加密和解密的API 您可以调用以下API，在本地对数据进行加解密。 API名称 说明 创建数据密钥 创建数据密钥。 解密数据密钥 用指定的主密钥解密数据密钥。 加密本地文件 步骤1 通过控制台，创建用户主密钥。 步骤2 请准备基础认证信息。 ACCESSKEY: 帐号Access Key SECRETACCESSKEY: 帐号Secret Access Key PROJECTID:项目ID KMSENDPOINT: KMS服务访问终端地址。 步骤3 加密本地文件。 示例代码中： 用户主密钥：控制台创建的密钥ID。 明文数据文件：FirstPlainFile.jpg。 输出的密文数据文件：SecondEncryptFile.jpg。 import com.ctyun.sdk.core.auth.BasicCredentials; import com.ctyun.sdk.kms.v1.KmsClient; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequest; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequestBody; import com.ctyun.sdk.kms.v1.model.CreateDatakeyResponse; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequest; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequestBody; import javax.crypto.Cipher; import javax.crypto.spec.GCMParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.nio.file.Files; import java.security.SecureRandom; / 使用数据密钥（DEK）进行文件加解密 激活assert语法，请在VMOPTIONS中添加ea / public class FileStreamEncryptionExample { private static final String ACCESSKEY " "; private static final String SECRETACCESSKEY " "; private static final String PROJECTID " "; private static final String KMSENDPOINT " "; // KMS服务接口版本信息，当前固定为v1.0 private static final String KMSINTERFACEVERSION "v1.0"; / AES算法相关标识： AESKEYBITLENGTH: AES256密钥比特长度 AESKEYBYTELENGTH: AES256密钥字节长度 AESALG: AES256算法，本例分组模式使用GCM，填充使用PKCS5Padding AESFLAG: AES算法标识 GCMTAGLENGTH: GCM TAG长度 GCMIVLENGTH: GCM 初始向量长度 / private static final String AESKEYBITLENGTH "256"; private static final String AESKEYBYTELENGTH "32"; private static final String AESALG "AES/GCM/PKCS5Padding"; private static final String AESFLAG "AES"; private static final int GCMTAGLENGTH 16; private static final int GCMIVLENGTH 12; public static void main(final String[] args) { // 您在控制台创建的用户主密钥ID final String keyId args[0]; encryptFile(keyId); } / 使用数据密钥加解密文件实例 @param keyId 用户主密钥ID / static void encryptFile(String keyId) { // 1.准备访问认证信息 final BasicCredentials auth new BasicCredentials().withAk(ACCESSKEY).withSk(SECRETACCESSKEY) .withProjectId(PROJECTID); // 2.初始化SDK，传入认证信息及KMS访问终端地址 final KmsClient kmsClient KmsClient.newBuilder().withCredential(auth).withEndpoint(KMSENDPOINT).build(); // 3.组装创建数据密钥请求信息 final CreateDatakeyRequest createDatakeyRequest new CreateDatakeyRequest().withVersionId(KMSINTERFACEVERSION) .withBody(new CreateDatakeyRequestBody().withKeyId(keyId).withDatakeyLength(AESKEYBITLENGTH)); // 4.创建数据密钥 final CreateDatakeyResponse createDatakeyResponse kmsClient.createDatakey(createDatakeyRequest); // 5.接收创建的数据密钥信息 // 密文密钥与KeyId建议保存在本地，方便解密数据时获取明文密钥 // 明文密钥在创建后立即使用，使用前需要将16进制明文密钥转换成byte数组 final String cipherText createDatakeyResponse.getCipherText(); final byte[] plainKey hexToBytes(createDatakeyResponse.getPlainText()); // 6.准备待加密的文件 // inFile 待加密的原文件 // outEncryptFile 加密后的文件 final File inFile new File("FirstPlainFile.jpg"); final File outEncryptFile new File("SecondEncryptFile.jpg"); // 7.使用AES算法进行加密时，可以创建初始向量 final byte[] iv new byte[GCMIVLENGTH]; final SecureRandom secureRandom new SecureRandom(); secureRandom.nextBytes(iv); // 8.对文件进行加密，并存储加密后的文件 doFileFinal(Cipher.ENCRYPTMODE, inFile, outEncryptFile, plainKey, iv); } / 对文件进行加解密 @param cipherMode 加密模式，可选值为Cipher.ENCRYPTMODE或者Cipher.DECRYPTMODE @param infile 待加解密的文件 @param outFile 加解密后的文件 @param keyPlain 明文密钥 @param iv 初始化向量 / static void doFileFinal(int cipherMode, File infile, File outFile, byte[] keyPlain, byte[] iv) { try (BufferedInputStream bis new BufferedInputStream(new FileInputStream(infile)); BufferedOutputStream bos new BufferedOutputStream(new FileOutputStream(outFile))) { final byte[] bytIn new byte[(int) infile.length()]; final int fileLength bis.read(bytIn); assert fileLength > 0; final SecretKeySpec secretKeySpec new SecretKeySpec(keyPlain, AESFLAG); final Cipher cipher Cipher.getInstance(AESALG); final GCMParameterSpec gcmParameterSpec new GCMParameterSpec(GCMTAGLENGTH Byte.SIZE, iv); cipher.init(cipherMode, secretKeySpec, gcmParameterSpec); final byte[] bytOut cipher.doFinal(bytIn); bos.write(bytOut); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } } }

本章节会介绍MySQL读写分离的前提条件。 在进行本文操作之前，您需要完成以下准备工作： 1、至少含有一个只读实例。 2、资源池具备mysql proxy产品能力，目前支持华北、广州4、苏州、西安2、杭州、福州、石家庄节点。

名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Array recoveryEndTime Long 备份可恢复的终止时间 recoveryBeginTime Long 备份可恢复的起始时间 prodInstId Long 实例id backupId Long 备份id backupName String 备份名称

本节主要介绍Lua脚本规范。 Lua是一种脚本语言，目的是为了嵌入应用程序中，为应用程序提供灵活的扩展和定制功能。GeminiDB Redis使用的是Lua5.1.5版本，与开源Redis5.0使用的Lua版本是一致的。 与开源Redis Lua的区别 1. EVAL/EVALSHA命令 命令格式： EVAL script numkeys key [key …] arg [arg …] EVALSHA sha1 numkeys key [key …] arg [arg …] 上述命令的语法与操作与开源Redis一致。用户需自己保证将脚本中使用到的Redis key显式的通过key参数传入，而不是直接在脚本中编码，并且如果带有多个key参数，则要求所有的key参数必须拥有相同的hash tag。 如果不遵循上述约束，则在Lua中执行涉及这些key的Redis操作时，可能会返回类似“partition not found”的错误信息。 2. SCRIPT命令 SCRIPT命令包含了一组管理Lua脚本的子命令，具体可以通过SCRIPT HELP命令查询具体的操作。 SCRIPT大部分命令都与开源Redis兼容，其中需要特别说明的命令如下： SCRIPT KILL GeminiDB Redis是多线程执行的环境，允许同时执行多个Lua脚本，执行SCRIPT KILL，会终止所有正在运行的Lua脚本。 为了方便使用，GeminiDB Redis扩展了SCRIPT KILL命令，用户可以通过‘SCRIPT KILL SHA1’来终止指定哈希值的脚本。若同一时间存在多个节点在执行哈希值相同的脚本，那么这些脚本都会被终止。 另外，由于用户无法设置Lua超时时间（config set luatimelimit），因此在任意时刻执行SCRIPT KILL都能直接终止脚本，而不是等待脚本超时后才终止。 SCRIPT DEBUG 目前GeminiDB Redis不支持DEBUG功能，所以该命令执行无效。 3. Lua脚本中执行Redis命令 与开源Redis一致，GeminiDB Redis的Lua环境中也提供了一个全局的“redis”表，用于提供各类和Redis Server交互的函数。 如下表为GeminiDB Redis目前支持和不支持的操作列表。 支持的操作 不支持的操作 redis.call() redis.pcall() redis.sha1hex() redis.errorreply() redis.statusreply() redis.log() redis.LOGDEBUG redis.LOGVERBOSE redis.LOGNOTICE redis.LOGWARNING redis.replicatecommands() redis.setrepl() redis.REPLNONE redis.REPLAOF redis.REPLSLAVE redis.REPLREPLICA redis.REPLALL redis.breakpoint() redis.debug() 4. Lua执行环境限制 开源Redis对Lua脚本的执行有一定的限制，比如限制脚本操作全局变量，限制随机函数的结果，限定能够使用的系统库和第三方库等。 GeminiDB Redis也继承了绝大多数的限制，但是针对如下情况，GeminiDB Redis与开源Redis存在差异： Write Dirty 开源Redis规定，如果某个脚本已经执行了写操作，那么就不能被SCRIPT KILL停止执行，必须使用SHUTDOWN NOSAVE来直接关闭Redis Server。 GeminiDB Redis不支持执行SHUTDOWN命令，因此这条限制不会被执行，用户仍然可以通过SCRIPT KILL来停止脚本的执行。 Random Dirty 由于主从复制的原因，开源Redis规定，若脚本执行了带有随机性质的命令（Time, randomkey），则不允许再执行写语义的命令。 例如，如下Lua脚本： local t redis.call("time") return redis.call("set", "time", t[1]); 当该脚本的执行传递到从节点时，Time命令获取到的时间一定晚于主节点，因此从节点执行的Set命令的值就会和主节点产生冲突。开源Redis引入了replicatecommands来允许用户决定这种场景下的行为模式。 对于GeminiDB Redis来说，由于没有主从的概念，数据在逻辑上只有一份，因此也就不存在该限制。

等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本节介绍了容器镜像服务的应用场景。 容器镜像管理 用户需要自建本地镜像仓库，但涉及到组件安装、权限配置、集群整合等复杂的搭建流程；且后期管理存在大量麻烦、耗时的后台操作，同时需要长期的对本地仓库进行维护，运维成本高；用户需要快速完成仓库搭建，提升镜像管理效率，降低成本。 通过使用容器镜像服务产品，支持可视化界面操作，无需用户具备专业运维知识即可快速完成镜像仓库搭建，基于镜像服务全生命周期的管理能力，满足用户普遍使用需求。 容器化一键部署 用户上云过程中，若本地进行镜像上传进行业务容器化操作，当集群节点数多，单个节点涉及业务种类多，且业务更新频繁时，后台镜像操作将变得繁琐费时，业务容器化效率低下。需要简化操作，提升业务部署效率。 联合云容器引擎，使用容器镜像服务CRS中的容器镜像，快速实现业务容器化部署。

计费示例 假设您在2023/03/08 15:50:04购买了一个包年/包月GeminiDB Influx实例（规格：2 vCPUs 8GB，节点数量：3，存储空间：100GB，备份空间：110GB（赠送100GB，后续收费空间10GB），冷存储空间：500GB），计费资源包括实例规格（vCPU、内存、节点数量）、存储空间、备份空间、公网带宽。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/03/08 15:50:04 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 2023/05/08 23:59:59 2023/04/08 23:59:592023/05/01 23:59:59期间，使用免费备份空间50GB。 2023/05/01 23:59:592023/05/08 23:59:59期间，使用计费备份空间10GB，计费时长168小时。 图1 给出了上述示例配置的费用计算过程。 图1 包年/包月GeminiDB Influx费用计算示例 按需计费模式下，各计费项的计费示例请参见计费示例。

本文介绍Common Name白名单功能及其配置说明。 功能介绍 开启Common Name白名单功能后，CDN节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。若请求SNI（Server Name Indication）是domain1，和源站返回证书的Common Name domain2不一致时（如下图），将会无法建连。此时如果将domain2添加至CDN节点的Common Name白名单中，将能成功建连。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。提交工单时，您需要提供以下信息： 参数名 说明 源站证书的Common Name白名单列表 支持多个域名，域名之间请使用英文逗号分隔。

本文主要介绍查看监控数据。 操作场景 云监控对Kafka实例的运行状态进行日常监控，可以通过控制台直观的查看Kafka实例各项监控指标。 前提条件 已创建Kafka实例，且实例中有可消费的消息。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，查看监控数据。 在Kafka实例名称后，单击。跳转到云监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。 单击Kafka实例名称，进入实例详情页。在左侧导航栏单击“监控”，进入监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。

参数 说明 名称 引导操作脚本的名称。 只能由数字、英文字符、空格、中划线和下划线组成，且不能以空格开头。 可输入的字符串长度为1～64个字符。 说明 同一集群内，不允许配置相同的名称。不同集群之间，可以配置相同的名称。 脚本路径 脚本的路径。路径可以是OBS文件系统的路径或虚拟机本地的路径。 OBS文件系统的路径，必须以s3a://开头，以.sh结尾。例如：s3a://mrssamples/xxx.sh 虚拟机本地的路径，脚本所在的路径必须以‘/’开头，以.sh结尾。 说明 同一集群内，不允许配置相同的路径。不同集群之间，可以配置相同的路径。 参数 引导操作脚本参数。 执行节点 选择引导操作脚本所执行的节点类型。 执行时机 选择引导操作脚本执行的时间。 组件首次启动前 组件首次启动后 失败操作 该脚本执行失败后，是否继续执行后续脚本和创建集群。 说明 建议您设置为“继续”，无论此引导操作是否执行成功，则集群都能继续创建。

本章节介绍Kafka Broker CPU高负载故障演练。 背景介绍 分布式系统中作为数据交换和异步解耦核心的 Kafka 集群，其 Broker 节点 CPU 易因高消息吞吐量、过多消费者组、数据复制同步及消息压缩解压缩等因素出现持续高负载，进而引发消息延迟、吞吐量下降等问题，本演练可有效测试系统的应对与恢复能力。 基本原理 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择Broker CPU高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 CPU占用率：指定 CPU 负载百分比，取值在0 100之间

本节主要介绍网关访问保留源IP 操作场景 服务通过网关访问时，默认情况下，目标容器中看到的不是客户端的源IP，如果需要保留源IP，请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面，istiosystem命名空间下，更新服务所关联的网关服务，将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能（当前为默认开启）。 externalTrafficPolicy：表示此Service是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项：Cluster（默认）和Local。Cluster隐藏了客户端IP，可能导致第二跳到另一个节点，但具有良好的整体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳，但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“xforwardfor”字段中可以看到源IP，httpbin是一个HTTP Request & Response Service，可以向他发送请求，他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 1. 登录ASM应用服务网格控制台，选择一个可用的测试网格并单击进入。 2. 选择左侧“网格配置”查看其关联的集群。 3. 单击集群名称进入集群详情页，单击对应集群右上角第三个图标“工作负载”进入“工作负载”页签。 4. 配置工作负载的信息。 5. 单击右下角“确定”完成服务创建。 6. 单击右下角“创建工作负载”完成工作负载创建。 7. 在集群详情页选择左侧“服务发现”页签，可在服务列表中查看到所创建的httpbin服务。 8. 返回ASM应用服务网格，选择左侧“服务管理”页签，在服务管理中可查看到httpbin的配置诊断显示为异常。 9. 单击此服务配置诊断中的“处理”按钮，按照弹出“配置诊断”页面对应的修复指导进行修复。 10. 选择左侧“网关管理”页签，单击右上角“添加网关”，在弹出“添加网关”页面输入配置信息。 11. 单击“确定”完成网关添加。 12. 选择左侧“服务管理”页签，可以在“访问地址”查看到所创建路由的外部访问地址。 13. 单击之前添加路由时设置映射的外部访问地址，可以在“xforwardfor”字段中查看网关获取的IP为容器段IP。 14. 返回集群详情页，选择左侧导航栏“服务发现”，更改服务所关联的网关服务的配置。方法如下： 下拉上方“命名空间”列表选择“istiosystem”。 展开服务后方“更多”选项，单击“更新”，在弹出“更新服务”页面将“服务亲和”更改为“节点级别”，单击“确定”。 15. 返回13中访问的外部地址并刷新，若设置之后“xforwardfor”字段中显示的网关获取IP的结果为本机源IP，则完成验证。

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 弹性云主机必须处于目标RDSPostgreSQL实例所属安全组允许访问的范围内。 弹性云主机或连接发起公网IP必须处于目标RDSPostgreSQL实例所属白名单允许的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库只读实例必须与主实例在同一子网内创建。 数据库实例的默认访问端口默认为6543，暂不支持修改端口。 数据库引擎 不同资源池支持的版本不同，具体支持版本请参见 数据库的root权限 当前提供高级账号权限给用户，不提供超级管理员权限。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。（ 说明 ：部分参数可能要重启才能生效，请谨慎操作。） 数据迁入 可以使用psql命令行工具方式迁入数据。 故障切换 对于主备实例，当主节点出现故障时，RDSPostgreSQL实例会自动切换到备节点。切换过程中有30秒左右的连接闪断，需要您设置好程序的自动重连，避免因为切换导致服务不可用。 搭建数据库复制 RDSPostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备节点不对用户开放，用户应用不可直接访问。 插件 RDSPostgreSQL为用户预置了多种扩展插件，用户需要通过命令行对插件进行安装和卸载，具体参见 重启实例 无法通过命令行重启，必须通过RDSPostgreSQL服务的管理控制台操作重启实例。 数据恢复 建议您在数据恢复前备份好重要数据，以免导致数据丢失。 建议您通过创建新的临时实例或恢复到新实例，验证临时实例或新实例的数据后，再把需要的数据迁移到生产实例。 存储空间 如果实例的存储空间已满，该实例会被自动锁定，变成只读状态。建议您定期检查存储空间的使用情况。 说明：如果存储空间使用率过高，请在控制台执行存储空间扩容，具体参见 性能优化 请检查实例是否存在性能问题，例如是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。

本节主要介绍创建Web应用组件 本节介绍基于ServiceStage创建Web静态应用组件，部署组件的操作请参考部署组件。 前提条件 1.只能在应用下新增组件，请先创建应用，请参考创建应用。 2.如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至OBS对象存储中。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击“操作”栏的“新增组件”。 3、“配置方式”选择“自定义配置”，组件类型选择“Web”，单击“下一步”。 4、选择运行时，单击“下一步”。 不同框架支持运行时有所不同，请参考微服务组件说明。 5、是否将以上配置保存为模板？ 是，勾选“将以上3步的配置保存为模版，以便下次使用相同的配置”，输入模板名称。执行步骤6。 否，执行步骤6。 6、步骤4选择的运行时是否为“Docker”？ 是，单击“下一步”，执行步骤7。 否，单击“下一步”，执行步骤8。 7、 创建Docker组件： 输入“组件名称”。 创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 操作结束。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。 8、参照下表设置组件信息，参数前面带号的是必须设置的参数。 表 组件基本信息 参数 参数说明 组件名称 组件对应的名称 开启微服务CSE名称匹配 创建微服务组件时，为了统一应用和微服务引擎（CSE）内对于服务名的命名，在微服务引擎（CSE）内默认是从环境变量或者microservice.yaml/application.yaml配置文件读取微服务信息，这样就可能造成两个地方名称不统一，开启这个选项后，会把应用的信息设置成微服务引擎的环境变量，覆盖配置文件配置的信息，使得两者模型完全统一。 说明 如果是第一次在应用下创建微服务组件，本参数可配置，配置后将无法更改。 软件包 1. 选择“War包”、“Zip包” 说明 运行时为“Tomcat8”时，选择“War包”。 运行时为“Nodejs8”、“Php7”或者“Python3”时，选择“Zip包”。 选择“上传方式”：将软件包上传至OBS对象存储中 （可选）设置“开启构建”参数，用于应用组件构建。 2. 设置“上传方式”：将软件包上传至OBS对象存储中 3. （可选）设置“开启构建”参数，用于应用组件构建。根据业务需要选择“组织”和“选择集群”参数。也可选择“过滤节点标签”，可以通过节点标签将构建任务下发到固定节点上。新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。

名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Array 所有的返回信息都以JSON形式保存 characterSetNameItems List 支持的字符集列表,例如： ["gbk","utf8","ascii"] engine String 数据库引擎类型。取值： postgreSQL：PostgreSQL

本文介绍云容器引擎的计费模式。 目前集群订购支持包年包月的付费方式，由于容器引擎处于公测状态，故不收取集群管理费用，仅根据集群开通的节点数收取云主机、云硬盘等IaaS基础资源费用。

本文主要介绍流量镜像。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云服务器网卡或者弹性负载均衡ELB实例，适用于网络流量检查、审计分析以及问题定位等场景。 说明 流量镜像支持区域： 广东广州4，江苏苏州，上海上海4 注意 流量镜像功能当前暂不收费。待后续启动收费时，将会提前通知您。 流量镜像概念 首先，为您介绍流量镜像功能中的基础概念： 筛选条件：筛选条件包含入方向规则和出方向规则，规则由优先级、流量采集策略以及匹配条件组成。 入方向规则：用来匹配镜像源接收到的流量。 出方向规则：用来匹配镜像源发送出去的流量。 镜像源：镜像源为弹性网卡，表示需要镜像该弹性网卡的流量。 镜像目的：镜像目的为云服务器网卡或者弹性负载均衡实例，用来接受镜像的流量。 镜像会话：使用流量镜像功能，您需要创建镜像会话，通过在镜像会话中关联筛选条件、镜像源和镜像目的，将镜像源符合筛选条件的流量镜像到镜像目的实例。

本文介绍科研助手的技术运维类常见问题。 作业运行常见问题 1. 作业提交后，为什么没有立刻启动？ 作业提交后会由平台进行调度，根据优先级排队等待资源，等待时间依资源池繁忙程度而定。一个作业内可以包含多个任务节点和实例，有可能出现作业中某些实例分配了资源开始运行，其它实例还在等待的情况。 2. 作业运行结束后，其中的数据是否还在？ 作业运行结束后，其中的数据将被销毁，请在作业业务逻辑中及时保存数据，例如将数据存储到对象存储等持久化存储介质中。 3. 通过息壤·科研助手提交的作业，是否支持节点间通信？ 同一个集群内的实例，可以通过内网 IP 进行通信，不同集群间实例不能互相通信。 调试和查错常见问题 1. 如何进行开发调试？ 息壤·科研助手提供了开发环境，可现在开发环境进行单机调试。 2. 如果程序执行失败怎么调试？ 程序失败时可以通过查看作业和实例事件获取更多的作业运行信息。如果问题还未能解决，请联系售后技术支持。

本章节介绍Zookeeper持久化数据迁移方案 数据迁移功能是利用ZooKeeper的快照（Snapshot）进行持久化数据的迁移。 前提条件 已创建MSE ZooKeeper集群。具体操作，请参考创建ZooKeeper引擎。 使用限制 1. 迁移前确保源ZooKeeper停止同步服务，并且有生成最新的快照文件。 2. 该方式不支持同步分布式锁、临时节点数据。 迁移步骤 步骤一：导出源ZooKeeper快照 1. 在源ZooKeeper部署机器上，查看zoo.cfg配置文件，获取dataDir配置目录。 2. 进入dataDir目录后，进入version2/目录找到最新的快照文件进行下载保存。 3. 在MSE ZooKeeper实例详情页面中，进入数据管理>Znode管理>点击数据导入。 4. 点击上传文件，选中刚刚下载保存的快照文件，点击确定，等待集群重启完毕即可，预计需要等待25分钟。 5. 验证数据迁移结果，可以在Znode管理中查看相应的节点数据验证。

本文介绍IPv6功能和配置规则。 功能介绍 天翼云全站加速节点已经支持接收IPv6协议的请求，新增域名时默认开启IPv6，当您的用户处于IPv6环境，客户端可以通过IPv6协议访问天翼云全站加速节点，支持关闭IPv6。 配置说明 新增域名： 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】，点击【添加域名】。 3. 添加域名时，ipv6开关是默认开启的，如您不需要IPv6可选择关闭。 修改IPv6解析： 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名【IPv6解析】列。 4. 单击【】，弹出提示框。 5. 单击【确定】，完成配置。

本文为您介绍弹性文件服务的产品规格限制,请您务必仔细阅读后使用。 限制项 说明 使用场景 本服务不可单独使用，需挂载至云主机等计算服务后进行访问和读写 配额 单用户默认分配50TB空间用于创建文件系统，如有更大容量的存储需求可提工单进行申请 单文件系统容量上限 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB 单文件系统可链接客户端数量上限 1000 单用户在单地域内可创建的文件系统数量 默认10个，可通过申请配额增加至20个，在多可用区资源池，各可用区共用该资源池总配额 单文件系统最大文件数 10亿 单文件系统最大目录层级 1000级 单用户文件系统可添加VPC个数上限 20 单用户权限组个数上限 20 单权限组下规则个数上限 400 CIFS文件系统级别活跃句柄数量上限 16384

名词 说明 内网域名 由一串点分隔的名字组成的用于云VPC网络访问目标主机或负载均衡的名称。 记录集 记录集是域名下一组资源记录的集合，这些资源记录属于同一域名，用于该域名支持的解析类型和解析值。 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 CNAME记录 指定域名的别名，用于将域名解析成另一个域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 TXT记录 文本记录，用于对域名进行标识和说明，主要用于： 记录DKIM公钥，用 于反电子邮件欺诈。 记录域名所有者身份信息，用于域名找回。 SRV记录 服务记录类型，记录值含服务器的地址、服务端口、优先级和权重。 PTR记录 反向解析记录，对指定IP地址的反向解析记录，用于从私网IP地址反向查询对应的域名。

您可以使用云应用引擎提供的多语言Demo镜像，或者配置 Docker Hub、Harbor、GitHub Container Registry（GHCR）等常见的镜像地址，来自定义镜像。 功能入口 创建应用 1. 在应用基础信息页面中，应用部署方式选择镜像部署 ，点击设置镜像。 2. 在弹出的设置镜像窗口，选择应用所属的技术栈语言 ，并根据需要选择示例镜像 或者自定义镜像。 3. 当选择自定义镜像时，您需要填写镜像仓库地址 以及配置用户名密码（可选）。 注意 1. 当选择镜像网络为公网时，需要完成应用访问公网设置，确保应用可以访问公网 2. 当选择镜像网络为私网时，需要保证应用所在VPC网络与私有镜像仓库网络打通 创建有状态应用 创建有状态应用与创建无状态应用的操作基本一致，只需在应用基本信息页面中，应用类型选择有状态应用。

本文主要介绍CMDB管理概述。 应用性能监控默认内置了一个资源配置管理信息CMDB，您可用于组织应用结构信息以及相关配置信息，主要概念如下： 项目：用于组织和管理应用，在项目下还可以通过应用分组精细化管理应用。 环境： 即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 分组：在一个项目下面可以创建多个分组，主要起文件夹和管理的功能。 应用：应用是组成项目的某个业务实现，可独立部署运行，可以简单理解为一份代码程序对应一个应用，例如电商项目里的订单应用。一个应用可以部署到多个环境。 下图是一个CMDB结构示例： 在应用监控指标浏览页面，您可通过该组织结构进行更方便快捷的指标管理。

规格 限制 AI云电脑高可用（通用版） 1、不支持AI云电脑加入和退出并发桌面池； 2、故障期间，AI云电脑绑定的弹性IP会变化； 3、故障期间，已开通的增值服务：翼甲卫士、翼共享、安全云应用不可用； 4、故障期间，已创建的对等连接不可用； 5、故障期间，已开通的VPN不可用； AI云电脑高可用（个性版） 1、不支持AI云电脑加入和退出并发桌面池； 2、不支持AI云电脑变更VPC和子网； 3、故障期间，AI云电脑绑定的弹性IP会变化； 4、故障期间，已开通的增值服务：翼甲卫士、翼共享、安全云应用不可用； 5、故障期间，已创建的对等连接不可用； 6、故障期间，已开通的VPN不可用； 7、故障期间，系统盘Windows、Program Files、Program Files(X86)目录的文件修改（包括系统配置修改、应用安装卸载）在故障恢复后不保留； 8、故障期间，删除的文件在故障恢复后会被还原；

本文介绍ECI实例如何挂载弹性文件数据卷。 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以为ECI提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 使用限制 待挂载弹性文件必须是按量付费类型。 待挂载弹性文件必须与ECI实例处于同一VPC。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，添加弹性文件。 4. 在容器配置中打开“高级设置”，添加弹性文件存储卷并指定容器内的挂载路径，以及是否只读挂载等，最后点击“+添加存储”为容器配置存储卷。

内网DNS提供VPC内的域名解析请求能力，主要负责处理内网域名及其他云服务域名的解析请求。 表内网DNS地址 区域 内网DNS地址 安徽芜湖 100.125.108.32 北京北京2 100.125.108.43 福建福州 100.125.108.43 甘肃兰州 100.125.108.250 贵州贵州 100.125.108.15 湖北武汉2 100.125.108.250 河北石家庄 100.125.108.250 海南海口 100.125.108.250 湖南长沙2 100.125.108.250 100.125.108.251 浙江杭州 100.125.0.250 100.125.0.13 吉林长春 100.125.108.28 江苏苏州 100.125.108.250 100.125.0.250 江西南昌 100.125.0.250 100.125.0.13 辽宁沈阳3 100.125.0.250 内蒙古内蒙3 100.125.0.250 100.125.108.29 四川成都3 100.125.108.51 上海上海4 100.125.108.31 陕西西安2 100.125.108.25 广东深圳 100.125.108.250 广东广州4 100.125.108.250 华北华北 100.125.8.26

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id nodeId body Long 是 节点id delay body Long 是 复制延迟时间，单位:ms restart body boolean 否 是否重启实例，true:重启，false:不重启，默认重启；必须重启才生效

本章节主要介绍高频问题 新创建应用、服务等资源后，AOM界面为何不实时显示监控数据？ 当您新创建了主机、应用、组件、进程等资源后，ICAgent会以10分钟为周期进行周期性监控数据上报，AOM界面需要等待一个上报周期后方可展示相关监控数据。 删除主机、工作负载等资源后，AOM界面为何仍然显示资源状态为正常？ 当您在CCE集群中删除了主机或工作负载等资源后，在AOM“主机监控”或“容器监控”界面显示资源状态仍为正常。此为正常现象，这是由于AOM“主机监控”或“容器监控”界面不会立即将资源状态置为已删除，而是会等待30分钟后将已删除的资源状态置为已删除。 如果界面上点击升级操作失败，该怎么办？ 自定义集群场景下，如果界面上点击升级操作失败，您可以登录到vm节点上，直接执行安装命令再次安装即可。 ICAgent的安装是覆盖式安装，无需先卸载，直接安装即可。 采集的日志文件是什么类型的？ 在配置日志采集路径时，若日志采集路径配置的是目录，则默认采集目录下的日志（只采集.log、 .trace和 .out类型的文本日志文件）；若配置的为具体某个文件，则直接采集对应文件。指定文件必须为文本文件，不支持其他类型（例如二进制日志文件）的日志文件。 采集器ICAgent对资源的占用大吗？例如内存、CPU。 AOM对基础指标的采集，包含VM、容器、进程的CPU、内存等基础指标。 资源消耗：对此类指标采集时，采集器ICAgent对资源的消耗和容器、进程个数相关。 正常业务量情况下，采集器ICAgent消耗内存约30M、单核CPU约3%。 使用限制：单节点上运行容器个数小于1000个。 保护机制： 采集器ICAgent对CPU资源的消耗最大不超过2核。 当采集器ICAgent对内存的消耗超过min{4G，节点物理内存/2}时，AOM将启动采集器重启保护。

本章节主要介绍ALM12034 周期备份任务失败。 告警解释 系统每60分钟执行周期备份任务，如果周期备份任务执行失败，则上报该告警，如果下次备份执行成功，则恢复告警。 告警属性 告警ID 告警级别 是否自动清除 12034 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 任务名 任务名称。 对系统的影响 周期备份任务失败，可能会导致长时间没有可用的备份包，在系统出现异常时，无法恢复。 可能原因 该告警产生原因依赖于该任务的详细情况，直接获取日志和任务详情来处理该告警。 处理步骤 查看磁盘空间是否不足 1. 在FusionInsight Manager管理界面，选择“运维 > 告警 > 告警”。 2. 在告警列表中单击该告警的，从“定位信息”处获得“任务名”。 3. 选择“运维 >备份恢复 > 备份管理”。 4. 根据“任务名”查找对应备份任务，单击“操作”栏下的“更多”按钮，在弹出的窗口中单击“查询历史”按钮，查看备份任务的详细信息。 5. 在弹出的日志详情窗口中，单击，查看是否有“Failed to backup xx due to insufficient disk space, move the data in the /srv/BigData/LocalBackup directory to other directories.”的信息。 是，执行步骤6。 否，执行步骤13。 6. 单击“备份路径”下的“查看”，获取备份路径。 7. 以root用户登录节点，执行以下命令查看节点挂载详情： df h 8. 在挂载详情中查看备份路径挂载点的剩余空间是否小于20GB。 是，执行步骤9。 否，执行步骤13。 9. 查看备份目录下是否有很多备份包。 是，执行步骤10。 否，执行步骤13。 10. 将备份包移出备份目录，或者直接删除备份包，直到备份目录挂载节点剩余空间大于20GB。 11. 再一次启动该备份任务，查看备份任务是否执行成功。 是，执行步骤12。 否，执行步骤13。 12. 等待2分钟，检查告警是否消除。 是，结束操作。 否，执行步骤13。

功能 商业版 免费版 软件许可证 加载软件许可证、查看软件许可证 支持 支持 卷 创建卷、扩容卷、修改卷、设置卷主备优先级或自动切换、触发卷对应target的主备切换、删除卷、设置卷的扩展属性、删除卷的指定扩展属性、删除卷所有的扩展属性、查询卷的扩展属性、查询卷、查询卷关联的QoS策略 支持 支持 卷 克隆卷、断开克隆与快照的关系链、还原卷、挂起卷、恢复还原中断或挂起的卷、清空卷 支持 不支持 快照 创建快照、修改快照、回滚快照、删除快照、查询快照 支持 不支持 一致性快照 创建一致性快照、修改一致性快照、回滚一致性快照、删除一致性快照、查询一致性快照 支持 不支持 备份 导出备份、导入备份 支持 不支持 iSCSI target 创建iSCSI target、删除iSCSI target、设置iSCSI target的CHAP认证、删除CHAP、迁移iSCSI target、修改iSCSI target下每个IQN允许建立的最大会话数、修改iSCSI target的回收策略、设置iSCSI target的允许访问列表、删除iSCSI target的允许访问列表、查询iSCSI target、查询iSCSI target连接、删除iSCSI target连接 支持 支持 存储池 创建存储池、添加节点到存储池、修改存储池、移除存储池内的节点、删除非基础存储池、查询存储池、查询存储池关联的QoS策略 支持 支持 QoS策略 创建QoS策略、修改QoS策略、设置卷关联的QoS策略、解除卷关联的QoS策略、设置存储池关联的QoS策略、解除存储池关联的QoS策略、设置存储池内卷的默认QoS策略、解除存储池内卷的默认QoS策略、删除QoS策略、查询QoS策略、查询QoS策略关联/可关联的对象信息 支持 不支持 集群拓扑 创建拓扑节点、修改拓扑节点信息、删除拓扑节点、查询拓扑信息 支持 支持 服务器 添加服务器、修改服务器属性（包括：修改服务器端口范围、设置服务器目标门户IP、设置服务器中HBlock可使用的内存、设置服务器默认数据目录）、删除服务器属性（服务器的targetPorttalIP配置）、移除服务器、查询服务器、添加数据目录、修改数据目录的容量配额、移除数据目录 支持 支持 服务器 迁移服务器上的基础服务 支持 不支持 监控 查询实时性能数据、导出性能数据（命令行）、查看历史性能数据（WEB/API） 支持 支持 告警 查看告警信息、导出告警、手动解除告警、静默告警、解除告警静默 支持 支持 事件 查看HBlock事件、导出HBlock事件 支持 支持 日志 发起HBlock日志采集、查看HBlock采集的日志、下载采集的HBlock日志文件、删除HBlock采集的日志 支持 支持 管理员密码 修改管理员密码 支持 支持 邮件设置 设置邮件通知功能、发送测试邮件、删除邮件配置、查询邮件配置 支持 支持 远程协助 设置远程协助、删除远程协助配置、查询远程协助配置 支持 支持 Pushgateway监控配置 添加Pushgateway监控配置、修改Pushgateway监控配置、删除Pushgateway监控配置、查询Pushgateway监控配置 支持 不支持 智维推送告警配置 添加向智维推送告警的配置、修改向智维推送告警的配置、删除向智维推送告警的配置、查询向智维推送告警的配置 支持 不支持 鉴权方式 设置鉴权方式、查询鉴权方式 支持 支持 高级试用功能 开启高级试用功能 不支持 支持 调整HBlock性能参数 调整HBlock性能参数、查看性能调优配置 支持 支持 服务管理 停止服务器上的HBlock服务、启动服务器上的HBlock服务、重启服务器上的HBlock服务 支持 支持 卸载HBlock 卸载HBlock 支持 支持 系统查询 查看HBlock信息、查看HBlock服务状态、查看HBlock版本 支持 支持 升级HBlock 查看升级状态 支持 支持 升级HBlock 升级HBlock 支持 2年内支持

本章节介绍Kafka Broker CPU高负载故障演练。 背景介绍 分布式系统中作为数据交换和异步解耦核心的 Kafka 集群，其 Broker 节点 CPU 易因高消息吞吐量、过多消费者组、数据复制同步及消息压缩解压缩等因素出现持续高负载，进而引发消息延迟、吞吐量下降等问题，本演练可有效测试系统的应对与恢复能力。 基本原理 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择Broker CPU高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 CPU占用率：指定 CPU 负载百分比，取值在0 100之间