字段 类型 说明 topic text 日志主题，固定值。ELB7LayerAccessLog ts text 日志上报时间。时间格式为YYYYMMDDThh:mm:ssZ。由日志sdk自动填充 version text ELB服务日志版本 elbid text ELB 的ID vip text ELB的虚拟IP地址 listenerport double 监听的端口 vpcid double 当前显示为vpc的vni。 listenerid text 监听器ID。 poolid text 处理请求后端主机组的ID。 clientip text 请求的客户端IP。 clientport double 请求的客户端端口。 timeiso8601 text 负载均衡器日志打印时间。 host text 匹配的转发策略域名。 httphost text 负载均衡收到的请求报文中HTTP的host header的内容。 httpreferer text 负载均衡收到的请求报文中HTTP的referer header的内容。 httpuseragent text 负载均衡收到的请求报文中HTTP的useragent header的内容。 httpxforwardedfor text 负载均衡收到的请求报文中xforwardedfor的内容。 requestlength double 请求报文的长度，包括startline、HTTP头报文和HTTP body。 requestmethod text 请求报文的方法。 requesturi text 负载均衡收到的请求报文的URI。 scheme text 请求的协议类型：HTTP/HTTPS/HTTP2/Websocket/Websocket Secure。 serverprotocol text 负载均衡收到的HTTP协议的版本，例如HTTP/1.0或HTTP/1.1。 sslhandshaketime double ssl握手耗时。 sslsessionreused text sslsession复用，'r'表示复用成功，'.'表示复用失败。''表示非HTTPS协议。 sslcipher text 建立SSL连接使用的密码，例如ECDHERSAAES128GCMSHA256等。 sslprotocol text 建立SSL连接使用的协议，例如TLSv1.2。 bodybytessent double 发送给客户端的HTTP Body的字节数。 requesttime double 负载均衡收到第一个请求报文的时间到返回应答之间的时间间隔，单位：秒。 status double 负载均衡应答报文的状态。CLB 返回给客户端的状态码。 tcpinfortt double 客户端TCP连接时间，单位：微秒。 upstreamaddr text 后端服务器的IP地址和端口。 upstreamresponsetime double 从负载均衡向后端服务器建立连接开始到接收完数据然后关闭连接为止的时间，单位：秒。 upstreamstatus text 负载均衡收到的后端服务器的响应状态码。 upstreamconnecttime double 和 RS 建立 TCP 连接所花费时间：从开始 CONNECT RS 到开始发送 HTTP 请求的时间。单位：秒。 upstreamheadertime double 从 RS 接收完 HTTP 头部所花费时间：从开始 CONNECT RS 到从 RS 接收完 HTTP 应答头部的时间。单位：秒 connectionrequests double 连接上的请求个数。 connectionid double 连接id。

本章节主要介绍如何快速创建一个自定义集群。 自定义集群提供丰富灵活的服务搭配，支持自行选择业务所需服务。建议不要将多个存储类服务部署在一个节点组上，避免资源争抢。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“自定义”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：您可基于业务诉求选择所需组件，部分组件存在依赖关系，请您按提示勾选。 元数据：使用Hive、Ranger、Amoro、Hue与DolphinScheduler组件服务时，需要配置元数据库。请先确认是否已有CTRDS MySQL实例，若尚未创建，可点击提示链接，前往“关系数据库MySQL版”进行开通。若已创建实例，请勾选该选项并进行元数据配置。 元数据配置：勾选“使用已有CTRDS for MySQL”后，请在展开信息中填写所需的5项配置信息 注意 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置Hive、Ranger、Amoro、Hue与DolphinScheduler的元数据库信息前，请先创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考创建数据库。 3、元数据配置所需信息可前往数据库控制台查看。 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive/Ranger/Amoro/Hue/DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息。 Kerberos身份认证：将依据所选组件，开启Kerberos安全模式。 自定义服务配置：支持指定JSON文件对集群中的组件服务，如HDFS、Spark、Hive等进行参数配置，详细使用方法请参见++自定义服务配置++。默认不开启。

本文介绍用户与角色页相关功能，包括邀请新用户加入组织、编辑/删除用户等。 前提条件 用户已加入组织。 用户需要具有进入用户与角色页面的菜单权限。菜单权限请参考权限说明。 注意事项 开通登入数据管理服务平台时，天翼云主账号会创建组织，且自动注册成为 超级管理员 （一个天翼云主账号对应 一个组织）。 天翼云主账号下的子账号登入数据管理服务平台时，也会自动注册且初始化为当前主账号下组织的 普通用户 。 一个组织下可以有 多个天翼云账号 ，同理一个天翼云账号也可以加入多个组织。 邀请用户 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击 安全协作 > 用户与角色。 3. 在用户与角色界面点击邀请用户按钮，弹出邀请用户弹窗，在弹窗内输入用户邮箱信息。 注意 被邀请的用户曾经使用注册的天翼云账号成功登录DMS。 4. 选择 用户角色 ，点击发送验证码。 5. 待用户接收邀请邮件， 输入验证码 ，点击确认即可成功邀请用户加入组织。 用户详情 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击安全协作 > 用户与角色。 3. 点击用户列表中的用户名 ，弹出用户详情弹窗查看详情。 用户编辑 1. 登录数据管理服务平台。 2. 在左侧菜单栏依次点击安全协作 > 用户与角色。 3. 在用户列表中，找到需要进行编辑的用户，单击该用户右侧操作列的编辑按钮，弹出用户编辑弹窗。 4. 在编辑弹窗中，编辑用户相关信息，如下： 说明 超级管理员在此处无法编辑自己的信息，若是需要修改个人用户名，可以在左侧边栏的个人中心 > 个人信息中进行编辑。 编辑操作 用户信息 说明 可编辑 用户名 用户在数据管理服务中的别名，更便于识别用户。 可编辑 用户角色 数据管理服务目前提供的系统角色包括普通用户、DBA、审计管理员、系统管理员，超级管理员五种，其中DBA、审计管理员、系统管理员为企业版系统角色，此外超级管理员全局只有一个，创建组织的主账号默认为超级管理员，无法手动设置。 可编辑 所属团队 用户加入的团队。 可编辑 单日查询次数和行数 可在此配置用户在当前组织下单日查询次数和行数上限，用于限制用户在企业版下每天可以执行的查询次数和行数，超过限制用户只能通过数据导出功能查看数据，也可配置无限制，不对用户单日查询次数和行数设限。 注意 配置的次数和行数只在企业版生效，默认次数为2000，行数为20000，可自行按需配置，配置为当天的额度，每天0点会重新统计。 可编辑 用户备注 标注用户备注信息。 不可编辑 用户手机号 用户手机号码。 不可编辑 用户邮箱 唯一标识且绑定用户。

本文介绍DSC针对云上数据使用异常行为实时告警与审计的方法 数据安全中心DSC对云上数据使用提供异常行为的实时告警与审计，可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据，并且DSC将异常事件数据保留180天。DSC服务还能够检测敏感数据的访问、操作、管理等相关的异常行为，并且提供告警提示信息，用户可以确认和处理异常事件。以下行为被视为异常事件： 合法用户访问、下载、修改、权限更改、权限删除敏感数据。 合法用户更改、删除与敏感数据存储桶相关的权限。 非法用户在未经授权的情况下访问、下载敏感数据。 访问敏感数据的用户登录终端存在异常情况。 前提条件 当前异常事件处理页面含有异常事件。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > 数据使用审计”，进入“数据使用审计”页面，参数说明请参考下表。 在列表的右上角，可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期，事件类型以及事件状态来展示您想要的异常行为事件信息。 参数名称 参数说明 用户ID 资源所有者对应的ID。 事件类型 DSC将异常事件分成了三种类型： 数据访问异常： 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常： 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常： 添加桶时，检测到桶为公共读或公共读写桶。 添加桶时，检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 敏感文件的对象出现ACL更改、删除操作。 事件名称 导致异常事件发生的具体事件。 告警时间 异常事件发生的具体时间。 状态 状态说明如下： “待处理”：异常事件未进行处理。 “违例确认”：已处理异常事件为违例确认。 “违例排除”：已处理异常事件为违例排除。 4. 在异常事件的操作列，单击“查看详情”，查看该事件的详细信息。 您可以根据异常事件的详细信息判断该事件是否为违例事件，从而确定如何来处理该事件，具体的处理方法请参见处理异常行为检测事件。

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 弹性云主机必须处于目标RDSPostgreSQL实例所属安全组允许访问的范围内。 弹性云主机或连接发起公网IP必须处于目标RDSPostgreSQL实例所属白名单允许的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库只读实例必须与主实例在同一子网内创建。 数据库实例的默认访问端口默认为6543，暂不支持修改端口。 数据库引擎 不同资源池支持的版本不同，具体支持版本请参见 数据库的root权限 当前提供高级账号权限给用户，不提供超级管理员权限。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。（ 说明 ：部分参数可能要重启才能生效，请谨慎操作。） 数据迁入 可以使用psql命令行工具方式迁入数据。 故障切换 对于主备实例，当主节点出现故障时，RDSPostgreSQL实例会自动切换到备节点。切换过程中有30秒左右的连接闪断，需要您设置好程序的自动重连，避免因为切换导致服务不可用。 搭建数据库复制 RDSPostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备节点不对用户开放，用户应用不可直接访问。 插件 RDSPostgreSQL为用户预置了多种扩展插件，用户需要通过命令行对插件进行安装和卸载，具体参见 重启实例 无法通过命令行重启，必须通过RDSPostgreSQL服务的管理控制台操作重启实例。 数据恢复 建议您在数据恢复前备份好重要数据，以免导致数据丢失。 建议您通过创建新的临时实例或恢复到新实例，验证临时实例或新实例的数据后，再把需要的数据迁移到生产实例。 存储空间 如果实例的存储空间已满，该实例会被自动锁定，变成只读状态。建议您定期检查存储空间的使用情况。 说明：如果存储空间使用率过高，请在控制台执行存储空间扩容，具体参见 性能优化 请检查实例是否存在性能问题，例如是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。

测试环境说明 项目 说明 测试实例规格 基础标准版双副本8G。 测试实例引擎版本 7.0。 测试实例地域和可用区 上海36 可用区1。 压测机器的规格 c7.2xlarge.2。 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位。 压测机器地域和可用区 上海36 可用区1。 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接。 压测工具 redisbenchmark。 测试命令 redisbenchmark h ${host} p ${port} a ${password} c ${connectnum} n 10000000 d ${datasize} r 1000000 t set,get threads 4 说明 参数说明，根据具体情况替换： ${host}: Redis连接地址 ， ${port}：Redis服务端口，${password} : 密码 ， ${connectionnum}： 连接数 , ${datasize}: VALUE数据大小。 测试结果 以下测试结果仅供参考，不同的机器环境和网络波动等客观条件可能产生性能差异。 性能指标说明： 性能指标 说明 QPS Query Per Second，表示每秒处理的请求数，单位是次/秒。 延迟 操作的平均/最大延迟时间，单位为毫秒（ms）。 %延迟 比如99%操作延迟，指99%操作的最大延迟时间，单位为毫秒（ms）。例如该指标的值为15毫秒，表示99%的请求可以在15毫秒内被处理。 表1 SET 命令的测试结果 实例规格 CPU类型 数据大小 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 最大延迟(ms) 基础标准版双副本8G X86 32 100 131406.05 0.748 0.751 0.839 417.791 基础标准版双副本8G X86 32 500 142118.12 3.498 4.175 4.767 825.855 基础标准版双副本8G X86 32 1000 142616.73 6.981 7.071 207.231 826.367 基础标准版双副本8G X86 1024 100 102751.70 0.960 1.079 1.815 632.319 基础标准版双副本8G X86 1024 500 113409.54 4.385 5.775 9.999 1065.983 基础标准版双副本8G X86 1024 1000 110548.54 9.010 12.383 56.319 521.215 表2 GET 命令的测试结果 实例规格 CPU类型 数据大小 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 最大延迟(ms) 基础标准版双副本8G X86 32 100 149586.39 0.657 0.631 0.703 209.919 基础标准版双副本8G X86 32 500 150645.53 3.294 3.343 3.839 419.327 基础标准版双副本8G X86 32 1000 147867.75 6.717 6.599 209.407 1485.823 基础标准版双副本8G X86 1024 100 142158.53 0.692 0.687 0.767 210.815 基础标准版双副本8G X86 1024 500 143231.59 3.462 3.687 4.359 418.559 基础标准版双副本8G X86 1024 1000 144131.69 6.908 7.335 205.951 475.391

测试环境说明 项目 说明 测试实例规格 基础标准版双副本8G。 测试实例引擎版本 5.0。 测试实例地域和可用区 上海36 可用区1。 压测机器的规格 c7.2xlarge.2。 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位。 压测机器地域和可用区 上海36 可用区1。 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接。 压测工具 redisbenchmark。 测试命令 redisbenchmark h ${host} p ${port} a ${password} c ${connectionnum} n 10000000 d ${datasize} r 1000000 t set,get threads 4 说明 参数说明，根据具体情况替换： ${host}: Redis连接地址 ， ${port}：Redis服务端口， ${password} : 密码 ， ${connectionnum}： 连接数 , ${datasize}: VALUE数据大。 测试结果 以下测试结果仅供参考，不同的机器环境和网络波动等客观条件可能产生性能差异。 性能指标说明： 性能指标 说明 QPS Query Per Second，表示每秒处理的请求数，单位是次/秒。 延迟 操作的平均/最大延迟时间，单位为毫秒（ms）。 %延迟 比如99%操作延迟，指99%操作的最大延迟时间，单位为毫秒（ms）。例如该指标的值为15毫秒，表示99%的请求可以在15毫秒内被处理。 表1 SET 命令的测试结果 实例规格 CPU类型 数据大小 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 最大延迟(ms) 基础标准版双副本8G X86 32 100 134622.12 0.729 0.735 0.871 417.535 基础标准版双副本8G X86 32 500 141240.94 3.520 4.319 5.047 826.367 基础标准版双副本8G X86 32 1000 143733.92 6.931 8.191 10.159 223.871 基础标准版双副本8G X86 1024 100 79699 1.235 1.391 4.991 3000.319 基础标准版双副本8G X86 1024 500 81616.66 5.960 8.943 39.967 3000.319 基础标准版双副本8G X86 1024 1000 84454.47 11.807 17.375 65.983 2815.999 表2 GET 命令的测试结果 实例规格 CPU类型 数据大小 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 最大延迟(ms) 基础标准版双副本8G X86 32 100 150152.41 0.655 0.639 0.735 209.535 基础标准版双副本8G X86 32 500 149664.75 3.307 3.391 3.975 419.071 基础标准版双副本8G X86 32 1000 150057.78 6.616 6.935 8.663 616.447 基础标准版双副本8G X86 1024 100 151439.44 0.648 0.695 0.791 212.991 基础标准版双副本8G X86 1024 500 141576.88 3.505 3.951 5.079 418.559 基础标准版双副本8G X86 1024 1000 142724.61 6.963 8.047 11.839 828.415

测试环境说明 项目 说明 测试实例规格 基础读写分离8G(2副本) 测试实例引擎版本 6.0 测试实例地域和可用区 上海36 可用区1 压测机器的规格 c7.2xlarge.2 16核 32G 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位 压测机器地域和可用区 上海36 可用区1 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接 压测工具 redisbenchmark 读写分离 关闭 测试命令 plaintext redisbenchmark h ${host} p ${port} a ${password} c ${connectnum} n 10000000 d ${datasize} r 1000000 t set,get threads 8 说明 参数说明，根据具体情况替换： ${host}: Redis连接地址 ， ${port}：Redis服务端口，${password} : 密码 ， ${connectionnum}： 连接数 , ${datasize}: VALUE数据大小。 测试结果 以下测试结果仅供参考，不同的机器环境和网络波动等客观条件可能产生性能差异。 性能指标说明： 性能指标 说明 QPS Query Per Second，表示每秒处理的请求数，单位是次/秒。 延迟 操作的平均/最大延迟时间，单位为毫秒（ms）。 %延迟 比如99%操作延迟，指99%操作的最大延迟时间，单位为毫秒（ms）。例如该指标的值为15毫秒，表示99%的请求可以在15毫秒内被处理。 表1 SET 命令的测试结果 实例规格 CPU类型 数据大小 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 最大延迟(ms) 基础标准版双副本8G X86 32 100 254401 0.368 0.535 0.655 210.047 基础标准版双副本8G X86 32 500 253062 1.879 1.687 2.519 213.631 基础标准版双副本8G X86 32 1000 251085 3.790 2.911 206.719 618.495 基础标准版双副本8G X86 1024 100 105914 0.900 0.999 2.079 3000.319 基础标准版双副本8G X86 1024 500 126321 3.903 4.807 25.167 916.479 基础标准版双副本8G X86 1024 1000 139692 7.040 8.175 35.455 571.903 表2 GET 命令的测试结果 实例规格 CPU类型 数据大小 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 最大延迟(ms) 基础标准版双副本8G X86 32 100 249912 0.384 0.407 0.519 210.303 基础标准版双副本8G X86 32 500 250934 1.830 1.351 2.335 417.791 基础标准版双副本8G X86 32 1000 250840 3.654 2.215 205.311 825.855 基础标准版双副本8G X86 1024 100 248385 0.386 0.559 0.679 9.071 基础标准版双副本8G X86 1024 500 252742 1.928 1.751 2.623 420.607 基础标准版双副本8G X86 1024 1000 242283 4.037 3.807 205.183 839.679

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理 AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡 ELB 应用运维管理 AOM NAT网关 NAT 对象存储服务 弹性文件服务 SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置对象存储Administrator权限。 说明 由于缓存的存在，对用户、用户组以及企业项目授予对象存储相关的RBAC策略后，大概需要等待15分钟RBAC策略才能生效；授予对象存储相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理 AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机 ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡 ELB NAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 极速文件存储 EFS（SFS Turbo） 使用极速文件存储，需要设置SFS Turbo Admin权限 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项 ( ConfigMap )无需其他依赖权限。 密钥 ( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务 SWR 应用运维管理 AOM 云监控服务（存储管理与节点管理的“监控”跳转） 为便于您快速进入CCE相关服务的控制台，在CCE控制台中增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

集群权限（IAM授权）与命名空间权限（Kubernetes RBAC授权）的关系 拥有不同集群权限（IAM授权）的用户，其拥有的命名空间权限（Kubernetes RBAC授权）不同。下表给出了不同用户拥有的命名空间权限详情。 表 不同用户拥有的命名空间权限 用户类型 1.13及以上版本的集群 拥有Tenant Administrator权限的用户（例如账号） 全部命名空间权限 拥有CCE Administrator权限的IAM用户 全部命名空间权限 拥有CCE FullAccess或者CCE ReadOnlyAccess权限的IAM用户 按Kubernetes RBAC授权 拥有Tenant Guest权限的IAM用户 按Kubernetes RBAC授权 注意事项 Kubernetes RBAC的授权能力支持1.11.7r2及以上版本集群。若需使用RBAC功能请将集群升级至1.11.7r2或以上版本。 任何用户创建1.11.7r2或以上版本集群后，CCE会自动为该用户添加该集群的所有命名空间的clusteradmin权限，也就是说该用户允许对集群以及所有命名空间中的全部资源进行完全控制。 拥有Security Administrator（IAM除切换角色外所有权限）权限的用户（如账号所在的admin用户组默认拥有此权限），才能在CCE控制台命名空间权限页面进行授权操作。 配置命名空间权限（控制台） CCE中的命名空间权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”。 步骤 2 在右边下拉列表中选择要添加权限的集群。 步骤 3 在右上角单击“添加权限”，进入添加授权页面。 步骤 4 在添加权限页面，确认集群名称，选择该集群下要授权使用的命名空间，例如选择“全部命名空间”，选择要授权的用户或用户组，再选择具体权限。 说明 对于没有IAM权限的用户，给其他用户和用户组配置权限时，无法选择用户和用户组，此时支持填写用户ID或用户组ID进行配置。 图 配置命名空间权限 其中自定义权限可以根据需要自定义，选择自定义权限后，在自定义权限一行右侧单击新建自定义权限，在弹出的窗口中填写名称并选择规则。创建完成后，在添加权限的自定义权限下拉框中可以选择。 图 自定义权限 步骤 4 单击“确定”。 示例：授予集群全部权限（clusteradmin） 集群全部权限可以使用clusteradmin权限，clusteradmin包含集群级别资源（PV、StorageClass等）的权限。 图 授予集群全部权限（clusteradmin） 如果使用kubectl查看可以看到创建了一个ClusterRoleBinding，将clusteradmin和ccerolegroup这个用户组绑定了起来。

本文介绍天翼云云搜索Elasticsearch实例自定义插件的安装方式。 当您需要使用自定义插件或系统默认插件中不包含的开源插件时，可通过云搜索服务的自定义插件上传与安装功能，在实例中上传并安装对应插件。本文介绍具体的操作方法。 前提条件 1. 准备待上传的插件，并确保插件的可用性和安全性。 2. 建议在上传插件前，先在本地自建Elasticsearch实例（与实例相同版本）上进行测试，成功后再进行上传。 3. 开通与云搜索实例同地域的对象存储服务，并上传好需要安装的插件至对象存储的桶中。 使用限制 1. 不支持安装与默认插件一样的插件，包括默认插件的其他版本。 2. 不支持同时安装/卸载两个以上的插件。 3. 云搜索服务不保留用户插件的安装文件，请您自行备份。 4. 插件文件后缀需要为.zip。 5. 不支持上传安装带权限属性的插件。 6. 目前云搜索已关闭该功能，仅版本号<1.5.0的实例可以使用。 注意 安装自定义插件操作会触发实例重启插件本身可能影响实例的稳定性，请务必保证自定义插件的可用性和安全性，建议在业务低峰期进行操作。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在实例详情页选择“插件管理”—“自定义插件”，单击上传插件按钮。 3. 在弹出的页面上填写： 1. 插件名称，仅支持字母、数字和字符，请和插件包名称保持一致。插件名称查询路径：插件包内properties文件中找到pluginName。 2. 插件版本：插件目前的版本，格式为数字和点组合，如：7.10或2.19.1.0等，非必填。 3. 插件描述：用于帮助用户识别插件功能，非必填。 4. 插件地址：填写天翼云对象存储同地域资源池下的地址，获取路径为：对象存储控制台——点击对应桶名称进入详情——点击文件管理，找到对应的插件，点击右侧更多——复制URL。 注意 需要开启对应文件的可读权限。 填写完毕后点击安装并重启，插件会先在实例安装，安装完毕后实例将自动进行重启。期间请勿对实例进行其他操作。 4. 当实例重启完成，插件状态变成“已安装”则表示插件已经安装完毕。若插件处于“未安装”状态，则说明安装失败，您可根据提示调整填写内容再次重试或通过工单联系我们协助处理。您也可以删除该插件信息。 5. 已经安装完毕的插件，如果您不再使用，可单击插件右侧的卸载，卸载此插件。卸载插件如需再次安装，请参照前述步骤执行。

功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

本文介绍通过CDN加速媒体存储资源的操作流程和操作方法。 前提条件 1. 完成天翼云账号注册、实名认证。 2. 开通CDN加速，详情请见：产品开通。 3. 开通媒体存储，详情请见：开通天翼云媒体存储。 创建存储区域：目前不支持客户自助创建，需要您通过提交工单联系天翼云客服或客户经理，由其人工通过线下渠道为您创建存储区域。 创建媒体存储的存储桶，详情请见：新建Bucket。创建完成后，可以在基础信息查看，找到 Bucket域名（即回源域名）。 （非必须）上传资源到存储桶，详情请见：上传对象。 （非必须）配置镜像回源功能，当您请求的对象在存储桶中不存在时，可以根据回源规则从指定的源站获取对象。详情请见：镜像回源。 4. 如需要享受媒体存储的流量优惠，在添加加速域名新增源站时，需要选择源站类型为 【媒体存储源站】。 操作说明 添加加速域名 登录CDN控制台，在左侧导航栏单击【域名管理】【域名列表】，进入域名列表页面，单击【添加域名】。配置详情请见：添加加速域名。 CDN节点在无缓存时，会回源站（本实践中特指媒体存储）拉取资源并缓存。源站相关配置请参考如下： 1. 在源站地址中填入已经配置好的存储桶 ，即Bucket域名（回源域名），指定源站回源HOST配置对应的回源HOST（即Bucket域名）。 2. 如新建Bucket时，【权限】选择的是私有，则只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。可通过CDN控制台，在【域名管理】【域名列表】【回源配置】【私有Bucket回源】添加AK(Access Key），SK(Secret Access Key)等信息，并提交保存。配置详情请见：私有Bucket回源 3. 当完成添加域名页面所有配置后，单击【提交】，请耐心等待域名配置下发部署至全网节点，自助配置生效时间约510分钟。 注意 私有Bucket的AK、SK一旦授权给CDN，用户可以通过CDN访问到私有Bucket内容，如在媒体存储中的资源较为敏感，请单独为CDN创建一个独立的AK/SK，仅授权CDN可访问的内容，避免源站信息泄漏。

本章节主要介绍弹性资源池权限管理。 针对不同用户，管理员可以通过权限设置赋予各用户不同的操作权限，控制各用户弹性资源池的操作范围。 注意事项 管理员用户和弹性资源池的所有者拥有所有权限，不需要进行权限设置且其他用户无法修改其队列权限。 弹性资源池权限管理操作步骤 1.在DLI管理控制台的左侧，选择“资源管理 > 弹性资源池”。 2.选择待设置的弹性资源池，单击其“操作”列中的“更多 > 权限管理”。“用户权限信息”区域展示了当前具备此弹性资源池权限的用户列表。 权限设置有3种场景：为新用户赋予权限，为已有权限的用户修改权限，回收某用户具备的所有权限。 为新用户赋予权限 新用户指之前不具备此弹性资源池权限的用户。 a. 单击“用户权限信息”右侧的“授权”，弹出“授权”对话框。 b. “用户名”参数处填写具体要被授权的IAM用户名，并勾选需要赋权给该用户的对应权限。 c. 单击“确定”，完成新用户的权限的设置。 待设置的参数说明如下表“参数说明”所示。 参数说明 参数名称 描述 用户名 被授权的用户名称。 说明 该用户名称是已存在的IAM用户名称且该用户登录过DLI管理控制台。 权限设置 更新：当前用户可更新弹性资源池的描述信息。 资源管理：当前用户可在弹性资源池上添加队列、删除队列、操作队列的扩缩容策略配置。 删除：当前用户可删除此弹性资源池。 赋权：当前用户可将弹性资源池的操作权限赋予其他用户。 回收：当前用户可回收其他用户具备的该弹性资源池的权限，但不能回收该弹性资源池所有者的权限。 查看其他用户具备的权限：当前用户可查看其他用户具备的该弹性资源池的权限。 为已有权限的用户赋予权限或回收权限。 a. 在对应弹性资源池“权限信息”区域的用户列表中，选择需要修改权限的用户，在“操作”列单击“权限设置”。 b. 在队列“权限设置”对话框中，对当前用户具备的权限进行修改。详细权限描述如上表“参数说明”所示。 当“权限设置”中的选项为灰色时，表示您不具备修改此队列权限的权限。可以向管理员用户、弹性资源池所有者等具有赋权权限的用户申请弹性资源池的“赋权”和“回收”权限。 c. 单击“确定”完成权限设置。 回收某用户具备的所有权限。 在对应弹性资源池“用户权限信息”区域的用户列表中，选择需要删除权限的用户，在“操作”列单击“回收”。在“回收”对话框中单击“确定”后，此用户将不具备该弹性资源池的任意权限。

创建迁移作业 1.选择“表/文件迁移 > 新建作业”，开始创建数据迁移任务。 2.配置作业基本信息： 作业名称：输入便于记忆、区分的作业名称。 源端作业配置 源连接名称：选择创建DDS连接中的“mongolink”。 −数据库名称：选择待迁移数据的数据库。 −集合名称：DDS中MongoDB的集合，类似于关系型数据库中的表名。 目的端作业配置 −目的连接名称：选择创建DWS连接中的连接“dwslink”。 −模式或表空间：选择待写入数据的DWS数据库。 −表名：待写入数据的表名，可以手动输入一个不存在表名，CDM会在DWS中自动创建该表。 −导入前清空数据：任务启动前，是否清除目的表中数据，用户可根据实际需要选择。 3.单击“下一步”进入字段映射界面，CDM会自动匹配源端和目的端的数据表字段，需用户检查字段映射关系是否正确。 如果字段映射关系不正确，用户单击字段所在行选中后，按住鼠标左键可拖拽字段来调整映射关系。 导入到DWS时需要手动选择DWS的分布列，建议按如下顺序选取： a.有主键可以使用主键作为分布列。 b.多个数据段联合做主键的场景，建议设置所有主键作为分布列。 c.在没有主键的场景下，如果没有选择分布列，DWS会默认第一列作为分布列，可能会有数据倾斜风险。 如果需要转换源端字段内容，可在该步骤配置，这里选择不进行字段转换。 4.单击“下一步”配置任务参数，一般情况下全部保持默认即可。 该步骤用户可以配置如下可选功能： 作业失败重试：如果作业执行失败，可选择是否自动重试，这里保持默认值“不重试”。 作业分组：选择作业所属的分组，默认分组为“DEFAULT”。在CDM“作业管理”界面，支持作业分组显示、按组批量启动作业、按分组导出作业等操作。 是否定时执行：如果需要配置作业定时自动执行，请参见 配置定时任务。这里保持默认值“否”。 抽取并发数：设置同时执行的抽取任务数。这里保持默认值“1”。 是否写入脏数据：如果需要将作业执行过程中处理失败的数据、或者被清洗过滤掉的数据写入OBS中，以便后面查看，可通过该参数配置，写入脏数据前需要先配置好OBS连接。这里保持默认值“否”即可，不记录脏数据。 作业运行完是否删除：这里保持默认值“不删除”。 5.单击“保存并运行”，回到作业管理界面，在作业管理界面可查看作业执行进度和结果。 6.作业执行成功后，单击作业操作列的“历史记录”，可查看该作业的历史执行记录、读取和写入的统计数据。 在历史记录界面单击“日志”，可查看作业的日志信息。

本章节介绍如何使用云服务备份完成ECS的整机备份和恢复。 场景描述 如果您的业务数据同时保存在数据盘和系统盘中，当ECS整机发生系统故障或者错误操作时，您可以通过云服务备份的备份和恢复功能，实现业务应用版本回退。本文详细介绍整机恢复场景的相关内容。 方案优势 · 当发生病毒入侵、人为误删除、软硬件故障等事件，支持将数据恢复到任意备份点，使系统正常运行。 · 备份的同一个ECS主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 在进行本文操作之前，您需要完成以下准备工作： · 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 · 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 · 用于数据恢复的备份必须包含系统盘的备份。 解决方案 步骤1：创建云主机备份 1、参照云服务备份操作指导章节，完成存储库的创建，用于创建云主机备份。 2、假设云主机A的数据盘中存放了数据：datadisk.txt，系统盘中存放了数据：systemdisk.txt，如下图所示 3、将需要迁移的云主机A绑定至存储库，参照云主机备份创建指导完成该云主机的全量备份。 4、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：删除/新增数据，模拟灾难场景 1、登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2、删除系统盘和数据盘中准备的数据，新增文件和数据如下图所示： 步骤3：整机恢复 1、登录天翼云管理控制台。选择“存储 > 云服务备份”。进入云主机备份页面。 2、在“备份副本”页签下，选中创建成功的备份副本，单击操作列“恢复数据”，进入恢复云主机的向导页面，按需选择对应选项，点击确定。 3、在备份控制台的“任务”页签下，查看恢复任务状态，状态成功后即恢复完成。 步骤4：数据验证 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。查看对应数据，如下图所示，已恢复至对应时间点数据状态：

约束与限制 系统默认创建的存储库为按需付费模式，若您希望使用包年包月付费模式，请在新版服务的按需转包周期特性上线后再进行迁移。 迁移后，云硬盘备份和云主机备份将无法使用，新版云服务备份将使用新的计费模式进行计费，具体请参考云服务备份计费模式。 一键迁移时，无法使用已经购买的存储库，系统会自动迁移资源至系统创建的存储库中。 一个帐号下的备份资源只需要迁移一次即可。 迁移完成后，云硬盘备份和云主机备份会自动存放在云备份存储库中，无需再手动进行操作。 操作步骤 步骤一 ：登录云服务备份控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“存储 >云服务备份”。选择对应备份的页签。 步骤二：选择右上角“迁移至云服务备份”。阅读弹框提示内容后，单击“是”。 步骤三：系统会自动将资源进行迁移，迁移成功后会生成一个名为“default”的存储库，并在界面上方提示已迁移成功。 常见问题 1. 为什么新版服务中的备份也会出现在旧版服务？ 答：如果您已完成旧版服务迁移备份至新版服务，在新版的云备份服务创建备份后，会同时在旧版的云硬盘备份服务中产生相同的备份记录。这是由于底层机制，旧版的云硬盘备份会展示包括云服务备份、云主机备份以及云硬盘备份产生的所有备份，但这些备份不会重复计费，仅作为界面展示。 2. 我需要删除旧版的备份如何操作？ 答：如果您希望删除旧版云硬盘备份服务中的备份，需要在新版服务中找到对应的备份进行删除，则旧版服务的备份也会同时删除，无法在旧版服务中删除。 3. 云服务备份CBR和云主机备份CSBS、云硬盘备份VBS有什么区别？ 答：云服务备份服务CBR融合云主机备份服务CSBS和云硬盘备份服务VBS，功能相较两个服务更强大，在支持云主机备份服务和云硬盘备份服务原有功能上，更支持SFS Turbo备份和混合云备份等新功能。使用模式和计费模式与两个服务也有所不同。 4. 绑定资源时提示“已挂载至原备份服务中”，无法绑定至存储库怎么办？ 答：需要在控制台上服务列表中选择“云硬盘备份”服务或者“云主机备份”，前往该服务控制台上“策略”页签确认，是否有资源挂载至策略中。如果存在，请在“策略”页签下解绑资源后，再前往云服务备份控制台绑定资源至存储库。

操作步骤 本小节介绍如何创建RDS全量备份场景下的备份迁移任务。您可以通过本云上Microsoft SQL Server数据库实例的全量备份，对已有的Microsoft SQL Server实例进行备份数据迁移。 步骤 1 在“备份迁移管理”页面，单击“创建迁移任务”。 步骤 2 在“选定备份”页面输入任务名称和描述，填选备份文件信息，单击“下一步”。 表 任务信息 参数 描述 :: 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 表备份文件信息 参数 描述 :: 数据库类型 选择Microsoft SQL Server数据库引擎。 备份文件来源 选择RDS全量备份。 说明 请选择状态为“备份完成”的RDS备份文件。 标签 可选配置，对迁移任务的标识。使用标签可方便管理您的迁移任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 步骤 3 在“选定目标”页面，填选数据库信息，单击“下一步”。 表 数据库信息 参数 描述 :: 目标RDS实例名称 选择目标RDS实例。若没有合适的目标数据库实例，请先创建目标数据库实例， 待还原数据库名称 选中目标RDS实例后，自动展示该实例的所有待还原数据库，可根据需要选择待还原的数据库，并且支持重命名。 待还原数据库名称：待还原数据库的原名称。 数据库新名称：区分大小写，长度在1~64个字符之间，可以包含字母，数字、中划线和下划线，不能包含其他特殊字符。不设置，则使用原数据库名称备份恢复，设置后，使用新名称备份恢复。 说明 待还原数据库支持重命名，最大配额为100个。 数据库新名称不能与源库中除本库以外的其它库同名。 步骤 4 在“信息确认”页面核对配置详情后，勾选协议，单击“下一步”。 说明 SQLServer自身的工作原理是备份文件恢复到新的数据库后，非聚集索引表的索引信息将会失效需要立即重建。如果源数据库里存在大量非聚集索引表，备份迁移后请在目标库进行索引重建，以避免数据库未来使用中性能出现重大下降。同时备份文件里仅保存数据库级信息，在SQLServer实例中还有一些配置需要主动识别并手工完成迁移，如login，权限，DBlink，job等，如果源数据库包含这部分配置，请参考手动配置信息进行迁移补充工作。 步骤 5 在“备份迁移管理”页面任务列表中，观察对应的恢复任务的状态为“恢复中”，恢复成功后，任务状态显示“成功”。

本章节主要介绍翼MapReduce的管理集群配置操作。 操作场景 FusionInsight Manager支持一键查看集群内各服务配置参数的变动情况，方便用户快速排查定位问题，提升配置管理效率。 管理员可通过配置界面快速查看集群内各服务所有非初始默认值、同一角色实例之间非统一值、集群配置修改的历史记录、集群内当前配置状态为过期的参数。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 配置”。 3. 根据操作场景，选择对应操作页面： 查看所有非默认值： a. 单击“所有非默认值”，界面将显示当前集群内各服务、角色或实例的配置参数中，与初始默认值不一致的参数项。 单击参数值后面的图标可快速恢复配置项的参数值至系统默认值，单击图标可查看该配置项的历史修改记录。 配置参数较多时，可通过界面右上角的服务过滤框进行筛选，或者在搜索框中直接搜索关键字。 b. 如需修改配置项参数值，根据参数描述修改配置后，单击“保存”，在弹出的窗口中单击“确定”。 查看所有非统一值： a. 单击“所有非统一值”，界面将显示当前集群内角色级别、服务级别、实例组级别或实例级别的存在差异化配置的配置项。 单击参数值后面的图标，在弹出的窗口中可查看具体的差异项。 b. 如需修改配置项参数值，可单击取消下层的配置差异化或手动调整，然后单击“确定”，再单击“保存”，在弹出的窗口中单击“确定”。 查看过期配置： a. 单击“过期配置”，界面将显示当前集群内配置过期的配置项。 b. 可通过界面上方的服务过滤框进行筛选，查看不同服务的过期配置，或者在搜索框中直接搜索关键字。 c. 处于过期状态的配置项并未完全生效，在不影响业务情况下，请及时重启配置过期的服务或实例。 查看历史配置记录： a. 单击“历史配置”，界面将显示当前集群的历史配置变更记录，用户可查看具体的参数值变动详情，包括所属服务、修改前与修改后的参数值、参数文件等内容。 b. 如需还原某次配置变更，可单击记录所在行“操作”列的“还原配置”按钮，在弹出的窗口中单击“确定”。 说明 部分配置项在修改参数值后需重启对应服务才会生效，在保存配置后请及时重启配置过期的服务或实例。

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

监控Agent简介 通过在主机上安装云监控Agent，为您提供主机的系统监控、进程监控等服务。 系统要求 目前只支持Linux操作系统和Windows操作系统。支持的系统如下： 操作系统 版本 Linux 天翼云提供的公共Linux镜像均支持 Windows 天翼云提供的公共Windows镜像均支持 在部分区域，对于使用标准公共版本镜像的服务器，可以在云主机详情页监控 单击“一键安装监控Agent”来实现一键安装新的监控。 安装位置 监控Agent在云主机上的安装位置如下： Linux：/usr/bin/telegraf Windows：C:Program Filesctyuntelegraftelegraf 端口说明 云主机监控Agent通过TCP协议访问远程服务器的 10063和10064 端口， 用于心跳检测与监控数据上报，以及用于查看配置和更改日志级别等。 性能说明 资源 性能说明 CPU 当监控插件稳定运行时，一般CPU的消耗小于1% 内存 当监控插件稳定运行时，一般内存的占用小于64M 插件安装包 64M 支持安装监控Agent的地区及Agent安装包下载路径 地区名称 Agent安装包下载路径 华北2 Linux： Windows： 西南2 Linux： Windows： 青岛20 Linux： Windows： 上海15 Linux： Windows： 南昌5 Linux： Windows： 华南2 Linux： Windows： 广州6 Linux： Windows： 西南1 Linux： Windows： 芜湖4 Linux： Windows： 贵阳42 Linux： Windows： 沈阳8 Linux： Windows： 杭州7 Linux： Windows： 北京9 Linux： Windows： 西安7 Linux： Windows： 西安5 Linux： Windows： 太原4 Linux： Windows： 郑州5 Linux： Windows： 常州69 Linux： Windows： 上海32 Linux： Windows： 武汉41 Linux： Windows： 华东1 Linux： Windows： 南宁23 Linux： Windows： 上海36 Linux： Windows： 上海7 Linux： Windows： 内蒙6 Linux： Windows： 北京5 Linux： Windows： 九江 Linux： Windows： 拉萨3 Linux： Windows： 杭州2 Linux： Windows： 长沙42 Linux： Windows： 中卫5 Linux： Windows： 石家庄20 Linux： Windows： 南京5 Linux： Windows： 晋中 Linux： Windows： 贵州3 Linux： Windows： 辽阳1 Linux： Windows： 福州25 Linux： Windows： 合肥2 Linux： Windows： 注意 除以上地区外，若需要下载监控Agent安装包，请参考云监控Agent管理。

本文通过CDN加速业务实例，详细介绍业务接入的基本流程，合适的配置方案建议，消除客户业务创建困惑，帮助客户以更快的速度获得更优的加速体验。 背景信息 对于首次使用CDN加速的用户，如希望初始配置就获得较优的加速效果，可参照本实践案例，通过服务开通、域名配置、业务验收、CNAME切量等步骤，实现业务快速接入。 前提说明 本实例，仅针对只有静态内容的加速场景，如文字，图片，视频等静态可缓存内容的加速。如相同业务中不止静态内容，相同域名下同时有动态内容的场景，请参考全站加速的相关介绍。 业务场景 加速域名：ctyun.cn。 加速内容：文字和图片为主，包含少量点播视频。 加速区域：仅中国内地，即该网站的用户都集中在中国内地。 业务要求：客户自己提供源站，对传输安全性要求高，因此推荐客户使用https安全传输协议。 操作流程 步骤一： 在创建域名之前，需要先通过天翼云官网进行注册和实名制认证、开通CDN加速服务。详情请见：产品开通。 步骤二： CDN服务开通后，通过CDN控制台进行创建域名。登录控制台的步骤，详情详见：进入客户控制台。 步骤三： 在CDN控制台上，添加域名并配置。详情请见：添加加速域名。域名创建成功的标志是，在域名列表中，可以查到新建域名，以及CNAME地址。 为获得更优的加速效果，建议如下配置方案： 场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 回源HOST 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见：分片回源。 提高CDN缓存命中率 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见：证书管理。 HTTPS配置 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。 访问控制 步骤四： 在CDN控制台成功添加加速域名后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 具体流程如下： 1. 在天翼云CDN控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如：ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 用户修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而验证加速域名相关业务场景。 4. 验证内容： 成功绑定HOSTS文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在HOSTS文件中绑定的IP一致，表示配置正确。如果不一致，表示配置不正确，您需要检查HOSTS文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在本地电脑成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性；如果功能验证不如预期，请提交工单联系天翼云客服处理。 步骤五： 如果您在步骤四的验证均正常，或者您通过其他方式已完成功能的验收测试，证明CDN的配置已经符合切量解析条件。为了实现正式的CDN加速，您需要在域名解析服务商处，将加速域名的DNS解析记录指向天翼云为您分配的CNAME域名，请求才能转发到CDN节点上，实现加速。配置CNAME的操作，详情请见：配置CNAME。

本章主要介绍翼MapReduce的备份Kafka元数据功能。 操作场景 为了确保Kafka元数据安全，或者系统管理员需要对ZooKeeper进行重大操作（如升级或迁移等）时，需要对Kafka元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份Kafka任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“Kafka”。 说明 若安装了多个Kafka服务，默认备份所有Kafka服务，可单击“指定服务”指定需要备份的Kafka服务。 7.在“Kafka”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 选择此参数值，还需要配置“最大备份数”，表示备份目录中可保留的备份文件集数量。 “LocalHDFS”：表示将备份文件保存在当前集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端路径”：填写备份文件在HDFS中保存的目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间” ，用于保存数据源的备份文件。备份文件的名称为 版本号数据源任务执行时间.tar.gz 。

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本文帮助您了解对象存储数据回源配置相关的操作步骤。 操作场景 您可以通过ZOS控制台，对存储桶设置回源规则，当您请求的对象在存储桶中不存在或者需要对特定的请求进行重定向时，您可以通过回源规则访问到对应的数据。设置回源主要用于数据的热迁移、特定请求的重定向等场景，您可以按照自身实际需要进行设置。 约束与限制 数据回源支持的区域请参见产品能力地图。 镜像回源将源站数据保存至 ZOS 中，不支持指定存储类型（默认为标准存储，详情参考 修改文件存储类型），不支持设置文件读写权限（默认为私有，详情参考 文件读写权限文档） 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择上海上海36。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台，单击Bucket名称进入“概览”页面。 5. 找到“基础设置”分页下的“数据回源”部分，点击“设置”按钮。 6. 在数据回源的模块中，点击“创建规则”，在弹出的数据回源规则窗口中按参数说明进行配置。数据回源规则配置说明如下： 参数 说明 回源类型 根据需求场景选择镜像回源或重定向回源： 镜像回源：镜像回源会从回源规则指定的源站抓取对应资源，转发给客户端，同时在后台生成回源任务，将源站数据保存至ZOS中。 重定向回源：重定向回源对用户的请求根据回源规则生成新的url后进行重定向，由客户端对重定向的url进行访问，不会将源站数据保存至ZOS中。 回源条件 触发回源需同时满足下列两个条件： HTTP状态码：404 文件名前缀：设置请求的文件名前缀 回源地址规则 选择添加前缀/添加前后缀/替换文件名前缀。 回源地址 选择https/http，填入域名或 IP 地址。 跟随重定向 可选开启或关闭。开启后ZOS会跟踪源站的3xx重定向请求，前往重定向的目标获取资源，并将资源保存到ZOS。关闭时ZOS会透传3xx响应，不会前往重定向的目标获取资源。 7. 配置完后点击“确定”，创建成功，系统将根据创建的先后顺序为规则分配优先级，您也可以通过点击“调整优先级”来重新调整规则的优先级。

本文介绍如何为桶配置自定义域名。 使用场景 文件预览：如果您不想强制下载文件，可以通过将自定义域名绑定至桶实现在线预览文件。 访问.apk或.ipa文件：出于安全考虑，ZOS禁止通过桶的外网域名访问后缀为.apk或者.ipa的文件。您可使用自定义域名访问此类文件。 提升品牌形象和专业度：提供固定的个性化的企业域名，可以增强品牌形象和专业度，增加用户信任。 约束与限制 不支持绑定中文域名。 每个桶最多可以绑定100个域名。 一个自定义域名只能配置到一个桶上。 操作步骤 步骤一：配置自定义域名 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“基础设置”页面，找到“自定义域名”，点击“设置”按钮。 6. 点击“添加域名”按钮，输入您的域名。 7. 添加域名成功后，您添加的域名信息将会展示在自定义域名列表中。 8. （可选）您可以在自定义域名列表中点击“绑定证书”， 以绑定您的HTTPS证书。 注意 1. 请确保您添加的域名已经完成工信部备案。添加域名时会验证您的备案情况。如域名尚未备案，请完成备案后再执行添加域名操作。 2. 如您的域名是新备案的域名，域名的备案情况由于同步时间较长，可能会出现较长时间无法通过验证，请您耐心等待。 步骤二：添加CNAME记录 1. 您可以在“配置CNAME”页面复制您添加的自定义域名对应的CNAME值。请注意，“配置CNAME”页面是为了提示您需要为自定义域名添加CNAME记录。无论您是否在此时配置CNAME，自定义域名都已经添加成功了。 2. 您也可以在自定义域名列表页面，复制您添加的自定义域名对应的CNAME值。 3. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 4. 验证自定义域名是否生效。配置CNAME后，不同的服务商CNAME生效的时间不同，一般新增的CNAME记录会立即生效，修改的CNAME记录需要较长时间生效。您可以ping或dig您所添加的自定义域名，如果被指向ZOS系统域名，即表示CNAME配置已经生效，自定义域名也已生效。

本文介绍如何使用Python请求处理程序响应接收到的事件并执行相应的业务逻辑。 请求处理程序 请求处理程序 是您提供的一个方法。当您的函数被调用时，函数计算会运行该方法处理请求。 您可以通过函数计算控制台页面 配置请求处理程序 ，对于Python语言的函数，请求处理程序需配置为 [文件名].[方法名]。例如，您的文件名为index.py，方法名为handler，则请求处理程序可配置为 index.handler。 事件请求处理程序的方法签名定义如下： def handler(event, context): return 'Hello Python!' 方法名 您可以自定义方法名称。 event入参 您调用函数时传入的参数。 context入参 context参数中包含一些函数的运行时信息（例如RequestId、临时AccessKey等）。 HTTP请求处理程序的方法签名定义如下： coding: utf8 HELLOWORLD b'Hello world!n' def handler(environ, startresponse): status '200 OK' responseheaders [('Contenttype', 'text/plain')] startresponse(status, responseheaders) return [HELLOWORLD] 方法名 您可以自定义方法名称。 environ入参 用于存放所有HTTP请求的信息。 startresponse入参 发送 HTTP 响应的函数，包含两个参数：HTTP状态码、一组Python list对象组成的HTTP Headers。 示例：获取JSON中的字段 coding: utf8 import json def handler(event, context): person json.loads(event) name person["name"] address person["address"] return f"Input name is: {name}, address is: {address}" 示例二：使用HTTP触发器调用函数 import json import logging 配置日志 logger logging.getLogger() logger.setLevel(logging.INFO) def handler(environ, startresponse): 获取请求路径、URI和客户端IP requestpath environ.get('FCREQUESTPATH', '') requesturi environ.get('FCREQUESTURI', '') requestclientip environ.get('FCREQUESTCLIENTIP', '') 记录日志 logger.info("hello") print("print hello") 获取请求体数据 try: 读取请求体 requestbodysize int(environ.get('CONTENTLENGTH', 0)) except (ValueError): requestbodysize 0 requestbody environ['wsgi.input'].read(requestbodysize) 解析JSON请求体 try: if requestbody: jsondata json.loads(requestbody.decode('utf8')) logger.info(f"body: {json.dumps(jsondata)}") else: jsondata {} logger.info("body: empty") except json.JSONDecodeError as e: logger.error(f"JSON解析错误: {e}") jsondata {} 构建响应内容 responsecontent f"Path: {requestpath}nUri: {requesturi}nIP: {requestclientip}n" 设置响应状态和头部 status '200 OK' responseheaders [ ('header1', 'value1'), ('header2', 'value2'), ('ContentType', 'text/plain') ] startresponse(status, responseheaders) 返回响应内容 return [responsecontent.encode('utf8')]

本文主要介绍调用链 在企业微服务之间调用复杂的场景下，APM Agent会抽样一些请求，拦截对应请求及后续一系列的调用信息。比如在A调用B然后调用C的场景，请求进入A后，APM系统会采用智能采样算法，决定是否对请求进行调用链跟踪。 智能采样算法 APM系统会采用智能采样算法，决定是否对请求进行调用链跟踪。 如果决定要跟踪，那么就会生成一个TraceID，拦截A下面的一些重要方法（一般具有树结构父子关系）的详细信息（称为event），同时APM会将TraceID透传到B，B也会拦截下面的重要方法，同时透传TraceID到C，C也跟B和A类似。每个节点分别上报event信息，通过TraceID形成关联，这样通过TraceID就可以查看整个请求的调用详情。 如果决定不跟踪，那么就不会生成TraceID，B服务由于没有收到TraceID，自身也会产生跟A服务一样的算法，决定是否要进行调用链跟踪。 数据上报后，APM系统除了会存储所有event详情，同时会将每个服务的根event（称为span）信息额外存储起来，用于后续调用链搜索。用户一般是先搜索到span信息，然后根据span信息上附带的TraceID获取到总体调用链详情。 调用链采样策略系统默认是智能采样，url分为错误url、慢url（默认800ms、用户自定义配置）、正常url三种url，每种url调用链数据的采样率单独计算。APM的统计数据是一分钟采集上报一次，第一个采集周期所有url调用链数据都按正常url采样。第二个采集周期时，根据上一个采集周期的统计数据，将url分类为错误url、慢url、正常url三种url。 错误url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 慢url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 正常url的采样率：cpu小于30%每分钟采集20条，cpu大于或等于30%小于60%每分钟采集10条，cpu大于或等于60%每分钟采集5条，每条url至少采集1条。 上述调用链算法优点是，一旦决定产生调用链信息，那么链路是完整的，帮用户做正确决策。对于大量调用的url，可能会采集不到异常请求，可以通过异常监控的指标采集等其他方式来定位系统中的异常。

本文主要介绍KafkaProducer监控 介绍APM采集的KafkaProducer监控指标的类别、名称、含义等信息。 表 KafkaProducer监控指标说明 指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 ::::::: topic (topic，kafka的topic监控数据。) id id clientid和ip信息 ENUM LAST topic (topic，kafka的topic监控数据。) topic topic kafka的topic名称 ENUM LAST topic (topic，kafka的topic监控数据。) byteRate 每秒发送字节 每秒发送字节 Byte INT AVG topic (topic，kafka的topic监控数据。) recordErrorRate 每秒错误数 每秒错误数 INT AVG topic (topic，kafka的topic监控数据。) recordRetryRate 每秒重试数 每秒重试数 INT AVG topic (topic，kafka的topic监控数据。) recordSendRate 每秒发送数 每秒发送数 INT AVG topic (topic，kafka的topic监控数据。) seqIds Producer生成序列号 Producer生成序列号 STRING LAST topic (topic，kafka的topic监控数据。) recordSendTotal 总发送次数 总发送次数 INT SUM topic (topic，kafka的topic监控数据。) byteTotal 总发送字节数 总发送字节数 INT SUM KafkaProducer汇总（total，KafkaProducer汇总信息统计。） recordSendTotal 总发送次数 总发送次数 INT SUM KafkaProducer汇总（total，KafkaProducer汇总信息统计。） byteTotal 总发送字节数 总发送字节数 INT SUM 异常 (exception，kafka发送异常信息。) causeType 异常发生类 异常发生类 ENUM LAST 异常 (exception，kafka发送异常信息。) exceptionType 异常类 异常类 ENUM LAST 异常 (exception，kafka发送异常信息。) count 数量 异常数量 INT SUM 异常 (exception，kafka发送异常信息。) message 异常消息 异常消息 STRING LAST 异常 (exception，kafka发送异常信息。) stackTrace 异常堆栈 异常堆栈 CLOB LAST 发送方法（doSendMethod，发送消息方法监控。） topic topic topic ENUM LAST 发送方法（doSendMethod，发送消息方法监控。） concurrentMax 最大并发 最大并发 INT MAX 发送方法（doSendMethod，发送消息方法监控。） errorCount 错误数 错误数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） invokeCount 调用次数 调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） maxTime 最慢时延 最慢时延 INT MAX 发送方法（doSendMethod，发送消息方法监控。） range1 0–10ms 时延在010ms范围调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） range2 10–100ms 时延在10–100ms范围调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） range3 100–500ms 时延在100–500ms范围调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） range4 500–1000ms 时延在500–1000ms范围调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） range5 1–10s 时延在1–10s范围调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） range6 10sn 时延在10s以上调用次数 INT SUM 发送方法（doSendMethod，发送消息方法监控。） totalTime 总时延 调用总耗时 INT SUM

约束限制 云堡垒机用户帐号被锁定期间不支持重置密码。用户可待锁定时间到期后，再进行重置密码操作。 配置了AD域认证或RADIUS认证的云堡垒机用户，需在AD域或RADIUS服务器上重置密码或修改密码，不能通过云堡垒机系统重置密码、设置密码期限等用户密码管理操作。 登录页面重置密码 已登录过云堡垒机且配置了手机号码的帐号忘记了密码可参考本章节进行重置密码。 1 在云堡垒机系统登录页面，单击“忘记密码？”，进入“重置密码”页面。 2 根据“重置密码”引导，确认帐号信息，输入“登录名”、“手机号码”和“短信验证码”，输入的手机号码需与用户帐号绑定的手机号码一致。 重置密码引导 3 确认重置密码身份。 根据提示信息，输入用户绑定的手机号码，并通过短信验证码验证身份。 若忘记手机号码，可单击“无法获取短信？”，填写系统信息尽量找回密码。 确认用户手机号码 4 根据密码设置要求重置和确认密码。 密码设置要求：长度范围8~32个字符；需同时包含英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符，不支持空格。 5 新密码设置成功后，返回登录页面输入“登录名”和“密码”，登录云堡垒机系统。 修改密码 若用户已登录云堡垒机系统，可根据需要定期修改登录密码。 1 如图示例，单击“修改密码”，弹出“修改密码”对话框。 云堡垒机系统修改密码 2 输入“当前密码”验证，根据要求输入“新密码”，并确认新密码。 3 新密码设置成功后，需退出系统，返回登录页面重新登录云堡垒机系统。 批量重置普通用户密码 系统管理员admin或拥有“用户”管理权限的用户，可批量为其他用户重置密码。 1 登录云堡垒机系统。 2 选择“用户 > 用户管理 ”，进入用户列表页面。 用户管理列表 3 选择待重置密码用户，单击“更多 > 重置密码”，弹出“重置密码”窗口。 用户重置密码 4 配置密码或随机生成密码。 5 单击“确认”，将新配置的密码分发给被重置密码的用户。 因批量重置的用户密码相同，建议被重置密码的用户登录系统后及时修改个人密码。 其他任何用户都不能重置系统管理员admin的密码。 批量重置密码仅能修改其他用户密码，不能修改个人密码。 用户密码重置后不能明文查看和导出。

本节介绍了云容器引擎的最佳实践:服务发布。 灰度发布和蓝绿发布 当对服务进行版本更新升级时，需要使用到滚动升级、分批暂停发布、蓝绿发布以及灰度发布等发布方式。本文将介绍在云容器引擎集群中如何通过Nginx Ingress Controller来实现应用服务的灰度发布。 背景信息 灰度及蓝绿发布是为新版本创建一个与老版本完全一致的生产环境，在不影响老版本的前提下，按照一定的规则把部分流量切换到新版本，当新版本试运行一段时间没有问题后，将用户的全量流量从老版本迁移至新版本。 其中AB测试就是一种灰度发布方式，一部分用户继续使用老版本的服务，将一部分用户的流量切换到新版本，如果新版本运行稳定，则逐步将所有用户迁移到新版本。 云容器引擎控制台灰度发布功能的用法如下。 canary注解方式：使用canary Annotation配置蓝绿发布与灰度发布，canary Annotation是社区官方实现的灰度发布方式。 应用场景 基于客户端请求的流量切分场景：假设当前线上环境，您已经有一套服务Service A对外提供7层服务，此时上线了一些新的特性，需要发布上线一个新的版本Service A'。但又不想直接替换Service A服务，而是希望将请求头中包含foobar或者Cookie中包含foobar的客户端请求转发到Service A'服务中。待运行一段时间稳定后，可将所有的流量从Service A切换到Service A'服务中，再平滑地将Service A服务下线。 基于服务权重的流量切分场景：假设当前线上环境，您已经有一套服务Service B对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service B'。但又不想将所有客户端流量切换到新版本Service B'中，而是希望将20%的流量切换到新版本Service B'中。待运行一段时间稳定后，再将所有的流量从Service B切换到Service B'服务中，再平滑地将Service B服务下线。 针对以上多种不同的应用发布需求，天翼云容器云服务引擎Ingress Controller支持了多种流量切分方式：基于Request Header的流量切分，适用于灰度发布以及AB测试场景。基于Cookie的流量切分，适用于灰度发布以及AB测试场景。基于Query Param的流量切分，适用于灰度发布以及AB测试场景。基于服务权重的流量切分，适用于蓝绿发布场景。

本章节介绍如何使用K8s配置项替换配置文件 概述 当您选择使用Kubernetes进行容器化部署时，可以使用配置项去保存一些不需要加密的配置信息，如JVM堆内存、JVM属性参数等，在创建或者部署应用时，系统会自动将配置信息直接注入到容器中。 在微服务云应用平台场景下，这种配置管理方式变得更加灵活和强大。微服务云应用平台不仅支持上述的配置注入，还允许您将配置项以文件的形式直接挂载到容器内的指定目录。这意味着，除了能够动态调整应用的运行参数外，您还可以确保这些配置信息以文件的形式存在，这不仅方便了日常的管理和维护工作，也使得在需要时更新配置或进行故障排查变得更为直观和高效，从而显著提升了整体的运维体验和工作效率。 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 常用使用场景 覆盖目录下已经存在的文件 这里以常用的nginx镜像举例，在官方的nginx镜像中，/etc/nginx目录下的nginx.conf文件是需要配置的，并且在不同的环境下，该文件内容也不相同。此时，可以使用将配置项以文件形式挂载到容器指定目录下，覆盖原文件，来实现不同环境使用不同配置的效果。 首先需要创建K8s配置项，左侧导航栏，选择容器应用实例 > Kubernetes配置，进入到配置列表，点击左上角创建配置项。需要注意的是：配置项下的键值对映射，键是文件名称，值为文件内容。 挂载配置项，左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表选择需要覆盖的应用，进入应用详情界面，点击上方新增版本按钮，进入应用配置界面，在配置管理模块下配置文件挂载。 在配置管理中，可以通过挂载文件的方式，向容器中注入配置信息。需要注意的是，在挂载文件路径中，需要填写到文件名称。如下图所示： 参数 描述 配置类型 目前只支持配置项。 挂载类型 挂载到文件。 挂载源 挂载到应用容器文件系统中的配置项的名称。 挂载主目录 设置容器的挂载主目录，必须以斜杠（/）开头。 文件挂载方式 保留原文件：保留原目录下的文件，添加本次挂载文件。注意，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的Key：需要挂载到应用容器文件系统中的配置项指定的Key。挂载文件路径：相对挂载主目录的子路径。