翼加密 翼加密是首个针对AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对AI云电脑内的文件实时无感加密。在保证用户正常使用AI云电脑的前提下，保障企业内部的敏感和机密数据文件安全不外泄。详情可查看翼加密帮助指导。 透明加密：在AI云电脑内进行文件接收、下载、编辑保存、复制粘贴等操作，均会对文件进行实时无感的全方位加密保护。 外发管控：外部非加密环境的无权限用户无法正常打开加密文件。加密文件如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 高等级加密安全：采用国际标准的高等级AES加密算法，以及SM4国密算法。从底层的驱动层面对文件进行加密，更安全可靠。 密级权限管控：针对部门层级架构以及员工职级权限划分明确的大型政企，支持企业按照架构职级自定义密级权限。用户的密级等级越高，能够生成以及读写加密文件密级也越高。 剪切板控制：支持加密文件内容的剪切板复制管控，用户无法通过复制粘贴的形式明文外发加密文件的内容。 翼甲卫士 翼甲卫士是一款专门为天翼AI云电脑（政企版）提供互联网边界防护的防火墙，解决AI云电脑访问互联网的统一安全管控需求 。翼甲防火墙具有入侵防御 (IPS)、病毒过滤 (AV)、访问控制、上网行为管理以及VPN等丰富功能。详情可查看翼甲卫士帮助指导。 入侵防御：实时检测经过翼甲防火墙的网络流量，并根据配置对多种网络攻击行为（包括缓冲区溢出攻击、木马、蠕虫等）进行阻断等操作。 病毒过滤：探测经过翼甲防火墙的各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。 上网行为管理：对天翼AI云电脑（政企版）的上网行为进行审计和管控，例如禁止访问购物网站。 访问控制：基于安全策略进行访问控制。 VPN功能：搭建VPN加密通道，实现本地网络与VPC之间的网络互通。

本文为您介绍云搜索实例开通、访问等控制台操作时遇到的问题及可能的解决方案。 实例开通失败怎么处理？ 如果遇到云搜索实例开通失败，可能因为： 1. 网络安全组设置出现变动。为保证实例的开通顺畅，我们会默认为您配置如下安全组规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24( 实际网段地址，以客户创建的VPC子网网段地址为准 )以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。此操作有风险，建议用户按需配置限制规则。 如您在开通过程中，对安全组规则进行了修改，则可能会导致无法自动部署，请先前往安全组配置控制台进行检查。 2. 资源未能成功开通，如资源池剩余资源不足，资源接口临时故障等。 3. 资源开通成功但自动部署过程中出现后端服务问题。 针对2、3两种情况，建议您可以先重试开通，如果重试依然失败，可通过工单联系工程师处理。 实例连接不上怎么处理？ 当您遇到实例无法连接的情况时，请按照以下步骤进行排查和解决： 1. 检查网络配置：确保您的实例所在的子网和安全组配置正确，允许入站和出站的网络流量。检查安全组规则，确保允许来自客户端的IP地址的入站访问。 2. 确认服务状态：从控制台查看服务状态，检查搜索引擎实例的运行状态是否正常。 3. 验证实例端口：确认实例的开放端口（默认情况下为9200）在安全组中被允许访问。如果需要连接到其他端口（如Kibana端口5601），请确认该端口也被允许。 4. 检查客户端配置：确保客户端的配置正确，特别是实例的URL、端口号以及认证信息（用户名、密码或API密钥）是否填写正确。实例开启时默认为HTTPS协议，需要使用https：// : 来访问，如果需要切换为HTTP协议请在安全设置中进行调整。 5. 联系天翼云技术支持：如果经过上述排查步骤仍无法解决问题，请联系天翼云的技术支持团队，提供相关的错误信息、日志和配置截图，以便更快地诊断和解决问题。

节点部署原则 适用场景 组网规则 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 9 + DN × n （推荐）数据节点数5002000时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 5 + DN × n （推荐）数据节点数100500时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 3 + DN × n （推荐）数据节点数30100时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点和控制节点合并部署，数据节点单独部署 (MN+CN) × 3 + DN × n （推荐）数据节点数330时采用此方案 集群内节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点合并部署 l 节点数小于6的集群使用此方案 l 此方案至少需要3个节点 说明 生产环境或商用环境不推荐使用此场景： l 管理节点、控制节点和数据节点合并部署时，集群性能和可靠性都会产生较大影响。 l 如节点数量满足需求，建议将数据节点单独部署。 l 如节点数量不满足将数据节点单独部署的要求，必须使用此场景时，需要使用双平面组网方式。将管理网络与业务网络流量隔离，防止业务平面的数据量过大，导致管理操作不能正常下发。 集群内节点部署在同一子网，集群内通过汇聚交换机二层互联。

本节主要介绍OBS的功能特性。 功能名称 功能描述 天翼云发布区域 备注 :::: 标准存储 访问时延低和吞吐量高，适用于有大量热点文件（平均1个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 全部 低频访问存储 适用于不频繁访问（平均1年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 苏州、广州4、武汉2 归档存储 适用于很少访问（平均1年访问1次）数据的业务场景，例如：数据归档、长期备份等场景。 归档存储安全、持久且成本极低，可以用来替代磁带库。 为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 苏州、广州4、武汉2、福州 桶管理 桶是OBS中存储对象的容器。 OBS提供创建、列举、搜索、查看、删除等基本功能，帮助您便捷的进行桶管理。 全部 对象管理 对象是OBS中数据存储的基本单位。 OBS提供上传、下载、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的对象管理需求。 全部 权限管理 OBS通过IAM权限、桶/对象策略和ACL三种方式配合进行权限管理。 您可以通过IAM自定义策略授予IAM用户细粒度的OBS权限，也可以对桶和对象设置不同的策略及ACL来控制桶和对象的读写权限。 全部 服务端加密 您可以将数据加密后存储到OBS中，提高数据的安全性。OBS提供SSEKMS服务端加密方式。 贵州、西安2、苏州、广州4、华北、成都3、北京2、武汉2、杭州、上海4、深圳、长沙2、芜湖、南昌、乌鲁木齐、福州 生命周期管理 您可以通过生命周期规则来管理对象的生命周期，例如定期将桶中的对象删除或者转换对象的存储类别。 全部 静态网站托管 您可以将静态网站文件上传至OBS桶中，并对这些文件赋予匿名用户可读权限，然后将该桶配置成静态网站托管模式，以实现在OBS上托管静态网站。 全部 须安全审批后加白 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。 而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。 OBS支持CORS规范，允许跨域请求访问OBS中的资源。 全部 防盗链 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 全部 自定义域名 您可以将自定义域名绑定到OBS桶，然后使用自定义域名访问桶中的数据。 例如，您需要将网站中的文件迁移到OBS，并且不想修改网页的代码，即保持网站的链接不变，此时可以使用自定义域名绑定功能。 全部 须安全审批后加白 桶清单 可以用来帮助您管理桶内对象，你可以配置一个清单规则，定期扫描桶中指定的对象或拥有相同前缀的对象，生成这些对象的元数据内容，如对象大小、修改时间、存储类别等，并以CSV格式保存到指定的桶中。 广州4、苏州、华北、贵州、成都3、西安2、杭州、福州、深圳、北京2、上海4、长沙2、芜湖、武汉2、兰州、南昌 图片处理 您可以使用图片处理功能对存放在OBS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 广州4、苏州、杭州、华北、福州、芜湖、兰州 并行文件系统 并行文件系统（Parallel File System）是OBS提供的一种经过优化的高性能文件系统，能够快速处理高性能计算（HPC）工作负载。 您可以按照标准的OBS接口读取并行文件系统中的数据，也可以利用obsfs工具（按照POSIX文件语义读写数据）将创建的并行文件系统挂载到云端Linux服务器上，并能像操作本地文件系统一样对并行文件系统内的文件和目录进行在线处理。 全部 日志管理 您可以通过日志管理功能获取桶的访问数据。开启日志管理功能后，桶的每次操作将会产生一条日志，并将多条日志打包成一个日志文件保存在目标桶中，您可以基于日志文件进行请求分析或日志审计。 全部 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 全部 追加写对象 您可以通过AppendObject接口在指定桶内的一个Appendable对象尾追加上传数据。通过AppendObject创建的对象为Appendable对象，通过PutObject创建的对象是Normal对象。 全部 自定义元数据 您可以添加、修改或删除桶中已上传对象的元数据。 全部 桶配额 您可以设置桶空间配额，用以限制单个桶可存储的最大数据量，最大可设置为2631，单位Byte（字节）。新创建的桶默认不限制配额。 全部 碎片管理 您可以通过桶的碎片管理功能，对多段上传时某些特殊情况下产生的碎片进行清理，以节省存储空间。 全部 归档数据直读 默认情况下OBS中归档存储类别的对象需要恢复后才能下载，您也可以开启桶归档数据直读功能，开启后存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 苏州、广州4、武汉2 对象分享 您可以将存放在OBS中的文件或文件夹以临时URL的形式分享给所有用户。分享强调临时性，所有分享的URL都是临时URL，存在有效期。 您可以通过OBS控制台以及客户端工具OBS Browser+设置文件临时分享。如果想要设置永久的权限，请通过桶策略或对象策略实现。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌、乌鲁木齐、内蒙3、西宁、中卫、郑州、青岛、海口、重庆 企业项目 您可以在创建桶时指定桶所属的企业项目，更方便的进行桶资源和权限管理。 全部 桶加密 您可以为桶配置默认加密，配置后，上传到桶中的对象都会自动进行加密。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、南昌、乌鲁木齐 桶标签 桶标签用于标识OBS中的桶，以此来达到对OBS中的桶进行分类的目的。当为桶添加标签时，该桶上所有请求产生的计费话单里都会带上这些标签，从而可以针对话单报表做分类筛选，进行更详细的成本分析。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌 多AZ 您可以在创桶的时候选择将桶中数据冗余存储在多个可用区，以获得更高的数据可靠性。OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。 苏州、广州4、华北 监控 您可以通过OBS控制台或者云监控服务（Cloud Eye）控制台监控桶的流量统计和请求次数等指标，方便您及时了解目前资源的使用状况、并合理规划使用计划。 苏州、广州4、西安2、华北、杭州 审计 您可以通过云审计服务（CTS）对OBS中桶和对象的各类事件操作记录进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。 依赖云审计CTS 工具 OBS提供OBS Browser+、obsfs工具，满足不同场景下数据迁移和数据管理需求。 全部 API OBS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除桶，上传、下载、删除对象等操作。 全部 SDK OBS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、Go 全部 线下提供

本节介绍了安全组、安全组规则、安全组的限制。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云主机无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见默认安全组和规则。 说明 安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，则此安全组不生效，您可以使用对等连接等产品建立VPC连接互通。 安全组规则 安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云主机出入方向网络流量进行访问控制，当云主机加入该安全组后，即受到这些访问规则的保护。 每个安全组都自带默认安全组规则，详情请参见默认安全组和规则。您也可以自定义添加安全组规则，请参见默认安全组和规则。 安全组的限制 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云主机或扩展网卡建议选择安全组的数量不多于5个。 云主机或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。 安全组添加实例时，一次最多可添加20个实例。 一个安全组关联的实例数量建议不超过1000个，否则可能引起安全组性能下降。 当安全组规则配置为以下情况时，不支持针对下列类型的云主机生效。 安全组规则限制 安全组规则 不支持的云主机类型 :: 策略选择“拒绝” X86计算型，具体规格请参见规格清单 1.通用计算型（S1型、C1型、C2型 ） 2.内存优化型（M1型） 3.高性能计算型（H1型） 4.GPU加速型（G1型、G2型） 源/目的地址为“IP地址组” 协议端口配置为不连续端口号 X86计算型，具体规格请参见规格清单 1.通用计算型（S1型、C1型、C2型 ） 2.内存优化型（M1型） 3.高性能计算型（H1型） 4.GPU加速型（G1型、G2型）

媒体存储为客户提供丰富的数据管理、数据处理、数据安全的产品能力。 块存储 产品能力 功能说明 接入方式 支持iSCSI接入方式。 块空间管理 支持通过控制台管理块设备资源，包括创建、扩容、删除等操作。 鉴权管理 可通过控制台管理文件资源访问权限，接入使用资源时进行鉴权。 文件存储 产品能力 功能说明 接入方式 提供NFS、CIFS两种类型接口，支持NFSV4.0、SMB2、SMB3协议。 文件空间管理 支持通过控制台管理文件资源，包括创建、扩容、删除等操作。 鉴权管理 可通过控制台管理文件资源访问权限，接入使用资源时进行鉴权。 对象存储 产品能力 功能说明 对象管理 支持文件的上传/分片上传/追加上传、下载、删除、复制、前缀搜索、移动功能、追加上传支持整个对象内容MD5计算、可自定义元数据。 对象标签 通过对象（Object）标签功能，对Object进行分类管理，比如列举指定标签的Object、对指定标签的Object配置统一的生命周期。 跨域资源共享 通过桶上配置跨域规则，允许或禁止某些网站的跨域请求。 生命周期 对象存储支持按照过期天数等灵活的策略配置生命周期管理机制。 镜像回源 通过镜像回源功能，当请求者向存储桶（Bucket）请求不存在的文件时，从回源规则设置的源站获取目标文件。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 桶清单 通过桶清单功能，定时生成桶内指定文件（Object）的数量、大小、存储类型、加密状态的清单信息，并保存到指定Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 桶标签 通过存储桶（Bucket）的标签功能， 对 Bucket 进行分类管理，比如列举带有指定标签的Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 文件解压缩 通过压缩包解压规则，当上传满足条件的压缩包文件时，服务将自动解压该压缩包后，将文件保存到Bucket中。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 访问权限 支持基于资源的访问权限策略，包括Bucket ACL、Object ACL、 Bucket Policy。 防盗链 可通过是否允许空Referer或黑白名单设置，校验访问账号内资源操作的合法性。 主子账号 可基于子账号进行资源访问与管理授权。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 STS角色管理 支持STS临时凭证，可对其他用户颁发临时凭证，无需透露owner的AKSK。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 合规保留 媒体存储以“不可删除、不可篡改”方式保存和使用数据。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 版本控制 针对Object的覆盖和删除操作将会以版本的形式保存下来，可将 Object 恢复至指定的历史版本。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 服务端加密 媒体存储可对收到的文件进行加密，再保存加密后的文件，用户下载文件时，服务自动将加密文件解密后返回给用户。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 存储桶复制 支持跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（Object）。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 数据迁移 支持多种数据迁移能力，可以满足客户多种数据迁移场景，包括存储桶迁移、跨账号迁移、跨云数据迁移。 事件通知 当资源发生变动时，用户可及时接收通知消息。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 日志存储 通过日志存储功能，将操作日志按照固定的命名规则，以5分钟为单位写入指定的Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 告警管理 支持告警规则管理，包括添加告警规则，管理告警规则，查看告警消息等。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 自定义域名 通过自定义域名绑定功能，可以通过已绑定的自定义域名访问存储桶内的文件。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 操作日志 支持查询指定时间内在控制台操作的相关日志。 实时日志查询 支持查询通过API或SDK操作对象存储的相关日志。目前实时日志查询为内测功能，如需使用，可联系客户经理或提交工单申请。 用量统计 统计并支持查询存储空间、流量与请求次数用量信息。 图片处理 提供的产品自带图片处理功能，包括基础图片转换、水印功能、原图保护、视频截帧、数据处理持久化保存等功能。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 视频截帧 对象存储内置提供视频截帧功能，可截取出H264视频文件中的指定位置内容的对应图片。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 工具指南 提供图形化客户端工具以及网络测速工具。 API接口 提供REST形式的访问接口，可直接调用相应接口完成操作。 SDK 对媒体存储提供的REST API进行的封装，可直接调用SDK提供的接口函数进行使用。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

前提条件 已在管理控制台中创建“弹性负载均衡”实例。 1. 登录管理控制台首页，在服务列表中选择“网络 > 弹性负载均衡”。 2. 单击右上角的“创建弹性负载均衡”。 说明： CCE中的负载均衡 ( LoadBalancer )访问类型使用弹性负载均衡 ELB提供网络访问，存在如下产品约束： 自动创建的ELB实例建议不要被其他资源使用，否则会在删除时被占用，导致资源残留。 创建Ingress 您可以在创建工作负载时通过CCE控制台设置访问方式，本节以创建一个nginx工作负载并添加Ingress类型的Service为例进行说明。 步骤 1 创建工作负载，详细步骤请参见创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)。 若创建工作负载时，部署了“节点访问( NodePort )”类型的Service，请直接执行步骤3。 若创建工作负载时，未部署“节点访问( NodePort )”类型的Service，请先执行步骤2。 步骤 2 （可选）若创建工作负载时，未配置“节点访问 ( NodePort )”，请执行如下操作。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。 2. 在Service页签下，单击“添加Service”。选择类型为“节点访问 ( NodePort )”。 − Service 名称：自定义服务名称，可与工作负载名称保持一致。 − 集群名称：选择需要添加Service的集群。 − 命名空间：选择需要添加Service的命名空间。 − 关联工作负载：单击“选择工作负载”，选择需要配置节点访问 ( NodePort )的工作负载名称，单击“确定”。 − 服务亲和： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 − 端口配置： a、协议：请根据业务的协议类型选择。 b、容器端口：容器镜像中工作负载实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 c、访问端口：容器端口映射到节点私有IP上的端口，用私有IP访问工作负载时使用，端口范围为3000032767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 3. 单击“创建”，节点访问方式设置成功。 步骤 3 添加Ingress类型的Service。 1. 单击CCE左侧导航栏的“资源管理 > 网络管理”。 2. 在Ingress页签下，单击“添加Ingress”。 − Ingress 名称：自定义Ingress名称，例如ingressdemo。 − 集群名称：选择需要添加Ingress的集群。 − 命名空间：选择需要添加Ingress的命名空间。 − 负载均衡配置：Ingress使用弹性负载均衡服务（ELB）的负载均衡器提供七层网络访问。 说明： 1. ingress创建后请在CCE页面对所选ELB实例进行配置升级和维护，否则可能导致ingress服务异常。 2. 自动创建的ELB实例尽可能不要被其他ingress或者service使用，否则可能导致资源残留。 负载均衡：负载均衡实例需与当前集群处于相同VPC且为相同公网或私网类型。 请根据业务需求选择“公网”或“私网”。公网支持自动创建和使用已有负载均衡实例两种方式。私网：支持自动创建和使用已有负载均衡实例两种方式。 更改配置：选择“公网 > 自动创建”时，单击规格配置下的“更改配置”，可修改待创建的负载均衡实例的名称、规格、计费模式和带宽。 − 监听器配置：Ingress为负载均衡器配置监听器，监听器对负载均衡器上的请求进行监听，并分发流量。 a、对外协议：支持HTTP和HTTPS。 b、对外端口：开放在负载均衡服务地址的端口，可任意指定。 若选择启用“对接Nginx”后，将默认开启80和443端口，此处“对外端口”参数项将不显示。 c、服务器证书：请选择密钥证书。 须知： 选择HTTPS协议时，才需要创建密钥证书ingresstestsecret.yaml。创建密钥的方法请参见创建密钥。 同一个ELB实例的同一个端口配置HTTPS时，一个监听器只支持配置一个密钥证书。若使用两个不同的密钥证书将两个Ingress添加到同一个ELB下的同一个监听器，ELB侧实际只生效最初的证书。 − 转发策略配置：请求的访问地址与转发规则匹配时（转发规则由域名、URL组成），此请求将被转发到对应的目标Service处理。 说明： 服务负载均衡配置中可更改ELB实例的分配策略类型、会话保持、健康检查等内容，请勿在ELB服务修改相关信息。 − 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 − URL匹配规则： 前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1，/healthz/v2。 精确匹配：表示精准匹配，只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 正则匹配：可设定映射URL规范，例如规范为/[AZaz09.]+/test。只要符合此规则的URL均可访问，例如/abcA9/test，/v1Ab/test。正则匹配规则支持POSIX与Perl两种标准。 − URL：需要注册的访问路径，例如：/healthz。 − 目标Service：请选择已有Service或新建Service。页面列表中仅支持选择“节点访问 ( NodePort )” 类型的Service，该查询结果已自动过滤。 − Service访问端口：可选择目标Service的访问端口。 − 服务负载均衡配置：该配置是基于服务的配置，若有多条路由使用当前服务，这些路由将使用相同的服务负载均衡配置。 健康检查：默认不启用。请根据界面提示进行配置。 − 操作：可单击“删除”按钮删除该配置。 单击“添加转发策略”按钮可添加多条转发策略。 步骤 4 配置完成后，单击“创建”。 创建完成后，在Ingress列表可查看到已创建成功的Ingress。 步骤 5 访问工作负载（例如名称为defaultbackend）的“/healthz”接口。 方式一：负载均衡IP访问（需负载均衡访问的服务不能配置域名） 1. 获取defaultbackend“/healthz”接口的访问地址，访问地址有负载均衡实例、对外端口、映射URL组成，例如：10.154.73.151:80/healthz。 a. 在左侧导航栏选择“资源管理 > 网络管理”。 b. 在“Ingress”页签下，单击Ingress名称，可查看访问地址。 2. 在浏览器中输入“/healthz”接口的访问地址，如： 访问defaultbackend“/healthz”接口 方式二：域名访问 以ingress中已配置域名ingress.com为例。 1. 获取ingressdemo的域名与访问地址的IP、URL与端口。 a. 在左侧导航栏选择“资源管理 > 网络管理”。 b. 在“Ingress”页签下，可查看访问地址。 c. 单击Ingress名称，可查看域名。 2. 在本地主机的C:WindowsSystem32driversetchosts中配置访问地址的IP和域名，如下图： 3. 在浏览器中输入 更新Ingress 您可以在添加完Ingress后，更新此Ingress的端口、域名和路由配置。操作如下： 说明： Ingress创建后请避免在ELB服务的控制台中操作Ingress对接的ELB资源，如需修改请在CCE控制台中对所选ELB实例进行配置升级和维护，否则可能导致Ingress服务异常。 在CCE控制台中更新Ingress时，负载均衡配置中可更改ELB实例的分配策略类型、会话保持、健康检查等内容，请勿在ELB服务修改相关信息。 自动创建的ELB实例尽可能不要被其他Ingress或者Service使用，否则可能导致资源残留。 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在Ingress页签下，选择对应的集群和命名空间，单击待更新Ingress后方的“更新”。 步骤 2 在“更新Ingress”页面，更新如下参数： 监听器配置 对外端口：开放在负载均衡服务地址的端口，可任意指定。 转发策略配置 服务负载均衡配置： 单击展开后，可对如下参数进行设置： − 健康检查：默认开启。请根据界面提示进行配置。 单击“添加转发策略”按钮可添加多条转发策略。 − 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 − URL匹配规则： a、前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1，/healthz/v2。 b、精确匹配：表示精准匹配，只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 c、正则匹配：可设定映射URL规范，例如规范为/[AZaz09.]+/test。只要符合此规则的URL均可访问，例如/abcA9/test，/v1Ab/test。正则匹配规则支持POSIX与Perl两种标准。 − URL：需要注册的访问路径，例如：/healthz。 − 目标Service：请选择已有Service或新建Service。页面列表中仅支持选择“节点访问 ( NodePort )” 类型的Service，该查询结果已自动过滤。Service访问端口：可选择目标Service的访问端口。 − 服务负载均衡配置：该配置是基于服务的配置，若有多条路由使用当前服务，这些路由将使用相同的服务负载均衡配置。详细配置请参见服务负载均衡配置.docx

操作场景 工作负载创建后，您可以对其执行伸缩、升级、编辑YAML、日志、监控、回退、删除等操作。 日志 您可以通过“日志”功能查看无状态工作负载、有状态工作负载、守护进程集、普通任务的日志信息。本文以无状态工作负载为例说明如何查看日志。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击工作负载后的“日志”。 在弹出的“日志”窗口中可以查看最近5分钟、最近30分钟、最近1小时内的日志信息。 升级 基于CCE，您可以通过更换镜像或镜像版本实现无状态工作负载、有状态工作负载、守护进程集的快速升级，业务无中断。本节以无状态工作负载为例说明如何进行升级。 若需要更换镜像或镜像版本，您需要提前将镜像上传到容器镜像服务。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，单击待升级工作负载后的“升级”。 说明：有状态工作负载升级时，若升级类型为替换升级，需要用户手动删除实例后才能升级成功，否则界面会始终显示“升级中”。 步骤 2 请根据业务需求进行工作负载的升级。 镜像名称：单击“更换镜像”，选择新的镜像。 镜像版本：在镜像版本后的下拉框中选择对应版本。 容器名称： 单击容器名称后的，修改容器名称。 特权容器：开启后，容器将可以访问主机上的所有设备。 容器规格：可分别设置CPU配额、内存配额。 高级设置： − 生命周期：用于设置容器启动和运行时需要执行的命令。 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 − 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 工作负载存活探针：检查容器是否正常，不正常则重启实例。 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 − 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： 手动添加：输入变量名称、变量/变量引用。 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 说明： 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 − 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见本地磁盘存储。 说明： 有状态工作负载只能在创建时添加数据存储，创建完成后无法再添加。 − 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 − 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 3 更新完成后，单击“提交”。 编辑YAML 可通过在线YAML编辑窗对无状态工作负载、有状态工作负载、守护进程集和容器组的YAML文件进行修改和下载。普通任务和定时任务的YAML文件仅支持查看、复制和下载。本文以无状态工作负载为例说明如何在线编辑YAML。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击工作负载后的“更多 > 编辑YAML”，在弹出的“编辑YAML”窗中可对当前工作负载的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 伸缩 您可以根据业务需求自行定义无状态工作负载、有状态工作负载和守护进程集的伸缩策略，降低因应对业务变化和高峰压力而人为反复调整资源的工作量，帮助您节约资源和人力成本。本文以无状态工作负载为例说明如何使用伸缩功能。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击待设置伸缩策略工作负载后的“更多 > 伸缩”，进入工作负载详情页面。 步骤 3 在“伸缩”页签，可设置“弹性伸缩”和“手动伸缩”策略，或“编辑伸缩规则”。 详细设置方法请参见工作负载弹性伸缩。 监控 您可以通过CCE控制台查看无状态工作负载、守护进程集和容器组的CPU和内存占用情况，以确定需要的资源规格。本文以无状态工作负载为例说明如何使用监控功能。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击已创建工作负载的名称，进入工作负载详情页面。在监控页签，可查看工作负载的CPU利用率和物理内存使用率。 步骤 3 单击“实例列表”，单击某个实例名称前的，单击“监控”。 步骤 4 查看相应实例的CPU使用率、内存使用率。 CPU使用率。 横坐标表示时间，纵坐标表示CPU使用率。绿色线条表示CPU使用率，红色线条表示CPU使用限额。 说明： CPU使用量需要计算，故初次显示时，CPU使用量会比内存使用量晚一分钟左右显示。 只有实例处于运行状态时，才能查看CPU使用量。 物理内存使用率。 横坐标表示时间，纵坐标表示内存使用量。绿色线条表示内存使用率，红色线条表示内存使用限额。 说明： 实例处于非运行状态时，无法查看内存使用量。 回退（仅无状态工作负载可用） 所有无状态工作负载的发布历史记录都保留在系统中，您可以回退到指定的版本。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击待回退工作负载后的“更多 > 回退”。 步骤 3 在“回退到该版本”后，选择回退版本，单击“确定”。 暂停（仅无状态工作负载可用） 无状态工作负载可以进行暂停操作。暂停后，对负载进行的升级操作可以正常下发，但不会被应用到实例。 如果您正在滚动升级的过程中，滚动升级会在暂停命令下发后停止，出现新旧实例共存的状态。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击待暂停的工作负载后方操作栏中的“更多 > 暂停”。 步骤 3 在弹出的负载暂停信息提示框中，单击“确认”。 步骤 4 单击“确定”，可完成暂停操作。 须知： 工作负载状态为暂停中时无法执行回退操作。 恢复（仅无状态工作负载可用） 暂停中的负载可以进行恢复操作。恢复后，负载可以正常升级和回退，负载下的实例会与负载当前的最新信息进行一次同步，如果有不一致的，则会自动按照负载的最新信息进行升级。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击待恢复的工作负载后方操作栏中的“更多 > 恢复”。 步骤 3 在弹出的负载恢复信息提示框中，单击“确认”。 标签管理 标签是以key/value键值对的形式附加在工作负载上的。添加标签后，可通过标签对工作负载进行管理和选择，主要用于设置亲和性与反亲和性调度。您可以给多个工作负载打标签，也可以给指定的某个工作负载打标签。 您可以根据业务需求对无状态工作负载、有状态工作负载和守护进程集的标签进行管理，本文以无状态工作负载为例说明如何使用标签管理功能。 如下图，假设为工作负载（例如名称为APP1、APP2、APP3）定义了3个标签：release、env、role。不同工作负载定义了不同的取值，分别为： APP 1：[release:alpha;env:development;role:frontend] APP 2：[release:beta;env:testing;role:frontend] APP 3：[release:alpha;env:production;role:backend] 在使用调度或其他功能时，选择“key/value”值分别为“role/frontend”的工作负载，则会选择到“APP1和APP2”。 图标签使用案例 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击待添加标签的工作负载，进入工作负载详情页面。 步骤 3 单击“标签管理”，单击“添加标签”，输入键和值，单击“确定”。 说明： 标签格式要求如下：以字母和数字开头或结尾，由字母、数字、连接符（）、下划线（）、点号（.）组成且63字符以内。 删除工作负载/任务 若工作负载无需再使用，您可以将工作负载或任务删除。工作负载或任务删除后，将无法恢复，请谨慎操作。本文以无状态工作负载为例说明如何使用删除功能。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。 步骤 2 单击待删除工作负载后的“更多 > 删除”，删除工作负载。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。

一级功能 二级功能 功能描述 标准版 高级版 仪表盘 从全局视角统计重要资产、防护情况、告警趋势、及安全情况，便于用户更好的进行安全响应处置，提升运营效率。 ✓ ✓ 资产中心 查看集群资产、镜像资产、主机节点资产、应用服务资产、K8S配置详细信息。 ✓ ✓ 告警响应 运行态检测 查看所有容器、主机、K8S入侵告警事件，并对其进行响应处置。 ✓ ✓ 告警响应 镜像告警 查看所有触发安全策略的镜像告警事件，并对其进行响应处置。 ✓ ✓ 告警响应 IaC告警 查看存在未通过高危检查的文件。 × ✓ 告警响应 响应中心 查看告警处置记录，包括隔离Pod列表、暂停容器列表、重启Pod列表、镜像阻断列表，并进行白名单管理、一键封堵。 ✓ ✓ 安全合规 基线管理 对各版本的Linux系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 对各版本的kubernetes按照CIS基线要求检测。 对各个版本容器运行环境按照CIS基线要求检测。 ✓ ✓ 安全合规 基线配置 自定义配置基线扫描周期、安全合规达标率等。 ✓ ✓ 镜像安全 镜像管理 对业务环境主机中和镜像仓库中的镜像资产统一管理、安全扫描，并提供可写入dockerfile的修复建议。 ✓ ✓ 镜像安全 镜像策略 通过漏洞规则、文件规则、软件包规则、及其他规则设置来对风险制品镜像进行告警或阻断管控。 ✓ ✓ 镜像安全 镜像设置 配置节点镜像和仓库镜像扫描周期。 ✓ ✓ 容器安全 实时检测 从命名空间或节点的视角实时检测容器安全状态，对容器进行基线检查、容器审计等。 ✓ ✓ 容器安全 容器策略 创建并管理容器入侵检测策略及入侵检测规则。 ✓ ✓ 容器安全 文件防篡改 创建并管理容器防篡改策略。 × ✓ 容器安全 进程访问控制 创建并管理容器进程访问策略，支持进程阻断/放行。 × ✓ 容器安全 弱口令 弱口令字典管理及弱口令检测。 × ✓ 容器安全 容器设置 设置容器保留时长、容器审计信息保留时长，及容器扫描周期。 ✓ ✓ 节点安全 节点安全 查看节点信息、集群组件信息、防御容器健康状态，对节点实时入侵监测，扫描节点漏洞，开启节点debug日志。 ✓ ✓ 节点安全 节点设置 自定扫描新增节点，设置节点更新周期。 ✓ ✓ IaC安全 IaC检查 对于部署资源所编写的编排文件，支持扫描编写内容是否存在风险以及是否符合编写规范。 × ✓ IaC安全 规则管理 统一管理K8S manifests/helmchart文件规则、Dockerfile文件规则、ConfigMap文件规则等。 × ✓ IaC安全 IaC设置 配置自动扫描、周期扫描策略。 × ✓ 集群安全 组件漏洞 扫描Kubernetes 内的kubelet、calico、etcd等组件漏洞信息。 × ✓ 集群安全 安全检查 对集群进行安全检查，发现未通过检查项及影响范围，提供解决方案及参考链接。 × ✓ 集群安全 插件管理 可通过提供插件的形式，帮助用户验证1day漏洞信息。 × ✓ 集群安全 集群审计 记录了对APIServer的访问事件，通过查看、分析日志，可以了解集群的运行状况、排查异常，发现集群潜在的安全、性能等风险对异常事件支持报警。 × ✓ 集群安全 集群策略 配置集群审计策略，管理集群审计规则，管理集群告警规则。 × ✓ 集群安全 集群设置 配置自动扫描新增集群及集群扫描周期。 × ✓ 网络安全 网络策略 通过对单个业务之间，业务组之间，以及租户之间的网络访问策略配置，实现业务之间隔离，来减小被入侵之后的影响范围。 × ✓ 网络雷达 对容器环境中网络流量进行绘图，打破网络黑洞，支持对命名空间、Pod、主机、集群、外网级别的网络监测。通过对单个业务之间、业务组之间以及多租户之间的网络访问策略配置，通过对业务之间的隔离，来减小被入侵之后的影响范围。通过网络拓扑图从网络层判断入侵的影响范围。 × ✓ 平台管理 日志审计 对系统操作日志进行统计及报表输出。 ✓ ✓ 安装配置 支持天翼云原生集群或非原生集群部署方式。 ✓ ✓ 订单中心 查看用户订单情况，可以进行退订、扩容、续订等操作。 ✓ ✓ 任务中心 查看任务执行情况，可以进行终止、删除、查看详情等操作。 ✓ ✓ 消息中心 查收系统内部消息。 ✓ ✓

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） mongo001commandps command执行频率 该指标用于统计平均每秒command语句在节点上执行次数，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库实例 文档数据库集群实例下的mongos节点 文档数据库副本集实例下的只读节点 文档数据库实例下的主节点 文档数据库实例下的备节点 文档数据库实例下的隐藏节点 1分钟5秒 mongo002deleteps delete语句执行频率 该指标用于统计平均每秒delete语句在节点上执行次数，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库实例 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo003insertps insert语句执行频率 该指标用于统计平均每秒insert语句在节点上执行次数，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库实例 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo004queryps query语句执行频率 该指标用于统计平均每秒query语句在节点上执行次数，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库实例 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo005updateps update语句执行频率 该指标用于统计平均每秒update语句在节点上执行次数，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库实例 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo006getmoreps getmore语句执行频率 该指标用于统计平均每秒getmore语句在节点上执行次数，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库实例 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo007chunknum1 分片一的chunk数 该指标用于统计分片一的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum2 分片二的chunk数 该指标用于统计分片二的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum3 分片三的chunk数 该指标用于统计分片三的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum4 分片四的chunk数 该指标用于统计分片四的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum5 分片五的chunk数 该指标用于统计分片五的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum6 分片六的chunk数 该指标用于统计分片六的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum7 分片七的chunk数 该指标用于统计分片七的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum8 分片八的chunk数 该指标用于统计分片八的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum9 分片九的chunk数 该指标用于统计分片九的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum10 分片十的chunk数 该指标用于统计分片十的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum11 分片十一的chunk数 该指标用于统计分片十一的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo007chunknum12 分片十二的chunk数 该指标用于统计分片十二的chunk个数，以个数为单位。 0~64 Counts 文档数据库实例 1分钟 mongo008connections 实例当前活动连接数 该指标用于统计试图连接到DDS实例的总连接数，以个数为单位。 0~200 Counts 文档数据库实例 1分钟 mongo009migFailnum 过去一天块迁移的失败次数 该指标用于统计过去一天中块迁移失败的次数，以次数为单位。 ≥ 0 Counts 文档数据库实例 1分钟 mongo007connections 当前活动连接数 该指标用于统计试图连接到DDS实例节点的总连接数，以个数为单位。 0~200 Counts 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo007connectionsusage 当前活动连接数百分比 该指标用于统计试图连接到实例节点的连接数占可用连接数百分比，以百分比为单位。 0~100% 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo008memresident 驻留内存 该指标用于统计当前驻留内存的大小，以兆字节为单位。 ≥ 0 MB 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo009memvirtual 虚拟内存 该指标用于统计当前虚拟内存的大小，以兆字节为单位。 ≥ 0 MB 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo010regularassertsps 常规断言频率 该指标用于统计常规断言频率，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo011warningassertsps 警告频率 该指标用于统计警告频率，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo012msgassertsps 消息断言频率 该指标用于统计消息断言频率，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo013userassertsps 用户断言频率 该指标用于统计用户断言频率，以次数/秒为单位。 ≥ 0 Executions/s 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo014queuestotal 等待锁的操作数 该指标用于统计当前等待锁的操作数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo015queuesreaders 等待读锁的操作数 该指标用于统计当前等待读锁的操作数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo016queueswriters 等待写锁的操作数 该指标用于统计当前等待写锁的操作数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo017pagefaults 缺页错误数 该指标用于统计当前节点上的缺页错误数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo018porflingnum 慢查询数 该指标用于统计当前节点上的慢查询数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 5分钟 mongo019cursorsopen 当前维护游标数 该指标用于统计当前节点上的维护游标数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo020cursorstimeOut 服务超时游标数 该指标用于统计当前节点上的服务超时游标数，以个数为单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo021wtcaheusage 内存中数据量（WiredTiger引擎） 该指标用于统计当前内存中数据量（WiredTiger引擎），以兆字节为单位。 ≥ 0 MB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo022wtcahedirty 内存中脏数据量（WiredTiger引擎） 该指标用于统计当前内存中脏数据量（WiredTiger引擎），以兆字节为单位。 ≥ 0 MB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo023wIntowtCache 写入WiredTiger内存的频率 该指标用于统计当前内存中写入频率（WiredTiger引擎），字节/秒为单位。 ≥ 0 Bytes/s 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo024wFromwtCache 从WiredTiger内存写入磁盘频率 该指标用于统计当前内存写入磁盘频率（WiredTiger引擎），字节/秒为单位。 ≥ 0 Bytes/s 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo025reploplogwin 主节点的Oplog中可用时间 该指标用于统计当前实例下的主节点的Oplog中可用时间，以小时为单位。 ≥ 0 Hours 文档数据库实例下的主节点 1分钟 mongo026oplogsizeph 主节点生成Oplog的速率 该指标用于统计当前实例下的主节点生成Oplog的速率，以兆字节/小时为单位。 ≥ 0 MB/Hour 文档数据库实例下的主节点 1分钟 mongo025replheadroom 主备Oplog重叠时长 该指标用于统计实例下的主节点和Secondary节点之间Oplog重叠时长，以秒为单位。 ≥ 0 Seconds 文档数据库实例下的备节点 1分钟 mongo026repllag 主备延时 该指标用于统计实例下的主节点和Secondary节点之间的复制延时，以秒为单位。 ≥ 0 Seconds 文档数据库实例下的备节点 1分钟 mongo027replcommandps 备节点复制的command执行频率 该指标用于统计平均每秒Secondary节点复制的command语句执行次数，以次/秒为单位。 ≥ 0 Executions/s 文档数据库实例下的备节点 1分钟 mongo028replupdateps 备节点复制的update语句执行频率 该指标用于统计平均每秒Secondary节点复制的update语句执行次数，以次/秒为单位。 ≥ 0 Executions/s 文档数据库实例下的备节点 1分钟 mongo029repldeleteps 备节点复制的delete语句执行频率 该指标用于统计平均每秒Secondary节点复制的delete语句执行次数，以次/秒为单位。 ≥ 0 Executions/s 文档数据库实例下的备节点 1分钟 mongo030replinsertps 备节点复制的insert语句执行频率 该指标用于统计平均每秒Secondary节点复制的insert语句执行次数，以次/秒为单位。 ≥ 0 Executions/s 文档数据库实例下的备节点 1分钟 mongo031cpuusage CPU使用率 该指标用于统计测量对象的CPU利用率，以百分比为单位。 0~1 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo032memusage 内存使用率 该指标用于统计测量对象的内存利用率，以百分比为单位。 0~1 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo033bytesout 网络输出吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输出的流量，以字节/秒为单位。 ≥ 0 Bytes/s 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo034bytesin 网络输入吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输入的流量，以字节/秒为单位。 ≥ 0 Bytes/s 文档数据库集群实例下的mongos节点 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟5秒 mongo035diskusage 磁盘利用率 该指标用于统计测量对象的磁盘利用率，以百分比为单位。 0~1 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo036iops IOPS 该指标用于统计当前实例节点，单位时间内系统处理的I/O请求数量（平均值），以请求/秒为单位。 ≥ 0 Counts/s 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo037readthroughput 硬盘读吞吐量 硬盘平均每秒读字节数，以字节/秒为单位。 ≥ 0 Bytes/s 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo038writethroughput 硬盘写吞吐量 硬盘平均每秒写字节数，以字节/秒为单位。 ≥ 0 bytes/s 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo039avgdisksecperread 硬盘读耗时 该指标用于统计某段时间平均每次读取硬盘所耗时间，以秒为单位。 ≥ 0 Seconds 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo040avgdisksecperwrite 硬盘写耗时 该指标用于统计某段时间平均每次写入硬盘所耗时间，以秒为单位。 ≥ 0 Seconds 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo042disktotalsize 磁盘总大小 该指标用于统计测量对象的磁盘总大小，以吉字节为单位。 0~1000 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo043diskusedsize 磁盘使用量 该指标用于统计测量对象的磁盘已使用总大小，以吉字节为单位。 0~1000 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo044swapusage SWAP利用率 交换内存SWAP使用率百分数，以百分比为单位。 0~1 文档数据库集群实例下的mongos节点 文档数据库实例下的备节点 1分钟 mongo050toptotaltime 集合花费的总时间 Mongotoptotal time指标，集合操作花费的时间总和，以毫秒为单位。 ≥ 0 Milliseconds 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo051topreadtime 集合读花费的总时间 Mongotopread time指标，集合读操作花费的时间总和，以毫秒为单位。 ≥ 0 Milliseconds 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo052topwritetime 集合写花费的总时间 Mongotopwrite time指标，集合写操作花费的时间总和，以毫秒为单位。 ≥ 0 Milliseconds 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo053wtflushesstatus 周期Checkpoint的触发次数 WiredTiger一个轮询间隔期间checkpoint的触发次数，记录周期内发生的次数单位。 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo054wtcacheusedpercent Wiredtiger使用中的缓存百分比 Wiredtiger使用中的缓存大小百分数，以百分比为单位。 0~1 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo055wtcachedirtypercent Wiredtiger脏数据的缓存百分比 Wiredtiger脏数据的缓存大小百分数，以百分比为单位。 0~1 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo070rocksactivememtable memtable中的数据大小 采集当前活动memtable中的数据大小 0~100 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo071rocksoplogcfactivememtable oplogcf上memtable中的数据大小 采集当前用于oplogcf上活动memtable中的数据大小 0~100 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo072rocksallmemtable memtable和immutablemem中的总数据大小 采集当前memtable和immutablemem中的总数据大小 0~100 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo073rocksoplogcfallmemtable oplogcf上memtable和immutablemem中的总数据大小 采集当前用于oplogcf上memtable和immutablemem中的总数据大小 0~100 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo074rockssnapshots 未释放的snapshot的数量 采集当前未释放的snapshot的数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo075rocksoplogcfsnapshots oplogcf上未释放的snapshot的数量 采集当前oplogcf上未释放的snapshot的数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo076rocksliveversions 活动的版本数量 采集当前活动的版本数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo077rocksoplogcfliveversions oplogcf上活动的版本数量 采集当前oplogcf上活动的版本数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo078rocksblockcache 驻留在blockcache中的数据大小 采集当前驻留在blockcache中的数据大小 0~100 GB 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo079rocksbackgrounderrors 后台累积错误数量 采集记录后台累积错误数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo080rocksoplogcfbackgrounderrors oplogcf上后台累积错误数量 采集记录oplogcf上后台累积错误数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo081rocksconflictbytesusage 事务写写冲突处理缓冲区使用率 采集事务写中写冲突处理缓冲区使用率 0~1 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo082rocksuncommittedkeys 未提交的key的数量 采集当前未提交的key的数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo083rockscommittedkeys 提交的key的数量 采集当前已提交的key的数量 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo084rocksalivetxn 活跃事务链表的长度 采集记录活跃事务链表的长度 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo085rocksreadqueue 读队列的长度 采集当前读队列的长度 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo086rockscommitqueue 提交队列的长度 采集当前提交队列的长度 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo087rocksctwriteout 已使用并发写事务数 采集当前已使用并发写事务数 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo088rocksctwriteavailable 剩余可用并发写事务数 采集当前剩余可用并发写事务数 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo089rocksctreadout 已使用并发读事务数 采集当前已使用并发读事务数 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo090rocksctreadavailable 剩余可用并发读事务数 采集当前剩余可用并发读事务数 ≥ 0 Counts 文档数据库实例下的主节点 文档数据库实例下的备节点 1分钟 mongo091activesessioncount 周期活跃会话数 该指标用于统计自上次刷新周期以来Mongo实例在内存中缓存的所有活跃本地会话的数目 ≥ 0 Counts 文档数据库实例l 文档数据库副本集实例下的只读节点 文档数据库实例下的主节点 文档数据库实例下的备节点 文档数据库实例下的隐藏节点 1分钟

BreakerConfig 字段 类型 说明 windowsize string 统计时间窗口，默认10s，最大不能超过12s breakduration string 熔断时长，默认30s，最大不超过180s slowrequestrt string 定义慢请求的响应延迟时间，超过该响应时长的请求则被认定为慢请求 maxslowrequests int 最大慢请求次数，必须为整数，例如：1000。超过该次数的新请求会被熔断 errorpercent Percent 失败率阈值，时间窗口内错误请求（5XX）比例超过该值，则触发熔断 minrequestamount int 最少请求次数，防止请求量太少时，errorpercent统计失真。 customresponse CustomResponse 自定义返回内容，当请求被熔断时代替后端返回。 注意 表示时间范围的字符串，可以使用以下时间单位的组合： nsec 纳秒 usec/μs 微秒 ms 毫秒 s 或 sec 秒 m 或 min 分钟 h 或 hour 小时。 Percent 字段 类型 说明 value double 百分比值，只能在[0.0,100.0]中取值。 CustomResponse 字段 类型 说明 statuscode int HTTP响应状态码 headertoadd map[string]string 自定义响应添加的Headers body string 自定义响应Body内容 执行脚本验证效果 验证失败率脚本 !/bin/sh curl H "host: bookinfo.com" " curl H "host: bookinfo.com" " curl H "host: bookinfo.com" " curl H "host: bookinfo.com" " grep 'hello, break!' echo "sleep for 10 second to try if recover" sleep 10 curl H "host: bookinfo.com" " sv 验证前需要删除headermatch条件，该脚本只模拟后端返回错误，不设置请求header。这个脚本发起了两次模拟httpbin返回503，一次200。失败率已达66%，下一次请求会被熔断（可以通过设置errorpercent控制失败率，通过minrequestamount控制最少生效次数）。随后sleep 10s在请求验证是否不再熔断。 hello，break的熔断文本可以自行通过customresponse设置成您想要的返回内容。 sleep 10s，这个恢复间隔也可以通过breakduration设置。

本章节从整体上介绍应用服务网格CSM全链路灰度功能 微服务架构中往往存在多个服务，多数场景下，在做业务灰度时整个调用链中也会有不止一个服务，通过应用服务网格全链路灰度功能可以实现对整个调用链统一的灰度控制。 应用服务网格全链路灰度中的架构包括ingress gateway（入口网关）以及微服务（如下图中的app1、app2、app3）,通过全链路灰度可以实现对app1、app2、app3统一的灰度控制。 应用服务网格全链路灰度中的相关概念说明如下： ingress gateway：服务网格入口网关，实现网格内微服务对外暴露，并提供微服务入口应用的灰度控制能力。 泳道组：可以类比作游泳池，微服务是泳池中的游泳者。 泳道：可以类比做泳池中的泳道，泳道之间相互隔离；微服务可以根据版本的不同分散在不同的泳道游泳。

本文介绍带宽标准资费。 带宽标准资费 带宽阶梯 标准资费 (0Mbps,100Mbps] 0.67元/Mbps (100Mbps,500Mbps] 0.6元/Mbps (500Mbps,5Gbps] 0.53元/Mbps (5Gbps,+∞) 0.49元/Mbps 固定单价 0.67元/Mbps 计费项：国内 计费方式：按日带宽峰值计费（阶梯计费模式） 计费周期：按日结算，定时扣费（每日12:00后出前一日账单并扣费，具体出账时间以系统为准） 示例 假设5月1日峰值带宽为10Mbps，5月2日峰值带宽为10Gbps。 带宽计费示例 日期 峰值带宽 计价区间 标准资费 (元/Mbps) 金额 5月1日 10Mbps [0Mbps, 500Mbps) 0.67 6.7元 5月2日 10Gbps (5G,+∞) 0.49 4900元 5.1日带宽峰值为10Mbps，位于区间[0Mbps, 500Mbps)，执行0.53元/Mbps价位的计费标准，合计费用5.3元，则日账单为5.3元。 5.2日带宽峰值为10Gbps，位于区间(5G,+∞)，执行0.49元/Mbps价位的计算标准，合计费用4900元，则日账单为4900元。

本章节介绍服务网格全链路灰度控制的原理 在微服务架构中，对单个服务的灰度控制可以在请求进入该服务前的代理进行，比如ingress gateway或者客户端sidecar（如基于请求头部选择不同的版本的后端服务），全链路灰度中对链路中的每个服务的灰度也是基于此原理（定义DestinationRule、VirtualService实现），不同于单服务的灰度控制，全链路灰度需要调用链上的所有服务都有统一的VS、DR配置，并且需要在整个调用链上传递版本控制信息，每个服务基于统一的版本控制信息和VS、DR配置实现统一的灰度控制，这里就依赖业务必须接入链路追踪能力。服务网格全链路灰度利用链路追踪的trace id在sidecar里实现了inbound请求中的灰度控制信息透传到outbound请求，解决了灰度控制信息在调用链中透传的问题，如图所示： 步骤说明如下： 1. 用户请求时带上特定版本控制头部xversion，业务接入了分布式链路追踪系统，请求会带上traceid。 2. 经过ingress网关将请求转发到后端服务的sidecar。 3. sidecar内通过自研wasm插件在内存中缓存版本控制信息（key为traceid值，value为版本控制信息）。 4. sidecar将请求转发到业务，此时请求头部包含traceid和xversion。 5. 由于业务接入了全链路追踪，默认会透传traceid，因此app1向外部请求时也会带上traceid。 6. sidecar outbound方向从缓存中获取版本控制信息，并添加到头部中转发到app2。 7. 链路内后续的调用情况类似。 通过以上过程就是服务网格全链路灰度控制的原理。

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：