本章节介绍OPA策略 概述 OPA（Open Policy Agent）是一个通用的策略引擎，通过声明式的Rego语言实现丰富的授权策略。应用服务网格提供一键集成OPA引擎功能，整体架构如下： 其中OPA控制面包括： 1，OPA webhook服务，用于实现OPA sidecar的注入； 2，OpaPolicy controller监听OPA策略CRD，用于实现OPA策略分发； 业务pod内除了业务容器和istioproxy之外还会注入OPA sidecar，外部请求pod时流量被istioproxy拦截，根据定义的授权策略请求OPA sidecar，实现对请求的授权。 注意 注意：OPA sidecar当前使用8181端口管理OPA策略，使用9191端口提供外部鉴权服务，业务pod注意避开这两个端口。 开启OPA功能 使用OPA功能时首先要在打开开关，进入服务网格控制台，选择网格管理 > 自定义配置，勾选启用OPA 即可。 关闭OPA功能 进入服务网格控制台，选择网格管理> 自定义配置，取消勾选 启用OPA即可。 进入服务网格控制台，选择网格管理> OPA开关，关闭即可。 OPA策略管理 CSM服务网格采用自定义CRD（OpaPolicy）方式管理OPA策略，主要包括OPA策略生效的工作负载选择以及OPA策略（Rego），下面的配置对default命名空间下标签包含version: v1的工作负载生效，策略中定义了guest和admin两个角色，分别给两个角色定义了访问权限，同时还定义了两个用户bob和alice，分别赋予了特定角色；策略执行时会从请求中解析出用户，结合用户的权限和请求信息对访问进行鉴权。 apiVersion: istio.ctyun.cn/v1beta1 kind: OpaPolicy metadata: name: objectpolicy namespace: default spec: policy: package istio.authz import input.attributes.request.http as httprequest import input.parsedpath allow { rolesforuser[r] requiredroles[r] } rolesforuser[r] { r : userroles[username][] } requiredroles[r] { perm : roleperms[r][] perm.method httprequest.method perm.path httprequest.path } username parsed { [, encoded] : split(httprequest.headers.authorization, " ") [parsed, ] : split(base64url.decode(encoded), ":") } userroles { "alice": ["guest"], "bob": ["admin"] } roleperms { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } workloadSelector: labels: version: v1

梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。 域名接入安全与加速服务 新增域名 需要进入边缘安全加速平台控制台的安全与加速服务，添加加速域名成功后，将域名DNS解析到域名的CNAME，具体操作见新增域名。 配置域名基础配置 根据需求针对域名的回源配置、Websocket、HTTPS配置、IPv6等进行更高级的配置，具体操作见基础配置。 配置域名加速配置 根据需求针对域名的缓存相关配置进行配置，具体操作见缓存配置。 配置域名防护策略 域名接入边缘安全加速平台后，您可根据网站业务需求选择合适的防护策略，具体操作见网站防护配置。 安全基础配置 选择适合您的网站防护模式，默认为告警模式；漏洞防护配置一般情况下建议选择敏感防护规则集，适用于常规网站，且允许少量误报的业务场景。 高级防护 安全与加速服务提供高级防护功能，包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等，高级防护功能默认为关闭状态，您可以根据业务需要选择开启响应的防护功能。 访问控制 访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行， 保证客户网站不受未知访问的攻击 。 合规检测 合规检测功能可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合要求的请求项进行拦截或告警。 域名规则配置 使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护， 您可以查看对应的防护规则 ，根据您的业务需求选择开启或关闭规则。 CC配置 CC防护根据访问者的URL，频率、行为等访问特征，迅速智能地识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

本文简述请求协议的配置方法。 功能介绍 配置请求协议，即配置允许客户端使用何种协议访问域名。 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。 HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云边缘节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置边缘节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 开启HTTPS后，HTTPS请求的基本流程： 1.客户端以HTTPS协议请求边缘节点。 2.边缘节点将相应的SSL证书公钥传送给客户端。 3.客户端解析SSL证书公钥的正确性，如果SSL证书公钥正确，则会生成一个随机数（密钥），并用公钥进行加密，并传输给边缘节点。 4.边缘节点用之前的私钥进行解密，得到随机数（密钥）。 5.边缘节点用随机数（密钥）对传输的数据进行加密。 6.客户端用随机数（密钥）对边缘节点的加密数据进行解密，拿到相应的数据。 注意事项 域名配置HTTPS前，需要提前准备好域名的证书文件。 配置说明 1.登录边缘安全加速平台控制台。 2.进入域名基础配置页面，点击“新增域名”。 3.进入请求协议中勾选，需要支持客户端访问的协议HTTP/HTTPS。支持单选、多选。 4.若勾选HTTPS，需要关联对应的证书备注名或上传证书。 配置 说明 关联证书 1.选择有效的证书 上传证书 1.若未找到目标证书，可点击上传。 2.证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 域名新增完成后，编辑请求协议： 1.登录客户控制台。 2.在域名基础配置页面，点击目标域名。 3.在请求协议页面，单击“配置编辑”。 4.在请求协议中可勾选/取消勾选，调整请求协议。 5.若勾选HTTPS，可编辑域名关联的证书，或重新上传证书。

Bot管理版本说明 版本 免费版 高级版 适用场景 适用于小型网站、放行合法爬虫需求。 适用于中小型网站的爬虫防护。 流量/带宽 订购流量或者带宽 订购流量或者带宽 动态请求数 订购动态请求数 订购动态请求数 支持主域名个数 1 1 支持总域名个数（包括主域名和其下的子域名） 1 10 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 高级版 业务接入 泛域名防护 支持接入泛域名。 √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ 业务接入 WebSockets 支持WebSockets协议 付费支持 付费支持 业务接入 quic协议 支持quic协议 × √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 20 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 付费支持 付费支持 基础安全防护 Web防护 支持防护常见的Web攻击。 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 20条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 20条/域名 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × √ 高级安全防护 爬虫情报 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据。 √ √ 高级安全防护 IP情报 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 √ √ 高级安全防护 爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护。 × √ 高级安全防护 高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率。 × √ 高级安全防护 人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫。 × √ 高级安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × √ 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 2/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：12小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 任务数：1/个/域名 最小监测周期：12小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：30分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：30分钟 产品服务 日志服务 提供攻击日志、业务日志。 √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 92天 产品服务 监控告警 支持自定义监控告警。 √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持

参数 参数说明 启用响应提取 启用响应提取后，如果同一用例中存在多个报文，通过正则表达式或JSON提取把前一个报文的输出提取出来，作后一个报文的输入。 变量名称 变量的名称，命名必须唯一，响应提取的值赋予此变量。 预期值 预期响应提取出的变量值。开启后，会将响应提取到的值与预期值进行比对，如果不等则链接失败。 提取内容范围 响应提取内容的范围。其中，“报文内容”、“头域”和“URL”可通过正则表达式进行内容提取。 正则表达式 正则表达式是对字符串操作的一种逻辑公式，就是用事先定义好的一些特定字符、及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑。完整的正则表达式由两种字符构成：特殊字符（special characters）称为“元字符”（meta characters）；其它为“文字”（literal），或者是普通文本字符（normal text characters，如字母、数字、汉字、下划线）。元字符的说明请参见 正则表达式元字符 。 说明 “()”表示提取，对于您要提取的内容需要用小括号括起来，每个“()”之间的内容表示一个子表达式。 第几个匹配项 在正则表达式已提取的内容中，获取第几个匹配的内容。取值范围：正整数。 说明 该参数值不可设置为0。 表达式取值 表示解析到的第几个子表达式的值。取值范围：自然数。 说明 取值为0：匹配整个正则表达式。 取值为1：匹配正则表达式的第一个子表达式即第一个“()”提取的内容。通过“正则表达式”和“第几个匹配项”提取出内容后，再通过“表达式取值”获得最终的提取内容。 需获取的键名 输入需要获取的键名。例：{"key":{"key1":"v1","key2":{"key3":"v3"},"key4":[{"key41":"v41","key42":"v42"},{"key41":"v43","key42":"v44"}]}}，如果想取出"v42"，则输入：key.key4[0].key42。 说明 仅在提取内容范围是json内的值时生效。 缺省值 正则匹配或JSON提取失败时，取的值。 条件表达式 与“需获取的键名”配套使用。例如：{"key":{"key1":"v1","key2":{"key3":"v3"},"key4":[{"key41":"v41","key42":"v42"},{"key41":"v43","key42":"v44"}]}}，如果需要表达：当key42v42时，提取目标值v41；则在“条件表达式”框里输入：key.key4[].key42 v42，在"需获取的键名"框里输入：key.key4[].key41。

logs命令查看函数的日志。 参数解析 参数全称 参数缩写 Yaml 模式下必填 Cli 模式下必填 参数含义 region 选填 必填 资源池ID，请参考资源池列表 functionname 选填 必填 函数名称 starttime s 选填 选填 开始时间戳，例如：1752740881 endtime e 选填 选填 结束时间戳，例如：1754036841 search 选填 选填 查询关键字 reverse 选填 选填 按时间倒序显示 操作案例 Yaml 模式 进入到资源描述文件（s.yaml）所在的路径，然后执行如下命令查看函数的日志： shell s logs Cli 模式 直接执行如下命令查看函数的日志： shell s cli faascf logs region bb9fdb42056f11eda1610242ac110002 functionname helloworld 执行完成输出示例： plaintext . / / ' () ( ( ) ' ' ' / / ) ) ( ) ) ) ) ' . , / / / / ///// :: Spring Boot :: (v2.1.8.RELEASE) 20251022 10:20:05.689 INFO 2 [ main] c.e.w.WebFrameworkApplication : Starting WebFrameworkApplication v0.0.1SNAPSHOT on globalresourcecachedrj46v with PID 2 (/code/webframework.jar started by root in /code) 20251022 10:20:05.691 INFO 2 [ main] c.e.w.WebFrameworkApplication : No active profile set, falling back to default profiles: default 20251022 10:20:08.014 INFO 2 [ main] o.s.b.w.embedded.tomcat.TomcatWebServer : Tomcat initialized with port(s): 9000 (http) 20251022 10:20:08.086 INFO 2 [ main] o.apache.catalina.core.StandardService : Starting service [Tomcat] 20251022 10:20:08.086 INFO 2 [ main] org.apache.catalina.core.StandardEngine : Starting Servlet engine: [Apache Tomcat/9.0.24] 20251022 10:20:08.213 INFO 2 [ main] o.a.c.c.C.[Tomcat].[localhost].[/] : Initializing Spring embedded WebApplicationContext 20251022 10:20:08.213 INFO 2 [ main] o.s.web.context.ContextLoader : Root WebApplicationContext: initialization completed in 2413 ms 20251022 10:20:08.601 INFO 2 [ main] o.s.s.concurrent.ThreadPoolTaskExecutor : Initializing ExecutorService 'applicationTaskExecutor' 20251022 10:20:08.916 INFO 2 [ main] o.s.b.w.embedded.tomcat.TomcatWebServer : Tomcat started on port(s): 9000 (http) with context path '' 20251022 10:20:08.918 INFO 2 [ main] c.e.w.WebFrameworkApplication : Started WebFrameworkApplication in 4.12 seconds (JVM running for 4.846) 20251022 10:20:09.020 INFO 2 [nio9000exec2] o.a.c.c.C.[Tomcat].[localhost].[/] : Initializing Spring DispatcherServlet 'dispatcherServlet' 20251022 10:20:09.020 INFO 2 [nio9000exec2] o.s.web.servlet.DispatcherServlet : Initializing Servlet 'dispatcherServlet' 20251022 10:20:09.026 INFO 2 [nio9000exec2] o.s.web.servlet.DispatcherServlet : Completed initialization in 6 ms

名词 说明 应用双活架构 用户的业务应用部署在云上两个地域或可用区作为两个数据中心，数据中心资源不闲置，两个中心同时对外提供服务，业务流量跨中心双活，灾难发生时能够快速切换流量和数据，期望业务改造成本较低，不需要过多考虑数据一致性问题。 数据双活架构 用户的业务应用部署在云上两个地域或可用区作为两个数据中心，数据中心资源不闲置，两个中心同时对外提供服务，期望每个数据中心承载一部分完整的流量调用，不受物理距离约束，灾难发生时可以互相接管。 应用系统 应用系统是业务应用在多活产品内的具体实例，指应用在多活系统上的逻辑概念，用于进行租户粒度的管控配置和隔离。一个应用系统跨越多个站点，可创建多个单元、多个单元组。 站点 应用容灾的物理地域粒度，对应Region或AZ，如广州站点、北京站点。 单元 应用在站点内的一个逻辑业务中心，对应一套完整的业务系统，流量可以实现在单元内闭环和单元间隔离。 单元组 业务单元可以划分为不同逻辑小组，单元组之间路由规则相互独立，不同的单元组可设置不同的路由转发逻辑。 路由规则 描述流量在单元间分配的规则，包括路由标识、标识解析、流量比例、精准转发等功能策略。 路由标识 业务请求的特征标识，是路由计算的输入，常采用业务系统的用户ID。 标识提取 接入层从HTTP请求信息中提取路由标，应用层从中间件框架中植入和提取，需要跟业务系统提前约定，并由业务系统设置到指定参数。 管控通道 管理台与业务应用不直接交互，通过中继的管控通道解耦，规则推送到应用本地生效，是容灾多活产品控制面和数据面分离架构的核心组成部分。 服务类型 根据不同的访问诉求，赋予单元组内应用服务相应的路由类型，便于用户理解和管理。 中心服务：适用于数据不可拆分或还未拆分的应用服务，标识主容灾单元，数据读写均在主单元内。 普通服务：适用于数据水平拆分流量在单元内闭环的应用服务，数据读写本地单元，其他分片的流量将被接入层转发或数据层拦截。 本地服务：适用于副本类或只读类（或读多写少，不考虑写冲突）的应用服务，数据读写本地单元，不限制数据分片。

配置生产消费配置文件 步骤 1 登录Linux系统的ECS。 步骤 2 在ECS的“/etc/hosts”文件中配置host和IP的映射关系，以便客户端能够快速解析实例的Broker。 其中，IP地址必须为实例连接地址（从前提条件获取的连接地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 步骤 3 下载client.jks证书。在Kafka控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。 解压压缩包，获取压缩包中的客户端证书文件：client.jks。 步骤 4 根据已获取的SASL认证机制，修改Kafka命令行工具配置文件。 PLAIN机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN 说明 username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 SCRAMSHA512机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.scram.ScramLoginModule required username"" password""; sasl.mechanismSCRAMSHA512 说明 username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 步骤5 根据安全协议，修改Kafka命令行工具配置文件。 1.SASLSSL： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 security.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： ssl.truststore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 2. SASLPLAINTEXT： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 security.protocolSASLPLAINTEXT

本章节主要介绍如何在已有物理机实例中手动安装Agent,实现主机监控。 您需要完成以下步骤： 1.添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2.修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3.配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此三步请参见内网DNS与安全组配置。 4.安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装Agent（Linux）。

操作场景 本章介绍了如何添加运行CCE集群的节点池以及对节点池执行操作。要了解节点池的工作原理，请参阅节点池概述。 操作步骤 将节点池添加到现有集群。 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 单击右上角的“创建节点池”。 步骤 3 在创建节点池页面中，参照如下说明设置节点池选型参数。 计费模式： 节点池仅支持“按需计费”的计费模式，该模式将根据实际使用的资源按小时计费。 节点池创建后，自建的节点池里的资源无法转包周期，默认节点池里的资源可以转包周期。您可以把自建节点池里的资源迁移到默认的节点池里后再进行转包周期的操作。如何迁移请参见迁移节点。 当前区域：指节点实例所在的物理位置。 请就近选择靠近您业务的区域，可减少网络时延，提高访问速度；不同区域的云服务产品之间内网互不相通。 节点池名称：新建节点池的名称，默认按“集群名nodepool随机数”生成名称，可自定义。 节点类型：目前仅支持虚拟机节点。 节点购买数量：该节点池下购买的节点数量，此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示选择，如需更多配额，请单击提交工单申请扩大配额。 弹性扩缩容： − 默认不开启。 − 单击 开启后，节点池将根据集群负载情况自动创建或删除节点池内的节点，参数设置如下： 节点数上限和节点数下限：您可设置节点数的上限和下限，保证节点数在合理的范围内伸缩。 优先级：请根据业务需要设置相应数值，该数值表示节点池之间进行弹性扩缩容的优先级，数值越大优先级越高，如设置为4的节点池比设置为1的节点池优先启动弹性伸缩。若多个节点池的值设置相同，如都设置为2，表示这几个节点池之间不分优先级，系统将按最小资源浪费原则进行伸缩。 弹性缩容冷却时间：请设置时间，单位为分钟或小时。弹性缩容冷却时间是指当前节点池扩容出的节点多长时间不能被缩容。 说明： 节点池中的节点建议不要放置重要数据，以防止节点被弹性缩容，数据无法恢复。 为保证功能的正常使用，节点池开启弹性扩缩容功能后，请务必安装autoscaler。 可用区：可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 请根据业务需要进行选择。节点池创建之后不支持修改可用区属性，请谨慎选择。 如果您需要提高工作负载的高可靠性，建议您选择“随机可用区”，将节点随机均匀分布在不同可用区中。 节点规格：请根据业务需求选择相应的节点规格。 须知： 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件，详细请参见节点预留资源计算公式 。 操作系统：请直接选择节点对应的操作系统。 须知：重装操作系统或修改操作系统配置将导致节点不可用，请务必谨慎操作。 虚拟私有云：跟随集群，不可变更。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 请确保子网下的DNS服务器可以解析对象存储服务域名，否则无法创建节点。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与系统盘一致，此处不再赘述，详情参见系统盘中的云硬盘类型介绍。 须知： 若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建，创建密钥对操作步骤请参见。 步骤 4 云服务器高级设置：（可选），单击 展开后可对节点进行如下高级功能配置： 安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 步骤 5 Kubernetes高级设置：（可选），单击 展开后可对集群进行如下高级功能配置： 最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 Taints：默认为空。支持给该节点池扩容出来的节点加Taints来设置反亲和性，每个节点池最多配置10条Taints，每条Taints包含以下3个参数： −Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 −Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 −Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。 须知： Taints配置时需要配合Pod的toleration使用，否则可能导致扩容失败或者Pod无法调度到扩容节点。 节点池创建后可单击列表项的“编辑”修改配置，修改后将同步到节点池下的已有节点。 K8S标签：K8S标签是附加到Kubernetes 对象（比如Pods）上的键值对，旨在用于指定对用户有意义且相关的对象的标识属性，但不直接对核心系统有语义含义。 详细请参见Labels and Selectors。 单容器可用数据空间：该参数用于设置一个容器可用的数据空间大小，设置范围为10G到80G。如果设置的参数超过数据盘中Docker可占用的实际数据空间（由数据盘设置项中的资源分配自定义参数指定，默认为数据盘大小的90%），将以Docker的实际空间大小为主。该参数仅在v1.13.10r0及以上版本的集群中显示。 步骤 6 （可选）您可以单击左侧的 按钮添加多个节点池，在按钮下方可以查看您可用的节点池配额数量。 步骤 7 完成配置后，单击“下一步：配置确认”，确认所设置的服务选型参数、规格和费用等信息。 步骤 8 确认规格和费用后，单击“提交”，节点池开始创建。 节点池创建预计需要610分钟，您可以单击“返回节点池管理”进行其他操作或单击“查看节点池事件列表”后查看节点池详情。待节点池状态为“正常”，表示节点池创建成功。 查看创建的节点池 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在节点池管理页面中，单击右上角的集群选择框，选择集群后可显示当前集群下所有的节点池，并可查看每个节点池的节点类型、节点规格、弹性扩缩容状态和操作系统等。 须知： 节点池功能上线后，会在每个集群中创建一个默认节点池“DefaultPool”，该节点池不能被编辑、删除或迁移，集群中原有的节点及节点池外创建的节点均会显示在默认节点池“DefaultPool”中。 单击默认节点池“DefaultPool”中“节点”数据框，可查看DefaultPool中的节点列表。 步骤 3 单击右上角的Autoscaler状态选择框，可筛选全部、已启用、未启用Autoscaler功能的节点池。 步骤 4 在节点池列表中，单击节点池的名称，在节点池详情页面，可查看节点池的基本信息、ECS高级设置、Kubernetes高级设置、节点列表等信息。

本小节介绍域名无忧最佳实践。 背景介绍 基于银行数字化转型战略，构建连接一切的能力，打造最佳生态赋能银行，银行持续打造全方位、立体化、主动型的信息安全体系。 解决方案 通过域名无忧为用户提供域名解析监测、识别异常后秒级告警、秒级域名修正达到满足客户安全、快速、准确等需求。及时修正域名解析，避免因为TTL等待时长造成的网站访问异常，在客户做IPv4与IPv6切换时，第一时间完成DNS缓存刷新，确保秒级切换完成，快速的刷新在满足客户域名安全的基础上还给予客户针对域名相关割接极大帮助，为客户数字化转型战略奠定基础。

本节主要介绍步骤一：创建同步任务 本小节以MySQL>RDS for MySQL的实时同步为示例，介绍如何使用数据库复制服务创建两个数据库实例之间的实时同步任务，其他存储引擎的配置流程类似。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时同步支持的数据库类型，详情请参见实时同步。 满足实时同步的使用限制，详情请参见概述。 操作步骤 1、 在“实时同步管理”页面，单击“创建同步任务”。 2、 在“同步实例”页面，填选区域、任务名称、任务异常通知设置、时延阈值、任务异常自动结束时间、描述、同步实例信息，单击“下一步”。 图 同步任务信息 表 任务与描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当同步任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量同步阶段，源数据库和目标数据库之间的同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量同步阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 同步实例信息 表 同步实例信息 参数 描述 数据流动方向 选择“入云”，即目标端数据库为本云数据库。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 此处以公网网络为示例。 可根据业务场景选择公网网络、VPC网络和VPN、专线网络。 目标数据库实例 用户所创建的关系型数据库实例。 说明 目标数据库实例不支持选择只读实例。 目标数据库实例可以和源数据库选择同一个实例。 同步类型 此处以“全量+增量”为示例。 “全量+增量”： 该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 “增量”： 增量同步通过解析日志等技术，将源端产生的增量实时同步至目标端。 3、同步实例创建成功后，在“源库及目标库”页面，填选源库信息和目标库信息后，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 入云和出云场景中源库和目标库需要填选的信息不同，具体以界面为准。 入云场景： 图 源库信息 表 源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 说明 源数据库IP地址、端口、用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 目标数据库对应的用户名。 数据库密码 目标数据库用户名对应的密码。支持在任务创建后修改密码。任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 目标数据库用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 出云场景： 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建任务时选择的云数据库实例，不可进行修改。 数据库用户名 源数据库对应的用户名。 数据库密码 源数据库用户名对应的密码。任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码 说明 源数据库的用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 说明 目标数据库的IP地址、端口、用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 4、在“设置同步”页面，选择数据冲突策略和同步对象，单击“下一步” 图 同步模式 表 同步模式和对象 参数 描述 冲突策略 数据库复制服务提供的实时同步功能使用了主键或唯一键冲突策略，这些策略可以由您自主选择，尽可能保证源数据库中有主键约束或唯一键约束的表同步到目标数据库是符合预期的。 冲突策略目前支持如下三种形式： 忽略 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 报错 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），同步任务将失败并立即中止。 覆盖 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 说明 目前仅MySQL>RDS for MySQL的同步场景支持设置“覆盖”冲突策略。 当数据发生冲突时，针对如下情况，建议选“忽略”或者“覆盖”，否则建议选“报错”： 目标数据库存在数据 多对一同步场景 目标数据库手动更新数据 是否过滤DROP DATABASE 实时同步过程中，源数据库端执行的DDL操作在一定程度上会影响数据的同步能力，为了降低同步数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示实时同步过程中不会同步用户在源数据库端执行的删除数据库操作。 否，则表示实时同步过程中将相关操作同步到目标库。 说明 目前仅以下链路的数据同步场景支持过滤DDL操作。 MySQL数据库>RDS for MySQL实例 RDS for MySQL实例>MySQL数据库 对象同步范围 对象同步范围支持普通索引和增量DDL同步。可根据业务需求选择是否进行同步。 同步对象 同步对象支持库级和表级同步，您可以根据业务场景选择对应的数据进行同步。部分链路还支持文件导入对象。 图 导入对象文件 如果有切换源数据库的操作或源库同步对象变化的情况，请务必在选择同步对象前单击右上角，以确保待选择的对象为最新源数据库对象。 说明 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 MySQL>RDS for MySQL实时同步支持表级和库级同步。 实时同步功能可以支持源数据库和目标数据库中的同步对象（包括数据库、schema、表）的名称不同。如果同步的数据库对象在源数据库和目标数据库中的命名不同，那么可以使用数据库复制服务提供的对象名映射功能进行映射。其中包括：库映射、schema映射、表映射。 对象名映射的具体操作请参考《数据库复制服务用户指南》中“对象名映射”章节。 导入对象文件的具体操作如下： 1. 单击“下载模板”。 2. 在下载的Excel模板中，填写需要导入的对象信息。 3. 单击“添加文件”，在对话框中选择编辑完成的模板。 4. 单击“上传文件”。 说明 文件导入仅支持导入Windows Microsoft Excel 972003版本（.xls），2007及以上版本（.xlsx）的文件，下载的压缩包提供上述两个版本模板 文件名支持的有效字符：大小写字母，数字，“”，“”,“(”，“)” 模板中的对象信息需按照SchemaName.TableName的格式进行填写，不支持“ ”，"."和“"”，且不支持以空格开头或结尾的对象。 文件导入成功后，必须保留本次上传的文件，以便需要再编辑该任务的数据库对象范围时，可直接基于此文件修改，然后再次上传。 用文件导入功能所创建的任务，任务启动之后再编辑时，不支持切换到“表级同步”和“库级同步”功能。 配置中的任务，可使用“表级同步”，“库级同步”或“文件导入”三种方式，每次切换新的方式后，当前选择或者导入的数据库对象被清空，需重新选择或导入。 5、在“数据加工”页面，根据需要设置数据加工的过滤规则。 如果不需要设置数据加工规则，选择“不加工”，单击“下一步”。 如果需要设置数据加工规则，选择“数据过滤”，参考数据加工，设置相关过滤规则 数据加工 6、在“预检查”页面，进行同步任务预校验，校验是否可进行实时同步。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 图 预检查 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 7、在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，勾选协议，单击“启动任务”，提交同步任务。 说明 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 8、同步任务提交后，您可在“实时同步管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

错误编码 错误原因 错误类型 解决方案 0x0001 应用资源格式异常 服务端异常 请重新启动零信任客户端并登录。 0x0002 应用资源返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0003 控制中心的隧道资源格式异常 服务端异常 请重新启动零信任客户端并登录。 0x0004 控制中心的隧道资源返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0005 认证中心返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0006 登录中心返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0007 MAC的本地DNS端口冲突，比如5953是否被占用等 软件冲突 运行的软件可能与零信任客户端冲突，请关闭软件后再次启动零信任客户端。 0x0008 MAC的本地dns为空 网络或DNS异常 尝试切换网络后重新登录，若仍未恢复，请检查设备的DNS配置。 0x0009 Windows调用底层流量劫持失败 客户端异常 请重新启动零信任客户端并登录。 0x0010 Windows启动隧道异常 客户端异常 请重新启动零信任客户端并登录。 0x0011 Windows获取边缘节点地址异常 网络或DNS异常 请检查或尝试切换网络。若仍未恢复，请检查设备的DNS配置。 0x0012 windows创建网络适配器异常 客户端异常 请重新启动零信任客户端并登录。 0x0013 windows开启网卡驱动日志异常 客户端异常 请重新启动零信任客户端并登录。 0x0014 启动配置解析认证中心域名异常 客户端异常 如果使用了配置文件，请检查配置项格式是否正确，如果未使用，请重新安装零信任客户端并重新登录。 0x0016 秘钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0017 私钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0018 公钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0019 MAC进程异常重启 客户端异常 请尝试重新登录。 0x0020 认证中心返回的隧道节点为空 服务端异常 请重新启动零信任客户端并登录。 0x0021 Windows网卡配置加载失败 客户端异常 请重新启动零信任客户端并登录。 0x0022 Windows网卡启动失败，未找到vpn网卡 客户端异常 请重新启动零信任客户端并登录。 0x0026 sdk认证返回异常 客户端异常 请重新启动零信任客户端并登录。 0x0027 认证请求不合法 客户端异常 请重新启动零信任客户端并登录。 0x0031 没有可用节点 服务端异常 请重新启动零信任客户端并登录。 0x0043 隧道watchdog 配置网卡超时 客户端异常 请重新启动零信任客户端并登录。 0x0033 错误的节点索引 客户端异常 请重新启动零信任客户端并登录。 0x0036 未配置连接器，隧道创建失败 服务端异常 请先上控制台配置对应连接器。 0x0037 认证中心通告，未匹配上报的节点 服务端异常 网络异常，请检查DNS设置，关闭其他VPN代理软件再重新登录。若未解决，可用诊断工具检测。

限制项 说明 访问规则 OBS基于DNS解析性能和可靠性的考虑，要求凡是携带桶名的请求，在构造URL的时候都必须将桶名放在domain前面，形成三级域名形式，又称为虚拟主机访问域名。例如，如果您有一个位于gz1区域的名为testbucket的桶，期望访问桶中一个名为testobject对象的acl，正确的访问URL为 桶 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 桶创建成功后，桶名、所属区域和数据冗余存储策略均不允许修改。 一个帐号及帐号下的所有IAM用户可创建的桶+并行文件系统的上限为100个。建议结合OBS细粒度权限控制能力，合理进行桶规划和使用。例如，建议在桶内根据对象前缀划分不同的目录，通过细粒度权限控制实现不同目录在不同业务部门之间的权限隔离。 默认情况下，OBS系统和单个桶都没有总数据容量和对象数量的限制。 删除桶之前必须确保桶内所有对象已彻底删除。 用户删除桶后，需要等待30分钟才能创建同名桶和并行文件系统。 上传对象 OBS管理控制台支持批量上传文件，单次最多支持100个文件同时上传，总大小不超过5GB。如果只上传1个文件，则这个文件最大为5GB。 OBS Browser+、obsutil、API和SDK上传的单个对象最大是48.8TB。 支持批量上传功能需要满足以下条件： OBS桶的版本号为“3.0”。 在未开启多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则新上传的文件会自动覆盖老文件，且不会保留老文件的ACL等信息；如果新上传的文件夹和桶内文件夹重名，则上传后会将新老文件夹合并，合并过程如遇重名文件，会使用新上传的文件夹中的文件进行覆盖。 在开启了多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则会在老文件上新增一个版本。 对象键（对象名）虽然可以使用任何UTF8字符，但是建议按照对象键命名指导原则进行命名，有助于最大程度符合DNS、Web安全字符、XML分析器和其他API的要求。 删除对象 桶没有开启多版本控制功能时，对象删除后不可恢复，请谨慎操作。

日志提取方式 字段名称 字段类型是否可修改 字段是否可删除 正则分析（自动生成） 用户自定义。名称必须以字母开始，且仅包含字母和数字。 是 是 正则分析（手动输入） 支持在输入正则表达式时进行命名。支持使用系统默认命名field1、field2、field3……，或对其修改后的名称。 是 是 JSON格式 智能提取字段名称，可定义别名。 是 是 分隔符 默认名称field1、field2、field3……，可进行修改。 是 是 Nginx 根据Nginx配置生成，可定义别名。 是 是 ELB模板 根据ELB资料中提供的日志字段被定义。 否 否 VPC模板 根据VPC资料中提供的日志字段被定义。 否 否 CTS模板 字段名称为json日志中的key。 否 否 APIG模板 根据APIG资料中提供的日志字段被定义。 否 否 DCS审计日志 根据DCS资料中提供的日志字段被定义。 否 否 TOMCAT 根据TOMCAT官网提供的字段名称进行nginx解析的名称 否 否 NGINX 根据NGINX资料中提供的日志字段被定义。 否 否 GAUSSV5审计日志 根据GAUSSV5资料中提供的日志字段被定义。 否 否 DDS审计日志 根据DDS资料中提供的日志字段被定义。 否 否 DDS错误日志 根据DDS资料中提供的日志字段被定义。 否 否 DDS慢日志 根据DDS资料中提供的日志字段被定义。 否 否 CFW访问控制日志 根据CFW资料中提供的日志字段被定义。 否 否 CFW攻击日志 根据CFW资料中提供的日志字段被定义。 否 否 CFW流量日志 根据CFW资料中提供的日志字段被定义。 否 否 MYSQL错误日志 根据MYSQL资料中提供的日志字段被定义。 否 否 MYSQL慢日志 根据MYSQL资料中提供的日志字段被定义。 否 否 POSTGRESQL错误日志 根据POSTGRESQL资料中提供的日志字段被定义。 否 否 SQLSERVER错误日志 根据SQLSERVER资料中提供的日志字段被定义。 否 否 GAUSSDBREDIS慢日志 根据GAUSSDBREDIS资料中提供的日志字段被定义。 否 否 CDN 根据CDN资料中提供的日志字段被定义。 否 否 SMN 根据SMN资料中提供的日志字段被定义。 否 否 GAUSSDBMYSQL错误日志 根据GAUSSDBMYSQL资料中提供的日志字段被定义。 否 否 GAUSSDBMYSQL慢日志 根据GAUSSDBMYSQL资料中提供的日志字段被定义。 否 否 ER企业路由器 根据ER企业路由器资料中提供的日志字段被定义。 否 否 MYSQL审计日志 根据MYSQL审计日志资料中提供的日志字段被定义。 否 否 GaussDBforCassandra慢日志 根据GaussDBforCassandra慢日志资料中提供的日志字段被定义。 否 否 GaussDBforMongo慢日志 根据GaussDBforMongo慢日志资料中提供的日志字段被定义。 否 否 GaussDBforMongo错误日志 根据GaussDBforMongo错误日志资料中提供的日志字段被定义。 否 否 WAF访问日志 根据WAF访问日志资料中提供的日志字段被定义。 否 否 WAF攻击日志 根据WAF攻击日志资料中提供的日志字段被定义。 否 否 DMS重平衡日志 根据DMS重平衡日志资料中提供的日志字段被定义。 否 否 CCE审计日志 根据CCE审计日志资料中提供的日志字段被定义。 否 否 CCE事件日志 根据CCE事件日志资料中提供的日志字段被定义。 否 否 GaussDBforRedis审计日志 根据GaussDBforRedis审计日志资料中提供的日志字段被定义。 否 否 自定义模板 用户自定义。 是 是

本文主要介绍节点本地域名解析加速。 插件简介 节点本地域名解析加速（nodelocaldns）是基于社区NodeLocal DNSCache通过在集群节点上作为守护程序集运行DNS缓存代理，提高集群DNS性能。 开源社区地址： NodeLocal DNSCache查询路径 约束与限制 仅支持1.19及以上版本集群。 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 nodelocaldns ，单击“安装”。 步骤 2 在安装插件页面，选择插件规格，并配置相关参数。 enablednsconfigadmission ：是否自动注入。默认为 false ，设置为true表示自动注入。 步骤 3 完成以上配置后，单击“安装”。 版本记录 CCE插件版本记录 插件版本 支持的集群版本 社区版本（仅1.17及以上版本集群支持） 1.2.2 /v1.(192123)./ 1.21.1

内网监控指标 监控指标 说明 域名请求量 该指标用于统计用户通过内网DNS请求域名解析的请求次数。

本节主要介绍云存储网关的使用限制。 注意 在部署云存储网关前，需要明确使用单机版还是集群版，因为一旦部署后，不支持通过增减服务器进行模式切换。 说明 该产品通过软件形式部署在用户的环境中，本身不涉及资源池属性。 操作系统 支持 Linux CentOS 7.x，64位操作系统。建议使用最新的CentOS 7.x版本。 硬件 x86服务器。最低配置：单核CPU、2GB内存。可根据实际业务需要增加配置。 网络带宽 客户端到云存储网关的带宽：读写带宽能力大于业务读写带宽。 数据目录对应分区的写带宽能力大于写入带宽，同时还具备相同的读带宽。 云存储网关到OOS具备专线，带宽大于业务写入带宽。 安装目录所在盘 10GB以上，建议配置为RAID 1或者RAID 10。 数据目录所在盘 最小配置：5GB，可根据实际业务需要增加配置。 若作为存储模式存储卷的数据目录使用，需要根据存储容量和副本模式配置数据目录对应分区的容量。若作为缓存模式卷的数据目录使用，需要根据缓存数据量和副本模式配置数据目录对应分区的容量。 网络设定 可以与天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）进行网络连接。 若云存储网关与OOS之间配有专线，须在云存储网关服务器 /etc/hosts配置OOS资源池的内网域名解析（请联系我们获取），以确保是通过专线访问OOS，保证访问速度。若使用互联网，则不需要配置。 网络整体架构图： 云存储网关内部各节点之间通过内网互联。 云存储网关与上层应用之间通过内网或专线或公网互联。 云存储网关与OOS之间通过专线或公网互联。

c.安装成功。 d.安装成功，点击登录，或浏览器访问“ 6.购买域名为了便于网站的访问和使用，您可以给网站设置一个域名，使用域名访问网站。您可以在天翼云域名快速注册中购买域名。为了您网站的安全性起见，建议您的域名可以搭配 CTWAF 一起使用，您可以参考：web应用防火墙（原生版）产品定义。 7.如网站未进行备案，您可以参考：备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 8.配置域名解析。配置域名解析后才能使用域名访问网站，具体操作请创建域名解析。 步骤五：配置服务器安全卫士（原生版） 服务器安全卫士（原生版）防护实践请参考：主机安全防护最佳实践，您可以根据您开通的对应防护，选择性的配置对应的安全设置，不同的防护版本有不同的防护功能，您可以参考：产品规格。 配置基线检查，请参考：本节介绍服务器安全卫士（原生版）基线检测操作指南。 配置漏洞扫描，请参考：本节为您介绍漏洞扫描原理、漏洞扫描版本规格、漏洞等级。 配置弱口令检测，请参考：本节介绍服务器安全卫士（原生版）弱口令检测操作指南。 配置病毒查杀，请参考：病毒查杀概述。 配置文件防勒索，请参考：文件防勒索概述。 配置网页防篡改，请参考，购买网页防篡改配额。

本文主要介绍DNS概述。 CoreDNS介绍 创建集群时会安装CoreDNS插件，CoreDNS是用来做集群内部域名解析。 在kubesystem命名空间下可以查看到CoreDNS的Pod。 $ kubectl get po namespacekubesystem NAME READY STATUS RESTARTS AGE coredns7689f8bdf295rk 1/1 Running 0 9m11s coredns7689f8bdfh7n68 1/1 Running 0 11m CoreDNS安装成功后会成为DNS服务器，当创建Service后，CoreDNS会将Service的名称与IP记录起来，这样Pod就可以通过向CoreDNS查询Service的名称获得Service的IP地址。 访问时通过nginx..svc.cluster.local访问，其中nginx为Service的名称，为命名空间名称，svc.cluster.local为域名后缀，在实际使用中，在同一个命名空间下可以省略.svc.cluster.local，直接使用ServiceName即可。 使用ServiceName的方式有个主要的优点就是可以在开发应用程序时可以将ServiceName写在程序中，这样无需感知具体Service的IP地址。 CoreDNS插件安装后也有一个Service，在kubesystem命名空间下，如下所示。 $ kubectl get svc n kubesystem NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE coredns ClusterIP 10.247.3.10 ​ 默认情况下，其他Pod创建后，会将coredns Service的地址作为域名解析服务器的地址写在Pod的 /etc/resolv.conf 文件中，创建一个Pod，查看/etc/resolv.conf文件，如下所示。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh / cat /etc/resolv.conf nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 timeout singlerequestreopen 集群内域名解析示例图

本文主要介绍管理JMeter测试计划 创建测试计划 测试计划是指基于已定义的JMeter文件和依赖的jar包和变量文件发起一次性能测试的活动。 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”，单击待操作工程后的。 2、在“测试计划”页签中，单击“添加测试计划”。 3、在弹出的窗口中单击“添加文件”，选择格式为.jmx的文件，单击“上传文件”，导入成功后将自动关闭窗口并返回“测试计划列表”页签，可以看到已添加的测试计划。 说明 jmx文件的名称长度上限为64字节(含后缀)，文件大小限制为10M。 当前支持基本的JMeter脚本，包括线程组，HTTP请求，HTTP信息头管理器，请求参数，超时时间等。建议您使用5.2.1以上版本的脚本进行导入，以免出现脚本解析错误。 4、在“测试计划”页签中，单击“第三方jar包”，在弹出的窗口中单击“本地导入”，选择测试计划所依赖的jar包并导入，导入成功后关闭窗口。 说明 jar包名称长度上限为64字节(含后缀)，大小上限为10M。 5、在“测试计划”页签中，可以查看新添加的测试计划。 压力配置 创建测试计划后，可根据业务需求修改每个阶段的各项参数。 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”。单击待操作测试计划所在工程后的。 2、 在“测试计划列表”页签中，单击待压力配置的“任务名称”，进入“计划详情”页，可看到当前线程组下的各个阶段，参照下表设置基本信息。 压力配置 参数 参数说明 执行策略 执行策略目前支持按时长和按次数。 按时长：按照设定的持续时间进行压测。 按次数：按照设定的发送总次数进行压测。 线程数 当前并发操作的虚拟用户数量。 预热时间 对应JMeter脚本里的RampUp字段，指并发用户数从0提升到设置的并发数值所需的时间。 说明 仅“阶段1”涉及修改该参数。 循环次数 每个虚拟用户执行的次数。 说明 仅当“执行策略”为“按次数”时涉及修改该参数。 时间控制 用于控制是否配置“最大时长”和“启动延迟”两个参数。 说明 仅当“执行策略”为“按次数”时涉及该参数。 最大时长 如果实际压测时长达到最大时长时，执行次数尚未达到循环次数，则线程组结束执行。 说明 仅当“执行策略”为“按次数”时，开启“时间控制”才可修改该参数。 持续时间 任务实际执行的时间，持续时间建议至少300s。 说明 仅当“执行策略”为“按时长”时，涉及该参数。 启动延迟 虚拟用户在等待设置启动延迟的时间后，再开始执行任务。 说明 当“执行策略”为“按次数”时，开启“时间控制”可修改该参数。当“执行策略”为“按时长”时，可以在“阶段1”修改该参数。

本章节主要介绍配置HTTP源端参数。 作业中源连接为HTTP连接时，源端作业参数如下表所示。当前只支持从HTTP URL导出数据，不支持导入。 表 HTTP/HTTPS作为源端时的作业参数 参数名 说明 取值样例 文件URL 通过使用GET方法，从HTTP/HTTPS协议的URL中获取数据。 用于读取一个公网HTTP/HTTPS URL的文件，包括第三方对象存储的公共读取场景和网盘场景。 列表文件 选择“是”，将待上传的文本文件中所有URL对应的文件拉取到OBS，文本文件记录的是HDFS上的文件路径。 是 列表文件源连接 文本文件存储在OBS桶中，这里需要选择已建立的OBS连接。 obslink 列表文件OBS桶 存储文本文件的OBS桶名称。 obscdm 列表文件或目录 在OBS中存储文本文件文件的自定义目录，多级目录可用“/”进行分隔。 test1 文件格式 当前CDM只支持选择“二进制格式”，不解析文件内容直接传输，不要求原文件格式必须为二进制。 二进制格式 压缩格式 选择对应压缩格式的源文件进行迁移： 无：表示传输所有格式的文件。 GZIP：表示只传输GZIP格式的文件。 ZIP：表示只传输ZIP格式的文件。 TAR.GZ：表示只传输TAR.GZ格式的文件。 无 压缩文件后缀 压缩格式非无时，显示该参数。 该参数需要解压缩的文件后缀名。当一批文件中以该值为后缀时，才会执行解压缩操作，否则则保持原样传输。当输入或为空时，所有文件都会被解压。 文件分隔符 传输多个文件时，CDM使用这里配置的文件分隔符来区分各个文件，默认为l。列表文件显示为“是”时，显示该参数。 l QUERY参数 该参数设置为“是”时，上传到OBS的对象使用的对象名，为去掉query参数后的字符。 该参数设置为“否”时，上传到OBS的对象使用的对象名，包含query参数。 否 加密方式 如果源端数据是被加密过的，则CDM支持解密后再导出。这里选择是否对源端数据解密，以及选择解密算法： 无：不解密，直接导出。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 AES256GCM 忽略不存在原路径/文件 如果将其设为是，那么作业在源路径不存在的情况下也能成功执行。 否 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成，且必须与加密时配置的“数据加密密钥”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成，且必须与加密时配置的“初始化向量”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F MD5文件名后缀 校验CDM抽取的文件，是否与源文件一致。 .md5

本章节主要介绍数据目录的数据目录。 通过数据目录可以对资产进行搜索、过滤、查看详情、查看血缘、查看关系、添加分类与标签等操作。 资产搜索 通过资产名称和描述的关键字或按所有属性搜索资产，支持模糊搜索。 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据目录”模块，进入数据目录页面。 详见下图： 选择数据目录 2.选择“数据地图 > 数据目录”。 3.在资产搜索输入框输入需要查找的数据关键字进行搜索，搜索结果以列表方式显示。 按名称和描述搜索：表示按照资产的名称和描述进行搜索。 按所有属性搜索：表示按照资产的全部属性（即详情页中展示的属性）进行搜索。 说明 支持保存当前设置的搜索条件。 支持导入搜索条件。 资产筛选 对资产搜索结果，可以基于条件进行筛选，支持的筛选条件类别如下： 数据连接：数据资产所属数据连接名称。 类型：数据资产所属类型。 分类：数据资产所属分类。 标签：数据资产所包含的标签。 密级：数据资产所属密级。 如下通过资产类型过滤搜索结果，其他类同。 1. 在类型过滤区域，选择“Table”，搜索结果显示属于Table类型的资产。 2. 类型过滤条件按照名称排序，默认只显示前五种类型，单击“全部”，显示系统目前支持的所有资产类型。 资产详情 以查看数据表详情为例。 1.在资产搜索结果列表，单击任意数据表，进入数据表详情页面。 2.在“详情”页签，可查看技术元数据基本属性、编辑描述；可给数据表添加标签和密级；可给数据表的列和OBS对象添加或删除分类、标签和密级。 详见下图：查看详情 3.在“列属性”页签，可查看数据表的列属性，给数据列添加或删除分类、标签和密级，并编辑描述。 详见下图：管理列属性 4.在“血缘”页签，可查看数据表的血缘关系，包括血缘和影响。如何配置数据血缘请参见节点数据血缘。节点配置血缘关系后，作业执行时可以自动解析，然后数据目录采集元数据时会采集上来，在数据目录中展示。 5.在“概要”页签，查看数据表的概要信息（当前仅支持DWS、DLI类型数据表查看概要）。单击“更新”，可更新概要信息。 6.在“数据预览”页签，查看数据表脱敏后的效果。 7.在“变更记录”页签，查看数据表变更详情。

不同磁盘类型支持挂载的云主机规格 普通IO支持挂载的云主机规格 规格分类 规格名称 通用型云主机 通用型s8e 通用型云主机 通用型s8r 通用型云主机 通用型s8 通用型云主机 通用型s7 通用型云主机 通用型s6 通用型云主机 通用型s3 通用型云主机 通用型s2 计算型云主机 计算型c8a 计算型云主机 计算型c8e 计算型云主机 计算型c8 计算型云主机 计算型c7 计算型云主机 计算型c6 计算型云主机 计算型c3 内存型云主机 内存型m8a 内存型云主机 内存型m8e 内存型云主机 内存型m8 内存型云主机 内存型m7 内存型云主机 内存型m6 内存型云主机 内存型m3 内存型云主机 内存型m2 增强型云主机 网络增强计算型c7ne(停售) 经济型云主机 经济型e GPU加速/AI加速云主机 L20计算加速型PN8I GPU加速/AI加速云主机 L40S计算加速型PN8S GPU加速/AI加速云主机 GPU计算加速型PN8R GPU加速/AI加速云主机 A100计算加速型P8A GPU加速/AI加速云主机 A10计算加速型PI7 GPU加速/AI加速云主机 V100计算加速型P2V GPU加速/AI加速云主机 V100S计算加速型P2Vs GPU加速/AI加速云主机 T4计算加速型PI2 GPU加速/AI加速云主机 A10 图像加速基础型G7 GPU加速/AI加速云主机 T4图像加速基础型G6 GPU加速/AI加速云主机 V100图像加速基础型G5 GPU加速/AI加速云主机 V100S图像加速基础型G5S GPU加速/AI加速云主机 昇腾计算加速型PAK3 GPU加速/AI加速云主机 昇腾计算加速型PAK2 GPU加速/AI加速云主机 昇腾计算加速型PAK1 GPU加速/AI加速云主机 寒武纪计算加速型PCH1 国产云主机 鲲鹏网络增强通用型ks2xne 国产云主机 鲲鹏网络增强计算型kc2xne 国产云主机 鲲鹏网络增强内存型km2xne 国产云主机 鲲鹏网络增强通用型ks2ne(停售) 国产云主机 鲲鹏网络增强计算型kc2ne(停售) 国产云主机 鲲鹏网络增强内存型km2ne(停售) 国产云主机 鲲鹏通用型ks2x 国产云主机 鲲鹏计算型kc2x 国产云主机 鲲鹏内存型km2x 国产云主机 鲲鹏通用型ks2(停售) 国产云主机 鲲鹏计算型kc2(停售) 国产云主机 鲲鹏内存型km2(停售) 国产云主机 鲲鹏通用型ks1 国产云主机 鲲鹏计算型kc1 国产云主机 鲲鹏内存型km1 国产云主机 海光网络增强通用型hs3xne 国产云主机 海光网络增强计算型hc3xne 国产云主机 海光网络增强内存型hm3xne 国产云主机 海光网络增强通用型hs3ne(停售) 国产云主机 海光网络增强计算型hc3ne(停售) 国产云主机 海光网络增强内存型hm3ne(停售) 国产云主机 海光通用型hs3x 国产云主机 海光计算型hc3x 国产云主机 海光内存型hm3x 国产云主机 海光通用型hs3(停售) 国产云主机 海光计算型hc3(停售) 国产云主机 海光内存型hm3(停售) 国产云主机 海光通用型hs1 国产云主机 海光计算型hc1 国产云主机 海光内存型hm1 国产云主机 飞腾通用型fs1 国产云主机 飞腾计算型fc1 国产云主机 飞腾内存型fm1 本地盘云主机 超高IO型本地盘ip3云主机 本地盘云主机 超高IO型本地盘ir3云主机 本地盘云主机 磁盘增强型本地盘d3云主机

创建云主机组 您可以申请创建一个云主机组，同一云主机组中的弹性云主机遵从相同策略，云主机组与云主机组之间没有关联关系。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在左侧导航树中，选择“云主机组”。 4. 在“云主机组”页面，单击“创建云主机组”。 5. 输入云主机组的名称。 系统默认设置为“反亲和性”策略。 6. 选择云主机组的策略。 7. 单击“确定”。 添加云主机到云主机组 为提升业务可靠性，您可以添加弹性云主机到云主机组，添加后，该弹性云主机与云主机组中的其他云主机分散地创建在不同主机上。 说明 仅反亲和性策略的云主机组，支持将云主机添加到云主机组。 添加云主机到云主机组后，会重新分配该云主机所在的主机，使其与云主机组中的其他云主机分散地创建在不同主机上。那么当弹性云主机再次开机时，可能会出现由于资源不足引起的启动失败，请将云主机移出云主机组后重新启动。 包含本地盘的云主机无法在创建后加入云主机组，如需使用云主机组功能，请在创建时选择云主机组。 弹性云主机包含本地盘、GPU卡，则无法在创建后加入云主机组，如需使用云主机组功能，请在创建时选择云主机组。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在左侧导航树中，选择“云主机组”。 4. 单击“操作”列下的“添加云主机”。 5. 在“添加云主机”页面，选择待添加的弹性云主机。 6. 单击“确定”。

福建云专线业务资费由安装调测费和电路月租费组成。 1） 电路月租费指客户租用云专线所产生的月度使用费用，按照公式计算得到，电路月租费为： 销售品名称 速率（Mbps） 省政企授权价（元/月） MPLSVPN PON云虚电路10M 10 200 MPLSVPN PON云虚电路20M 20 300 MPLSVPN PON云虚电路30M 30 400 MPLSVPN PON云虚电路40M 40 500 MPLSVPN PON云虚电路50M 50 600 MPLSVPN PON云虚电路60M 60 700 MPLSVPN PON云虚电路70M 70 800 MPLSVPN PON云虚电路80M 80 900 MPLSVPN PON云虚电路90M 90 950 MPLSVPN PON云虚电路100M 100 1000 MPLSVPN LAN云虚电路10M 10 450 MPLSVPN LAN云虚电路20M 20 550 MPLSVPN LAN云虚电路30M 30 650 MPLSVPN LAN云虚电路40M 40 750 MPLSVPN LAN云虚电路50M 50 850 MPLSVPN LAN云虚电路60M 60 950 MPLSVPN LAN云虚电路70M 70 1050 MPLSVPN LAN云虚电路80M 80 1150 MPLSVPN LAN云虚电路90M 90 1250 MPLSVPN LAN云虚电路100M 100 1350 MPLSVPN LAN云虚电路200M 200 2700 MPLSVPN LAN云虚电路300M 300 4050 MPLSVPN LAN云虚电路400M 400 5400 MPLSVPN LAN云虚电路500M 500 6750 MPLSVPN LAN云虚电路600M 600 8100 MPLSVPN LAN云虚电路700M 700 9450 MPLSVPN LAN云虚电路800M 800 10800 MPLSVPN LAN云虚电路900M 900 12150 MPLSVPN LAN云虚电路1G 1000 13500 STN云专线10M 10M 600 STN云专线20M 20M 800 STN云专线30M 30M 1000 STN云专线40M 40M 1200 STN云专线50M 50M 1300 STN云专线60M 60M 1500 STN云专线70M 70M 1600 STN云专线80M 80M 1800 STN云专线90M 90M 1900 STN云专线100M 100M 2000 STN云专线200M 200M 3200 STN云专线300M 300M 4300 STN云专线400M 400M 5400 STN云专线500M 500M 6400 STN云专线600M 600M 7400 STN云专线700M 700M 8300 STN云专线800M 800M 9100 STN云专线900M 900M 9800 STN云专线1G 1G 10500 STN云专线2.5G 2.5G 21700

本文主要介绍网络管理类问题。 一、集群安全组规则配置 CCE作为通用的容器平台，安全组规则的设置适用于通用场景。集群在创建时将会自动为Master节点和Node节点分别创建一个安全组，其中Master节点的安全组名称是： {集群名}ccecontrol{随机ID} ；Node节点的安全组名称是： {集群名}ccenode{随机ID} 。使用CCE Turbo集群时会额外创建一个ENI的安全组，名为 {集群名}cceeni{随机ID} 。 用户可根据安全需求，登录CCE控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”，找到CCE集群对应的安全组规则进行修改和加固。 如集群在创建时需要指定节点安全组，请参考集群自动创建的Node节点安全组规则放通指定端口，以保证集群中的正常网络通信。 注意 安全组规则的 修改和删除可能会影响集群的正常运行 ，请谨慎操作。如需修改安全组规则，请尽量避免对CCE运行依赖的端口规则进行修改。 Node节点安全组规则 入方向 集群自动创建Node节点的安全组名称为 {集群名}ccenode{随机ID} ，默认入方向规则如下图所示， 源地址属于本安全组的需全部放通 ，其余端口说明见下表。 VPC网络模型Node节点默认安全组 VPC网络模型Node节点安全组默认端口说明 端口 默认源地址 说明 是否可修改 修改建议 UDP：全部TCP：全部 VPC网段 Node节点之间互访、Node节点与Master节点互访。 不建议修改 不涉及 ICMP：全部 Master节点网段 Master节点访问Node节点。 不建议修改 不涉及 TCP：3000032767UDP：3000032767 所有IP地址 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 全部 容器网段 节点与容器互访。 不建议修改 不涉及 全部 Node节点网段 Node节点之间互访。 不建议修改 不涉及 TCP：22 所有IP地址 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 容器隧道网络模型Node节点默认安全组 容器隧道网络模型Node节点安全组默认端口说明 端口 默认源地址 说明 是否可修改 修改建议 UDP：4789 所有IP地址 容器间网络互访。 不建议修改 不涉及 TCP：10250 master节点网段 master的主动访问node的kubelet（如执行kubectl exec {pod}）。 不建议修改 不涉及 TCP：3000032767UDP：3000032767 所有IP地址 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 TCP：22 所有IP地址 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 全部 本安全组和VPC网段 源地址属于本安全组和VPC网段的需全部放通。 不建议修改 不涉及 出方向 对于 出方向规则 ，CCE创建的安全组默认全部放通，通常情况下不建议修改。如需加固出方向规则，请注意如下端口需要放通。 Node节点安全组出方向规则最小范围 端口 放通地址段 说明 UDP：53 子网的dns服务器 用于域名解析。 UDP：4789（仅容器隧道网络模型的集群需要） 所有IP地址 容器间网络互访。 TCP：5443 Master节点网段 master的kubeapiserver的监听端口。 TCP：5444 VPC网段、容器网段 kubeapiserver服务端口，提供k8s资源的生命周期管理。 TCP：6443 Master节点网段 TCP：8445 VPC网段 Node节点存储插件访问Master节点。 TCP：9443 VPC网段 Node节点网络插件访问Master节点。

本页简要介绍分布式数据库V1.1.0版本更新说明。 版本说明 V1.1.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 1.1 2020年 03 月 新增和优化特性： 1. 支持实例监控资源指标采集，包括CPU使用率、内存使用量、内存使用率、IO操作数、IO吞吐量、IO利用率、磁盘空闲时间、磁盘空闲率、磁盘已用空间、磁盘使用率、网络吞吐量和wal日志空间。 2. 支持查看实例监控指标数据。 3. 支持内核引擎性能指标采集。 4. 支持查看性能指标。 5. 支持对实例的语句执行状态进行监控，主要是针对当前的非系统连接执行的语句进行展示。 6. 支持数据库实例的锁分析，支持在页面上展示实例当前存在的锁以及导致锁产生的SQL语句。 7. 支持采集慢语句。 8. 支持查看慢语句信息包括：SQL语句、连接的数据库、执行次数、总耗时、平均耗时、最大耗时以及最小耗时等。 9. 支持错误日志采集。 10. 支持错误日志查询。 11. 支持慢日志采集。 12. 支持慢日志查询。 13. 支持查看仪表盘数据，包括节点IP端口、连接状态、节点角色、节点CPU使用率、节点内存使用大小、节点所在机器磁盘容量、磁盘读取速度、磁盘写入速度、磁盘IO利用率、主从同步时延、节点连接数、节点tps和节点qps。 14. 支持查看参数组详情，包括参数组内所有参数的参数名称、当前参数值、修改是否需要重启、参数可修改范围以及参数描述等信息。 15. 支持两个参数组之间参数项的比较，列出两个参数组中不同的参数项。仅可比较相同PG版本的参数组。 16. 支持复制参数组、重置参数组和删除参数组。 17. 支持将参数组应用到指定实例。 18. 支持查看参数组历史记录。 19. 支持记录数据库实例主从切换历史的功能，包括手动切换以及自动切换的场景。 20. 支持增加对数据库实例告警。 21. 新增实例运维操作，包括查杀空闲连接、空闲连接免杀白名单和清理在线表。 22. 引入开源PG12 修改功能 因部分安全漏洞扫描工具是基于软件版本号作为基线识别，您可能会在本版本扫描到如下安全漏洞，经过分析相关安全漏洞均已修复。 CVE20153165 CVE20072138 CVE20074772 CVE20160773 CVE20140062 CVE20050227 CVE20140063 CVE20140061 CVE20155288 CVE20150241 CVE20150243 CVE20165424 CVE20165423 CVE20155289 CVE20140067 CVE20140065 CVE20177548 CVE20050245 CVE20070555 CVE20140060 CVE20177484 CVE20160766 CVE20140064 CVE20150244 CVE20148161 CVE20153167 CVE20153166 CVE20076601 CVE20100733 CVE20100442 CVE20112483 修复缺陷 1. primaryconninfo在线无法修改。 2. 修复interval测试错误。 3. 外关联语法 (+) sublink 二次扫描 subselect重复解析bug。 4. psql 也支持 q' 语法。

卸载共享云硬盘 1、登录管理控制台。 2、选择“存储 > 云硬盘”。 进入“云硬盘”页面。 3、卸载云硬盘之前是否要先查看云硬盘挂载的云主机信息。 1.是，执行以下操作。 a.在云硬盘列表中，单击待卸载的云硬盘名称。进入云硬盘详情页面。 b.在“云主机”页签下，您可以查看当前云硬盘挂载的云主机列表。 c.勾选选择云主机，单击“卸载”。共享云硬盘支持批量卸载操作，可勾选多个云主机。弹出“卸载”对话框。 d.单击“确定”，卸载云硬盘。 2.否，执行以下操作。 a.在云硬盘列表中，单击待卸载云硬盘所在行“操作”列下的“卸载”。弹出“卸载”对话框。 b.勾选选择云主机。共享云硬盘支持批量卸载操作，可勾选多个云主机。 c.单击“确定”，卸载云硬盘。 返回云硬盘列表，此时云硬盘状态为“正在卸载”，表示云硬盘处于正在从云主机卸载的过程中。 如果共享云硬盘同时挂载至多个云主机，只从其中的一个云主机卸载，卸载成功后，云硬盘状态依然为“正在使用”。只有当共享云硬盘已经从所有的云主机上卸载成功时，状态会变为“可用”。

本节介绍了什么是云硬盘扩容、怎样扩容云硬盘、在管理控制台扩容云硬盘容量、登录云主机扩展分区和文件系统、相关操作。 什么是云硬盘扩容？ 当已有云硬盘容量不足时，您可以扩大该云硬盘的容量，即云硬盘扩容。 系统盘和数据盘均支持扩容。当前EVS只支持扩大容量，不支持缩小容量。 怎样扩容云硬盘？ 云硬盘扩容操作包括以下步骤： 步骤 1、在管理控制台扩容云硬盘容量 步骤 2、登录云主机扩展分区和文件系统 图 云硬盘扩容流程 在管理控制台扩容云硬盘容量 在管理控制台扩容云硬盘的容量，需要根据云硬盘状态选择对应的扩容方法。 ● 状态为“正在使用”的云硬盘 表示云硬盘已挂载至云主机，需根据约束与限制判断云硬盘是否支持处于“正在使用”状态下扩容。 − 若支持，可直接扩容云硬盘容量。 − 若不支持，需卸载云硬盘后再扩容。 ● 状态为“可用”的云硬盘 表示云硬盘未挂载至任何云主机，可直接扩容云硬盘容量。 共享云硬盘仅支持在“可用”状态下扩容。

本文帮助您了解在专属云上挂载云硬盘相关的操作步骤。 操作场景 专属云（计算独享型）内创建云硬盘后，需要将云硬盘挂载给云主机，供云主机作为数据盘使用。 挂载云硬盘通常分为两种，一种是挂载非共享云硬盘，另一种为挂载共享云硬盘。 挂载非共享云硬盘 约束与限制 非共享云硬盘只可以挂载至1台云主机。 挂载非共享云硬盘时，挂载的实例需要与此云硬盘在同一个区域。 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16的通用计算增强型c6/c7云主机和内存优化型m6/m7云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 操作步骤 用户可以从云主机与云硬盘两个页面入口进行挂载，具体操作步骤如下： 从云主机页面进行挂载 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东dectest1017。 3. 单击选择“计算>弹性云主机”，进入云主机列表页面。 4. 单击待挂载云硬盘的弹性云主机名称，进入弹性云主机详情页面。 5. 单击“云硬盘”页签，在云硬盘页面中，点击“挂载磁盘”按键，弹出磁盘挂载窗口。 6. 在跳转窗口中选择要挂载的云硬盘，点击“确定”，即可为弹性云主机挂载云硬盘，且在云主机的云硬盘详情页面可看到挂载的云硬盘详情信息。

以下是对教学内容的任务解析： 任务一：环境与数据准备 1、将本实践中所需要的钢筋数据集下载 输入： import os if not os.path.exists('./rebarcount'): print('Downloading code and datasets...') os.system("wget N nv os.system("unzip rebarcount.zip;") if os.path.exists('./rebarcount'): print('Download code and datasets success') else: print('Download code and datasets failed, please check the download url is valid or not.') else: print('./rebarcount already exists') 2、加载需要的python模块 输入： import os import sys import cv2 import time import random import torch import numpy as np from PIL import Image, ImageDraw import xml.etree.ElementTree as ET from datetime import datetime from collections import OrderedDict import torch.optim as optim import torch.utils.data as data import torch.backends.cudnn as cudnn sys.path.insert(0, './rebarcount/src') from rebarcount.src.data import VOCroot, VOCConfig, AnnotationTransform, VOCDetection, detectioncollate, BaseTransform, preproc from models.RFBNetvgg import buildnet from layers.modules import MultiBoxLoss from layers.functions import Detect, PriorBox from utils.visualize import from utils.nmswrapper import nms from utils.timer import Timer import matplotlib.pyplot as plt %matplotlib inline ROOTDIR os.getcwd() seed 0 cudnn.benchmark False cudnn.deterministic True torch.manualseed(seed) 为CPU设置随机种子 torch.cuda.manualseedall(seed) 为所有GPU设置随机种子 random.seed(seed) np.random.seed(seed) os.environ['PYTHONHASHSEED'] str(seed) 设置hash随机种子 任务二：查看训练数据样例 1.查看训练数据样例 输入： def readxml(xmlpath): '''读取xml标签''' tree ET.parse(xmlpath) root tree.getroot() boxes [] labels [] for element in root.findall('object'): label element.find('name').text if label 'steel': bndbox element.find('bndbox') xmin bndbox.find('xmin').text ymin bndbox.find('ymin').text xmax bndbox.find('xmax').text ymax bndbox.find('ymax').text boxes.append([xmin, ymin, xmax, ymax]) labels.append(label) return np.array(boxes, dtypenp.float64), labels 2.显示原图和标注框 输入： trainimgdir './rebarcount/datasets/VOC2007/JPEGImages' trainxmldir './rebarcount/datasets/VOC2007/Annotations' files os.listdir(trainimgdir) files.sort() for index, filename in enumerate(files[:2]): imgpath os.path.join(trainimgdir, filename) xmlpath os.path.join(trainxmldir, filename.split('.jpg')[0] + '.xml') boxes, labels readxml(xmlpath) img Image.open(imgpath) resizescale 2048.0 / max(img.size) img img.resize((int(img.size[0] resizescale), int(img.size[1] resizescale))) boxes resizescale plt.figure(figsize(img.size[0]/100.0, img.size[1]/100.0)) plt.subplot(2,1,1) plt.imshow(img) img img.convert('RGB') img np.array(img) img img.copy() for box in boxes: xmin, ymin, xmax, ymax box.astype(int) cv2.rectangle(img, (xmin, ymin), (xmax, ymax), (0, 255, 0), thickness3) plt.subplot(2,1,2) plt.imshow(img) plt.show() 输出：