本文介绍了：云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

参数 类型 描述 是否必须 autoFailback String 是否根据指定的卷主备分布优先级自动进行主备切换（仅集群版支持），即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 默认值为Enabled。 否 priority Array of string 指定卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 前置条件 ：iSCSI target名称已经存在，且指定的服务器必须是iSCSI target所在的服务器。 取值：服务器ID。 否

项目 描述 软件版本 目前HBlock的版本。 系统状态 系统状态： 工作中。 升级中。 存储池 系统中的存储池个数（仅集群版支持）。 基础存储池 基础存储池的信息（仅集群版支持），包括故障域级别、故障域状态，数据目录健康状态。 服务器 各状态服务器的个数，包括：已连接、未连接、移除中。 数据目录 各状体数据目录的个数（仅单机版支持），包括：健康、警告、错误。 数据 各状态数据所占比例，包括：正常、降级、错误。 许可证 许可证的模式、生效时间、到期时间。

参数 类型 描述 是否必须 autoFailback String 修改是否根据指定的卷主备分布优先级自动进行主备切换（仅集群版支持），即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 否 priority Array of priority 修改卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 注意 如果为空数组，即[ ]，表示清空优先级设置。 取值：服务器ID。 否

本文介绍CDN叠加Web应用防火墙（边缘云版）的产品实践。 背景信息 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 Web应用防火墙（边缘云版）依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等防护。 适用场景 网站对内容有加速需求，同时又有较高的安全防护要求时，可以选择使用天翼云CDN加速叠加Web应用防火墙（边缘云版）产品。相关产品介绍，详情请见：Web应用防火墙（边缘云版）。 工作原理 天翼云CDN叠加Web应用防火墙（边缘云版）产品后用户请求流程如下： 用户请求先到CDN，由CDN将请求转发到Web应用防火墙，Web应用防火墙再将请求转到源站服务器。 操作流程 前提条件： 加速域名需已接入天翼云CDN加速，在此基础上叠加Web应用防火墙配置。 详细步骤如下：

本文介绍访问DDoS高防（边缘云版）域名资源出现404状态码的排查过程。 问题现象 在使用天翼云DDoS高防（边缘云版）时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：网站配置未正确配置：如果网站配置未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么边缘节点将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到访问出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查网站配置是否正确：控制台网站配置的回源域名/回源IP、回源HOST、回源端口、回源协议等配置是否正确。 1、回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2、回源HOST配置错误：回源HOST用于指定边缘节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了回源时建连的具体IP地址。 回源HOST：指边缘节点回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3、回源端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站HTTP服务端口为81，则需要修改回源配置，自定义【源站端口】为HTTP 81，同时需要修改回源协议为HTTP。 源站HTTPS服务端口为82，目前HTTPS服务端口不支持自助自定义，请提交工单联系天翼云客服进行配置。 源站仅单一协议存在资源（HTTP默认80端口，HTTPS默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

本节主要介绍Redis实例如何通过rediscli连接 rediscli是原生Redis自带的命令行工具，您可以在ECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 前提条件 1. 设置Redis账号密码。可选择以下任意方式： 设置Redis默认账号的密码，具体操作请参考重置缓存实例密码。 创建新的账号密码，具体操作请参考创建与管理账号。 2. 获取Redis连接信息。 使用专有网络连接：在Redis控制台，获取该实例的专有网络连接地址，具体操作请参考查看连接地址。 使用公网连接时：在Redis控制台，绑定并获取该实例的公网IP，具体操作请参考绑定公网IP。 说明 说明：Redis实例默认仅提供专有网络连接地址，通过公网连接时您需要手动申请公网连接地址，具体操作请查看 操作步骤 1. 登录安装rediscli的设备，例如天翼云弹性云主机实例或本地设备。 2. 进入rediscli安装目录下。 Windows：打开命令行窗口，进入rediscli所属的目录。 Linux：进入..redissrc所属的目录，例如cd /home/redis5.0.5/src。 3. 获取连接信息并执行下述命令连接Redis实例： rediscli h ip p port 各参数说明如下： 参数 说明 获取方式 ip Redis实例的连接地址 参见查看连接地址 port Redis实例的端口号 端口号。 4. 执行下述命令完成密码验证： AUTH password

概述 云原生网关会记录API每一次的发布快照。您可在发布历史中查看每一次发布的API详细信息。并且可以选择任何一次快照进行重新发布，实现版本切换。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择发布历史，即可查看API的发布历史，可选择不同环境进行过滤。 查看API快照 在发布历史列表中，选择对应版本，可以查看API快照。 版本切换 点击切换至此版本，可以指定历史版本重新发布到对应的环境中。

本章节介绍云原生网关CGW子产品相关名词解释 域名 一串用点分隔的字符，作为互联网中某个实体的名称；在云原生网关中可以根据请求中的域名信息进行路由匹配，域名还可以关联证书，实现TLS加密访问。 服务来源 网关转发请求到的服务的来源，当前支持天翼云容器引擎和天翼云注册配置中心（Nacos引擎）作为服务来源。 服务 网关路由转发到后端的服务，可以是部署在K8s或者注册到Nacos的服务，也可以是固定地址。 路由规则 一个路由规则可以基于配置匹配路径、header等参数，讲请求转发到指定的后端服务；同时可以配置header、限流等策略。 认证鉴权 网关需要对请求的身份进行校验，当前云原生网关支持jwt、oidc及通过扩展插件的方式实现对请求的身份认证和鉴权。

退订服务器是否影响现有程序运行？ 问题描述 退订服务器是否影响现有程序运行？ 解决方法 容器部署，退订服务器后服务实例将会在CCE集群内重新调度。 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 问题描述 基于Java Chassis开发的微服务注册到开启了安全认证的微服务引擎专享版，微服务的注册发现地址使用微服务引擎服务注册发现的IPv4地址，可以注册成功并正常启动。 如果修改微服务的注册发现地址为微服务引擎注册发现的IPv6地址后，注册失败并报错“java.net.SocketException: Protocol family unavailable”。 可能原因 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。 如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。 解决方法 步骤 1 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群。 修改环境，请参考。 步骤 2 重新部署应用，请参考。 如何处理操作微服务引擎专享版时遇到非微服务引擎本身错误？ 问题描述 在对微服务引擎专享版执行创建、删除、变更规格、升级等操作时，可能会遇到非微服务引擎本身的错误。 例如，在创建微服务引擎专享版时，集群部署失败，报错如下： {"errorcode":"SVCSTG.00500400","errormessage":"{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","code":400,"errorCode":"CCE.01400013","errorMessage":"Insufficient volume quota.","errorcode":"CCECM.0307","errormsg":"Volume quota is not enough","message":"volume quota checking failed as [60/240] insufficient volume size quota","reason":"QuotaInsufficient"}"} 解决方法 页面上展示的错误信息中已经包含相应服务的错误码，根据错误码和错误信息联系相应服务的技术支持工程师提供支持。

服务部署在非中国大陆时，是否可使用DDoS高防（边缘云版）？ 不支持，DDoS高防（边缘云版）节点资源主要分布于中国大陆，定位于面向中国大陆区域的用户提供防护。 如果您的服务部署在非中国大陆，建议您开通边缘安全加速平台。 DDoS高防（边缘云版）是否支持海外区域防护？ 不支持，DDoS高防（边缘云版）节点资源主要分布于中国大陆，定位于面向中国大陆区域的用户提供防护。 如果您业务的用户群体涉及非中国大陆区域，建议您开通边缘安全加速平台。 客户的源站IP不是电信的，可以使用DDoS高防（边缘云版）吗？ 支持使用。DDoS高防（边缘云版）支持三网接入，不限制您源站是否使用电信IP。 只要您的源站与天翼云网络公网路由可达，即可使用DDoS高防（边缘云版）。 DDoS高防（边缘云版）过期后会怎样？ DDoS高防（边缘云版）过期后，域名将自动停用。 服务过期域名停用后的影响： 3天内，CNAME将解析到您的源站服务器。 3天后，CNAME将解析至黑洞地址。 详情请参考：停用域名。

本章节介绍云原生网关的插件配置 概述 云原生网关中提供了丰富的插件功能，可以满足用户特定的流量管理、可观测性、安全性能、请求/响应转换等需求，从而提高了网关的可扩展性，使得用户能够根据具体的应用场景进行灵活配置，实现高度个性化的云原生网关服务。 插件配置 目前云原生网关支持全局和路由级别两种粒度的插件配置： 1. 全局插件 ：应用于整个网关实例，对所有的路由都生效。一种插件类型只能有一个全局插件配置，应用于全体路由上。 2. 路由级插件 ：可灵活绑定在某一条路由上，只对特定的路由生效，允许根据具体的路由定制化功能。一种插件类型可以有多个不同的路由级插件配置，每个路由级插件配置可灵活应用于多条路由上。 3. 路由策略 ：也是由插件配置实现的，支持限流、重写等策略，应用在具体路由上。 当在路由上同时配置了某一种插件类型的全局插件、路由级插件和路由策略时，插件生效的优先级为：全局插件> 路由策略 路由级插件，即以全局插件中的配置为准。若在路由上只同时配置同一插件类型的路由级插件和路由策略，则以最新的插件配置为准。

Redis实例创建失败的可能原因 子网IP不足 分析：单机实例需要绑定1个子网IP地址，主备实例需要绑定2个子网IP地址，集群实例有多个节点，需要绑定多个IP地址。 解决方案：在VPC内可以跨子网访问实例，因此，如果子网IP资源不足，可以更换子网创建实例或者释放当前子网下其他IP地址 IAM用户（子用户）没有创建权限 分析：用户所属组需要拥有"DCS2 admin”策略或者拥有创建DCS实例的权限。 解决方案：使用管理员用户创建DCS实例。 实例类型是否支持原生集群？ 当前Redis 6.0/7.0支持原生集群，原生集群架构介绍如下： Cluster主备：直连模式集群，数据多个分片，每个分片主从热备部署架构。 Cluster单机：直连模式集群，数据多个分片，每个分片单节点部署架构。

本章节介绍如何管理服务来源 概述 云原生网关无缝对接天翼云注册配置中心和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。整体架构如下： 创建云容器引擎服务来源 云原生网关支持云容器引擎作为服务来源，本文介绍添加云容器引擎作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择容器服务；在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群） 8. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签，详细参考Ingress管理章节 创建注册配置中心服务来源 云原生网关支持MSE注册配置中心作为服务来源，本文介绍添加注册配置中心作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择MSE Nacos（当前仅支持Nacos引擎）；在集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的集群）

本节主要介绍服务器监控信息。 在“监控”页面点击“服务器”，可以查看服务器上HBlock指定时间内的监控信息：数据目录使用率、容量配额使用率、CPU使用率、内存使用量、内存总量、数据目录使用量、数据目录总容量、配额使用量、配额、读带宽、写带宽、总带宽、读IOPS、写IOPS、总IOPS、读时延、写时延、总时延、上云上传带宽、上云下载带宽、上云总带宽。 图1 服务器监控（单机版） 项目 描述 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额使用率 HBlock所有数据目录容量配额使用率的平均值。 HBlock服务器 HBlock服务器的性能。 CPU使用率 服务器CPU使用率。 内存使用量 服务器内存使用量。 内存总量 服务器内存总量。 数据目录使用量 数据目录所在磁盘使用量的总和。 数据目录总容量 数据目录所在磁盘容量的总和。 配额使用量 HBlock已使用容量配额。 配额 HBlock容量配额总和。 客户端 HBlock 当前服务器上，客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock服务器读取数据的带宽。 写带宽 客户端向HBlock服务器写入数据的带宽。 总带宽 客户端与HBlock服务器之间的总带宽。 读IOPS 客户端从HBlock服务器读取数据的IOPS。 写IOPS 客户端向HBlock服务器写入数据的IOPS。 总IOPS 客户端与HBlock服务器之间的总IOPS。 读时延 客户端从HBlock服务器读取数据的时延。采集周期内，服务器关联卷的读时延平均值。 写时延 客户端向HBlock服务器写入数据的时延。采集周期内，服务器关联卷的写时延平均值。 总时延 客户端与HBlock服务器之间的总时延。采集周期内，服务器关联卷的读写时延平均值。 HBlock Cloud 当前服务器上，HBlock与云之间的数据传输情况。 上云上传带宽 HBlock服务器器向云上传数据的带宽。 上云下载带宽 HBlock服务器从云下载数据的带宽。 上云总带宽 HBlock服务器与云之间的总带宽。

CSRF防护的方式 1、验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 2、验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 3、请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用CSRF防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“CSRF防护”页面，可以配置CSRF防护策略；

本节介绍企业主机安全病毒查杀功能。 病毒查杀概述 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件；用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 使用约束 使用病毒查杀功能须满足以下条件： 服务器已开启HSS企业版、旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 Linux：3.2.9及以上版本。 Windows：4.0.20及以上版本。 服务器已开启AV检测策略，详细操作请参见策略管理概述章节。 扫描病毒 静态病毒文件一旦启动就可能化身恶意进程，成为服务器的巨大安全隐患，因此提前查杀静态病毒文件是防护服务器安全的关键之一。HSS的病毒查杀功能，支持扫描服务器上的病毒文件，并提供以下三种病毒扫描方式供您扫描病毒： 快速查杀：节约时间成本的快速病毒扫描任务，查杀预置的系统关键文件和目录。 全盘查杀：比较耗费时间的全磁盘病毒扫描任务，全面清扫服务器中的病毒文件。 自定义查杀：您可以根据自身需求自定义病毒扫描任务。

本节主要介绍HBlock服务。 服务 服务名称 作用 stor:mdm 元数据管理服务（仅集群版支持） 管理整个系统的元数据。 stor:fc 故障转移控制服务（仅集群版支持） 进行系统健康检测，实现故障转移控制。 stor:ls 日志服务（仅集群版支持） 提供基于日志的数据同步功能。 stor:dsx 数据服务（仅集群版支持） 管理用户的文件数据块。 stor:cs 协调服务（仅集群版支持） 监视各服务器的状态，触发通知事件，确保集群服务高可用。 stor:ms 管理服务 处理请求信息，维护集群运行状态。 stor:ws 监控服务 监控各个服务的状态，并负责服务的启动。 stor:ps 协议解析服务 负责iSCSI协议解析与数据存储。 stor:ag 数据采集服务 负责采集性能数据。 stor:ua 升级监听服务 负责接收升级请求，执行升级相关操作。

本文主要介绍云原生网关访问日志。 云原生网关对接天翼云日志服务实现了访问日志采集、上报和查询能力；使用此功能前需要先开通云日志服务，同时在云原生网关控制台开启日志功能。 每个云原生网关实例在云日志服务中会创建一个日志项目，项目名称为MSEGW${网关实例名称}，项目内有一个日志单元对应访问日志，单元名称为网关实例名称，您可以在云原生网关控制台 观测分析 > 日志中心 菜单 或者在云日志服务控制台查看网关访问日志。 访问日志格式说明 网关访问日志示例 plaintext {"starttime":1725411921254,"request":{"size":335,"method":"POST","uri":"/foo/bar","headers":{"accept":"text/plain, application/json, application/+json, /","contentlength":"0","ubertraceid":"b32bce4ff1f00f7b:899a1fd65c39be02:1c3372663d9eae03:0","connection":"keepalive","useragent":"Java/1.8.0212","host":"foo.ctyun.com","contenttype":"application/json"},"url":" alb/v3.4.5","contentlength":"427","date":"Wed, 04 Sep 2024 01:05:21 GMT","connection":"close","server":"MSEGW/3.2.2","contenttype":"application/json;charsetUTF8"},"status":400},"upstream":{"upstreamaddr":"10.121.x.x:80","upstreamstatus":"400","upstreamlatency":25,"upstreamname":"fooservice"},"routeid":"ddd342a2a3f34405bb8650ad4e","routename":"testroute"} 访问日志字段说明如下 字段 说明 starttime 请求开始时间 request 请求信息 serviceid 服务id server 网关节点信息 apisixlatency 网关自身处理耗时（不包括上游服务耗时） latency 总请求耗时（网关处理耗时和上游服务耗时之和） clientip 客户端IP response 应答信息 upstream 上游信息，包括上游地址，上游返回的HTTP状态码，上游耗时；当服务访问异常时可以重点关注此字段，确认是否时上游服务出了问题。 routeid 路由id routename 路由名称

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

使用HELM操作HBlock CSI插件的示例。 应用场景 CSI（以1.5.1版本为例）对接两个HBlock，集群版和单机版。 clusterID为stor1，对应集群版。clusterID为stor2，对应单机版。 集群版的服务器IP和API为：192.168.0.64:1443、192.168.0.65:1443、192.168.0.67:1443。单机版的服务器IP和API端口为192.168.0.66:1443。 集群版的用户名和密码为：storuser、hblock12@。单机版的用户名和密码为：storuser、hblock12@。userKey源码可以参考配置HBlock访问用户名和密码示例中的步骤1、2。 集群版和单机版均不使用CHAP认证，如若使用，可以参考配置加密模式 。 启用样例blockVolumes的动态PV样例（dynamicPv），验证HBlock CSI是否已经可以正常启用。 操作步骤 修改配置文件，并应用配置文件 1. 修改charts/csidriverstor/values.yaml配置文件，配置HBlock访问地址、访问用户名和密码、加密模式。 plaintext driverName: stor.csi.k8s.io driverNamespace: default iscsiOnHost: true images: csiProvisioner: registry.aliyuncs.com/googlecontainers/csiprovisioner:v3.5.0 csiAttacher: registry.aliyuncs.com/googlecontainers/csiattacher:v4.3.0 csiResizer: registry.aliyuncs.com/googlecontainers/csiresizer:v1.8.0 csiDriverRegistrar: registry.aliyuncs.com/googlecontainers/csinodedriverregistrar:v2.8.0 csiSnapshotter: registry.aliyuncs.com/googlecontainers/csisnapshotter:v6.3.0 csiSnapshotController: registry.aliyuncs.com/googlecontainers/snapshotcontroller:v6.3.0 csiStorPlugin: storcsidriver:1.5.1 storConfig: configJson: [ { "clusterID": "stor1", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": 480 }, { "clusterID": "stor2", "apiEndPointList": [ " ], "storProvider": "HBlock", "csiApiTimeout": 480 } ] userKey: WwogICAgICB7CiAgICAgICAgImNsdXN0ZXJJRCI6ICJzdG9yMSIsICAKICAgICAgICAidXNlcm5hbWUiOiAic3RvcnVzZXIiLAogICAgICAgICJwYXNzd29yZCI6ICJoYmxvY2sxMkAiCiAgICAgIH0sCiAgICAgIHsKICAgICAgICAiY2x1c3RlcklEIjogInN0b3IyIiwgIAogICAgICAgICJ1c2VybmFtZSI6ICJzdG9ydXNlciIsCiAgICAgICAgInBhc3N3b3JkIjogImhibG9jazEyQCIKICAgICAgfQogICAgXQo chap:

本节介绍如何开启弹性负载均衡防护。 注意事项 一个弹性负载均衡防护消耗1个“可防护公网IP数” 配额。 约束限制 不支持防护“经典型”的负载均衡实例。 开启弹性负载均衡防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“弹性负载均衡”页签，选择IP版本后，找到需要开启防护的弹性负载均衡实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有弹性负载均衡资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 弹性负载均衡实例列表展示当前账号下已创建的弹性负载均衡实例。列表包括名称（实例名称）、状态、网络类型、服务地址（包括公网IP和内网IP）、虚拟私有云（VPC名称、VPC网段）、子网、IPv4带宽、防护状态。 4. 进入开启弹性负载均衡防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：确认基础信息后，单击“开始引流”。 4. 开启防护成功。

本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

本章节为您介绍数据库授权的相关内容。 数据库命令授权是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库命令授权支持以下功能项： 支持按命令组列表排序区分优先级，排序数字越小优先级越高。 支持控制允许、拒行两种命令动作。 允许：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 拒绝：触发该策略规则后，拒绝执行该操作。 约束限制 仅针对MySQL、Oracle、Postgresql类型数据库，支持通过数据库命令授权设置操作细粒度控制。 新增命令组 您在新增数据库命令授权前需要进行新增命令组的操作。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 数据库命令授权”，进入“数据库命令授权”页面。 3.在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 取值样例 名称 自定义命令组的名称。 Test 动作 选择该命令组中的命令触发时产生的动作： 允许：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 拒绝 SQL命令类型 根据您业务的需求，选择需要进行控制的命令，云堡垒机目前支持选择如下命令： SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE。 SELELCT SQL库名 填写命令生效的SQL库名。 Test SQL表名 填写命令生效的SQL表名。 Test 风险等级 选择该命令组的风险等级，共可选5个等级。 普通

集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

本小节介绍态势感知计费说明，提供包年/包月计费模式，最少1个月，最多3年，按照标准价格6折计算，实际价格以官网为准。 计费模式 态势感知产品支持包年包月计费模式。包年包月是一种先付费后使用的计费模式。 计费项 收费标准根据版本（基础版/高级版）、待监控云主机IP数、购买时长进行收费。 计费公式 ：标准资费 待监控云主机IP数 购买时长 标准资费 支持基础版、高级版，不同版本差异请参见产品规格。 产品规格 标准资费（元/月/IP） 基础版 330 高级版 4200 优惠活动 包年订购折扣：针对一次性包年付费服务，享受一年及以上85折优惠。 优惠活动：态势感知产品订购享受6折优惠。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 计费示例 计费场景：用户需要购买基础版功能，监测服务器台数为2台，预估资源使用时长1个月。 计费示例：330元/月/IP 2台 1个月 6折优惠396元

本节介绍了:Pod 水平自动扩缩(HPA)的用户指南。 应用场景 云容器引擎提供Pod 水平自动扩缩（HPA）能力，水平自动扩缩能够根据指标自动更新工作负载资源 （例如 Deployment 或者StatefulSet）的副本数， 目的是自动扩缩工作负载以满足需求。在云容器引擎控制台支持配置基础资源（CPU、内存）和自定义指标（网络、磁盘等）作为Pod扩缩容的触发条件。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 章节。若已有集群，无需重复操作。 通过基础指标（CPU、内存）进行Pod的水平自动伸缩 步骤一 安装cubemetricsserver 插件 云容器引擎在插件市场提供了cubemetricsserver插件，cubemetricsserver是k8s原生提供的插件，支持通过CPU、内存进行HPA的能力； 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 插件 > 插件市场，选择cubemetricsserver进行安装 步骤二 配置HPA策略 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 工作负载 并选择进入对应的工作负载页面，以下以无状态工作负载为例，点击需要伸缩的工作负载右侧的更多按钮，选择弹性伸缩，开启指标伸缩按钮 点击启用策略，指标名称可选CPU和内存，计值方式为百分比；填写伸缩的指标阈值及副本数的伸缩范围，点击确定创建HPA策略 通过预置的高阶指标（网络、磁盘等）进行 Pod的水平自动伸缩

本节介绍了:Pod 水平自动扩缩(HPA)的用户指南。 应用场景 云容器引擎提供Pod 水平自动扩缩（HPA）能力，水平自动扩缩能够根据指标自动更新工作负载资源 （例如 Deployment 或者StatefulSet）的副本数， 目的是自动扩缩工作负载以满足需求。在云容器引擎控制台支持配置基础资源（CPU、内存）和自定义指标（网络、磁盘等）作为Pod扩缩容的触发条件。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 章节。若已有集群，无需重复操作。 通过基础指标（CPU、内存）进行Pod的水平自动伸缩 步骤一 安装cubemetricsserver 插件 云容器引擎在插件市场提供了cubemetricsserver插件，cubemetricsserver是k8s原生提供的插件，支持通过CPU、内存进行HPA的能力； 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 插件 > 插件市场，选择cubemetricsserver进行安装 步骤二 配置HPA策略 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 工作负载 并选择进入对应的工作负载页面，以下以无状态工作负载为例，点击需要伸缩的工作负载右侧的更多按钮，选择弹性伸缩，开启指标伸缩按钮 点击启用策略，指标名称可选CPU和内存，计值方式为百分比；填写伸缩的指标阈值及副本数的伸缩范围，点击确定创建HPA策略 通过预置的高阶指标（网络、磁盘等）进行 Pod的水平自动伸缩

如何压缩Windows系统源端服务器的磁盘分区？ 问题描述 使用主机迁移服务迁移Windows系统的源端服务器时，要求目的端服务器的磁盘大小不小于“源端管理”中相对应的源端服务器“推荐规格”大小，否则迁移可能失败。若您已创建Windows系统的目的端服务器，且目的端服务器的磁盘大小小于推荐规格，您可以参见本章，将源端服务器的推荐规格调至小于或者等于目的端服务器的磁盘大小。 问题分析 对于Windows系统的源端服务器，主机迁移服务“源端管理”中的“推荐规格”是磁盘中所有被分区的空间大小之和。例如一块40GB的磁盘上有35GB被分区，那么推荐规格应该是36GB。因此只要压缩源端服务器中的磁盘分区，再重启Agent，将源端服务器信息重新上报至主机迁移服务，令“源端管理”中的推荐规格小于或者等于目的端服务器的磁盘大小就可以迁移了。 操作步骤 1. 打开“开始”菜单，输入“diskmgmt.msc”。进入“磁盘管理”界面。 2. 右键选中待压缩磁盘的最后一个分区，单击“压缩卷”。进入“压缩”界面。 3. 在“输入压缩空间量(MB)(E)”中输入需要压缩的大小。 4. 单击“压缩”。待压缩的磁盘会出现相应大小的未分配区。 5. 登录目的端管理控制台。 6. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 7. 在左侧导航树中，选择“迁移服务器”。进入服务器列表页面。 8. 在服务器列表页面选择需要删除服务器，单击“操作”列下“更多 > 删除”。或勾选需要删除的服务器，单击服务器列表上方的“更多 > 删除”。 9. 在弹出的“删除”页面，单击“是”。 10. 将源端服务器信息重新上报至主机迁移服务。 1. 若您已将源端服务器中的迁移Agent卸载，请您参见安装Windows版的SMSAgent重新安装迁移Agent。 2. 若您的源端服务器中已安装迁移Agent，请您重新启动迁移Agent，启动成功后，迁移Agent会给主机迁移服务上传源端服务器信息。

关系数据库MySQL版产品的性能优异主要体现为：优化性能、高质量的硬件基础、慢SQL检测、高效访问和SLA。 优化性能 天翼云多年的数据库研发、搭建和维护经验，结合关系数据库MySQL版的云化改造技术，大幅优化传统数据库，为您提供更高可用、更高可靠、更高性能、更高安全、弹性伸缩、便捷运维的天翼云数据库服务。 高质量的硬件基础 通过多年的研究、创新和开发，天翼云对MySQL版数据库进行了优化。在经过了多重考验的服务器硬件的支持下，MySQL版数据库服务变得更加稳定、高性能，为您提供更加优质的数据库服务。 慢SQL检测 关系数据库MySQL版服务提供了慢SQL检测功能，您可以根据关系数据库服务检测到的慢SQL进行相应的优化，进一步提高数据库服务的性能和效率。 高效访问 通过内网通信，关系数据库MySQL版可以与同一地域的弹性云主机配合使用，这样可以缩短应用响应时间，并同时节省公网流量费用。 SLA SLA内容，请参见关系数据库服务等级协议。

设置防护目录 网页防篡改功能需要有防护目录才能起到防护作用，网页防篡改提供以下目录防护模式： 保护指定目录 您最多可在主机中添加50个防护目录，详细操作请参见保护指定目录。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。 开启网页防篡改 1. 登录管理控制台。 2. 在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3. 在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4. 在左侧导航树中，选择“主动防御 > 网页防篡改”，进入“网页防篡改”界面，单击“添加防护服务器”。 添加防护服务器 5. 在“添加防护服务器”页面，选择需要开启防护的服务器，选择目标配额，可默认随机选择，单击“添加并开启防护”。 6. 开启“网页防篡改”防护服务后，请在控制台上查看主机安全服务的开启状态。 “网页防篡改版”开启后，旗舰版防护会同步开启。 选择“主动防御 > 网页防篡改”，目标服务器所在行的“防护状态”为“防护中”，则表示网页防篡改版已开启。 选择“资产管理 > 主机管理 > 云服务器”，目标服务器所在行的“防护状态”为“防护中”，且在“操作”列中主机不能“关闭防护”和“切换版本”，则表示网页防篡改赠送的旗舰版已开启。 选择“资产管理 > 主机管理 > 云服务器”，目标主机所在行的“防护状态”为“防护中”，且“版本/到期时间”为“网页防篡改版”，则表示网页防篡改赠送的旗舰版已开启。 注意 您也可以通过在“资产管理 > 主机管理 > 防护配额”页面，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启网页防篡改防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启网页防篡改后如果需要更新网站请先临时关闭网页防篡改，完成更新后再开启。否则会造成网站更新失败。 关闭网页防篡改期间，您的网站不受保护，更新网页后，请及时开启网页防篡改。