参数名 描述 AM最多占有资源（%） 表示当前队列内所有Application Master所占的最大资源百分比。 每个YARN容器最多分配核数 表示当前队列内单个YARN容器可分配的最多核数，默认为1，表示取值范围内不限制。 每个YARN容器最大分配内存（MB） 表示当前队列内单个YARN容器可分配的最大内存，默认为1，表示取值范围内不限制。 最多运行任务数 表示当前队列最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 每个用户最多运行任务数 表示每个用户在当前队列中最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 最多挂起任务数 表示当前队列最多同时可挂起任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可挂起任务。取值范围为1～2147483647。 资源分配规则 表示单个用户任务间的资源分配规则，包括FIFO和FAIR。 一个用户若在当前队列上提交了多个任务，FIFO规则代表一个任务完成后再执行其他任务，按顺序执行。FAIR规则代表各个任务同时获取到资源并平均分配资源。 默认资源标签 表示在指定资源标签（Label）的节点上执行任务。 说明 如果需要使用新的资源池，需要修改默认标签为新的资源池标签。 Active状态 ACTIVE表示当前队列可接受并执行任务。 INACTIVE表示当前队列可接受但不执行任务，若提交任务，任务将处于挂起状态。 Open状态 OPEN表示当前队列处于打开状态。 CLOSED表示当前队列处于关闭状态，若提交任务，任务直接会被拒绝。

通过界面下载慢日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下，对状态为“准备完成”的日志文件，单击操作列中的“下载”，下载慢日志。 系统会自动加载下载准备任务，加载时长受日志文件大小及网络环境影响。 − 下载准备过程中，日志文件状态显示为“准备中...”。 − 下载准备完成，日志文件状态显示为“准备完成”。 − 下载准备工作失败，日志文件状态显示为“异常”。 “准备中...”和“异常”状态的日志文件不支持下载。 当前页面支持下载的文件最大不超过40MB，时间范围是从当前时间往前计算，直至文件大小累计为40MB。 当需要下载的文件大于40MB时，需要通过客户端工具OBS Browser+进行下载。 下载链接有效期为5分钟。如果超时，提示用户下载链接已失效，是否重新下载。若需重新下载，单击“确定”，否则单击“取消”。 下载的日志文件仅包含主节点的日志。 结束 LTS慢日志配置 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下，选择“日志明细”。 步骤 6 单击 ，配置日志记录上传LTS。 步骤 7 在下拉框分别选择LTS日志组和日志流，单击“确定”。 结束

本节描述了搭建容灾的操作场景、实现原理、注意事项、操作步骤等内容。 操作场景 建立跨Region容灾关系，当主实例所在区域发生突发性自然灾害等状况，主节点无法连接，可将异地灾备实例升为主实例，在应用端修改数据库连接地址后，即可快速恢复应用的业务访问。 实现原理 在两个数据中心独立部署RDS for PostgreSQL实例，通过RDS的容灾功能将生产中心主实例中的数据同步到灾备中心灾备实例中，实现主实例和跨Region灾备实例数据之间的实时同步。 拓扑图 注意事项 使用该功能前，必须要确保跨Region数据库实例之间的网络打通（可考虑VPN连接产品）。 使用该功能前，确保主实例和灾备实例状态正常，主实例和灾备实例在不同Region上，且主实例为主备实例，灾备实例为单机实例。 灾备实例的CPU和内存规格以及磁盘容量要大于或等于主实例的规格以及磁盘容量。 灾备实例的底层架构和数据库大版本要与主实例一致。 不支持跨大版本建立跨云或跨Region容灾关系。 调用配置主实例容灾接口后直至成功搭建容灾关系，不能进行规格变更、主备倒换操作。 搭建容灾后，灾备实例支持变更CPU和内存规格。 修改主实例的端口或内网地址后需要重新搭建灾备关系。 灾备实例搭建成功后，不能进行小版本升级。 RDS for PostgreSQL 12及以上支持建立跨Region容灾关系。 主实例参数被修改后，灾备实例无法同步修改该参数，需结合业务自行修改灾备实例参数。 RDS for PostgreSQL灾备实例不支持PITR恢复，如需使用此功能，请在主实例上完成。

本章节介绍授权策略 概述 授权策略（AuthorizationPolicy）提供全局、命名空间级工作负载级别的访问控制，支持工作负载之间及终端用户对网格内的工作负载的访问控制策略。 授权策略配置粒度 授权策略支持三种配置粒度，全局、命名空间和工作负载级； 1. 当策略的命名空间为系统命名空间时（默认为istiosystem），策略为全局生效； 2. 当策略命名空间不是系统命名空间，且没有选择工作负载，策略将只在当前命名空间生效并覆盖全局策略； 3. 当策略在非系统命名空间，且选择了工作负载，则只对指定工作负载生效。 下面的配置定义了对foo命名空间下的服务的授权策略： 1. 请求方的service account是cluster.local/ns/default/sa/sleep或者命名空间是test。 2. 只能对foo命名空间下的GET /info接口或者POST /data接口。 3. 请求必须经过jwt认证，且iss必须是 4. 其他情况全部拒绝访问。 apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: foo spec: action: ALLOW rules: from: source: principals: ["cluster.local/ns/default/sa/sleep"] source: namespaces: ["test"] to: operation: methods: ["GET"] paths: ["/info"] operation: methods: ["POST"] paths: ["/data"] when: key: request.auth.claims[iss] values: ["

套餐超出资费说明 如果套餐内用量用尽，高级版支持按需付费，免费版不支持。如果请求数较多，请直接订购高级版。相关资费见下表： 计费方式 说明 生效区域 规格 费用（元/百万次） 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 10ms 1 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 50ms 3 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 100ms 5 计费示例 定价示例：网站请求个性化定制 您在CDN加速的域名，需要针对请求响应进行个性化定制。 假设您每月试用的函数请求数为2601百万次，且您的终端用户都在中国内地。 推荐订购开发者平台高级版套餐，其中高级版套餐包含100万次函数请求数。按照您的使用量，请求数将会超过100万次，超出套餐的请求数会自动按照按需计费。 计费项目 用量 费用计算（元/月） 每月总费用（元/月） 开发者平台高级版套餐 高级版套餐包含100万次函数请求数（支持10ms/50ms/100ms） 40 40 50ms规格的函数请求数超量 2600百万次 326007800 7800 总计 7840

天翼云电脑(政企版)可以通过资源包订购方式。 操作场景 AI云电脑服务开通之后，管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 操作步骤 1. 进入“AI云电脑（政企版）”控制台； 2. 点击“资源包管理”，进入“资源包管理”页面； 3. 点击“订购资源包”，进入“订购资源包”页面； 4. 根据实际情况选择需购买的资源包配置信息，包括计算包，存储包，网络包及购买时长； 计算包：每个计算包包括10vCPU+20GB内存+80G高IO系统盘每AI云电脑的资源总和，如用户需要开通100台2vCPU4GB内存的AI云电脑，则此处需配置20个计算包，以此类推； 存储包：订购资源包可使用的AI云电脑数据盘的总量，100GB起订，步长100GB，最大10000TB； 网络包：订购资源包可使用的网络带宽总量，0~4096Mbps； 5. 选择购买时长：订购资源包可使用的有效时长； 6. 确认信息和配置费用，点击“立即购买”。支付成功后，即可完成资源包的订购。

本文介绍天翼云CDN加速支持静态小文件加速、大文件下载、音视频点播三大类加速场景。 应用场景 场景概述 CDN加速解决的业务痛点 静态小文件 适用于政府官网、金融证券、电子商务和新闻媒体等各类网站，加快网页加载速度，提升数据传输安全。 电商网站商品信息加载失败、加载慢，订单流失。 政企官网响应慢，影响群众办事效率，群众投诉。 网站新业务推广期间，并发大，源站服务器压力大，服务器容易崩溃，造成服务不可用。 终端用户分布在不同区域和不同运营商，访问速度和质量差异较大。 大文件下载 适用于应用商店和游戏更新等大文件下载加速，减少下载中断和错误，给用户极致的下载体验。 业务被劫持，用户下载到旧版安装包，重新下载耗费额外的资源，体验差。 应用下载速度慢，长时间停留在缓冲状态，用户体验差。 热门应用发布下载高并发，源站服务器容易崩溃，造成服务不可用。 音视频点播 适用于视频门户、短视频平台和在线教育的点播视频加速，让视频播放流畅不卡顿，并有效保护版权。 视频播放首屏播放慢，播放不流畅。 视频内容被盗链，产生额外流量成本。 热门新剧发布高并发，对源站性能要求高，源站带宽成本较高。

操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“HDFS”。 7.在“HDFS”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 8.在“最大恢复点个数”填写备份任务在本集群中备份可保留的快照数量。 9.在HDFS“备份内容”中，根据业务需要选择一个或多个需要备份的HDFS目录。 支持两种方式选择备份数据： 直接选择 单击导航中某个目录的名称，将展开显示此目录中的所有子目录，勾选指定的目录。 正则表达式筛选 a. 单击“正则表达式输入”。 b. 根据界面提示，在第一个输入框填写目录的父目录完整路径，需要与当前存在的目录完全匹配。例如“/tmp”。 c. 在第二个输入框输入正则表达式，支持标准正则表达式。例如要筛选父目录中所有的文件或子目录，输入“([sS]?)”。例如要筛选命名规则为字母数字组合的文件，如file1 可输入“filed ”。 d. 单击“刷新”，在“目录名称”查看筛选的目录。 e. 单击“同步”保存筛选结果。 说明 输入正则表达式时，可以使用和增加或删除一条表达式。 如果已选择的表或目录不正确，可以单击“清除选中节点”清除勾选。 备份目录不可包含长期写入 10.单击“校验”查看备份任务的配置是否正确。 校验失败可能存在以下原因： 目的端NameNode IP地址不正确。 队列名称不正确。 待备份的数据文件所在HDFS路径的父目录或子目录存在HDFS快照。 待备份的目录或表不存在。 NameService名称不正确。 11.单击“确定”保存。 12.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备集群的备份路径中为每个备份任务创建子目录，目录名为“ 备份任务名数据源任务创建时间” ，数据源每次备份的最新备份文件保存在此目录中。所有备份文件集保存在对应的快照目录中。

本文介绍如何为应用挂载数据卷。 Docker镜像是由多个文件系统叠加而成，当启动一个容器的时候，Docker会加载只读镜像层并在上面添加一个读写层。当删除Docker容器并通过该镜像重新启动时，之前的更改将会丢失。为了能够保存数据以及共享容器间的数据，Docker提出了数据卷的概念。简单来说，数据卷就是目录或者文件，它可以绕过默认的联合文件系统，以正常的文件或者目录的形式存在于主机上。 在Docker中，数据卷只是磁盘或另一容器中的目录。其生命周期不受管理，且Docker现在提供的卷驱动程序功能非常有限。容器引擎CCE采用的是Kubernetes的数据卷的概念，Kubernetes数据卷具有完善的生命周期管理，支持多种类型的数据卷，同时实例可以使用任意数量的数据卷。 云容器引擎支持四类本地磁盘挂载类型：支持hostPath、emptyDir、configMap、secret。各类型说明如下： hostPath：指定主机中的文件或目录挂载到容器的某一路径中； EmptyDir：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除， 数据会永久丢失； ConfigMap：将配置文件中的key映射到容器中，可以用于挂载配置文件到指定容器目录； Secret：将密钥中的数据挂载到指定的容器路径。 操作步骤 1.在创建应用或升级应用流程中，进去容器设置步骤，点击【数据存储】，点击【添加本地磁盘】，进入本地磁盘添加页面； 1）卷类型选择hostPath，表示在容器上挂载宿主机上的文件或目录。通常用于“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”，具体参数说明如下所示： 参数 参数说明 存储类型 选择主机路径 主机路径 输入主机路径，如/tmp 挂载路径 数据卷挂载到容器上的路径 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 子路径 相对路径 权限 只读：只能读容器路径中的数据卷； 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失； 2）卷类型选择emptyDir：容器分配到节点时系统将自动创建卷，初始内容为空。在同一个Pod中所有容器可以读写emptyDir中的相同文件。当Pod从节点上移除时，empryDir中的数据也会永久删除。通常用于临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择临时路径 磁盘介质 不勾选：存储在硬盘上，适用于数据量大，读写效率要求低的场景 勾选：存储在内存中，适用于数据量少，读写效率要求高的场景 挂载路径 数据卷挂载到容器上的路径。 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 权限 只读：只能读容器路径中的数据卷 可写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失 3）卷类型选择configMap：平台提供应用代码和配置文件的分离，configMap用于处理应用配置参数。用户需要提前创建应用配置，操作步骤请参见创建配置项，临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择配置项 配置项 选择已经建立好的配置项 说明： configMap需要提前创建 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 4）卷类型选择secret：用户需要提前创建私密凭据，操作步骤请参见创建私密凭据,临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择私密凭据 卷类型 选择已经创建好的私密凭据 说明： secret需要提前创建，请参见 创建私密凭据 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 2.点击【添加容器挂载】，可新增挂载项，点击【删除】可删除之前的容器挂载配置； 3.点击【确定】，完成本地磁盘的添加。

定时任务是否需要特定权限的用户才可以执行？ 天翼云DTS支持配置迁移/同步任务时，按需开启定时任务，用户可以配置在特定的时间节点启动任务。定时任务的开启/关闭，和当前登录账号权限无关。也即所有天翼云官网门户经过实名认证的个人/企业账号均可以在配置DTS任务时按需开启定时功能。 DTS任务运行过程中为什么提示账号权限不足？ DTS要正常完成数据迁移/同步，需要迁移/同步账号具备一定的权限。一旦账号权限不足，就可能导致数据传输失败。为确保数据传输正常进行，请给待迁移/同步账号赋予特定的权限，具体可参照： 将MySQL迁移到MySQL的【数据库账号及权限】部分内容。 将PostgreSQL迁移到PostgreSQL的【数据库账号及权限】部分内容。 将DDS/MongoDB副本集迁移到DDS/MongoDB副本集的【数据库账号及权限】部分内容。 将DDS/MongoDB分片集群迁移到DDS/MongoDB分片集群的【数据库账号及权限】部分内容。 将DDS/MongoDB副本集迁移到DDS/MongoDB分片集群的【数据库账号及权限】部分内容。 将SQL Server迁移到SQL Server的【数据库账号及权限】部分内容。 将MySQL同步到MySQL的【数据库账号及权限】部分内容。 MySQL实例间的双向同步的【数据库账号及权限】部分内容。 将PostgreSQL同步到PosgreSQL的【数据库账号及权限】部分内容。 PostgreSQL实例间的双向同步的【数据库账号及权限】部分内容。 将SQL Server同步到SQL Server的【数据库账号及权限】部分内容。

本文介绍数据库审计的监控指标以及如何查看数据库审计的监控数据。 为保证数据库审计实例的可靠性、可用性和可观测性，对数据库审计进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的数据库审计监控功能，可方便用户更快、更直观的了解数据库审计的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理数据库审计实例。 当用户开通数据库审计服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 数据库审计支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计数据库审计实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计数据库审计实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计数据库审计实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计数据库审计实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计数据库审计实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计数据库审计实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计数据库审计实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计数据库审计实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计数据库审计实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计数据库审计实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟

本文主要介绍CCE发布Kubernetes 1.25版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.25版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.25版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.25 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.25变更说明 CCE v1.25集群的节点均默认采用Containerd容器引擎。 社区1.25 ReleaseNotes 清理iptables链的所有权 Kubernetes通常创建iptables链来确保这些网络数据包到达，这些iptables链及其名称属于Kubernetes内部实现的细节，仅供内部使用场景，目前有些组件依赖于这些内部实现细节，Kubernetes总体上不希望支持某些工具依赖这些内部实现细节。 在Kubernetes 1.25版本后，Kubelet通过IPTablesCleanup特性门控分阶段完成迁移，是为了不在NAT表中创建iptables链，例如KUBEMARKDROP、KUBEMARKMASQ、KUBEPOSTROUTING。 存储驱动的弃用和移除，移除云服务厂商的intree卷驱动。 社区1.24 ReleaseNotes 在Kubernetes 1.24版本后，Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。请使用自定义annotation。 在Kubernetes 1.24版本后，kubeapiserver移除参数address、insecurebindaddress、port、insecureport0。 在Kubernetes 1.24版本后，kubecontrollermanager和kubescheduler移除启动参数port0和address。 在Kubernetes 1.24版本后，kubeapiserver auditlogversion和auditwebhookversion仅支持audit.k8s.io/v1，Kubernetes 1.24移除audit.k8s.io/v1[alphabeta]1，只能使用audit.k8s.io/v1。 在Kubernetes 1.24版本后，kubelet移除启动参数networkplugin，仅当容器运行环境设置为Docker时，此特定于Docker的参数才有效，并会随着Dockershim一起删除。 在Kubernetes 1.24版本后，动态日志清理功能已经被废弃，并在Kubernetes 1.24版本移除。该功能引入了一个日志过滤器，可以应用于所有Kubernetes系统组件的日志，以防止各种类型的敏感信息通过日志泄漏。此功能可能导致日志阻塞，所以废弃。 VolumeSnapshot v1beta1 CRD在Kubernetes 1.20版本中被废弃，在Kubernetes 1.24版本中移除，需改用v1版本。 在Kubernetes 1.24版本后，移除自1.11版本就废弃的service annotation tolerateunreadyendpoints，使用Service.spec.publishNotReadyAddresses代替。 在Kubernetes 1.24版本后，废弃metadata.clusterName字段，并将在下一个版本中删除。 Kubernetes 1.24及以后的版本，去除了kubeproxy监听NodePort的逻辑，在NodePort与内核net.ipv4.iplocalportrange范围有冲突的情况下，可能会导致偶发的TCP无法连接的情况，导致健康检查失败、业务异常等问题。升级前，请确保集群没有NodePort端口与任意节点net.ipv4.iplocalportrange范围存在冲突。

为保证Web应用防火墙实例的可靠性、可用性和可观测性，对Web应用防火墙进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的Web应用防火墙监控功能，可方便用户更快、更直观的了解Web应用防火墙的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理Web应用防火墙实例。 当用户开通Web应用防火墙（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 实例支持的监控指标 监控指标 指标说明 是否支持告警 监控周期 QPS瞬时峰值 该指标用于统计近1分钟内防护域名的QPS峰值。 是 1分钟 QPS均值 该指标用于统计近1分钟内防护域名的QPS均值。 是 1分钟 QPS 该指标用于统计测量对象近1分钟内WAF返回的请求量的总数。 是 1分钟 返回码（2XX） 该指标用于统计测量对象近1分钟内返回的2XX状态码的数量。 是 1分钟 返回码（3XX） 该指标用于统计测量对象近1分钟内返回的3XX状态码的数量。 是 1分钟 返回码（4XX） 该指标用于统计测量对象近1分钟内返回的4XX状态码的数量。 是 1分钟 返回码（5XX） 该指标用于统计测量对象近1分钟内返回的5XX状态码的数量。 是 1分钟 长连接峰值数 该指标用于统计5分钟内长连接峰值数。 是 5分钟 入网带宽的峰值 该指标用于统计近1分钟内防护域名入网带宽的峰值。 是 1分钟 入网带宽的均值 该指标用于统计近1分钟内防护域名入网带宽的均值。 是 1分钟 出网带宽的峰值 该指标用于统计近1分钟内防护域名出网带宽的峰值。 是 1分钟

本节介绍了有状态服务的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。 因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。 操作步骤及说明 创建StatefulSet与创建Deployment的过程类似，但主要有以下几个方面的差异，需要注意： 数据卷 除了Deployment能够使用的六种类型的数据卷之外，StatefulSet还多了新建PVC这种类型的数据卷挂载，而且这种类型的数据卷仅StatefulSet能够使用。一般情况下，如果我们使用StatefulSet来做数据的持久化，即可使用新建PVC这种数据卷。 使用这种数据卷挂载的时候，我们需要提前创建好存储类，然后点击上面的新建pvc。 新建pvc时的参数需要留意，只有同时满足下述条件，新建PVC才能成功绑定到我们提前创建的持久存储卷上： 名称可以任意填写 StorageClass；名称要选择我们提前创建好的持久存储类。 所需容器：不能超过我们提前创建好的持久存储卷的容量。 访问模式：要和我们提前创建的持久存储卷的访问模式一致。

本文介绍Kubernetes 1.32版本的变更说明 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.32集群版本特性。 新增特性及特性增强 SizeMemoryBackedVolumes（GA） 在Kubernetes 1.32中，SizeMemoryBackedVolumes特性进阶至GA。该特性支持对基于内存的卷（如EmptyDir）指定大小限制，防止Pod过多占用节点内存。 Pod生命周期Sleep（GA） 在Kubernetes 1.32中，PodLifecycleSleepAction特性进阶至GA。该特性支持在容器生命周期回调中通过Sleep字段直接使用sleep命令，将容器暂停一段指定的时间。 StatefulSet自动删除PVC（GA） 在Kubernetes 1.32中，StatefulSetAutoDeletePVC特性进阶至GA。该特性支持设置StatefulSet在删除和缩容时PVC的保留策略，允许在StatefulSet删除或缩容时同步删除PVC。 CronJobsScheduledAnnotation（GA） 在Kubernetes 1.32中，CronJobsScheduledAnnotation特性进阶至GA。该特性会将Cronjob被调度的时间写到Job的注解batch.kubernetes.io/cronjobscheduledtimestamp中。 PodIndexLabel（GA） 在Kubernetes 1.32中，PodIndexLabel特性进阶至GA。该特性会将Index Job的完成顺序写到Pod的标签batch.kubernetes.io/jobcompletionindex中。 定制资源的可选择字段（GA） 在Kubernetes 1.32中，CustomResourceFieldSelectors特性进阶至GA。该特性支持对CRD配置selectableFields，并支持使用Field Selectors过滤List、Watch和DeleteCollection请求，方便用户定位或管理符合特定条件的CRD资源。 JobManagedBy（Beta） 在Kubernetes 1.32中，JobManagedBy特性进阶至Beta。该特性支持通过Job的spec.managedBy字段自定义Job的controller。 RelaxedEnvironmentVariableValidation（Beta） 在Kubernetes 1.32中，RelaxedEnvironmentVariableValidation特性进阶至Beta。该特性支持在环境变量名中使用所有可打印的ASCII字符（""除外），增加了环境变量使用的灵活性。 WatchList（Beta） 在Kubernetes 1.32中，WatchList特性进阶至Beta并默认开启。对于使用clientgo的用户，在开启clientgo的WatchListClient特性后，使用流式请求而不是全量List访问Kubeapiserver，降低控制面资源消耗。

为保证Web应用防火墙实例的可靠性、可用性和可观测性，对Web应用防火墙进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的Web应用防火墙监控功能，可方便用户更快、更直观的了解Web应用防火墙的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理Web应用防火墙实例。 当用户开通Web应用防火墙（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 实例支持的监控指标 监控指标 指标说明 是否支持告警 监控周期 QPS瞬时峰值 该指标用于统计近1分钟内防护域名的QPS峰值。 是 1分钟 QPS均值 该指标用于统计近1分钟内防护域名的QPS均值。 是 1分钟 QPS 该指标用于统计测量对象近1分钟内WAF返回的请求量的总数。 是 1分钟 返回码（2XX） 该指标用于统计测量对象近1分钟内返回的2XX状态码的数量。 是 1分钟 返回码（3XX） 该指标用于统计测量对象近1分钟内返回的3XX状态码的数量。 是 1分钟 返回码（4XX） 该指标用于统计测量对象近1分钟内返回的4XX状态码的数量。 是 1分钟 返回码（5XX） 该指标用于统计测量对象近1分钟内返回的5XX状态码的数量。 是 1分钟 长连接峰值数 该指标用于统计5分钟内长连接峰值数。 是 5分钟 入网带宽的峰值 该指标用于统计近1分钟内防护域名入网带宽的峰值。 是 1分钟 入网带宽的均值 该指标用于统计近1分钟内防护域名入网带宽的均值。 是 1分钟 出网带宽的峰值 该指标用于统计近1分钟内防护域名出网带宽的峰值。 是 1分钟

云硬盘备份出现异常该如何处理？ 目前异常状态主要为云硬盘备份状态异常。当处于这些状态时，请参考下面处理建议。 异常状态 建议 错误 您可以删除错误状态的云硬盘备份后，再重新创建。 状态卡顿 请联系客服解决。客服会主动帮您解决此问题，在此之前建议不要对该备份数据做其他操作。如果您对客服响应速度有要求，请主动联系。 为什么子用户订购存储库跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。 云硬盘备份是否支持一致性备份？ 备份一致性通常包括不一致备份、崩溃一致性备份和应用一致性备份。云硬盘备份支持多磁盘批量备份，但不保证多个磁盘备份在同一时间点。因此，云硬盘单盘备份属于崩溃一致性备份，多盘备份属于不一致备份。 不一致备份：备份的文件或磁盘数据不在同一个时间点。在这种情况下，数据可能处于不同状态，例如部分数据已更新而其他数据未更新。通常发生在未同步备份多个磁盘或文件时，例如使用云硬盘备份对多个云硬盘单独备份，可能因备份时间不同步，而产生不一致数据。 崩溃一致性备份：备份数据在同一时间点捕获磁盘上的状态，但不备份内存数据，且不静默应用系统。恢复后的效果类似系统崩溃后重启的效果，内存的脏数据会丢失，但不保证应用层的一致性。 应用一致性备份：备份数据在同一时间点捕获，并静默应用系统、备份内存数据，确保应用层的事务完整性。恢复后无需额外恢复操作（如数据库日志回滚），直接可用。

本章节介绍云容器集群Pod进程停止故障演练。 背景介绍 在 CCE 中，Pod 容器内进程若意外终止，可能导致业务中断和 Pod 重建。本演练模拟进程终止，评估系统容错及自愈与告警能力。 基本原理 通过kill 9停止节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

本文介绍如何使用媒体存储服务的服务端加密功能对重要数据进行加密保护。 背景概述 媒体存储服务的服务端加密功能可以帮助客户实现数据的安全保护，为客户提供更加可靠和安全的数据存储服务。 SSEXOS（Server Side Encryption XOS）是完全由媒体存储托管加密的服务端加密特性，客户无需管理密钥，服务端会为每个对象使用不同的密钥进行加密，并且会有一个定期轮换的密钥来加密密钥本身，该方式适用于批量数据加解密。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 应用效果 服务端加密功能是一种数据安全保障措施，它可以在数据上传至对象存储服务时就对其进行加密，以防止数据被未经授权的访问，降低数据泄露的风险。 通过使用服务端加密，您可以将数据传输至媒体存储服务，服务端会在接收到数据后立即对其进行加密处理，然后再将加密后的数据存储在云端。 未经授权的人访问了存储在云端的数据，他们也无法读取被加密的数据内容。 批量数据加密 当企业需要对大量的数据统一进行加密，您可以使用媒体存储的SSEXOS设置桶级别的加密配置，使得上传到该桶的对象数据自动被加密从而达到批量数据加密，实现批量数据加密的效果。 操作步骤如下： 调用设置存储桶加密配置接口，为存储桶指定一种加密算法： PUT/{bucket}?encryption HTTP/1.1 Host:cname.domain.com ContentMD5:ContentMD5 AES256 设置了桶的默认加密属性之后，用户往该桶上传对象成功后会在响应中返回以下header表示对象数据经过加密： header 值 xamzserversideencryption AES256

本文解释当出现解析记录冲突时的处理方法。 背景说明 使用CDN加速时，需要网站将域名CNAME至天翼云权威DNS。DNS解析过程中，各记录类型之间是有优先级的，所以在主机记录相同、解析线路相同的情况下，有几种记录类型是不能共存使用的，否则会给用户造成配置风险，导致业务不可用的情况发生。 问题一：添加记录时，提示A和CNAME记录冲突 相同主机记录，相同线路下，A记录和CNAME记录不支持同时添加，此时，您可以删除A记录的同时配置CDN厂商的CNAME记录。（A记录删除不影响网站的访问，因为在您成功添加CDN加速域名后，系统已经为您分配一个CNAME域名，您在域名解析服务商处将服务域名的DNS解析记录指向该CNAME域名，客户端的访问请求会被转发到CDN加速节点上，实现加速的效果。） 问题二：添加记录时，提示MX和CNAME记录冲突 相同主机记录，相同线路下，MX记录和CNAME记录也不支持同时添加。MX记录为邮件交换记录，一般主机记录为形如ctyun.cn的域名。此类域名如同时添加CNAME记录，因CNAME记录优先级最高，会将邮件交换请求引导至CNAME地址，而CNAME地址如不支持此类服务，将会影响邮件业务。建议网站的加速域名与邮箱域名规划时要区分开来，避免造成此类风险。 如发生MX记录和CNAME记录冲突，您可以通过如下方式来解决： 1. 以ctyun.cn域名为例，可添加该域名的MX记录，同时添加该域名的A记录，解析到网站IP，具体如下： 域名 记录类型 记录值 ctyun.cn MX 5 mail.ctyun.cn ctyun.cn A 1.1.1.1 2. 在ctyun.cn解析到的网站IP上，配置ctyun.cn域名301/302跳转至www.ctyun.cn。 3. 对子域名www.ctyun.cn添加CNAME解析。

本章节主要介绍ALM45285 TagSync堆内存使用率超过阈值的告警。 告警解释 系统每60秒周期性检测TagSync服务堆内存使用状态，当连续10次检测到TagSync实例堆内存使用率超出阈值（最大内存的95%）时产生该告警，堆内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45285 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 堆内存溢出可能导致服务崩溃。 可能原因 该节点TagSync实例堆内存使用率过大，或配置的堆内存不合理，导致使用率超过阈值。 处理步骤 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM45285 TagSync堆内存使用率超过阈值”，检查该告警的“定位信息”，查看告警上报的实例主机名。 1. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存 > TagSync堆内存使用率”，单击“确定”。 2. 查看TagSync使用的堆内存是否已达到TagSync设定的阈值（默认值为最大堆内存的95%）。 是，执行步骤4。 否，执行步骤6。 3. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例 > TagSync > 实例配置”，选择“全部配置”，选择“TagSync > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并保存配置。 说明 出现此告警时，说明当前TagSync设置的堆内存无法满足当前TagSync进程所需的堆内存，建议根据步骤2查看“TagSync堆内存使用率”，调整“GCOPTS”参数中“Xmx”的值为“TagSync使用的堆内存大小”的两倍（可根据实际业务场景进行修改）。 4. 重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍ALM45280 RangerAdmin垃圾回收(GC)时间超过阈值的告警。 告警解释 系统每60秒周期性检测RangerAdmin进程的垃圾回收（GC）占用时间，当连续5次检测到RangerAdmin进程的垃圾回收（GC）时间超出阈值（默认12秒）时，产生该告警。垃圾回收（GC）时间小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45280 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 导致RangerAdmin响应缓慢。 可能原因 该节点RangerAdmin实例堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM45280 RangerAdmin进程垃圾回收（GC）时间超过阈值”，检查该告警的“定位信息”，查看告警上报的实例主机名。 1. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > GC > RangerAdmin垃圾回收（GC）时间”，单击“确定”。 2. 查看RangerAdmin每分钟的垃圾回收时间统计值是否大于告警阈值（默认12秒）。 是，执行步骤4。 否，执行步骤6。 3. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例 > RangerAdmin > 实例配置”，单击“全部配置”，选择“RangerAdmin > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并保存配置。 说明 出现此告警时，说明当前RangerAdmin设置的堆内存无法满足当前RangerAdmin进程所需的堆内存，建议根据步骤2查看“RangerAdmin堆内存使用率”，调整“GCOPTS”参数中“Xmx”的值为“RangerAdmin使用的堆内存大小”的两倍（可根据实际业务场景进行修改）。 4. 重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本节介绍Prometheus监控。 前提条件 分布式容器云平台的集群监控已对接应用性能监控。 已创建注册集群，具体操作参见 注册集群。 操作步骤 开启Prometheus监控 登录分布式容器云平台，进入集群管理页。 在集群管理页点击需要查看监控的注册集群，进入集群信息页面。 在注册集群详情页面选择 运维管理>Prometheus监控，若未开通Prometheus监控服务，请按照页面指引进行 委托受理 >开通应用性能监控>打通应用性能监控网络访问>安装cubeprometheus插件。 完成操作之后即可进入Prometheus监控页面，查看分布式容器云平台提供的预设Grafana面板，包括集群概览、核心组件、节点、应用和网络监控，用户可对预设面板进行修改，根据需求定制自己的监控面板。 工作负载接入监控 登录应用性能监控控制台，点击进入Prometheus监控>接入管理，点击已接入环境对应的单集群。 在单集群对应的接入管理详情页面，进入指标采集>功能启用，启用后开始收费，对自定义指标上报，使用ServiceMonitor或PodMonitor服务发现方式进行指标上报。 新增ServiceMonitor shell apiVersion: monitoring.coreos.com/v1 kind: ServiceMonitor metadata: name: servicemonitor1 namespace: ns1 annotations: arms.prometheus.io/discovery: 'true' spec: endpoints: interval: 60s port: metrics 对应Service中定义的端口名称 path: /metrics namespaceSelector: any: true 监控所有命名空间 selector: matchLabels: app: app1 或者选用新增PodMonitor shell apiVersion: monitoring.coreos.com/v1 kind: PodMonitor metadata: name: podmonitor1 namespace: ns1 annotations: arms.prometheus.io/discovery: 'true' spec: selector: matchLabels: app: app1 匹配目标pod的标签 namespaceSelector: any: true podMetricsEndpoints: interval: 60s targetPort: 8080 path: /metrics 验证监控指标上报情况，在指标探索页进行搜索对应指标。

本章节介绍创建镜像微服务的步骤 概述 镜像微服务是创建微服务应用中重要的一种接入类型。目前微服务云应用平台支持Java 语言Spring Cloud和Dubbo框架的微服务，创建微服务应用，可以使用微服务治理以及应用性能监控的相关能力。在本章中，我们将会详细阐述创建镜像微服务的完整步骤。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通微服务治理中心 3. 您已开通应用性能监控 4. 您已订购一个云容器引擎 5. 您已订购一个nacos注册中心 创建应用实例 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例左上角点击创建应用实例。 基本信息填写 项目/应用：选择应用。 应用实例名称：无需修改，使用默认名称即可。 技术栈版本：镜像部署无需关心技术栈版本，可任意选择。 部署单元：选择应用发布到的部署单元，平台会根据选择部署单元对应的可用区信息将pod平均调度到对应的可用区节点。 接入方式：选择镜像。 应用实例版本：无需修改，使用默认版本即可。 企业项目：选择default。 部署配置填写 选择集群：选择导入到环境中的云容器引擎。 工作负载类型：根据实际情况选择负载类型。 镜像类型：选择Demo镜像。 选择镜像：选择springcloudprovidernacos.jar镜像使用1.0.0版本。 Pod数量：输入期望发布的pod个数。 单Pod资源配额：填写pod cpu 和 内存 预留和限制数值信息。 监控及治理方案：勾选接入服务治理中心，应用发布成功后可在服务治理导航栏设置应用治理规则。勾选接入应用性能监控后，可在应用详情界面查看应用监控信息。 高级配置与制品微服务一致，可参考创建制品微服务章节按需配置。 点击下一步，进入到预览界面，确认信息无误后，点击创建。 创建成功后，点击查看实例详情按钮，来到实例详情界面，至此镜像微服务已经创建完成。如何部署可查看微服务应用部署章节。

本章节介绍云容器集群Pod进程停止故障演练。 背景介绍 在 CCE 中，Pod 容器内进程若意外终止，可能导致业务中断和 Pod 重建。本演练模拟进程终止，评估系统容错及自愈与告警能力。 基本原理 通过kill 9停止节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

购买须知 只有开通了对象存储服务后才能购买资源包。 对象存储资源包各资源池节点需要单独订购，不可通用，资源包订购完即生效。 当月使用量超出已购资源包的额度，计费模式将自动转为按需付费。新购资源包不能抵扣已产生的资源用量。 资源包支持叠加订购和退订，但不支持升级。 公网流出流量包和请求次数包两种资源包，不允许在订购当月执行退订操作。 归档存储的存储容量资源包不支持包年优惠，其他规格资源包支持包年优惠。 当购买了多个相同属性的资源包，抵扣的时候会根据订购周期按照非自然月形式拆分成多个资源包，拆分后的每个资源包都会有独立的生效和失效时间，抵扣顺序按照拆分后的资源包失效时间升序进行抵扣，即最早过期的优先抵扣。 说明 举个例子：订购周期4个月的资源包：20250823 15:02:12~20251223 15:02:12，按非自然月拆分： 资源包1：20250823 15:02:12~20250923 15:02:12 资源包2：20250923 15:02:12~20251023 15:02:12 资源包3：20251023 15:02:12~20251123 15:02:12 资源包4：20251123 15:02:12~20251223 15:02:12 若还订购了周期2个月的另一个相同属性的资源包：20250824 10:02:12~20251024 10:02:12，按非自然月拆分： 资源包a：20250824 10:02:12~20250924 10:02:12 资源包b：20250924 10:02:12~20251024 10:02:12 最终会按照费用产生的时间优先抵扣拆分后的最早过期的资源包。比如9月3号产生的费用，抵扣的时候会先抵扣订购周期为4个月的资源包，因为拆分出来的资源包1过期时间早于资源包a。

本文为您详细介绍DeepSeekV3模型。 模型简介 DeepSeekV3是DeepSeek团队开发的新一代专家混合（MoE）语言模型，共有671B参数，在14.8万亿个Tokens上进行预训练。该模型采用多头潜在注意力（MLA）和DeepSeekMoE架构，继承了DeepSeekV2模型的优势，并在性能、效率和功能上进行了显著提升。 使用场景 DeepSeekV3模型适用于多种自然语言处理任务，如文本生成、问答系统、文本摘要等，能够生成高质量的语言内容并支持多语言对话。此外，它在数学推理、代码生成等复杂任务中表现出色，可广泛应用于教育、商业决策和编程辅助等领域。 评测效果 基础模型评估 聊天模型评估 注：所有模型均在将输出长度限制为8K的配置中进行评估。包含少于1000个样品的基准使用不同的温度设置进行多次测试，以获得可靠的最终结果。DeepSeekV3是性能最佳的开源模型，并且与前沿的闭源模型相比也表现出有竞争力的性能。 技术亮点 创新的负载均衡策略和训练目标 除了DeepSeekV2的高效架构之外，DeepSeekV3开创了一种用于负载均衡的辅助无损策略，该策略可以最大限度地减少因鼓励负载均衡而引起的性能下降。 多标记预测（MTP）目标，并证明它对模型性能有益，可用于推理加速的推测解码。 迈向终极训练效率 通过算法、框架和硬件的协同设计，克服了跨节点MoE训练中的通信瓶颈，几乎实现了完全的计算通信重叠。显著提高训练效率并降低了训练成本。 DeepSeekR1的知识提炼 引入了一种创新方法，将长链思维（CoT）模型的推理能力，特别是DeepSeek R1系列模型之一的推理能力、验证和反射模式整合到DeepSeekV3，显著提高了它的推理性能。

本节介绍了云数据库TaurusDB实例的PITR功能。 操作场景 TaurusDB支持恢复实例数据到指定时间点。 注意 请勿在TaurusDB实例的生命周期内执行“reset master”命令，以免造成恢复到指定时间点功能异常。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏中选择“备份恢复”页签，单击“恢复到指定时间点”。 步骤 6 选择需要恢复的日期和时间区间，选择或输入该恢复时间区间内的一个要恢复到的时间点，选择恢复方式为“新实例”或“当前实例”。 1. 选择恢复到“新实例”，单击“确定”，跳转到“恢复到新实例”的服务页面，设置相关参数，单击“立即创建”。 1. 区域、数据库引擎、兼容的数据库版本，与原实例相同，不可修改。 2. 数据库端口为默认值3306。 3. 其他参数默认，用户可设置，请参见创建实例。 2. 选择恢复到“当前实例”，单击“下一步”，核对任务信息，无误后单击“确定”。 恢复到当前实例会将当前实例上的数据全部覆盖，并且恢复过程中数据库不可用，请在业务低峰期进行恢复。 步骤 7 查看恢复结果。 恢复到新实例，TaurusDB会为用户重新创建一个和备份创建时的时间点数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。恢复成功的新实例是一个独立的实例，与原有实例没有关联。如需使用只读节点，请重新在该实例上进行创建。 新实例恢复成功后，系统会自动执行一次全量备份。 恢复到当前实例，恢复到的目标实例运行状态由“恢复中”变为“正常”，说明恢复成功。

功能大类 功能点 基础功能 基于MySQL语法和协议对外提供数据访问，支持Workbench、Navicat、SQLyog等客户端连接，支持JDBC连接访问。 数据分片 支持多种数据切分方式，提供水平扩展数据能力。 读写分离 支持透明读写分离和应用级读写分离方案，识别应用发送过来的语句，区分出语句类型，判定为读语句，则自动发送到只读实例执行SQL操作。 全局序列 提供全局唯一的序列号，可用于替换单机数据库的自增序列。 库内分表 提供水平切分后在单库再次进行分表功能，解决超大表水平切分后单片数据量依然很大的问题。 全局表 通过全局表同步，可以将数据更新少的数据单表同步到需要联合查询分表对应的分库上，以小表作为驱动表加速分布式联合查询。 事务支持 DRDS当前支持单机、补偿、XA三种事务模型。 单机事务：不允许跨分片事务。 补偿事务：跨分片事务commit时部分失败，补偿线程会尝试在失败节点重新执行SQL。 XA分布式事务：两阶段提交，为了保证事务内数据一致性，跨分片事务commit时若部分失败会自动回滚。 管理命令 为方便用户使用和维护，提供DRDS特有的管理命令，包括：配置查看、状态查看、统计监控、序列运维等。 SQL执行统计分析 通过SQL执行统计分析，可判断数据分片的合理性，是否存在热点。 通过分析TOP慢语句、广播语句，不断优化应用程序对数据库使用的合理性。 运维监控 支持对实例、慢SQL、事务等进行监控，可实时查看分布式数据库的运行状况。 支持对数据库运行情况进行实时监控，提供物理数据库运行中语句、连接数统计及锁情况实时监控功能，在数据库资源被大量慢语句占用时，通过批量kill连接功能可快速恢复数据库服务。 运维管理可视化 DRDS提供Console界面，可在线对DRDS实例、逻辑库等进行管理和维护。

系统策略 Kafka默认提供三种系统策略供用户选择，策略仅包括管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。Kafka的三种默认策略分别是管理员策略（admin），使用者策略（user），浏览者策略（reviewer），三种策略的权限模型具体如下： 功能模块 权限名称 IAM角色 功能模块 权限名称 KAFKA admin KAFKA user KAFKA viewer 实例管理 实例列表 Y Y Y 实例管理 操作审计 Y Y Y 实例管理 集群迁移 Y Y 实例列表 创建实例 Y 实例列表 磁盘扩容 Y 实例列表 节点扩容 Y 实例列表 规格扩容 Y 实例列表 规格缩容 Y 实例列表 续订 Y 实例列表 退订 Y 实例列表 到期转按需 Y 实例列表 重启 Y 实例列表 设置公网IP Y 管理 实例详情 Y Y Y 管理 集群信息 Y Y Y 管理 主题管理 Y Y Y 管理 消费组管理 Y Y Y 管理 应用用户管理 Y Y Y 管理 命名空间管理 Y Y Y 管理 监控信息 Y Y Y 管理 消息查询 Y Y Y 管理 配置管理 Y Y Y 管理 告警管理 Y Y 主题管理 新建Topic Y Y 主题管理 删除Topic Y Y 主题管理 分区状态 Y Y Y 主题管理 生产拨测 Y Y 主题管理 删除消息 Y Y 主题管理 分区平衡 Y Y 主题管理 批量创建主题 Y Y 主题管理 修改 Y Y 消费组管理 新建消费组 Y Y 消费组管理 删除消费组 Y Y 消费组管理 消费拨测 Y Y 消费组管理 批量创建消费组 Y Y 消费组管理 添加主题 Y Y 消费组管理 批量订阅 Y Y 消费组管理 重置消费位置 Y Y 消费组管理 消息堆积 Y Y Y 命名空间管理 获取用户Token Y Y Y 命名空间管理 新建命名空间 Y Y 命名空间管理 修改命名空间 Y Y 应用用户管理 新建用户 Y Y 应用用户管理 删除用户 Y Y 应用用户管理 批量创建用户 Y Y 应用用户管理 添加消费者权限 Y Y 应用用户管理 添加生产者权限 Y Y 应用用户管理 修改用户 Y Y 实例管理 offset查询 Y Y Y 实例管理 时间戳查询 Y Y Y 配置管理 查询配置 Y Y Y 配置管理 修改配置 Y

本章节主要介绍ALM45288 TagSync垃圾回收(GC)时间超过阈值的告警。 告警解释 系统每60秒周期性检测TagSync进程的垃圾回收（GC）占用时间，当连续5次检测到TagSync进程的垃圾回收（GC）时间超出阈值（默认12秒）时，产生该告警。垃圾回收（GC）时间小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45288 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 导致TagSync响应缓慢。 可能原因 该节点TagSync实例堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM45288 TagSync垃圾回收（GC）时间超过阈值”，检查该告警的“定位信息”，查看告警上报的实例主机名。 1. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > GC > TagSync垃圾回收（GC）时间”，单击“确定”。 2. 查看TagSync每分钟的垃圾回收时间统计值是否大于告警阈值（默认12秒）。 是，执行步骤4。 否，执行步骤6。 3. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例 > TagSync > 实例配置”，单击“全部配置”，选择“TagSync > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并保存配置。 说明 出现此告警时，说明当前TagSync设置的堆内存无法满足当前TagSync进程所需的堆内存，建议根据步骤2查看“TagSync堆内存使用率”，调整“GCOPTS”参数中“Xmx”的值为“TagSync使用的堆内存大小”的两倍（可根据实际业务场景进行修改）。 4. 重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍ALM45277 RangerAdmin堆内存使用率超过阈值的告警。 告警解释 系统每60秒周期性检测RangerAdmin服务堆内存使用状态，当连续10次检测到RangerAdmin实例堆内存使用率超出阈值（最大内存的95%）时产生该告警，堆内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45277 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 堆内存溢出可能导致服务崩溃。 可能原因 该节点RangerAdmin实例堆内存使用率过大，或配置的堆内存不合理，导致使用率超过阈值。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM45277 RangerAdmin堆内存使用率超过阈值”，检查该告警的“定位信息”，查看告警上报的实例主机名。 1. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存 > RangerAdmin堆内存使用率”，单击“确定”。 2. 查看RangerAdmin使用的堆内存是否已达到RangerAdmin设定的阈值（默认值为最大堆内存的95%）。 是，执行步骤4。 否，执行步骤6。 3. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例 > RangerAdmin > 实例配置”，单击“全部配置”，选择“RangerAdmin > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并保存配置。 说明 出现此告警时，说明当前RangerAdmin设置的堆内存无法满足当前RangerAdmin进程所需的堆内存，建议根据步骤2查看“RangerAdmin堆内存使用率”，调整“GCOPTS”参数中“Xmx”的值为“RangerAdmin使用的堆内存大小”的两倍（可根据实际业务场景进行修改）。 4. 重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。