本文介绍BosonFaas边缘函数相关使用限制。 规格说明 功能 规格限制 说明 ::: 函数个数 20个 单个用户账号允许发布的函数个数 开发语言 JavaScript（ES6） 运行时支持的开发语言，后续会陆续扩展更多语言 CPU运行时间 支持10ms、50ms、100ms三种规格 指单次请求运行用户函数的CPU耗时，该耗时不包括等待IO的时间 内存 128MB 单次请求运行用户函数的内存占用 响应时间 30s 单次请求运行用户函数的响应时间 子请求 6个 单次请求运行用户函数允许发出fetch子请求的数量 重定向次数 暂不支持重定向 请求URL 64KB 用户函数接收终端用户请求的URL长度，超过则返回494状态码 请求标头 64KB 用户函数接收终端用户单个请求标头大小不大于64KB，超过则返回494状态码；请求标头总大小不大于256KB，超过则返回414状态码 代码限制 以下函数出于安全原因，不允许使用： eval() new Function

问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

本章节介绍开源组件Fastjson远程代码执行漏洞的最佳实践。 漏洞介绍 开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.51以下的版本，不包括Fastjson 1.2.51版本。 安全版本 Fastjson 1.2.51版本及以上的版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。 防护建议 Web应用防火墙内置的防护规则支持对该漏洞的防护，参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入域名。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文介绍如何使用pgAdmin创建数据库。 前提 已经通过pgAdmin连接RDSPostgreSQL实例并添加至Servers。 打开创建database页面 1. 在左侧Browser栏中选取所需的RDSPostgreSQL Server，双击连接以打开菜单选项。 2. 单击Database一栏，右键选择Create > Database... ，弹出创建框。流程如下图： 填入database相关信息 创建框中，各栏信息如下： General：基本信息，包括database名与拥有者，默认拥有者为启动数据库连接的用户，必填项。 Definition：数据库基本配置，包括字符编码、模板、表空间、排序规则、字符类型、连接限制，编码方式默认为utf8，其余栏默认为空，非必填项。 Security：权限配置，包括权限授予与安全标签，非必填项。 Parameters：角色参数，非必填项。 Advanced：高级选项，非必填项。 SQL：创建SQL，用户通过前面几项填写后自动生成的创建database的SQL，无法填写与修改。 填写完成后点击保存即可创建数据库。

如何获知实例已经为非正常流量状态？ 实例进入沙箱后，系统会通过邮件、短信或站内信等方式提示您。同时，您会在控制台页面顶部收到超用信息。 在安全总览页面，您可以通过QPS图表查看具体的QPS流量情况。 如何解除沙箱隔离状态？ 注意 实例进入隔离状态后，即使实际QPS用量已回落至当前规格以内，也不会自动解除。 您需要扩展该实例QPS规格值，当扩展后实例QPS规格值大于最大业务峰值后，将自动结束隔离，恢复正常防护和产品服务SLA。 您可以通过购买业务扩展包或者升级WAF版本实现该实例QPS规格值的扩展。QPS扩展后，实例的状态将变成正常流量状态，QPS超用次数统计清零。

本页介绍天翼云TeleDB数据库如何创建、编辑、查看和删除角色。 角色是指被赋予相应权限的用户，不同的角色被赋予不同的操作权限。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理 页面 3. 创建角色 1. 在角色管理 页面，单击创建角色 ，出现创建角色 对话框。 2. 在创建角色 对话框，输入角色名称 ，权限类型选择TeleDB for Xscale ，勾选对应的权限，单击确定 ，完成权限的添加。 4. 编辑角色 1. 单击目标角色所在的编辑 按钮，修改对应的权限。 5. 删除角色 1. 单击目标角色所在行的删除 按钮，即可删除对应的权限。 6. 查看角色详情 7. 单击目标角色所对应的详情 ，即可查看该角色所对应的具体权限。 8. 查看角色列表 1. 您可根据权限名称和角色进行搜索。 2. 权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。

本节介绍如何订阅资产。 操作场景 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 6. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 7. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上进行更新。

本页介绍天翼云TeleDB数据库如何创建、编辑、删除和查看角色。 操作场景 角色是指被赋予相应权限的用户，不同的角色被赋予不同的操作权限。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理 页面 3. 创建角色 1. 在角色管理 页面，单击创建角色 ，出现创建角色 对话框。 2. 在创建角色 对话框，输入角色名称 ，权限类型选择TeleDB for Xscale ，勾选对应的权限，单击确定 ，完成权限的添加。 4. 编辑角色 1. 单击目标角色所在的编辑 按钮，修改对应的权限。 5. 删除角色 1. 单击目标角色所在行的删除 按钮，即可删除对应的权限。 6. 查看角色详情 7. 单击目标角色所对应的详情 ，即可查看该角色所对应的具体权限。 8. 查看角色列表 您可根据权限名称和角色进行搜索。 权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。

本文将为您介绍天翼云短信服务的产品优势，方便您快速了解短信服务。 快速稳定 云化的分布式处理技术，智能化调度，三网合一，通道高并发且延迟低，保证最快的发送速度，到达率可达99%。 价格优势 顶级运营商，接入三大运营商金牌代理商，具备全网覆盖且多点接入的资源储备；价格优势明显。 三网覆盖 接入电信、移动、联通三大运营商，具备国内100%全网覆盖且多点接入的资源储备。 安全可控 每日发送量阈值可设置，以防止资源意外大量损耗；单客户每日发送量阈值可设置，以减少打扰；黑名单用户可设置，以降低用户投诉风险。 快速集成 支持各类编程语言对接产品API，如Java、 PHP、Python、Node.js及C等。支持HTTPS标准协议，无需客户单独适配SMGP、CMPP、SGIP等专用协议，最快10分钟接入。 无忧售后 724小时在线客服，随时咨询、回访系统使用情况，具有全套解答、排查、转发用户提交问题，收集、管理、分析能力。

本文介绍Web应用防火墙（边缘云版）是否可以和CDN一起接入。 Web应用防火墙（边缘云版）可以和CDN一起接入。 Web应用防火墙（边缘云版）和CDN一起接入，是指CDN融合了Web应用防火墙（边缘云版）能力，在CDN节点上提供Web应用防火墙（边缘云版）防护功能。Web应用防火墙（边缘云版）防护具体功能，请参见Web应用防火墙（边缘云版）功能介绍。 前提条件 已开通天翼云CDN加速计费，且已经将域名添加到CDN加速控制台。 已完成Web应用防火墙（边缘云版）产品开通。 CDN控制台域名的加速范围选择为中国内地。 操作步骤 1. 登录Web应用防火墙（边缘云版） 控制台。 2. 选择域名管理—域名列表，点击【添加域名】。 3. 填写网站域名后，点击【确认】进行产品关联，同步网站通用配置，并单击【下一步】。 4. 根据页面配置指引，完成安全防护配置。

本页面介绍如何修改数据库参数配置，以及如何查看数据库参数修改历史 1、修改数据库参数配置 注意事项 修改参数配置文件属于高危操作，可能影响数据库实例的安全和稳定，且永久生效需要重启实例，请合理安排时间进行变更，并提前做好相关备份，谨慎操作。 操作步骤 1. 进入实例详情页面。 2. 单击参数配置，进入修改配置页面。 3. 选择config.xml 、metrika.xml 、users.xml配置文件，修改配置。 如果您需要修改后立即生效，单击应用到集群即可，提交修改时需要补充参数变更原因。 如果您需要修改后，重启后生效，单击重启服务即可。 如果修改过程中发现，您需要恢复到修改前的内容状态，单击重置修改即可。 2、查看历史修改记录 操作步骤 1. 进入实例详情页面。 2. 单击参数配置，进入修改配置页面。 3. 单击修改历史页签，进入修改参数历史页面。 4. 查看指定时间范围内的修改历史，包括配置文件、修改时间、修改用户、变更说明、操作内容等。

操作场景 节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听的端口，取值范围为165535。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 2 完成配置后，单击“确定”。 步骤 3 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。 步骤 4 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 说明： 如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 步骤 4 设置节点访问参数： Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作 负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 5 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 单击“远程登录”，弹出登录页面，输入用户密码登录。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。 说明： 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 curl 192.168.0.160:30358 其中“192.168.0.160:30358”为步骤4中获取到的访问地址，即节点虚拟IP+访问端口。 回显如下表示访问成功。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。 步骤 3 更新节点访问参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 4 单击“更新”。工作负载已更新Service。

本章节介绍SMB协议挂载。 挂载说明 本章节挂载操作适用于天津资源池2区、天津资源池3区。 Linux系统挂载 Linux使用SMB文件资源需要使用CIFS客户端连接。以下是在 centos 7 上安装CIFS客户端并且挂载的过程。操作步骤如下： 1. 安装CIFS客户端：yum install cifsutils。 2. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 3. 执行以下命令进行资源连接，具体的挂载命令可在对应的文件系统点击【管理】，从“挂载点命令“字段获取，username与password需要根据具体的SMB用户填写。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 Windows系统挂载 通过直连模式使用的CIFS文件资源需要使用Windows系统内置的客户端。以下是在 win10 上连接 CIFS文件资源的示例。操作步骤如下： 1. 出于安全性考虑，直连文件系统使用了非默认的CIFS服务端口，因此需要在您的电脑上进行一些设置方可进行正常的连接与使用。 2. 关闭445端口，services.msc中找到Server的服务，属性禁用，然后停止服务（必要时可重启电脑）。 3. 设置端口转发，打开cmd窗口执行下列命令(其中connectaddress为您服务提供地址)：netsh interface portproxy add v4tov4 listenport445 connectaddressxxx.xxx.xxx.xxx connectport"port"。 其中connectaddress是对应文件空间的网关地址，可在对应的文件空间详情中获取，具体可参考：文件空间管理。connectport可查看挂载点信息获取（下图红框内容）。 4. 右键点击"此电脑"，选择"映射网络驱动器"，在文件夹一项中填写：127.0.0.1媒体存储控制台用户文件系统名称，勾选"登录时重新连接"和"使用其他凭证连接"，点击"完成"。 挂载点名称可查看挂载点名称获取（下图红线处内容）。 5. 输入网络凭证窗口，输入创建文件系统时设定的账号和密码，点击"确定"。 6. 连接成功后能够在此电脑网络位置中查看到文件系统。 7. 在连接成功的文件系统中可以进行正常的文件操作。 8. 如需卸载，可在磁盘上点击右键，选择"断开连接"。

本节为您介绍如何卸载集群Agent。 如果不再需要HSS为您的集群容器提供安全防护，您可以为集群卸载Agent。Agent卸载后，HSS将停止对容器的检测和防护，且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“容器服务 > 云容器引擎”，进入云容器引擎界面。 3、单击目标集群名称，进入集群详情页。 4、在左侧导航栏，选择“工作负载”，进入“工作负载”界面。 5、选择“守护进程集”页签，删除名称为“installagentds”的工作负载。在工作负载所在行的操作列，选择“更多 > 删除”，删除该工作负载。 6、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 7、 选择“Agent管理”页签，卸载目标CCE集群所有容器节点服务器的Agent。 自建集群卸载Agent 1、登录k8s集群环境。 2、执行以下命令删除名称为“installagentds”的工作负载。 kubectl delete ds installagentds n default 3、登录管理控制台。 4、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理”页签，卸载目标自建集群所有容器节点服务器的Agent。

本节介绍了云审计的相关内容。 支持审计的关键操作列表 操作场景 云审计服务（CTCloud Trace Service，CTS），是公有云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与镜像服务相关的操作事件，便于日后的查询、审计和回溯。 前提条件 使用云审计服务前需要先开通云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。开通后CTS会自动创建一个追踪器，并将当前租户的所有操作记录在该追踪器中。CTS最多显示近7天的事件，为了长期保存操作记录，可以将事件文件保存至对象存储服务中。 支持审计的关键操作列表 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 ::: 创建镜像 ims createImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 复制镜像 ims copyImage 导出镜像 ims exportImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMemeber 由IMS触发的操作与OpenStack原生接口的关系 操作名称 事件名称 服务类型 资源类型 归属 ::::: 创建镜像 createImage IMS image glance 修改镜像信息/上传镜像 updateImage IMS image glance 删除镜像 deleteImage IMS image glance 添加标签 addTag IMS image glance 删除标签 deleteTag IMS image glance 添加镜像成员 addMember IMS image glance 修改镜像成员信息 updateMember IMS image glance 删除镜像成员 deleteMember IMS image glance

应用场景 数据快递是一种海量数据传输解决方案，支持 TB 到 PB 级数据上云，通过硬盘（外置 USB 接口），向并行文件传输大量数据，解决海量数据传输网络成本高、传输时间长等难题。 智算场景：AI 场景的素材数据、原型数据等需要寄送到数据中心，投喂给智算平台，提升数据质量和模型效果。 原始数据迁移：把基因、石油、气象、IOT 等原始数据迁移到并行文件服务。 离线备份数据：将客户完整备份或增量备份发送到并行文件服务，实现可靠的冗余离站存储。 注意 专属资源的客户，拥有独立的机房设备，可采用了邮寄硬盘到存储机房的方式。 准备工作 客户需要自助完成迁移数据存储到硬盘等存储介质上，建议客户将小文件压缩成大文件后再进行数据迁移。 存储介质邮寄到机房后，联系运维人员将硬盘插在可连接HPFS客户端的物理机上作为迁移机器。需要提前和运维人员确认硬盘数量和迁移服务器网络是否和HPFS互通。 操作步骤 1. 客户将硬盘快递到云公司机房的专属资源池集群。 2. 机房配置单独的数据迁移服务器用于读取客户硬盘数据。数据拷贝服务器通过网闸与天翼云资源池隔离。 3. 客户硬盘插入到拷贝服务器后，先进行安全扫描，确保客户数据无安全隐患。此前步骤，网闸处于关闭状态 4. 打开网闸，将客户硬盘数据拷贝到云内服务器上。 5. 与客户联系确认数据准确。 6. 关闭网闸。 7. 在数据拷贝服务器上，按客户要求将硬盘数据销毁和硬盘快递寄回。

本文介绍容器集群网络规划最佳实践。 在创建云容器引擎集群时，您需要指定虚拟私有云VPC、子网、Pod CIDR和Service CIDR。因此建议您提前规划Worker节点地址、Pod地址和Service地址。本文将介绍云容器引擎下的网络规划的规则与策略。 各网段说明 虚拟私有云VPC：提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。可创建子网、设置安全组。VPC和子网需要提前在VPC的创建界面创建好，之后创建云容器引擎集群时，为集群指定VPC和子网。Worker节点的内网IP，最终为子网下的一个IP地址。 Pod CIDR：Pod是Kubernetes层的容器资源，每个Pod都具有一个容器网络IP地址。创建云容器引擎集群时可以指定Pod CIDR。 Service CIDR：Service是Kubernetes的网络资源，每个Service具有一个IP地址。创建云容器引擎集群时可以指定Service CIDR。 约束与限制 当前云容器引擎采用Calico和Flannel两种网络插件，所涉及的三个网段：虚拟私有云VPC的网段、Pod CIDR所在网段，以及Service CIDR所在网段，不可重复。 网络规划 场景 1 ： 单 VPC+ 单集群 这是最简单的场景，VPC和子网网段在创建时已明确，需要确认Pod CIDR、Service CIDR互不重叠，且和VPC不冲突即可。 场景 2 ： 单 VPC+ 多集群 VPC和子网网段在创建时已确定，不同集群可根据用户自己的网络规划，放置在同一个子网或者多个子网里。 多个集群之间Pod CIDR不可以重叠，但是Service CIDR可以重叠。

本文为您介绍如何通过非对称密钥实现数据的加解密。 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。 操作流程 1. 信息接收者通过KMS控制台或者调用KMS的CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息接收者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息发送者。 3. 信息发送者使用公钥在本地通过OpenSSL等方式对数据进行加密。特殊需求场景下，也可通过调用KMS的asymmetricEncrypt接口，使用CMK进行加密。 4. 信息发送者将密文数据传递给信息接收者。 5. 信息接收者拿到密文数据之后，可调用KMS的asymmetricDecrypt接口，使用私钥进行数据解密。 相关API 您可以调用以下KMS API，完成对敏感数据传输中的加解密处理。 API名称 说明 createKey 创建用户主密钥（CMK）。 getPublicKey 获取非对称密钥的公钥，可用于离线验证数字签名，或者加密数据。 asymmetricEncrypt 非对称密钥的公钥运算：加密数据。 asymmetricDecrypt 非对称密钥的私钥运算：解密公钥加密的数据。

本章主要介绍备份与恢复说明 介绍如何通过管理控制台对DCS缓存实例进行数据备份，以及备份数据恢复。 备份缓存数据的必要性 业务系统日常运行中可能出现一些小概率的异常事件，比如异常导致缓存实例出现大量脏数据，或者在实例出现故障后持久化文件不能重新加载。部分可靠性要求非常高的业务系统，除了要求缓存实例高可用，还要求缓存数据安全、可恢复，甚至永久保存。 DCS支持将当前时间点的实例缓存数据备份并存储到对象存储服务（OBS）中，以便在缓存实例发生异常后能够使用备份数据进行恢复，保障业务正常运行。 备份方式 DCS缓存实例支持自动和手动两种备份方式。 自动备份 您可以通过管理控制台设置一个定时自动备份策略，在指定时间点将实例的缓存数据自动备份存储。 定时备份频率以天为单位，您根据需要，选择每周备份一次或多次。备份数据保留最多7天，过期后系统自动删除。 定时备份主要目的在于让实例始终拥有一个完整的数据副本，在必要时可以及时恢复实例数据，保证业务稳定，实例数据安全多一重保障。 手动备份 除了定时备份，DCS还支持由用户手动发起备份请求，将实例当前缓存数据进行备份，并存储到对象存储服务（OBS）中。 您在执行业务系统维护、升级等高危操作前，可以先行备份实例缓存数据。 缓存实例在使用过程中，备份数据不会自动清除，您可根据需要手动删除备份数据。当删除实例时，备份数据会随实例删除，如果需要保存备份数据，请提前将备份数据下载保存。

高安全性 利用SASL机制对用户身份进行认证，并利用SSL对通道进行加密传输，确保数据在传输过程中不被窃取或篡改，保证您的数据安全。还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 Kafka是一个分布式流处理平台，为了保证数据的高安全性，它提供了以下几个方面的功能和特性： 认证与授权：Kafka支持基于SSL认证，可以验证客户端和服务器之间的身份。同时也支持基于ACL（访问控制列表）的细粒度授权，可以控制哪些用户可以读写指定的topic。 SSL加密传输：Kafka可以通过SSL对消息进行加密传输，确保数据在网络传输过程中的机密性和完整性。 完全控制数据的访问：对于每个topic，可以定义不同的ACL，限制不同用户或者用户组的读写权限。这样可以确保只有授权的用户能够访问指定的数据。 可靠性 Kafka通过持久化存储、复制机制、可配置的数据保留策略、故障检测和自动恢复、缓存机制以及节点间数据同步等功能，提供了高度可靠的消息传递和存储机制。 持久化存储：Kafka使用日志数据结构来存储消息，并将消息写入磁盘上的文件中。这种持久化存储方式确保了消息在发生故障或崩溃时不会丢失。一份消息多份落盘存储，允许海量消息堆积。 复制机制：Kafka通过复制机制提供高可用性和容错能力。它使用主题分区的副本来在多个服务器上复制消息。当其中一个服务器出现故障时，副本可以继续为消费者提供服务。 可配置的数据保留策略：Kafka允许根据特定的需求配置数据保留策略。您可以设置消息在特定时间段或特定大小后删除，或者保留所有消息。这使得您可以根据存储资源和业务需求来管理数据。 故障检测和自动恢复：Kafka具有内置的故障检测和自动恢复机制。当发生故障时，Kafka可以自动检测到并尝试重新连接断开的节点，确保整个集群的正常运行。 缓存机制：Kafka使用缓存来提高读写性能。消息首先被写入内存中的缓存，然后批量写入磁盘。这种缓存机制可以提高吞吐量，并减少对磁盘的频繁访问。 节点间数据同步：Kafka使用分布式的数据同步协议来保证消息在副本之间的一致性。这确保了在故障和服务恢复期间的数据完整性。

后续操作 修改用户数据：选择需要修改的用户数据，单击“操作”列中“编辑”，按照需求进行用户数据的修改，单击“提交”完成用户数据更新。 修改用户密码：管理员可以修改对应账户的密码，选择需要修改的用户密码，单击“操作”列的“更多 > 改密”，在弹出的对话框中根据密码规则修改密码。 说明 您可以根据自身需求自定义密码规则，具体修改密码规则请参考安全设置章节。 批量导入用户 云堡垒机（原生版）支持批量导入用户信息。 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.单击“导入”按钮，弹出“账号导入”对话框。 4.单击“下载导入文件模板”，在线下文件模板中填写内容。 参数 参数说明 登录名 （必填）填写该账户的使用者的姓名（非登录账号）。 姓名 （必填）填写该账户的用户名称（登录账号）。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 手机号 （必填）填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 密码 （必填）输入该账户的密码，密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 角色 （必填）选择该账户所属的角色，可填写“管理角色”、“审计角色”和“访问角色”，需要选择多个角色请使用英文“,”分隔。 用户组 填写该账户所属的用户组，用户组操作请参见：用户组章节。若填写多个用户组请使用英文“,”分隔。 认证方式 （必填）选择认证方式，可选“静态认证”，“令牌认证”和“短信认证”，多个认证方式请使用英文“,”分隔。 授权生效日期 填写该用户生效的日期，日期格式支持：YYYYMMDD或YYYY/MM/DD。 授权失效日期 填写该用户失效的日期，日期格式支持：YYYYMMDD或YYYY/MM/DD。 授权生效日期 填写生效日期的具体时间点，填写范围：023，例如需要早上10点生效，就填写：10。 授权失效日期 填写失效日期的具体时间点，填写范围：023，例如需要晚上10点失效，就填写：22。 准入IP 选择可登录的IP地址。 说明 若不填写生失效日期，则新建的账号默认永久生效。 4.填写完成后，上传模板文件后选择重复用户导入策略。 注意 导入后，用户登录名不可修改。 5.完成后单击“提交”即可完成用户导入。

接口功能介绍 按天统计最近7日、14天、30天内入侵检测、漏洞风险、安全基线、网页防篡改、病毒查杀风险个数。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/index/trend 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 type 是 Integer 时间类型 1:7天;2:14天;3:30天 1 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 vulnerabilityCount Array of Objects 漏洞扫描未处理按天统计 vulnerabilityCount sshCount Array of Objects 入侵检测事件未处理按天统计 sshCount wpCount Array of Objects 弱密码按天统计 wpCount scaCount Array of Objects 基线按天统计 scaCount virusCount Array of Objects 病毒文件按天统计 virusCount 表 virusCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 scaCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 wpCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 sshCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 vulnerabilityCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1

本文向您介绍弹性IP服务的产品功能。 弹性IP服务提供丰富的功能供您灵活配置服务，构建多元化组网。 EIP的基本功能：弹性公网IP、独享带宽 EIP的带宽节约功能：共享带宽 本节介绍EIP服务支持的主要功能。关于各功能支持的区域（Region）信息，您可通过控制台查询详情。 弹性公网IP 弹性公网IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务，可以与云资源灵活绑定及解绑。 提供的弹性公网IP相关功能包括：为云资源申请和绑定弹性公网IP、解绑和释放云资源的弹性公网IP、修改弹性公网IP带宽等。 图通过EIP访问公网 共享带宽 共享带宽可以实现多个弹性IP共同使用一条带宽。提供区域级别的带宽共享及复用能力，同一区域下的所有已绑定弹性IP的弹性云主机、物理机、弹性负载均衡等实例共用一条带宽资源。 提供的共享带宽相关功能包括：申请共享带宽、修改共享带宽、删除共享带宽、添加弹性IP到共享带宽、从共享带宽中移出弹性IP等。

本页介绍关系数据库MySQL版的各项产品特性。 关系数据库MySQL版具有丰富的产品特性，能够适用各种需求。 关系数据库MySQL版是托管型数据库，为用户提供的主要产品特性包括： 支持MySQL（5.7、8.0）。 支持通过内网IP地址及端口访问数据库实例，处在同一VPC内的云主机和数据库实例可相互访问。 支持为实例绑定公网IP，通过公网IP访问数据库实例。 支持单机实例、一主一备实例、一主两备实例和只读实例（最多5个只读实例），主备实例和只读实例满足反亲和部署。 支持对实例进行CPU/内存、存储空间、备份空间的扩容。 支持根据业务需求指定数据自动备份策略（针对备份空间选择云硬盘的实例最多支持保留7天，选择对象存储的实例最多支持保留180天），也可进行手动备份及备份恢复。 支持对数据库参数的调整。 支持查看实例运行的系统资源监控指标，如CPU、内存使用率等，还可查看MySQL数据库指标，如QPS/TPS。 支持longtext和longblob类型最大可以到4GB。 支持数据库审计日志、切换日志、错误日志及SQL慢日志查询。

针对多活容灾服务续费情况，为您进行说明，请在续费前务必阅读以下内容。 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30日到期，10月11日续订1个月，那么资源新的服务开始时间为10月11日，到期时间为11月10日。相关费用自10月11日开始计算。 容灾管理中心支持自动续订，按月购买自动续订周期为1个月，按年购买自动续订周期为1年。 主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备支持自动续订，按年购买自动续订周期为1年。

本文为您介绍查看命名空间详细空间的具体操作。 操作场景 在您创建了命名空间后，可以通过多活容灾服务控制台查看您创建的命名空间的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “命名空间”，进入命名空间页面。 5. 点击命名空间列表中的命名空间名称，进入命名空间详情页。 6. 在基础信息模块，可以查看命名空间名称、地域、容灾形态、创建时间、描述信息。 7. 在容灾架构模块，可以查看不同分区下的地域、可用区信息。 8. 在容灾管理中心模块，可以查看命名空间已绑定的容灾管理中心信息，包括容灾管理中心名称、ID、状态。 9. 在接入资源模块，可以查看命名空间已接入的资源数量，包括已经接入的云主机数量、数据库实例个数、存储实例个数。

本章节主要介绍翼MapReduce的批量刷新hosts文件操作。 操作场景 在FusionInsight Manager界面上下载的客户端包中包含客户端批量升级工具，该工具在提供批量升级客户端功能的同时，也提供了轻量级的批量刷新客户端所在节点“/etc/hosts”文件的功能。 前提条件 更新前准备请参考批量升级客户端章节“客户端升级前准备”步骤。 批量更新hosts文件 1. 检查需要更新“/etc/hosts”文件的节点的配置用户是否为“root”。 是，执行步骤2。 否，更改配置用户为“root”，再执行步骤2。 2. 执行 sh clientbatchupgrade.sh r f /tmp/FusionInsightClient/FusionInsightCluster1ServicesClient.tar g /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig/batchupgrade/clientinfo.cfg ，批量刷新客户端所在节点的“/etc/hosts”文件。 说明 执行批量刷新“/etc/hosts”文件时，输入的客户端包可以是完整客户端，也可以是仅包含配置文件的客户端软件包，推荐使用仅包含配置文件的客户端软件包。 需要更新“/etc/hosts”文件的主机所配置的用户必须为root用户，否则会刷新失败。

本文介绍如何购买云防火墙。 前提条件 已注册天翼云账号并完成实名认证。 操作步骤 1. 在天翼云官网首页选择“产品 > 安全及管理 > 网络安全 > 云防火墙”，进入云防火墙产品详情页，单击“立即开通”，进入云防火墙产品购买页面。 或登录天翼云控制中心，在产品服务列表页选择“网络安全 > 云防火墙”，进入云防火墙概览页面，单击“购买云防火墙”，进入云防火墙产品购买页面。 2. 配置购买相关参数。 参数名称 参数说明 扩展防护公网IP数 选择需扩展的防护公网IP数，可选择范围：0~2000个。 说明 此处为套餐外购买数量，例如标准版防护公网IP数默认20个（套餐内费用包含），如果您的公网IP是65个，那么只需要填写45个。 扩展防护流量峰值 选择需扩展的防护流量峰值，可选择范围：0~2000Mbps/月（需为5的整数倍）。 说明 此处为套餐外购买流量值，例如标准版防护互联网边界流量峰值默认10Mbps/月（套餐内费用包含），如果您的防护流量是200Mbps/月，那么只需要填写190Mbps/月。 扩展防护流量峰值是所有EIP防护带宽叠加的峰值。 防火墙名称 设置当前防火墙的名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）、空格和特殊字符（）。 长度支持148个字符。 购买时长 自主选择购买时长。 选择时长后，可勾选“自动续费”，若您勾选“自动续费”，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费，无需手动续费。 3. 点击“立即购买”，进入付款订单确认页面。 4. 确认订单详情。您需要确认区域、防护公网IP数、公网流量处理能力、购买时长和总价等信息，确认后单击“确认订购”后即可完成订购。若未确认则单击“上一步”返回订购页面重新选择。 订购成功后即可在“配额管理”页面查看已购买的云防火墙配额。

接口描述：调用本接口查询指定时间内被攻击的域名以及攻击次数 请求方式：post 请求路径：/ddos/attackinfo/queryattackdomain 使用说明： 修改前，您需要先开通安全加速产品并且开通抗D功能； 查询的攻击类型为CC攻击 单个用户一分钟限制调用10000次，并发不超过100； 支持最近30天的时间 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 startTime string 是 开始时间 支持最近30天的时间数据 endTime string 是 结束时间 支持最近30天的时间数据 pageSize string 否 查询每页的数量 不传默认30条；pageSize以及pageNum的乘积不得超过2000 pageNum string 否 查询的页数 不传默认第一页；pageSize以及pageNum的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data attackInfoData 否 查询结果以及域名对应状态 attackInfoData参数 参数 类型 是否必返回 名称及描述 total int 是 攻击对应的类型的总数 attackDataList List 否 攻击信息列表 attackDataList参数 参数 类型 是否必返回 名称及描述 attackKey string 否 攻击对应的具体值 attackNum number 否 攻击次数

关闭HDFS鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”。 3.单击“全部配置”。 4.搜索参数“dfs.namenode.acls.enabled”和“dfs.permissions.enabled”。 “dfs.namenode.acls.enabled”表示是否启用HDFS ACL，默认为“true”启用ACL，请修改为“false”。 “dfs.permissions.enabled”表示是否为HDFS启用权限检查，默认为“true”启用权限检查，请修改为“false”。修改后HDFS中的目录和文件的属主、属组以及权限信息保持不变。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 开启Yarn鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置”。 3.单击“全部配置”。 4.搜索参数“yarn.acl.enable”。 “yarn.acl.enable”表示是否为Yarn启用权限检查。 普通模式下默认为“false”不启用权限检查，如果要启用，请修改为“true”。 安全模式下默认为“true”，表示开启鉴权。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭ZooKeeper鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > ZooKeeper > 配置”。 3.单击“全部配置”。 4.搜索参数“skipACL”。 “skipACL”表示是否跳过ZooKeeper权限检查，默认为“no”启用权限检查，请修改为“yes”。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

诊断维度 诊断项 说明 修复方案 Service 检查Service后端Ready Pod数量 检查Service后端Ready Pod数量。 检查业务Pod状态，保证Pod存在且处于Ready状态。 Service 检查Service是否存在异常事件 检查集群中是否存在与该Service相关的异常事件。 请检查并处理Service异常事件中的描述信息，若无法处理，请提交工单。 节点 检查节点是否存在 检查集群中是否存在该节点。 请检查Node在集群中是否存在。 节点 检查节点状态是否Ready 检查节点在集群中的状态是否为Ready。 请登录到节点上执行systemctl status kubelet或journalctl exu kubelet查看节点上kubelet进程异常日志并尝试修复。 节点 检查节点状态是否不可调度 检查节点是否不可调度，不可调度的节点会影响Pod的正常运行。 节点不可调度，请检查节点调度设置。 节点 检查节点CPU装载率是否过高 检查节点CPU资源分配率是否过高。 请检查节点上pod的CPU request值设置的合理性。 节点 检查节点内存装载率是否过高 检查节点内存资源分配率是否过高。 请检查节点上pod的Memory request值设置的合理性。 节点 检查节点磁盘压力 检查节点磁盘使用率是否过高。 请检查节点磁盘使用情况，及时清理磁盘中不需要的文件或扩容磁盘。 节点 检查节点PID压力 检查节点PID使用率是否过高。 请检查节点PID使用情况。 节点 检查节点Chronyd进程状态是否正常 检查节点Chronyd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Chronyd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart chronyd重启节点Chronyd进程。 节点 检查节点Ntpd进程状态是否正常 检查节点Ntpd进程是否异常，该进程异常时可能会影响系统时钟同步。 节点Ntpd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart ntpd重启节点Ntpd进程。 节点 检查节点Containerd状态是否正常 检查节点Containerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Containerd状态异常，请收集节点日志并提交工单处理。 节点 检查节点Containerd镜像拉取是否正常 检查节点Containerd进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Docker状态是否正常 检查节点Dockerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Docker状态异常，请收集节点日志并提交工单处理。 节点 检查节点Docker镜像拉取是否正常 检查节点Docker进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Kubelet状态是否正常 检查节点Kubelet服务的状态，该进程可能会影响Pod的正常运行。 请检查节点kubelet日志。 节点 检查节点Kubelet启动时间 检查节点Kubelet进程启动时间。 无 节点 节点OS版本 检查节点操作系统版本。 无 节点 节点内核版本 检查节点内核版本是否过低，内核版本过低可能造成系统异常。 请尝试更换节点升级内核。 节点 节点Systemd版本 检查节点systemd版本。 无 节点 节点runc版本 检查节点runc版本，runc版本过低可能造成系统异常。 无 节点 节点系统时间 检查节点系统时间。 无 节点 节点硬件时间 检查节点硬件时间。 无 节点 节点硬件时间漂移 检查节点硬件时钟与系统时间是否一致，时间相差超过2分钟可能引起组件异常。 请尝试登录节点，通过命令hwclock systohc将节点系统时间同步到硬件时间。 节点 检查节点内存交换区开启情况 检查节点内存交换区 (Memory Swap) 功能是否开启，K8s默认要求关闭内存交换区。 当前节点内存交换区 (Memory Swap) 功能不支持开启，请登录节点关闭该功能。 节点 检查Conntrack表使用情况 检查节点Conntrack表是否满，Conntrack表满可能影响网络性能。 请检查nfconntrackbuckets和nfconntrackmax内核参数。 节点 检查节点访问集群API Server是否正常 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 节点 节点DNS服务地址 检查节点能否正常使用主机DNS服务，通过主机DNS服务解析集群外域名。 请检查主机DNS服务是否正常。更多信息，请参见 节点 检查节点内网IP是否存在 检查节点内网IP是否存在。 节点内网IP不存在，请尝试移除节点后重新导入。 节点 检查节点能否访问公网 检查节点能否正常访问公网，无法访问公网可能影响公网镜像拉取。 请检查集群是否开启SNAT公网访问。 节点 节点CPU使用率 检查节点CPU负载是否过高，CPU负载过高可能影响系统性能。 无 节点 节点内存使用率 检查节点内存负载是否过高，内存过高可能影响系统性能。 无 Pod 检查Pod是否存在 检查集群中是否存在该Pod。 请检查Pod在集群中对应命名空间下是否存在。 Pod 检查Pod状态是否为Running 检查Pod是否处于Running状态。 请检查Pod状态及日志。更多信息，请参见 Pod Pod容器重启次数统计 统计Pod中容器重启次数。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器是否存在镜像下载阻塞情况 检查Pod容器对应的镜像下载被阻塞。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器镜像Secrets是否有效 检查Pod拉取镜像的Secrets是否有效。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod到主机网络DNS服务器的连通性 检查Pod到主机网络DNS服务器的连通性。 请检查Pod到主机网络DNS服务器的连通性。 Pod 检查Pod容器进程处于D状态检查 检查Pod内的容器进程是否处于D状态。 Pod的部分容器进程处于D状态，通常为容器进程卡在磁盘IO中，请尝试重启宿主机ECS，如仍无法恢复，请提交工单处理。 Pod 检查Pod是否初始化成功 检查Pod是否正常初始化。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否处于调度中状态 检查Pod是否正常调度。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否配置了livenessProbe探针 检查Pod描述文件是否配置了livenessProbe探针。 请为Pod配置合适的livenessProbe健康检查。 Pod 检查Pod是否配置了ReadinessProbe探针 检查Pod描述文件是否配置了ReadinessProbe探针。 请为Pod配置合适的readinessProbe健康检查。 Pod 检查Pod是否配置了资源requests 检查Pod描述文件是否配置了资源requests。 请为Pod配置合适的request资源申请。 Pod 检查Pod是否配置了资源limits 检查Pod描述文件否配置了资源limits。 请为Pod配置合适的limit资源限制。 Pod 检查Pod在过去24小时内是否存在OOM Kill情况 检查Pod在过去24小时内是否存在因内存过载而被Kill的情况。 请检查Pod是否配置了合适的limit资源限制，同时检查Pod状态及日志。更多信息，请参见 Ingress 检查Ingress是否存在 检查与转发规则匹配的Ingress是否存在。 检查所提供的URL信息是否有能够对应的Ingress规则。若URL信息无误，可能是Ingress规则存在问题。 Ingress 检查Ingress名称规范 检查所匹配到的Ingress名称是否规范。 无 Ingress 检查是否使用了nginx.ingress.kubernetes.io/sessioncookiehash废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/sessioncookiehash注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/baseurlscheme废弃注解 检查是否使用了在0.22.0版本废弃的nginx.ingress.kubernetes.io/baseurlscheme注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/securebackends废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/securebackends注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.com/nginx.org注解 检查是否使用了不兼容社区版Nginx Ingress Controller的商业版Ingress注解key（以nginx.com/nginx.org开头）。 请使用对应功能的正确用法。关于Ingress更多信息，请参见社区官方文档 。(引用到官方文档) Ingress 检查是否使用了nginx.ingress.kubernetes.io/grpcbackend废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/grpcbackend注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/mirroruri废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/mirroruri注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否启用了canary 使用了nginx.ingress.kubernetes.io/canary相关注解，但value值为"false‘，如果需要使用灰度功能，请指定nginx.ingress.kubernetes.io/canary: "true"。 如果您需要在该Ingress上开启Canary功能，请在Ingress规则上添加nginx.ingress.kubernetes.io/canary: "true"注解。 Ingress 检查Ingress是否存在异常事件 检查集群中是否存在与该Ingress相关的异常事件。 检查并处理异常事件描述信息中的报错，如无法解决，请提交工单处理。

源库类型 目标库类型 同步类型 RDS for MySQL5.7/8.0 自建MySQL5.6/5.7/8.0 RDS for MySQL5.7/8.0 自建MySQL5.7/8.0 结构+全量+增量 结构+增量 RDS for MySQL5.7/8.0 自建MySQL5.6/5.7/8.0 RDS for PostgreSQL 9.6/10/11/12/13/14/15 结构+全量+增量 结构+增量 RDS for PostgreSQL 9.6/10/11/12/13/14/15 自建PostgreSQL 9.4/9.5/9.6/10/11/12/13/14/15 RDS for PostgreSQL 9.6/10/11/12/13/14/15 自建PostgreSQL 9.5/9.6/10/11/12/13/14/15 结构+全量+增量 结构+增量 RDS for SQL Server 2016 标准版/2016 企业版 自建SQL Server 2016 标准版/2016 企业版 RDS for SQL Server 2016 标准版/2016 企业版 自建SQL Server 2016 标准版/2016 企业版 结构+全量+增量 结构+增量