本文主要介绍如何将实例移除伸缩组。 您可以将实例移出伸缩组，更新实例或排查实例的问题，然后将实例重新移入伸缩组。移出伸缩组后实例不再处理应用程序流量。当您选择“移出伸缩组” 时，系统仅将其移出伸缩组，不释放、不删除、不改变云服务器状态，云服务器实例可以作为其他用途；当您选择“移出伸缩组并释放” 时，系统会将伸缩组创建的云服务器移出伸缩组并且将其释放，但该操作对手动移入伸缩组的云主机不生效。 将云主机成功移出指定伸缩组必须满足如下条件： 伸缩组没有正在进行的伸缩活动； 伸缩实例状态为“已启用” ； 移出后实例数不能小于伸缩组的最小实例数时。 将云主机移出伸缩组的步骤如下： 1. 登录天翼云控制中心，切换到需要修改伸缩策略的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击【伸缩实例】标签，进入【伸缩实例标签页】； 4. 在【伸缩实例】页签中的实例所在行的【操作】列下，单击【移出伸缩组】或【移出伸缩组并删除】； 5. 如果您要移出所有实例，可以勾选参数“实例名称” 左侧的方框，单击【移出伸缩组】或【移出伸缩组并删除】。

本节主要介绍产品咨询类问题。 使用GeminiDB Influx时要注意什么 a) 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 b) 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及GeminiDB Influx使用的系统容器，都对用户不可见，它们只对GeminiDB Influx后台管理系统可见。 c) 申请数据库实例后，您还需要做什么。 申请实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 数据库实例的CPU、IOPS、空间是否足够。 数据库实例是否存在性能问题，是否需要优化等。 什么是GeminiDB Influx实例可用性 实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 其中，故障时间是指数据库实例购买完成后，运行期间累计发生故障的总时长。服务总时间指数据库实例购买完成后运行的总时长。 GeminiDB Influx中有没有支持多列转多行的函数 GeminiDB Influx中暂无多列转多行的函数。 GeminiDB Influx最大能支持到多少PB的数据 GeminiDB Influx支持的最大数据容量请参见数据库实例规格中实例的最大存储空间。 GeminiDB Influx是否支持Grafana访问 GeminiDB Influx支持Grafana直接访问，具体操作请参见如何通过Grafana连接GeminiDB Influx。

如何选择云主机的个数 您可以根据您的应用软件所占用的计算资源（CPU、内存等）进行整体汇总，并根据每个云主机可提供的计算资源进行估算，得出需要的云主机的个数。 如何确定专属云中计算服务器（物理服务器）数量？ 您可以在专属云总览页面查看物理机服务器的数量。 专属云中计算服务器数量是否有限制？ 无限制。 云主机是独占的吗？ 是独占的，您享有对物理服务器计算资源的完全使用权，与其他用户完全硬件隔离。 专属云中网络是否隔离？ 对于计算独享和存储独享型场景，网络资源逻辑独享，您可独占VPC，您与其他用户之间的网络相互隔离。 专属云中是否支持物理机服务？ 支持。 专属云中是否可以使用RDS服务？ 支持。 专属云中是否支持专线或VPN接入？ 专属云中支持专线和IPSec VPN接入。 专属云中支持的超 分比是多少 ？ “通用型”专属云为1:3超分，“通用计算增强型”和“内存优化型”专属云不支持超分。 专属云支持HA吗 ？ 若客户只购买1台专属云则不支持HA。若想支持HA，客户需要订购HA预留设备。 同种类型的计算服务器预留HA服务器规则：020台 预留1台，2050台 预留2台，50100台预留3台，100200台预留4台，200+台 预留5台，500+台 预留7台。

本文为您介绍如何使用自建Beats向天翼云云搜索服务Elasticsearch实例导入数据。 Beats是轻量级的数据收集器，专门用于将各种日志、指标、网络数据发送到Elasticsearch。常用的Beats包括 Filebeat、Metricbeat、Packetbeat等。 Filebeat是一种轻量级日志收集器，通常用于将文件系统中的日志文件或事件日志发送到Elasticsearch或Logstash。它适合简单的日志采集场景，能够有效处理系统、应用程序日志等。本文将以Filebeat为例，导入数据至Elasticsearch实例。 适用场景 轻量数据收集：适用于需要从大量分布式系统、服务器、容器中收集日志、监控指标等情况。 实时日志监控：Beats 能够实时收集日志并传送到 Elasticsearch，是实时日志分析场景的理想选择。 低延迟要求的场景：Beats设计为轻量级工具，占用资源少，适合资源受限的环境。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Filebeat且打通和Elasticsearch实例之间的网络。 Filebeat配置 Filebeat采集日志，需要配置Filebeat的配置文件，设置具体需要采集的日志路径。 具体根据实际的部署路径配置filebeat.yml。 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.elasticsearch: ip替换为Elasticsearch实例的地址。 hosts: [" 传入Elasticsearch实例的用户名和密码 username: "" password: ""

连接操作Joins Join Example Inner join SELECT p.firstname, p.lastname, p.gender, dogs.name FROM people p JOIN dogs d ON d.holdersName p.firstname WHERE p.age > 12 AND d.age > 1 Left outer join SELECT p.firstname, p.lastname, p.gender, dogs.name FROM people p LEFT JOIN dogs d ON d.holdersName p.firstname Cross join SELECT p.firstname, p.lastname, p.gender, dogs.name FROM people p CROSS JOIN dogs d 相关约束和限制，参考“连接操作Joins”。 展示Show 展示show操作与索引模式匹配的索引和映射。您可以使用或%使用通配符。 展示show Show Example Show tables like SHOW TABLES LIKE logs 连接操作Joins Open Distro for Elasticsearch SQL支持inner joins, left outer joins,和cross joins。Join操作有许多约束： 您只能加入两个参数。 您必须为索引使用别名（例如people p）。 在ON子句中，您只能使用AND条件。 在WHERE语句中，不要将包含多个索引的树组合在一起。例如，以下语句有效： WHERE (a.type1 > 3 OR a.type1 4 OR b.type2 3 OR b.type2 4 OR b.type2 < 1) 您不能使用GROUP BY或ORDER BY来获得结果。 LIMIT和OFFSET不支持一起使用（例如LIMIT 25 OFFSET 25）。 JDBC驱动 Java数据库连接（JDBC）驱动程序允许您将Open Distro for Elasticsearch与您的商业智能（BI）应用程序集成。

OOS是否支持开发规范和接口规范？ OOS支持开发规范和接口规范。OOS采用兼容亚马逊S3的应用程序编程接口，支持通过基于Http的REST API来访问OOS服务。具体兼容的OOS API详见OOS兼容哪些Amazons S3 API。 OOS是否支持AWS S3 Java SDK调用？ 支持调用OOS兼容的Amazons S3 API，具体兼容的API详见OOS兼容哪些Amazons S3 API，具体使用步骤详见使用S3 Java SDK访问OOS。 OOS接口能否在iOS、Android系统的设备上使用？ 可以，OOS提供基于HTTP的标准REST接口，可以跨平台使用。具体的API接口详见API参考。 OOS支持哪些语言的SDK? OOS的对象存储网络、香港资源池支持JAVA、Python、JS、PHP、iOS、Android 、C、Go。 OOS的其他资源池支持Java、Android、iOS、C、Python、JS。 具体SDK安装包和对应手册可以参见SDK及开发指南。 使用Python SDK分片上传时，如何指定文件存储类型（标准或低频）？ 目前使用Python SDK分片上传时，只能指定文件存储类型为标准，暂不支持低频类型。 PUT上传和POST上传有什么区别？ PUT上传中参数通过请求头域传递；POST上传则作为消息体中的表单域传递。 PUT上传需在URL中指定文件（Object）名；POST上传提交的URL为存储桶域名，无需指定文件名。两者的请求行分别为： PUT /ObjectName HTTP/1.1 POST / HTTP/1.1 两种方式单次上传文件大小范围均为[0, 5TiB]，如果需要上传超过5TiB的大文件，需要通过分段上传实现。 关于PUT和POST上传更详细的API信息，请参见PUT Object和POST Object。

本节介绍了设置SSL数据加密的相关内容。 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器； 加密数据以防止数据中途被窃取； 维护数据的完整性，确保数据在传输过程中不被改变。 由于老版本客户端存在SSL兼容问题（客户端版本低于5.1），RDS for MySQL新实例默认关闭SSL数据加密，如果确认客户端无兼容性问题，开启SSL请参考开启SSL加密，开启SSL会增加网络连接响应时间和CPU消耗，开启前请评估对业务的性能影响。 通过客户端连接实例提供两种连接方式：加密连接和非加密连接。 SSL未开启（默认），使用非加密连接数据库。 SSL已开启，使用SSL加密连接。加密连接实现了数据加密功能，具有更高的安全性。 注意 开启或关闭SSL加密会导致实例重启，实例重启时客户端会断开连接，请谨慎操作。 加密套件建议使用ECDHERSAAES128GCMSHA256/ECDHERSAAES256GCMSHA384/DHERSAAES128GCMSHA256/DHERSAAES256GCMSHA384。 开启SSL加密 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在“基本信息”页面，在“SSL”处单击 。 步骤 6 在弹出框中，单击“确定”，开启SSL加密。 步骤 7 稍后可在“基本信息”页面，查看到SSL已开启。 结束

索引设计规范 单表的索引数量最好不超过5个，单个索引中的字段数最好不超过5个，避免因长时间锁定数据导致内存、连接消耗过多等问题。 确保索引字段长度固定且不宜过长。过长的索引字段会占用更多磁盘空间，并影响索引的性能。 避免冗余索引，即存在两个索引 (a,b) 和 (a) 的情况，若查询条件为a列，只需建立 (a,b) 索引即可，不需要额外建立 (a) 索引。 对于高过滤性的字段，考虑在其上加索引。高过滤性字段的索引可以提高查询效率。 注意选择性和数据类型。选择性高的字段和合适的数据类型可以提高索引效果和查询性能。 合理利用覆盖索引来减少I/O开销，通过创建包含所需列的复合索引，避免回表操作。 开发使用规范 在处理复杂运算或业务逻辑时，优先考虑在业务层实现，而非在SQL中进行。合理选择分页方式以提高分页效率，避免使用跳跃式分页。 在事务中使用更新语句时，尽量基于主键或唯一键进行操作，避免产生间隙锁和死锁。 尽量避免使用外键和级联更新，应该在应用层处理外键关系。 减少使用in操作，集合元素数量不应超过1000个。 对于批量数据操作，可以适度采用批量SQL语句，例如使用insert into...values语句批量插入数据，但不宜超过100个。 避免使用存储过程，存储过程难以调试、扩展和移植。 避免使用触发器、事件调度器和视图来实现业务逻辑，这些应该在业务层处理，避免对数据库产生逻辑依赖。 避免使用隐式类型转换，了解类型转换规则，确保比较操作符两边的数据类型一致，避免影响查询性能。 在一个事务中，尽量控制SQL语句的数量，不超过5个，避免长时间锁定数据、内存缓存问题和连接消耗过多。 利用覆盖索引来进行查询操作，避免回表。

参数 是否必选 说明 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。 DLI队列 是 下拉选择需要使用的队列。 作业特性 否 选择自定义镜像和对应版本。仅当DLI队列为容器化队列类型时，出现本参数。自定义镜像是DLI的特性。用户可以依赖DLI提供的Spark或者Flink基础镜像，使用Dockerfile将作业运行需要的依赖（文件、jar包或者软件）打包到镜像中，生成自己的自定义镜像，然后将镜像发布到SWR（容器镜像服务）中，最后在此选择自己生成的镜像，运行作业。自定义镜像可以改变Spark作业和Flink作业的容器运行环境。用户可以将一些私有能力内置到自定义镜像中，从而增强作业的功能、性能。。 作业名称 是 填写DLI Spark作业的名称，只能包含英文字母、数字、“”，且长度为1~64个字符。默认与节点的名称一致。 作业运行资源 否 选择作业运行的资源规格： 8核32G内存 16核64G内存 32核128G内存 作业主类 是 Spark作业的主类名称。当应用程序类型为“.jar”时，主类名称不能为空。 Spark程序资源包 是 运行spark作业依赖的jars。可以输入jar包名称，也可以输入对应jar包文件的的OBS路径，格式为：obs://桶名/文件夹路径名/包名。在选择资源包之前，您需要先将Jar包及其依赖包上传至OBS桶中，并在“资源管理”页面中新建资源，具体操作请参考 资源类型 是 支持OBS路径和DLI程序包两种类型的资源。 OBS路径：作业执行时，不会上传资源包文件到DLI资源管理，文件的OBS路径会作为启动作业消息体的一部分，推荐使用该方式。 DLI程序包：作业执行前，会将资源包文件上传到 DLI资源管理。 分组设置 否 当“资源类型”选择了“DLI程序包”时，需要设置。可选择“已有分组”，“创建新分组”或“不分组”。 分组名称 否 当“资源类型”选择了“DLI程序包”时，需要设置。 选择“已有分组”：可选择已有的分组。 选择“创建新分组”：可输入自定义的组名称。 选择“不分组”：不需要选择或输入组名称。 主类入口参数 否 用户自定义参数，多个参数请以Enter键分隔。应用程序参数支持全局变量替换。例如，在“全局配置”>“全局变量”中新增全局变量key为batchnum，可以使用{{batchnum}}，在提交作业之后进行变量替换。 Spark作业运行参数 否 以“key/value”的形式设置提交Spark作业的属性，多个参数以Enter键分隔。具体参数请参见Spark Configuration。 Spark参数value支持全局变量替换。 例如，在“全局配置”>“全局变量”中新增全局变量key为customclass，可以使用"spark.sql.catalog"{{customclass}}，在提交作业之后进行变量替换。 说明 Spark作业不支持自定义设置jvm垃圾回收算法。 Module名称 否 DLI系统提供的用于执行跨源作业的依赖模块，访问各个不同的服务，选择不同的模块： CloudTable/MRS HBase: sys.datasource.hbase DDS：sys.datasource.mongo CloudTable/MRS OpenTSDB: sys.datasource.opentsdb DWS: sys.datasource.dws RDS MySQL: sys.datasource.rds RDS PostGre: sys.datasource.rds DCS: sys.datasource.redis CSS: sys.datasource.css DLI内部相关模块： sys.res.dliv2 sys.res.dli sys.datasource.dliinnertable 访问元数据 是 是否通过Spark作业访问元数据。

本节主要介绍Lua脚本规范。 Lua是一种脚本语言，目的是为了嵌入应用程序中，为应用程序提供灵活的扩展和定制功能。GeminiDB Redis使用的是Lua5.1.5版本，与开源Redis5.0使用的Lua版本是一致的。 与开源Redis Lua的区别 1. EVAL/EVALSHA命令 命令格式： EVAL script numkeys key [key …] arg [arg …] EVALSHA sha1 numkeys key [key …] arg [arg …] 上述命令的语法与操作与开源Redis一致。用户需自己保证将脚本中使用到的Redis key显式的通过key参数传入，而不是直接在脚本中编码，并且如果带有多个key参数，则要求所有的key参数必须拥有相同的hash tag。 如果不遵循上述约束，则在Lua中执行涉及这些key的Redis操作时，可能会返回类似“partition not found”的错误信息。 2. SCRIPT命令 SCRIPT命令包含了一组管理Lua脚本的子命令，具体可以通过SCRIPT HELP命令查询具体的操作。 SCRIPT大部分命令都与开源Redis兼容，其中需要特别说明的命令如下： SCRIPT KILL GeminiDB Redis是多线程执行的环境，允许同时执行多个Lua脚本，执行SCRIPT KILL，会终止所有正在运行的Lua脚本。 为了方便使用，GeminiDB Redis扩展了SCRIPT KILL命令，用户可以通过‘SCRIPT KILL SHA1’来终止指定哈希值的脚本。若同一时间存在多个节点在执行哈希值相同的脚本，那么这些脚本都会被终止。 另外，由于用户无法设置Lua超时时间（config set luatimelimit），因此在任意时刻执行SCRIPT KILL都能直接终止脚本，而不是等待脚本超时后才终止。 SCRIPT DEBUG 目前GeminiDB Redis不支持DEBUG功能，所以该命令执行无效。 3. Lua脚本中执行Redis命令 与开源Redis一致，GeminiDB Redis的Lua环境中也提供了一个全局的“redis”表，用于提供各类和Redis Server交互的函数。 如下表为GeminiDB Redis目前支持和不支持的操作列表。 支持的操作 不支持的操作 redis.call() redis.pcall() redis.sha1hex() redis.errorreply() redis.statusreply() redis.log() redis.LOGDEBUG redis.LOGVERBOSE redis.LOGNOTICE redis.LOGWARNING redis.replicatecommands() redis.setrepl() redis.REPLNONE redis.REPLAOF redis.REPLSLAVE redis.REPLREPLICA redis.REPLALL redis.breakpoint() redis.debug() 4. Lua执行环境限制 开源Redis对Lua脚本的执行有一定的限制，比如限制脚本操作全局变量，限制随机函数的结果，限定能够使用的系统库和第三方库等。 GeminiDB Redis也继承了绝大多数的限制，但是针对如下情况，GeminiDB Redis与开源Redis存在差异： Write Dirty 开源Redis规定，如果某个脚本已经执行了写操作，那么就不能被SCRIPT KILL停止执行，必须使用SHUTDOWN NOSAVE来直接关闭Redis Server。 GeminiDB Redis不支持执行SHUTDOWN命令，因此这条限制不会被执行，用户仍然可以通过SCRIPT KILL来停止脚本的执行。 Random Dirty 由于主从复制的原因，开源Redis规定，若脚本执行了带有随机性质的命令（Time, randomkey），则不允许再执行写语义的命令。 例如，如下Lua脚本： local t redis.call("time") return redis.call("set", "time", t[1]); 当该脚本的执行传递到从节点时，Time命令获取到的时间一定晚于主节点，因此从节点执行的Set命令的值就会和主节点产生冲突。开源Redis引入了replicatecommands来允许用户决定这种场景下的行为模式。 对于GeminiDB Redis来说，由于没有主从的概念，数据在逻辑上只有一份，因此也就不存在该限制。

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 “接口”类型：包括系统配置的云服务、用户自己创建的私有服务和云服务商已创建的云服务。 用户可以通过终端节点服务快速的把服务发布到私网连接上，通过白名单授权管理可以灵活的管理可连接的用户信息，在保证安全的前提下灵活的通过私网共享服务 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。 在同一区域中，通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异： 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，作为“接口型”终端节点服务的通信入口。

主机迁移服务重要声明有哪些？ 具体内容您可请参见免责声明。 迁移源和迁移任务是否有数量限制？ 每用户可激活的迁移源数量上限为1000台; 每用户可创建迁移任务数量为1000个； 每用户可并发执行的迁移任务数量为50台； 每个迁移源同一时刻仅能关联一个未完成状态的迁移任务，未完成状态包括Ready（未开始）、Running（迁移中）、Stopped（已暂停）、InError（出错）和Expired（已过期）。 迁移源绑定是否有限制？ 每迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个“未完成状态”的迁移任务。迁移状态“完成”或“异常”的迁移任务不作为迁移源绑定目标端。 迁移源是否有软硬件、授权限制？ 未授权应用软件、盗版软件、集群数据库、UKey硬件验证以及一些硬件绑定验证都会影响产品的使用。 通过 windows server事件查看器 ，提示因为卷影副本存储增长失败，卷x：的卷影复制被中止如何处理？ 修改卷影创建位置。 1. 打开资源管理器。 2. 选择原卷影盘符右键单击，选择属性。 3. 单击“卷影副本”选项卡, 选择盘符后单击“设置”。 4. 在“存储区域>位于此卷”选择新挂载的磁盘。 5. 在“最大值”选项选择“没有限制”后单击确定。

本文介绍在AOne零信任如何进行客户端设置。 背景说明 企业可根据不同的安全要求和合规标准设置不同的客户端策略。 功能说明 超时注销登录 用户账号长时间连接内网，存在账号盗用、占用会话导致并发超过上限等风险，管理员可自定义配置超时注销策略。变更配置后续重新登录客户端才可生效。 根据企业场景配置账号超时注销方式，企业可分别对桌面端和移动端设置不同的超时规则，当客户端连接内网或无内网访问流量达到设定时间（桌面端默认 5 小时、移动端默认 3 小时 ），就会自动注销登录状态，再次访问内网时需重新登录，这样能有效保障内网访问安全 。 注意 移动端暂未发版本，有需要可以 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速，配置详情见客户端限速。 客户端自保护 支持客户端防卸载能力，适用于企业强管控合规要求，配置详情见客户端自保护。 开机自动启用AOne 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能，配置详情见开机自动启用AOne。

本节为您介绍云迁移服务功能特性。 评估和规划 云迁移服务可以调研和评估用户原有的业务环境，包括主机资源、应用程序、数据存储和中间件等。云迁移服务还可针对用户目标云环境及资源提供建议和规划，并帮助用户确定最佳迁移策略和上云路径。 自动化迁移 云迁移服务提供服务器迁移、数据库迁移以及数据迁移的自动化迁移工具和技术，帮助用户将源端业务系统从他云或本地环境自助迁移到天翼云。 数据迁移和同步 云迁移服务支持将大量数据和数据库从他云或本地环境迁移到天翼云，同时在数据迁移过程中提供实时的数据稽核与修复功能，确保数据在迁移过程中的完整性与一致性。 资源规划管理 云迁移服务为用户提供了统一的采集模板，具备离线和在线两种模式来发现资源任务。这个服务可以将不同的主机、对象存储和数据库资源纳入平台管理，方便用户进行后续的具体迁移操作和管理。用户可以使用这个功能来收集和整理各种资源，以便更好地进行迁移任务和管理各项操作。 迁移整体调度 云迁移服务通过提供用户自定义迁移计划与迁移组的方式，将服务器、数据库、对象存储等资源自定义整合成一个调度任务，通过云迁移服务的整体调度能力实现批量管理、开始与暂停监控迁移任务，优化用户迁移效率，加快上云速度。

本章节介绍应用服务网格CSM相关名词解释 控制面（ Control plane ） 控制面是整个服务网格的控制中枢，负责整个网格的管理，包括sidecar注入，服务发现和服务治理配置分发以及证书管理功能等。 数据面（ Data plane ） 数据面是实际执行流量治理的代理服务器，在istio里面采用Envoy作为流量代理服务器，Envoy会拦截进出业务服务的流量并执行相应的流量治理策略。 sidecar 注入（ sidecar injection ） 在业务pod内部增加一个sidecar，用于实现流量拦截和代理功能，称为sidecar注入；在K8S的使用场景下，一般采用webhook机制实现业务无感知的sidecar注入。 虚拟服务（ Virtual Service ） 虚拟服务是istio定义的流量治理对象，能够实现对指定服务配置路由规则的功能，匹配到该路由规则的请求将根据配置被转发到相应的目标。 目标规则（ Destination Rule ） 目标规则时istio定义的用于管理流量转发目标服务的对象，比如可以使用目标规则设置要转发的目标服务的版本、超时重试策略、熔断策略等。 对等身份认证（ Peer Authentication ） 在服务网格内，服务之间通信都要经过sidecar，对等身份认证策略定义了sidecar之间的通信安全策略，可以是明文传输，或者强制TLS加密通信，或者两种都可以。 请求身份认证（ Request Authentication ） 请求身份认证定义了服务对于收到的请求的身份认证策略，比如可以配置服务按照jwt策略对请求的身份进行认证，认证之后可以基于请求者的身份做进一步的访问授权策略。

地域（Region） 地域（Region）表示ZOS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创建桶（Bucket）。一般来说，距离用户更近的Region访问速度更快。 Region是在创建Bucket的时候指定的，一旦指定之后就不允许更改。该Bucket下所有的Object都存储在对应的数据中心，目前不支持Object级别的Region设置。 ZOS将一些地域合并，简化服务开通步骤和便捷管理合并地域的ZOS数据。已合并的地域会支持“公共资源池”方式的统一管理，具体可参考地域说明。 可用区（Available Zone） 一个可用区是指在同一个地域内的一个或多个物理隔离的数据中心。每个可用区通常都具有独立的风火水电、网络互联和故障隔离机制，以确保高可用性和容灾能力。可用区的设置旨在提供数据中心级别的冗余和容错能力。通过将应用程序和数据跨多个可用区进行部署，可以减轻单一故障点和自然灾害对服务连续性的影响。 访问密钥（AK/SK） AccessKeyId和AccessSecretKey是您访问ZOS的密钥，ZOS会通过它来验证您的资源请求，具体可参考获取访问密钥。 终端节点（Endpoint） ZOS为每个地域提供一个终端节点，终端节点可以理解为ZOS在不同地域的域名，用于处理各自地域的访问请求。用户可在对象存储控制台中查看各地域的Endpoint地址。具体可参考查询终端节点。

区别项 云专线 云间高速 概念 云专线是一种通过私有连接，将用户本地数据中心与云端的数据中心直接连接起来的服务。 云间高速是云厂商为用户提供的一种高速互联网连接服务，使用户可以通过公共互联网连接到云端的数据中心。 连接方式 天翼云云专线服务是由物理专线实现连接的，具有较高的带宽、低延迟和更可靠的连接。 通常是通过虚拟专线或优化的网络路由实现的，以提供较快的数据传输速度和相对较低的延迟。 路由配置 专线网关作为客户站点和天翼云VPC之间的虚拟路由转发设备，实现端到端的路由配置，一端绑定物理专线，一端与客户站点需要访问的VPC直连。 在云间高速中，云网关通过配置在其上的路由表进行多点互联流量转发，每个云网关包含一张默认路由表，支持创建自定义路由表，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 带宽配置 在配置物理专线时，可以指定带宽，实现点到点购买。 购买云间高速时，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 适用场景 云专线可以提供更好的隐私和安全性，适用于需要大量数据传输和对网络连接稳定性要求较高的企业。 云间高速适用于需要与云服务提供商快速连接的任务，如数据备份、应用程序部署等。

本节为您介绍如何通过云主机创建整机镜像,包括Linux和Windows操作系统。 操作场景 您可以使用弹性云主机将其挂载的数据盘一起创建整机镜像，云主机整机镜像包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据迁移。 前提条件 系统盘或数据盘加密的云主机不可创建整机镜像。 整机镜像只能通过云主机创建，不能通过镜像文件创建。 如果只有系统盘的云主机，不支持创建整机镜像，请选择系统盘镜像。 当删除整机镜像时，对应的整机备份同时删除。 使用整机镜像购买云主机时，在磁盘选项里面，系统盘与数据盘的类型与整机镜像的系统盘数据盘类型相同，不可更改。数据盘大小不可更改，系统盘大小必须大于等于整机镜像中的系统盘大小。如整机镜像有多块数据盘，则购买页面亦有多块数据盘，且不能删除数据盘。计费标准与正常挂载数据盘一致。 整机镜像不支持导入、导出功能。 节省关机状态下的云主机不支持创建镜像。 注意 请确保已删除实例中的敏感数据，避免数据安全隐患。 弹性云主机与其创建的私有镜像属于同一个地域，不能跨地域使用。 创建私有镜像的过程中，请勿对所选云主机及其相关联资源进行任何操作。 创建整机镜像所需时间取决于云主机系统盘的大小，私有镜像创建完成才可以使用，请您耐心等待。

本文为您介绍克隆实例的使用场景和操作流程。 操作场景 当您需要多个相似的云主机或环境时，可以克隆现有的主机来快速部署所需的配置、应用程序和设置，节省了配置时间和劳动成本。 如果主机出现故障或问题，克隆主机可以快速替代原始主机，减少服务中断时间。 在需要快速增加服务器以应对流量增加或负载均衡的情况下，通过克隆现有主机，可以更迅速地扩展服务器规模，以满足需求。 前提条件 选择支持克隆云主机操作的区域。 待克隆的云主机处于“运行中”或“关机”状态，处于中间态的云主机无法进行克隆。 本地盘云主机不支持克隆。 其余类型云主机状态为创建中、停止中、启动中、重启中、规格变更中、重建中、快照创建中、备份创建中、按量删除中、已冻结、已到期、包周期退订中、包周期已退订、节省关机中、节省关机、错误 不支持克隆。 操作步骤 1. 登录控制中心； 2. 单击控制中心顶部的，选择“地域”； 3. 选择“计算 >云主机”； 4. 在待克隆的云主机的“操作”列下，单击“更多 >克隆云主机”； 5. 在克隆云主机界面，填写克隆云主机的相关信息后，单击“立即购买”，支付成功后完成克隆。 注意 部分资源池由于版本问题可能不支持克隆，如遇相关问题可联系天翼云客服。

本节介绍如何对弹性云主机进行开机操作。 操作场景 开机操作可以将弹性云主机从关机状态切换为运行状态，以便正常运行应用程序和服务。 对单台云主机进行开机的操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在云主机列表中，使用搜索功能输入云主机的名称、ID或IP地址以定位目标云主机。 5. 选择目标云主机，点击云主机列表左上角的开机操作按钮。 6. 在弹出的提示信息中，确认操作是否正确。 注意 请注意云主机状态的说明。如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。 对多台云主机进行开机的操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在云主机列表中，选择需要开机的多台云主机。 5. 点击云主机列表左上角的开机操作按钮。 6. 在弹出的提示信息中，确认操作是否正确。 注意 请注意云主机状态的说明。如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。

本文快速了解弹性负载均衡后端云主机的功能及其权重。 后端主机是指可接收和处理来自负载均衡器转发的流量的云主机实例。弹性负载均衡将传入的网络流量分发到多个后端主机进行处理，以实现负载均衡和提高应用程序的可用性、可扩展性和性能并屏蔽单点故障。 针对在某些特定时间段内，业务流量出现大幅度波动，可以使用负载均衡集成弹性伸缩服务来实现自动化的资源调整。弹性伸缩服务可以根据业务流量的变化自动调整云主机数量，从而保证业务处理能力的充足和稳定，提高业务的可用性和性能。同时，结合负载均衡技术，可以将流量合理地分配到多个云主机上进行处理，进一步提高业务的处理效率和吞吐量。 后端主机通常是通过后端主机组进行管理的，您可以配置每个主机的和端口，并将后端主机与主机组进行关联。 约束与限制 作为后端主机的云主机可以属于同一可用区，也可属于多个可用区 跨VPC后端类型：仅支持同账号下通过对等连接打通的跨VPC后端IP 远端IP类型：远端IP类型的主机组配置后，负载均衡实例不支持客户端地址保持功能（ELB的DNAT模式）。需要提前将云上VPC和线下IDC通过云专线、VPN等三层路由打通。 一个负载均衡实例的监听器可绑定的主机数量为100台。一个负载均衡实例的监听器可绑定的跨VPC后端IP为100个。具体配额详情查看：[产品使用限制](

本文为您详细介绍DeepSeekV3模型。 模型简介 DeepSeekV3是DeepSeek团队开发的新一代专家混合（MoE）语言模型，共有671B参数，在14.8万亿个Tokens上进行预训练。该模型采用多头潜在注意力（MLA）和DeepSeekMoE架构，继承了DeepSeekV2模型的优势，并在性能、效率和功能上进行了显著提升。 使用场景 DeepSeekV3模型适用于多种自然语言处理任务，如文本生成、问答系统、文本摘要等，能够生成高质量的语言内容并支持多语言对话。此外，它在数学推理、代码生成等复杂任务中表现出色，可广泛应用于教育、商业决策和编程辅助等领域。 评测效果 基础模型评估 聊天模型评估 注意：所有模型均在将输出长度限制为8K的配置中进行评估。包含少于1000个样品的基准使用不同的温度设置进行多次测试，以获得可靠的最终结果。DeepSeekV3是性能最佳的开源模型，并且与前沿的闭源模型相比也表现出有竞争力的性能。 技术亮点 创新的负载均衡策略和训练目标 除了DeepSeekV2的高效架构之外，DeepSeekV3开创了一种用于负载均衡的辅助无损策略，该策略可以最大限度地减少因鼓励负载均衡而引起的性能下降。 多标记预测（MTP）目标，并证明它对模型性能有益，可用于推理加速的推测解码。

操作场景 为云硬盘创建快照可以保存指定时刻的云硬盘数据。在进行云硬盘数据回滚、软件应用升级、数据迁移等重要操作之前，建议提前创建快照做好数据备份，确保操作中出现意外的时候，数据不受影响。 约束与限制 系统盘和数据盘都支持创建快照。 加密云硬盘的快照数据以加密方式存放，非加密云硬盘的快照数据以非加密方式存放。 单个云硬盘最多支持手动创建256个标准快照，其中支持开启极速可用功能的快照数量为7个。 单个云硬盘每次只能创建一个标准快照，且前一个标准快照创建完成后才可以创建下一个标准快照。 暂不支持使用普通IO和高IO类型的云硬盘创建启用了快照极速可用功能的标准快照。 一般情况下，创建标准快照所需的时间为分钟级，且和云硬盘实际写入的数据量大小有关，数据量越大，创建标准快照所需的时间越长。首次为云硬盘创建标准快照，数据量为全量，所需时间较长；再次创建标准快照时，所需时间相对较短，但仍和上一个标准快照的数据量变化有关，数据量变化越大，所需时间越长。 当使用快照回滚至云硬盘时，该云硬盘创建的下一个标准快照为全量快照。 创建标准快照期间，使用云硬盘所产生的增量数据不会备份到所创建的标准快照中。 创建标准快照期间，删除源云硬盘会影响标准快照的创建，请创建完成之后再删除。 单个快照最多可以添加20个标签。 同一个快照的标签的“键”不允许重复。

本章介绍函数工作流如何使用模板创建函数。 概述 FunctionGraph平台提供了函数模板，本章节介绍如何在创建函数时选择模板，实现模板代码、运行环境自动填充，快速构建应用程序。 步骤一：准备环境 本章节所有操作均默认具有操作权限，请确保您登录的用户已有“FunctionGraph Administrator”权限，即FunctionGraph服务管理员权限。 步骤二：创建函数 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 单击右上方的“创建函数”，进入“创建函数”页面，使用模板创建函数。 3. 参考下图，选择如下模板并单击“使用模板”。 图 选择模板 4. 函数名称输入“context”，“委托名称”选择已创建的任意委托，其他设置保持不变，单击“创建函数”。 说明 若不配置委托，在触发函数时，执行结果会返回。 Failed to access other services because no temporary AK, SK, or token has been obtained. Please set an agency. 填写基本信息 步骤三：测试函数 1. 在函数详情页，单击“测试”，在弹窗中创建新的测试事件。 2. 选择“空白模板”，事件名称输入“test”，完成后单击“创建”。 步骤四：查看执行结果 单击test事件的“测试”，成功执行后，在右侧查看执行结果。 “函数返回”显示函数的返回结果。 “日志”部分显示函数执行过程中生成的日志。 “执行摘要”部分显示“日志”中的关键信息。 说明 此页面最多显示2K日志，了解函数更多日志信息，请参考

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

本章节主要介绍sidecar管理 sidecar管理中支持查看所有注入了sidecar的工作负载信息，还可以进行sidecar注入、配置sidecar资源限制等操作。 sidecar注入 可展示当前已注入sidecar的命名空间及所属集群。如果还未做过注入操作，或者需要为更多命名空间注入sidecar，请参考以下操作： 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网格配置”，单击“sidecar管理”页签。 步骤 3 单击“sidecar注入”，选择命名空间，判断是否重启已有服务，单击“确定”。 选择命名空间：选择一个或多个命名空间，系统将为命名空间设置标签istioinjectionenabled。 是否重启已有服务： ：会重启命名空间下已有服务关联的Pod，将会暂时中断业务。只有在重启后，已有服务关联的Pod才会自动注入istioproxy sidecar。 ：已有服务关联的Pod不会自动注入istioproxy sidecar，需要在CCE控制台，手动重启工作负载才会注入sidecar。当然了，是否重启已有服务只会影响已有服务，只要为命名空间设置了istioinjectionenabled标签，后面新建的服务实例都会自动注入sidecar。 说明 若界面提示“以下集群未开放命名空间注入修改操作”，需要通过kubectl命令行开放。 为集群的命名空间开启sidecar注入后，该命名空间下所有工作负载关联的Pod将自动注入sidecar。

使用共享云硬盘必须搭建集群吗？ 是的。 共享云硬盘必须在集群管理环境中使用，这是由共享云硬盘的使用原理以及用户需求共同决定的。 直接将共享云硬盘挂载给多台云主机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。 如何把非共享盘变更为共享盘？ 购买成功后是不允许更改共享盘属性的。 若有共享盘需求，请重新购买云硬盘，并在订购页面勾选“共享盘”属性。 数据盘可以在云主机退订或删除时保留，并在之后挂载给其他云主机吗？ 如果数据盘是随云主机一起订购的，则不能单独卸载并保留。 如果数据盘是单独订购并挂载给云主机的，那么在云主机被退订或删除时，云硬盘会被自动卸载，云硬盘和数据仍然保留。该云硬盘在之后可以挂载至同一地域同一可用区的其他云主机。需要注意的是，如果该云硬盘在重新挂载后需要继续使用原有的数据，则不能做初始化的操作，否则原有数据会被清空。

您可以通过本页了解天翼云TeleDB数据库的应用程序语法。 建立函数语法 plaintext CREATE [OR REPLACE] FUNCTION [模式名.]函数名 ([参数模式 [参数名] 数据类型 [default 默认值] [,…]]) RETRUNS [SETOF] 数据类型 AS [标签] [DECLARE 变量定义] BEGIN 注释 /注释/ 语句执行 END; [标签] LANGUAGE PLPGSQL; [OR REPLACE] 更新函数介绍 OR REPLACE 的作用为函数存在时则替换，建立 PL/pgsql 函数时如果不带 OR REPLACE 关键字， 则遇到函数已经存在，系统会报错，如下所示： plaintext teledb select prosrc from pgproc where proname'f'; prosrc BEGIN + RAISE NOTICE 'Hello ,teledb';+ END; + (1 row) teledb CREATE FUNCTION f() RETURNS VOID AS $$ BEGIN RAISE NOTICE 'Hello ,teledb'; END; $$ LANGUAGE PLPGSQL; ERROR: function "f" already exists with same argument types teledb CREATE OR REPLACE FUNCTION f() RETURNS VOID AS $$ BEGIN RAISE NOTICE 'Hello ,teledb'; END; $$ LANGUAGE PLPGSQL; CREATE FUNCTION teledb select prosrc from pgproc where proname'f'; prosrc BEGIN + RAISE NOTICE 'Hello ,teledb';+ END; + (1 row) teledb select f(); NOTICE: Hello ,teledb f (1 row) [模式名.]函数名介绍 建立函数名称，模式名可以指定，也可以不指定，不指存则存放在当前模式下，如上面例子就没有指定模式名，则就存放在当前模式下，如下所示： plaintext teledb select from pgnamespace; nspname nspowner nspacl ++ pgtoast 10 pgoracle 10 squeeze 10 pgtemp1 10 pgtoasttemp1 10 pgcatalog 10 {teledbUC/teledb,U/teledb} public 10 {teledbUC/teledb,UC/teledb} informationschema 10 {teledbUC/teledb,U/teledb} (8 rows) teledb

本章介绍Windows CryptoAPI欺骗漏洞。 2020年1月15日，微软公布了1月的补丁更新列表，其中存在一个由NSA发现的、影响Microsoft Windows加密功能的高危漏洞（CVE20200601）。该漏洞影响CryptoAPI椭圆曲线密码（ECC）证书检测机制，致使攻击者可以破坏Windows验证加密信任的过程，并可以导致远程代码执行。 漏洞编号 CVE20200601 漏洞名称 Windows CryptoAPI欺骗漏洞（CVE20200601） 漏洞描述 Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书，对恶意可执行文件进行签名来利用此漏洞，从而使该文件看似来自受信任的合法来源，用户将无法知道该文件是恶意文件。例如，攻击者可以通过该漏洞，让勒索木马等软件拥有看似“可信”的签名证书，从而绕过Windows的信任检测机制，误导用户安装。 攻击者还可以利用该漏洞进行中间人攻击，并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例，如用户常见的HTTPS连接、文件签名和电子邮件签名等。 影响范围 Windows 10 Windows Server 2016和Windows Server 2019版本 依赖于Windows CryptoAPI的应用程序。 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见<

本节主要介绍设置可维护时间段 可维护时间段是指允许天翼云进行维护操作的时间段。建议您将可维护时间段设置在业务低峰期，以避免维护过程中异常中断。 默认可维护时间段为02:00~06:00，您可以根据业务需求，设置可维护时间段。 使用须知 在进行正式维护前，DDS会给天翼云帐号中设置的联系人发送通知，请注意查收。 在可维护时间段内，实例会发生1到2次连接闪断， 请确保应用程序具备重连机制。 修改可维护时间段，不影响原有可维护时间段内定时任务的执行时间。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“数据库信息”模块的“可维护时间段”处，单击“修改”。 设置可维护时间段 步骤 5 在“修改可维护时间段”弹框中，选择一个时间间隔，下拉框中选择可维护时间段，单击“确定”。 修改可维护时间

本文主要介绍云日志服务的数据加工概述。 云日志服务提供可扩展、高可用的数据加工服务。数据加工服务可用于日志的规整、富化、流转、脱敏和过滤等。 加工流程 日志加工服务通过如下三个步骤完成加工处理。 1. 通过消费组对源日志单元的已分词日志进行读取。 2. 通过加工规则对读取到的每一条分词日志进行加工处理。 3. 将加工后的日志写入目标日志单元。加工完成后，您可以在目标日志单元中查看加工后的日志。 功能特性 数据规整：由于日志数据通常来自于不同的系统组件、应用程序或设备，其格式和结构可能各异，导致在对日志数据进行分析、搜索和可视化时出现困难。数据规整可针对混乱格式的日志进行字段提取、格式转换，统计为一致性格式以便后续的处理与分析。 数据脱敏：对日志数据中的敏感信息（如密码、手机号、地址等）进行脱敏。 数据过滤：针对关键业务或服务的日志进行过滤，用于后续重点分析等场景。 加工语法 加工SPL（Semistructured Processing Language）是云日志服务数据加工使用的类Linux Shell脚本，支持对半结构化的日志数据做结构化处理，比如信息提取、字段操作、数据过滤等操作。SPL提供类类似Linux Shell脚本的管道级联功能，其中第一级管道前的表达式是数据源（可以是索引过滤条件或其他SPL语句的命名引用），后面的多级管道前后都是SPL命令表达式。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext