告警和事件关系说明 本部分介绍告警和事件的含义、区别，告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 类别 告警 事件 定义 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。 告警转事件或关联事件的原因 告警通常是在系统或服务出现异常或潜在故障时产生的通知。这些异常可能会直接影响业务的正常运行，因此告警需要被及时处理，以防止业务异常。告警通常需要采取相应的措施来清除故障，否则可能会因为这些异常或故障引起业务的异常。 事件则是在系统或服务在正常运行状态下产生的通知，它可能涉及到一些重要的状态变化，但不一定会引起业务异常。因此，事件一般不需要进行处理，主要用于帮助分析、定位问题。 类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

本文主要介绍弹性负载均衡监控与日志常见问题。 配置访问日志后为什么界面没有显示？ 确认已创建云日志服务是否已经开启，且云日志组与云日志流已创建。 确认所创建的ELB服务是否可以被正常访问。 确认负载均衡是否支持访问日志： 目前只有七层负载均衡（HTTP/HTTPS）支持访问日志功能，四层负载均衡 （TCP/UDP）不支持此功能。 监控EIP带宽使用统计与负载均衡器监控的网络流出速率数据为何不一致？ 以下两种情况监控EIP带宽使用统计与负载均衡器监控的网络流出速率数据不一致： 1、如果流量没有超过EIP带宽，EIP未被限流，云监控EIP带宽使用统计外网访问数据，而负载均衡器不仅采集外网访问数据，而且采集内网访问的数据。 2、如果流量超过EIP带宽，EIP会被限流，负载均衡器内访问的数据流量跟EIP访问数据流量不是一个路径，负载均衡器内访问数据流量不会被限流。 负载均衡器 监控指标中七层协议返回码和七层后端返回码的区别? 不会。 负载均衡器七层监听器会终结TCP连接。即客户端和负载均衡器之间会建立TCP连接，负载均衡器和后端主机之间会建立另外一条TCP连接。客户端把HTTP请求发送给负载均衡器之后，负载均衡器会解析并转发HTTP请求到后端主机，然后后端主机再返回HTTP响应给负载均衡器，负载均衡器再解析和转发HTTP响应到客户端，所以通信过程被分成前后两个阶段。协议返回码是指负载均衡器返回给客户端的状态码，后端返回码是指后端主机返回给负载均衡器的状态码。 协议返回码和后端返回码有如下三种情况： 1、后端主机有返回码，这种情况负载均衡器会透传后端主机返回码到客户端，即协议返回码和后端返回码一致； 2、负载均衡器和后端主机连接异常或者超时等，负载均衡器会填充后端返回码为502或者504，然后转发给客户端； 3、监听器配置异常或者客户端请求格式和内容异常时，负载均衡器会直接返回4xx或者502 返回码，不继续向后端主机转发请求，即有协议返回码，无后端返回码。

本文主要介绍搭建可自动伸缩的web服务场景介绍。 某电商平台为吸引用户，除定期推出优惠活动外，还会在节假日、会员日、购物节开展大型促销活动。为保证顺利承载活动带来的流量，运维人员可以分析活动历史数据，提前预估新活动所需的计算资源。但如果高峰期流量超出预估，仍需要临时手动创建ECS实例，不仅操作仓促，而且可能因操作不及时影响应用可用性。 本文重点介绍创建弹性伸缩实现云主机自动伸缩的过程。如何利用弹性伸缩搭建可自动伸缩的Web应用，快速响应业务的峰谷波动，稳定承载日常业务的同时，轻松应对活动期间突增的流量。当电商平台服务的负载增加时云主机的CPU使用率会增大，负载降低时CPU使用率会降低。我们配置两条监控CPU使用率的告警策略，分别在CPU使用率高于50%时增加一台云主机，在CPU使用率低于10%时减少一台云主机，保证服务始终有合适数量的云主机，实现自动伸缩云主机的功能。

本文主要介绍云日志服务的日志管理概述。 登录云日志服务控制台，您可在日志管理页查看资源统计、日志应用、日志项目、日志单元等信息。 资源统计 资源统计展示当前账号、当前资源池下，所有日志的标准存储量、读写流量、加工流量与转储流量，以及这些指标的日环比数据。 详细信息，请参考资源统计。 日志应用 当前支持接入云主机应用文本日志与云容器引擎应用日志。详情请见接入云主机文本日志与接入云容器引擎应用日志。 日志项目列表 可查看当前创建的所有日志项目与日志单元，并可进行新建、收藏等操作。详情请见管理日志项目与管理日志单元。

后续操作 开启防护后，您可以为防火墙设置防护策略、查看日志等，以便更好地管控云间高速的流量访问。 配置访问控制策略 配置入侵防御策略 查看访问控制日志 查看入侵防御日志 查看流量日志 相关操作 关闭防护：若您不需要对云间高速进行防护，可随时关闭防护。 注意 关闭防护前请确保您已提前重置路由表配置，网络流量不再牵引到云防火墙；否则可能造成网络中断，影响业务负载。 在“云间高速”页签，找到需要关闭防护的云间高速VPC，单击操作列的“关闭防护”，在弹出的对话框中，单击“确定”为该VPC关闭防护。

本文主要介绍SQL Server服务到期与欠费说明。 服务到期 ● “包年/包月”实例到期后无法在SqlServer管理控制台进行该实例的操作，相关接口也无法调用，自动化监控或告警等运维也会停止。“包年/包月”实例的到期时间以实际订购为准，如客户资源2020年9月30号订购，订购1个月，那么资源服务开始时间为9月30号，到期时间为10月30号。 ● “按需计费”实例没有服务到期的概念。 欠费 ● “包年/包月”实例，没有欠费的概念。 ● “按需计费”实例是按每小时扣费，当余额不足，无法支付上一个小时的费用时，就会导致实例有停机风险。您续费后解冻实例，可继续正常使用。

变配规则 私网NAT网关使用期间支持规格升降级变配，包年包月实例变配后配置按当月实际发生天数计费，按需计费实例变配后配置按小时计费。 续订规则 私网NAT网关续订，续费可按原订购模式按年或按月方式进行续费。 退订规则 私网NAT网关退订、退费事宜具体以合同签订为准。 计费方式变更 支持按需计费私网NAT网关转换为包年包月，同时支持包年包月实例到期转换为按需计费实例。 到期与欠费 私网NAT网关到期或欠费后，系统会对您的私网NAT网关进行冻结操作；您可以续费后继续使用或删除实例不再继续使用。

本小节介绍微隔离防火墙售前类常见问题。 自适应微隔离产品需要对外提供哪些端口访问，才能正常工作？ 需要提供端口：10443、6443、8000、60001、60011、60021、60031。 6443为Web控制台访问端口。 8000安装Agent的访问端口。 60001、600011、60021、60031为Agent接入自适应微隔离管理中心的使用端口。 10443端口为后台管理使用的端口。 如何获取自适应微隔离的客户端安装命令？ WEB端登录系统后，在“工作负载管理 > 授权管理”中创建授权码，在页面下方可以获取针对不同的操作系统获取自动化安装命令，如下图： 使用IE浏览器访问产品管理页面时，一直显示加载中？ 目前产品不支持IE浏览器，可使用谷歌、火狐、Edge、腾讯、360浏览器，推荐使用谷歌Chrome浏览器。 自适应微隔离的Agent支持的操作系统有没有详细的版本列表信息？ 主要支持两种类型系统Windows和Linux。 Linux支持环境：Centos6、7 Ubuntu12、14、16 (LTS only) RedHat6、7 Debian7、8、9SUSE 11、12OpenSUSE 12、13、42； Windows支持环境：Windows Server 2008 R2、2012、2012 R2、2016。（注：以上各版本64位系统）Windows7、10。 业务拓扑图的红色线和绿色线都代表什么？ 业务拓扑图上的红色线代表工作负载被访问的流量连接与微隔离的策略没有匹配，当工作负载切换到防护，红色的流量连接将会被阻断；业务拓扑图上的绿色线代表工作负载访问的流量连接与微隔离的策略可以匹配上，当工作负载切换到防护，绿色的流量连接将会被放开允许访问。

Untrus接口配置虚拟IP 1. 申请虚拟IP 1. 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”。 2. 在网络控制台左侧导航栏，选择“子网”，选择防火墙Untrus接口所在子网，单击子网名称进入子网详情页面。 3. 在子网详情页面选择“虚拟IP”页签，单击“申请虚拟IP地址”，IP类型选择“IPv6”，配置完成后，点击“确定”。 2. 绑定虚拟IP 在云等保专区左侧导航栏，选择“下一代防火墙”，在开通的设备右侧操作列点击“更多 > 绑定虚拟IP”。 配置IPv6网关 IPv6网关是承载专有网络VPC IPv6流量的网关，用于在VPC内部路由IPv6流量，并且可以配置对外暴露VPC内部的IPv6地址、敏感端口以及进行流量限制的功能。IPv6网关是VPC内部的一个重要组成部分，用于连接VPC内部和公网，提供了稳定、安全、高效的IPv6流量转发服务。 1. 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”。 2. 创建IPv6网关 1. 在网络控制台左侧导航栏，选择“IPv6网关 > IPv6网关”，点击“创建IPv6网关”。 2. 正确填写配置参数表单信息，点击“下一步”。 3. 确认配置信息无误后，点击“立即创建”即可。 3. 创建IPv6带宽 1. 在网络控制台左侧导航栏，选择“IPv6网关 > IPv6带宽”，点击“申请IPv6带宽”。 2. 正确填写配置参数表单信息，点击“下一步”。 3. 确认配置信息无误后，点击“立即创建”即可。 4. 在网络控制台左侧导航栏，选择“IPv6网关 > IPv6带宽”，选中上一步创建的IPv6带宽，点击“绑定”（绑定防火墙的虚拟IP）弹出绑定页面，完成配置。

手动伸缩 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入到应用“概览”页。 3、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 4、单击应用组件名称，进入应用组件实例“概览”页。 5、单击“伸缩”，在“手动伸缩”策略下： 单击，修改“实例数”。 单击，实例伸缩操作即可生效。 单击“查看组件详情”，可查看到实例在“升级/回滚”中。待状态为“运行中”时，表示已成功完成实例伸缩操作。 弹性伸缩 说明 CCE集群，1.15及以上版本不支持弹性伸缩。 虚机部署不支持弹性伸缩。 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入应用“概览”页。 3、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 4、单击应用组件名称，进入应用组件实例“概览”页，单击“伸缩”。 5、在“弹性伸缩”下，单击“编辑伸缩规则”： 根据业务实际需要设置“冷却时间”、“最大实例数”、“最小实例数”。 单击“保存”。 6、在“弹性伸缩”下，单击“添加伸缩策略”。 当前支持三种弹性伸缩策略： 告警策略：支持根据CPU/内存的设置，进行应用组件的自动伸缩。应用组件部署后即可设置，在CPU/内存超过或少于一定值时，自动增减实例。 表 添加告警策略 参数 参数说明 :: 策略名称 请输入伸缩策略的名称。 策略类型 选择“告警策略”。 指标 选择“指标”。指标是对资源性能的数据描述或状态描述。 CPU使用率：该指标用于统计测量对象的CPU使用率。应用实际使用的与申请的CPU核数量比率。 物理内存使用率：该指标用于统计测量对象已使用内存占申请物理内存总量的百分比。 磁盘读取速率：该指标用于统计每秒从磁盘读出的数据量。 物理内存总量：该指标用于统计测量对象申请的物理内存总量。 数据接收速率：该指标用于统计测量对象每秒钟接收的数据量。 磁盘写入速率：该指标用于统计每秒写入磁盘的数据量。 物理内存使用量：该指标用于统计测量对象实际已经使用的物理内存。 CPU内核总量：该指标用于统计测量对象申请的CPU核总量。 数据发送速率：该指标用于统计测量对象每秒钟发送的数据量。 容器错包个数：该指标用于统计测量对象收到错误包的数量。 CPU内核占用：该指标用于统计测量对象已经使用的CPU核个数。 触发条件 设置“触发条件”，在对应条件下触发伸缩策略。 监控周期 设置“监控周期”，触发指标周期统计。 比如设置为20秒，表示每20秒统计一次。 连续周期 设置“连续周期”。连续周期是指监控周期内连续触发阈值的次数。 比如设置为3，则表示指标数据连续三个监控周期达到了设定的阈值，则触发策略动作。 执行操作 选择“增加”或“减少”实例数，设置策略触发后执行的动作。 单击“收起预览”，可设置“触发条件”、“监控周期”、“连续周期”、“执行操作”参数值。 定时策略：支持在特定时间点进行应用的自动伸缩。适用于秒杀周年庆等活动，例如在秒杀这个时间点增加一定数量的实例个数。 表 添加定时策略 参数 参数说明 :: 策略名称 请输入伸缩策略的名称。 策略类型 选择“定时策略”。 触发时间 设置策略触发时间。 执行操作 选择“增加”、“减少”或“设置”实例数，设置策略触发后执行的动作。 周期策略：支持以天、周、月为周期的伸缩策略。适用于周期性的流量变化。 表 添加周期策略 参数 参数说明 :: 策略名称 请输入伸缩策略的名称。 策略类型 选择“周期策略”。 触发时间 设置策略触发时间。 执行操作 选择“增加”、“减少”或“设置”实例数，设置策略触发后执行的动作。 7、单击“确定”。 在弹性伸缩下，可看到策略已启动。待到满足触发条件时，弹性伸缩即会生效。

本节介绍了证书配置的相关内容。 RDS支持替换，下载证书。 下载证书 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面。 步骤 5 在“数据库信息”模块的“SSL”处，单击 ，下载根证书或捆绑包。 您也可以在左侧导航栏，单击“连接管理”，在“连接信息”模块“SSL”处，单击 ，下载根证书或捆绑包。 说明 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 结束

本文将为您介绍如何为弹性伸缩组添加负载均衡器。 操作场景 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发和控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。 弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。若您需要使用弹性负载均衡提供的功能，请参考此章节为您的伸缩组添加负载均衡器。 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。弹性伸缩只能添加已创建的负载均衡器，且弹性伸缩组和负载均衡器必须处于同一VPC内。如何创建负载均衡器请参见弹性负载均衡快速入门。 注意 一个伸缩组可最多添加10组负载均衡监听器。 操作步骤 创建伸缩组时，您可以在“负载均衡”配置项中选择启用，此时您需配置4个参数：负载均衡器、主机组、后端端口和权重。

使用建议： 如果您对您的域名并不熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名总开关、域名规则开关均切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被WAF拦截。

DDoS 分布式拒绝服务攻击是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 流量清洗 对流量进行实时监控，及时发现包括DDoS攻击在内的异常流量，在不影响正常业务的前提下，清洗掉异常流量，主要是DDoS、CC这类攻击的主要处理手段。 CSRF CSRF一般指跨站请求伪造。跨站请求伪造（英语：Crosssite Request Forgery），也被称为Oneclick Attack或者Session Riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 撞库 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 批量注册 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于DDoS攻击、业务利用等非法行为。 暴力破解 暴力破解是指通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。

销售品名称 带宽区间 价格（元 /Mbit/s）按小时 价格（元 /Mbit/s）包月 公网访问低带宽 (0,5] 0.056 20.00 公网访问高带宽 (5,2000] 0.10 36.00

客户侧防火墙配置例子 客户侧私网网段：192.168.10.0/24 云侧私网网段：10.132.0.0/24，10.132.1.0/24，10.132.20.0/24，10.132.21.0/24 客户侧VPN设备为strongswan5.8.0 云侧是被动协商，不需要配置IKE与ESP算法，只需在客户侧防火墙配置云侧支持的算法（参考前两小节表格）即可。 云侧IPsec VPN实例信息如下： IPsec VPN名称：IPSecVPN 客户侧私网网段：192.168.10.0/24 客户侧公网地址：58.63.x.2 IKE版本：IKEv2 预共享密钥（自定义）： 标识符类型：FQDN 云端标识符：cloud.responder 客户侧标识符：customer.initiator 客户侧strongswan配置如下： （1）修改/etc/strongswan/ipsec.conf，参考配置如下： conn %default ikelifetime12h keylife4h rekeymargin3m keyingtries1 authbypsk keyexchangeikev2 mobikeno conn customertocloud left58.63.x.2 leftsubnet192.168.10.0/24 leftauthpsk leftid@customer.initiator right113.125.x.102 rightsubnet10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24 rightauthpsk rightid@cloud.responder ikeaes128gcm16prfsha256modp2048! espaes128gcm16esn! autostart dpddelay10s dpdtimeout90s dpdactionrestart （2）修改/etc/strongswan/ipsec.secrets配置预共享密钥为“”。 （3）修改/etc/strongswwan/strongswan.d/charon.conf，设置makebeforebreakno，默认是no。

客户侧防火墙配置例子 客户侧私网网段：192.168.10.0/24 云侧私网网段：10.132.0.0/24，10.132.1.0/24，10.132.20.0/24，10.132.21.0/24 客户侧VPN设备为strongswan5.8.0 云侧是被动协商，不需要配置IKE与ESP算法，只需在客户侧防火墙配置云侧支持的算法（参考前两小节表格）即可。 云侧IPsec VPN实例信息如下： IPsec VPN名称：IPSecVPN 客户侧私网网段：192.168.10.0/24 客户侧公网地址：58.63.x.2 IKE版本：IKEv2 预共享密钥（自定义）： 标识符类型：FQDN 云端标识符：cloud.responder 客户侧标识符：customer.initiator 客户侧strongswan配置如下： （1）修改/etc/strongswan/ipsec.conf，参考配置如下： conn %default ikelifetime12h keylife4h rekeymargin3m keyingtries1 authbypsk keyexchangeikev2 mobikeno conn customertocloud left58.63.x.2 leftsubnet192.168.10.0/24 leftauthpsk leftid@customer.initiator right113.125.x.102 rightsubnet10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24 rightauthpsk rightid@cloud.responder ikeaes128gcm16prfsha256modp2048! espaes128gcm16esn! autostart dpddelay10s dpdtimeout90s dpdactionrestart （2）修改/etc/strongswan/ipsec.secrets配置预共享密钥为“”。 （3）修改/etc/strongswwan/strongswan.d/charon.conf，设置makebeforebreakno，默认是no。

本文主要介绍边缘裸金属服务器挂载NFS协议类型的文件存储的方案。 应用场景 边缘裸金属服务器挂载文件存储，可以有多个应用场景，例如在数据密集型处理场景中，如气象数据分析、基因测序等，可将大量数据存储于文件存储，供多台边缘裸金属服务器快速读取和写入，提升数据处理效率。在需要共享存储的分布式计算场景里，如分布式数据库集群，通过挂载文件存储，各边缘裸金属服务器节点可共享配置文件、数据文件等资源，保障集群协同工作。 文件存储可提供高带宽、低延迟的数据访问，满足边缘裸金属服务器对存储性能的要求： 高可用性，文件存储具备冗余机制，能有效保障数据安全与业务连续性。 扩展性强，可依据业务增长灵活扩展存储容量，无需中断服务。 易于管理，集中化存储便于统一管理监控，降低运维难度。 前提条件 边缘裸金属服务器需和文件存储网络互通，需要采用 underlay vpc 网络。创建 underlay vpc 流程如下： 1. 登录ECX控制台。 2. 点击左侧【边缘网络】，选择【虚拟机私有云 > vpc和子网】 3. 点击【+创建虚拟私有云】，在基础信息中，类型需要选择为underlay，子网类型为underlay并填写规划好的 vlan 号。 创建边缘裸金属服务器和文件存储时，均要选择对应创建的 underlay vpc 网络。

本节为您接受如何为麒麟系统云主机配置图形化界面。 操作场景 为了提供纯净的弹性云主机系统给客户，麒麟系统云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 操作步骤 1. 配置网络，确保yum源可以正常使用。银河麒麟服务器操作系统在有外网的环境下可以直接使用yum源，而在无外网的环境下需要挂载镜像作为本地源。 2. 在字符界面执行以下命令，列出可安装的图形化包组 yum group list 3. 在字符界面执行yum groupinstall y "带GUI的服务器"命令，安装图形化桌面相关包，如下示例： yum groupinstall y "Server with UKUI GUI" 4. 在字符界面执行以下命令，设置系统默认的启动方式为graphical.target，即图形化启动 systemctl setdefault graphical.target 5. 在字符界面执行以下命令，重启系统使其生效 reboot 6. 重启系统后即可进入图形化界面 7. 输入用户名与密码，进入系统 安装图形化桌面相关包报错 操作背景 一般地，Linux 基础镜像不会默认安装图形化桌面相关包。银河麒麟高级服务器操作系统可按照本文档指导以上步骤自行安装。经用户反馈，有些条件下会有如下报错，可按以下方法进行解决。 经分析，银河麒麟高级服务器操作系统 V10 SP3（2303）使用以下路径的官方源。 < 存量基础镜像出于安全等因素所预装的 selinuxpolicy 相关包的版本是 3.14.276.se.29.01.ky10，但截至此篇 FAQ 发布时，官方源的最新版本已回退为 3.14.276.se.26.08.ky10，导致安装图形化桌面相关包时存在无法自动处理的依赖冲突问题。

名称 说明 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理 时间点 必填，定时备份时执行的时间点，为整点 重复周期 必填，定时备份任务重复在一周内哪几天触发执行

Service Name service: echoserver ingress: Ingress Name name: echoserver 3、查看状态 kubectl get rollout 4、升级应用版本，修改镜像版本 kubectl patch deploy echo patch '{"spec": {"template": {"spec": {"containers": [{"name": "server","image": "server:v2"}]}}}}' 5、执行以下命令，查看Rollout资源的状态。 kubectl get rollouts server n default 6、使用以下命令，将带有header[UserAgent]Android的流量导入到新版本，其它的流量导入到老版本。 curl H "UserAgent: Android" http:// 7、确认灰度发布的新版本发布正常后，继续后续发布。 kubectlkruise rollout approve server n default

本章节为您介绍企业路由器的应用场景。 企业客户的业务A部署在VPC1内，业务B部署在VPC2内，出于安全考虑，业务A和业务B互访的流量需要经过防火墙过滤清洗。 客户痛点 希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙，通过将VPC和云防火墙关联至企业路由器中不同的路由表，控制VPC1和VPC2互访流量经过防火墙。

本章节向您介绍在企业路由器中添加CFW连接。 在企业路由器中添加“云防火墙（CFW）”连接，即创建VPC边界防火墙时选择企业路由器，则会在企业路由器的连接列表中看到对应的“云防火墙（CFW）”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制，可以实现VPC内业务互访活动的可视化与安全防护。 您需要通过云防火墙控制台添加CFW连接，具体操作请参见云防火墙用户指南“开启VPC边界流量防护 > VPC边界防火墙”。

避免安装不必要的包 避免安装额外的或不必要的包，可以降低镜像的复杂度，减少镜像大小以及构建时间。当需要更新包时，推荐使用aptget install y xxx来升级指定的包，避免安装不必要的依赖。aptget upgrade会自动更新所有的依赖包，导致构建过程不确定，可能产生不一致的镜像，因此应该尽量避免使用。 减少镜像层并利用缓存 Docker镜像是分层的，Dockerfile中的每个指令都会创建一个新的镜像层，镜像层将被缓存和复用。当Dockerfile的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了，对应的镜像层缓存就会失效，且之后的镜像层缓存都会失效。 对于以下Dockerfile: plaintext FROM ubuntu ADD . /app RUN aptget update RUN aptget install y nodejs RUN cd /app && npm install CMD npm start 可以将两条aptget相关的RUN指令合并，来减少镜像层，并且防止aptget update命中缓存从而导致aptget install安装过期的依赖。同时，将aptget指令前移，防止因为每次源代码变动生成新的镜像层，从而导致aptget指令缓存失效。所以最终调整的结果为: plaintext FROM ubuntu RUN aptget update && aptget install y nodejs ADD ./app RUN cd /app && npm install CMD npm start 删除指令生成的多余文件 假设我们更新了aptget源，下载解压并安装了一些软件包，它们都保存在/var/lib/apt/lists/目录中。但是，运行应用时Docker镜像中并不需要这些文件。所以最好将它们删除，防止Docker镜像变大。示例: plaintext RUN aptget update && aptget install y nodejs && rm rf /var/lib/apt/lists/

指标名称 取值范围 告警策略 是否接近性能上限 告警处理建议 CPU利用率 0~100% 告警阈值：>70%连续触发次数：2告警级别：重要 否 结合业务分析是否由于业务上涨导致的。需要分析各个数据节点的CPU使用率分布是否均匀，如果节点普遍CPU高，需要考虑扩容，集群扩容会增加数据节点，分担CPU压力。如果是单个节点CPU上涨，需要业务侧分析是否存在热key，优化业务侧代码消除热key。 CPU平均使用率 0~100% 告警阈值：>70%连续触发次数：2告警级别：重要 否 结合业务分析是否由于业务上涨导致的，判断是否需要扩容。如果单机/主备实例，无法扩展CPU能力，需要考虑切换为集群实例。该指标仅针对单机、主备、Proxy集群实例设置，Cluster集群实例级别不支持该指标，仅在数据节点支持，即需要在实例详情的“性能监控”中选择“数据节点”页签查看。 内存利用率 0~100% 告警阈值：>70%连续触发次数：2告警级别：重要 否 结合业务分析是否由于业务上涨导致的。需要分析各个数据节点的内存利用率分布是否均匀，如果节点普遍内存利用率高，需要考虑扩容。如果是单个节点内存上涨，需要业务侧分析是否存在大key，优化业务侧代码消除热大key。 活跃的客户端数量 0~10000 告警阈值：>8000连续触发次数：2告警级别：重要 否 分析业务，是否合理，如果结合业务分析连接数是合理的，建议调整告警阈值。 新建连接数 >0 告警阈值：>10000连续触发次数：2告警级别：次要 新建连接数多，可能是短连接导致，建议使用长连接，避免使用短连接影响性能。 是否存在慢日志 0~1 告警阈值：>0连续触发次数：1告警级别：重要 通过慢查询功能分析具体的慢日志命令。 带宽使用率 0~200% 告警阈值：>90%连续触发次数：2告警级别：重要 是 可结合网络瞬时输入流量和网络瞬时输出流量，分析业务是读业务和还是写业务导致的流量上涨。对于单个节点带宽使用率上涨，需要分析是否有存在大key。其中，带宽使用率超过100%，不一定导致限流，有没有被流控需要看流控次数指标。带宽使用率没有超过100%，也有可能有限流，因为带宽使用率是上报周期实时值，一个上报周期检查一次。流控检查是秒级的。有可能存在上报周期间隔期间，流量有秒级冲高，然后回落，待上报带宽使用率指标时已恢复正常。 流控次数 >0 告警阈值：>0连续触发次数：1告警级别：紧急 是 结合规格限制、网络瞬时输入流量和网络瞬时输出流量，查看是否扩容解决。说明Redis 4.0以上版本的实例才支持该指标，Redis 3.0实例不支持。

如何处理物理机主网卡和扩展网卡共平面通信异常问题？ 以下是出现物理机主网卡和扩展网卡共平面通信异常问题的排查思路： 1. 确认主网卡和扩展网卡的配置是否正确。检查网络配置文件（例如，CentOS中的/etc/sysconfig/networkscripts/ifcfgethX文件）中的IP地址、子网掩码、网关等参数是否正确设置。 2. 检查网络设备（如交换机）的配置。确保主网卡和扩展网卡所连接的网络设备正常工作，配置正确，没有故障或限制。 3. 确保主网卡和扩展网卡所在的子网（以及VPC、网络等）之间的路由设置正确。检查路由表和网络设备的路由配置，确保数据包能够正确地转发到目标子网。 4. 检查防火墙设置。防火墙规则可能会限制主网卡和扩展网卡之间的通信。确保防火墙规则允许所需的通信流量通过。 5. 检查主机的网络配置是否有冲突。例如，确保主网卡和扩展网卡的IP地址、子网掩码等参数不会发生冲突。 6. 进行网络连通性测试。使用工具如ping命令或其他网络连通性测试工具，测试主网卡和扩展网卡之间的连通性。如果连通性存在问题，根据测试结果进一步排查故障。

步骤 3：安装引导 Windows 支持三种安装方式：命令安装、安装包安装、命令+安装包安装。 【命令安装】 适用于批量安装（需支持 PowerShell 组件）。 选择 Agent 安装到的目录位置（默认为：C:Program FilesTitanAgent），选择命令执行的应用（CMD 或 Powershell），在应用中以管理员权限运行命令，即可安装 Agent。 【安装包安装】 适用于单台安装，用户可使用操作界面安装。 需下载安装包，按照安装流程操作，填入安装程序所需的"安装参数"，点击"安装"，即可安装 Agent。 【安装包+命令】 适用于批量安装，安装包分发到各主机，批量执行命令。 需下载安装包，输入安装包所在位置和 Agent 安装到的目录位置（默认为： C:Program FilesTitanAgent），才可生成安装命令；生成命令后，在 cmd 中以管理员权限运行命令，即可安装 Agent。

本章节主要介绍数据治理中心 DataArts Studio的变更操作。 规格变更 “数据治理中心 DataArts Studio（基础包）初级版”，可升级为“数据治理中心 DataArts Studio（基础包）企业版”。 如需升级，请登录DataArts Studio控制台，进入“实例列表”，找到需要升级的DataArts Studio实例，单击“升级”，然后根据页面提示购买更高规格的版本并完成支付即可。 DataArts Studio增量包CDM目前不支持升级操作，如果需要使用高版本则需要重新创建。 扩容 数据治理中心 DataArts Studio不涉及此项功能。

本文汇总了使用弹性IP产品时常见的弹性IP申请、分配和找回类问题。 为什么控制台找不到也不显示已购买的弹性IP？ 为什么无法访问弹性IP？ 为什么购买弹性IP时提示”资源池IP配额不足“？ 新申请的弹性IP的分配策略是什么？ 弹性IP支持指定地址或找回曾经使用的地址吗？ 为什么控制台找不到也不显示已购买的弹性IP？ 弹性IP的创建需要一定的时间，您可以先查看购买的资源池和控制台弹性IP列表，从订单页面找到购买记录，查看购买可用区。 若一段时间后还未显示相应弹性IP，可查看订单记录，确认该订单是否已完成，若存在资源池弹性IP资源不足等原因，订单将会失败。 为什么无法访问弹性IP？ 如果您无法访问弹性IP，可能是因为弹性IP没有绑定到云资源或弹性IP已欠费。 如果弹性IP加入了共享带宽，请您查看共享带宽是否已欠费。 如果您的资源费用情况为正常，且弹性IP绑定了云主机仍无法访问，此时需要检查云主机是否配置了安全策略，您可查看主机的安全组和ACL策略，是否将该公网IP地址拒绝访问。

本章节介绍如何配置热点规则 配置热点规则 为应用程序配置热点规则后，微服务治理中心会对系统中的资源调用次数进行分析，并根据配置的热点规则来限制包含热点参数的资源调用，以保证系统的稳定性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，新建隔离规则：在左侧导航栏，单击流量防护，在流量防护 规则管理 热点规则页，单击新增热点规则按钮。 5. 在新增热点限流规则对话框中，配置规则信息。 6. 单击新增。 使用场景 常用场景 1：秒杀场景 为了保证系统稳定性，可以配置热点规则，当超过一定量的阈值后，系统会让满足热点规则的请求流量排队等待。例如，对于购买同一商品的请求，如果在1秒内调用次数超过100次，则其他请求将被等待处理。在新建热点规则对话框中，可以配置以下规则信息： 阈值：设置超过多少次请求会被限流。 等待时间：设置等待时间，单位为秒。 调用次数：设置调用次数的阈值。 例如购买同一商品，1s内调用超过100次请求后，则其余请求进行等待。在新建热点规则对话框中配置以下规则信息： 填写接口名称。 统计维度选择通过请求数。 统计周期时间设置为1s，单机阈值设置为100。 流控效果选择排队等待。 超时时间设置为30 ms。

服务部署支持在推理场景将平台预置模型和模型仓库模型部署为模型在线服务。 前置条件 如果预置镜像不满足开发要求，需要基于自有镜像，需要完成镜像文件准备，详见我的镜像。 如果需要使用代码包，需要完成代码包准备，详见我的代码包。 创建在线服务 1. 登录训推智算服务平台。 2. 创建在线服务入口： 入口一：在左侧菜单选择“模型服务”“服务部署”，点击“部署模型”，进入在线服务创建页面。 入口二：在左侧菜单选择“模型管理”，点击模型卡片的“部署”，进入在线服务创建页面。 3. 当前模型部署支持将不同来源、不同类型的模型转化为可对外提供服务的模型应用，满足多样化的业务场景需求： 自定义部署：部署的模型来自于模型管理中用户通过开发机和训练任务生成的个性化的自有模型，或者是平台预置模型。选择“我的模型”列表下的目标模型文件，要求客户对自有模型的训练逻辑、 部署时的资源规格有清晰的认知，否则会直接影响部署效果。“我的模型”只适用于单机部署，如果想使用多机部署，请选择”预置模型“。 参数名 说明 服务名称 必填，在线服务名称。 模型文件 选择自定义配置，则可选择模型管理中“我的模型”或者“预置模型”下的模型文件。 模型选择 选择模型管理中的“我的模型”或者“预置模型”文件，挂载到容器内路径。 镜像来源 支持选择系统预置镜像、自定义镜像、他人分享镜像和镜像地址输入。 代码包选择 非必填，可以选择目标代码包。 环境变量 输入变量名称和值。 运行命令 必填，用以启动镜像的运行命令和端口号（例如：启动镜像的运行命令脚本。示例如下：cd /work/mount/code

本章节主要介绍DataArts Studio的开发一个DLI Spark作业流程。 在本章节您可以学习到数据开发模块资源管理、作业编辑等功能。 场景说明 用户在使用DLI服务时，大部分时间会使用SQL对数据进行分析处理，有时候处理的逻辑特别复杂，无法通过SQL处理，那么可以通过Spark作业进行分析处理。本章节通过一个例子演示如何在数据开发模块中提交一个Spark作业。 操作流程如下： 1. 创建DLI集群，通过DLI集群的物理资源来运行Spark作业。 2. 获取Spark作业的演示JAR包，并在数据开发模块中关联到此JAR包。 3. 创建数据开发模块作业，通过DLI Spark节点提交Spark作业。 环境准备 已开通对象存储服务OBS，并创建桶，例如“obs://dlfexample”，用于存放Spark作业的JAR包。 已开通数据湖探索服务DLI，并创建Spark集群“sparkcluster”，为Spark作业提供运行所需的物理资源。 获取Spark作业代码 本示例使用的Spark作业代码来自maven库，此Spark作业是计算π的近似值。 1. 获取Spark作业代码JAR包后，将JAR包上传到OBS桶中，存储路径为“obs://dlfexample/sparkexamples2.101.1.1.jar”。 2. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 选择数据开发 3. 在数据开发主界面的左侧导航栏，选择“配置管理 > 资源管理”。单击“新建资源”，在数据开发模块中创建一个资源关联到步骤1的JAR包，资源名称为“sparkexample”。 创建资源