什么是上下级管理？ 上下级管理是AI云电脑平台中的一种租户管理机制，旨在帮助租户在复杂的组织架构中实现资源的统一管理和分配。通过上下级管理功能，上级租户可以对下级租户的资源进行统一管理，而下级租户则可以接受上级租户的管理和指导。这种机制特别适用于多层级组织架构，如教育部门与学校、集团公司与子公司等场景。 功能优势： 统一管理：上级租户可以对下级租户的资源进行统一管理，确保资源的合理分配和使用； 权限分级：通过不同类型的子账号（协同管理员、上级管理员、下级管理员），实现权限的精细化管理； 灵活配置：支持多种管理场景，满足不同组织的管理需求。 应用场景 上下级管理功能适用于需要租户之间进行层级管理的场景。以下是几个典型的使用场景： 1. 教育部门与学校 场景描述：某教育部门下属有多所学校，每所学校都需要以独立的租户账号购买和管理AI云电脑资源。教育部门需要对所有学校的AI云电脑资源进行统一管理和监控。 操作流程： （1）教育部门租户在“下级管理员”菜单下，添加学校租户为“下级管理员”； （2）学校租户在收到添加请求后进行确认，确认后，学校租户可以在子账号管理菜单下看到教育部门租户是其“上级管理员”； （3）教育部门租户可以在“下级管理员”菜单中查看所有被其添加的“下级管理员”，并对这些下级租户的资源进行管理。 2.

RDS for MySQL慢SQL问题处理 SQL异常 原因及现象 SQL异常的原因很多，例如库表结构设计不合理、索引缺失、扫描行数太多等。 您可以在控制台的慢日志页面，下载并查看执行缓慢的SQL，慢SQL的执行耗时等信息。 解决方案 根据实际业务情况优化SQL。 实例瓶颈 原因及现象 实例到达瓶颈的原因一般有如下几种： 业务量持续增长而没有扩容。 硬件老化，性能有损耗。 数据量一直增加，数据结构也有变化，导致原来不慢的SQL变成慢SQL。 您可以在控制台的查看实例的资源使用情况。如果资源使用率各项指标都接近100%，可能是实例到达了瓶颈。 解决方案 确认实例到达瓶颈后，建议升级实例规格。 版本升级 原因及现象 实例升级版本可能会导致SQL执行计划发生改变，执行计划中连接类型从好到坏的顺序是system>const>eqref>ref>fulltext>refornull>indexmerge>uniquesubquery>indexsubquery>range>index>all。更多信息，请参见MySQL官方文档。 range和index连接类型时，如果SQL请求变慢，业务又不断重发请求，导致并行SQL查询比较多，会导致应用线程释放变慢，最终连接池耗尽，影响整个业务。 您可以在控制台的查看实例的当前连接数指标。 解决方案 根据执行计划分析索引使用情况、扫描的行数等，预估查询效率，重构SQL语句、调整索引，提升查询效率。

本节介绍了默认安全组和规则。 默认安全组和规则 系统会为每个用户默认创建一个Sysdefault安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的实例无需添加规则即可互相访问。 如下图所示。 默认安全组 默认安全组Sysdefault规则如下表所示： 默认安全组Sysdefault规则 方向 优先级 策略 协议 端口范围 目的地址/源地址 说明 ::::::: 出方向 100 允许 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 100 允许 全部 全部 源地址：当前安全组名称，例如Sysdefault 允许同样使用当前安全组的云主机之间通过任意端口和规则互访。 入方向 100 允许 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 100 允许 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 首次创建弹性云主机，系统新建虚拟私有云vpcdefault时会默认新建两个SysWebServer和SysFullAccess的安全组，对应开放的安全组规则如下所示。 SysWebServer安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 入方向 ICMP 全部 源地址：0.0.0.0/0 允许Ping命令。 入方向 TCP 443 源地址：0.0.0.0/0 网页浏览端口,主要是用于HTTPS服务。 SysFullAccess安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 全部 全部 源地址：0.0.0.0/0 允许所有入站流量的数据报文通过。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文为您介绍什么是可视化编辑器 您可以在可视化编辑器中拖拽、连线、填表单，实现模板的自动生成，进而完成云上架构的设计。 基于可视化编辑器，您不再需要理解复杂的Terraform语法、费时费力的编写tf模板，只需通过直观的图形界面，就能轻松完成云架构的规划和设计。 相较于手动编写，可视化编辑器的优势 操作直观，所见即所得：你的整个云架构会以拓扑图的形式直观地展示出来，资源之间的关系一目了然。 大幅降低上手门槛：它能让不熟悉代码或刚接触云平台的用户，也能通过图形化操作轻松完成复杂的云资源部署。 减少手写代码的错误：自动生成的模板能避免手动编写配置时可能出现的语法错误或拼写问题。 提升部署效率：一套设计好的架构图可以保存为模板，后续需要时一键即可重复部署，实现应用的快速分发。 适用场景 企业多人协作 企业业务上云、架构迭代、环境搭建、资源变更等工作，无法由单一岗位独立完成，需要架构师、运维、研发、产品、运营、测试、业务负责人等多角色共同参与、各司其职。 场景痛点 非研发人员（产品、运营、业务负责人）需要参与资源架构编排的方案评审、需求确认、资源评估，但传统代码化编排将非技术人员完全隔绝在外，造成协作断层。

本文为您介绍什么是可视化编辑器 您可以在可视化编辑器中拖拽、连线、填表单，实现模板的自动生成，进而完成云上架构的设计。 基于可视化编辑器，您不再需要理解复杂的Terraform语法、费时费力的编写tf模板，只需通过直观的图形界面，就能轻松完成云架构的规划和设计。 相较于手动编写，可视化编辑器的优势 操作直观，所见即所得：你的整个云架构会以拓扑图的形式直观地展示出来，资源之间的关系一目了然。 大幅降低上手门槛：它能让不熟悉代码或刚接触云平台的用户，也能通过图形化操作轻松完成复杂的云资源部署。 减少手写代码的错误：自动生成的模板能避免手动编写配置时可能出现的语法错误或拼写问题。 提升部署效率：一套设计好的架构图可以保存为模板，后续需要时一键即可重复部署，实现应用的快速分发。 适用场景 企业多人协作 企业业务上云、架构迭代、环境搭建、资源变更等工作，无法由单一岗位独立完成，需要架构师、运维、研发、产品、运营、测试、业务负责人等多角色共同参与、各司其职。 场景痛点 非研发人员（产品、运营、业务负责人）需要参与资源架构编排的方案评审、需求确认、资源评估，但传统代码化编排将非技术人员完全隔绝在外，造成协作断层。

概述 为了方便您的使用，我们兼容了 E2B SDK，您可以复用您的 E2B 工作流，仅需少许操作就可以切换到我们的沙箱服务。 说明： 为了保持与 E2B SDK 的兼容，您需要使用 E2B SDK 版本如下： pip install e2bcodeinterpreter2.3.0 pip install e2b2.6.0 dotenv 文件 您可以在您的项目文件夹创建 .env 文件，在其中配置环境变量。 plaintext E2BDOMAIN您的自定义域名地址 E2BAPIKEYagexxxxxxxx 然后在您的代码中使用 dotenv 库来引入，通过该种方式引入的环境变量在当前代码范围内生效。 python from dotenv import loaddotenv loaddotenv() 终端环境变量 您可以通过在执行代码的终端中设置环境变量，通过该种方式引入的环境变量在通过该终端启动的程序内生效。 plaintext export E2BDOMAIN您的自定义域名地址 export E2BAPIKEYagexxxxxxxx 您也可以在终端配置文件 .bashrc 中添加以上两行来全局应用，该种方式在所有 bash 终端中生效。 内嵌环境变量 您可以在代码中通过导入系统库来改变程序的环境变量，通过该种方式引入的环境变量在当前代码范围内生效。 python import os os.environ["E2BDOMAIN"]"您的自定义域名地址" os.environ["E2BAPIKEY"]"agexxxxxxxx"

v1298) ELB Ingress支持根据HTTP请求方法、HTTP请求头、查询字符串、网段、Cookie等请求参数进行转发。 更新节点池时支持修改节点密码。 创建节点时支持只使用系统盘。 更新ELB Ingress时支持修改HTTP重定向到HTTPS的配置。 使用Docker容器引擎的节点池时支持自定义配置默认镜像地址。 修复部分安全问题。 v1.29.2r0 ++v1.29.3++ CCE Ingress支持基于HTTP头部自定义Header进行流量分发。 支持为第三方工作负载应用配置扩缩容优先级策略。 （仅CCE Turbo集群）支持使用annotation为Pod配置安全组。 （仅CCE Turbo集群）为Pod绑定EIP时支持使用已有EIP。 节点排水过程支持取消。 更新节点池时支持修改委托及前后缀名称。 重置节点将保留K8s标签和污点。 开放Kubernetes服务账号令牌卷投射配置和负载弹性伸缩控制器配置。 修复部分安全问题。 v1.29.1r0 ++v1.29.1++ 首次发布CCE v1.29集群 v1.28版本 CCE集群补丁版本号 Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.28.13r0 [++v1.28.13++](

秒级监控功能应用于对云产品的监控指标有高精度要求的监控场景。您可以按需开启目标云产品中指定实例的秒级监控功能。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 1、产品秒级监控功能当前为受限开放（账号及资源池），如有需求可以联系客户经理为您开放此功能。 2、秒级监控功能当前支持的产品包括弹性IP和共享带宽，您可以在“企业监控>秒级监控”产品列表页查看具体信息。更多产品正持续扩展适配中，敬请期待。 注意 秒级监控功能当前为免费公测阶段，公测期免费，后续正式商用将转为计费模式，具体请以天翼云官方公告为准。 开启产品监控数据写入存储 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击左侧“企业服务”>“秒级监控”菜单，进入秒级监控管理页面。 5. 单击“开启”按钮，出现“开启秒级监控”开启二次确认弹窗。 6.在“开启秒级监控”二次确认弹窗，点击“确定”完成产品监控数据写入存储开启。

秒级监控功能应用于对云产品的监控指标有高精度要求的监控场景。您可以按需开启目标云产品中指定实例的秒级监控功能。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 1、产品秒级监控功能当前为受限开放（账号及资源池），如有需求可以联系客户经理为您开放此功能。 2、秒级监控功能当前支持的产品包括弹性IP和共享带宽，您可以在“企业监控>秒级监控”产品列表页查看具体信息。更多产品正持续扩展适配中，敬请期待。 注意 秒级监控功能当前为免费公测阶段，公测期免费，后续正式商用将转为计费模式，具体请以天翼云官方公告为准。 开启产品监控数据写入存储 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击左侧“企业服务”>“秒级监控”菜单，进入秒级监控管理页面。 5. 单击“开启”按钮，出现“开启秒级监控”开启二次确认弹窗。 6.在“开启秒级监控”二次确认弹窗，点击“确定”完成产品监控数据写入存储开启。

本文将为您介绍通过专线网关实现访问跨账号VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域接入点，实现A账号本地IDC网络与天翼云华北2地域中的B账号VPC网络互通。如需使用云企业路由器搭建跨AZ入云网络架构，物理电路通过接入不同AZ接入点，实现跨账号访问VPC网络，具体操作说明详见本地IDC通过跨账号访问VPC。 A账号：本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 B账号：天翼云华北2地域的跨账号VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个跨账号VPC，具体操作说明详见创建VPC。

本文将为您介绍通过云企业路由器实现专线入云访问跨账号VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现A账号本地IDC网络与天翼云华北2地域中的B账号VPC网络互通，该场景适合在支持云企业路由器的资源池使用。 A账号：本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 B账号：天翼云华北2地域的跨账号VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个云企业路由器，具体操作说明详见创建云企业路由器。 4、在天翼云华北2已创建一个跨账号VPC，具体操作说明详见创建VPC。

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server 存在环境问题漏洞，该漏洞源于 Apache HTTP Server 在丢弃请求正文时无法关闭入站连接，从而导致请求夹带（request smuggling）。 基本信息 · CVE编号：CVE202222720 · 漏洞类型：敏感信息泄露 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.52 · 检测方式：版本对比 · 公布时间： 20220314 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.53 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为 RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.5，则漏洞修复命令为 sudo yum update y httpd

本章节向您介绍共享带宽的企业级QoS功能。 简介 企业级QoS功能，可以针对共享带宽下的每个IP地址，进行分别限速，每个EIP的流量大小会被限制在指定的带宽范围内，不会强占共享带宽的全部带宽，使得每个EIP的带宽大小可以相互不影响，提升共享带宽利用率。 该功能支持共享带宽中的弹性公网IP以及IPv6网卡。 保证带宽 共享带宽下，分配给该EIP的最小带宽值。在共享带宽拥塞时，该EIP流量的最小带宽值可以得到保证。 最大带宽 共享带宽下，分配给该EIP的最大带宽值。在共享带宽空闲时，该EIP流量可以到达的最大带宽值，该值不会超过共享带宽的带宽大小。 说明 仅在部分区域支持企业级QoS功能：苏州，广州4，华北、贵州、西安2、上海4、成都3、芜湖 应用场景 用户企业上云，需要根据各部门的运营情况随时调整各部门带宽资源配额，通过购买一个大的共享带宽，针对每个部门统一进行带宽分配，实现对整体带宽资源的合理分配。 多个业务网络高峰期不同时，通过对共享带宽下所有IP地址分别进行带宽限速，可以保障带宽资源有效利用。 当部分业务被攻击时，占用出口带宽过大时，需要对被攻击的带宽进行限速，避免影响其他业务。

将目标集群接入 CCE One 注册集群 找到新创建的CCE One注册集群，单击其右侧接入配置。 在接入配置 页面单击接入信息页签。在接入信息页签中根据需要选择公网或者私网，然后单击右侧的复制。 将连接信息复制到目标集群的一个文件中，并执行kubectl命令，将目标集群注册至新集群中。 例如，您可以新建agent.yaml文件，将连接信息复制到agent.yaml文件中，并在目标集群中执行kubectl apply f agent.yaml命令。 在目标集群中执行以下命令，查看代理运行状况。 plaintext kubectl n kubesystem get pod grep cceoneclusteragent 预期输出： plaintext cceoneclusteragent98948b75c27xs6 2/2 Running 0 19s cceoneclusteragent98948b75c7w9lj 2/2 Running 0 19s 注册成功后，您可以在分布式容器管理控制台的集群列表 页面，看到该集群的状态为运行中。 执行结果 在集群列表页面中，找到对应的CCE One注册集群，可使用以下功能： 单击集群名称，跳转单集群控制台，进行集群管理。 单击接入配置 ，点击连接信息页签。您可以使用该KubeConfig连接目标集群，进行应用负载的部署。

敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。本文为您介绍如何开启或关闭已有的审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在DML审计规则列表中，找到目标审计规则，然后在开启列打开或关闭该审计规则。 系统默认配置了常用的审计规则，您可以根据需要进行启停操作。也可以根据实际情况新增DML审计规则，并对其进行启停操作。

本节介绍分布式消息服务Kafka磁盘类型 选择Kafka磁盘类型主要取决于应用的需求和预算。通常，对于Kafka来说，高IO磁盘是更常见的选择，因为它提供了更好的性能和吞吐量。 高IO磁盘具有更快的随机读写速度和更低的访问延迟。这对于Kafka来说非常重要，因为Kafka的性能和吞吐量受限于磁盘的读写速度。高IO磁盘适用于需要处理大量读写操作的场景，例如高频率的消息传递和数据写入。它可以提供更快的消息处理和更低的延迟，从而提高系统的响应性能。 超高IO磁盘也是一个可选的方案，它提供了更高的随机读写速度和更低的延迟，相对于传统的高IO磁盘来说性能更好。超高IO磁盘适用于对性能要求非常高的场景，例如大规模的实时数据处理和高吞吐量的消息队列。它可以提供更高的IOPS（每秒输入/输出操作数）和更低的延迟，从而支持更快的数据处理和更高的系统吞吐量。 综上所述，对于Kafka来说，一般情况下选择高IO磁盘是比较常见的选择，因为它提供了良好的性能和吞吐量。但如果预算允许，超高IO磁盘可以提供更高的性能和吞吐量，适用于对性能要求非常高的场景。

查看NPD事件 NPD上报的事件可以在节点管理页面查询。 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“节点管理”。 步骤 3 在节点所在行，单击“事件”，可查看节点相关事件。 查看节点事件 如下所示，当有事件上报可以查询。 AOM告警配置 针对NPD状态类检查项，您可以通过配置AOM（应用运维管理服务），以将异常状态转换为AOM告警，并通过短信、邮箱等方式通知到您。 步骤 1 登录AOM控制台。 步骤 2 在左侧导航栏选择“告警 > 告警规则”，在右上角单击“添加告警”。 步骤 3 设置告警规则。 规则类型：选择阈值类告警。 监控对象：选择命令行输入 命令行输入框： sum(problemgauge{clusterName"test"}) by (podIP,type) 告警条件：选择触发条件在1个监控周期内，如果平均值>1达到连续1次时，产生重要告警。 告警通知（可选）：若需要将告警通过邮件、手机方式通知您，可在告警通知处，为此告警规则配置行动规则。若此处无行动规则，请新建告警行动规则。

本文主要介绍 新建Pod检查。 检查内容 检查集群升级后，存量节点是否能新建Pod。 检查集群升级后，新建节点是否能新建Pod。 检查步骤 基于新建节点检查创建了新节点后，通过创建daemonset类型工作负载，在每个节点上创建Pod。 请登录CCE控制台，前往“资源>工作负载>守护进程集”，单击右上角“创建负载”或“YAML创建”。 建议您使用日常测试的镜像作为基础镜像。您可参照如下yaml部署最小应用Pod。 说明 该测试YAML将DaemonSet部署在default命名空间下，使用ngxin:perl为基础镜像，申请10m CPU，10Mi内存，限制100m CPU 50Mi内存。 apiVersion: apps/v1 kind: DaemonSet metadata: name: postupgradecheck namespace: default spec: selector: matchLabels: app: postupgradecheck version: v1 template: metadata: labels: app: postupgradecheck version: v1 spec: containers: name: container1 image: nginx:perl imagePullPolicy: IfNotPresent resources: requests: cpu: 10m memory: 10Mi limits: cpu: 100m memory: 50Mi 负载创建完毕后请检查该工作负载的Pod状态是否正常。 检查完毕后请登录CCE控制台，前往“资源>工作负载>守护进程集”，选择“postupgradecheck”工作负载并单击“更多>删除”删除该测试用工作负载。

本文介绍如何在事件总线EventBridge管理控制台接入自定义事件。 前提条件 开通事件总线EventBridge并委托授权。 开通分布式消息服务Kafka并创建主题。 步骤一：添加自定义事件源 1. 登录事件总线EventBridge管理控制台，在左侧导航栏，单击事件总线。 2. 在左侧导航栏，单击对应自定义事件总线的事件源 ，或点击右上角快速创建按钮创建自定义事件总线。 3. 单击添加事件源 ，在添加自定义事件源面板，输入名称 和描述 ，事件提供方 选择自定义应用，然后单击确定。 步骤二：创建事件规则 1. 在左侧导航栏，单击事件总线。 2. 在事件总线页面，单击步骤一中选中的事件总线，单击目标总线名称。 3. 在左侧导航栏，单击事件规则。 4. 在事件规则页面，单击添加创建规则。 5. 在创建规则页面，完成以下操作，详见图1： a.在配置基本信息 配置向导，在事件规则名称 文本框输入规则名称，在描述 文本框输入规则的描述，然后单击下一步。 b.在配置事件模式 配置向导，匹配模式 选择匹配所有事件，然后单击下一步。 c.在配置事件目标 配置向导，服务类型 选择分布式消息服务Kafka，选择对应Kafka实例，选择主题，消息体 选择完整事件，消息键值选择空，然后单击创建。 图1 创建事件规则

本文为您介绍如何利用Java客户端访问Elasticsearch实例 概述 Java 是官方推荐的编程语言之一，使用 Elasticsearch提供的 Java REST 客户端可以轻松与实例进行交互，包括索引管理、数据查询、插入文档等操作，适用于构建基于Java的大规模应用。 前提条件 已开通天翼云云搜索服务Elasticsearch实例。 集群已绑定公网 IP。具体可参考“实例公网访问”章节。 已在本地安装了JDK（推荐 JDK 8 及以上版本）。 已配置 Maven 或 Gradle 项目依赖以支持 Elasticsearch Java客户端。 操作步骤 在项目中引入Elasticsearch客户端依赖。Maven 依赖配置如下： org.elasticsearch.client elasticsearchresthighlevelclient 7.10.2 使用以下代码连接到 Elasticsearch实例： import org.apache.http.HttpHost; import org.elasticsearch.client.RestClient; import org.elasticsearch.client.RestHighLevelClient; public class ElasticsearchJavaClient { public static void main(String[] args) { // 初始化客户端 RestHighLevelClient client new RestHighLevelClient( RestClient.builder(new HttpHost(" ", 9200, "http")) .setDefaultCredentialsProvider(new BasicCredentialsProvider().setCredentials( AuthScope.ANY, new UsernamePasswordCredentials(" ", " ") ))); // 执行操作，例如创建索引等 // ... // 关闭客户端 client.close(); } } host：集群绑定的公网 IP。 user：Elasticsearch 集群用户名，例如 admin。 password：用户密码，例如 admin 用户的密码。 在执行具体操作时，例如创建索引： CreateIndexRequest request new CreateIndexRequest("myindex"); CreateIndexResponse createIndexResponse client.indices().create(request, RequestOptions.DEFAULT); 操作完成后记得关闭客户端： client.close();

申请通知模板有格式要求吗？ 通知模板不需要添加退订方式相关内容，请去除退订方式。 模板中涉及的App、公众号、链接等产品内容均不能用变量表示。 不支持短链接与变量拼接的格式，建议修改为官网链接与变量拼接的形式，如：www.ctyun.com${code} 仅支持中英文模板内容。 申请通知模板有什么要求？ 通知模板即发送携带通知类内容的短信。如快递通知、消费通知、即时提醒等场景，无营销、推广内容。 通知内容需要与签名业务相关，申请时请带上业务指引，如APP应用商城链接、网站链接等。 模板内容只支持这些符号：~！@ ￥%$&（），。？+{}......^ ￥。 模板内容不能有变异字，如威信。 模板内容不支持加QQ、QQ群、微信群等。 哪些短信内容无法支持？ 详细信息，请参见模板规范。 提示“组合变量不支持”如何处理？ 出现这种提示是因为将变量拼接在一起，导致报错。模板默认不支持两个变量组合在一起的内容，建议去除一个变量或修改模板解决。 单个变量长度有限制吗，如果超过怎么解决？ 单个变量限制为1~25个字符，如果变量超过25字符，您需要升级为企业用户，可以将变量内容扩展为40个字符（特殊变量例如time、date等需要按照具体变量传参）。

名称 类型 是否必选 示例值 描述 action String 是 AddSmsSign 系统规定参数。取值： AddSmsSign signName String 是 天翼云 签名名称。必须符合 signPurpose Int 是 0 是否自用。0、自用；1、他用 signType Int 是 1 签名来源。取值： 0、企事业单位的全称或简称； 1、工信部备案网站的全称或简称； 2、App应用的全称或简称； 3、公众号或小程序的全称或简称； 4、电商平台店铺名的全称或简称； 5、商标名的全称或简称； 6、其他 说明: 签名来源为 工信部备案网站的全称或简称 时，请在申请说明中添加网站域名，加快审核速度。 businessType Int 是 1 业务类型。 取值： 1、账号注册； 2、账号登录； 3、广告促销； 4、通知提醒； 5、公共服务； 6、其他 businessName Strng 否 告警提醒 自定义业务类型。businessType6时，为必填项。 qualificationUuid String 是 4573aea4854e498d829f88ea4522df17 已经审核通过的资质ID。 remark String 是 测试签名 短信签名申请说明。请在申请说明中详细描述您的业务使用场景，申请工信部备案网站的全称或简称，请在此处填写域名，长度不超过200个字符。

资费说明 UDFScript暂不收费。 典型应用场景 场景 描述 定制化鉴权 一般是进行防盗链校验，只有校验通过的请求才放行，校验不通过返回403。 请求头/响应头控制 对请求参数、请求头、响应头等变量进行灵活修改。 回源url改写 某些场景下，需要对回源的url进行改写。支持以下三种方式： 1.单独修改uri（?之前的部分）。 2.单独修改查询参数（?之后的部分）。 3.整个url替换。 重定向 针对某些情况，返回新的访问url给客户端，同时返回302状态码。 缓存控制 为了提高获取文件的速度，需要将请求的文件内容缓存在边缘cdn，实现就近拉取。可以设置缓存文件缓存标识（key）和缓存时间。 限速 根据不同的时间段对文件请求进行限速，比如早晚高峰时间限速500kbps，空闲时段限速1024kbps。在不影响观看效果的同时尽量服务更多用户。 缓存内容改写 根据业务需要，将缓存的内容在响应给用户时进行改写。 分区域分运营商回源 当您有多个源站，需要分区域分运营商回源实现源站负载均衡时，可使用UDFScript设置分区域分运营商回源策略。 如何使用 说明 UDFScript目前处于邀测期间，CDN控制台默认不开放自助，如有需要，请

在数据库端或应用端的节点安装Agent后，当不需要停止审计数据库时，您可以在安装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 1. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 2. 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。cd Agent 安装包解压后所在目录。 3. 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。如果有卸载脚本的执行权限，请执行步骤4。如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。chmod +x uninstall.sh。 确认有安装脚本执行权限后，请执行步骤4。 4. 执行以下命令，卸载Agent。sh uninstall.sh。如果界面回显以下信息，说明卸载成功。 uninstall audit agent... exist osrelease file stopping audit agent audit agent stopped stop auditagent success service auditagent does not support chkconfig uninstall audit agent completed! 在Windows操作系统上卸载Agent 1. 进入Agent安装文件的目录。 2. 双击“uninstall.bat”执行文件，卸载Agent。 3. 验证Agent已卸载成功。 4. 打开任务管理器，查看“dbssauditagent”进程已停止。 5. 查看Agent安装目录，安装目录内容已经全部删除。

本文主要介绍主机监控 。 主机监控分为基础监控、操作系统监控和进程监控。 基础监控：ECS自动上报的监控指标，数据采集频率为5分钟1次。可以监控CPU使用率等指标，详见弹性云主机支持的基础监控指标。 操作系统监控：通过在弹性云主机或物理机中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。数据采集频率为1分钟1次。除了CPU使用率等指标外，还可以支持内存使用率（Linux）等指标，详见 弹性云主机支持的操作系统监控指标（安装Agent）。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 注：Linux操作系统安装插件需要root权限；Windows操作系统安装插件需要管理员权限。 应用场景 无论您使用的是弹性云主机还是物理机，都可以使用主机监控来采集丰富的操作系统层面监控指标，也可以使用主机监控进行服务器资源使用情况监控和排查故障时的监控数据查询。 监控能力 云监控服务会提供CPU、内存、磁盘、网络等多种监控指标，满足服务器的基本监控运维需求。详细的监控指标请参考弹性云主机支持的基础监控指标。

网络配置 可以访问公网，如果存在防火墙且出方向流量存在限制，则需进行放行，允许连接器可以访问公网的TCP 443端口、UDP 53端口和UDP xxx端口，具体端口号请在生成连接器后的页面获取。 其中出方向流量指连接器需对外进行连通，安装连接器后并不会产生公网端口暴露。 为保障访问连接高可用，建议您一个连接器集群安装并启动至少2个服务器或虚拟机。 Docker环境安装指导 零信任连接器当前支持多种部署方式，若您选择Docker方式，且所需部署的服务器没有Docker环境，可以按照如下方式部署Docker环境： 1. 安装必要的一些系统工具： sudo yum install y yumutils devicemapperpersistentdata lvm 2. 添加软件源信息，请选择合适的docker镜像源，以下命令行请补充替换docker源地址后使用： sudo yumconfigmanager addrepo docker源地址 3. 以下命令行请补充替换docker源地址后使用： sudo sed i 's+download.docker.com+docker源地址/dockerce+' /etc/yum.repos.d/dockerce.repo 4. 更新并安装DockerCE： sudo yum makecache fast sudo yum y install dockerce 5. 开启Docker服务 sudo service docker start 6. 开启Docker服务开机自启动 sudo systemctl enable docker

步骤二：挂载文件系统 1. 以root用户登录弹性云主机，登录方式参考登录Linux弹性云主机。 2. 执行以下命令安装NFS客户端 plaintext yum y install nfsutils 3. 执行如下命令创建本地挂载路径，用于存储网盘数据。 plaintext mkdir p /data/owncloud/ 4. 执行如下命令挂载文件系统。挂载地址在文件系统详情页获取，本地路径为云主机上用于挂载文件系统的本地路径，使用上一步创建的“/data/owncloud/”。 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。 plaintext mount t nfs o vers3,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地路径 5. 挂载完成后使用mount grep owncloud查看挂载情况。 步骤三：安装ownCloud服务 1. 执行如下命令安装docker： plaintext curl fsSL bash s docker 2. 执行如下命令启动Docker： plaintext systemctl start docker 3. 执行如下命令关闭防火墙： plaintext 停止firewall systemctl stop firewalld.service 禁止firewall开机启动 systemctl disable firewalld.service 4. 执行 vi /etc/seLinux/config打开config文件，将以下两条命令注释掉 plaintext SELINUXTYPEtargeted SELINUXenforcing 增加以下命令，关闭SELINUX： plaintext SELINUXdisabled 单击ECS退出编辑，输入"wq!"，保存退出config文件。在命令行执行以下命令，使配置生效： plaintext setenforce 0

事件来源 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 RDS 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是磁盘个数，配额大小不足，底层资源耗尽导致。 检查磁盘个数、配额大小，释放资源后重新创建。 无法创建数据库实例。 RDS 跨区域备份同步异常 crossRegionBackupSyncFailed 次要 一般是由于底层网络和复制资源出现瓶颈等原因导致。 如果事件一直不停上报，提交工单调整底层资源分配。 跨区域备份同步异常，目标区域不能使用备份文件进行恢复。 RDS 实例全量备份失败 fullBackupFailed 重要 单次全量备份失败产生的事件，不影响以前成功备份的文件，但会对“恢复到指定时间点”的功能有一些影响，导致“恢复到指定时间点”时增量备份的恢复时间延长。 重新执行一次手工备份。 备份失败。 RDS 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常是由于网络、物理机有某种故障导致备机没有接管主机的业务，短时间内会恢复到原主机继续提供服务。 检查应用和数据库之间的连接是否重新建立了连接。 无 RDS 复制状态异常 abnormalReplicationStatus 重要 出现”复制状态异常“事件通常有两种情况： 1、主备之间复制时延太大（一般在写入大量数据或执行大事务的时候出现），在业务高峰期容易出现阻塞。 2、主备间的网络中断，导致主备复制异常。 提交工单。 但不会导致原来单实例的读写中断，客户的应用是无感知的。 RDS 复制状态异常已恢复 replicationStatusRecovered 重要 即复制时延已回到正常范围内，或者主备之间的网络通信恢复。 不需要处理。 无 RDS 实例运行状态异常 faultyDBInstance 重要 由于灾难或者物理机故障导致单机或者主实例故障时会上报本事件，属于关键告警事件。 检查是否有设置自动备份策略，并且提交工单。 可能导致数据库服务不可用。 RDS 实例运行状态异常已恢复 DBInstanceRecovered 重要 针对灾难性的故障，RDS有高可用工具会自动进行备机重建，重建完成之后即会上报本事件。 不需要处理。 无 RDS 单实例转主备实例失败 singleToHaFailed 重要 创建备机时或备机创建完成后主备机之间配置同步发生故障时会产生此事件，一般是由于备节点所在数据中心资源不足导致。 提交工单。 “单实例转主备实例失败”不会导致原来单实例的读写中断，客户的应用是无感知的。 RDS 数据库进程重新启动 DatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止 通过云监控的数据，查看是否有内存飙升、cpu长期过高、磁盘满使用率不足等的情况，可以选择提升CPU内存规格或者优化业务逻辑 进程挂掉的时候，业务中断。RDS服务会自动拉起进程，尝试恢复业务。 RDS 实例磁盘满 instanceDiskFull 重要 一般是由于数据空间占用过大导致。 对实例进行扩容操作。 实例由于磁盘空间满将会变成只读实例，数据库不可进行写入操作。 RDS 实例磁盘满恢复 instanceDiskFullRecovered 重要 实例磁盘状态恢复正常。 不需要处理。 实例解除只读状态，恢复写操作。 RDS MySQL实例连接数满 mysqlConnectionsFull 重要 由于实例业务量冲高，导致连接数满，无法建立新连接。 调整连接数到合理值。 通过限流等方式降低负载。 变更到更高规格，扩大连接数上限。 实例无法建立新连接。 RDS MySQL实例连接数满已恢复 mysqlConnectionsFullRecovered 重要 实例连接数已恢复正常 实例连接数已恢复正常，请确认业务是否正常运行。 实例连接数已恢复正常。 RDS MySQL负载高导致新建连接异常 highLoadInstanceConnectionsAbnormal 重要 由于CPU、内存、磁盘、网络带宽等资源不足，导致无法建立新连接或者建立的新连接异常 增加系统资源，例如增加CPU、内存、磁盘等。 调整MySQL配置，例如增加连接池大小、调整缓存大小等。 根据实际运行状态和业务需求，选择异常进程执行kill会话，结束会话，使数据库恢复正常。 实例新建连接异常。 RDS MySQL负载高导致新建连接异常已恢复 highLoadInstanceConnectionsAbnormalRevocered 重要 负载高导致实例新建连接异常已恢复 负载高导致实例新建连接异常已恢复，请确认业务是否正常运行。 负载高导致实例新建连接异常已恢复。 RDS kafka连接失败 kafkaConnectionFailed 重要 一般是由于网络波动或kafka服务端出现异常等原因导致。 检查网络状况和kafka服务端状态。 审计日志无法发送到kafka服务端。 数据库代理 数据库安全组未放通数据库代理地址 proxyconnectionfailurecausesecuritygroup 重要 一般是由于数据库安全组未放通代理地址导致。 修改数据库所使用安全组规则放通代理地址。 通过代理访问的业务流量中断。 数据库代理 数据库代理与数据库连通性异常 proxyconnectionfailuretodb 重要 数据库代理与主库建立新连接失败，与只读库可能存在建立新连接失败。一般是由于数据库/数据库代理压力过大，或代理与数据库间网络异常。 观察数据库与数据库代理压力指标后（连接数、活跃连接数、CPU使用率）调整相应参数，压力指标正常情况下提工单处理。 通过代理访问的业务流量中断。 数据库代理 数据库代理与数据库只读库连通性异常 proxyconnectionfailuretoreplica 一般 数据库代理与只读库建立新连接失败。一般是由于只读库压力过大，或代理与只读库间网络异常。 观察只读库压力指标后（连接数、活跃连接数、CPU使用率）调整相应参数，压力指标正常情况下提工单处理。 通过代理访问的业务读流量部分中断。

本小节介绍微隔离防火墙接入工作负载(BEA端)操作方法。 功能说明 授权码代表了工作负载的身份，一个工作负载在接入系统时，系统将根据其授权码决定是否允许其接入、配置什么样的安全策略、分配到哪个工作组等。 操作步骤 1.创建授权码有两个入口，一个是菜单栏的授权管理，通过此入口可以查看管理所有授权码。 第二个入口，可以通过工作组详情查看该工作组的授权码（由某个组的授权码接入的工作负载，将自动分配到该工作组）。 2.创建授权码 点击创建授权码，在弹出的对话框中输入相关参数，点击确定即可完成授权码的建立。 3.点击授权码，可进入授权码详细页面。 4.授权码详细页面最下方的自动化安装部分，可根据此授权码自动生成安装命令，用于实现工作负载的自动化安装。 注意 1.执行该命令，系统会自动到管理中心下载安装脚本，请确保安装客户端的工作负载与管理中心网络可达。 2.安装脚本执行后自动判定系统版本，并从管理中心获取相应安装包。 3.linux系统安装命令一致、Windows系统安装命令一致。 4.agent成功安装后，不会清空原有iptables中的策略。后续产品添加安全策略会在iptables最上层添加。若只在监测模式下运行，可在安装命令后加nf true则不安装产品防护模块。

本文介绍了云防火墙产品的退订规则。 退订规则说明 客户（天翼云您）可根据需要，在符合天翼云退订规则的前提下，灵活退订配额。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订 新购配额（不包含进行了续订等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订； 发起退订操作的账号（“退订账号”）当年的七天无理由全额退订次数不超过3次（每账号每自然年享有3次七天无理由全额退订次数，从每年的1月1日开始计算）； 同一您累计使用的七天无理由全额退订次数不超过24次。其中，同一您是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一您。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。客户同意天翼云使用上述信息核查同一您情况。 成套资源退订属于退订一个资源实例，记为1次退订。 注意 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。