 1. 为了更好的展示及说明业务拓扑的功能及操作，以下使用已包含多台工作负载的微隔离防火墙进行说明。 Demo界面如下： 2. 页面左上角的 标识，点击后会弹出平台功能列表，如下图所示，点击各功能标签可进入各功能页面。 3. 页面上部的搜索框可对业务拓扑页面的工作组进行筛选。支持按工作组名称及工作组（位置，应用，环境）标签进行筛选。 4. 拓扑图左上角第二个搜索框为工作负载搜索框，支持IP、主机名、角色标签匹配，选择某工作负载后点击，即可在拓扑图中高亮显示此工作负载。 5. 点击页面右侧的 ，可以切换当前用户的其他虚拟中心。 6. 界面右侧的标志，为发布提示标志，当平台的某些操作会影响安全策略时，该图标会显示操作的数量 。点击该图标可进入发布审阅界面，确认发布后，此次操作造成的策略变动会同步到工作负载上。 7. 首界面拓扑右上角的图例 标志，点击后可查看业务拓扑界面元素说明。 未被策略允许：未配置合规的安全策略。 被策略允许：已配置合规的安全策略。 8. 图例标识右侧的过滤 标识，点击后，可对拓扑中的连接线及工作负载进行过滤。 9. 最右侧的标识可对界面进行全屏展示，以及标识可以放大或缩小拓扑。标识可以使首页拓扑页面的工作组恢复初始排布序列，标识可以对视图参数进行设置。 10. 右下角为“鹰眼”图标，拖动“鹰眼”中的灰框可以改变拓扑的位置，便于在工作组较多时快速查看。

参数 说明 计费模式 包年/包月、按需计费两种模式，参考 计费模式 。 部署模式 标准、云原生两种模式，标准：基于传统管控架构部署。云原生：基于云原生容器平台部署，更灵活、扩容能力更强。 版本类型 基础版、增强版两种版本类型。 实例类型 主备、单机、Cluster主备、Cluster单机、读写分离等实例类型。具体实例类型说明可参考 实例类型 。 版本号 实例内核的版本号。 主可用区 主节点所在的可用区。 备可用区 备节点所在的可用区。当资源池包含3个或更多可用区时，才支持备可用区选项。 CPU架构 X86计算、ARM计算。 主机类型 主机类型信息，包含通用型、计算增强型等。 规格 缓存内存大小。 分片规格 缓存分片内存大小。 分片数 Cluster集群或Proxy主备集群自定义分片数。 副本数 主备、Cluster主备、读写分离可自定义副本数，默认2副本。 存储类型 实例存储类型，包含高IO、超高IO等。 规格信息 最终选择的实例规格信息，包含总容量、分片数、分片容量、副本数、最大连接数、基准/最大带宽。 虚拟私有云 点击下拉框可选择已创建的虚拟私有云，点击右侧的刷新按钮可刷新下拉框列表，点击“创建虚拟私有云”可进入虚拟私有云管理页面新增虚拟私有云。 所在子网 点击下拉框可选择当前虚拟私有云下已创建的子网，点击右侧的刷新按钮可刷新下拉框列表，点击“创建所在子网”可进入子网页面新增子网。 安全组 点击安全组下拉框可选择当前VPC下已创建的安全组，系统会为每个用户默认创建一个安全组。安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 企业项目 下拉选择IAM维护的企业项目，若没有找到需要的企业项目，可以跳转到 实例名称 系统生成默认缓存实例名称（用户可修改）。 密码 缓存实例密码。 确认密码 再次确认密码，与上述密码一致。 购买时长 购买实例的时长，计费模式为包年/包月时生效。 自动续期 勾选自动续订后方框，可在包年/包月实例到期后自动续期，计费模式为包年/包月时生效。 实例标签 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、部署环境、操作系统、开发团队等）的标签，实现资源分类。 就近访问 Prox主备集群以及读写分离实例部署在多个可用区时有效。（说明：该功能目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。）

您可以通过如下两种方法准备模板包： 自定义模板包 步骤 1 根据需求自定义设置模板包内容。 制作模板包的方法，请参见 使用Kubernetes官方模板包 步骤 1 访问 模板包规范 以下以redis为例，在准备redis模板包时根据模板包规范制作模板包。 命名要求 模板包命名格式为：工作负载名称主版本号.次版本号.修订号.tgz，如redis0.4.2.tgz。 说明：模板包的版本号需遵循[]( " ")语义化版本规则。 主版本号、次版本号为必选，修订号为可选。 版本号的长度不能超过64个字符。 主版本号、次版本号的数值为整数，均需要≥0，且≤99。 修订号由数字、大小写英文字母即连接符组成，即[09AZaz]。 目录结构 模板包的目录结构如下所示： redis/ templates/ values.yaml README.md Chart.yaml .helmignore 目录说明如下表所示，带的为必选项： 表模板包目录说明 参数 参数说明 templates 用于存放所有的template（模板）文件。 values.yaml 用于描述template文件所需的配置参数。 须知 定义template文件配置参数时，请注意此处定义的“镜像地址”务必和容器镜像仓库中对应的镜像地址保持一致。否则创建工作负载会异常，提示镜像拉取失败。 镜像地址获取方法如下：在CCE控制台，单击左侧导航栏的“镜像仓库”，进入容器镜像服务控制台。在“我的镜像 > 自有镜像”中，单击已上传镜像的名称，在“镜像版本 ”页签的“下载指令”栏中即可获取镜像地址，单击按钮即可复制该指令。 README.md 一个markdown文件，包括： 描述Chart提供的工作负载或服务。 运行Chart的前提。 解释values.yaml文件中的配置。 安装和配置Chart的相关信息。 Chart.yaml 模板的基本信息说明。 .helmignore 设定在工作负载安装时不需要读取templates的某些文件或数据。

参数 参数 描述 n LUNNAME 或 name LUNNAME 源卷名称。 t TARGETNAME 或 target TARGETNAME 指定还原卷的iSCSI target名称。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 说明 还原卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target。 priority SERVERID & 指定卷主备分布优先级的服务器ID（仅集群版支持），系统会根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 前置条件：iSCSI target名称已经存在，且指定的服务器必须是iSCSI target所在的服务器。 autofailback AUTOFAILBACK 是否根据指定的卷主备分布优先级自动进行主备切换（仅集群版支持），即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 默认值为Enabled。 pool POOL 指定存储池（仅集群版支持），表示最终存储池，卷数据最终落在该存储池内。默认使用集群的基础存储池。 cachepool CACHEPOOL 指定缓存存储池（仅集群版支持）。如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 注意 存储池与缓存存储池不能是同一个存储池。 uuid UUID 源卷的唯一标识码。 a HIGHAVAILABILITY 或 ha HIGHAVAILABILITY 指定还原卷的高可用类型（仅集群版支持）： 取值： ActiveStandby（as）：启用主备，该卷关联对应target下的所有IQN。 Disabled（off）：不启用主备，该卷关联对应target下的1个IQN。客户端连接该类型的卷的方法可以参见Windows 客户端 – 单机版、Linux 客户端 – 单机版。 默认值为源卷的高可用类型。 c LOCALSTORAGECLASS 或 localstorageclass LOCALSTORAGECLASS 设置还原卷的冗余模式（仅集群版支持）。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的冗余模式。 说明 以下场景均为集群可用的前提下： 还原EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 还原副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 minreplica MINREPLICA 设置还原卷的最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。如果未设置还原卷的最小副本数，默认值为源卷的最小副本数。 ecfragmentsize ECFRAGEMENTSIZE 设置还原卷的纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 redundancyoverlap REDUNDANCYOVERLAP 指定还原卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定了还原卷的折叠副本数，必须指定还原卷的冗余模式。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[1, N+M]。如果未设置还原卷的折叠副本数，默认值为源卷的折叠副本数。 w WRITEPOLICY 或 writepolicy WRITEPOLICY 设置还原卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为源卷的写策略。 P PATH 或 path PATH 指定还原卷存储数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 如果还原卷时不指定数据目录，使用服务器设置的默认数据目录。 m STORAGEMODE 或 mode STORAGEMODE 设置还原卷的存储类型： Cache：缓存模式，本地保留部分热数据，全部数据异步存储到OOS中。 Storage：存储模式，本地保留全部数据，并异步存储到OOS中。 存储类型默认为源卷的存储类型。 cloudprovider CLOUDPROVIDER 指定还原卷的对象存储服务名称： OOS：天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 默认值为OOS。 说明 源卷和还原卷必须使用相同的对象存储服务。 B BUCKETNAME 或 bucket BUCKETNAME 源卷所在存储桶的名称。 注意 请勿开启Bucket的生命周期设定和合规保留。 X PREFIX 或 prefix PREFIX 源卷的前缀名称。如果源卷未指定前缀，则此处不设置。 取值：字符串形式，长度范围是1~256。 A ACCESSKEY 或 ak ACCESSKEY 源卷的AccessKeyID。 S SECRETKEY 或 sk SECRETKEY 源卷的SecretAccessKey。 C CLOUDSTORAGECLASS 或 cloudstorageclass CLOUDSTORAGECLASS 设置还原卷上传数据至对象存储的存储类型： STANDARD：标准存储。 STANDARDIA：低频访问存储。 默认为源卷上传数据至对象存储的存储类型。 E ENDPOINT 或 endpoint ENDPOINT 源卷的Endpoint。 注意 如果仅输入域名将会使用HTTPS协议进行访问。 signversion VERSION 指定还原卷上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 默认值为v2。 region REGION 还原卷的region，即Endpoint资源池所在区域。具体region详见OOS Endpoint和区域。 V4签名时，此项必填。 M CLOUDCOMPRESSION 或 cloudcompression CLOUDCOMPRESSION 设置还原卷是否压缩数据上传至对象存储： Enabled（on）：压缩数据上传至对象存储。 Disabled（off）：不压缩数据上传至对象存储。 默认值为源卷的设置。

本节主要介绍卷管理的错误码。 HTTP status 错误码 错误信息 描述 400 AccessCloudFailed Failed to access cloud. Please check your network or contact your software vendor. 无法连接至云，请检查网络后重试或联系软件供应商。 400 BucketEnableLifecycle Can not use this bucket because the life cycle was enabled. Please use another bucket. 不能使用该Bucket，因为该Bucket开启了生命周期。 400 BucketEnableObjectLock Can not use this bucket because the object lock configuration was enabled. Please use another bucket. 不能使用该Bucket，因为该Bucket开启了合规保留。 400 CanNotDeleteCloudData The cloud data for LUN lunName can not be deleted. The LUN has been recoverd. 无法删除云上数据，该卷已经被其他集群还原。 400 CanNotModifyEndpoint Can not modify endpoint for LUN lunname. 无法修改卷的Endpoint。 400 ExceedMaxCapacity Value value at 'capacity' failed to satisfy constraint: Argument must be less than value. 存储容量非法。 400 ExceedThreshold The item of operation cannot exceed value. 超出了系统允许的最大个数，无法执行该操作。 400 FailedOperateLUN Failed to operation LUN, reason 卷操作执行失败。 400 HighAvailabilityNotAllowed The 'high availability' is invalid for standalone mode of HBlock. 单机版本HBlock不支持设置卷的高可用模式。 400 InvalidBucketName The bucket name bucketName is invalid. Bucket名称无效。 400 InvalidDiskPath The disk paths do not exist: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The available disk space must be greater than or equal to 1 GiB for each disk path: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The disk paths can not access: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The disk paths must be directory: serverIP :diskPaths [,diskPaths ...][; serverIP :diskPaths [,diskPaths...]]. The disk paths include incompatible data: serverIP :diskPaths [,diskPaths ...] [; serverIP :diskPaths [,diskPaths...]]. The disk paths include unsupported symbols： serverIP :diskPaths [,diskPaths ...] [; serverIP :diskPaths [,diskPaths...]]. The disk paths is already on the server and the status is removing: serverIP :diskPaths [,diskPaths...] 因数据目录有问题导致操作失败。 400 InvalidEndpoint The endpoint endpoint is invalid. Endpoint无效。 400 InvalidEnumValue Value value at 'argument ' failed to satisfy constraint: Argument must satisfy enum value set: [value1, value2... ] 枚举参数不合法。 400 InvalidFilterEnum Value value at 'filter' failed to satisfy constraint: Argument can only contain: [lunName, status, capacity, targetName]. Filter参数不正确。 400 InvalidHighAvailability Value value at 'high availability' failed to satisfy constraint: Argument must satisfy enum value set: [Disabled, ActiveStandby]. 高可用模式取值无效。 400 InvalidLUNName Value value at 'lun name' failed to satisfy constraint: Argument must contain only letters, digits, or hyphens (), and does not exceed 16 characters, must begin with a letter or digit. 卷名称不正确。 400 InvalidMinReplicaNumber Argument 'min replica' failed to satisfy constraint: argument range is [1, copy number] for replica mode and [N, N+M] for EC N+M mode. 最小副本数取值范围为：副本卷为[1, 副本数]，EC卷为[N, N+M]。 400 InvalidPathStatus The path path status is 'status', the request is invalid. 数据目录状态不正确，无法执行操作。 400 InvalidPositiveInteger Value value at 'number' failed to satisfy constraint: Argument must be positive integer. 值必须为正整数。 400 InvalidPrefix Value value at 'prefix' failed to satisfy constraint: Argument must not exceed 256 characters. prefix无效。 400 InvalidRange Value value at 'range' failed to satisfy constraint: Argument must satisfy pattern 'ij', where i, j are positive integers, i is less than j, and ji M and N + M < 128. 副本模式与当前实际不匹配，服务器个数不够。 400 InvalidStorageMode Value valueat 'storage mode' failed to satisfy constraint: Argument must satisfy enum value set: [Local, Cache, Storage]. 存储模式无效。 400 InvalidTargetName Value value at 'target name' failed to satisfy constraint: Argument must contain only lowercase letters, digits, dots (.) or hyphens (), and does not exceed 16 characters, must begin with a letter or digit. target名称不正确。 400 InvalidWritePolicy Value value at 'write policy' failed to satisfy constraint: Argument must satisfy enum value set: [WriteBack, WriteThrough, WriteAround]. 写策略非法。 400 LessThanCurrentCapacity Value value at 'capacity' failed to satisfy constraint: Argument must be greater than value. 扩容卷时新容量必须大于当前容量。 400 LessThanMinCapacity Value value at 'capacity' failed to satisfy constraint: Argument must be greater than or equal to 1 GiB. 容量不能小于1 GiB。 400 LUNDuplicatedCatalog Duplicated with the existing LUN catalog. 与已有卷的数据目录重复。 400 MissingRelevantArgument Value null at 'argument1' failed to satisfy constraint: Argument must not be null when 'argument2' has value. 参数1和参数2必须同时设置。 400 NoSuchStoragePool The storage pool with name poolName does not exist. 存储池不存在。 400 OnlyHALUNAllowed 'operation' is not supported for LUN luname which is not configured for high availability. 单控卷不支持该操作。 400 SamePool Cannot use the same storage pool poolName. 不能使用名字相同的存储池。 400 ServerNotMatchTarget The server serverid does not match the location of target targetname. 服务器ID和target名称不对应。 400 SingleLUNforAffinityPriority Only one LUN is supported for allocation when a specific server list is designated as the affinity priority. 仅支持针对单个LUN设置主备优先级列表。 400 SignVersionNotAllowed The sign version 'signVersion ' is not supported by provider 'provider'. 该对象存储服务不支持这种类型的签名，请重新选择。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 StorageClassNotAllowed The 'local storage class' is invalid for standalone mode of HBlock. 单机版HBlock不支持设置副本模式。 400 SwitchLUNNotAllowed Failed to switch LUN. The LUN does not support high availability. 单控卷不支持卷的主备切换。 400 TooManyLUNs The number of LUNs in a target cannot exceed 256. 单个target中的卷不能超过256个。 403 CloudAccessDenied Failed to authenticate because of the privilege of access key and secret key. Please use another one. 密钥权限不足，请重新输入Accesskey和SecretKey。 403 CloudAccountAbnormal Your cloud account has been frozen due to arrears or violations, please resolve it and try again. 云账户状态异常，可能由于欠费或违规被冻结，请解决后重试。 403 CloudRequestTimeTooSkewed The difference between the server's time and cloud time is too large. 服务器时间和云的时间相差较大。请同步HBlock服务器与云上的系统时间。 403 GetLifecycleDenied User is not authorized to perform: GetLifecycleConfiguration on resource:bucketName. 无权限获得存储桶的生命周期配置，请更新AK/SK后重试。 403 GetObjectLockDenied User is not authorized to perform: GetBucketObjectLockConfiguration on resource:bucketName. 无权限获得存储桶的合规保留配置，请更新AK/SK后重试。 404 NoSuchBackupConfiguration Backup is not configured. 没有配置备份到OOS。 404 NoSuchBucket The bucket with name bucketName does not exist. Bucket不存在。 404 NoSuchLicense The HBlock license does not exist. 没有软件许可证。 404 NoSuchLUN The LUN with name lunName does not exist. 卷不存在。 404 NoSuchLUNUuid The LUN with name lunName and uuid uuid does not exist. 卷标识不存在，无法执行操作。 404 NoSuchLUNUuidConfiguration Configuration file of the LUN with name lunName and uuid uuiddoes not exist. 指定的卷标识下缺失配置文件，无法执行操作。 404 NoSuchPath The path path does not exist in the HBlock. 路径不存在。 409 CloneLUNExist There are clone LUNs referencing Name. Please delete or flatten all these clone LUNs and try again. 存在克隆卷，无法执行该操作，请删除克隆卷或者断开链接后重试。 409 LUNAlreadyExists The LUN with name lunName already exists. 卷已经存在。 409 DeleteLUNEnabled Cannot delete it because the iSCSI LUN is enabled, please disable first. 不能删除正在启用的卷。 409 InvalidSnapshotStatus The status of snapshot name is 'status', the request is invalid. 快照的状态不对，请求无效。 409 InvalidTargetIQNsStatus The request is invalid. Ensure the number of target IQNs whose status is neither unavailable nor offline is greater than or equal to 2. 操作失败，target IQNs状态异常，请检查后重试。 409 LUNRollbacking The LUN lunname is using snapshot snapshotname for rollback, the request is invalid. 正在使用快回滚，无法执行操作。 409 SnapshotExists The LUN lunname has snapshot or consistency snapshot. You can use force delete. When using this option, all snapshots of the LUN, including LUN snapshots within consistency snapshots, will be deleted together. 卷存在快照，只能使用强制删除。请注意，强制删除会一同删除快照和一致性快照中的卷快照。 409 LUNDataResidue Data residue is detected for LUN lunname on path path. Please clean up promptly and try again. 卷数据残留，请及时清理。 500 CloudInternalError Cloud encountered an internal error. Please try again. 云内部错误，请重试。

规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 云硬盘基础带宽/突发带宽（Gbps） 云硬盘最大IOPS（万） 虚拟化类型 c7.large.2 2 4 4/0.8 40 50 2 2 16 1.5/6 16 基于QingTian架构的极简虚拟化 c7.xlarge.2 4 8 8/1.6 80 50 2 3 32 2/6 16 基于QingTian架构的极简虚拟化 c7.2xlarge.2 8 16 15/3 150 100 4 4 64 3/6 16 基于QingTian架构的极简虚拟化 c7.3xlarge.2 12 24 17/5 200 150 4 6 96 4/6 16 基于QingTian架构的极简虚拟化 c7.4xlarge.2 16 32 20/6 280 150 8 8 128 5/6 16 基于QingTian架构的极简虚拟化 c7.6xlarge.2 24 48 25/9 400 200 8 8 192 6/无 16 基于QingTian架构的极简虚拟化 c7.8xlarge.2 32 64 30/12 550 300 16 8 256 8/无 16 基于QingTian架构的极简虚拟化 c7.12xlarge.2 48 96 35/18 750 400 16 8 256 10/无 16 基于QingTian架构的极简虚拟化 c7.16xlarge.2 64 128 36/24 1000 500 28 8 256 16/无 16 基于QingTian架构的极简虚拟化 c7.24xlarge.2 96 192 40/36 1100 800 32 8 256 20/无 22.5 基于QingTian架构的极简虚拟化 c7.32xlarge.2 128 256 42/40 1200 1000 32 8 256 24/无 30 基于QingTian架构的极简虚拟化 c7.large.4 2 8 4/0.8 40 50 2 2 16 1.5/6 16 基于QingTian架构的极简虚拟化 c7.xlarge.4 4 16 8/1.6 80 50 2 3 32 2/6 16 基于QingTian架构的极简虚拟化 c7.2xlarge.4 8 32 15/3 150 100 4 4 64 3/6 16 基于QingTian架构的极简虚拟化 c7.3xlarge.4 12 48 17/5 200 150 4 6 96 4/6 16 基于QingTian架构的极简虚拟化 c7.4xlarge.4 16 64 20/6 280 150 8 8 128 5/6 16 基于QingTian架构的极简虚拟化 c7.6xlarge.4 24 96 25/9 400 200 8 8 192 6/无 16 基于QingTian架构的极简虚拟化 c7.8xlarge.4 32 128 30/12 550 300 16 8 256 8/无 16 基于QingTian架构的极简虚拟化 c7.12xlarge.4 48 192 35/18 750 400 16 8 256 10/无 16 基于QingTian架构的极简虚拟化 c7.16xlarge.4 64 256 36/24 1000 500 28 8 256 16/无 16 基于QingTian架构的极简虚拟化 c7.24xlarge.4 96 384 40/36 1100 800 32 8 256 20/无 22.5 基于QingTian架构的极简虚拟化 c7.32xlarge.4 128 512 42/40 1200 1000 32 8 256 24/无 30 基于QingTian架构的极简虚拟化

规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 云硬盘基础带宽/突发带宽（Gbps） 虚拟化类型 c7t.large.2 2 4 10/1.28 80 50 2 2 16 1.5/6 基于QingTian架构的极简虚拟化 c7t.xlarge.2 4 8 16/2.56 150 50 2 3 32 2/6 基于QingTian架构的极简虚拟化 c7t.2xlarge.2 8 16 20/4 200 100 4 4 64 3/6 基于QingTian架构的极简虚拟化 c7t.3xlarge.2 12 24 34/6.4 300 150 4 6 96 4/6 基于QingTian架构的极简虚拟化 c7t.4xlarge.2 16 32 40/8 400 150 8 8 128 5/6 基于QingTian架构的极简虚拟化 c7t.6xlarge.2 24 48 50/14.4 600 200 8 8 192 6/无 基于QingTian架构的极简虚拟化 c7t.8xlarge.2 32 64 60/16 800 300 16 8 256 8/无 基于QingTian架构的极简虚拟化 c7t.12xlarge.2 48 96 70/28.8 1200 400 16 8 256 10/无 基于QingTian架构的极简虚拟化 c7t.16xlarge.2 64 128 72/32 1500 500 28 8 256 16/无 基于QingTian架构的极简虚拟化 c7t.24xlarge.2 96 192 80/40 2400 800 32 8 256 20/无 基于QingTian架构的极简虚拟化 c7t.32xlarge.2 128 256 90/48 3000 1000 32 8 256 24/无 基于QingTian架构的极简虚拟化 c7t.large.4 2 8 10/1.28 80 50 2 2 16 1.5/6 基于QingTian架构的极简虚拟化 c7t.xlarge.4 4 16 16/2.56 150 50 2 3 32 2/6 基于QingTian架构的极简虚拟化 c7t.2xlarge.4 8 32 20/4 200 100 4 4 64 3/6 基于QingTian架构的极简虚拟化 c7t.3xlarge.4 12 48 34/6.4 300 150 4 6 96 4/6 基于QingTian架构的极简虚拟化 c7t.4xlarge.4 16 64 40/8 400 150 8 8 128 5/6 基于QingTian架构的极简虚拟化 c7t.6xlarge.4 24 96 50/14.4 600 200 8 8 192 6/无 基于QingTian架构的极简虚拟化 c7t.8xlarge.4 32 128 60/16 800 300 16 8 256 8/无 基于QingTian架构的极简虚拟化 c7t.12xlarge.4 48 192 70/28.8 1200 400 16 8 256 10/无 基于QingTian架构的极简虚拟化 c7t.16xlarge.4 64 256 72/32 1500 500 28 8 256 16/无 基于QingTian架构的极简虚拟化 c7t.24xlarge.4 96 384 80/40 2400 800 32 8 256 20/无 基于QingTian架构的极简虚拟化 c7t.32xlarge.4 128 512 90/48 3000 1000 32 8 256 24/无 基于QingTian架构的极简虚拟化

说明：本章节会介绍如何创建数据库只读实例 操作场景 只读实例用于增强主实例的读能力，减轻主实例负载。 关系型数据库单实例或主备实例创建成功后，您可根据业务需要，创建只读实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“创建只读”，进入“服务选型”页面。 步骤 5 您也可在实例的“基本信息”页面，单击实例拓扑图中，主实例下方的添加按钮，创建只读实例。 步骤 6 在“服务选型”页面，填选实例相关信息后，单击“立即创建”。 表1基本信息 参数 描述 当前区域 只读实例默认与主实例在同一区域。 实例名称 实例名称的长度在4~64个字符之间，必须以字母开头，可包含大写字母、小写字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 默认与主实例的数据库引擎一致，不可更改。 数据库版本 默认与主实例的数据库版本一致，不可更改。 可用区 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主实例和只读实例，只读实例的选择和主实例可用区对应情况： 相同，主实例和只读实例会部署在同一个可用区。 不同，主实例和只读实例会部署在不同的可用区，提高可靠性。 表2规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。 创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 只读实例的存储空间大小默认与主实例一致。 表3网络 参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。 步骤 7 在“规格确认”页面，进行信息确认。 如果需要重新选择，单击“上一步”，回到服务选型页面修改基本信息。 信息确认无误，单击“提交”，下发新增只读实例请求。 步骤 8 只读实例创建成功后，您可以对其进行查看和管理。 管理只读实例操作，请参见管理只读实例。 步骤 9 您可以通过“任务中心”查看详细进度和结果。

参数 参数 描述 n LUNNAME 或name LUNNAME 指定克隆卷名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 s SNAPSHOTNAME 或snapshot SNAPSHOTNAME 指定克隆卷关联的快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 t TARGETNAME 或 target TARGETNAME 指定克隆卷关联的iSCSI target名称，可以跟源卷的iSCSI target不同。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 说明 创建卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 p CAPACITY 或 capacity CAPACITY 指定克隆卷的容量。 取值：整数形式，数字后面可以输入单位简写G/g、T/t或P/p，分别代表GiB、TiB、PiB，如果不输入，默认为GiB。 如果单位是GiB，取值为[1, 1048576]。 如果单位是TiB，取值为[1, 1024]。 如果单位是PiB，取值为1。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 priority SERVERID & 指定克隆卷主备分布优先级的服务器ID（仅集群版支持），系统会根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 前置条件：iSCSI target名称已经存在，且指定的服务器必须是iSCSI target所在的服务器。 autofailback AUTOFAILBACK 是否根据指定的克隆卷主备分布优先级自动进行主备切换（仅集群版支持），即针对克隆卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 默认值为Enabled。 pool POOL 指定存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 cachepool CACHEPOOL 指定缓存存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 a HIGHAVAILABILITY或 ha HIGHAVAILABILITY 指定克隆卷的高可用类型（仅集群版支持）： 取值： ActiveStandby（as）：启用主备，该卷关联对应target下的所有IQN。 Disabled（off）：不启用主备，该卷关联对应target下的1个IQN。客户端连接该类型的卷的方法可以参见Windows 客户端–单机版、Linux 客户端 – 单机版。 默认值为源卷的高可用类型。 c LOCALSTORAGECLASS 或 localstorageclass LOCALSTORAGECLASS 指定克隆卷的冗余模式（仅集群版支持）。 注意 如果设置了克隆卷的minreplica MINREPLICA 或redundancyoverlap REDUNDANCYOVERLAP，则必须同时指定该参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N +M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的卷冗余模式。 说明 以下场景均为集群可用的前提下： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 minreplica MINREPLICA 指定克隆卷的最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 注意 如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的最小副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 redundancyoverlap REDUNDANCYOVERLAP 指定克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的折叠副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 ecfragmentsize ECFRAGEMENTSIZE 指定克隆卷的纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 o SECTORSIZE 或 sectorsize SECTORSIZE 指定克隆卷的扇区大小。 取值：512、4096，单位是bytes。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4096；单次I/O操作的数据大小接近512 bytes，则推荐选择512。如果对接VMware等虚拟化平台，则推荐选择512 bytes。 w WRITEPOLICY 或 writepolicy WRITEPOLICY 克隆卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 P PATH 或 path PATH 指定存储克隆卷数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 如果创建克隆卷时不指定数据目录，默认与源卷配置保持一致。

本节主要介绍安全编排的定义和相关概念。 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事件的高效、自动化响应处置。 安全编排的主要功能如下： 剧本管理：内置自动响应的剧本，支持按需定义扩展。 流程管理：绘制流程图响应剧本触发。 实例管理：支持对运行的实例进行监控管理及记录查看。 安全事件自动化响应：对需要处理的安全事件以及可疑事件，通过安全编排实现自动化处置及事件调查。 基本概念说明 在安全编排中，剧本和流程是两个核心元素，它们相互关联、依赖，并协同工作以确保安全运营的有效性和高效性。 剧本 剧本（Playbook）：是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程，剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 一个剧本中有且仅有一个流程。 流程 流程（Workflow）：是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本与流程的联系 剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 剧本与流程的区别 剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例 以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

参数 描述 n TARGETNAME 或 name TARGETNAME iSCSI target名称。 a ACTION 或 action ACTION 设置iSCSI target的允许访问列表。 取值： add：添加一组或多组允许访问列表。 delete：删除一组或多组允许访问列表。 replace：替换现有允许访问列表。 q IQNNAME &<1 n > 或 iqn IQNNAME &<1 n > 指定target IQN名称。可以指定多个target IQN名称，以英文逗号分隔。 如果指定了target IQN名称，则代表对target下指定的IQN设置访问权限；如果未指定target IQN名称，则代表对target下所有IQN进行设置访问权限。 initiator [ IP &<1 n >][: NAME &<1 n > ] 设置iSCSI发起方（initiator）允许访问列表。可以设置多组initiator允许访问列表，组与组之间以空格分隔，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。 说明 已挂载的卷，即使其客户端和target后续被移出允许访问列表，仍保持读写能力；断开连接后，则禁止允许访问列表外的客户端再次挂载。 IP&<1 n >：根据initiator IP地址设置iSCSI发起方的允许访问列表，支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 NAME &<1 n >：根据initiator名称设置iSCSI发起方的允许访问列表。取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 说明 Initiator和target至少指定一个。 target [ IP &<1 n >][: NIC &<1 n > ] 设置目标端（target）的允许访问列表。可以设置多组target允许访问列表，组与组之间以空格分隔，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和NIC名称，二者为“与”的关系。 IP &<1 n >：通过target端IP进行设置targe允许访问列表，表示只允许通过target端的指定IP访问target。支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 NIC &<1 n >：通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。 说明 Initiator和target至少指定一个。 allowfile ALLOWFILE 允许访问列表文件，包含iSCSI发起方（initiator）允许访问列表和目标端（target）允许访问列表。 允许访问列表文件为符合UTF8编码格式的JSON文件，详见 。 说明 如果输入了允许访问列表文件，则会忽略参数 initiator 和 target。

本文主要介绍采集常见错误类型。 以下为常见的错误类型以及对应的解决方法说明，可供参考。 LTS 错误码 错误说明 英文说明 解决方法 LTS1400 数据包从产生到发送的过程中等待的时间较长 The waiting time for data packets from generation to transmission is relatively long 检查发送是否正常，或是否存在数据量超过默认配置、配额不足或网络存在问题。 LTS1401 无权限读取指定文件 No permission to read the specified file 检查lmtagent的启动账号，建议以root方式启动。 切要采集的日志目录具备读权限 LTS1402 行首正则与日志行首匹配失败，无法对日志做分行 Failed to match the beginning of the line with the log entry's starting pattern, unable to split the log into lines 检查行首正则正确性。 若是单行日志可以配置为.。 LTS1403 完整正则模式下，日志内容和正则表达式不匹配 No match found between log content and regular expression in full regex mode 查看错误详情，重新调整正则规则适配日志原文。 LTS1404 JSON、分隔符等模式下，由于日志格式不符合定义而解析失败 Parsing failed in JSON, delimiter, and other modes due to mismatched log format definitions 查看错误详情，重新调整规则适配日志原文。 LTS1405 采集配置不合法 The collection configuration is invalid 采集配置JSON格式有误，可以通过控制台重新编辑下发规则。 LTS1406 因超过服务器资源使用上限而崩溃 Crashed due to exceeding server resource limits 调整CPU/内存上限， 主机需要调整 /etc/systemd/system/lmtagent.service 里几个限额项 MemoryMax/MemoryLimit/CPUQuota ； 容器需要在ccse控制台调整日志插件的YAML文件中定义的限额项 resources.limit.cpu/resources.limit.memory。 LTS1407 在Linux系统中注册日志监听失败，可能由于没有文件夹权限或文件夹被删除 Failed to register the log listener in the Linux system, possibly due to lack of folder permissions or the folder being deleted 检查采集器是否有权限访问该文件夹，或者该文件夹是否被删除。 LTS1408 日志采集进度落后于日志产生进度 Log collection is lagging behind log generation 采集有部分延迟，应避免一个配置文件采集过多目录，可以通过拆分配置来解决，如果持续出现错误可以提工单反馈。 LTS1409 日志采集进度落后于日志产生进度，且未处理的日志轮转超过20个，开始丢弃日志 Log collection is lagging behind log generation, and with over 20 unprocessed log rotations, logs are now being discarded 采集延迟较多，应避免一个配置文件采集过多目录，可以通过拆分配置来解决，如果持续出现错误可以提工单反馈。 LTS1410 没有日志监控目录读取权限 No read permission for the log monitoring directory 检查日志监控目录是否存在。如果存在，请检查目录权限设置。 LTS1411 日志采集配置目录中的文件数超限 The number of files in the log collection configuration directory has exceeded the limit 检查采集的目录下是否有较多文件和子目录并合理设置监控目录最大深度。 LTS1412 进程退出时日志落盘到本地超时，此时会丢弃未落盘完成的日志 When the process exits, flushing logs to disk times out, and any unfinished logs will be discarded 该报错通常为采集严重阻塞导致，如果持续出现错误可以提工单反馈。 LTS1413 输入源采集异常 Input source collection exception 查看详细报错，根据具体错误信息进一步排查。 LTS1414 过滤器初始化异常 Filter initialization exception 一般由于过滤器的正则表达式非法导致，请根据提示修复。 LTS1415 向聚合队列中添加数据失败 Failed to add data to the aggregation queue 数据发送过快。若真实数据量很大，可忽略。 LTS1416 Checkpoint解析失败 Checkpoint parsing failed 查看详细报错，根据其中检查点内容（前1024个字节）以及具体错误信息进一步排查。 LTS1417 同时监听的目录数超出限制 The number of simultaneously monitored directories exceeds the limit 检查当前采集配置是否包含较多的目录数，合理设置监控目录最大深度。 LTS1418 执行命令添加Docker文件映射失败 Failed to add Docker file mapping when executing the command 查看详细报错，根据具体错误信息进一步排查。 LTS1419 无法在Docker容器中查找到指定文件 The specified file could not be located within the Docker container 查看详细报错，根据其中的容器信息以及查找的文件路径进一步排查。 LTS1420 servicedockerstdout插件错误，根据配置中的BeginLineRegex编译失败 Error in servicedockerstdout plugin: failed to compile BeginLineRegex from configuration 查看详细报错，检查其中的正则表达式是否正确。 LTS1421 同时打开的文件对象数量超过限制 The number of simultaneously open file objects has exceeded the limit 一般因为当前处于采集状态的文件数过多，请检查采集配置是否合理。 LTS1422 processorsplitlogregex以及 processorsplitlogstring插件错误，无法从日志中获取到配置中指定的SplitKey。 Error in processorsplitlogregex and processorsplitlogstring plugins: unable to extract the configured SplitKey from log data 查看详细报错，检查是否存在配置错误的情况。 LTS1423 执行LZ4压缩发生错误 Error occurred during LZ4 compression execution 查看详细报错，根据具体错误信息进一步排查。 LTS1424 已打开文件数量超过限制，无法打开新的文件 The number of open files has exceeded the limit, preventing new files from being opened 日志采集配置目录中的文件数超限 ，默认上限为100000，需要检查采集配置是否通配了过多文件，调整采集规则。 LTS1425 打开文件出错 Error opening file 文件无法打开，需要查看文件是否损坏。 LTS1426 processorregex插件错误，编译配置中指定的Regex正则表达式失败 Error in processorregex plugin: failed to compile the Regex expression specified in the configuration 查看详细报错，检查其中的正则表达式是否正确。 LTS1427 日志解析速度过慢 Log parsing speed is too slow 查看详细报错，根据其中的日志数量、缓冲区大小、解析时间来确定是否正常。 如果不正常，检查是否有其他进程占用了过多的CPU资源或是存在效率较低的复杂正则表达式等不合理的解析配置。 LTS1428 processorregex插件错误，无法从日志中找到配置中SourceKey指定的字段 Error in processorregex plugin: unable to locate the field specified by SourceKey in the configuration from the log data 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1429 processorregex插件错误，匹配失败 Error in processorregex plugin: match failed 查看详细报错，报错根据内容分为如下类型，请根据具体的错误信息进行排查。 unmatch this log content...：日志无法匹配配置中的正则表达式 match result count less...：匹配的结果数量少于配置中指定的 Keys 数量。 LTS1430 splitchar以及splitstring插件错误，无法从日志中找到配置中SourceKey指定的字段 Error in splitchar and splitstring plugins: unable to locate the field specified by SourceKey in the configuration from the log data 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1431 processorsplitchar以及processorsplitstring插件错误，解析得到的字段数量与SplitKeys中指定的不相同 Error in processorsplitchar and processorsplitstring plugins: the number of parsed fields does not match the count specified in SplitKeys 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1432 解析日志时间失败 Failed to parse log timestamp 正则表达式提取的时间字段是否正确。 指定的时间字段内容是否匹配配置中的时间表达式。 LTS1433 checkpoint相关错误 Checkpointrelated error 读取checkpoint文件格式异常，需要确认文件是否被修改，可能导致重采，如果持续出现错误可以提工单反馈。 LTS1434 inotify监听超限 inotify watch limit exceeded 监听目录数超限 ，默认上限为3000，需要检查采集配置是否通配了过多文件，调整采集规则。 LTS1435 采集器启动配置不存在或解析失败 Collector startup configuration does not exist or failed to parse 主机采集器启动配置格式有误，需要确认文件是否被修改，如果持续出现错误可以提工单反馈。 LTS1436 采集队列已满 The collection queue is full 网络中断等原因导致数据无法上报，反压队列满，会持续重试1h等待恢复，如果持续出现错误可以提工单反馈。 LTS1437 本地目录下配置过多 Too many configurations in the local directory 查看详细报错，根据具体错误信息进一步排查。 LTS1438 采集器上报插件初始化失败 Collector reporting plugin initialization failed 先确认VPCE私网域名是正常开通。如果持续出现错误可以提工单反馈。 LTS1439 采集器上报插件endpoint无法连接 Unable to connect to the endpoint of the collector reporting plugin 先确认VPCE私网域名是正常开通，以及本地DNS到VPCE域名是否能ping通。如果持续出现错误可以提工单反馈。 LTS1440 上报日志网关中出现错误 Error occurred in the log gateway during reporting token失效或者到日志网关的网络不通。如果是token失效需确认AK/SK是否有getToken权限。 LTS1441 上报日志网关后返回错误 The log gateway returned an error after reporting 查看详细报错，根据具体错误信息进一步排查。 LTS1442 获取token失败 Failed to retrieve token 用户指定的AK/SK 获取token失败，可能是未正确授权。查看详细报错，根据具体错误信息进一步排查。 LTS1443 采集内部错误 Internal collection error 未定义在上面详细错误码的都归在此类，需要查看详细报错，根据具体错误信息进一步排查。

参数 类型 是否必填 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 domain string 否 域名 status int 否 域名状态，4（已启用）；6（已停止）。域名详情只返回域名的确定状态，过程中的状态不会返回。 productcode string 否 产品类型，“001”（静态加速）,“003”:（下载加速）, “004”（视频点播加速）,“008”（CDN加速），“014”（下载加速闲时） areascope int 否 加速范围 cname string 否 cname insertdate string 否 创建时间，单位毫秒 statusdate string 否 修改时间，单位毫秒 ipv6enable int 否 ipv6启用，1（启用 ）；2（关闭） recordnum string 否 备案号 recordstatus string 否 备案状态，false（未备案）；ture（已备案） originhosttype int 否 主备源携带不同的回源host是否开启，0（关闭）；1（开启） originprotocol string 否 回源协议，http（用http协议回源）；https（用https协议回源）；followrequest（跟随访问协议进行回源） origin list< object> 否 源站信息 origin[].origin string 否 源站ip或域名 origin[].port int 否 源站端口 origin[].weight int 否 权重 origin[].role string 否 源站角色 origin[].protocol string 否 源站类型 xosoriginis int 否 是否开启云存储XOS源站配置功能 xosorigin object 否 云存储XOS源站信息 xosorigin[].origin string 是 云存储XOS源站 xosorigin[].ak string 否 云存储XOS源站加密ak xosorigin[].sk string 否 云存储XOS源站加密sk blackreferer object 否 referer黑名单 blackreferer.allowlist list< string> 否 referer黑名单列表 blackreferer.allowempty string 否 是否允许为空，“on”（允许为空）； “off”（不允许为空） blackreferercondition dict 否 referer黑名单condition whitereferer object 否 referer白名单 whitereferer.allowlist list< string> 否 referer白名单列表 whitereferer.allowempty string 否 是否允许为空，“on”（允许为空）； “off”（不允许为空） whitereferercondition dict 否 referer白名单condition filetypettl list< object> 否 文件过期时间设置 filetypettl[].filetype string 否 缓存文件类型，多个以逗号隔开 filetypettl[].ttl int 否 缓存时间，单位秒 filetypettl[].cachetype int 否 缓存类型， 1（不缓存）；2（优先遵循源站）；3（强制缓存） filetypettl[].cachewithargs int 否 是否带参数缓存，0（不带参数缓存）；1（带参数缓存） filetypettl[].mode int 否 模式， 0（文件后缀）；1（目录）；2（首页）； 3（全部文件）；4（全路径）；5（正则），不传默认0 filetypettl[].priority int 否 优先级 reqheaders list< object> 否 自定义回源请求头 reqheaders[].key string 否 自定义回源请求头名称 reqheaders[].value string 否 自定义回源请求头值 respheaders list< object> 否 自定义响应头 respheaders[].key string 否 自定义响应头名称 respheaders[].value string 否 自定义响应头值 basicconf object 否 http配置基础信息 basicconf.follow302 int 否 是否拉取跳转后文件，0(否);1(是) basicconf.usehttp2 int 否 是否开启http2，0（不开启）；1（开启），该字段只有在证书开启状态下才会有效 basicconf.httporiginport int 否 http请求回源端口 errorcode list< object> 否 错误码缓存配置 errorcode[].code string 否 错误状态码 errorcode[].ttl int 否 缓存时间，单位秒 useragent object 否 useragent黑白名单配置 useragent.type int 否 类型，0:（黑名单）； 1（ 白名单） useragent.ua list< string> 否 useragent列表 httpsstatus string 否 是否开启https，on、off certname string 否 国际证书备注名 certnamegm string 否 国密证书备注名 httpsbasic object 否 https基础配置 httpsbasic.httpsforce string 否 https强制跳转，“on”（跳转）；“off”（不跳转） httpsbasic.httpforce string 否 http强制跳转，“on”（跳转）；“off”（不跳转） httpsbasic.forcestatus string 否 强制跳转状态码 httpsbasic.originprotocol string 否 https回源协议，http（用http协议回源）；https（用https协议回源）；followrequest（跟随访问协议进行回源） gzip object 否 压缩功能 gzip.minlength string 否 压缩文件大小 gzip.filetype string 否 压缩文件类型 gzip.type int 否 压缩类型，0（gzip）；1（brotli） remotesyncauth list< object> 否 远程同步鉴权客户自助 remotesyncauth[].id string 否 主键id remotesyncauth[].priority int 否 优先级 remotesyncauth[].authhost list< string> 否 鉴权源站 remotesyncauth[].trynextremoteserverwhen string 否 鉴权源站重试状态码 remotesyncauth[].subject string 否 subject remotesyncauth[].pattern string 否 pattern remotesyncauth[].replace string 否 replace remotesyncauth[].useoriginalrequestargs string 否 是否使用原始请求参数 remotesyncauth[].usemainrequestargstype string 否 使用原始请求参数类型 remotesyncauth[].usemainrequestargs list< object> 否 请求参数 remotesyncauth[].usemainrequestargs[].argname string 否 请求参数key remotesyncauth[].usemainrequestargs[].argvalue string 否 请求参数value remotesyncauth[].useoriginalrequestheaders string 否 是否使用原始请求头 remotesyncauth[].usemainrequestheaderstype string 否 使用原始请求头类型 remotesyncauth[].usemainrequestheaders list< object> 否 请求头 remotesyncauth[].usemainrequestheaders[].argname string 否 请求头key remotesyncauth[].usemainrequestheaders[].argvalue string 否 请求头value remotesyncauth[].authscheme string 否 请求协议 remotesyncauth[].authport int 否 请求端口 remotesyncauth[].authmethod string 否 请求方法 remotesyncauth[].authbodydata string 否 请求体 remotesyncauth[].authtimeout float 否 鉴权超时时间，单位秒 remotesyncauth[].authconnectionpoolsize int 否 鉴权服务端连接池大小 remotesyncauth[].authconnectionidletime int 否 连接空闲超时时间 remotesyncauth[].authtimeoutpass string 否 鉴权超时是否通过，取值：on：是，off：否 remotesyncauth[].autherrorpass string 否 鉴权出错是否通过，取值：on：是，off remotesyncauth[].authrespondaction string 否 鉴权状态码黑白名单，白名单 “allow” 或 黑名单 “deny” remotesyncauth[].authrespondstatus list< int> 否 状态码 remotesyncauth[].forbiddencodestate string 否 鉴权不通过时状态码设置 remotesyncauth[].forbiddencode int 否 固定状态码 remotesyncauth[].responsejsontovar object 否 基于json鉴权 remotesyncauth[].responsejsontovar.switch int 否 0关，1开 remotesyncauth[].responsejsontovar.jsonvarlist list< object> 否 json数据 remotesyncauth[].responsejsontovar.jsonvarlist[].argname string 否 变量名 remotesyncauth[].responsejsontovar.jsonvarlist[].argvalue string 否 变量值 remotesyncauth[].responsejsontovar.forbiddencode int 否 鉴权不通过状态码 remotesyncauthcondition object 否 远程同步鉴权condition，{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径 key为remotesyncauth中的id ipblacklist string 否 ip黑名单 ipwhitelist string 否 ip白名单 reqhost string 否 回源host sharedhost string 否 共享缓存域名 limitspeeduri list< object> 否 基于url参数限速 limitspeeduri[].id string 否 limitspeeduri列表内唯一 limitspeeduri[].unit string 否 单位 limitspeeduri[].args string 否 uri参数名 limitspeeduri[].timeseg string 否 时段 limitspeeduri[].weight int 否 优先级 limitspeeduricondition object 否 limitspeeduri的condition配置 limitspeedconst list< object> 否 基于固定值限速 limitspeedconst[].id string 否 基于固定值限速唯一标识，limitspeedconst列表内唯一 limitspeedconst[].rate int 否 限速值 limitspeedconst[].timeseg string 否 时段 limitspeedconst[].unit string 否 单位 limitspeedconst[].weight int 否 优先级 limitspeedconstcondition object 否 limitspeedconst的condition配置 backoriginurirewritecondition object 否 回源uri改写condition配置 md5securetime list< object> 否 md5时间戳防盗链 md5securetime[].delimtimechar string 否 md5加密方式分隔符 md5securetime[].element list< object> 否 加密元素设置 md5securetime[].forbiddencode int 否 校验不通过状态码，默认403 md5securetime[].id string 否 配置名，唯一标识 md5securetime[].md5arg string 否 md5校验参数名称 md5securetime[].md5forbiddencode int 否 md5校验不通过状态码 md5securetime[].md5path int 否 md5校验码位置 md5securetime[].md5pathcustom string 否 自定义目录 md5securetime[].md5pathlevel int 否 目录级别 md5securetime[].md5pattern string 否 md5模式名称 md5securetime[].md5replace string 否 md5替代内容 md5securetime[].md5switch int 否 md5校验开关 md5securetime[].priority int 否 权重 md5securetime[].timearg string 否 参数名称 md5securetime[].timeformat int 否 时间戳格式 md5securetime[].timelowerlimit int 否 可访问起始时长 md5securetime[].timemd5length int 否 md5校验长度 md5securetime[].timemd5start int 否 md5校验起始位置 md5securetime[].timepath int 否 时间戳位置 md5securetime[].timepathcustom string 否 自定义目录 md5securetime[].timepathlevel int 否 目录级别 md5securetime[].timepattern string 否 time模式名称 md5securetime[].timereplace string 否 time替代内容 md5securetime[].timeswitch int 否 时间戳校验开关 md5securetime[].timeupperlimit int 否 时间戳有效期 md5securetimecondition object 否 加密元素condition设置 gzipcondition object 否 文件压缩condition配置 backoriginurirewrite object 否 回源uri改写 ssl string 否 ssl协议类型，支持TLSv1 、TLSv1.1 、TLSv1.2 、TLSv1.3 ，仅在httpsstatus为on时才生效 sslstapling string 否 ocsp stapling开关，on（开启），off（关闭），仅在httpsstatus为on时才生效 cusgzip list< object> 否 文件压缩 cusgzip[].id string 否 id cusgzip[].minlength string 否 压缩文件大小 cusgzip[].filetype string 否 压缩文件类型 cusgzip[].type int 否 压缩类型，取值：0（gzip），1（brotli） cusgzip[].httpversion string 否 httpversion，取值：1.1 ，1.0 cusgzip[].vary string 否 gzipvary，取值：on（开启），off（关闭） cusgzip[].maxlength string 否 最大文件大小 cusgzipcondition dict 否 文件压缩condition配置，{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为cusgzip中的id entrylimits list< object> 否 限频自助参数 entrylimits[].id string 否 唯一id entrylimits[].limitelement string 否 限制参数 entrylimits[].frequencythreshold int 否 访问次数限制阈值 entrylimits[].frequencytimerange int 否 统计周期 entrylimits[].forbiddenduration int 否 拒绝访问时间 entrylimits[].forbiddendurationunit string 否 拒绝访问时间单位，取值范围：[s,millis],默认s entrylimits[].forbiddencode int 否 封禁http访问码 entrylimits[].whiteipcontrol list< string> 否 不执行校验的客户端ip entrylimits[].priority int 否 优先级 entrylimitscondition dict 否 限频自助参condition配置,，{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为entrylimits中的id cachekeyargs list< object> 否 缓存参数 cachekeyargs[].id string 是 基于缓存参数唯一标识 cachekeyargs[].ignore int 否 去参数缓存开关。取值：0:否，1 是 cachekeyargs[].iswithargs int 否 带特定参数缓存。取值：0:否，1 是 cachekeyargs[].mode int 否 匹配方式。取值：0:否，1 是 cachekeyargs[].args string 否 匹配方式为0时配置的参数 cachekeyargs[].subject string 否 匹配方式为1时配置，目前没用 cachekeyargs[].pattern string 否 匹配方式为1时配置，目前没用 cachekeyargs[].replace string 否 匹配方式为1时配置，目前没用 cachekeyargs[].priority int 否 优先级,取值范围[1,100] cachekeyargs[].ignoreargs string 否 忽略特定参数缓存,多个参数中间用逗号分割 cachekeyargscondition dict 否 缓存参数condition配置

诊断维度 诊断项 说明 修复方案 Service 检查Service后端Ready Pod数量 检查Service后端Ready Pod数量。 检查业务Pod状态，保证Pod存在且处于Ready状态。 Service 检查Service是否存在异常事件 检查集群中是否存在与该Service相关的异常事件。 请检查并处理Service异常事件中的描述信息，若无法处理，请提交工单。 节点 检查节点是否存在 检查集群中是否存在该节点。 请检查Node在集群中是否存在。 节点 检查节点状态是否Ready 检查节点在集群中的状态是否为Ready。 请登录到节点上执行systemctl status kubelet或journalctl exu kubelet查看节点上kubelet进程异常日志并尝试修复。 节点 检查节点状态是否不可调度 检查节点是否不可调度，不可调度的节点会影响Pod的正常运行。 节点不可调度，请检查节点调度设置。 节点 检查节点CPU装载率是否过高 检查节点CPU资源分配率是否过高。 请检查节点上pod的CPU request值设置的合理性。 节点 检查节点内存装载率是否过高 检查节点内存资源分配率是否过高。 请检查节点上pod的Memory request值设置的合理性。 节点 检查节点磁盘压力 检查节点磁盘使用率是否过高。 请检查节点磁盘使用情况，及时清理磁盘中不需要的文件或扩容磁盘。 节点 检查节点PID压力 检查节点PID使用率是否过高。 请检查节点PID使用情况。 节点 检查节点Chronyd进程状态是否正常 检查节点Chronyd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Chronyd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart chronyd重启节点Chronyd进程。 节点 检查节点Ntpd进程状态是否正常 检查节点Ntpd进程是否异常，该进程异常时可能会影响系统时钟同步。 节点Ntpd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart ntpd重启节点Ntpd进程。 节点 检查节点Containerd状态是否正常 检查节点Containerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Containerd状态异常，请收集节点日志并提交工单处理。 节点 检查节点Containerd镜像拉取是否正常 检查节点Containerd进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Docker状态是否正常 检查节点Dockerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Docker状态异常，请收集节点日志并提交工单处理。 节点 检查节点Docker镜像拉取是否正常 检查节点Docker进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Kubelet状态是否正常 检查节点Kubelet服务的状态，该进程可能会影响Pod的正常运行。 请检查节点kubelet日志。 节点 检查节点Kubelet启动时间 检查节点Kubelet进程启动时间。 无 节点 节点OS版本 检查节点操作系统版本。 无 节点 节点内核版本 检查节点内核版本是否过低，内核版本过低可能造成系统异常。 请尝试更换节点升级内核。 节点 节点Systemd版本 检查节点systemd版本。 无 节点 节点runc版本 检查节点runc版本，runc版本过低可能造成系统异常。 无 节点 节点系统时间 检查节点系统时间。 无 节点 节点硬件时间 检查节点硬件时间。 无 节点 节点硬件时间漂移 检查节点硬件时钟与系统时间是否一致，时间相差超过2分钟可能引起组件异常。 请尝试登录节点，通过命令hwclock systohc将节点系统时间同步到硬件时间。 节点 检查节点内存交换区开启情况 检查节点内存交换区 (Memory Swap) 功能是否开启，K8s默认要求关闭内存交换区。 当前节点内存交换区 (Memory Swap) 功能不支持开启，请登录节点关闭该功能。 节点 检查Conntrack表使用情况 检查节点Conntrack表是否满，Conntrack表满可能影响网络性能。 请检查nfconntrackbuckets和nfconntrackmax内核参数。 节点 检查节点访问集群API Server是否正常 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 节点 节点DNS服务地址 检查节点能否正常使用主机DNS服务，通过主机DNS服务解析集群外域名。 请检查主机DNS服务是否正常。更多信息，请参见 节点 检查节点内网IP是否存在 检查节点内网IP是否存在。 节点内网IP不存在，请尝试移除节点后重新导入。 节点 检查节点能否访问公网 检查节点能否正常访问公网，无法访问公网可能影响公网镜像拉取。 请检查集群是否开启SNAT公网访问。 节点 节点CPU使用率 检查节点CPU负载是否过高，CPU负载过高可能影响系统性能。 无 节点 节点内存使用率 检查节点内存负载是否过高，内存过高可能影响系统性能。 无 Pod 检查Pod是否存在 检查集群中是否存在该Pod。 请检查Pod在集群中对应命名空间下是否存在。 Pod 检查Pod状态是否为Running 检查Pod是否处于Running状态。 请检查Pod状态及日志。更多信息，请参见 Pod Pod容器重启次数统计 统计Pod中容器重启次数。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器是否存在镜像下载阻塞情况 检查Pod容器对应的镜像下载被阻塞。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器镜像Secrets是否有效 检查Pod拉取镜像的Secrets是否有效。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod到主机网络DNS服务器的连通性 检查Pod到主机网络DNS服务器的连通性。 请检查Pod到主机网络DNS服务器的连通性。 Pod 检查Pod容器进程处于D状态检查 检查Pod内的容器进程是否处于D状态。 Pod的部分容器进程处于D状态，通常为容器进程卡在磁盘IO中，请尝试重启宿主机ECS，如仍无法恢复，请提交工单处理。 Pod 检查Pod是否初始化成功 检查Pod是否正常初始化。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否处于调度中状态 检查Pod是否正常调度。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否配置了livenessProbe探针 检查Pod描述文件是否配置了livenessProbe探针。 请为Pod配置合适的livenessProbe健康检查。 Pod 检查Pod是否配置了ReadinessProbe探针 检查Pod描述文件是否配置了ReadinessProbe探针。 请为Pod配置合适的readinessProbe健康检查。 Pod 检查Pod是否配置了资源requests 检查Pod描述文件是否配置了资源requests。 请为Pod配置合适的request资源申请。 Pod 检查Pod是否配置了资源limits 检查Pod描述文件否配置了资源limits。 请为Pod配置合适的limit资源限制。 Pod 检查Pod在过去24小时内是否存在OOM Kill情况 检查Pod在过去24小时内是否存在因内存过载而被Kill的情况。 请检查Pod是否配置了合适的limit资源限制，同时检查Pod状态及日志。更多信息，请参见 Ingress 检查Ingress是否存在 检查与转发规则匹配的Ingress是否存在。 检查所提供的URL信息是否有能够对应的Ingress规则。若URL信息无误，可能是Ingress规则存在问题。 Ingress 检查Ingress名称规范 检查所匹配到的Ingress名称是否规范。 无 Ingress 检查是否使用了nginx.ingress.kubernetes.io/sessioncookiehash废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/sessioncookiehash注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/baseurlscheme废弃注解 检查是否使用了在0.22.0版本废弃的nginx.ingress.kubernetes.io/baseurlscheme注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/securebackends废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/securebackends注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.com/nginx.org注解 检查是否使用了不兼容社区版Nginx Ingress Controller的商业版Ingress注解key（以nginx.com/nginx.org开头）。 请使用对应功能的正确用法。关于Ingress更多信息，请参见社区官方文档 。(引用到官方文档) Ingress 检查是否使用了nginx.ingress.kubernetes.io/grpcbackend废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/grpcbackend注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/mirroruri废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/mirroruri注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否启用了canary 使用了nginx.ingress.kubernetes.io/canary相关注解，但value值为"false‘，如果需要使用灰度功能，请指定nginx.ingress.kubernetes.io/canary: "true"。 如果您需要在该Ingress上开启Canary功能，请在Ingress规则上添加nginx.ingress.kubernetes.io/canary: "true"注解。 Ingress 检查Ingress是否存在异常事件 检查集群中是否存在与该Ingress相关的异常事件。 检查并处理异常事件描述信息中的报错，如无法解决，请提交工单处理。

说明：本章节会介绍在关系型数据库服务的管理控制台创建实例的过程 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“创建数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月：若选择该模式，跳过步骤6，执行步骤7。 按需计费：若选择该模式，继续执行步骤6。 表1 基本信息 参数 描述 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 l 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 l 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 l 普通I/O：磁盘类型SATA，最大吞吐量90MB/s l 高I/O：磁盘类型SAS，最大吞吐量150MB/s l 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表4 数据库配置 参数 描述 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@

说明：本章节会介绍天翼云关系型数据库如何创建新实例 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“创建数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月： 若选择该模式，跳过步骤6，执行步骤7。 按需计费： 若选择该模式，继续执行步骤6。 表1 基本信息 参数 描述 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。适用于个人学习、微型网站以及中小企业的开发测试环境。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 数据库创建成功后可进行扩容。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 须知 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表4 数据库配置 参数 描述 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@

配置集群 在云容器引擎智算版页面，完成智算集群选项配置。 配置项 描述 实例名称 填写集群的名称。说明最长40字符，只能包含大小写字母、数字及分隔符()，且必须以大小写字母开头 计费模式 云容器引擎智算版支持包年包月付费类型。选择包年包月时，API Server的私网ELB实例、控制节点及工作节点等资源的计费方式将保持一致 购买时长 目前支持选择1、2、3、4、5、6个月和1年 自动续订 设置是否自动续费 Kubernetes 版本 显示当前智算集群支持的Kubernetes版本 容器运行时 智算集群目前仅支持docker容器运行时 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 虚拟私有云 设置集群的虚拟私有网络，如果没有您需要的虚拟私有云，可以通过单击创建虚拟私有云进行创建 网络插件 设置启用的网络插件和插件配置，支持cubecni网络插件。cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 所在子网 设置所在子网。您可以在子网列表中，选择可用的子网 安全组 支持选择已有安全组。指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则 Pod子网 选择Pod子网。子网大小决定Pod创建数量，建议选择网段掩码不大于19的子网 Service CIDR 设置Service CIDR。您需要指定Service CIDR，Service地址段不能和Pod地址段重复。可选范围：10.0255.0.0/1624，172.1631.0.0/1624，192.168.0.0/1624 API server 访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。默认使用EIP暴露API Server，开启后，将为内网ELB实例绑定一个EIP，获得从公网访问集群API Server的能力 EIP 选择已有EIP，如果没有可用EIP，可以通过单击创建EIP进行创建 时区 选择所在时区 kubeproxy模式 kubeproxy支持iptables和ipvs模式。iptables：传统的kubeproxy模式，配置和维护较为简单，适用于集群中service较少的场景；ipvs：高效的kubeproxy模式，具有更好的可扩展性和性能，支持更高的并发连接数和吞吐量，适用于集群中service较多、集群规模较大的场景 集群标签 添加标签。标签键不可以重复，标签键、标签值最长32个字符，且标签键和标签值都不以“ctyun”、“ 集群本地域名 域名由小数点(.)分隔的一个或多个部分构成，每个部分最长为63个字符，可以使用小写字母、数字和中划线()，且首尾必须为小写字母或数字 自定义证书SAN 设置自定义证书SAN。多个 IP 或域名以英文逗号(,)分隔 服务账号令牌卷投影 设置serviceaccountissuer和apiaudiences。apiaudiences 支持配置多个 audience 以英文逗号分隔 集群删除保护 设置是否启用集群删除保护。防止通过控制台或者API误删除集群 部署模式 目前支持选择单可用区部署。单可用区部署请选中任意一个AZ，多可用区部署系统会自动将控制节点以及工作节点平均分配至各可用区，当可选择的可用区少于三个时，仅支持单可用区部署

sectionefffcc1135a59628) 共享镜像 由其他用户共享而来的私有镜像。云主机中使用共享镜像使得用户之间可以共享和重复使用的预先配置的操作系统和软件环境模板，避免了重复的操作和配置工作。当一个用户创建满足特定需求的镜像时，其他用户可以通过共享该镜像快速获取相同配置的环境，提高部署效率和保持一致性。 详细内容参见共享镜像文档 安全产品镜像 安全产品镜像用于加载部分安全产品服务。可在云主机控制台创建云主机镜像类型中选择安全产品镜像，满足加载CSSP、DAS、LAS、OSM等安全产品的安全性需求。 详细内容参见安全产品镜像文档 云硬盘 数据块级别的块存储产品，采用分布式三副本机制，为云主机提供数据可靠性保证，可以将云硬盘挂载到弹性云主机，并可以扩容云硬盘的容量。 详细内容参见云硬盘文档 快照 某一时间点云主机状态的备份文件，用于备份或者恢复整个云主机。快照能够记录某一块云硬盘在某个时刻的数据，通过回滚将云硬盘数据恢复至快照时间点，用户可以通过快照快速创建出多个具有相同数据的云硬盘用于业务部署。 详细内容参见快照文档 云主机备份 提供对弹性云主机数据的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。当云主机或磁盘出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 详细内容参见云主机备份文档 VPC 基于天翼云创建的自定义私有网络，为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、IP地址段、带宽等网络特性。 用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 详细内容参见VPC文档 弹性网卡 一种独立的虚拟网卡，用于连接云主机与私有网络。可以在云主机上添加/删除，实现业务的灵活扩展和迁移。 详细内容参见弹性网卡文档 安全组 为云主机提供网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量通行。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 详细内容参见安全组文档 弹性伸缩 弹性伸缩可以自动调整云主机数量，可按照您定义的伸缩配置和伸缩策略对弹性云主机进行伸缩，帮您节约资源和人力运维成本。 详细内容参见弹性伸缩文档 负载均衡 将访问流量自动分发到多台弹性云主机上，提高搭建在弹性云主机上应用系统对外的服务能力，提高应用程序容错能力。 详细内容参见负载均衡文档 云监控服务 云监控为云主机提供监控服务，提供性能指标监控、自动告警、历史信息查询等功能。当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 详细内容参见云监控文档 日志审计服务 日志审计服务通过云主机日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。 详细内容参见日志审计文档

此小节介绍云堡垒机的运维报表。 运维用户通过云堡垒机登录资源，以及进行运维操作后，审计管理员可查看运维详细报表。 查看运维报表 主要涵盖“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。 约束限制 趋势图最多呈现连续180天的运维数据变化趋势。 默认按小时呈现当天运维数据变化趋势。 运维数据大于30天时，仅可选择按周或按月呈现趋势图。 运维数据小于30天时，可选择按天、按周、按月呈现趋势图。 趋势图可选择线状图、柱状图、饼状图形式。 默认呈现运维时间段内总的趋势图。 支持按目标用户呈现运维统计趋势图，最多可选择5个目标用户。 支持按目标资源呈现运维统计趋势图，最多可选择5个目标资源。 前提条件 已获取“运维报表”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 运维报表”，进入系统报表查看页面。 3 单击各运维统计数据页签，查看各运维统计数及趋势如何详细信息。 详细介绍请参见如下说明。 运维时间分布 呈现用户登录资源情况分布或资源被登录分布情况，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户等信息。 运维时间分布图 运维时间分布详细数据 资源访问次数 呈现用户或资源所属历史会话的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户等信息。 资源访问次数趋势图 会话时长 呈现用户或资源所属历史会话的会话时长，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户、会话时长等信息。 来源IP访问数 呈现用户或资源所属会话的不同来源IP数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户、来源IP等信息。 会话协同 呈现用户或资源所属会话的协同参与运维用户的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户、协同用户登录名等信息。 双人授权 呈现用户或资源所属会话通过双人授权的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看授权时间、用户登录名、资源名称、协议类型、资源账户、双人授权用户登录名等信息。 命令拦截 呈现用户或资源所属会话触发的拦截的命令数量，默认按小时呈现当天运维数据变化趋势。 拦截命令类型包括断开连接、拒绝执行、动态授权。 在“详细数据”区域，可查看操作执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令、执行动作等信息。 命令拦截动作饼状图 字符命令数 呈现用户或资源所属会话执行的字符命令数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看操作执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令等信息。 传输文件数 呈现用户或资源所属会话上传、下载文件的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看文件操作时间、用户登录名、资源名称、协议类型、资源账户、操作类型、文件名称等信息。

本文介绍天翼云AOne会议基本概念。 AOne会议基本概念如下： 名称 概念说明 会议创建者 指通过AOne会议客户端发起快速会议或者预定会议的用户，通常是会议的组织者。会议创建者自动拥有主持人权限，可设置会议时间、会议主题、入会规则等。 主持人 拥有会议管理权限的用户，可以执行如全体静音、移除参会者、锁定会议、开启/关闭云录制等操作。会议创建者默认为主持人，也可将主持人转让给其他人。 联席主持人 主持人可指定一位或多位参会者为联席主持人，用于协助管理会议秩序。联席主持人可执行部分主持人权限（如全体静音、移除参会者、锁定会议、开启/关闭云录制等），但不可设置他人为联席主持人或结束会议。 参会者 被邀请加入会议的普通用户，默认无会议控制权限，仅可进行语音、视频、聊天、屏幕共享等操作（取决于会议安全模块设置）。 快速会议 指无需预约，可立即发起的即时会议，适合快速讨论和临时沟通场景。可通过客户端首页“快速会议”按钮快速创建。 预定会议 指设置好会议时间、会议主题、入会密码等信息后提前创建的会议，支持发送邀请、设置周期性等。适合有计划的正式会议。 周期会议 支持设置为按天、按周、按月、自定义重复的会议形式，用于固定时间召开例会、周会等，会议号和链接不变。 会议号 每个会议对应的唯一数字编号，可用于参会者通过AOne会议客户端“加入会议”按钮输入会议号的方式快速加入会议。 入会密码 用于限制参会权限的安全设置，需手动输入密码才可入会，保障会议安全性。 会议链接 会议系统生成的可点击入会的链接，便于通过微信、邮件等方式邀请他人参会。 锁定会议 主持人/联席主持人可在会议中进行安全设置“锁定会议”，防止后续用户进入，保障会议安全性与秩序。 云录制 支持将会议全过程录制保存至云端，用于会后查看、归档或信息留存。云录制开启与结束需由主持人或联席主持人操作。 屏幕共享 用户可将电脑/手机屏幕内容共享至会议中，支持共享全屏、指定窗口或应用。 共享电脑声音 当进行屏幕共享时，可选择“共享电脑声音”，使参会者能同时听到您设备播放的系统声音（如视频音频）。适用于共享视频演示、播放语音材料等场景。该功能通常仅在PC客户端可用。 开启/关闭麦克风 用户可根据需要自主开启或关闭麦克风进行发言或静音。主持人可设置参会者是否可自行解除静音，或在入会时默认静音。 全体静音 主持人/联席主持人可一键将所有参会者静音，适用于大型会议控制发言秩序。可设置是否允许参会者自行解除静音。 移出会议 主持人/联席主持人可将不符合参会要求的人员从当前会议中移除，移除后该用户需重新使用会议号或链接加入。 结束会议 主持人可点击“结束会议”按钮，强制结束本场会议，所有参会者将立即断开连接。如主持人选择“离开会议”但不结束，会议将自动选举会议中最先入会的人为主持人。 允许成员自我解除静音 主持人/联席主持人可设置是否允许参会者自己开启麦克风。如关闭该选项，参会者必须获得主持人允许后才能发言。 会议水印 主持人/联席主持人可在会议开始前或会议进行中启用“会议水印”功能，启用后，所有参会者的会议界面及其本地录制的会议文件上，将动态叠加显示该参会者的登录账号信息。 等候室 主持人/联席主持人可在会议开始前或会议进行中开启或关闭等候室，开启后，新加入的参会者将进入等候室，需经主持人批准后方可进入主会场。 移至等候室 主持人/联席主持人可将会中成员移至等候室，成员将离开主会场进入等候室。 虚拟背景 用户可设置系统提供的虚拟背景，或上传自定义图片，隐藏真实背景，适用于提升画面专业性或保护隐私。

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

参数 描述 是否必填 metadata.name StorageClass名称。 是 provisioner HBlock CSI驱动名称。 取值：HBlock CSI安装时的驱动名称。 是 storageMode 卷的存储类型，支持Local、Cache、Storage模式。 Cache、Storage模式表示上云卷。 是 fsType 卷被挂载到容器的文件系统类型，支持xfs，ext4。 说明 卷模式为filesystem时必填。 条件 readOnly 是否以只读模式进行卷挂载。 取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 是 cloudBucketName 已存在的OOS存储桶的名称。 注意 请勿开启Bucket的生命周期设定和合规保留。 类型：字符串。 上云卷必填 cloudPrefix 设置OOS中的前缀名称，设置前缀名称后，卷数据会存在存储桶以前缀命名的类文件夹中。如果未指定前缀，则直接存储在以卷名称命名的类文件夹中。 类型：字符串。 取值：长度范围是1~256。 否 cloudAccessKey OOS AccessKeyID。 类型：字符串。 上云卷必填 cloudSecretKey OOS SecretAccessKey。 如果配置文件csisecretdecrypt.yaml中的decryptFlag为true，需要对secretKey源码使用DecryptData配置的密钥对进行AES(ECP、paddingcs7)加密，加密后的结果进行Base64 编码，具体详见 上云卷必填 cloudEndpoint 设置OOS Endpoint。 类型：字符串。 上云卷必填 cloudObjectSize 数据存储在OOS中的大小。 取值：128、256、512、1024、2048、4096、8192，单位是KiB。默认值为1024。 否 cloudStorageClass 设置OOS的存储类型。 取值： STANDARD：标准存储； STANDARDIA：低频访问存储。 默认值为STANDARD。 否 cloudCompression 是否压缩数据上传至OOS。 取值： Enabled：是； Disabled：否。 默认值为Enabled。 否 cloudSignVersion OOS的请求签名认证方式 取值： v2：v2签名。 v4：v4签名。 默认值为v2。 否 cloudRegion 表示Endpoint资源池所在区域。 使用V4签名时，此项必填。 类型：字符串。 条件 deleteCloudData 删除卷时，是否删除云上的数据。 取值： true：删除云上的数据。 false：不删除云上的数据。 默认值为false。 否 sectorSize 扇区大小。根据客户端文件系统 I/O 操作的最小单位设定卷扇区大小。 类型：枚举。 取值："512"、"4096"，单位是bytes。默认值为"4096" 否 localStorageClass 本地存储冗余模式。单机版不能设置此参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M：纠删码模式。其中N、M为正整数，N>M，且N+M<128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为EC 2+1。 否 minReplica 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1。对于EC卷，取值范围是[N, N+M]，默认值为N。 否 redundancyOverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对副本模式，取值范围是[1，副本数]，默认值为1；对于EC模式，取值范围是[1，M+N]，默认值为1。 否 ECfragmentSize 纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为16。 否 highAvailability 是否选择高可用模式。单机版不能设置此参数。 取值： ActiveStandby：启动主备，该卷关联对应Target下的所有IQN。 Disabled：禁用高可用模式，该卷关联对应Target下的一个IQN。 默认值为ActiveStandby。 否 writePolicy 卷的写策略。 取值： WriteBack：回写，即数据写入到内存后，立刻返回给客户端写成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，即数据同时写入内存和磁盘，并在两处都写成功后，再返回客户端写成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，即数据写入磁盘后即释放相应内存，写入磁盘成功后，立刻返回客户端写成功。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为WriteBack。 否 isMultipath 是否使用Multipath。 取值： "true"。 "false"。 默认值为"true"。 注意 这里需要输入字符串，即"true"或"false"。 如果HBlock集群版使用的HBlock卷没有启用高可用模式，即highAvailability为Disabled，此处需要设置为"false"，否则会导致pod启动失败。 如果是HBlock单机版，此处需要设置为"false"。 条件 path 指定存储卷数据的数据目录（仅单机版支持）。 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 否 pool 存储池名称，表示最终存储池，卷数据最终落在该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 默认使用基础存储池。 否 cachePool 存储池名称，表示高速缓存存储池，卷数据首先写入该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 如果不填写则代表不设置高速缓存存储池。 注意 存储池与缓存存储池不能是同一个存储池。 否 maxSessions iSCSI Target允许建立的最大会话数。 取值：整数，取值范围是[1, 1024]，默认值为1。 注意 卷模式为filesystem，取值只能为1。 否 serverNumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。默认值为2。 否 faultDomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 否 IOPS 每秒能够进行读写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 readIOPS 每秒能够进行读操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 writeIOPS 每秒能够进行写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 Bps 每秒可传输数据量的最大值。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 readBps 读带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 writeBps 写带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 IOPSBurst 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：整型，只有当IOPS大于等于1时，此项设置为1或( IOPS , 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 readIOPSBurst 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：只有当readIOPS大于等于1时，此项设置为1或( readIOPS , 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 writeIOPSBurst 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：只有当writeIOPS大于等于1时，此项设置为1或( writeIOPS , 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 BpsBurst 使用Burst功能时，每秒可传输的数据量最大值。 取值：只有当Bps大于等于1时，此项设置为1或( Bps , 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 readBpsBurst 使用Burst功能时，读带宽上限。 取值：只有当readBps大于等于1时，此项设置为1或( readBps , 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 writeBpsBurst 使用Burst功能时，写带宽上限。 取值：只有当writeBps大于等于1时，此项设置为1或( writeBps , 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 IOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 readIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在read IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 writeIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在write IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 BpsBurstSecs 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 readBpsBurstSecs 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在read Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 writeBpsBurstSecs 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在write Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 clusterID HBlock的标识，在csiconfigMap.yaml中唯一。详见 是 chapEnable 是否使用CHAP认证，取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 否 chapUser CHAP认证的用户名。需要对CHAP认证的用户名源码使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见 否 chapPassword CHAP认证的密码。需要对CHAP认证的密码源码使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见 否 reclaimPolicy 持久化卷回收策略。 取值： Retain：保留。 Delete：删除。 默认值为Delete。 否 volumeBindingMode 立即绑定还是等待Pod调度时绑定。 取值： Immediate：立即绑定。 WaitForFirstConsumer：延迟绑定。 默认值为Immediate。 否 allowVolumeExpansion 允许卷扩展。 取值： true：允许卷扩展。 false：不允许卷扩展。 默认值为false。 否