本文主要介绍CCE发布Kubernetes 1.13版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.13版本所做的变更说明。 表 v1.13版本集群说明 Kubernetes版本（CCE增强版） 版本说明 v1.13.10r0 主要特性： 负载均衡支持设置名称 4层负载均衡支持健康检查，7层负载均衡支持健康检查/分配策略/会话保持l CCE集群支持创建物理机节点（容器隧道网络） 支持AI加速型节点（搭载海思Ascend 310 AI处理器），适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网（容器隧道网络） v1.13.7r0 主要特性： Kubernetes同步社区1.13.7版本 支持网络平面（NetworkAttachmentDefinition） 参考链接 社区v1.11与v1.13版本之间的CHANGELOG v1.12到v1.13的变化： v1.11到v1.12的变化：

查看规则 在审计管理 > 审计规则界面查看审计规则列表，点击某一个审计规则的查看按钮，可以查看该审计规则的详情。 修改规则 在审计管理 > 审计规则界面查看审计规则列表，点击某一个审计规则的修改按钮，可以修改该审计规则的定义。 在使用中的审计规则目前不支持修改。如果要修改，先从所有应用改审计规则的实例的策略中去掉之后，才可以修改，然后再重新应用到实例的策略中去。 删除规则 在审计管理 > 审计规则界面查看审计规则列表，点击某一个审计规则的删除按钮，可以删除该审计规则。 在使用中的审计规则目前不允许删除。如果要删除，先从所有应用改审计规则的实例的策略中去掉之后，才可以删除。 审计策略管理 在审计策略界面，选中实例之后，可以对实例的进行创建审计策略、修改审计策略、查看审计策略等操作。 一个实例目前只允许创建一条审计策略。当实例没有审计策略时，新建策略按钮可用，用户可以给实例创建对应的审计策略。 新建审计策略 新建审计策略时需要填写相关参数，具体的参数说明如下： 参数 类型 说明 审计规则 列表 审计策略包含的审计规则列表，支持多选。 auditLogFile string 审计日志文件的保存路径，可自定义，如 /htapaudit/audit.log auditLogRotateOnSize number 审计日志按大小滚动的阈值，单位MB。 auditLogRotations number 审计日志滚动时最多保留的文件个数。审计日志占用空间上限是 auditLogRotations auditLogRotateOnSize MB，不能超过 5 GB。 auditLogFormat string 审计日志格式，目前只支持json。 是否启用 布尔 审计开关，选中表示审计打开，未选中表示审计关闭。

在监控Go应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍采用Jaeger SDK方式上报go应用的链路数据,具体如下。 前提条件 完成vpce接入。 接入步骤 1. 引入go依赖包。 plaintext import ( "github.com/opentracing/opentracinggo" "github.com/uber/jaegerclientgo" "github.com/uber/jaegerclientgo/transport" ) 2. 查看接入点信息。 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3. 初始化Jaeger SDK。 注意 需将token和endpoint替换成相应地域的接入点信息。 plaintext func NewJaegerTracer(service string) opentracing.Tracer { auth : map[string]string{ "xctgauthorization":" ", //上面获取到的token } sender : transport.NewHTTPTransport( " ", //jaeger 上报的http地址 transport.HTTPHeaders(auth), ) tracer, : jaeger.NewTracer(service, jaeger.NewConstSampler(true), jaeger.NewRemoteReporter(sender, jaeger.ReporterOptions.Logger(jaeger.StdLogger)),) return tracer } 4. client 端上报demo。 plaintext func runClient(tracer opentracing.Tracer, httpUrl string, spanName string, r http.Request) { c : &http.Client{Transport: &nethttp.Transport{}} span : tracer.StartSpan(spanName) if r ! nil { spanCtx, : tracer.Extract(opentracing.HTTPHeaders, opentracing.HTTPHeadersCarrier(r.Header)) span tracer.StartSpan(spanName, opentracing.ChildOf(spanCtx)) } span.SetTag(string(ext.Component), spanName) defer span.Finish() ctx : opentracing.ContextWithSpan(context.Background(), span) req, err : http.NewRequest( "GET", httpUrl, nil, ) tracer.Inject(span.Context(), opentracing.HTTPHeaders, opentracing.HTTPHeadersCarrier(req.Header)) if err ! nil { onError(span, err) return } req req.WithContext(ctx) // wrap the request in nethttp.TraceRequest req, ht : nethttp.TraceRequest(tracer, req) defer ht.Finish() res, err : c.Do(req) if err ! nil { onError(span, err) return } defer res.Body.Close() body, err : ioutil.ReadAll(res.Body) if err ! nil { onError(span, err) return } fmt.Printf("Received result: %sn", string(body)) } func run() { for { time.Sleep(3 time.Second) tracer : NewJaegerTracer(HttpClientName) runClient(tracer, " + serverPort + "/", HttpClientName, nil) } } 5. server端上报demo。 注意 需将url1和url2替换成下游调用地址。 plaintext //server端接收到请求后继续再向java服务发起请求，最终实现client》goserver》javaserver的请求链路 func getJavaDemo(tracer opentracing.Tracer) func(http.ResponseWriter, http.Request) { return func(w http.ResponseWriter, r http.Request) { fmt.Println(r.Header) fmt.Println(opentracing.HTTPHeadersCarrier(r.Header)) span : opentracing.SpanFromContext(r.Context()) span.SetTag("http.serveraddr", "serveraddr") //填写您的服务端地址 span.SetTag("http.clientaddr", "clientaddr") //填写您的客户端地址 runClient(tracer, " ", HttpServerName, r) time.Sleep(10time.Millisecond) runClient(tracer, " ", HttpServerName, r) log.Print("Received getTime request") io.WriteString(w, "get java demo") } } func runServer(tracer opentracing.Tracer) { http.HandleFunc("/", getJavaDemo(tracer)) log.Printf("Starting server on port %s", serverPort) err : http.ListenAndServe( fmt.Sprintf(":%s", serverPort), // use nethttp.Middleware to enable OpenTracing for server nethttp.Middleware(tracer, http.DefaultServeMux)) if err ! nil { log.Fatalf("Cannot start server: %s", err) } } 6. 通过以上例子，我们就可以实现jaeger的方式采集go的监控数据。

DCS实例配置建议 读取模式（readMode） 建议采用MASTER，即Master节点承担所有的读写流量，一方面避免数据因主从同步时延带来的一致性问题；另一方面，如果从节点故障，配置值SLAVE，所有读请求会触发报错；配置值MASTERSLAVE，部分读请求会触发异常。读报错会持续failedSlaveCheckInterval（默认180s）时间，直至从可用节点列表中摘除。 如需读写流量分流处理，DCS服务提供了针对读写流量分流的读写分离实例类型，通过在中间架设代理节点实现读写流量分发，遇到从节点故障时，自动切流至主节点，对业务应用无感知，且故障感知时间窗口远小于redisson内部的时间窗口。 订阅模式（subscriptionMode） 建立采用MASTER，原理同上。 连接池配置 说明 以下计算方式只适用于一般业务场景，建议根据业务情况做适当调整适配。 连接池的大小没有绝对的标准，建议根据业务流量进行合理配置，一般连接池大小的参数计算公式如下： 最小连接数（单机访问Redis QPS）/（1000ms / 单命令平均耗时） 最大连接数（单机访问Redis QPS）/（1000ms / 单命令平均耗时） 150% 举例：某个业务应用的QPS为10000左右，每个请求需访问Redis10次，即每秒对Redis的访问次数为100000次，同时该业务应用有10台机器，计算如下： 单机访问Redis QPS 100000 / 10 10000 单命令平均耗时 20ms（Redis处理单命令耗时为510ms，遇到网络抖动按照1520ms来估算） 最小连接数 （10000）/（1000ms / 20ms） 200 最大连接数 （10000）/（1000ms / 20ms） 150% 300 重试配置 redisson中支持重试配置，主要是如下两个参数，建议根据业务情况配置合理值，一般重试次数为3，重试间隔为200ms左右。 retryAttemps：配置重试次数 retryInterval：配置重试时间间隔 说明 在redisson中，部分API通过借助LUA的方式实现，性能表现上偏低，建议使用jedis客户端替换redisson。

本节为天翼云人脸识别产品简介。 什么是人脸识别 人脸识别服务，是基于人的脸部特征信息，利用计算机对人脸图像进行处理、分析和理解，进行身份识别的一种智能服务。人脸识别以开放API（应用程序编程接口）的方式提供给用户，用户通过实时访问和调用API获取人脸处理结果，帮助用户自动进行人脸的识别、比对以及相似度查询等，打造智能化业务系统，提升业务效率。 当前人脸识别提供了以下子服务： 人脸检测 人脸属性识别 人脸活体检测 人脸比对 人脸实名认证 动作活体识别 人脸检测 通过用户输入人脸照片，高效快速地检测图像中的人脸，给出人脸的数量、位置等信息，方便用户后续应用。 人脸属性识别 在人脸检测基础上，分析检测后的人脸性别、年龄属性，扩展用户使用人脸检测服务的应用场景。

客户端加密 SDK 是一个用于数据加密和解密的 Java算法库，支持多种加密算法和密钥管理策略。本 SDK 提供了简单易用的API，帮助开发者快速实现数据的安全加密和解密操作。 前提条件 已开通KMS包周期服务。 已完成应用接入点创建，获取KMS应用接入点地址。 已完成访问凭证AKSK创建。 已完成用户主密钥资源创建。 下载SDK 请点击下载SDK：客户端加密SDK.zip 安装与配置 STEP1 安装依赖 下载编译好的jar包，在项目根目录创建lib目录，并将jar包放入项目lib目录。 然后执行以下maven命令安装到本地仓库。 plaintext 安装kms终端节点sdk mvn install:installfile Dfilelib/ctyunencryptionsdkjava1.0.0.jar DgroupIdcn.ctyun DartifactIdctyunencryptionsdkjava Dversion1.0.0 Dpackagingjar STEP2 添加依赖 安装完成之后在 pom.xml 中添加以下依赖： plaintext cn.ctyun ctyunencryptionsdkjava 1.0.0 STEP3 配置文件 在项目资源目录resources的根目录下创建 cryptoconfig.yaml 文件，配置加密参数： plaintext ctyun: crypto: useUniqueDataKeyPerEncrypt: true keyProvider: KMSCMK local: cmk: X0UawdOxtOMbt89jbznSEg kms: ak: 09bc65a7aeea902c67dfa006c797795f sk: 2e10dd702651e2442fe478f2d9777db5 endpoint: ip:port cmkId: e64b31c03877445f9865bce1b6aacdef dekId: b0a116edde0149bbb2a74706fcd9b420

查看或修改备份策略 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【备份恢复】，然后单击【备份策略】页签，查看当前实例的数据备份策略和日志备份策略。 5. 单击【数据备份策略】旁边的修改图标，弹出备份策略修改框。 6. 您可以根据需要，修改备份周期、保留天数、备份时间段、增量备份开关、定期备份开关、定期备份周期、定期备份保留天数，点击确定，修改数据备份策略。备份周期、保留天数、备份时间段、定期备份设置规则请参考本文第一章节。 7. 单击【跨地域备份策略】旁边的修改图标，弹出跨地域备份策略修改框，可以选择修改跨地域备份开关、目标地域、历史备份开关，点击确定，修改跨地域备份策略。更多详情请查看备份与恢复备份 跨域备份。 8. 单击【表级别备份策略】旁边的修改图标，弹出表级备份策略修改框，可以选择修改表级备份开关、备份周期、保留天数、备份时间段，点击确定，修改表级备份策略。

本文主要介绍SQL Server实例的变更计费模式功能。 前提条件 实例状态为“运行中”。 仅“包年/包月”模式的实例支持转按需。 仅“按需计费”模式的实例支持转包周期。 按需实例转包周期，要求没有未完成支付的转包年包月订单。 注意 包周期实例转按需是到期转按需，既需要等待原包周期时间到期后，才会变更为按需计费。 按需实例转包周期，点击确认后立即生效，计费方式变更为“包年包月”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到目标实例，点击【更多】按钮。 “包年/包月”模式的实例，点击【转按需】按钮，仔细阅读弹窗提示内容后，点击【确定】按钮，进入步骤4。 “按需计费”模式的实例，点击【转包周期】按钮，直接进入步骤4。 4. 在【包周期到期转按需】或【按需转包周期】页面，您可查看计费变更后的配置费用与实例信息。确认无误后，单击【确认】并完成支付，即可进行计费模式变更。

在事件列表页面，可以筛选并查看所有告警事件。 功能入口 1. 登录【应用性能监控控制台】。 2. 在左侧导航栏选择告警管理>告警事件历史。 事件列表 事件列表页面显示了未恢复告警和已恢复告警的事件名称、通知策略、创建时间、事件数量、事件状态、事件对象。 在事件列表页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，可以查看对应的告警事件。 字段 说明应用性能监控 事件名称 创建的告警规则的名称。 事件状态 告警事件的状态，共有以下3种状态： 告警中：告警事件持续被触发。 静默：在设置的自动恢复告警事件的时间内，和第一条告警事件名称和等级相同的告警事件的状态为静默。 已恢复：在设置的时间内，告警事件不再触发。 事件对象 监控任务名称或集群名称。 集成类型 告警事件对应的集成类型。 单击事件名称，查看目标事件的详细信息。更多信息，请参见下方【事件详情】。 事件详情 事件详情面板显示了事件的基本信息、监控数据和扩展字段。

使用持久存储卷 本地持久存储卷支持使用StorageClass动态创建PVC，StorageClass名称为csilocaltopology。csilocaltopology的行为相比csidisk等他类型StorageClass有较大差异，使用csilocaltopology行为如下。 添加了本地持久存储卷的节点会自动加上node.kubernetes.io/localstoragepersistent的标签。如果Pod使用csilocaltopology类型的PVC，调度器会将Pod调度到拥有node.kubernetes.io/localstoragepersistent标签的节点上，也就是拥有本地持久存储卷的节点上。 单独创建PVC，PVC创建后，状态会一直为Pending，不会立即创建PV。等有Pod使用PVC，调度器将Pod调度到节点后，everest再创建localpv所需的逻辑卷，并返回PV，PVC完成与PV的绑定。待挂载成功后，Pod启动。 创建应用时选择动态创建PVC，此时动态创建PVC后，调度器将Pod调度到节点，everest再创建逻辑卷，并返回PV，PVC完成与PV的绑定。待挂载成功后，Pod启动。 删除应用时，可选择不删除使用的PVC。这样在下一次创建应用时可以使用使用过的PVC，这样Pod会被调度到PVC关联的节点上。 apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvclocalexample namespace: default spec: accessModes: ReadWriteOnce 必须为ReadWriteOnce resources: requests: storage: 10Gi 本地持久存储卷大小 storageClassName: csilocaltopology StorageClass类型为csilocaltopology 使用临时存储卷 创建工作负载时，EmptyDir的磁盘介质选择为LocalVolume，表示使用临时存储卷。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: container1 image: nginx:alpine resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: name: vol164284390917275733 mountPath: /tmp imagePullSecrets: name: defaultsecret volumes: name: vol164284390917275733 emptyDir: medium: LocalVolume

本文介绍了备案管家的应用场景与前提条件。 解决客户在ICP 网站备案过程中的不了解流程、效率低、申请成功率低等问题，帮助客户便捷、高效、安全的提交、修改和管理备案流程，提升备案效率、成功率。

本节介绍如何配置字段映射规则。 字段映射规则是对采集到的日志字段内容映射，如等级字段，接收到的可能是数值1、2、3，可以通过字段映射成：低、中、高。 可对字段映射规则进行新增、查看、编辑、删除、查询操作。 新增字段映射规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 >字段映射规则”。 3. 单击“新增”，弹窗新增规则窗口。 4. 配置字段映射规则的相关参数。 参数 参数说明 取值样例 设备类型 在下拉框中选择需要配置字段映射的设备类型。 主机 / 服务器/其他 字段名 在下拉框中选择配置字段映射规则的字段名。 业务系统 字段原始值 填写配置规则设备类型下字段的原始值。 1 字段映射值 填写原始值映射后的内容。 低 5. 填写完成后，单击“提交”完成字段映射规则配置。 相关操作 规则配置完成后，在规则列表，支持查询规则、查看规则详情、编辑规则、删除规则。 查询规则：在查询栏中，填写需要查询的条件，点击搜索图标，列表展示过滤后的规则。 查看规则详情：单击规则列表操作列的“查看”按钮，进入规则的详情界面。 编辑规则：单击规则列表操作列的“编辑”按钮，弹出编辑界面，修改规则。 删除规则：单击规则列表操作列的“删除”按钮，在弹出的提示框中，单击“确定”。

本文主要介绍云日志服务的图表概述。 天翼云云日志服务可通过统计图表的方式对日志的检索分析结果进行可视化展示，使您能方便直观地了解应用运行情况。在统计图表页面，您可选择合适的图表类型，目前支持的图表类型如下。 图表类型 使用场景 表格 图表是一种常见的数据展示方式，它通过将数据结构化整理，实现了数据的比较和统计，在许多情况下都可以使用。 柱状图 柱状图用于描述分类数据，直观展现每个分类项之间的大小对比关系。在统计近一天各种错误码类型出现次数等分类统计场景中特别适用。 时序图 时序图要求被统计的数据具备时间顺序字段，根据时间顺序来组织和聚合指标。它能够清晰地展现指标随时间变化的趋势。 饼图 饼图用于表示不同分类的占比情况，各分类项的比例由扇区大小来体现。适用于分析错误码占比等情况的统计场景。 流图 流图是围绕中心轴线进行布局的一种堆叠面积图。不同的分类信息使用不同颜色的线条代表，原数据集中的时间属性，将默认映射到X轴上，以三维关系进行展示。 数值图 数字图用于表示单一数据，能够更好地展示单一的数据信息和关键指标，可重点突出关键信息和数据。 散点图 散点图是一种在直角坐标系平面上，通过数据点展示两个变量关系的图表。 词云图 词云图可用于进行数据可视化，如展示文本数据中关键词的频率分布。 漏斗图 漏斗图适用于业务流程比较规范、周期长、环节多的单流程单向分析。 雷达图 雷达图用于展示多维数据。 拓扑图 拓扑图主要用直观地展示系统架构、服务间的依赖关系以及数据流的方向

提升员工安全意识 禁止随便点击邮件中的不明附件或快捷方式，网站链接等。 禁止从来历不明的网站下载的一些文档。 重要文件或信息（如密码口令等）需要加密，防止泄露。 重要文件定期备份 用户自行对重要文档数据与数据库文件做备份。 使用备份产品对主机、硬盘、文件目录或数据库进行备份。 定期系统安全巡检 对可疑文件/进程或应用进行清理，如后缀名异常文件、来源不明的应用等。 系统/软件即时更新补丁 及时修复系统漏洞，定期更新。 上线前进行主机安全加固 关闭不必要的端口，减少暴露面。 关闭不必要的网络访问，减少暴露面。 系统安全配置检查：核查系统配置，如设置密码策略、设置用户锁定策略、禁用Guest账户、限制匿名用户连接等。 不设置弱密码 设置复杂口令： 长度为8～26个字符；包含大小写字母、数字及符号3种。 不能包含与账号名相关的信息。 不能使用连续3个及以上键位排序字符，如123，Qwe。 不能使用常用的具有特殊含义的字符串等。

本文将介绍如何在AOne中配置第三方认证源,即第三方应用账号体系当作认证源,其管理登录认证验证,企业员工登录客户端时将账号密码进行转发给第三方应用进行身份认证。 认证源接入方式 目前提供丰富的第三方认证源接入方式，可根据客户实际情况进行选择。 接入方式 说明 Windows AD认证 Windows AD是本地化用户目录管理服务，Windows AD认证接入，即AD当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给AD进行认证。 企业微信认证 企业微信认证接入，即企业微信当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给企业微信进行认证。 企业微信支持认证时新建账号或与自定义用户与组织进行关系绑定（即企业微信的用户账号与自定义用户组织的账号进行关系绑定）。 钉钉认证 钉钉认证接入，即钉钉当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给钉钉进行认证。 钉钉支持认证时新建账号或与自定义用户与组织进行关系绑定（即钉钉的用户账号与自定义用户组织的账号进行关系绑定）。 飞书认证 飞书认证接入，即飞书当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给飞书进行认证。 飞书支持认证时新建账号或与自定义用户与组织进行关系绑定（即飞书的用户账号与自定义用户组织的账号进行关系绑定）。 Gitee认证 Gitee认证接入，即Gitee当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给Gitee进行认证。 Gitee支持认证时新建账号或与自定义用户与组织进行关系绑定（即Gitee的用户账号与自定义用户组织的账号进行关系绑定）。 Github认证 Github认证接入，即Github当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给Github进行认证。 Github支持认证时新建账号或与自定义用户与组织进行关系绑定（即Github的用户账号与自定义用户组织的账号进行关系绑定）。 OAuth 2.0认证 OAuth 2.0接入后，AOne使用支持OAuth 2.0认证的第三方登录应用作为身份源进行登录认证。 OAuth 2.0支持认证时新建账号或与自定义用户与组织进行关系绑定（即OAuth 2.0的用户账号与自定义用户组织的账号进行关系绑定）。 OIDC认证 OIDC接入后，AOne使用支持OIDC认证的第三方登录应用作为身份源进行登录认证。 OIDC支持认证时新建账号或与自定义用户与组织进行关系绑定（即OIDC的用户账号与自定义用户组织的账号进行关系绑定）。 极狐（GitLab）认证 极狐（GitLab）认证接入，即极狐（GitLab）当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给极狐（GitLab）进行认证。 极狐（GitLab）支持认证时新建账号或与自定义用户与组织进行关系绑定（即极狐（GitLab）的用户账号与自定义用户组织的账号进行关系绑定）。

参数 介绍 ALL 向所有值应用此聚合函数。 ALL 为默认参数。 DISTINCT 指定 CHECKSUMAGG 返回唯一值的校验和。 expression 整数表达式。

本章节主要介绍队列相关问题中有关使用咨询的问题。 DLI队列管理是否支持修改描述内容 不支持修改描述内容。 目前已经创建完成的队列不支持修改描述内容，只能在购买队列时进行添加。 删除队列会导致数据库中的表数据丢失吗? 删除队列不会导致您数据库中的表数据丢失。 队列异常时，DLI怎么保证Spark作业的可靠性？ 应用侧调用DLI提交作业，需要有重试机制来保证Spark作业的可靠性。 如果队列发生异常时，在后续队列恢复后，通过应用侧重试来保证作业的正常提交。 DLI如何进行队列异常监控？ DLI为用户提供了作业失败的topic订阅功能。 1. 登录DLI控制台。 2. 单击左侧“队列管理”，进入队列管理页面。 3. 在队列管理页面，单击左上角“创建消息通知主题”进行配置。

非对称密钥应用场景 场景 场景描述 签名验签 数字签名技术是非对称加密算法的另一种典型应用。数字签名分为签名和验证两个过程，消息发送者使用私钥对数据签名，消息接收者使用公钥进行签名验证。 由于签名是使用私钥加密产生，而私钥不公开，这使得签名具有唯一的特征，广泛用于数据防篡改、身份认证等相关技术领域。 数据加解密 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。

key value packagefunctionname 应用名函数名。示例：defaultmyfunctionPython。 graphname 函数流。

本章节主要介绍微服务仪表盘 您可以通过仪表盘实时查看微服务运行相关的指标，根据仪表盘的实时数据，对微服务做相应的治理动作。 使用须知 目前只有Java Chassis和Go Chassis应用支持仪表盘地址自动发现。 操作步骤 1、登录微服务引擎控制台，在“引擎列表”页面，单击指定微服务引擎的“查看控制台”按钮。 2、单击左侧功能菜单中的“仪表盘”，进入仪表盘页面后在下拉列表框选择需要查看的应用，在 框中输入微服务名称，查询微服务，页面将展示筛选出的微服务的运行指标。 3、选择排序方式，筛选出的微服务会按照指定方式进行排序。 说明 当前微服务支持按照吞吐量、平均时延或请求数进行排序。 单击“查看示例图”，可以查看运行指标参数含义。

参数 是否必填 参数类型 说明 示例 下级对象 action 否 String 基于目标策略ID移动类型, priority,act和pos三选一 after,before after base 否 Long 目标策略ID, 当action有效时, 必传 2222 direction 是 String 方向，in,out in firewallId 是 String 防火墙ID a6449feab4db11e9a6b40242ac110007 ipProto 是 String IP协议：v4 or v6 pos 否 String 移动策略ID到最前或最后，head,tail head priority 否 Integer 优先级 1 ruleId 是 Long 策略ID

新建通知策略时，可将联系人组设为告警通知的接收对象。当通知策略的匹配条件被触发后，应用性能监控告警管理模块会通过电话、短信、邮件等多种渠道，向该联系人组内所有成员同步推送告警通知。 前提条件 已创建联系人。 创建联系人组 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 在联系人 页签单击新建联系人组。 3. 在新建联系人组 对话框中输入组名 ，在下方选择告警联系人 ，并单击确认 。创建完成后，对应的联系人组将显示在联系人页签的左侧列表中。 管理联系人组 创建联系人组后，您可以在联系人页签查询、编辑或删除联系人组： 编辑联系人组：在目标联系人组右侧选择点击更多编辑，在弹出的对话框中修改联系人组的名称或包含的联系人，然后单击确定。 查看联系人组详情：单击联系人组名称即可在右侧查看联系人组中的联系人。 删除联系人组：在目标联系人组右侧点击更多删除，然后在弹出的提示对话框中单击确定。

新建通知策略时，可将联系人组设为告警通知的接收对象。当通知策略的匹配条件被触发后，应用性能监控告警管理模块会通过电话、短信、邮件等多种渠道，向该联系人组内所有成员同步推送告警通知。 前提条件 已创建联系人。 创建联系人组 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 在联系人 页签单击新建联系人组。 3. 在新建联系人组 对话框中输入组名 ，在下方选择告警联系人 ，并单击确认 。创建完成后，对应的联系人组将显示在联系人页签的左侧列表中。 管理联系人组 创建联系人组后，您可以在联系人页签查询、编辑或删除联系人组： 编辑联系人组：在目标联系人组右侧选择点击更多编辑，在弹出的对话框中修改联系人组的名称或包含的联系人，然后单击确定。 查看联系人组详情：单击联系人组名称即可在右侧查看联系人组中的联系人。 删除联系人组：在目标联系人组右侧点击更多删除，然后在弹出的提示对话框中单击确定。

参数 参数类型 说明 示例 下级对象 list Array of Objects 应用接入点列表 applicationList totalCount Integer 总数量 5 pageNum Integer 当前页码 1 pageSize Integer 页码大小 10

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 基础规格：指标数据最多保存7天。 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 上报自定义指标 单次请求数据最大不能超过40KB。 指标 应用指标 JOB指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警 。 由于JOB在完成任务之后，会自动退出。如果您需要监控JOB指标，要保证存活时间大于90秒才能采集到指标数据。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 阈值规则 阈值规则 一个项目下最多可创建1000个阈值规则。 阈值规则 发送通知可选择主题数 每个阈值规则最多可选择5个主题。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 历史日志 历史日志存储空间免费额度为500MB 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 日志 统计规则 一个日志桶下最多可创建5条统计规则。 告警中心 告警 您最多可查询最近30天的告警。 告警中心 事件 您最多可查询最近30天的事件。

本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

本章介绍函数工作流的基本使用流程。 函数工作流FunctionGraph是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。 函数使用流程 函数使用流程如下图所示。 1. 用户编写业务程序代码，打包上传至FunctionGraph函数，添加事件源（如SMN、OBS和APIG等），完成应用程序构建部署。 2. 通过RESTful API或者云产品事件源触发函数，生成函数实例，实现业务功能，函数在运行过程中的资源调度由FunctionGraph来管理。 3. 用户可以查看函数运行日志和监控信息，按照代码运行情况收费，代码未运行时不产生费用。 1. 编写代码：用户编写代码，目前支持Node.js、Python、Java、Go等语言。 2. 上传代码：目前支持在线编辑、上传ZIP或JAR包，从OBS引用ZIP包等。 3. API和云产品事件源触发函数执行：通过API和云产品事件源触发函数执行。 4. 弹性执行：函数在执行过程中，会根据请求量弹性扩容，支持请求峰值的执行，此过程用户无需配置，由FunctionGraph完成。 5. 查看日志：FunctionGraph函数实现了与云日志服务的对接，您无需配置，即可查看函数运行日志信息。 6. 查看监控：FunctionGraph函数实现了与云监控服务的对接，您无需配置，即可查看图形化监控信息。 7. 计费方式：函数执行结束后，根据函数请求执行次数和执行时间计费。

本文主要介绍采集中心 采集中心主要是集中管理、展示APM中支持的采集器插件的入口，在这里可以看到APM中支持的各种采集器插件、指标以及支持的可配置的参数信息。 查看采集器详情 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“配置管理 > 采集中心”，进入APM采集中心。 在这里可以看到APM支持的所有的采集器列表。 步骤 4 在采集器列表中，单击待查看采集器所在行的“查看详情”，进入到采集器信息界面。 图查看采集器详情 步骤 5 在采集器详情界面包含三部分内容：基本信息、采集参数和指标集。 基本信息 该模块主要展示采集器的名称和类型等相关信息。 采集参数 该模块主要展示，该采集器中用户自定义的参数配置，用户进行配置后下发到Java Agent中生效，进行个性采集 指标集 该模块主要展示该采集器中所采集的主要指标信息。 采集器 采集器代表指标数据采集的一个插件，主要由采集器描述、指标集、采集参数等几部分组成。采集器描述对采集器采集的数据进行说明，指标集是规范采集的数据，采集参数可以让用户自定义采集的数据。 数据采集由APM Agent实现采集，比如java性能数据采集通过javaagent来实现。APM Agent采集的数据必须跟采集器的指标集的数据模型定义对应，服务器端才会得到处理。 每一种语言和框架的Agent都定义自己的采集器。 采集器被加到某个环境之后，就被实例化成监控项，这种添加过程一般是自动化的。APM Agent会自动发现应用用到的采集插件，自动将采集器加到环境上形成监控项。比如某个java应用如果通过jdbc的mysql驱动连接数据库，那么mysql的采集器会自动添加到这个环境上，形成监控项。

本节主要介绍概述 创建流水线 基于已有业务代码，可以创建流水线，然后启动流水线后完成业务代码构建、升级部署，后续可以在ServiceStage平台上完成应用运维。 图 创建流水线

本章介绍如何使用文件备份恢复数据。 可以根据文件备份将资源的数据恢复到备份时刻的状态。 约束限制 需要恢复的资源的状态为“正常”。 不建议对正在运行的应用程序的文件进行恢复，建议停止应用程序运行后再执行恢复操作。 方式一 1. 登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 选择“文件备份”页签，单击目标文件所在资源名称。 3. 单击备份所在行的“恢复数据”。 4. 选择恢复的位置： 当前位置：数据将恢复至当前服务器原文件路径下，并且覆盖同名文件的数据。仅Linux系统支持恢复到当前位置。 创建新位置：数据可以恢复至其他所选的服务器的文件路径下。选择目标服务器：需要选择已在“文件备份”中“正常”的主机。如果目标服务器未在列表中，需要前往“文件备份”完成Agent安装步骤。 5. 根据页面提示，单击“确定”。可以在文件备份副本页面和本地主机确认恢复数据是否成功。文件备份的“状态”恢复为“可用”时，表示恢复成功。 说明 存储位置的文件目录不能包含空格。 方式二 1. 登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 选择“文件备份”页签，单击目标文件所在资源名称。 3. 单击“操作”列下的“可恢复时间轴”。 4. 选择需要将数据恢复的备份时间点。单击“恢复”。选择该时间点恢复后，数据将恢复至该时间点的状态。 5. 选择恢复的位置： 当前位置：数据将恢复至当前服务器原文件路径下，并且覆盖同名文件的数据。仅Linux系统支持恢复到当前位置。 创建新位置：数据可以恢复至其他所选的服务器的文件路径下。选择目标服务器：需要选择已在“文件备份”中“正常”的客户端。如果目标客户端未在列表中，需要前往“文件备份”完成客户端安装步骤。 6. 根据页面提示，单击“确定”。可以在文件备份副本页面和本地主机确认恢复数据是否成功。文件备份的“状态”恢复为“可用”时，表示恢复成功。

本节介绍了如何使用Psycopg连接云数据库GaussDB 数据库。 Psycopg是一种用于执行SQL语句的PythonAPI，可以为PostgreSQL、云数据库GaussDB 数据库提供统一访问接口，应用程序可基于它进行数据操作。Psycopg2是对libpq的封装，主要使用C语言实现，既高效又安全。它具有客户端游标和服务器端游标、异步通信和通知、支持“COPY TO/COPY FROM”功能。支持多种类型Python开箱即用，适配PostgreSQL数据类型；通过灵活的对象适配系统，可以扩展和定制适配。Psycopg2兼容Unicode和Python 3。 云数据库GaussDB 数据库提供了对Psycopg2特性的支持，并且支持psycopg2通过SSL模式链接。 表 Psycopg支持平台 操作系统 平台 EulerOS 2.5 x8664位 EulerOS 2.8 ARM64位 前提条件 获取Python驱动包， 解压后有两个文件夹： − psycopg2：psycopg2库文件。 − lib：lib库文件。 在使用驱动之前，需要做如下操作： a. 先解压版本对应驱动包，使用root用户将psycopg2拷贝到python安装目录下的sitepackages文件夹下。 b. 修改psycopg2目录权限为755。 c. 将psycopg2目录添加到环境变量$PYTHONPATH，并使之生效。 d. 对于非数据库用户，需要将解压后的lib目录，配置在LDLIBRARYPATH中。  在创建数据库连接之前，需要先加载如下数据库驱动程序： import psycopg2 连接数据库 步骤 1 使用.ini文件（python的configparser包可以解析这种类型的配置文件）保存数据库连接的配置信息。 步骤 2 使用psycopg2.connect函数获得connection对象。 步骤 3 使用connection对象创建cursor对象。

参数 配置说明 名称 名称只能以英文字母开头，可包含数字，不能包含中文及特殊字符。 存储单元类型 选择存储单元类型。 存储单元组应用场景 默认仅支持用户自定义场景，后续将持续引入。 规定组内存储单元必须使用同一磁盘池：勾选意味着组内存储单元将使用同一磁盘池，可对接同一共享存储场景，此场景，备份数据实际存储在一起，只是通过备份服务器实现分流和并行备份。在可选存储单元存在多个的前提下，若不属于同一磁盘池，勾选后该存储单元组将默认保留第一个存储单元。 存储单元选择数量 默认为最多可用个数选项，可根据存储单元组应用场景和存储单元选择策略决定可使用的存储单元及个数。 存储单元选择策略 分为三种，根据对应策略选择可分配的存储单元。