概述 插件是云原生网关的扩展机制，用于增强网关功能，支持动态加载，能够在请求的不同阶段（如请求处理、转发、响应）执行自定义逻辑。插件支持环境隔离，仅在所绑定的特定环境中生效。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 绑定插件 API只能绑定路由级插件，需先在路由级插件页面创建插件。然后在API列表页中，点击API右侧省略号中的绑定插件进入插件绑定页面。只有发布后的API，才能绑定插件。将所需插件添加到右侧区块，点击确定后即可完成批量绑定。每个API只能绑定一个同类型插件，若已有同类型插件，本次绑定会覆盖。同时，同类型插件中，API绑定的优先级高于分组绑定的插件。 解绑插件 API的插件支持解绑，进入API详情页，在已绑插件区块，可单个、也可批量进行插件解绑。

故障演练的业务痛点 技术要求高：异构的故障源，从基础设施到操作系统，从容器环境到应用进程，以及依赖的中间件，都需要理解其原理才能模拟故障。 实施难度大：跨团队、长流程、多权限，故障演练不仅是技术问题，更涉及组织流程与制度，需要建立相应规范。 影响不可控：故障是已知的，影响是未知的。如何感知并最小化“爆炸半径”，既要有处置预案，又要有工具支持。 故障演练的产品功能 标准化流程管理：固化演练流程，提供组织、人员、应用、资源等多维度的数据与权限管理规范。 丰富的故障场景：实现涵盖应用不同分层的原子故障注入能力，并提供具备业务含义的故障场景组合。 完备的演练防护：实现隔离与熔断双重演练防护，包括权限隔离、环境隔离和范围隔离，以及主动熔断、指标熔断和超时熔断等多种保护机制。 一站式接入管理：深度整合现有应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

故障演练的业务痛点 技术要求高：异构的故障源，从基础设施到操作系统，从容器环境到应用进程，以及依赖的中间件，都需要理解其原理才能模拟故障。 实施难度大：跨团队、长流程、多权限，故障演练不仅是技术问题，更涉及组织流程与制度，需要建立相应规范。 影响不可控：故障是已知的，影响是未知的。如何感知并最小化“爆炸半径”，既要有处置预案，又要有工具支持。 故障演练的产品功能 标准化流程管理：固化演练流程，提供组织、人员、应用、资源等多维度的数据与权限管理规范。 丰富的故障场景：实现涵盖应用不同分层的原子故障注入能力，并提供具备业务含义的故障场景组合。 完备的演练防护：实现隔离与熔断双重演练防护，包括权限隔离、环境隔离和范围隔离，以及主动熔断、指标熔断和超时熔断等多种保护机制。 一站式接入管理：深度整合现有应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

适用场景 流量治理是一个非常宽泛的话题，例如： 动态修改服务间访问的负载均衡策略，如根据某个请求特征做会话保持。 同一个服务有两个版本在线，将一部分流量切到某个版本上。 对服务进行保护，例如限制并发连接数、限制请求数、隔离故障服务实例等。 动态修改服务中的内容，或者模拟一个服务运行故障等。 价值 在Istio中实现这些服务治理功能时无须修改任何应用的代码。 应用服务网格ASM基于Istio可以为管理的服务提供非侵入的流量治理能力。根据服务的协议，提供策略化、场景化的网络连接管理。在应用拓扑上对选定服务的选定端口，根据需要配置各种不同的治理规则。 优势 负载均衡：配置各种负载均衡策略，如随机、轮询、最大连接数等，还可以配置会话保持将流量发到特定的服务实例上。 连接池：通过连接池管理，可以对四层协议配置TCP的最大连接数、连接超时等连接配置，对七层协议配置最大等待HTTP请求数、最大请求数、每个连接的最大请求数、最大重试次数等，从而防止一个服务的失败级联影响到整个应用。 熔断：通过熔断配置实例被驱逐前的连续错误次数、驱逐间隔时长、最小驱逐时间、最大驱逐比例等参数，从而定期考察被访问的服务实例的工作情况，如果连续出现访问异常，则将服务实例标记为异常并进行隔离，在一段时间内不为其分配流量。过一段时间后，被隔离的服务实例会再次被解除隔离，尝试处理请求，如果还不正常，则被隔离更长的时间。从而实现异常服务实例的故障隔离和自动故障恢复。 故障注入：通过对选定的服务注入中断的故障、延时故障来构造故障场景，从而无需修改代码即可进行故障测试。 端到端的透明安全

本章节介绍网关治理中的流量治理功能 标签路由 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：应用设置标签。 为云容器引擎集群应用设置标签，为应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由。 登录微服务治理中心控制台。 在左侧导航栏选择 微服务治理中心 >网关治理。 在网关治理页面单击目标应用卡片。 在网关页面左侧导航栏选择流量治理 标签路由，查看服务标签。 在标签路由页点击流量分配，为标签按比例分配流量。 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本章节介绍如何创建一个 Nacos引擎实例 概述 Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 为了方便您开通实例，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面，点击左侧菜单栏的注册配置中心>实例列表，进入注册配置中心控制台。本文将介绍如何创建一个Nacos引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”或“企业版”，推荐您开通集群版或企业版，以保障实例的高可用性； 引擎类型：若您需要开通Nacos引擎，则选中“Nacos”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

状态 说明 良好 表示主机当前状态正常。 故障 表示主机当前无法正常工作。 未知 表示主机的初始状态信息无法检测。 已隔离 表示主机处于隔离的状态。 已停机 表示主机处于停机的状态。

本小节介绍服务器安全卫士知管理类常见问题。 Agent启动、停止、重启的操作命令是什么？ Linux系统环境下，需进入/titan/agent目录，操作命令如下： Agent停止命令：./titanagent s Agent启动命令：./titanagent –d Agent卸载命令：bash installagent.sh discleanagent.sh Windows系统环境下，打开服务管理器，找到Titan Agent Service for Windows服务，右击该服务，即可对Agent进行启动、停止和重新启动操作，如下图： 非bash环境下，入侵功能是否可以使用？ 入侵功能中仅可疑操作功能和bash里的操作相关，故非bash环境入侵仅可疑操作功能可能受影响。 后门检测中隔离与删除的区别？ 隔离与删除的区别如下： 隔离把文件备份到了Agent安装目录下的隔离目录中并进行了加密（AES对称加密算法），防止其再次运行，之后对原路径下的后门进行删除，因此隔离后的文件是可以通过Agent下发还原指令进行恢复的。 删除则直接将原文件删除，并无备份，故删除操作是不可逆的，具备一定风险。 风险扫描耗时很久，此时点击其他界面是否会中断扫描任务？ 扫描任务为服务端后台运行，所以点击扫描后不会被中断，客户此时点击其他界面也不会影响扫描任务，还会在后台继续运行扫描。 审计功能正常，为何前台界面不显示？ 检查Agent所在的服务器时间与标准时间是否一致。

数据类型 采集数据 传输方式 存储方式 数据用途 时限 性能指标数据 JVM相关数据、异常、数据库、SQL语句以及中间件调用相关的数据 通过WSS方式传输 APM服务端按照租户隔离存储 指标查看页面展示 免费版7天，企业版30天，到期彻底删除 调用链数据 调用链event数据，包含中间件调用的相关数据 通过WSS方式传输 APM服务端按照租户隔离存储 调用链前台查询展示 免费版7天，企业版30天，到期彻底删除 资源信息 服务类型、服务名称、创建时间、删除时间、所在节点地址和服务发布端口 通过WSS方式传输 APM服务端按照租户隔离存储 资源库前台查询展示 免费版7天，企业版30天，到期彻底删除 资源属性 系统类型、系统启动事件、CPU个数、服务执行用户名称、服务进程id、服务的PodID、CPU标志、系统版本、服务使用的Web框架、JVM版本、时区、系统名称、采集器版本以及LastMail的Url 通过WSS方式传输 APM服务端按照租户隔离存储 资源库前台查询展示 免费版7天，企业版30天，到期彻底删除

云容器实例开通 选择云容器引擎>创建集群，开通云容器引擎实例。 前提条件 已创建对应技术栈类型的项目，并且与云容器引擎的环境关联。 已创建支持应用性能监控的技术栈版本。 应用实例创建 1. 登录微服务云应用控制台，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，点击左侧顶部“创建应用实例”，填写应用实例基本信息。 2. 在基本信息中选择镜像部署，在点击“下一步”来到“部署配置“，填写部署配置信息。 3. 选择集群以及镜像，这里以goconsumer:1.0.0的demo镜像为例，在“监控及治理方案“选项中勾选“接入应用性能监控”。 4. 点击“环境变量”，设置环境变量信息。 5. 点击下一步，创建应用实例，最后发布部署。 6. 部署成功后，进入对应的容器应用实例的“应用总览”，在“容器组Pod”栏下，选择对应pod的“终端“，点击进入云容器引擎终端控制台。 7. 在终端控制台中执行curl 127.0.0.1:8080/api/user?namehelloworld命令，输出 plaintext { "errno": "0", "errmsg": "成功", "data": { "name": "helloworld" } } 则表示微服务调用成功。 8. 链路调用校验，在指定容器应用实例选择“应用监控>调用链查询”，即可看到对应调用链路，表示应用性能监控正常。

快照数据安全 DWS的备份数据是以快照的形式存储在OBS上 。OBS已通过中国数据中心联盟的可信云安全认证。OBS上的数据支持访问权限控制，密匙访问，数据加密。DWS的快照数据仅用于数据的备份和恢复，无法被外界任何用户访问操作，包括DWS用户本身。DWS系统管理员可以通过DWS Console的快照管理和账单看到快照数据在OBS的空间使用情况。 网络访问安全 DWS的如下网络安全部署设计使租户之间实现100%的二三层网络隔离，满足政务，金融用户的高等级安全隔离需要。 DWS部署在租户专属的云主机环境中，不和任何其他租户共享，从物理上隔绝了数据因为计算资源共享而被泄露的可能性。 DWS集群的虚拟机通过虚拟私有云隔离，避免被其他租户发现和入侵。 网络划分为业务平面和管理平面，两个平面采用物理隔离的方式进行部署，保证业务、管理各自网络的安全性。 安全组规则保护，租户可以通过自定义安全组的功能，配置安全域的访问规则，提供灵活的网络安全性配置。 外部应用软件访问数据仓库服务支持SSL网络安全协议。 支持数据从OBS导入的加密传输。 数据仓库使用哪些安全防护？ 数据仓库服务使用IAM和虚拟私有云来控制用户、集群的网络安全隔离。用户对集群的访问则采用了SSL安全连接和安全算法套件，支持双向数字证书认证。 同时在每个集群中对节点的操作系统进行安全加固，仅允许合法地访问操作系统文件，提高数据安全性。

私有压测集群管理，流量租户隔离，用户按需使用 用户按需创建测试集群，实现租户间流量隔离和内网、外网压测能力，完成测试后可以随时删除集群。 提供测试集群的实时扩容、缩容、升级能力。

概述 插件是云原生网关的扩展机制，用于增强网关功能，支持动态加载，能够在请求的不同阶段（如请求处理、转发、响应）执行自定义逻辑。API分组可绑定插件，绑定后插件将应用于该分组下的所有API。此外，插件支持环境隔离，仅在所绑定的特定环境中生效。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 绑定插件 分组只能绑定路由级插件，需先在路由级插件页面创建插件。然后在分组管理页面，点击分组右侧省略号中的插件管理 进入插件绑定页面。选择对应环境后，点击绑定插件按钮，进入绑定插件弹窗，将所需插件添加到右侧区块，点击确定后即可完成批量绑定。每个分组只能绑定一个同类型插件，若已有同类型插件，本次绑定会覆盖。同时，同类型插件中，API绑定的优先级高于分组绑定的插件。 解绑插件 插件支持解绑，在分组插件管理页面，可单个、也可批量进行插件解绑。

本章节介绍Spring Cloud应用的服务列表和服务详情 概述 您可以通过微服务云应用平台查询部署的Spring Cloud应用的服务列表和服务详情。 查看服务列表 在左侧导航栏， Spring Cloud治理 > 服务查询。查看当前账号下的Spring Cloud服务。Spring Cloud服务支持查看服务名、应用名和实例数。如果服务较多，可以通过环境、服务名、应用名进行筛选或搜索，服务名和应用名大小写不敏感。 查看服务详情 在服务查询页面，单击服务名称查看服务的详细信息。服务详情面板包含基本信息、服务调用关系和元数据。 1. 基本信息 2. 服务调用关系 3. 元数据

检测到病毒文件应如何处理？ 服务器安全卫士（原生版）检测到病毒文件会立即产生告警，需要您根据告警详细信息对病毒文件作出处置，处置方式包括以下三种： 隔离：将病毒文件或恶意程序移动至隔离区域，进行加密处理，禁止正常运行。 删除：永久从系统中删除病毒文件或恶意程序，以确保不再有可能的威胁。 信任：将某个文件或程序标记为安全并被信任，以避免将其隔离或删除。 病毒查杀检测模式包含哪几种？ 包含快速检测、全盘检测、自定义检测三种模式。 快速检测：扫描耗时短，对系统关键位置文件进行扫描。 全盘检测：对主机所有硬盘文件进行扫描，清理更彻底。 自定义检测：按指定位置有选择性扫描文件。

本章节主要介绍数据仓库服务逻辑集群的概述。 基本概念 逻辑集群是通过Node Group机制来实现资源和数据的隔离。通过把物理集群的所有物理节点划分成多个逻辑集群，每个逻辑集群本质上是一个Node Group，每个物理节点只能属于一个逻辑集群，用户数据表只能分布在一个逻辑集群范围内。这样不同逻辑集群的用户数据是隔离的，逻辑集群所属节点的资源主要提供给逻辑集群内数据表的操作，同时供其他逻辑集群的作业交互查询使用。企业将不同的业务部署在不同的逻辑集群上，既可以实现业务统一管理，也能保证业务之间数据隔离和资源隔离。 逻辑集群从物理节点层次将大集群进行划分，和数据库形成交叉。一个数据库中的表可以按逻辑集群来分配到不同的物理节点，而一个逻辑集群也可以包含多个数据库的表。在划分逻辑集群后，整个数据库中对象间的层次关系如图 逻辑集群、数据库、表层次关系所示。 其中Elasticgroup弹性集群是指在逻辑集群模式下，非逻辑集群节点组成的集群并且总是存在，是一个特殊的Node Group，可以包含多个或不包含任何DN节点。弹性集群不能用户手动创建，在物理集群下第一次创建逻辑集群时自动创建弹性集群，物理集群中所有不属于逻辑集群的物理节点都会加入弹性集群。后续逻辑集群创建所需的DN节点都是来自弹性集群中。因此，为了能够创建新的逻辑集群，需要保证弹性集群中有DN节点存在（在物理集群模式下第一次创建逻辑集群时不需要）。用户可以通过扩容向弹性集群添加新的物理节点。 逻辑集群是基于Node Group机制来划分物理节点的一种集群模式，从节点层次将大集群进行划分，和数据库形成交叉。一个数据库中的表可以按逻辑集群来分配到不同的物理节点，而一个逻辑集群也可以包含多个数据库的表。在划分逻辑集群后，整个数据库中对象间的层次关系如下图所示。 逻辑集群、数据库、表层次关系 说明 逻辑集群仅8.1.0.100及以上集群版本支持。 在实际业务场景中，建议用户尽可能将同一个数据库的表创建到同一个逻辑集群中。 逻辑集群不是独立子集群，可以实现数据隔离，资源隔离和权限隔离，但不支持独立运维。 逻辑集群不支持经典变更规格。

本文带您了解什么是专属云（存储独享型）。 专属云（CTDeC，Dedicated Cloud）是一种物理上隔离的专属虚拟化资源池，由专属云（计算独享型）和专属云（存储独享型）两种类型组成。专属云提供了更高效、可靠和安全的云计算环境，用户可以在专属云控制台中统一管理资源，可以更加灵活地管理和使用资源。与公有云服务相比，专属云更加适合需要高度定制化和资源隔离的企业级应用场景。 专属云（存储独享型）（CTDSS，Dedicated Distributed Storage Service），简称存储专属云，是一种专用的存储服务。存储专属云提供高IO和超高IO两种存储池，与计算专属云配合使用，可为用户提供独享的计算和存储资源，与公有云资源共享网络资源且逻辑隔离。存储专属云适用于对安全、性能及可靠性有高要求的金融、政企等应用场景，比自建私有云方案更轻量、成本更低。 专属云资源隔离情况如下所示： 存储专属云的技术架构如下所示：

本章节向您介绍如何规划与创建虚拟私有云与子网。 当您需要使用虚拟私有云VPC和子网搭建您的云上网络时，请您参考以下规划建议，并结合实际业务情况，规划您的VPC和子网数量、VPC和子网IP网段。同时，如果需要连通不同VPC网络，或者连通VPC和云下数据中心网络时，需要额外注意通信的网段之间不能冲突。合理规划VPC和子网，可以避免网段临时扩容或者IP网段冲突可能导致的问题。 如何规划VPC的数量？ VPC具有区域属性，VPC内的云资源（比如ECS、CCE、RDS等）必须和VPC位于同一个区域内。默认情况下，不同VPC之间网络隔离，同一个VPC内的不同子网之间网络互通。 规划一个VPC 如果您的业务部署在一个区域，并且业务量不大，不同业务之间不需要网络隔离，那么推荐您规划一个VPC。 您可以在一个VPC中创建多个子网和路由表。子网可以将VPC网段划分成若干段，不同子网承载不同的业务。同时，您还可以将不同子网关联至不同的路由表，灵活控制子网的网络流量。 规划多个VPC 当您的业务有以下任意一个需求时，则一个VPC无法满足业务要求，推荐您规划多个VPC。 业务需要部署在多个区域 VPC是区域级别的服务，一个VPC无法实现跨区域部署业务。如果您的业务同时部署在多个区域，则在每个区域下，至少需要规划一个VPC。 不同VPC之间网络隔离，您可以搭配网络连通服务连通不同VPC的网络。 连通相同区域内的不同VPC：您可以使用对等连接来实现。 连通不通区域内的VPC：您可以使用云专网来实现。 业务部署在一个区域且网络隔离 如果您的业务部署在一个区域，并且不同业务之间网络隔离，则您需要在同一个区域下规划多个VPC，由于不同VPC之间网络隔离，则每个业务独立部署在一个VPC上即可满足要求。 说明 一个用户在单个节点内可创建的虚拟私有云数量默认为5个。

本节介绍高优先级应用的CPU独占与隔离的用户指南。 为高优先级应用（LSE优先级）配置CPU独占与隔离，可以确保关键业务应用获得独占的CPU资源，避免与其他应用争抢资源，从而保证应用性能的稳定性和可预测性。 适用场景 需要为关键业务应用提供独占CPU资源，确保性能稳定 需要避免高优先级应用与低优先级应用之间的CPU资源争抢 需要验证CPU独占与隔离配置是否生效 功能概览 CPU核级独占：为高优先级应用分配独占的CPU核心 资源隔离：通过cgroup cpuset确保其他应用不会使用已分配的CPU核心 优先级保障：与混部优先级系统集成，支持LSE（LatencySensitiveExclusive）优先级 操作指南 环境准备 确保集群中已安装并配置好koordruntimeproxy组件，并已正确配置kubelet使用该runtime proxy。 1、检查节点状态 plaintext kubectl get node o wide 确认目标节点状态为Ready，并记录节点名称。 2、检查 DaemonSet 状态 plaintext kubectl n koordinatorsystem get ds koordruntimeproxy koordruntimeproxyarm64 确保DaemonSet状态正常。 创建高优先级应用 1、LSE优先级绑定 无需手动创建 ColocationProfile；请参照在离线应用优先级管理文档中的步骤，将应用与 LSE 优先级配置进行绑定。 2、创建高优先级应用 创建以下YAML文件并应用，部署一个高优先级应用： plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: nginx namespace: defaultspec: replicas: 2 selector: matchLabels: app: nginx version: v1 template: metadata: labels: app: nginx version: v1 koordinator.sh/colocationprofile: highest spec: nodeSelector: ccse.ctyun.cn/hostcode: amd643559d 替换为实际节点名称 containers: image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim name: container1 resources: limits: cpu: "1" memory: 512Mi requests: cpu: "1" memory: 512Mi

本节介绍了专属云（计算独享型）购买类相关问题。 什么是专属云（计算独享型） 专属云（计算独享型）（CTDeC，Dedicated Cloud）是在公有云上隔离出来的专属虚拟计算资源池，用户独享物理隔离的计算资源。在专属云内，用户可在管理控制台统一管理，就像自建私有云一样灵活使用专属云资源。 用户需要申请专属云（计算独享型）服务后才予以开通权限，请联系专属客户经理提交开通申请，或者拨打天翼云客服电话4008109889。 专属云（计算独享型） 主机发生故障时天翼云如何应对？ 专属云（计算独享型）是物理隔离的专属计算资源集群，集群中主机可能会因为故障而自动停机。为降低物理机故障的影响，在用户购买的专属集群内资源有冗余的情况下，在集群内的云主机支持自动迁移能力。 说明 带有本地盘的主机不支持宕机自动迁移能力。计算资源没有冗余时，不支持云主机自动迁移能力。 计算资源有冗余时，发生故障后，我们会为用户更换一台健康的物理机，云主机的ID、私有IP地址、弹性公网IP地址均不变。 说明 机柜隔离场景下，不支持更换机器。故障后，会进行硬件维修。

概述 API分组管理用于将相关API组织在一起，方便统一管理和配置，实现更高效的运维。 操作步骤 1. 登录微服务引擎MSE 云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 创建分组 在分组列表中，点击创建API分组 即可打开创建API分组的弹窗。在弹窗中，需要填写基础路径 （BasePath）。BasePath表示该分组下所有API的访问路径前缀，访问分组下的API时，需要添加该前缀。如果不需要设置特定前缀，可以填写“/”。基础路径在创建后，可点击编辑进行修改。分组创建后，即可在分组下创建API。 删除分组 点击删除，即可删除API分组，如果分组下存在API，会禁止删除分组。

IAM项目与企业项目的区别 IAM项目 IAM项目是以每一个天翼云资源节点为粒度进行资源及服务隔离，是物理隔离。 IAM项目与资源节点一一对应，IAM项目中的资源不能转移，只能删除后重建。 企业项目 企业项目可理解为IAM项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。 企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。如果您开通了企业管理，将不能创建IAM项目。 企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的细粒度授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 区域和可用区 什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 图 区域和可用区

本章节介绍注册配置中心RCC子产品的产品规格 MSE注册配置中心提供了Nacos、Zookeeper 两种引擎的实例供您选用。不同引擎可选择的具体规格参数有差别，典型版本的规格详情和预估的处理能力详见下述列表，您可以参考下述表格来选择开通适合您业务的注册配置中心。 说明 1. 实例的规格系列分为单机版、集群版和企业版，暂不支持从单机版升级到集群版或者从升级机版、集群版到企业版； 2. 单机版只提供单节点，不具备高可用性，不适用于生产环境也不支持规格升降配操作，无法切换到集群版本，请提前评估。 实例类型 企业版（Nacos 引擎） 完全兼容Nacos3.1开源能力，支持MCP服务注册和管理。 默认3节点集群，可选择多可用区部署，提供高可用能力。 实例安全加固，提供完备的可观测能力和自动化运维服务。 适用于对安全、高可用和性能有高要求的所有环境（开发、测试、生产）。 集群版 深度兼容开源能力，支持高可用，提供安全、可观测能力及自动化运维服务。 默认3节点，适用于开发、测试、生产环境。 单机版 兼容开源能力，提供默认可观测能力和自动化运维服务。 只提供单节点，适用于开发、测试环境。 实例能力 Nacos 微服务注册中心Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 Nacos 企业版支持MCP服务标准化与可视化管理和存量 HTTP 服务一键转换，快速对接 MCP 生态，适配微服务架构升级需求。通过底层核心资源独享提供更高规格的配额能力，相对于开源提供更强的性能和更高的可用性。

本章节介绍注册配置中心RCC子产品的产品规格 MSE注册配置中心提供了Nacos、Zookeeper 两种引擎的实例供您选用。不同引擎可选择的具体规格参数有差别，典型版本的规格详情和预估的处理能力详见下述列表，您可以参考下述表格来选择开通适合您业务的注册配置中心。 说明 1. 实例的规格系列分为单机版、集群版和企业版，暂不支持从单机版升级到集群版或者从升级机版、集群版到企业版； 2. 单机版只提供单节点，不具备高可用性，不适用于生产环境也不支持规格升降配操作，无法切换到集群版本，请提前评估。 实例类型 企业版（Nacos 引擎） 完全兼容Nacos3.1开源能力，支持MCP服务注册和管理。 默认3节点集群，可选择多可用区部署，提供高可用能力。 实例安全加固，提供完备的可观测能力和自动化运维服务。 适用于对安全、高可用和性能有高要求的所有环境（开发、测试、生产）。 集群版 深度兼容开源能力，支持高可用，提供安全、可观测能力及自动化运维服务。 默认3节点，适用于开发、测试、生产环境。 单机版 兼容开源能力，提供默认可观测能力和自动化运维服务。 只提供单节点，适用于开发、测试环境。 实例能力 Nacos 微服务注册中心Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 Nacos 企业版支持MCP服务标准化与可视化管理和存量 HTTP 服务一键转换，快速对接 MCP 生态，适配微服务架构升级需求。通过底层核心资源独享提供更高规格的配额能力，相对于开源提供更强的性能和更高的可用性。

如何确定专属云中计算服务器（物理服务器）数量及使用余量？ 您可以在专属云总览页面查看物理机服务器的数量及使用余量。 专属云容器引擎中的节点服务器是独占的吗？ 计算服务器是独占的，您享有对物理服务器及其上云主机计算资源的完全使用权，与其他用户完全硬件隔离。 专属云中的云容器引擎与天翼公有云中的云容器引擎功能有什么不同？ 除开通的资源是否为专属资源有差别外，专属云和公有云中的云容器引擎产品能力基本一致。 专属云中网络是否隔离？ 对于计算独享和存储独享型场景，网络资源逻辑独享，您可独占VPC，您与其他用户之间的网络相互隔离。 专属云云容器引擎中是否支持开通物理机节点？ 支持。

本章节向您介绍通过企业路由器实现同区域VPC隔离的需求背景与场景。 背景信息 XX企业在天翼云某区域内部署了4个虚拟私有云VPC，业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3，公共业务部署在VPC4中，网络要求如下： 1. 业务A、业务B以及业务C所在的3个VPC需要隔离，不互通。 2. 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 说明 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程 本文档介绍如何通过企业路由器构建同区域VPC隔离组网。 下表是构建同区域VPC隔离组网流程说明 序号 流程 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 1、创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 2、创建VPC和ECS：创建4个虚拟私有云VPC和4个弹性云主机ECS。 3 配置网络 在企业路由器中配置VPC连接： 1、在企业路由器中添加“虚拟私有云（VPC）”连接：将4个VPC分别接入企业路由器中。 2、在企业路由器中创建路由表；创建2个自定义路由表。 3、在路由表中创建关联和传播：根据网络规划，在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 4、在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

枚举分组字符串hashCode取模分片 适用场景：枚举键可以是整数也可以是字符串，取模键是字符串，取模键字符串hashCode求余后的值均匀分布。如: 数据库的数据需要按区域进行隔离，但隔离后的数据量依然巨大需要按取模方式进行再次分片，可以选择此算法。

优势 GPU 云主机 自建 GPU 服务器 弹性 分钟级快速创建 。 同规格族内灵活升降配。 云盘、带宽等产品可按需扩容。 建设周期长，且建设完成后硬件配置无法灵活变更。 易用 提供和标准云主机一致的使用方式和管理功能。 与多种云产品无缝接入。 清晰的 GPU 驱动的安装、部署指引。 运营维护成本高、难度大。 安全 通过隧道技术实现100%二层网络隔离，实现安全隔离。 配置安全组和网络ACL，实现云主机和子网层面的访问控制，满足不同行业客户的安全隔离需要。 很难阻止MAC欺骗和ARP攻击，需额外购买基础安全防护服务。 成本 提供包周期和按需两种计费方式，用户可根据自身业务情况灵活选择。 无法按需购买，一次投入成本巨大。

本文帮助您更快了解如何规划VPC网段和数量。 如何规划VPC网段 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。VPC网段、子网网段一旦创建后无法修改，请提前合理规划网络地址。 VPC和其他VPC、线下IDC机房进行通信时，需要保证两端的网段不能重叠。 如何规划VPC数量 默认情况下，不同资源池的VPC之间内网不互通，同资源池的不同VPC内网不互通且是逻辑隔离的，同VPC下不同子网之间默认互通。规划虚拟私有云VPC的数量通常取决于业务需求和网络设计。以下是一些指导原则，可以帮助您规划VPC的数量： 规模和复杂性：VPC的数量可以根据自身业务的规模和复杂性进行规划。当各业务之间没有网络隔离需求时，可以只使用一个VPC。而对于有复杂网络需求的业务系统，可能需要多个VPC来满足不同的部门、项目的要求实现隔离。 部门/项目隔离：如果组织有多个部门或项目，每个部门或项目可能需要独立的网络环境和资源。在这种情况下，可以为每个部门或项目创建一个独立的VPC，以实现网络隔离和资源分离。 安全和合规性：某些组织可能有特定的安全或合规性要求，需要严格隔离敏感数据或资源。在这种情况下，可以使用多个VPC来创建安全区域，每个VPC可以具有独立的网络访问控制策略和安全规则。 地理位置和可用性：通过将VPC部署在多个地理位置或云服务提供商的区域中，即使一个地点或区域发生问题，其他区域的VPC仍然可以继续提供服务，确保业务的连续性和可用性。 性能和流量管理：根据网络流量的特点和负载要求，可以设计多个VPC来实现流量的管理和控制。例如，将不同类型的流量分离到不同的VPC中，以提供更好的性能和带宽控制。 注意： 创建太多的VPC可能会增加管理复杂性和成本。因此，在规划VPC数量时要综合考虑组织的需求、管理能力和预算限制，根据组织需求和最佳实践进行详细的网络设计和VPC数量规划。

本文帮助您更快了解如何规划VPC网段和数量。 如何规划VPC网段 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。VPC网段、子网网段一旦创建后无法修改，请提前合理规划网络地址。 VPC和其他VPC、线下IDC机房进行通信时，需要保证两端的网段不能重叠。 如何规划VPC数量 默认情况下，不同资源池的VPC之间内网不互通，同资源池的不同VPC内网不互通且是逻辑隔离的，同VPC下不同子网之间默认互通。规划虚拟私有云VPC的数量通常取决于业务需求和网络设计。以下是一些指导原则，可以帮助您规划VPC的数量： 规模和复杂性：VPC的数量可以根据自身业务的规模和复杂性进行规划。当各业务之间没有网络隔离需求时，可以只使用一个VPC。而对于有复杂网络需求的业务系统，可能需要多个VPC来满足不同的部门、项目的要求实现隔离。 部门/项目隔离：如果组织有多个部门或项目，每个部门或项目可能需要独立的网络环境和资源。在这种情况下，可以为每个部门或项目创建一个独立的VPC，以实现网络隔离和资源分离。 安全和合规性：某些组织可能有特定的安全或合规性要求，需要严格隔离敏感数据或资源。在这种情况下，可以使用多个VPC来创建安全区域，每个VPC可以具有独立的网络访问控制策略和安全规则。 地理位置和可用性：通过将VPC部署在多个地理位置或云服务提供商的区域中，即使一个地点或区域发生问题，其他区域的VPC仍然可以继续提供服务，确保业务的连续性和可用性。 性能和流量管理：根据网络流量的特点和负载要求，可以设计多个VPC来实现流量的管理和控制。例如，将不同类型的流量分离到不同的VPC中，以提供更好的性能和带宽控制。 注意： 创建太多的VPC可能会增加管理复杂性和成本。因此，在规划VPC数量时要综合考虑组织的需求、管理能力和预算限制，根据组织需求和最佳实践进行详细的网络设计和VPC数量规划。

标签有以下两种格式： podsecurity.kubernetes.io/ : podsecurity.kubernetes.io/ version: audit和warn模式的作用主要在于提供相应信息供用户排查负载违反了哪些安全行为 命名空间的标签用来表示不同的模式所应用的安全策略级别，存在以下两种格式： podsecurity.kubernetes.io/: ：隔离模式必须是enforce、audit或warn之一。 ：安全性策略级别必须是privileged、baseline或restricted。 podsecurity.kubernetes.io/version: 该标签为可选，可以将安全性策略锁定到Kubernetes版本号。 ：隔离模式必须是enforce、audit或warn之一。 ：Kubernetes版本号。例如 v1.25，也可以使用latest。 若在上述Namespace中部署Pod，则会有以下安全性限制： 1. 设置了enforce隔离模式对应的策略为privileged，将会跳过enforce阶段的校验。 2. 设置了audit隔离模式对应的策略为baseline，将会校验baseline策略相关限制，即如果Pod或Container违反了该策略，审计日志中将添加相应事件。 3. 设置了warn隔离模式对应的策略为restricted，将会校验restricted策略相关限制，即如果Pod或Container违反了该策略，用户将会在创建pod时收到告警信息。 从PodSecurityPolicy迁移到Pod Security Admission 如您在1.25之前版本的集群中使用了PodSecurityPolicy，且需要在1.25及以后版本集群中继续使用Pod Security Admission来替代PodSecurityPolicy的用户，请参见从PodSecurityPolicy迁移到内置的Pod Security Admission。 注意 由于Pod Security Admission仅支持三种隔离模式，因此灵活性相比于PodSecurityPolicy较差，部分场景下需要用户自行定义验证准入Webhook来实施更精准的策略 由于PodSecurityPolicy具有变更能力，而Pod Security Admission并不具备该能力，因此之前依赖该能力的用户需要自行定义变更准入Webhook或修改Pod中的securityContext字段。 PodSecurityPolicy允许为不同的服务账号（Service Account）绑定不同策略（Kubernetes社区不建议使用该能力）。如果您有使用该能力的诉求，在迁移至Pod Security Admission后，需要自行定义第三方Webhook。 请勿将Pod Security Admission能力应用于kubesystem、kubepublic和kubenodelease等一些CCE组件部署的Namespace中，否则会导致CCE组件、插件功能异常。