属性编码 属性名称 说明 maxCon 最大连接数 实例连接池的最大连接。 secondsBehindMaster 主备延迟阈值（秒） 如果主备延迟时间超过设置的阈值，备库将被剔除读写分离，默认值0表示永不剔除，请谨慎设置。 maxIdle 最大空闲连接数个数 实例连接池的最大空闲连接数个数，默认32。 idleTimeout 空闲的超时时间（毫秒） 实例连接池连接空闲的超时时间。 connectTimeout 获取连接超时(毫秒) 实例连接池连接获取连接超时时间。 balance 读写分离配置 读写分离属性配置，支持配置为： 关闭 ：即 balance 0 ，表示不开启读写分离，所有语句均发往写节点。 读语句发往读库 ：即 balance 1 ，表示开启读写分离，所有事务外( autocommit1 )的SELECT语句发往读节点；所有事务内( autocommit0 )的语句发往写节点。 读语句随机发往读库和写库 ：即 balance 2 ，表示开启读写分离，所有事务外( autocommit1 )的SELECT语句随机发往读节点或写节点；所有事务内( autocommit0 )的语句发往写节点。 自定义权重 ：即 banlance 3 ，表示开启读写分离，支持根据实际情况，设置自定义读写分离权重。 说明 在对数据库有少量写请求，但有大量读请求的应用场景下，为了实现读取能力的弹性扩展，防止MySQL实例主备节点性能差异导致的节点过载，您可以通过读写分离特性，将读语句发送到指定的节点满足大量的数据库读取需求。DRDS的读写分离功能运行机制如下： 如果会话未开启事务，读语句将直接发送到salve（从节点）执行。 如果会话已开启事务，读语句将发送到master（主节点）上执行。 weights 读写分离权重配置 仅 读写分离配置 设置为 自定义权重 时，需要配置该参数，表示开启读写分离，并且您需要设置读节点的权重。 注意 新增的从节点权重默认为0，表示读请求不会发往新增的从节点，您可以根据实际情况修改该节点的权重。 dbType 后端连接的数据库类型 指定后端连接的数据库类型,目前支持二进制的MySQL协议，目前暂时支持MySQL和MariaDB，后面会逐渐支持其他数据库。 dbDriver 连接后端数据库使用的Driver 指定连接后端数据库使用的Driver，目前可选的值有native和JDBC，使用native的话，因为这个值执行的是二进制的MySQL协议，所以可以使用MySQL和MariaDB。其他类型的数据库则需要使用JDBC驱动来支持。但是目前还暂时不支持。 heartbeatSQL 心跳检查的语句 用于和后端数据库进行心跳检查的语句。例如，MYSQL可以使用select user()。

本文介绍如何使用日志服务器。 功能介绍 使用日志服务器功能，将攻击日志、告警日志投递至syslog日志服务器。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 新建syslog日志服务器 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务日志服务器】菜单，点击新增。 3. 配置说明如下： 配置说明 配置项 说明 服务器名称 日志服务器的名称 状态 启用时直接开始外发日志；禁用时只是添加记录，不会立即外发日志 协议 默认UDP，下拉支持选择TCP 服务器地址 syslog服务器地址 端口 syslog服务器端口 描述 非必填 日志类型 攻击日志：当前客户的攻击日志 管理日志服务器 新建完日志服务器后，可以进行禁用/启用日志服务器、编辑、删除等管理操作。

参数 参数说明 状态 描述测试用例当前处于哪种状态，如新建、设计中、测试中、完成。 用例等级 Level 0：最基本的功能验证，用例不宜过多，各模块尽量保证在1020个，占比5%左右。 1级：基本功能验证，可用于继承特性的基本功能验证、迭代验收前的基本功能验证等，占比20%左右。 2级：重要特性验证，可用于测试版本（非回归版本）中手工测试，占比60%左右。 3级：一般功能/非重要功能验证，包括对基本/重要功能的异常测试，占比10%～15%左右。 4级：非常特殊输入、场景、阈值条件的用例，该级别用例不宜过多，占比0%～5%左右。 标签 用例自定义标签，用于标识用例。 输入标签：单击标签输入框，输入标签后，用空格或回车键生成标签，每个用例限制10个标签。 删除标签：单击标签输入框，单击已生成标签后的删除该标签。 创建时间 测试用例的创建时间 修改时间 测试用例的最新修改时间

本章节主要介绍云搜索服务的约束与限制。 集群和节点限制 下表显示了云搜索服务的集群和节点的限制。 集群和节点限制 集群和节点 限制 每个集群的最大节点数（节点数量） 默认值32，最大支持200个节点，如果需要更改默认值，请联系技术支持。 每个集群的最小节点数（节点数量） 1 浏览器限制 访问云搜索服务管理控制台，建议使用如下版本浏览器 −Google Chrome：36.0及更高版本 −Mozilla FireFox：35.0及更高版本 −Internet Explorer：9.0及更高版本 当使用Internet Explorer 9.0时可能无法登录云搜索服务管理控制台，原因是某些Windows系统例如Win7旗舰版，默认禁止Administrator用户，Internet Explorer在安装时自动选择其他用户如System用户安装，从而导致Internet Explorer无法打开登录页面。请使用管理员身份重新安装Internet Explorer 9.0或更高版本（建议），或尝试使用管理员身份运行Internet Explorer 9.0。 访问云搜索服务中Kibana，建议使用如下版本浏览器 −Google Chrome：36.0及更高版本 −Mozilla FireFox：35.0及更高版本 −Internet Explorer：11.0及更高版本，不支持IE9

本文向您介绍企业版VPN中账号权限类常见问题。 建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，云的IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 说明 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 创建VPN时系统提示权限不足，如何处理？ 确认您的账号为子账号。 确保子账号具有“VPC Administrator”、“Tenant Guest”、“VPN Administrator”这三个【系统角色】权限。 如果未开通VPC操作权限，请使用主账号在统一身份认证服务（IAM）中对您的账号进行授权。 如何确定我的账号是因为权限不足而无法创建VPN的？ 主账号创建的VPN网关和连接，子账号不可见。 创建VPN网关或连接时提示系统繁忙。 账号创建VPN连接所需权限详见VPN连接用户指南 > 权限管理。

本文向您介绍企业版VPN中连接保活类常见问题。 如何防止VPN连接出现中断情况？ VPN连接在正常的使用过程中会存在重协商情况，触发重协商的条件有IPsec SA的生命周期即将到期和VPN传输的流量超过20GB，重协商一般不造成连接中断。 大多数的连接中断都是因为两端的配置信息错误造成的，或公网异常导致重协商失败造成的。 常见的连接中断原因有： 两端的ACL不匹配。 SA生命周期不匹配。 用户侧数据中心未配置DPD。 VPN使用过程中修改了配置信息。 运营商网络抖动。 因此请在配置VPN时确保操作和配置，以进行连接状态保活： 两端的子网配置互为镜像。 SA生命周期信息一致。 用户侧数据中心网关开启DPD配置，探测次数不少于3次。 连接过程中修改参数两侧同步修改。 设置用户侧数据中心设备TCP MAXMSS为1300。 确保用户侧数据中心出口有足够的带宽可被VPN使用。 确认VPN连接可被两端触发协商，开启用户侧数据中心设备的主动协商配置。

本节介绍了SSH密钥方式登录的操作场景、前提条件、本地使用Windows操作系统登录流程、本地使用Linux操作系统登录流程、后续处理。 操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 前提条件 已获取创建该弹性云主机时使用的密钥对私钥文件。 弹性云主机已经绑定弹性IP，绑定方式请参见查看弹性云主机详细信息。 已配置安全组入方向的访问规则，配置方式请参见 配置安全组规则。 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。例如，默认的22端口没有被防火墙屏蔽。 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux弹性云主机，可以按照下面方式登录弹性云主机。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录弹性云主机。使用PuTTY登录弹性云主机前，需要先将私钥文件转化为.ppk格式。 1. 判断私钥文件是否为.ppk格式。 − 是，执行7。 − 否，执行2。 2. 在以下路径中下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对，生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”，并导入创建弹性云主机时保存的私钥文件。导入时注意确保导入的格式要求为“All files ( . )”。 5. 单击“Save private key”。 6. 保存转化后的私钥到本地。例如：kp123.ppk 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 单击“Session”，在“Host Name (or IP address)”下的输入框中输入弹性云主机的弹性IP。 图 配置弹性IP 9. 选择“Connection > data”，在Autologin username处输入镜像的用户名。 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 10. 选择“Connection > SSH > Auth”，在最下面一个配置项“Private key file for authentication”中，单击“Browse”，选择6转化的密钥。 11. 单击“Open”。 登录弹性云主机。 方式二：使用Xshell登录 1. 打开Xshell工具。 2. 通过弹性IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性IP 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 3. （可选）如果系统弹窗提示“SSH安全警告”，此时需单击“接受并保存”。 图 SSH安全警告 4. 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 5. 在“用户密钥”窗口中，单击“导入”。 6. 选择本地保存的密钥文件，并点击“打开”。 7. 单击“确定”，登录弹性云主机。

模型配置 单机版 Deepseek GPU 云主机在完成部署后，会自动匹配云主机本地模型，刷新进入首页，可以看到，模型下拉列表中，可以选择我们部署的deepseekr1 模型。 您可以主动设置您的模型连接，以体验任意第三方连接。以ollama和vllm提供的服务为例，进入“管理员面板” > “设置” > “外部链接”，如果使用的 vllm 则填入您的vllm地址和 apikey，如果使用ollama 则填入您的ollama地址，点击保存后即可使用模型。 设置模型可见性。 多用户模式下，建议把模型设置为public，如此才能让模型被所有用户看到。进入“管理员面板” > “设置” > “模型”，并点击编辑。 将模型可见性设置为 public 并点击保存。 最后，我们尝试下问一个问题，模型可以正常回答问题。

镜像类型 费用 公共镜像 统信桌面操作系统V20专业版可免费使用90天，试用期到期后需用户自行购买激活码。 统信服务器操作系统操作系统等公共镜像收费，收费标准详见下表。 私有镜像 通过云主机创建系统盘镜像、数据盘镜像：免费。 系统盘镜像、数据盘镜像存储在OBS桶中，但并非用户的私有桶，对用户不可见，镜像的管理维护必须通过镜像服务来实现，目前这部分存储免费供用户使用。 通过镜像文件创建系统盘镜像、数据盘镜像或ISO镜像：收取镜像文件在OBS桶的存储费用。 创建整机镜像：涉及的费用为云主机备份或云服务备份的存储费用。使用云主机备份创建整机镜像，收取镜像关联的云主机备份费用；使用云服务备份创建整机镜像，收取镜像关联的云服务备份费用。 共享镜像 来源于他人共享的系统盘镜像、数据盘镜像：免费。 来源于他人共享的整机镜像：涉及云服务备份存储费用。 说明：仅云服务备份创建的整机镜像支持共享。

本节介绍了容器镜像服务的续订说明。 到期前续费 手动续订：对于包年/包月订购的容器镜像服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考：费用中心续订管理手动续订 自动续订：自动续订仅针对采用包月、包年计费模式的资源。详细操作请参考：费用中心续订管理自动续订 到期处理 到期后，容器镜像服务进入保留期，您将不能正常访问及使用天翼云容器镜像服务企业版，但对于您存储在镜像服务中的数据予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 若到期15天后您仍未续费，镜像服务中的数据将被删除(用户对象存储桶中的数据不会删除)。 充值 为防止相关资源不被停止或者释放，请及时进行充值，为避免帐号将进入欠费状态，需要在约定时间内支付欠款。

使用云服务基线相关功能时，需要先参考本章节设置检查计划。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，选择待创建计划所在的区域，并单击“创建计划”，系统右侧弹出新建检查计划页面。 5. 配置检查计划。 1. 填写基本信息，具体参数配置如下表所示。 参数名称 参数说明 计划名称 自定义检查计划的名称。 检查时间 选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:0006:00、06:0012:00、12:0018:00、18:0024:00 2. 选择检查规范。选择需要检测的基线检查项目。更多关于基线检查项目详细描述请参见云服务基线简介。 3. 单击“确定”。 6. 检查计划创建完成。 SA会在指定的时间执行云服务基线扫描，扫描结果可以在“安全 > 态势感知 > 基线检查”中查看。

等保咨询服务订购页报价为全国指导价，仅针对等保初次测评。不同省份、资产数量、业务系统、不同所属行业价格不一，具体以项目实际报价为准。有购买意愿建议联系客户经理或拨打客服电话获取安全专家定制服务。 订购 CTYUN官网下单（自助下单） 客户登录天翼云门户网站，完成会员登录（未注册会员需先完成注册）选择“产品”“安全及管理”“等保咨询”开通。 本产品不涉及升级，有订购需求，如错误订购简化版，请在服务未开始时退订。 1.进入天翼云官网 2.进入等保咨询详情页 3.根据页面提示填写提交 试用 本产品不支持试用。 续订 本产品有效期自订购后为1年，不支持续订，第二年有等保需求可重新购买。 退订 在服务正式开始前可以申请退款，一旦服务正式开始提供产生工作量则不提供退款服务。

本文介绍创建用户并授权使用Redis 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Redis服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Redis资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Redis的策略管理，包含Redis所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Redis资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，进入账号中心。 步骤 3 账号中心左侧菜单中，单击“统一身份认证”。 步骤 4 在统一身份认证管理页，单击左侧导航菜单中的“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户对话框中，输入用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回用户列表，将显示新创建的IAM用户。

背景知识 当云服务器绑定多张网卡时，由于默认路由会优先从主网卡出，导致主网卡默认可以和外部正常通信，辅助网卡只能与本子网网段互通，无法与其他网段正常通信；在这种情况下需要在云服务器操作系统内部为这些网卡配置策略路由，以便多张网卡均可与外部正常通信。 应用场景 客户弹性云主机1有两张网卡，主网卡需要访问弹性云主机2，且弹性云主机2的响应正常回到主网卡；同样辅助网也也需访问弹性云主机2，且要求其响应报文正常回到辅助网卡。 操作指导 注意 以下操作步骤，以linux操作系统为例； 以下配置不会在云服务器上永久保存，重启网络服务后会被恢复，如需配置永久路由，请根据各自操作系统选用合适的方式，如 linux操作系统，可使用systemdnetworkd。 操作步骤(Linux IPv4) 1. 收集配置策略路由需要的云服务器网卡地址等信息（主网卡IP、辅助网卡IP） 2. 确保云服务器已正常获取到IPv4地址。 执行以下命令，查看云服务器网卡名称。 回显类似如下信息，通过网卡地址查找对应的网卡名称，本示例中 192.168.0.7为主网卡地址，对应的名称为eth0。 192.168.1.4为辅助网卡地址，对应的名称为eth1。 3. 操作前检查和网关通信情况（其中一个网卡可以和网关通信另外一个网卡默认不通） ping I 192.168.0.7 192.168.2.3 ping I 192.168.1.4 192.168.2.3 4. 查看路由默认状态主网卡的默认路由优先级更高，策略路由为默认 ip route ip rule 5. 执行命令添加主备网卡的路由 主网卡 ip route add default via 子网网关 dev 网卡名称 table 路由表名称 ip route add 子网网段 dev 网卡名称 table 路由表名称 ip rule add from 网卡地址 table 路由表名称 辅助网卡 ip route add default via 子网网关 dev 网卡名称 table 路由表名称 ip route add 子网网段 dev 网卡名称 table 路由表名称 ip rule add from 网卡地址 table 路由表名称 参数说明如下：网卡名称：填写ifconfig中所查名称。 路由表名称：自定义路由表名称，此处请使用数字命名路由表。 命令示例 主网卡 ip route add default via 192.168.0.1 dev eth0 table 10 ip route add 192.168.0.0/24 dev eth0 table 10 ip rule add from 192.168.0.7 table 10 辅助网卡 ip route add default via 192.168.1.1 dev eth1 table 20 ip route add 192.168.1.0/24 dev eth1 table 20 ip rule add from 192.168.1.4 table 20 查询策略路由是否添加成功 ip rule ip route show table 10 ip route show table 20 6. ping验证，eth0 eth1与目的地址都可以互通 ping I 192.168.0.7 192.168.2.3 ping I 192.168.1.4 192.168.2.3

本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

本文主要介绍CCE发布Kubernetes 1.25版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.25版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.25版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.25 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.25变更说明 CCE v1.25集群的节点均默认采用Containerd容器引擎。 社区1.25 ReleaseNotes 清理iptables链的所有权 Kubernetes通常创建iptables链来确保这些网络数据包到达，这些iptables链及其名称属于Kubernetes内部实现的细节，仅供内部使用场景，目前有些组件依赖于这些内部实现细节，Kubernetes总体上不希望支持某些工具依赖这些内部实现细节。 在Kubernetes 1.25版本后，Kubelet通过IPTablesCleanup特性门控分阶段完成迁移，是为了不在NAT表中创建iptables链，例如KUBEMARKDROP、KUBEMARKMASQ、KUBEPOSTROUTING。 存储驱动的弃用和移除，移除云服务厂商的intree卷驱动。 社区1.24 ReleaseNotes 在Kubernetes 1.24版本后，Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。请使用自定义annotation。 在Kubernetes 1.24版本后，kubeapiserver移除参数address、insecurebindaddress、port、insecureport0。 在Kubernetes 1.24版本后，kubecontrollermanager和kubescheduler移除启动参数port0和address。 在Kubernetes 1.24版本后，kubeapiserver auditlogversion和auditwebhookversion仅支持audit.k8s.io/v1，Kubernetes 1.24移除audit.k8s.io/v1[alphabeta]1，只能使用audit.k8s.io/v1。 在Kubernetes 1.24版本后，kubelet移除启动参数networkplugin，仅当容器运行环境设置为Docker时，此特定于Docker的参数才有效，并会随着Dockershim一起删除。 在Kubernetes 1.24版本后，动态日志清理功能已经被废弃，并在Kubernetes 1.24版本移除。该功能引入了一个日志过滤器，可以应用于所有Kubernetes系统组件的日志，以防止各种类型的敏感信息通过日志泄漏。此功能可能导致日志阻塞，所以废弃。 VolumeSnapshot v1beta1 CRD在Kubernetes 1.20版本中被废弃，在Kubernetes 1.24版本中移除，需改用v1版本。 在Kubernetes 1.24版本后，移除自1.11版本就废弃的service annotation tolerateunreadyendpoints，使用Service.spec.publishNotReadyAddresses代替。 在Kubernetes 1.24版本后，废弃metadata.clusterName字段，并将在下一个版本中删除。 Kubernetes 1.24及以后的版本，去除了kubeproxy监听NodePort的逻辑，在NodePort与内核net.ipv4.iplocalportrange范围有冲突的情况下，可能会导致偶发的TCP无法连接的情况，导致健康检查失败、业务异常等问题。升级前，请确保集群没有NodePort端口与任意节点net.ipv4.iplocalportrange范围存在冲突。

本文为您介绍Ubuntu系统部署Palworld幻兽帕鲁服务器的最佳实践。 1. 登录云主机控制台，选择创建云主机的资源池，点击“创建云主机”按钮。 2. 基础配置。 CPU架构选择“X86计算”，规格分类选择“通用型”。为确保游戏顺畅运行，建议您选择4C16G及以上的规格。 镜像类型选择“应用镜像”，镜像下拉菜单中选择“ubuntu”“幻兽帕鲁（Palworld）Ubuntu”。 点击“下一步：网络配置”。 3. 网络配置。 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口”。 点击“确定”，完成安全组创建。 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 点击“确定”，完成安全组选择。 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保游戏顺畅运行，建议带宽选择10M以上。 点击“下一步：高级配置”。 4. 根据提示完成高级配置，点击“下一步：确认配置”。 确认配置无误后，点击“立即购买”。 5. 完成支付后，返回云主机控制台，确认云主机状态为“运行中”，则可以进行后续操作。 6. 添加安全组规则 在云主机列表中点击云主机名称，进入云主机详情页。点击安全组页签，点击“添加规则”按钮，新增IP放行。 在添加规则弹窗中： 1）协议选择“UDP”。 2）端口范围填写“8211”。 端口也可自定义进行修改，修改后可提高服务器的安全性： 登录云主机后，首先使用密码登录root用户，执行以下命令进入编辑配置界面。 vim /etc/rc.local 按i进入编辑状态，将第二行改为： su steam c "cd /home/steam/.steam/SteamApps/common/PalServer;steamcmd +login anonymous +appupdate 2394010 validate +quit;nohup ./PalServer.sh portxxx &" 其中xxx为165535中的任意希望启用的端口，修改完成后按esc退出编辑，再输入:wq进行保存并退出。 3）地址处将“1.1.1.1”更改为自己的IP地址。 点击“确定”，完成安全组规则修改。 7. 进入游戏。 先在云主机控制台云主机列表中找到云主机的公网IP地址。 启动游戏，在游戏界面选择“加入多人游戏（专用服务器）”。在地址输入框输入“公网IP:8211”，点击“联系”即可进入帕鲁世界。

操作场景 若需要对集群中的资源进行权限控制，（例如A用户只能对某个命名空间下的应用有读写权限，B用户只能对集群下的资源有读权限等），请参照本章节操作。 操作步骤 步骤 1 若需要对集群进行权限控制，请在创建集群时的“认证方式”参数后勾选“认证能力增强”，选择“认证代理”。单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书。 步骤 2 通过kubectl创建角色。 下面的例子展示了如何创建一个角色，并允许该角色读取default空间下的所有Pod。参数详细解释请参见Kubernetes官方文档。 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: podreader rules: apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] 步骤 3 通过kubectl创建角色绑定。 下面的例子给出RoleBindings赋予default命名空间下的podreader的角色给用户jane。该策略允许用户jane可以读取default命名空间下的所有pods。参数详细解释请参见Kubernetes官方文档。 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: readpods namespace: default subjects: kind: User name: jane 的用户名 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: podreader 创建的角色名 apiGroup: rbac.authorization.k8s.io 步骤 4 创建角色并与用户绑定成功后，请在接口请求的headers中携带用户信息以及集群创建时上传的证书访问kubernetes接口。例如调取查询pod的接口时，执行命令如下： curl k H "XRemoteUser: jane" cacert /root/tlsca.crt key /root/tls.key cert /root/tls.crt 返回200表示访问成功，返回403表示没有权限访问。 说明：为避免命令执行失败，请提前把证书上传到/root目录下。 参数解释如下： XRemoteUser: jane：请求头固定为XRemoteUser，jane为用户名。 tlsca.crt ：创建集群时上传的CA根证书。 tls.crt：与集群创建时所上传的CA根证书配套的客户端证书。 tls.key：与集群创建时所上传的CA根证书配套的客户端秘钥。 192.168.23.5:5443：为连接集群的地址，获取方式如下： 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群的名称，在集群基本信息中获取“内网apiserver地址”后的IP地址和端口号。 说明 CCE支持天翼云帐号和IAM用户分别下载config文件（kubeconfig.json），IAM用户下载的config文件只有30天的有效期，而天翼云帐号下载的config文件会长期有效。该文件用户对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 IAM用户下载的config文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 另外，还支持XRemoteGroup的头域：用户组名，在做RoleBinding时，可以将Role与Group进行绑定，并在访问集群时携带用户组信息。

%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 确认密码 必须和管理员密码相同。 参数模板 数据库参数模板就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。对于HA实例创建成功后，主备参数模板相同。实例创建成功后，参数模板可进行修改。 须知 创建数据库实例时， 为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发， 而是采用系统默认的推荐值。 “backlog” “innodbiocapacitymax” “maxconnections” “innodbiocapacity” “innodbbufferpoolsize” “innodbbufferpoolinstances” 表5 标签 参数 描述 标签 可选配置，对关系型数据库的标识。使用标签可以方便识别和管理您拥有的关系型数据库服务资源。每个实例最多支持10个标签配额。 实例创建成功后，您可以单击实例名称，在标签页签下查看对应标签。 表6 购买周期 参数 描述 购买时长（包年/包月） 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 购买数量 关系型数据库服务支持批量创建实例，如果您选择创建主备实例，数量选择为1，那么会同步创建一个主实例和一个备实例。 关系型数据库的性能，取决于用户申请关系型数据库时所选择的配置。可供用户选择的硬件配置项为性能规格、存储类型以及存储空间。 步骤 5 对于按需计费的实例，进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交申请”，完成购买实例的申请。 跳过步骤7和步骤8，直接执行步骤9。 步骤 6 对于包年/包月模式的实例，进行订单确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改关系型数据库实例信息。 如果订单确认无误，单击“去支付”，进入“付款”页面。 如果暂不确定实例规格，单击“提交，暂不付款”，系统将保留您的订单，稍后可在“费用 > 我的订单”中支付或取消订单。 对于“包年/包月”模式的实例，付款成功后，才会创建。 步骤 7 选择付费方式，完成付费。 本操作仅适用于包年/包月计费方式。 步骤 8 关系型数据库实例创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 创建实例过程中，状态显示为“创建中”。您可以通过“任务中心”查看详细进度和结果。在实例列表的右上角，单击刷新列表，可查看到创建完成的实例状态显示为“正常”。 创建实例时，系统默认开启自动备份策略，后期可修改。实例创建成功后，系统会自动创建一个全量备份。 数据库端口默认为3306，实例创建成功后可修改。

本章节主要介绍MRS集群中的用户与权限。 概述 MRS集群用户 Manager中的安全帐号，包含用户名、密码等属性，MRS集群的使用者通过这类用户访问集群中的资源。每个启用Kerberos认证的MRS集群可以有多个用户。 MRS集群角色 用户在实际使用MRS集群时需根据业务场景获取访问资源的权限，访问资源的权限是定义到MRS集群对象上的。集群的角色就是包含一个或者多个权限的集合。例如，HDFS中某个目录的访问权限，需要在指定的目录上配置，并保存在角色中。 Manager支持MRS集群用户权限管理功能，使权限管理与用户管理更加直观、易用。 权限管理：使用RBAC（RoleBased Access Control）方式，即基于角色授予权限，形成权限的集合。用户通过分配一个或多个已授权的角色取得对应的权限。 用户管理：使用Manager统一管理MRS集群用户，并通过Kerberos协议认证用户，LDAP协议存储用户信息。 权限管理 MRS集群提供的权限包括Manager和各组件（例如HDFS、HBase、Hive和Yarn等）的操作维护权限，在实际应用时需根据业务场景为各用户分别配置不同权限。为了提升权限管理的易用性，Manager引入角色的功能，通过选取指定的权限并统一授予角色，以权限集合的形式实现了权限集中查看和管理，提升了权限管理的易用性和用户体验。 角色可以理解为集中一个或多个权限的逻辑体，角色被授予指定的权限，用户通过绑定角色获得对应的权限。 一个角色可以有多个权限，一个用户可以绑定多个角色。 角色1：授予操作权限A和B，用户a和用户b通过绑定角色1取得对应的权限。 角色2：授予操作权限C，用户c和用户d通过绑定角色2取得对应的权限。 角色3：授予操作权限D和F，用户a通过绑定配角色3取得对应的权限。 例如，MRS集群用户绑定了管理员角色，那么这个用户成为MRS集群的管理员用户。 Manager界面显示系统默认创建的角色如下表所示。 Manager默认角色与描述 默认角色 角色描述 default 为租户创建的角色。 Manageradministrator Manager管理员，具有Manager的管理权限。 Managerauditor Manager审计员，具有查看和管理审计信息的权限。 Manageroperator Manager操作员，具有除租户管理、配置管理和集群管理功能以外的权限。 Managerviewer Manager查看员，具有查看系统概览，服务，主机，告警，审计日志等信息的权限。 Systemadministrator 系统管理员，具有Manager的管理权限及所有服务管理员的所有权限。 Managertenant Manager租户管理页面查看角色，具有Manager“租户管理”页面查看权限。 通过Manager创建角色时支持对Manager和组件进行授权管理，如下表所示。 Manager与组件授权管理 授权类型 授权描述 Manager Manager访问与登录权限。 HBase HBase管理员权限设置和表、列族授权。 HDFS HDFS中的目录和文件授权。 Hive Hive Admin Privilege Hive管理员权限。 Hive Read Write Privileges Hive数据表管理权限，可设置与管理已创建的表的数据操作权限。 Hue 存储策略管理员权限。 Yarn Cluster Admin Operations Yarn管理员权限。 Scheduler Queue 队列资源管理。

编辑模型 仅支持编辑自定义创建的模型。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型列表中，单击目标模型所在行“操作”列的“编辑”，右侧弹出编辑告警模型页面。 6. 在编辑告警模型页面中，配置告警模型基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 选择该告警模型的执行管道。暂不支持编辑 。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 该告警模型的描述信息。 7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 8. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句分析语句，查询分析语句语法详细内容请参见查询与分析语法。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 10. 预览确认无误后，单击页面右下角“确定”。

对于通过Spring @Async标签或者Java Executors实现的异步任务,APM默认支持对其进行监控。若您的异步任务出现接口超时等异常,可以通过调用链路查看异步任务上下游以便及时处理潜在问题。 前置条件 该功能要求ARMS探针版本为公测版本v1.1.1及以上。 方式一：默认支持Spring @Async标签 APM默认支持监控使用Spring @Async标签实现的异步任务。对于下列Spring框架中默认的Executor和Task，APM会自动完成增强： Executor： org.springframework.scheduling.concurrent.ConcurrentTaskExecutor org.springframework.core.task.SimpleAsyncTaskExecutor org.springframework.scheduling.quartz.SimpleThreadPoolTaskExecutor org.springframework.core.task.support.TaskExecutorAdapter org.springframework.scheduling.concurrent.ThreadPoolTaskExecutor org.springframework.scheduling.concurrent.ThreadPoolTaskScheduler org.springframework.jca.work.WorkManagerTaskExecutor org.springframework.scheduling.commonj.WorkManagerTaskExecutor Task： org.springframework.aop.interceptor.AsyncExecutionInterceptor$1 org.springframework.aop.interceptor.AsyncExecutionInterceptorLambda$ 方式二：通过增强Runnable接口、Callable接口和Executor 当您没有使用spring框架时，上述场景无法满足需求时，也可以通过自动增强Runnable接口、Callable接口和Executor，在异步线程中完成调用链串联，实现异步任务监控。 增强Runnable接口和Callable接口 public class MyRunnable implements Runnable { @Override public void run() { // 在这里定义需要在新线程中执行的任务逻辑 for (int i 0; i < 5; i++) { System.out.println("Thread ID: " + Thread.currentThread().getId() + " Count: " + i); } } public static void main(String[] args) { // 创建一个Runnable实例 Runnable myRunnable new MyRunnable(); // 创建线程并将Runnable实例传递给线程 Thread thread1 new Thread(myRunnable); Thread thread2 new Thread(myRunnable); // 启动线程 thread1.start(); thread2.start(); } }

本章节主要介绍安装ICAgent并使用 本节以在ECS控制台购买一台ECS为例，演示如何为其安装ICAgent并在AOM界面对其进行监控。 注意事项 已开通一台ECS，且ECS的操作系统满足AOM支持的操作系统及版本。 在我的凭证中，提前获取用户AK/SK。 确认本地浏览器时间和ECS时间一致。 操作步骤 步骤 1 登录AOM控制台，左侧功能导航区域选择“配置管理 > Agent管理”。 步骤 2 进入Agent管理页面，在右侧下拉框选择目标主机的集群或“其它：用户自定义接入主机”。 步骤 3 单击“安装ICAgent”，输入我的凭证中AK/SK后，生成ICAgent安装命令，然后单击“复制命令”进行复制，如下图所示。 步骤 4 登录ECS控制台，在“弹性云主机 步骤 5 在ECS桌面单击“复制粘贴”，使用快捷键“Ctrl+V”将2中已复制的ICAgent安装命令粘贴至窗口中并单击“发送”，将复制的ICAgent安装命令发送至命令行窗口，然后在命令行窗口输入回车，执行ICAgent安装命令。 当显示“ICAgent install success”时，ICAgent已安装在了/opt/oss/servicemgr/目录。稍等片刻后，返回“Agent管理”界面查看ECS的ICAgent状态是否为“运行”。 如果ICAgent状态为“运行”，则表示ICAgent安装成功。 如果ICAgent状态为“离线”或其他状态，则请单击状态后的“详情”查看ICAgent安装失败的原因，可能是输入的AK/SK错误或ECS委托设置错误等原因导致，请获取正确的AK/SK或正确设置ECS委托后重新安装。如果还未安装成功，则请提交工单处理。 步骤 6 在AOM界面监控ECS。 ICAgent安装成功后等待1~2分钟左右，您在左侧导航栏中选择“总览 > 监控概览”，即可在“监控概览”界面对ECS进行监控，如下图所示。

天翼云云搜索服务提供的中文分词器 IK分词器 天翼云云搜索服务中的IK分词器是开源分词器，包括最大化分词模式（ikmaxword）、最小化分词模式（iksmart）。允许自定义词典，支持定制化的分词处理，适应特定场景和行业的需求。 IK插件包含2种分词器：iksmart和 ikmaxword。 iksmart模式：智能分词模式，采用较为灵活的中文分词算法，能够对中文文本进行智能的切分，以保留尽可能多的语义信息。适用于一般的全文搜索、文本分析和检索需求。 ikmaxword模式：最大化分词模式，会尽可能多地将文本切分成单个词语，从而获取尽可能多的候选词。适用于对文本进行细粒度的分析和处理。 HanLP分词器 HanLP分词器是源于一个开源且功能强大的HanLP自然语言处理工具包，它由一系列模型和算法组成。目前天翼云云搜索服务中的HanLP分词器是基于开源HanLP分词器对hanlp、hanlpcrf等分词器进行了一定程度的优化，以适应不同的场景。 目前HanLP插件提供hanlp、hanlpcrf、hanlpnlp、hanlpspeed等分词器，针对不同的应用场景，可以选择使用不同的分词器。 hanlp分词器，基于词典的分词。当需要快速处理大量文本，且对分词精度要求不是特别高时，词典分词是一个很好的选择。它侧重于分词速度，能够每秒处理数千万字符，非常适合对实时性要求较高的场景；在内存资源有限的环境下，词典分词由于其较低的内存占用，也是一个理想的选择。另外hanlp分词器经过优化分词效果也比较不错，适合通用的场景，平衡了分词精度和分词速度。 hanlpcrf和hanlpnlp分词器，基于模型的分词器。hanlpcrf和hanlpnlp分词器在处理复杂文本结构时表现出色，能够准确识别并处理句子中的长距离依赖关系。由于其较强的泛化能力，在处理特定领域的文本时（如新闻、法律、医疗等），能够提供更全面、准确的文本分析结果。适用于对分词准确程度要求很高，不追求分词速度的场景下，且比较消耗内存资源。 hanlpspeed，极速词典分词。在需要极快速度处理文本的场景下，极速词典分词是最佳选择，它通过优化词典结构和算法实现了超高的分词速度。在内存资源非常有限的环境下，极速词典分词由于其低内存占用特性而更具优势。适合追求分词速度，而对精度要求不是很高的情况下。 hanlpnshort和hanlpdijkstra：构建词图并寻找最短路径的方式来实现分词，能够较好地识别并处理新词和未登录词。对于包含大量新词、缩写、专业术语等复杂文本，能够提供更准确的分词结果，效率不如词典分词，优于算法分词。 hanlpindex和 ikmaxword类似：会尽可能多地将文本切分成单个词语，从而获取尽可能多的候选词。适用于对文本进行细粒度的分析和处理。

本文向您介绍如何创建企业版VPN连接。 场景描述 如果您需要将VPC中的弹性云主机和数据中心或私有网络连通，创建VPN网关、对端网关之后，需要继续创建VPN连接。 约束与限制 使用静态路由模式创建VPN连接时，使能NQA前请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”页面，单击“创建VPN连接”。 说明 VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性，强烈建议配置。 4. 根据界面提示配置参数，单击“立即购买”。 表VPN连接参数说明 参数 说明 取值样例 名称 VPN连接的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpn001 VPN网关 选择待关联的VPN网关名称。 如果您使用国密型VPN网关，且VPN网关没有绑定相关证书，请先单击右侧“上传证书”完成上传证书操作，否则VPN连接将无法建立。 vpngw001 网关IP 选择VPN网关IP。 VPN网关对接同一对端网关时，不能选择已使用过的EIP地址。 可选的网关IP 对端网关 选择对端网关信息。 如果您使用国密型网关，且对端网关没有绑定CA证书，请先参见本指南“企业版对端网关管理 > 上传对端网关证书”上传CA证书，否则VPN连接将无法建立。 说明 如果一个对端网关同时对接多个VPN网关，则VPN网关的BGP ASN和连接模式需要相同。 cgw001 连接模式 IPsec连接的模式，支持路由模式和策略模式。 静态路由模式。 根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通。 BGP路由模式。 根据BGP动态路由确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通，互通子网数量多或变化频繁、与专线互备等组网场景。 策略模式。 根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。 适用场景：对端网关之间要求隔离。 静态路由模式 对端子网 指需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网，请用半角逗号（,）隔开。 说明 对端子网可以和本端子网重叠，但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含；不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段，例如100.64.0.0/10、214.0.0.0/8。 172.16.1.0/24,172.16.2.0/24 接口分配方式 仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 说明 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。 如果对端网关的tunnel接口地址固定不可更改，请使用“手动分配”模式，并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。 手动分配。 仅支持在169.254.x.x/30网段（除169.254.195.x/30）范围内，配置VPN网关本端接口地址的tunnel接口地址；对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。 例如：本端接口地址配置为169.254.1.6/30，则对端接口地址自动配置为169.254.1.5/30。 自动分配。 VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。 自动分配的本端接口地址/对端接口地址，可以在VPN连接页面，单击“修改连接信息”进行查看。 自动分配 本端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 对端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 检测机制 仅“连接模式”采用“静态路由模式”时需要配置。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 功能开启后，VPN网关会自动对对端接口地址进行NQA探测。 勾选 预共享密钥 VPN网关和对端网关的预共享密钥需要保持一致。 取值范围： 取值长度：8~128个字符。 只能包括以下几种字符，且必须包含三种及以上类型： 数字 大写字母 小写字母 特殊符号：包括“~”、“!”、“@”、“

本文介绍如何挂载CIFS文件系统到Windows云主机。 操作场景 CIFS类型的文件系统仅支持使用Windows操作系统的云主机进行挂载。本此以Windows Sever 2012标准版操作系统为例进行CIFS类型的文件系统的挂载。其他版本请参考以下主要步骤，根据实际界面进行配置。 注意事项 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式。 如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单联系技术人员进行相关评估和配置。同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Windows Sever 2012标准版，具体操作步骤参见创建弹性云主机。 已创建该VPC下的文件系统，文件系统的协议类型为CIFS，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑>映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹及为文件系统的挂载地址，可在文件系统的详情页获取，如下图。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 地域资源池挂载地址获取： 可用区资源池挂载地址获取： 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

本节介绍如何查看已有应急策略。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 应急策略管理页面默认进入“策略视图”页面，查看任务下发成功的应急策略统计情况： 策略过期分布：以饼图形式呈现“自动过期”策略占比，并统计“有自动过期”和“无自动过期”的策略数量。 策略分布：以柱状图形式呈现各个防线类型的“阻断”和“加白”策略类型的策略数量。应急策略支持的防线类型请参考约束与限制说明。 阻断区域Top5：以条形图呈现策略对象所在的区域，仅统计Top5区域的应急策略数量分布情况。 应急策略列表：以列表形式呈现应急策略基本信息。策略列表参数说明如下： 参数名称 参数说明 策略对象 策略对象，一个策略对象单独呈现一行。 当“对象类型”是“IP”时：此处呈现IP地址。 当“对象类型”是“域名”时：此处呈现单个域名。 当“对象类型”是“账号”时：此处呈现云服务账号（IAM用户名）。 策略类型 策略类型：“阻断”或“白名单”。 “阻断”：阻断的策略对象将被禁止访问。 “白名单”：加入白名单的策略对象访问请求将被放行。 对象类型 策略的对象类型。 当“策略类型”是“阻断”时，对象类型可选范围有“IP”、“账号”、“域名”。 当“策略类型”是“白名单”时，对象类型可选范围有“IP”、“域名”。 防线类型 策略的防线类型。 应急策略支持的防线类型有CFW/WAF/VPC。 区域 策略中的操作连接对应的区域。 标签 策略的标签信息。 创建人 策略的创建人信息。 自动过期 显示策略自动过期时间与当前时间的间隔。 过期时间 策略的自动过期时间点。 描述 策略的描述信息，该参数默认隐藏。单击应急策略列表上方搜索框最右侧的设置按钮，支持对应急策略列表进行如下设置： “基础设置”： “表格内容折行”：启用此能力可让表格内容自动折行，禁用此功能可截断文本。 “操作列”：启用此能力可让操作列固定在最后一列永久可见。 “自定义显示列”：自定义应急策略列表参数显示列，勾选参数前的则该参数会在列表中显示，去勾选参数前的则对应参数不在列表中显示。 创建时间 策略的创建时间。 操作 对策略进行编辑、删除等操作。详细操作指导参考[编辑策略](

本章节主要介绍注册API。 本文将为您介绍如何注册API，与通过数据表生成的API统一管理和发布到API网关。 目前数据服务共享版支持Restful风格的API注册，包含GET/POST常见请求方式。 配置API基本信息 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图：选择数据服务 2.在左侧导航栏选择服务共享版，进入总览页。 3.进入“数据服务 > 开发API > API管理”页面，单击“注册现有API”，填写API基本信息。 详见下表：API基本信息 配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择新建API目录已创建的API分组。 请求Path 资源路径，也即API访问路径。 示例：/v2/{projectid}/streams 协议 用于传输请求的协议，支持HTTP和HTTPS协议。 请求方式 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 POST：请求服务器新增资源或执行特殊操作，注册API时推荐使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 用户自定义输入，只能包含中文、英文字母、数字和下划线，且不能以下划线开头。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证。 IAM认证：表示借助IAM服务进行安全认证。 无认证：表示不需要认证。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。API进行停用/下线/取消授权时,会通知已授权用户,并为用户预留至少X小时,直到所有授权用户均完成解除或处理，或者到达截止时间, API才会停用/下线/取消授权。0表示不设限制。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。 4.配置好API基本信息后，单击“下一步”，即可进入API取数逻辑页面。

本章节介绍应用服务网格的服务监控能力 概述 应用服务网格具备控制面&数据面日志以及数据面指标采集上报、查询，链路数据上报能力，本章节介绍具体的观测能力。 服务监控 指标监控页面展示了网格内服务的访问数据，需要选择集群、命名空间和服务名称，可以查看服务的相关访问指标。这里给出了服务，以及更进一步的服务的客户端工作负载（调用该服务的工作负载）和服务工作负载（提供该服务的工作负载）的详细指标。 查询语句中涉及的指标名均为istio官方自带指标。

本章节介绍应用服务网格CSM对接Nacos注册中心 概述 天翼云应用服务网格CSM对接Nacos架构如下图所示，控制面通过xDS协议从nacos发现服务，通过xDS协议下发到数据面中。 注意 服务网格对接Nacos注册中心前需要您已经订购了微服务引擎注册配置中心实例（Nacos内核）。 开通网格实例时添加Nacos注册中心 在网格开通页面可以选择添加Nacos注册服务，选择已经开通的同VPC下的Nacos注册中心实例即可。 访问Nacos中注册的服务 访问服务网格中从Nacos注册中心发现的服务格式如下： ${服务名}.${nacos分组名}.${nacos命名空间id}.nacos

本文对弹性负载均衡产品计费进行说明。 计费说明 经典型负载均衡产品免费提供，但与弹性负载均衡关联的弹性云主机、弹性IP、带宽等云产品需按照云产品订购页面公示的计费信息支付相应服务费用。 性能保障型负载均衡为收费产品，根据选择的性能规格不同有不同的定价，当前为包周期方式计费。 适用场景 1、长期稳定使用 适用于需要长期稳定运行的服务，提供稳定的资源保障。 2、成本可控 对于需要长期使用的资源，包年/包月可以降低长期成本，相比按需付费更为经济。 收费方式 包年/包月是一种预付费模式，即先付费再使用。按月计费，以自然月为计费单位。 价格说明 性能保障型负载均衡包年/包月计费方式的不同规格定价如下： 规格 价格（元 /月） :: 标准型I 360 标准型II 720 增强型I 1000 增强型II 1300 高阶型I 1800 高阶型II 2500 超强型I 4500 超强型II 10000 超强型II应用型 13750 超强型III 20000 注意 1、高阶型II、超强型I、超强型II、超强型II应用型、超强型III规格的负载均衡实例默认不支持创建。如果您在集群模式资源池需要使用高阶型II、超强型I、超强型II、超强型II应用型、超强型III规格的负载均衡实例，可以通过天翼云控制台提工单进行申请。

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。