参数 参数说明 集群名称 请确认您要升级的集群名称。 当前版本 请确认待升级集群的版本。 升级后版本 请确认升级后的目标版本。 节点升级策略 重置升级：用户节点采用重置安装方式，节点操作系统将会被重装，系统盘和数据盘的数据均会被清空，请谨慎使用。 说明 本集群的节点及工作负载生命周期管理功能暂不可用。 API访问功能暂不可用。 由于升级过程节点进行重置安装，用户已运行的工作负载业务将会中断。 用户节点的系统盘和数据盘将会被清空，升级前请事先备份重要数据。 用户节点上挂载的非LVM管理的数据盘，升级后需要重新挂载，盘中数据不会丢失。 云硬盘的配额需大于0。 容器的IP地址会发生变化，但是不影响容器间的网络通信。 用户节点的自定义标签将不会保留。 集群升级时间约为12分钟。 滚动升级 ：用户节点采用节点池滚动升级，适用于集群下节点均采用节点池创建的场景。 说明 本集群的节点及工作负载生命周期管理功能暂不可用。 API访问功能暂不可用。 用户已运行的工作负载业务不会中断。 集群升级时间约为12分钟。 重置节点镜像 仅支持物理机节点。物理机节点支持在升级时替换操作系统镜像，可指定节点使用新的镜像，在升级时会使用新镜像重装操作系统。如不指定则默认使用原有镜像重装操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 集群备份 对集群的Master节点进行整机备份， 需要用户手动确认 ，备份过程会使用云备份服务，备份通常耗时在20分钟左右， 若当前局点云备份任务排队较多时，备份时间可能同步延长，推荐用户使用进行整机备份。 节点升级优先级 可选择优先升级的节点。

参数 参数说明 本实践配置示例 名称 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 asgrouptest 最大实例数（台） 当伸缩组的当前实例数大于最大实例数时，弹性伸缩服务会自动移出实例，使得伸缩组的当前实例数等于伸缩最大实例数。理论上实际实例数不允许大于最大实例数。 10 最小实例数（台） 当伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，使得伸缩组的当前实例数等于伸缩最小实例数。理论上实际实例数不允许小于最小实例数。 0 开启期望实例数 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 不启用 虚拟私有云 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 vpc233测试 网卡 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 subnet857f 安全组 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 DefaultSecurityGroup 负载均衡 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。注意：一个伸缩组可最多添加10组负载均衡监听器。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 不启用 实例移除策略 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置且较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置且较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例（FIFO）：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例（LIFO）：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例 实例回收模式 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 释放模式 健康检查方式 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、删除都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 云主机健康检查 健康检查间隔 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 5分钟 企业项目 支持为伸缩组选择企业项目。 Default

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 基础规格：指标数据最多保存7天。 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 上报自定义指标 单次请求数据最大不能超过40KB。 指标 应用指标 JOB指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警 。 由于JOB在完成任务之后，会自动退出。如果您需要监控JOB指标，要保证存活时间大于90秒才能采集到指标数据。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 阈值规则 阈值规则 一个项目下最多可创建1000个阈值规则。 阈值规则 发送通知可选择主题数 每个阈值规则最多可选择5个主题。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 历史日志 历史日志存储空间免费额度为500MB 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 日志 统计规则 一个日志桶下最多可创建5条统计规则。 告警中心 告警 您最多可查询最近30天的告警。 告警中心 事件 您最多可查询最近30天的事件。

本文主要介绍计费方式 1、计费项 数据库复制服务从配置和数据传输两个方面收取费用，其中数据传输费为公网访问产生的数据流量费，云内网络产生的流量不进行计费。 2、收费方式 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 3、计费样例 以下均以北京2的MySQL全量+增量实时迁移为例进行说明。 • 场景一：免费期内入云迁移 客户A在20211201 8:00启动入云迁移，并于20211203 12:00结束任务，使用时间未超过一周，不收取费用。 • 场景二：超过免费期入云迁移 客户A在20211128 8:00启动入云迁移，并于20211206 12:00结束任务。则截止20211205 8：00为免费期，从20211205 8：00到结束任务期间按照配置费用每小时2.4元收费。 • 场景三：出云迁移 客户A使用公网网络在20211228 8:00启动出云迁移，并于20211230 8:00结束任务，DRS迁移出云100GB数据。则由启动任务到结束任务，按照每小时2.4元收取配置费用，即配置费用为2天24小时2.4元/小时115.2元。同时，出云迁移的数据传输也会计费，传输费用为100GB1.5元/GB150元，总额为115.2+150265.2元。 • 场景四：DRS开始收费前启动任务 客户A在20211126 8:00启动入云迁移，并于20211206 12:00结束任务，使用时间超过一周，但该任务在开始计费（20211127 00:00）前启动，不收取费用。 • 场景五：多任务迁移 客户A在20211201 8:00启动入云迁移任务1，并于20211206 12:00结束任务。使用公网网络在20211201 8:00启动出云迁移任务2，并于20211206 8:00结束任务，迁移出云数据200GB。 则任务1截止20211205 8：00为免费期，从20211205 8：00到结束任务期间按照每小时2.4元收取配置费用，入云传输免费。任务1收取费用（1天24小时+4小时）2.4元/小时67.2元。 则任务2从启动到结束按照每2.4元/小时收取配置费用，按照1.5元/GB收取传输费用。任务2收取费用配置费用+传输费用5天24小时2.4元/小时+200GB1.5元/GB588元。 • 场景六：非公网网络迁移 客户A使用VPC网络在20211201 8:00启动出云迁移，并于20211203 8:00结束任务，DRS迁移出云100GB数据，DRS只对公网网络按照标准收取费用，所以该任务不收取费用。 以下均以北京2的MySQL实时同步为例进行说明。 • 场景一：入云同步 客户A在20211201 8:00启动入云同步，并于20211203 12:00结束任务，任务启动到结束，按照3.53元/小时收取配置费用，即收取费用（2天24小时+4小时）3.53元/小时183.56元。 • 场景二：出云同步 客户A使用公网网络在20211228 8:00启动出云同步，并于20220102 8:00结束任务，传输数据100GB。则从启动到结束任务期间按照每3.53元/小时收取配置费用、1.5元/GB收取传输费用。即收取费用配置费用+传输费用5天24小时3.53元/小时+100GB1.5元/GB573.6元。

云间高速(标准版)产品为您提供优质的服务体验,本文带您了解云间高速(标准版)的产品优势。 低时延高速率 云间高速（标准版）产品是中国电信基于其优质网络资源提供的一种低延迟、安全、高速、大带宽的网络传输服务。产品利用中国电信的强大网络基础设施，确保数据传输的稳定性和可靠性。 云网紧密融合 充分体现中国电信优质的“云+网”综合资源优势，形成面向客户的一点上云、一线入云、云间互联的新型服务形态。 接入点覆盖广 依托中国电信天翼云“4+4+31+X”资源池发展战略，相较于传统公有云，具有更多的资源池节点，这使得客户的选择更加丰富多样。同时，由于天翼云拥有更多的资源池节点，可以更好地满足用户在实际业务场景中的需求，从而为用户提供更加稳定、高效的云服务。 高安全性 云间高速（标准版）产品基于中国电信CN2DCI网络进行构建，与公众互联网保持物理隔离。客户之间的网络通过VxLAN技术实现逻辑隔离，从而提供更高安全性的私网通信。 弹性扩展 云间高速（标准版）允许接入多数量，多类型的网络实例，灵活配置，以补点方式入网，实现客户全部站点的网络互通，可降低客户的组网成本；跨域带宽包支持弹性伸缩，域间带宽可以灵活调整。

借助应用性能监控APM,您可以对容器环境的应用进行应用拓扑、接口调用、异常事务和慢事务监控、SQL分析等监控。本文将帮助您将容器环境中的应用接入应用性能监控APM。 前提 1、该账号有可用的ccse容器集群。 2、准备好java应用的镜像包。 安装cubems 安装应用性能监控APM插件cubems 1. 登录天翼云【云容器引擎】控制中心。 2. 在左侧菜单点击 集群 ，在右侧页面进入集群详情。 3. 在左侧导航栏选择 插件 > 插件市场 ，在右侧页面找到cubems插件进行安装。 开启APM 如需在创建新应用的同时开启应用性能监控APM，请按以下步骤操作： 1. 在天翼云【云容器引擎】控制中心左侧导航栏选择 集群 ，在右侧页面进入集群详情。 2. 在左侧导航栏选择 工作负载 > 有状态/无状态 ，点击 新增 。 3. 在新增页面，填写Deployment相关信息，点击>“显示 高级设置” > Pod标签 ，新增Pod标签，设置标签名 armsCubeMsAutoEnable ，标签值 on ，点击确定。 添加工作负载后，可以在yaml文件中查看对应的标签 plaintext labels: armsCubeMsAutoEnable: "on" //接入AMS的标签 如下图：

此小节介绍云堡垒机应用场景。 中小企业资产运维 场景说明 中小企业运维投入资源相对较少，运维管理流程规范度较低，运维人员可能会因为无意操作造成数据丢失、业务故障等，黑客也可能远程进入主机之后进行有意的数据窃取、数据篡改等。 针对资产数量少，运维并发低及可靠性需求不高的小型企业，提供轻量级堡垒机实例，实现运维用户双因子认证、云上资产统一运维审计，满足等保合规测评要求。 产品优势 快速开通使用：一键开通，即开即用，方便快捷。 小规格成本更低：按设备数包年包月，最低支持20资产小规格，成本更低。 运维高效快捷：提供web及客户端运维两种方式，兼顾便捷性和专业性。 安全合规：满足等保测评要求，助力企业运维安全治理。 中大型企业多人运维场景 场景说明 政务、金融及大型央国企运维存在账户重复授权、交叉使用、授权范围过大等问题，面对大量主机资源、系统特权账户，如何做好运维安全治理，防止因账户管理不善导致数据泄漏是非常具有挑战性的问题。 针对资产数量大，运维用户多，可靠性要求高的中大型企业，提供企业版堡垒机，提供双因子认证、资产账密管理、运维审计、高危命令阻断等能力，满足企业运维安全治理需求。

本页介绍天翼云TeleDB数据库其他默认值相关参数。 dynamiclibrarypath (string) 如果需要打开一个可以动态装载的模块并且在CREATE FUNCTION或LOAD命令中指定的文件名没有目录部分（即名字中不包含斜线），那么系统将搜索这个路径以查找所需的文件。dynamiclibrarypath的值必须是一个冒号分隔（或者在 Windows 上以分号分隔）的绝对目录路径的列表。如果一个列表元素以特殊字符串开始，libdir会被替换为TeleDB包中已编译好的库目录。这里是TeleDB发布提供的模块被安装的位置（使用pgconfig pkglibdir来找到这个目录的名字）。例如：dynamiclibrarypath '/usr/local/lib/postgresql:/home/myproject/lib:libdir'或者在 Windows 环境中：dynamiclibrarypath 'C:toolspostgresql;H:myprojectlib;libdir'这个参数的默认值是'libdir'。如果该值被设置为一个空字符串，则关闭自动路径搜索。这个参数可以在运行时由超级用户修改，但是这样修改的设置只能保持到这个客户端连接的结尾，因此这个方法应该保留给开发目的。我们建议在postgresql.conf配置文件中设置这个参数。 ginfuzzysearchlimit (integer) GIN 索引返回的集合尺寸的软上限。

参数 是否必填 说明 规则名称 是 规则名称需在当前桶唯一，不能超过255个字符。 前缀 是 填写触发解压规则的资源前缀。不支持首个字符为"/"或包含“//”。配置前缀后，上传带有该前缀的ZIP包会触发在线解压。 为避免触发循环执行，因此文件前缀为必填项。 后缀 否 如需要解压的文件后缀与解压格式不一致，则需填写此项。您可根据实际情况填写。 解压格式 是 支持zip、rar、tar，一条规则仅支持一种解压格式。上传的文件后缀与解压格式一样的，将优先解压。如后缀与解压格式不一致，您可通过“后缀”字段进行配置。 目标前缀 是 填写解压文件保存的目标前缀。 1.只能以字母或数字开头。 2.可用数字、中英文和可见字符的组合。 3.用 / 分割路径，可快速创建子目录。 4.不允许：连续 / ；以 / 开头； 以空格开头；包含 “..” 或 “+”。 5.不超过100个字符。 保留源文件 是 选择解压完成后，是否还保留源文件。 回调地址 否 如您需要接受解压完成的回调信息，可填写回调服务地址，包括协议头。 回调鉴权 是 根据业务情况选择回调地址是否需要鉴权，如需鉴权，选择【是】，并填写鉴权所需的Access Key和Secret access key信息。

本文档指导您如何在GlassFish服务器中部署SSL证书。 前提条件 已在当前服务器中安装配置GlassFish服务。 文件准备 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Apache，单击“下载”并解压缩包至本地，文件内包含下述3个文件： Cert证书公钥： XXXX.cncert.pem Chain证书链： XXXX.cnchain.pem 私钥文件： XXXX.cnkey.key 准备PFX文件 使用下载的“xxxx.cncert”证书文件和“xxxx.cnkey”私钥文件（生成CSR请求与之同时生成的key）通过openssl工具或在线工具生成一份PFX文件，请妥善保存好生成的PFX文件密码。 操作步骤 1. 在GlassFish的“/domain”目录下keystore中，保留“glassfishinstance”并生成jks文件。 2. 将上文中生成的PFX文件导入至jks中，重命名为：slas。如下图所示。 3. 参考下图，在GlassFish的web页中进行配置。 4. 关闭SSLv3。 5. 按照下图修改ciphersuit。

撞库防护 根据防护范围获取登录post包，从中得到用户名和密码并根据相应的加密方式进行解密；利用解密后的用户名和密码判断是否为撞库攻击，若为撞库攻击并且针对某一作用域在统计周期内达到拦截阈值，则进行相应拦截，保护网站用户密码被破解。 敏感词防护 敏感词过滤：可配置针对银行卡、身份证、手机号进行页面过滤，防止网站敏感信息泄露。 特定信息例外：配置指定数据允许显示在界面上，针对企业公示信息配置，保证正常数据明文显示。 CSRF防护 referer控制：对页面请求中的referer这个请求头参数值进行限制，有效阻止因误触恶意链接导致的恶意链接页面js执行造成的用户损失。 扫描器控制：可以指定恶意扫描器所带referer内容限制恶意扫描器干扰正常业务。 简单爬虫限制：可以指定特定入口网站referer防止爬虫消耗资源。 Cookie防护 Cookie加密：对指定Cookie字段的值进行加密，防止敏感信息泄露以及防护一些使用Cookie中的弱Key进行权限绕过的漏洞利用。 Cookie签名：对Cookie签名防止因随意篡改导致的漏洞触发、未授权访问，也能在一定程度上限制基于Cookie修改的爬虫。 Httponly功能：限制Cookie被js读取的功能，防止一些基于Cookie的攻击，比如Xss、Csrf等。

本小节介绍云堡垒机应用场景。 中小企业资产运维 场景说明 中小企业运维投入资源相对较少，运维管理流程规范度较低，运维人员可能会因为无意操作造成数据丢失、业务故障等，黑客也可能远程进入主机之后进行有意的数据窃取、数据篡改等。 针对资产数量少，运维并发低及可靠性需求不高的小型企业，提供轻量级堡垒机实例，实现运维用户双因子认证、云上资产统一运维审计，满足等保合规测评要求。 产品优势 快速开通使用：一键开通，即开即用，方便快捷。 小规格成本更低：按设备数包年包月，最低支持20资产小规格，成本更低。 运维高效快捷：提供web及客户端运维两种方式，兼顾便捷性和专业性。 安全合规：满足等保测评要求，助力企业运维安全治理。 中大型企业多人运维场景 场景说明 政务、金融及大型央国企运维存在账户重复授权、交叉使用、授权范围过大等问题，面对大量主机资源、系统特权账户，如何做好运维安全治理，防止因账户管理不善导致数据泄漏是非常具有挑战性的问题。 针对资产数量大，运维用户多，可靠性要求高的中大型企业，提供企业版堡垒机，提供双因子认证、资产账密管理、运维审计、高危命令阻断等能力，满足企业运维安全治理需求。

规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6s.large.2 2 4 1/1 30 50 2 2 KVM c6s.xlarge.2 4 8 2/2 60 50 2 3 KVM c6s.2xlarge.2 8 16 4/4 120 100 4 4 KVM c6s.3xlarge.2 12 24 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.2 16 32 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.2 24 48 11/11 350 200 8 8 KVM c6s.8xlarge.2 32 64 15/15 450 300 16 8 KVM c6s.12xlarge.2 48 96 22/22 650 400 16 8 KVM c6s.16xlarge.2 64 128 30/30 850 500 32 8 KVM c6s.large.4 2 8 1/1 30 50 2 2 KVM c6s.xlarge.4 4 16 2/2 60 50 2 3 KVM c6s.2xlarge.4 8 32 4/4 120 100 4 4 KVM c6s.3xlarge.4 12 48 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.4 16 64 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.4 24 96 11/11 350 200 8 8 KVM c6s.8xlarge.4 32 128 15/15 450 300 16 8 KVM c6s.12xlarge.4 48 192 22/22 650 400 16 8 KVM c6s.16xlarge.4 64 256 30/30 850 500 32 8 KVM

参数 说明 是否必填 pwd apmjavaagent.jar包所在路径。 必填 appName 组件名称，代表一个组件，一个组件可以包含多个环境。不能重复，如果要重复，使用instanceName区分。 必填 env 环境名称，代表一个应用在一个地方的部署。一个应用程序根据配置不同可以部署多个环境，比如测试环境，现网环境。每个环境都在一个region部署，具有唯一的region属性。该参数可以为空，代表默认环境。 选填 envTag 环境标签，主要用于环境过滤，多个环境打上相同的环境标签，在web页面上可以通过标签将这些环境过滤出来。该参数可以为空。 选填 business 应用英文名称，为全局概念。如果填写，则必须提前创建该应用。如果为空，则代表默认应用（开通APM时系统会自动创建一个默认应用）。 选填 subBusiness 子应用，为全局概念，在应用下面子文件夹。该参数可以为空，为空代表资源挂载在根应用下面，子应用最多支持三层。比如a/b/c，a、b、c各代表一层。 选填 instanceName 默认为空。当一个应用在机器上部署多个实例，可以通过instanceName来区分，比如7001或者8001两个端口实例。这种实际情况下很少发生，一台机器部署多个java实例往往是不同的应用程序，相同应用程序的部署两个实例很少见。 选填

本章介绍函数工作流的事件函数的概述和优势。 概述 FunctionGraph支持事件类型函数。事件是指用于触发函数，通常为JSON格式的请求。用户作为事件源（事件的生产者），可以通过云服务平台或Cloud IDE触发函数并进行执行。在函数创建界面可以选择函数类型，事件类型的函数不受触发器类型的限制，当前FunctionGraph支持的所有类型触发器均可用于触发事件函数。 说明 1. FunctionGraph原生支持事件类型函数，在函数创建界面默认选择该类型。 2. 测试函数时在参数配置界面输入用户指定的事件JSON即可完成函数触发。 3. 用户也可以通过FunctionGraph支持的触发器进行事件函数触发。 优势 单机编程体验，简单易用 事件类型函数可以在FunctionGraph函数界面或Cloud IDE界面进行函数编辑或代码包上传，一键式完成函数云上部署，用户无需关心并处理函数的并发、故障恢复等问题。 高性能极速运行时 事件函数提供毫秒级函数启动、函数扩容、函数调用，秒级故障中断检测及秒级故障恢复。 便捷完备的工具链 提供完备的日志、调用链、debug及监控能力，支撑开发者“三步”上线函数应用。 限制 事件函数受限于事件格式（事件源），开发者在开发过程中需要遵循函数平台的函数开发规则。

手动续订 1. 登录天翼云官网，单击右上角的用户名，进入【费用中心】。 2. 单击【订单管理】【续订管理】，找到您要续订的订单，点击“手动续订”，进入手动续订页面。根据需求调整续订周期后，提交续订订单。 自动续订 为避免由于未及时对资源采取续订操作，资源到期被冻结或超期释放，客户购买包月包年产品后，可设置开通自动续订。开通自动续订后，系统将在资源到期前自动续订，无需客户再手动操作。 用户在续订管理页可开通自动续订功能，变更自动续约周期，或关闭自动续订。 不关闭自动续订的情况下，只要预付费账户余额充足，或为后付费客户，系统将持续按设定的周期自动续订下去。 预付费用户可在官网自主控制自动续订功能的开通、变更、关闭。后付费用户需要客户经理协助开启自动续订权限后才可以自主管理。 开通自动续订 1. 登录天翼云官网，单击右上角的用户名，进入【费用中心】。 2. 单击【订单管理】【续订管理】，找到您要续订的订单，点击“开通自动续订”，进入自动续订页面。根据需求调整续订周期，仔细阅读《天翼云自动续订服务协议》，点击“确定提交”。

本章节主要介绍 Flink作业管理概述 。 在Flink作业管理页面可提交Flink作业。目前有以下作业类型： Flink SQL作业：使用SQL语句定义作业，可以提交到通用队列上。 Flink Jar作业：基于Flink API的自定义Jar包作业，可以运行在独享队列上。 Flink作业管理主要包括如下功能： Flink作业权限管理 创建Flink SQL作业 创建Flink Jar作业 调试Flink作业 编辑作业 启动作业 停止作业 删除作业 导出作业 导入作业 名称和描述修改 导入保存点 触发保存点 运行时配置 Flink作业详情 以及查看“使用指南”和“使用视频”。 委托权限设置 DLI执行Flink作业需要进行委托授权，可在第一次登录管理控制台时进行设置，也可在“全局配置”>“服务授权”中进行修改。 具体权限如下： Tenant Administrator(全局服务)：DLI Flink作业访问和使用OBS或者DWS数据源、日志转储（包括桶授权）、开启checkpoint、作业导入导出等，需要获得访问和使用OBS（对象存储服务）的Tenant Administrator权限。 说明 由于云服务缓存需要时间，该权限60分钟左右才能生效。 CloudTable Administrator：DLI Flink作业访问和使用CloudTable数据源，需要获得访问和使用CloudTable（表格存储服务）的CloudTable Administrator权限。 说明 由于云服务缓存需要时间，该权限3分钟左右才能生效。

本节介绍添加域名操作流程。 开通漏洞扫描服务后，您首先需要将网站资产以IP或域名的形式添加到漏洞扫描服务中并完成域名认证，才能进行漏洞扫描。 如果您的网站中存在需要登录才能访问的网页，还需要配置网站登录信息（“账号密码登录”和“cookie登录”两种登录方式），VSS才能为您更好的检测网站安全问题。 说明 如果您在添加域名时，提示“当前套餐可新增域名已达到上限”，无法添加域名时，可参照以下方法进行处理： 参照域名配额扩容进行域名配额扩容，购买“扫描配额包”，“扫描配额包”必须大于当前版本已有的配额。 如果您的资产列表有不需要防护的域名，建议删除后再添加新的域名。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击“新增域名”，进入添加域名入口。 4. 在弹出的对话框中，添加“域名/IP地址”，设置“域名别称”，如下图所示。 域名别称：帮助用户识别自己的域名地址，您可以填写任意方便您识别网站域名的名称。 5. 单击“确认”，进行域名所有权认证。 说明 如果暂时不进行域名所有权认证，可关闭对话框，后续参照域名认证章节完成域名认证。 如果待检测站点的服务器搭建在云上，且该服务器是您当前登录帐号的资产，才可以选择“一键认证”的方式进行快速认证，否则只能选择“免认证”的方式进行认证。 免认证，仔细阅读下图中的使用须知，确认符合条件后，完成域名认证。 一键认证，如下图所示。 单击“完成认证”，进行域名认证，执行完成后，该域名的状态为“已认证”。 6. 如果域名认证成功，页面跳转到“网站设置”页面，参照下表完成网站信息配置，如下图所示。 说明 如果网站中存在需要登录才能访问的网页，进行登录设置后，VSS能够为您更好的检测网站安全问题，后续也可以参照编辑域名进行配置。 VSS提供了“账号密码登录”和“cookie登录”两种登录方式，为了提高登录成功率，建议您配置两种登录方式。 网站登录页面参数说明： 参数名称 参数说明 样例 “登录方式一：账号密码登录” 登录页面 网站登录页面的地址。 用户名 登录网站的用户名。 vsstest 密码 对应用户名的密码。 确认密码 再次输入用户名的密码。 “登录方式二：cookie登录” 如果网站登录需要动态验证码才能登录成功，此时必须配置“cookie登录”方式。 cookie值 输入登录网站的cookie值。 domaintag “网站登录验证” 验证登录网址 登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。 高级配置 自定义Header 配置HTTP请求头部。最多可添加5个自定义HTTP请求头。 当待扫描的网站需要请求中附带特殊的HTTP请求头时，可以通过自定义Header进行设置。 7. 单击“确认”。

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本文为您介绍H3C路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cth3c IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录H3C路由器命令行。 2. 配置IKE预共享密钥。 ike keychain ctyun presharedkey address 121...152 255.255.255.255 key simple cth3c 3. 配置IKE提议。 ike proposal 10000 sa duration 86400 authenticationalgorithm sha encryptionalgorithm aescbc128 dh group5 4. 配置IKE安全框架。 ike profile ctyun exchangemode main keychain ctyun localidentity address 49...89 proposal 10000 match remote address 121...152 5. 配置ACL，定义要保护的数据流。 acl advanced 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 6. 配置IPsec安全提议。 ipsec transformset ctyun protocol esp esp encryptionalgorithm aescbc128 esp authenticationalgorithm sha1 pfs dhgroup5 7. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp sa duration timebased 3600 transformset ctyun security acl 3402 remoteaddress 121...152 ikeprofile ctyun 8. 在GigabitEthernet1/0接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0 ipsec apply policy ctyun 9. 配置静态路由。 ip route 192.168.3.0 255.255.255.0 49...1 10. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本文主要介绍GPU调度。 CCE支持在容器中使用GPU资源。 前提条件 1、创建GPU类型节点，具体请参见创建节点。 2、安装gpubeta插件，安装时注意要选择节点上GPU对应的驱动。 3、gpubeta会把驱动的目录挂载到/usr/local/nvidia/lib64，在容器中使用GPU资源需要将/usr/local/nvidia/lib64追加到LDLIBRARYPATH环境变量中。 通常可以通过如下三种方式追加。 制作镜像的Dockerfile中配置LDLIBRARYPATH。（推荐） ENV LDLIBRARYPATH /usr/local/nvidia/lib64:$LDLIBRARYPATH 镜像的启动命令中配置LDLIBRARYPATH。 /bin/bash c "export LDLIBRARYPATH/usr/local/nvidia/lib64:$LDLIBRARYPATH && ..." 创建工作负载时定义LDLIBRARYPATH环境变量（需确保容器内未配置该变量，不然会被覆盖）。 env: name: LDLIBRARYPATH value: /usr/local/nvidia/lib64 使用GPU 创建工作负载申请GPU资源，可按如下方法配置，指定显卡的数量。 apiVersion: apps/v1 kind: Deployment metadata: name: gputest namespace: default spec: replicas: 1 selector: matchLabels: app: gputest template: metadata: labels: app: gputest spec: containers: image: nginx:perl name: container0 resources: requests: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 申请GPU的数量 limits: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 GPU数量的使用上限 imagePullSecrets: name: defaultsecret 通过 nvidia.com/gpu 指定申请GPU的数量，支持申请设置为小于1的数量，比如 nvidia.com/gpu: 0.5 ，这样可以多个Pod共享使用GPU。GPU数量小于1时，不支持跨GPU分配，如0.5 GPU只会分配到一张卡上。 指定nvidia.com/gpu后，在调度时不会将负载调度到没有GPU的节点。如果缺乏GPU资源，会报类似如下的Kubernetes事件。 0/2 nodes are available: 2 Insufficient nvidia.com/gpu. 0/4 nodes are available: 1 InsufficientResourceOnSingleGPU, 3 Insufficient nvidia.com/gpu. 在CCE控制台使用GPU资源，只需在创建负载时，勾选GPU配额，并指定使用的比例即可，如下图所示。 图 使用GPU

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 1个资源集中最多可创建150个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 1个仪表盘中最多可添加30个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个曲线图中最多可添加12个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 指标数据在数据库中最多保存30天。 指标 指标总量 单租户总指标量不超过40W 小规格总指标量不超过10W 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 每个指标的维度最多为30个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 自定义指标 无限制。 指标 上报自定义指标 单次请求数据最大不能超过40KB，上报指标所带时间戳不能超前于标准UTC时间10分钟，不接收乱序指标，即有新指标上报后，旧指标上报将会失败。 指标 应用指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃。 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 告警 告警 您最多可查询最近15天的告警。 告警 事件 您最多可查询最近15天的事件。 应用发现规则 应用发现规则最多可创建100个。

指标 指标名称 含义 取值范围 测量对象和监控对象 监控周期（原始指标） rds001cpuutil CPU使用率 该指标用于统计测量对象的CPU使用率，以比率为单位。 0100% 测量对象：弹性云服务器 监控实例类型：PostgreSQL实例 1分钟 rds002memutil 内存使用率 该指标用于统计测量对象的内存使用率，以比率为单位。 01 测量对象：弹性云服务器 监控实例类型：PostgreSQL实例 1分钟 rds003iops IOPS 该指标用于统计当前实例，单位时间内系统处理的I/O请求数量（平均值）。 ≥ 0 counts/s 测量对象：弹性云服务器 监控实例类型：PostgreSQL实例 1分钟 rds004bytesin 网络输入吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输入的流量，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：PostgreSQL实例 1分钟 rds005bytesout 网络输出吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输出的流量，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：PostgreSQL实例 1分钟 rds039diskutil 磁盘利用率 该指标用于统计测量对象的磁盘利用率，以比率为单位。 01 测量对象：弹性云服务器 监控实例类型：PostgreSQL实例 1分钟 rds040transactionlogsusage 事务日志使用量 事务日志所占用的磁盘容量。 ≥ 0 MB 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds041replicationslotusage 复制插槽使用量 复制插槽文件所占磁盘容量。 ≥ 0 MB 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds042databaseconnections 数据库连接数 当前连接到数据库的后端量。 ≥ 0 counts 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds043maximumusedtransactionids 事务最大已使用ID数 事务最大已使用ID。 ≥ 0 counts 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds044transactionlogsgenerations 事务日志生成速率 平均每秒生成的事务日志大小。 ≥ 0 MB/s 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds045oldestreplicationslotlag 最滞后副本滞后量 多个副本中最滞后副本（依据接收到的WAL数据）滞后量。 ≥ 0 MB 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds046replicationlag 复制时延 副本滞后时延。 ≥ 0 ms 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds047disktotalsize 磁盘总大小 该指标用于统计测量对象的磁盘总大小。 40GB~4000GB 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds048diskusedsize 磁盘使用量 该指标用于统计测量对象的磁盘使用大小。 0GB~4000GB 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds049diskreadthroughput 硬盘读吞吐量 该指标用于统计每秒从硬盘读取的字节数。 ≥ 0 bytes/s 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds050diskwritethroughput 硬盘写吞吐量 该指标用于统计每秒写入硬盘的字节数。 ≥ 0 bytes/s 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds075avgdisksecperread 硬盘读耗时 该指标用于统计某段时间平均每次读取硬盘所耗时间。 > 0ms 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds052avgdisksecperwrite 硬盘写耗时 该指标用于统计某段时间平均写入硬盘所耗时间。 > 0s 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟 rds053avgdiskqueuelength 磁盘平均队列长度 该指标用于统计等待写入测量对象的进程个数。 ≥ 0 测量对象：数据库 监控实例类型：PostgreSQL实例 1分钟

本节描述了弹性云主机使用场景须知、使用限制、Windows操作系统使用须知、Linux操作系统使用须知。 弹性云主机使用场景须知 禁止使用ECS搭建赌博、私服、跨境VPN等违法违规业务。 禁止使用ECS对电商网站开展刷单、刷广告等虚假交易操作。 禁止利用ECS对外部系统发起网络攻击，例如：DDoS攻击、CC攻击，Web攻击，暴力破解，传播病毒、木马等。 禁止使用ECS提供流量穿透服务。 禁止利用ECS搭建爬虫环境，对外部系统发起爬虫搜索。 未经外部系统主体授权，禁止利用ECS对外部系统发起扫描、渗透等探测行为。 禁止在ECS上部署任何违法违规网站和应用。 使用限制 请勿卸载云主机硬件的驱动程序。 弹性云主机不支持加载外接硬件设备，例如：硬件加密狗、U盘等。 请勿修改网卡的MAC地址。 弹性云主机不支持二次虚拟化。 物理机支持虚拟化软件安装和二次虚拟化，兼容VMware、Citrix XenServer、HyperV、Xen、KVM等多种Hypervisor。 部分软件的鉴权模式可能会导致license与物理机的硬件信息绑定，云主机的迁移、规格变更操作可能会引起物理信息变更进而导致license失效。 由于物理机故障导致云主机发生迁移，迁移时可能会出现重启或关机现象，建议您在系统业务进程配置自动拉起和开机自启动，或者通过业务集群部署、主备部署等方式实现业务的高可用。 建议您为部署核心关键业务的云主机做好数据备份。 建议您为云主机上的应用业务指标做好监控配置。 不建议您修改默认的DNS，如您有公网DNS配置需求，可以在云主机上配置公网DNS和内网DNS。

相关服务 交互功能 相关内容 弹性云主机（CTECS） TaurusDB配合弹性云主机（Elastic Cloud Server，简称ECS）一起使用，通过内网连接TaurusDB可以有效的降低应用响应时间、节省公网流量费用。 详细内容参见 虚拟私有云（CTVPC） 对您的TaurusDB数据库实例进行网络隔离和访问控制。 详细内容参见 对象存储（OBS） 存储您的TaurusDB数据库实例的自动和手动备份数据。 详细内容参见 云监控服务 云监控服务是一个开放性的监控平台，帮助用户实时监测TaurusDB资源的动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 详细内容参见 云审计服务 云审计服务（Cloud Trace Service，简称CTS），为用户提供云服务资源的操作记录。 详细内容参见 数据库复制（CTDRS） 使用数据复制服务，实现数据库平滑迁移上云。 详细内容参见 分布式关系型数据库（DRDS） 对于云数据库TaurusDB，使用分布式关系型数据库服务（Distributed Relational Database Service，简称 DRDS），后端对接多个数据库实例，实现分布式数据库的透明访问。 详细内容参见

本节介绍了故障诊断的用户指南，云容器引擎提供一键故障诊断能力，包括Service诊断、节点诊断、Pod诊断、Ingress诊断，辅助定位集群中出现的异常问题。 前提条件 已创建容器集群，具体操作请参见 用户指南 > 集群 > 新建集群 。 确保集群运行状态处于运行中。 故障诊断功能介绍 云容器引擎提供的故障诊断功能如下表所示： 诊断项 说明 Service诊断 诊断Service相关问题，例如Service后端就绪Pod、异常事件信息等。 节点诊断 诊断节点相关问题，例如K8s节点NotReady等。 Pod诊断 诊断K8s Pod状态异常相关的问题，例如Pod启动失败、Pod频繁重启等 。 Ingress诊断 诊断Ingress相关流量配置问题。 配置故障诊断 注意 使用故障诊断功能时，系统将在您的集群节点上执行数据采集程序并收集检查结果。采集的信息包括系统版本、负载、Docker、kubelet等运行状态以及系统日志中的关键错误信息。数据采集程序不会采集您的业务信息及敏感数据。 配置Service、节点、Pod、Ingress等诊断操作类似。下文以配置节点诊断为例，介绍如何配置故障诊断功能。 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要配置故障诊断的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择运维管理 > 故障诊断，进入故障诊断页面。 4. 在故障诊断页面，点击节点诊断Tab页面，在选择节点面板，选择需要诊断的节点名称，点击确定按钮发起诊断。 在诊断列表页面可查看诊断进展。诊断完成后，诊断页面将显示诊断结果。

本文介绍AOne在游戏行业的最佳实践。 背景信息 游戏行业是一个高度竞争和快节奏的行业，吸引了大量的在线玩家。在这个行业中，游戏运营商需要提供高性能、稳定可靠的游戏体验，同时保护游戏服务器和用户数据免受安全威胁。游戏服务的安全和性能直接影响到用户满意度、用户留存率以及游戏收入。为了满足游戏行业的挑战，许多游戏运营商都在寻求安全与加速服务解决方案来保护游戏服务器和提高游戏性能。 天翼云边缘安全加速平台AOne基于DDoS攻击防护、CC攻击防护和高性能CDN动静态加速能力，保障游戏的稳定性和可用性。 技术架构 应用场景 在线多人游戏服务器的安全防护 业务挑战：在线多人游戏服务器常常成为DDoS攻击和CC攻击的目标，这些攻击可能导致游戏服务器的过载和服务不可用，影响玩家的游戏体验。 方案优势：AOne提供强大的DDoS防护和CC攻击防御功能，可以实时监测和过滤恶意流量，确保游戏服务器免受攻击。这样可以保障游戏的稳定性和可用性，提高在线游戏的安全性。 在线游戏内容的全球加速传输 业务挑战：玩家分布在全球各地，下载游戏客户端或更新内容时，可能会面临较长的下载时间和高延迟。 方案优势：通过内容分发网络（CDN）技术，AOne在全球各地部署服务器节点，将游戏的静态资源缓存在离玩家最近的节点上。这样可以大大减少资源加载时间和延迟，提高玩家下载游戏内容的速度，优化玩家的游戏体验。

本文介绍如何创建路由。 云容器引擎平台支持对路由的URL配置，通过对应的URL将访问流量分发到对应的服务。同时，服务根据不同URL实现不同的功能。 操作步骤 1.单击左侧控制台导航栏的【资源管理】>【网络管理】，将默认进入【服务】管理页面，点击【ingress】页签，切换到【ingress】管理界面； 2.单击【创建Ingress】，进入ingress创建界面，参照下表设置参数，其中带“”的参数为必填参数； 参数 参数说明 Ingress名称 新建Ingress的名称 集群 Ingress所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 Ingress所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 对外协议 支持HTTP和HTTPS。若选择HTTPS，SSL策略中选择SSL终端，请填写私密凭据，无合适的私密凭据，可点击创建IngressTLS类型的私密凭据，跳转到私密凭据创建页；SSL策略选择SSL穿透 对外端口 开放公网地址的端口，在对外协议中选择HTTP时，为9080；HTTPS时，为9443 域名 实际访问的域名地址，对应负载均衡服务域名地址，需用户购买备案自己的域名，可选填。一旦配置了域名规则，则必须使用域名访问 路由配置 . 访问路径：需要注册的访问路径，例如：/healthz . 服务名称：选择需要添加Ingress的服务 . 服务端口：由所选服务暴露的端口决定，不可选 . 添加映射：点击添加映射新增一行映射 3.单击【创建】，等待创建成功，创建成功后将自动返回服务列表页，可对已经创建的服务可以编辑YAML、更新、删除的操作。

本文为您介绍接入域名时，如何配置放行回源IP地址段。 WAF使用特定的回源IP段，将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。 为什么要放行回源IP段 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 注意 将源站加入白名单的操作需要将源站的回源IP加入到业务整个访问链路上所有安全设备的白名单，例如边界防火墙白名单、IPS设备白名单、源站服务器中的安全组白名单以及服务器上具备访问控制能力的安全软件的白名单等。

实践 描述 命名空间是一个逻辑租户的概念，实现对MDR管控配置和数据的逻辑隔离，承载整个多活项目的资源集合，包括了流量入口，多活分区，数据同步，数据监控等内容。用户可以创建多个命名空间，用于逻辑隔离不同的资源。 在多活容灾服务控制台创建容灾管理中心，容灾管理中心以实例的形式独立运行，所有的操作都是在实例内进行，不同实例间的资源相互隔离。 帮助用户将应用接入到已经创建好的云主机中，并可对用户的应用端口和绑定的数据库、存储等资源进行监控告警。 用户以预案阶段为单位进行编排，形成完整的预案流程。容灾切换模块中通过关联预案创建容灾演练或应急切换以实现容灾的日常演练或故障发生后的应急响应。 容灾切换包括容灾演练和应急切换。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。 在多活容灾服务平台使用资源之前，用户需通过资源管理模块对当前资源进行同步操作，以便MDR侧能够实现统一管理。

本章节为您介绍如何通过数据库审计审计云上RDS数据库。 背景说明 在云计算环境中，部分云上的关系型数据库服务（RDS）所依托的宿主机基于一系列安全策略与架构设计的考量，不允许数据库审计相关的产品部署Agent程序。 天翼云关系数据库MySQL版支持通过免Agent安装的方式进行数据库审计。 其他不支持免Agent安装的云上数据库，您可以通过在使用云上数据库的应用端云主机安装数据库审计Agent的方式来获取数据库流量，以便您对数据库进行审计。 通过免Agent的方式审计天翼云关系数据库MySQL版 注意 通过免Agent方式审计RDS数据库之前，首先需要开启SQL审计日志功能，具体操作请参考：关系型数据库MySQL版开启SQL审计日志。（II类资源池中仅支持一类节点的资源池） 1.登录数据库审计实例。 2.在左侧导航栏选择“系统管理 > 系统配置 > 日志采集方式”，确认是否已开始天翼云RDS日志采集。 3.确认完成后，需要在“资产 > 资产管理”下添加对应的RDS数据库资产，类型需选择“天翼云RDS > TeledbMySQL > 所有版本”，实例ID请参考关系数据库MySQL版控制台“实例名称/实例ID”。 注意 实例ID项只可以填实例ID，切勿填写自定义的RDS实例名称。 4.剩余配置项完成后，单击“保存”即可纳管RDS数据库并审计，需要配置审计规则请参考：审计规则配置章节。

功能名称 功能描述 站点自动开通 22个人工环节优化为3个，在资源具备条件下（含本地接入段），IPRAN/STN/光纤直驱/OTN接入7个工作日开通，PON/SDWAN/5G切片专线接入1个工作日开通，具备自动化能力的云资源池分钟级开通。 差异化 QoS 分级 标准服务可提供“钻石、白金、金、银、铜、BE”6个 QoS 等级，保障客户不同应用的指标要求。 支持一线多用 PON接入站点客户可单独开通互联网业务或通过一条接入线路同时承载互联网业务与算力专网业务, SDWAN接入站点支持客户一点开通PON互联网业务和SDWAN业务，其中互联网业务支持拨号宽带或互联网专线。 支持多种接入方式 算力专网的网侧站点支持高达6种接入方式，包含：IPRAN、PON、光纤直驱、5G切片专线、OTN和SDWAN。（其中PON、光纤直驱、5G切片专线、OTN和SDWAN的接入能力正在研发中） 业务全流程可视化 实现客户自助查看业务开通进展、业务完整网络拓扑、电路运行状态、故障告警提醒、电路流量监测，提供多种产品增值功能，多维度持续提升客户满意度。 支持调整站点的接入电路速率 在创建完成算力专网站点后，可以在算力专网的控制台页面对指定站点的接入电路速率进行调整。 支持对站点接入电路速率的随选调整 在创建完成算力专网站点后，可以在算力专网的控制台页面对指定站点的接入电路速率在约定时间内进行变更。 支持查看站点的开通进度 用户在创建站点或发起站点变更功能后，可以在站点列表页的“状态”列中查看当前业务的开通进度。