本文介绍产品增值与定制内容申请的相关内容。 如果您有增值/定制的需求，您可以联系客户经理或天翼云客服，提交您的需求。 也可以进入官网以工单的形式提交您的需求。 工单提交流程： 第一步，登陆天翼云官网，点击用户菜单下的“工单管理“； 工单管理页面 第二步，进入“提交工单”页面，在安全加速业务处点击“提问”； 提交工单页面 第三步，根据您的需求，选择“问题分类”，或“创建工单” 问题分类和创建工单页面

本节介绍如何为漏洞扫描v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 漏洞扫描系统开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 漏洞扫描系统开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的漏洞扫描、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 重启”。 登录漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 开启IPv6防护 开通漏洞扫描v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

插件名 描述 版本 analysisicu 提供ICU（International Components for Unicode）支持的分词和字符归一化功能，尤其适合多语言处理 3.5.0 analysisik ik中文分词插件，支持自定义词典 3.5.0 analysispinyin 拼音分词插件 3.5.0 opensearchalerting 告警管理插件 3.5.0.0 opensearchanomalydetection 基于机器学习的时序数据异常模式识别插件 3.5.0.0 opensearchasynchronoussearch 异步搜索插件 3.5.0.0 opensearchcrossclusterreplication 跨集群复制插件 3.5.0.0 opensearchcustomcodecs 自定义编码器插件，支持zstd压缩算法 3.5.0.0 opensearchflowframework 可视化数据管道编排插件 3.5.0.0 opensearchgeospatial geospatial插件 3.5.0.0 opensearchindexmanagement 索引管理插件 3.5.0.0 opensearchjobscheduler 任务调度插件 3.5.0.0 opensearchknn 向量检索引擎插件，可支撑图像搜索、语音识别和商品推荐等向量检索场景的需求 3.5.0.0 opensearchltr 基于机器学习的搜索相关度排序插件 3.5.0.0 opensearchml 机器学习插件 3.5.0.0 opensearchneuralsearch 基于神经网络的语义检索插件 3.5.0.0 opensearchnotifications 消息通知插件 3.5.0.0 opensearchnotificationscore 消息通知core插件 3.5.0.0 opensearchobservability 全栈监控工具插件 3.5.0.0 opensearchperformanceanalyzer 性能分析插件 3.5.0.0 opensearchreportsscheduler 报告生成插件 3.5.0.0 opensearchsearchrelevance 评估、比对和微调搜索结果的准确度插件 3.5.0.0 opensearchsecurity 安全插件 3.5.0.0 opensearchsecurityanalytics 安全分析/SIEM插件 3.5.0.0 opensearchskills 提供机器学习agent框架工具插件 3.5.0.0 opensearchsql sql查询插件 3.5.0.0 opensearchsystemtemplates 系统模板仓库插件 3.5.0.0 opensearchubi 收集和存储用户在客户端的真实搜索行为插件 3.5.0.0 prometheusexporter Opensearch的prometheus exporter插件 3.5.0.0 queryinsights 查询洞察插件 3.5.0.0 repositorys3 支持将数据存入天翼云对象存储ZOS的插件 3.5.0

应用场景 客户端IP指的是访问者（用户设备）的IP地址。在Web应用开发中，通常需要获取客户端真实的IP地址。例如，投票系统为了防止刷票，需要通过获取客户端真实IP地址，限制每个客户端IP地址只能投票一次。 当您的网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。此时，您可直接通过WAF获取客户端的真实IP，也可以通过配置网站服务器获取客户端的真实IP。 本章节介绍了通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 方案架构 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户> CDN/WAF/高防等代理服务 > 源站服务器”）。 说明 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 在这种情况下，访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwardedFor”记录，用来记录用户的真实IP，其形式为“XForwardedFor：客户端的真实IP，代理服务器1IP， 代理服务器2IP，代理服务器3IP，……”。 因此，您可以通过获取“XForwardedFor”对应的第一个IP来得到客户端的真实IP。

枚举参数 无 请求示例 请求url 无 请求头header {"regionid": "100054c0416811e9a6690242ac110002","ContentType":"application/json","urlType": "CTAPI"} 请求体body {"vulAnnouncementId":"CTyunOSSA202341697","currentPage":1,"pageSize":10} 响应示例 { "statusCode": "200", "error": "CTCSSCN000000", "message": "查询成功!", "returnObj":{ "title": "CTyunOSSA202341697: nghttp2 security update", "vulAnnouncementId": "CTyunOSSA202341697", "vulType": "LINUX", "publishAt": "20231013", "description": "CTyunOSSA202341697: nghttp2 security update", "url": " /support/safetyDetail?idCTyunOSSA202341697", "cveDetailPageInfo": { "total": 1, "list": { "cveId": "CVE202344487", "vulAnnouncementId": "CTyunOSSA202341697", "title": "HTTP/2 Rapid Reset 拒绝服务漏洞 (CVE202344487)", "publishAt": "20231013", "description": "HTTP/2协议允许客户端通过发送RSTSTREAM帧来指示服务器应该取消之前的流。该协议允许客户端单方面请求取消，这种攻击被称为快速重置。在HTTP/2快速重置攻击中，客户端一次打开大量流，但不等待服务器或代理对每个请求流的响应，而是立即取消每个请求，通过大规模利用请求取消请求取消快速重置攻击，会导致服务器CPU资源快速消耗，达到DoS。", "url": "[ "solution": "协议漏洞，建议关闭HTTP/2协议，降级到HTTP/1.1，或更新各类产品相关安全设置，比如nginx默认配置下最多保持1000个HTTP连接，只要服务器性能不太差默认配置下不受该漏洞影响；而jetty则受漏洞影响，需要更新至最新安全版本。", "vulLabel": "未加控制的资源消耗（资源穷尽）", "rebootRequired": false, "ratingLevel": 3 } ], "pageNum": 1, "pageSize": 10, "size": 0, "startRow": 0, "endRow": 0, "pages": 0, "prePage": 0, "nextPage": 0, "isFirstPage": false, "isLastPage": false, "hasPreviousPage": false, "hasNextPage": false, "navigatePages": 0, "navigatepageNums": null, "navigateFirstPage": 0, "navigateLastPage": 0 } } }

本页介绍分布式融合数据库HTAP的审计管理功能。 审计管理简介 数据库审计能够对数据库操作进行细粒度的合规性审计管理，针对数据库 SQL 注入、异常操作等数据库风险行为进行记录，为数据库提供完善的安全诊断和管理功能，提高数据资产安全。 用户通过在控制台的审计管理 > 审计规则界面配置审计规则，然后在审计管理 > 审计策略界面设置具体数据库实例的审计策略（包含关联的审计规则，审计启停开关等），再通过审计管理 > 审计日志界面查看具体实例的审计日志。 注意事项 开启审计后，对分布式融合数据库HTAP的系统性能会有一定的影响。 约束限制 审计日志使用的空间大小不能超过 5 GB。 审计规则管理 新建规则 在审计规则界面，点击新建规则按钮，在弹出的新建规则界面填写相关信息并提交。 规则名，建议小写字母、数字组合。规则的描述，建议长度在128以内。 审计规则包含了客户端IP、客户端端口、SQL命令等参数规则的定义。当所有参数规则都满足时，才会输出到审计日志。 参数规则说明： 参数 类型 取值说明 客户端IP string 数据库连接的客户端IP。 客户端端口 number 数据库连接的客户端端口。 数据库账户 string 数据库连接的账户。 数据库名称 string 数据库连接的当前 database 名称。 SQL命令 string SQL 查询语句。 SQL类型 string sqltype。 影响行数 number 更新操作影响的行数。 执行时间(ms) number 查询耗时。 参数规则的匹配类型说明： 匹配类型 含义 适用的参数类型 无 不含该参数规则 string、number 如果查询SQL 该参数的值等于特征值 string、number ! 不等于 string、number > 大于或等于 number < 小于 number in 包含子串 string ni 不含子串 string re 正则表达式 ，遵循 RE2 语法 string 如果审计规则所有参数的匹配类型都设置为无，相当于不含任何参数规则，因此基于该审计规则审计所有查询时不会输出审计日志。输出审计日志的前提是符合审计规则的所有参数规则（参数规则间是与的关系，必须同时满足）。

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云CDN加速域名的回源地址可以使用客户自有源站、天翼云媒体存储或天翼云对象存储。若客户使用天翼云媒体存储/对象存储作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Bucket回源功能前，请确认您的私有Bucket内容是否适合作为CDN加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为CDN创建一个独立的AK/SK，仅授权CDN必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对应存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，CDN节点回存储源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权的签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】，否则功能将无效。

负载均衡 3.以root用户登录HBase客户端所在节点。进入客户端安装目录，设置环境变量： cd 客户端安装目录 source bigdataenv 如果集群采用安全版本，要进行安全认证。执行kinit hbase命令，按提示输入密码（向管理员获取密码）。 4.执行以下命令进入hbase shell，查看目前负载均衡功能是否打开： hbase shell balancerenabled 是，执行步骤6。 否，执行步骤5。 5.在hbase shell，中执行命令打开负载均衡功能，并执行命令查看确认成功打开： balanceswitch true balancerenabled 6.执行balancer命令手动触发负载均衡。 说明 建议打开和手动触发负载均衡操作在业务低峰期进行。 7.FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤8。 否，执行步骤21。 8.观察该告警是否清除。 是，处理完毕。 否，执行步骤9。 清理无用HBase表 说明 在清理过程中，请谨慎操作，确保删除数据的准确性。 9.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看该HBase服务实例上存储的表并记录可删除的无用表。 10.在hbase shell中，执行disable和drop命令，确认删除无用表，以减少Region数： disable '待删除表名' drop '待删除表名' 11.在hbase shell中，执行命令查看目前负载均衡功能是否打开： balancerenabled 是，执行步骤13。 否，执行步骤12。 12.在hbase shell中，执行命令打开负载均衡功能并确认成功打开： balanceswitch true balancerenabled 13.在hbase shell中，执行balancer命令手动触发负载均衡。 14.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击产生该告警的HBase服务实例，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤15。 否，执行步骤21。 15.观察该告警是否清除。 是，处理完毕。 否，执行步骤16。

您可以查看隐私数据保护规则，启用、编辑、禁用或删除脱敏规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 查看隐私数据保护规则信息 1. 步骤 1 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择查看隐私数据保护规则的实例。 6. 选择“隐私数据保护”页签。 说明 仅自定义创建的规则可以使用编辑和删除功能，默认的规则仅可使用启用和禁用功能。 7. 查看规则信息，相关参数说明如下所示。 存储结果集 建议关闭。关闭后，数据库安全审计分析平台将不会存储用户SQL语句的结果集。 如果用于PCI DSS/PCI 3DS CSS认证，禁止开启。 隐私数据脱敏 建议开启。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。 查看脱敏规则信息 脱敏规则信息参数说明 参数名称 说明 规则名称 该规则的名称。 规则类型 该规则的类型，包括 默认 自定义 正则表达式 该规则的正则表达式。 替换值 正则表达式脱敏后对应的替换值。 状态 该规则的启用状态，包括： 已启用 已禁用 根据需要，您还可以对规则执行以下操作： 禁用 在需要禁用的规则所在行的“操作”列，单击“禁用”，可以禁用该规则。禁用该规则后，系统将不能使用该数据脱敏规则。 编辑 在需要修改信息的规则所在行的“操作”列，单击“编辑”，在弹出的对话框中，修改规则信息。 删除 在需要删除的规则所在行的“操作”列，单击“删除”，在弹出的提示框中，单击“确定”，删除该规则。

本文简述如何查看边缘接入服务的计费详情,如何进行服务升级、退订、变更计费方式、变更加速区域等操作。 功能介绍 在计费详情页面，可以查看订购的边缘接入服务的套餐版本、加速区域、套餐内容、套餐内剩余量、已开通的扩展服务、服务生效时间、服务失效时间、当前的服务状态。 在计费详情页面，您还可以对当前订购的边缘接入服务进行服务升级、退订、变更计费方式、变更加速区域等操作。 界面说明 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【计费】【计费详情】页面。 3. 查看已订购边缘接入服务的套餐详情、对边缘接入服务进行服务升级、退订、变更计费方式、变更加速区域等操作。

定时任务是否需要特定权限的用户才可以执行？ 天翼云DTS支持配置迁移/同步任务时，按需开启定时任务，用户可以配置在特定的时间节点启动任务。定时任务的开启/关闭，和当前登录账号权限无关。也即所有天翼云官网门户经过实名认证的个人/企业账号均可以在配置DTS任务时按需开启定时功能。 DTS任务运行过程中为什么提示账号权限不足？ DTS要正常完成数据迁移/同步，需要迁移/同步账号具备一定的权限。一旦账号权限不足，就可能导致数据传输失败。为确保数据传输正常进行，请给待迁移/同步账号赋予特定的权限，具体可参照： 将MySQL迁移到MySQL的【数据库账号及权限】部分内容。 将PostgreSQL迁移到PostgreSQL的【数据库账号及权限】部分内容。 将DDS/MongoDB副本集迁移到DDS/MongoDB副本集的【数据库账号及权限】部分内容。 将DDS/MongoDB分片集群迁移到DDS/MongoDB分片集群的【数据库账号及权限】部分内容。 将DDS/MongoDB副本集迁移到DDS/MongoDB分片集群的【数据库账号及权限】部分内容。 将SQL Server迁移到SQL Server的【数据库账号及权限】部分内容。 将MySQL同步到MySQL的【数据库账号及权限】部分内容。 MySQL实例间的双向同步的【数据库账号及权限】部分内容。 将PostgreSQL同步到PosgreSQL的【数据库账号及权限】部分内容。 PostgreSQL实例间的双向同步的【数据库账号及权限】部分内容。 将SQL Server同步到SQL Server的【数据库账号及权限】部分内容。

本文向您介绍如何进行Llama2模型文本生成任务。 前提条件 大模型学习机预装了Llama 27bchat模型与stablediffuisonbasev2.1模型，以及配套的开源服务框架textgenerationwebui与stablediffuisonwebui，使您不需单独进行下载模型与配置环境。 云主机开通与如何登录网页页面参见部署文档。 以下将向您介绍如何进行Llama 2模型文本生成任务： 注意 框架默认角色名称为"You", 但主流大模型默认角色名称一般为"User", 可能会导致模型效果显著变差。 修改角色名称的方式有: 1. 在网页Parameters > Chat > User标签下修改Name字段为"User"，此方法刷新页面后就会失效。 2. 修改配置文件/root/textgenerationwebui/modules/shared.py中的'name1': 'User', 并重启llama服务， 此方法永久生效。 1. 大语言模型加载 说明 以下内容基于开源框架textgenerationwebui。 1.1 基础模型加载 大语言模型体积较大，需要占用较多的内存/显存资源，因此在刚启动服务时并未进行加载，需要手动选择模型进行加载。 在页面上切换到Model标签页，左侧下拉菜单展开后会显示所有存放于云主机/root/textgenerationwebui/models目录下的模型。学习机初始预装了Llama27bchat模型(huggingface格式)，您也可随时下载其他大模型并放入models目录下进行加载。 默认Model loader：Transformers能够支持huggingface的主流大模型，在自行加载其他模型时您需要确认模型格式是否匹配。 右下角将出现模型加载样式，直至加载成功。耗时可能较长，期间不要退出页面。 注意 在加载预装的Llama27b模型时，如果您使用的是GPU学习机，模型将默认以fp16半精度进行加载，消耗13.1G显存；如果您使用的是CPU学习机，模型将以fp32单精度进行加载，消耗26G内存。 因此，如果您的机型是内存为32G或显存为16G的型号，则会因为资源不足导致无法直接加载Llama27b模型。 解决办法： (1) 参考 27b模型前先将图像生成服务关停。 (2) GPU学习机能够支持对模型进行量化，降低模型精度的同时缩减模型大小。您可以在Model页下方找到loadin8bit的开关并进行勾选，此时Llama27b模型将消耗7G内存，可以和图像生成服务中的StableDiffusion模型共存。且8bit精度对大语言模型的生成来说影响不会特别大。 注意 由于huggingface.io网站访问受限，Model标签页的Download按钮无法直接下载模型。

内容审核是天翼云自主研发的具有文本、图片等多媒体风险识别与拦截的审核能力，对网络中产生的文本、图片内容进行涉黄、涉政、涉暴恐等敏感内容进行识别，帮助用户控制业务的违规风险，并大幅降低人工审核的人力成本。用户订购文本审核和图片审核产品后，无需进行模型开发，仅需API接口对接，即可便捷、高效、准确地对文本和图片内容进行风险识别，大幅减少网络、云存储中出现的违法违规内容。 本说明提供了内容安全产品API的描述、语法、参数说明及示例等内容。

相关操作 基线检查计划创建后，您可以查看检查计划、对检查计划进行编辑或删除。 查看已有检查计划 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知”，进入态势感知管理页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，查看已有的基线检查计划。 编辑检查计划 1. 在目标计划所在框的右上角单击“编辑”，系统右侧弹出编辑检查计划页面。 2. 编辑需要修改的计划参数。 3. 单击“确定”。 删除检查计划 1. 在目标计划所在框的右上角单击“删除”。 2. 在弹出的对话框中，单击“是”。

安全 透明双向认证：支持界面基于拓扑配置服务间的双向认证。 细粒度访问授权：支持界面基于拓扑配置服务间的访问授权（后台API可以配置Namespace级别授权，授权可以给一个特定的接口）。 可观察性 应用访问拓扑：支持网格应用访问拓扑，体现服务间依赖。 服务运行监控：支持服务访问信息，包括服务和服务各个版本的QPS和延时等指标。 访问日志：支持收集和检索服务的访问日志。 网格数据面服务框架 Spring Cloud：支持Spring Cloud SDK开发的服务在网格上统一管理。 Dubbo：支持Dubbo SDK开发的服务在网格上统一管理。

参数名 说明 HTTP 无论用户请求的协议是HTTP还是HTTPS，节点以HTTP协议回源。 HTTPS 无论用户请求的协议是HTTP还是HTTPS，节点HTTPS协议回源。 跟随 客户端以HTTP或HTTPS协议请求全站加速，节点跟随客户端的协议请求源站。注意回源协议采用HTTPS主要是为了保证信息在传输过程中不被改写或记录，如果您仅需要对敏感的那部分数据（例如：用户身份验证数据）采用更安全的HTTPS协议传输，其他非敏感数据（例如：图片）采用HTTP协议传输，建议您回源协议配置为跟随。

云监控的主机监控服务通过在主机上安装agent插件,为您提供主机的数据监控服务。 插件版本 云监控插件版本分为：ctcmagent与telegrafagent。最新版本为telegrafagent，因新版telegrafagent具有cpu、内存消耗低等优点，如果资源池具备条件，建议您安装最新版telegrafagent。 注意 本文主要介绍ctcmagent 插件相关信息，telegrafagent相关信息参见 当前telegrafagent仅支持部分地区，除telegrafagent支持地区外即默认为ctcmagent 支持地区。telegrafagent支持地区参见 操作场景 目前ctcmagent只支持Linux操作系统和Windows操作系统。其中Windows操作系统建议为windows7及以上，Linux操作系统支持参考“Agent插件获取”章节表格中内容。 Agent插件获取 系统类型 安装包地址 说明 windows < 标准版，需python2/3基础环境。 windows 无python依赖版本 Linux x86 centos6 < Linux x86 centos7 Linux x86 UOS < Linux x86 debian10 < Linux x86 kylin < Linux x86 ubuntu1820 Linux x86 Anolis Linux x86 openEuler < Linux arm64 centos78 < Linux arm64 UOS < Linux arm64 ctyunos2 < Linux arm64 kylin < Linux arm64 openEuler < Linux arm64 ubuntu24 <

退订服务器是否影响现有程序运行？ 问题描述 退订服务器是否影响现有程序运行？ 解决方法 容器部署，退订服务器后服务实例将会在CCE集群内重新调度。 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 问题描述 基于Java Chassis开发的微服务注册到开启了安全认证的微服务引擎专享版，微服务的注册发现地址使用微服务引擎服务注册发现的IPv4地址，可以注册成功并正常启动。 如果修改微服务的注册发现地址为微服务引擎注册发现的IPv6地址后，注册失败并报错“java.net.SocketException: Protocol family unavailable”。 可能原因 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。 如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。 解决方法 步骤 1 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群。 修改环境，请参考。 步骤 2 重新部署应用，请参考。 如何处理操作微服务引擎专享版时遇到非微服务引擎本身错误？ 问题描述 在对微服务引擎专享版执行创建、删除、变更规格、升级等操作时，可能会遇到非微服务引擎本身的错误。 例如，在创建微服务引擎专享版时，集群部署失败，报错如下： {"errorcode":"SVCSTG.00500400","errormessage":"{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","code":400,"errorCode":"CCE.01400013","errorMessage":"Insufficient volume quota.","errorcode":"CCECM.0307","errormsg":"Volume quota is not enough","message":"volume quota checking failed as [60/240] insufficient volume size quota","reason":"QuotaInsufficient"}"} 解决方法 页面上展示的错误信息中已经包含相应服务的错误码，根据错误码和错误信息联系相应服务的技术支持工程师提供支持。

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 国标下级平台接入 添加下级平台 在添加设备的接入配置页面，下拉设备分类选择【Platform】，填写设备名称，选择GB28181凭证等相关信息后，进入下一步。 在设备配置页面，和添加国标IPC一致，选择厂商、接入区域、设备地址和所属行业等相关信息后，点击【提交】完成下级平台添加。 获取接入信息 在设备列表选中创建的下级平台，点击【查看详情】获取接入信息并提供给下级平台。 配置计费模式 下级平台注册成功后，在设备列表选中下级平台，点击【同步】获取下级平台推送的设备列表，切换至【配置信息】页面为设备配置有效的计费模式，设备才能正常上线使用。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。

本节主要介绍IAM用户登录。 1. 根用户或有管理用户权限的IAM用户，通过“用户管理”>“用户”，进入具体用户页面，在用户详细信息页面，点击“安全”，复制“控制台登录链接”，即得到该IAM用户的登录链接。 2. 输入上一步骤中复制的控制台链接，进入子用户登录页面。根据提示，输入IAM用户名和登录密码，进行登录。 说明 IAM用户名为“@”前面的部分。 IAM子用户与根用户的页面基本一致，子用户的功能根据授权而定。如果需要更多权限，可以向根用户进行申请。

本文介绍存储桶复制的适用场景。 通过存储桶复制功能，可满足用户以下场景需求： 合规性要求：因合规性要求，数据需要在不同存储区域或存储桶保存一份副本。通过存储桶复制，可在媒体存储的存储区域之间复制数据，以满足业务要求。 数据迁移：因业务发展需要，将业务数据从一个存储桶复制到另一个存储桶，实现数据的迁移。 数据备份与容灾：因业务运行需要，希望所有写入媒体存储对象存储服务的数据能够在另一存储区域进行备份，以预防在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。

本节指导用户通过密钥管理界面关闭自动轮换密钥。 前提条件 密钥处于“启用”状态。 “密钥材料来源”为“密钥管理”。 已开启密钥轮换。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标对称密钥的别名，进入密钥详细信息页面。 步骤 5 单击“轮换策略”，进入密钥轮换管理界面。 步骤 6 单击，关闭密钥轮换。 步骤 7 关闭后，页面将显示密钥轮换管理界面。

本文介绍全站加速产品在首次订购或者非首次订购时,如何变更加速区域。 背景说明 1. 本文档介绍的加速区域变更，是指全站加速产品开通中的加速区域变更，非客户控制台域名管理中的加速区域变更，两者是独立的变更操作关系。 2. 客户控制台域名管理中的加速区域选择全球（不含中国内地）或全球，均需同时开通全站加速产品的中国内地和全球（不含中国内地）加速区域。 变更说明 加速区域变更的场景如下： 场景1 针对仅开通过全站加速（中国内地）的客户，如需新增全球（不含中国内地）加速区域，即变更为全球加速，当前支持通过登录客户控制台，单击【计费详情】【全站加速】，参照如下操作说明进行加速区域的变更： 1. 进入全站加速计费详情后，单击【操作】下的【变更加速区域】，进入变更加速区域界面。 2. 勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【变更加速区域】，即可完成加速区域变更。 场景2 针对已同时开通全站加速中国内地和全球（不含中国内地）加速区域的客户，如需减配全球（不含中国内地）加速区域，即变更为仅中国内地加速，当前支持通过登录客户控制台，单击【计费详情】【全站加速】，参照如下操作说明进行加速区域的变更： 1. 进入全站加速计费详情后，单击【操作】下的【变更加速区域】，进入变更加速区域界面。 2. 勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【减配加速区域】，即可完成加速区域的变更。

群发助手是为用户提供的批量发送短信的辅助工具，无需进行代码开发，即可使用天翼云云通信控制台的群发助手发送消息，支持发送所有类型的短信模板。 前提条件 完成天翼云账号注册和实名认证。 开通短信服务。具体操作，请参见短信服务。 添加签名和短信模板并通过审核。具体操作，请参见添加签名和添加模板。 操作流程 1. 登录短信服务控制台。 2. 选择群发助手页签，单击添加任务，根据页面提示，填写相关任务信息。 3. 单击提交群发任务。预计十分钟处理完成。 配置信息及说明参照下表： 名称 说明 短信签名 选择短信发送任务的短信签名。 短信模板 根据需要选择相应模板类型和指定模板。 备注：使用群发助手发送验证码会存在一定的时间延迟，不适用于注册，登录等场景。 定时发送 可以根据需要设置短信发送的日期和时间。推荐设置每日8:0021:00的发送任务，尽量避免夜间发送，减少用户投诉。 接收号码 接收号码支持导入号码文件和手动输入接收号码的两种方式，可以选择任意一种方式设置接收号码，支持所有短信模板发送。 导入接收号码文件：单击下载标准模板，根据模板示例填写接收号码和对应变量参数；填写完成后，导入接收号码文件。 手动输入接收号码：参照控制台提示，请添加目标手机号（格式：手机号，参数1，参数2） 注意 ： 单次群发任务最多支持上传2万条号码，请上传csv格式文件，大小在30MB以内。 请根据模板要求填入客户手机号码和变量参数内容，下载标准模板进行发送。 企业认证用户变量内容长度限制为40个字。 手动输入最多支持1000个手机号码。

本文主要介绍管理实例标签。 标签是Kafka实例的标识，为Kafka实例添加标签，可以方便用户识别和管理拥有的Kafka实例资源。 您可以在创建Kafka实例时添加标签，也可以在Kafka实例创建完成后，在“标签”页面添加标签，您最多可以给实例添加20个标签。另外，您还可以进行修改和删除标签。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 表 标签命名规则 参数名称 规则 标签键 不能为空。 对于同一个实例，Key值唯一。 长度不超过36个字符。 不能包含“”,“”,“ ”,“”,“,”,“ 标签值 不能为空。 长度不超过43个字符。 不能包含“”,“”,“ ”,“”,“,”,“ 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 在实例所在行，单击实例名称，进入实例详情页面。 步骤 5 单击“标签”页签，进入标签管理页面。 界面显示该实例的标签列表。 步骤 6 您可以根据实际需要，执行以下操作： 添加标签 单击“创建/删除标签”，弹出“创建/删除标签”对话框。 在“标签键”和“标签值”中，输入标签的键/值，单击“添加”。如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键/值，单击“添加”。 单击“确定”，成功为实例添加标签。 删除标签 通过以下任意一种方法，删除标签。 在待删除的标签所在行，单击“删除”，弹出“删除标签”对话框。单击“是”，完成标签的删除。 单击“创建/删除标签”，弹出“创建/删除标签”对话框。在待删除的标签后，单击，然后单击“确定”，完成标签的删除。

本文主要介绍分布式消息服务RabbitMQ的典型应用场景。 RabbitMQ作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用RabbitMQ消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图1 串行发送注册邮件与短信流程 图2 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用RabbitMQ消息队列传递请求。 图3 消息队列应对秒杀大流量场景

此章节指导您如何更改VPC。 为方便您的堡垒机和云上其他项目处于同一VPC下，您可以在堡垒机控制台更改VPC。 约束条件 堡垒机实例版本在V3.3.52.0及以上版本才支持更换VPC操作。 控制台中“运行状态”为“运行中”的实例才可以更改VPC。 在切换VPC前要确保待切换的VPC子网下的IP数≥3。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例界面。 4.在需要修改VPC的实例所在行，单击“操作”列中的“更多 > 网络设置 > 切换VPC”。 5.在弹出的对话框中勾选需要切换的“VPC”和“子网”。 说明 堡垒机实例切换VPC后，旧子网会依旧处于占用状态，需要您手动去子网下删除。

云搜索服务支持用户将已经在天翼云购买的弹性负载均衡配置到在用云搜索实例上，以实现访问流量均衡分摊。 前提条件 已购买同资源池的负载均衡，并确认有配额可用。 操作步骤 1. 在弹性负载均衡产品控制台购买负载均衡器，请购买与云搜索实例在同一地域的负载均衡器，虚拟私有云请选择和云搜索实例相同的VPC、子网以确保内网可连接。 2. 创建完成后，在负载均衡控制台设置监听器及后端主机组。 3. 登录云搜索控制台，点击需要绑定的实例名称进入详情页，在安全设置页面开启Elasticsearch实例负载均衡设置的开关，在弹出的界面中选择目标弹性负载均衡的和后端主机组。 4. 提交后等待绑定完成，即可通过负载均衡访问Elasitcsearch实例。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。详情请参见SSL VPN（Windows客户端双因子认证）、SSL VPN（Android客户端双因子认证）、SSL VPN（macOS客户端双因子认证）步骤五操作。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

本文为您介绍文件比较与同步的相关内容。 概要 应用场景： 支持对象存储到对象存储之间的数据比较与同步，并且生成比较报告供一致性检查。此场景支持两种数据捕获方式： 方式1：调用对象存储接口对源、备存储同步路径下的所有对象进行扫描、比对，获得增量对象（新增/差异），并将增量对象同步到目标端对应路径下；在海量对象场景下扫描/比对的对象太多，导致这种方式同步增量数据效率过低； 方式2：通过某些方式获取到增量对象信息（如：对象存储自行监控、通过应用数据库表获取等），并将增量对象的信息以某种类型文件存放；DTO通过读取文件内容来获取增量对象信息，并直接将源端对应的增量对象直接同步到目标端；此方式避免了扫描、比对海量对象的时间，提高海量对象场景的增量数据同步效率。 要求：要有应用/组件（一般是对象存储）负责实现监控增量对象并将增量对象以固定格式导出成文件的一系列动作。 前置条件 文件比较与同步的环境要求如下： 1. DTO主机需要安装dto安装包。详见安装DTO。 2. 在MDR控制台中添加对象存储。详见资源管理·对象存储。 3. 在MDR控制台中添加DTO主机并处于在线状态。详见资源管理·DTO主机。 4. MDR控制台需具备有dto的许可，并且该dto许可剩余允许传输量不为0。 新建文件比较与同步 1. 点击左侧菜单栏“资源同步管理”“对象存储数据灾备”“文件比较和同步”，进入文件比较和同步列表页，点击“新建”按钮，进入新建页面。 2. 通用配置页面各配置项如下： 名称：任意指定，便于管理即可。 同步主机：下拉框中会列出已注册至MDR控制台的DTO同步主机供选用； 规则类型：包含三类规则：仅比较/文件比较与同步 / 文件清单同步，下文会分别介绍各类规则的作用和使用场景； 同步策略类型：“手动同步”“定期同步”和“间隔同步”。 手动同步：需手动启动规则。此选项为默认选项。 定期同步：可指定每个月的某几天或者每个星期的某几天中的某几个时间点开始同步，规则会在设置的时间自动开始运行。 间隔同步：指的是从上一次规则完成到下一次规则启动之间的间隔，最小间隔时间单位为秒。 定期同步策略：用户自行添加定期同步策略。可以设定多个不重叠的定时同步策略，彼此独立。 间隔同步策略：用户自行添加时间间隔同步策略。选择此规则开始时间，并设置间隔时间（单位为秒）。 源存储：用户自行选择要源端的存储数据用来做对比。 目标存储：用户自行选择对象存储数据作为目标存储对比。 同步路径映射：用户自行配置需要同步的数据路径。同步路径支持手动输入路径。 排除路径：用户自行选择将同步数据路径中的某些子路径设置为排除路径，排除路径中的数据不进行传输。 文件后缀名过滤：以后缀名为过滤条件，格式为“文件扩展名”，若多个过滤条件则用逗号隔开，如：“.txt”，“.doc”，“.rtf”。 排除：不同步源路径中该过滤项中定义的文件类型。 包含：只同步源路径中该过滤项中定义的文件类型。 文件日期过滤：通过正则表达式对同步路径下文件的日期进行筛选，文件日期符合正则表达式要求的文件被过滤出来。 排除：不同步源路径中符合筛选条件的文件。 包含：只同步源路径中符合筛选条件的文件。 3. 比较设置页面各配置项如下： 比较类型：重镜像时的校验方式。 文件大小：通过源、目标文件的大小进行比较。 对象智能比对：提交规则时会判断备端存储是否支持自定义META，不支持则不允许规则提交。智能比对即：通过比文件当前的修改时间戳，和上一次同步时文件的修改时间戳（记录在自定义属性META中）来判断文件是否一致（如果修改时间戳一致则认为文件相同，如果修改时间戳不同，则继续对比文件的MD5）。 MD5校验：通过源、目标文件的MD5值进行比较（本地需计算md5，对象存储直接采用Etag，对象存储将收到文件的MD5值放在返回结果的ETag中）。 说明：对象存储返回分片上传文件的MD5有可能为空或是最后一个分片的MD5，因此对象存储的MD5并不完全可靠。“文件大小”比对最快；当文件较大时“对象智能比对”比“MD5校验”快（大文件本地计算md5很慢）；当文件较小时“MD5校验”比“对象智能比对”快（对象存储的文件修改时间需从META中获取，一个文件就是一次请求）。 忽略目标端存在文件：DTO不再扫描目标端存储，直接拿源端拆解过后的目录进行传输，传输之前check目标端文件是否存在，如果不存在，就同步，否则跳过该文件；这种类型，可以支持对象存储单一目录上千万的文件。 传输线程数量：可以指定线程个数。一个线程处理一个目录。此选项用于提高数据复制的速度，默认为“10”，数值越高，可用于数据复制的线程越多，但会消耗更多的CPU和内存资源，请根据用户环境适当选择。 对象存储扫描线程数量：可根据需要指定110个线程数。 备端扫描：默认开启，开启后支持孤儿文件处理。 孤儿文件处理方式： 不处理：不删除孤儿文件，存在在目标端。 确认后删除：将孤儿文件计入孤儿文件列表，可通过规则管理界面的“更多·孤儿文件”按钮来查看，以及选择是否要将目标端的孤儿文件删除。 直接删除：将孤儿文件自动从目标端删除。 说明：定期同步或间隔同步策略时不允许配置“确认后删除”；选择“忽略目标端存在的文件”比较类型时，或者开启归档时不允许配置“直接删除”和“确认后删除”。 对象文件路径名： 和源端保持不变：区分大小写，和源端大小写保持一致。 全部为大写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为大写存储在目标路径下。 全部为小写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为小写存储在目标路径下。 备端文件压缩：指的是在本地将文件进行压缩，压缩完后传输到对象存储。仅限于本地到对象存储的规则才支持压缩，压缩传输后，目标端文件名会被修改为：原文件名.i2.zip。 备端文件加密：将同步到目标端数据加密存储。 标准加密：通过设置的加密密钥对源端文件加密后存放到目标端。 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 COS服务端加密：通过对接COS对象存储API接口，上传到该对象存储桶的文件都自动加密，需额外选择加密密钥类型： 加密密钥类型：支持两种加密密钥类型： SSECOS：使用SSECOS加密密钥类型进行加密，无需额外配置； SSEC：使用SSEC加密密钥类型进行加密，需要额外填写加密密钥； 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 保留结果数量：设置“文件比较与同步→报告”中保留的记录条数。 记录流水：默认关闭，开启后会将规则同步的所有文件相关信息（大小、MD5/etag、传输耗时、修改/更新时间）记录在同步主机/usr/drbksoft/dto/data/db/ .db文件中（默认路径），可供审计查看。 4. 带宽设置页面各配置项如下： 全选：开启后，将会选择一周内的所有时间。此选项默认关闭。 时间范围：用户自行勾选具体的生效日。 选择带宽：根据用户需求选择需要执行限速的时间段，可以设定多个不重叠的限速规则，彼此独立，如果带宽设定为0，表示禁止传输。 5. 归档设置页面各配置项如下： 启用归档：不勾选的话不启用归档功能。 文件名转换：归档文件的名称转换，支持两种转换方式： 保持不变：归档文件名与原文件名保持一致。 增加时间后缀：在归档文件名后自动添加归档时间后缀。 归档条件： 时间归档：按照填入文件时间类型的时间点与执行本地到对象存储时的时间点的差值（单位天）。这里的时间选项有两个：文件创建时间、文件修改时间，这两种类型可以只选择某一个，也可以多选，并可以选择几种类型间的关系是与还是或。 命名特征：使用正则表达式进行针对文件名的过滤。 文件类型：通过填入文件类型的后缀名进行对文件类型的过滤（如.txt等），可以匹配多个文件类型，文件后缀名与后缀名之间用“逗号隔开”（如.txt,.exe,.zip）。 归档策略： 同步所有文件，并删除本地符合条件的文件：将源目录下的所有文件全部同步到目标存储的目标目录中，并删除本地符合归档条件的文件。 只同步并删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并删除本地符合归档条件的文件。 只同步但不删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并且不删除源端本地符合归档条件的文件。

本章节主要介绍节点排水。 操作场景 您可以通过控制台使用节点排水功能，系统会将节点设置为不可调度，然后安全地将节点上所有符合节点排水规则的Pod驱逐，后续新建的Pod都不会再调度到该节点。 在节点故障等场景下，该功能可帮助您快速隔离故障节点，被驱逐的Pod将会由工作负载controller转移到其他正常可调度的节点上。 约束与限制 仅以下指定版本的集群支持节点排水功能： v1.21集群：v1.21.10r0及以上版本 v1.23集群：v1.23.8r0及以上版本 v1.25集群：v1.25.3r0及以上版本 v1.25以上版本集群 IAM用户在使用节点排水功能时，至少需要具有以下一项权限，详情请参见命名空间权限（Kubernetes RBAC授权）。 clusteradmin（管理员权限）：对全部命名空间下所有资源的读写权限。 drainageeditor：节点排水操作权限，可执行节点排水。 drainageviewer：节点排水只读权限，仅可查看节点排水状态，无法执行节点排水。 节点排水规格 节点排水功能会安全驱逐节点上的Pod，但对于满足以下过滤规则的Pod，系统会进行例外处理： 表 节点排水规则 Pod筛选条件 使用强制排水 不使用强制排水 Pod的status.phase字段为Succeeded或Failed 删除 删除 Pod不受工作负载controller管理 删除 放弃排水 Pod由DaemonSet管理 忽略 放弃排水 Pod中挂载了emptyDir类型的volume 驱逐 放弃排水 由kubelet直接管理的静态Pod 忽略 忽略 说明 节点排水过程中可能会对Pod执行的操作如下： 删除：Pod会从当前节点上删除，不会再重新调度至其他节点。 驱逐：Pod会从当前节点上删除，且会重新调度至其他节点。 忽略：Pod不会被驱逐或删除。 放弃排水：若节点上存在放弃排水的Pod，节点排水过程会中止，不会驱逐或删除任何Pod。