本小节介绍SWR企业版镜像管理。 SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像，企业主机安全支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看SWR企业版镜像 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器镜像 > 企业版镜像（SWR）”，查看企业版镜像信息。 您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。 更新企业版镜像：单击“从SWR更新企业版镜像”，更新企业版镜像列表信息。 筛选最新版本的镜像：勾选“仅关注最新版本的镜像”，可筛选所有不同镜像的最新版本镜像。 SWR企业版镜像安全扫描 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR企业版镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、为单个镜像或多个镜像执行安全扫描。 说明 多架构镜像不支持批量扫描、全量扫描操作。 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！ 单个镜像安全扫描：在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。 批量镜像安全扫描：勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。 全量镜像安全扫描：单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。 5、在弹出的提示框中，单击“确定”，启动扫描任务。 全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。 6、当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

本小节介绍SWR企业版镜像管理。 SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像，企业主机安全支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看SWR企业版镜像 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器镜像 > 企业版镜像（SWR）”，查看企业版镜像信息。 您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。 更新企业版镜像：单击“从SWR更新企业版镜像”，更新企业版镜像列表信息。 筛选最新版本的镜像：勾选“仅关注最新版本的镜像”，可筛选所有不同镜像的最新版本镜像。 SWR企业版镜像安全扫描 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR企业版镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、为单个镜像或多个镜像执行安全扫描。 说明 多架构镜像不支持批量扫描、全量扫描操作。 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！ 单个镜像安全扫描：在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。 批量镜像安全扫描：勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。 全量镜像安全扫描：单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。 5、在弹出的提示框中，单击“确定”，启动扫描任务。 全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。 6、当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

响应结果 名称 描述 Account 发出请求的账户名。 UserName 发出请求的用户名。如果根用户发送的该请求，则UserName为root。 StorageClass 存储类型： ALL：所有存储。 STANDARD：标准存储。 STANDARDIA：低频访问存储。 TimeZone 返回数据的时区，统一为UTC +0800。 Freq 返回统计数据的采样粒度： by5min：统计数据的采样粒度为5分钟。 byHour：统计数据的采样粒度为1小时。 byDay：统计数据的采样粒度为1天。 BucketName Bucket名字。如果用户在请求中没有携带Bucket参数，BucketName为空。 RegionName 数据位置，如果用户在请求中没有携带Region参数，RegionName为空。 Statistics.Date 返回结果对应的时间： 当请求参数Freq为by5min或byHour时，返回格式为yyyyMMdd HH:mm。 当请求参数Freq为byDay时，返回格式为yyyyMMdd。 Statistics.Data.DeleteCapacity 删除标准存储数据的容量。 Statistics.Standardia.DeleteCapacity 删除低频访问存储数据的容量。 请求示例 按天（byDay）查询Bucket名为examplebucket、数据位置为ZhengZhou、20191015至20191016标准存储数据的删除容量。 plaintext GET /?ActionGetDeleteCapacity&BeginDate20191015&EndDate20191016&Bucketexamplebucket&FreqbyDay&RegionZhengZhou HTTP/1.1 Date: Wed, 16 Oct 2019 06:38:27 GMT Authorization: SignatureValue Host: ooscnmg.ctyunapi.cn 响应示例 plaintext HTTP/1.1 200 OK Date: Wed, 16 Oct 2019 06:38:28 GMT xamzrequestid: da66aa927f744dc1 ContentLength: 440 ContentType: application/xml; charsetutf8 Server: CTYUN test@ctyun usertest1 STANDARD UTC +0800 byDay examplebucket ZhengZhou 20191015 1641600 20191016 1641600

本章节主要介绍重置密码。 普通用户重置密码，请参考《数据仓库服务用户开发指南》中“管理数据库安全>管理用户及权限>设置安全策略>设置用户密码”章节。 重置密码 1.登录DWS 管理控制台。 2.单击“集群管理”。 3.在指定集群的“操作”列，选择“更多 > 重置密码”，弹出“重置密码”页面。 4.填写并确认新密码，单击“确定”。 密码复杂度要求如下： 密码长度为8～32个字符。 不能与用户名或倒序的用户名相同。 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类，其中可输入的特殊字符为：(~!?,.:;'"(){}[]/<>@%^&+)。 弱口令检查。 新密码不能与当前密码或当前密码的倒序相同。 不能将历史密码重复使用。 说明 若集群默认数据库管理员用户被删除或者重命名，将导致重置密码操作失败。

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

迁移后目标端云主机的密码会发生哪些变化？ 迁移完成后目标端云主机密码与源机一致。 迁移完成后，如何配置yum源？ 保持一致，不进行源机修改配置。 为什么windows server迁移完成后，目标端驱动器号与迁移源不一致？ 由于windows本身机制原因，目标端驱动器号为C:、D:、E:连续驱动号，用户重启目标机后可以根据迁移源驱动器号在磁盘管理处进行手动修改，避免影响业务系统。 各类分区调整如何操作？ 迁移任务前，如果目标机分区空间大于源机空间：目标机修复后自动为拓展后分区大小无需处理。 迁移完成后，对云主机进行磁盘扩容操作： Windows扩容操作步骤 1. 在开始菜单打开“运行”输入框。 2. 输入“diskmgmt.msc”，按“Enter”，进入磁盘管理页面。 3. 右键单击需要调整的盘符，选择扩展卷。 4. 在弹出的对话框中，单击下一步。 5. 将该磁盘未分配的空间按需扩展，然后单击下一步。 6. 在弹出的对话框中单击“完成”。 7. 当扩展操作盘符完成，硬盘空间信息正常，说明扩展完成。 Linux扩容操作步骤 以下示例仅适用多数版本，若无法适用版本则需按照对应Linux版本发行手册指引进行扩容操作。 1. 查看磁盘情况（lsblk、fdisk l、pvdisplay)。 lsblk 2. 创建物理卷（pvcreate）。 pvcreate /dev/sdb 3. 将磁盘扩展到卷组（vgextend）。 vgextend centos /dev/sdb 4. 扩展逻辑分区（lvextend）。 根据自己的情况选择扩容到分区，本次以centosroot为例。 lvextend l+100%FREE /dev/mapper/centosroot 说明：100%是将所有的磁盘空间扩容到指定分区，也可以根据需要进行调整比例 5. 使扩展生效（xfsgrowfs）。 xfsgrowfs /dev/mapper/centosroot 6. 查看（df H）。 df H

本章节主要介绍ALM12069 aos资源异常。 告警解释 HA每81秒周期性检测Manager的AOS资源。当HA连续2次检测到AOS资源异常时，产生该告警。 当HA检测到AOS资源正常后，告警恢复。 AOS资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的ACS资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12069 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 AOS进程持续重启，可能引起无法登录FusionInsight Manager。 可能原因 AOS进程异常。 处理步骤 检查AOS进程是否异常 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机名称。 2.以root用户登录该告警的主机地址。 3.执行命令 su omm ，执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的AOS资源状态是否正常（单机模式下面，AOS资源为normal状态；双机模式下，AOS资源在主节点为normal状态，在备节点为stopped状态。）。 是，执行步骤6。 否，执行步骤4。 4.执行命令 vi $BIGDATALOGHOME/omm/oms/ha/scriptlog/aos.log ，查看ha的AOS资源日志，是否有关键字“ERROR”，分析日志查看资源异常原因并修复。 5.等待五分钟，查看告警是否恢复。 是，操作结束。 否，执行步骤6。

本章节主要介绍ALM12068 acs资源异常。 告警解释 HA每80秒周期性检测Manager的ACS资源。当HA连续2次都检测到ACS资源异常时，产生该告警。 当HA检测到ACS资源正常后，告警恢复。 ACS资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的ACS资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12068 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 ACS进程持续重启，可能引起无法登录FusionInsight Manager。 可能原因 ACS进程异常。 处理步骤 检查ACS进程是否异常 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机名称。 2.以root用户登录该告警的主机地址。 3.执行命令 su omm ，执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的ACS资源状态是否正常（单机模式下面，ACS资源为normal状态；双机模式下，ACS资源在主节点为normal状态，在备节点为stopped状态。）。 是，执行步骤6。 否，执行步骤4。 4.执行命令 vi $BIGDATALOGHOME/omm/oms/ha/scriptlog/acs.log ，查看ha的ACS资源日志，是否有关键字“ERROR”，分析日志查看资源异常原因并修复。 5.等待五分钟，查看告警是否恢复。 是，操作结束。 否，执行步骤6。

本文主要介绍如何创建工作负载弹性伸缩（CustomedHPA）。 CustomedHPA策略是自研的弹性伸缩增强能力，能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能如下： 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 前提条件 使用CustomedHPA策略必须安装ccehpacontroller。若ccehpacontroller版本低于1.2.11，则必须安装prometheus插件；若版本大于或等于1.2.11，则需要安装能够提供Metrics API的插件，如kubeprometheusstack、metricsserver或Prometheus。 约束与限制 CustomedHPA策略：仅支持1.15及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 ccehpacontroller插件的资源使用量主要受集群中总容器数量和伸缩策略数量影响，通常场景下建议每5000容器配置CPU 500m, 内存1000Mi资源，每1000伸缩策略CPU 100m，内存500Mi。 若ccehpacontroller插件版本低于1.2.11，不支持使用kubeprometheusstack插件提供Metrics API来实现工作负载弹性伸缩。

本文介绍回源SNI功能的原理和使用说明。 功能介绍 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，CDN节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认CDN节点请求的具体域名，然后返回该域名对应的SSL证书给CDN节点。 设置回源SNI后的工作流程如下： 1. 当CDN节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. CDN节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本章节主要介绍 ALM12073 cep资源异常。 告警解释 HA每60秒周期性检测Manager的cep资源。当HA连续2次检测到cep资源异常时，产生该告警。 当HA检测到cep资源正常后，告警恢复。 cep资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的cep资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12073 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 cep进程持续重启，可能会导致监控数据异常。 可能原因 cep进程异常。 处理步骤 检查cep进程是否异常 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机名称。 2.以root用户登录该告警的主机地址。 3.执行命令 su omm ，执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh，查询当前HA管理的cep资源状态是否正常（单机模式下面，cep资源为normal状态；双机模式下，cep资源在主节点为normal状态，在备节点为stopped状态。）。 是，执行步骤6。 否，执行步骤4。 4.执行命令 vi $BIGDATALOGHOME/omm/oms/cep/cep.log 和 vi $BIGDATALOGHOME/omm/oms/cep/scriptlog/cepha.log ，查看ha的cep资源日志，是否有关键字“ERROR”，分析日志查看资源异常原因并修复。 5.等待五分钟，查看告警是否恢复。 是，操作结束。 否，执行步骤6。

Kubernetes 1.28 版本Changelog 1. 优化了调度器逻辑，通过减少无效的重试，提升调度器的整体性能。 2. 节点非体面关闭正式 GA，该特性允节点非正常关闭时 StatefulSet 及时调度到正常节点，降低对业务的影响。 3. 可追溯的默认 StorageClass 正式 GA，该特性允许未分配 StorageClass 的 PVC 自动更新 storageClassName 字段为默认 StorageClass。 4. 节点 podresources API 正式 GA，该特性支持公开专门分配给容器的计算资源。 5. Linux 节点支持使用 NodeSwap 升级为Beta版，该特性支持用户在 Linux 节点上使用交换内存的功能。 6. 验证准入策略（ValidatingAdmissionPolicy）进入 Beta 阶段，该特性提供声明式的方式验证资源请求，支持基于 CEL 编写的验证规则。 7. 弃用 Ceph FS 和 Ceph RBD 等树内插件，并将于 v1.31 中删除。 更多信息请参考：Kubernetes 1.28 Changelog

接口功能介绍 并发桌面池功能请联系客户经理开通。 当前仅支持操作Windows系统的政企版规格的并发桌面池 接口约束 无 URI POST /v3/concurrentDesktopPool/changeImage 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 d8bbd132b53a11e9b0e40242ac110002 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 desktopPoolOid 是 String 并发桌面池ID dpw8djg4dwv35w4c19o932g imageOid 是 String 镜像ID，当前仅支持Windows系统、非GPU镜像 miyr404205jf6br4f1dyb03 includeDataDisk 否 Boolean 切换整机镜像时，是否包括数据盘，默认为否 includeDataDisk 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 message String 提示信息。 OK. returnObj Object 返回数据结构体。 { } returnObj 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body {"desktopPoolOid":"dpxxx","imageOid":"mixxx","includeDataDisk":null}

本文将介绍证书如何批量绑定域名。 使用场景 当您需要更新证书时，如果涉及到大量域名需要绑定证书，可以通过批量绑定域名进行快捷操作。 配置说明 证书批量绑定域名具体操作步骤如下： 1. 登录DDoS高防（边缘云版）控制台。 2. 在【证书管理】页面，找到您需要操作的证书，通过操作列>单击【绑定域名】按钮。 3. 见下图，左侧列表展示此证书可绑定的域名，证书不匹配、已停用的域名不展示。 4. 选择您要绑定该证书的域名，域名将会出现在右侧，每次最多支持绑定10个域名。 5. 选择完毕后，单击【提交绑定】，将提交证书绑定域名的任务。 注意事项 关联域名后，已选择的域名将自动开启https开关，且绑定该证书。 证书绑定域名生效时间大概需要5~15分钟，您可以稍后在证书详情查看绑定域名情况。

本章节介绍Nacos引擎版本的功能特性 概述 MSE注册配置中心在开源Nacos的基础上研发了推送轨迹等新功能，提供了丰富的运维手段，保障高可用性。本文介绍 Nacos 引擎版本的功能特性。 版本特性 Nacos引擎类型分为集群版、单机版，所支持的功能特性如下：以下表格中，表示支持此功能，表示不支持此功能。 功能 支持情况 支持Nacos 1.X版本客户端 HTTP OpenAPI 注册中心 配置中心 监控分析 告警管理 配置加密 支持Nacos 2.X版本客户端 推空保护 推送轨迹 支持多AZ高可用部署

section573a750d001b9068)。 说明 1. 默认选择集群所在的主机组，您可以根据需要选择其他已创建的主机组。 2. 在“主机管理 > 主机组”页面对主机组和接入配置进行关联。 3. 主机组可以为空，但是会导致采集配置不生效，建议第一次接入时选择主机组。若不选择，可以在接入配置设置完成后对主机组进行设置。 4. 在接入配置详情中对主机组和接入配置进行关联。 2. 单击“下一步：采集配置”。 7. 采集配置。 设置具体的采集规则，具体可参考采集配置。 8. 结构化配置（可选项）。 结构化配置，具体请参考云端结构化解析。 说明 当所选日志流已配置结构化时，请谨慎执行删除操作。 9. 索引配置（可选项）。 索引配置，具体请参考索引配置。 10. 单击“提交”，完成CCE接入。 采集配置 在使用CCE接入完成日志接入时，在采集配置页面的具体配置如下： 1. 基本配置：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 2. 数据源配置：选择数据源类型，进行对应的数据源配置。 容器标准输出：采集集群内指定容器日志，仅支持Stderr和Stdout的日志。 说明 被匹配上的容器的标准输出会采集到指定的日志流，原先采集到的AOM的标准输出会停止采集。 容器标准输出不能重复配置，即使跨日志组和日志流，也只能配置一次。 容器文件路径：采集集群内指定容器内的文件路径日志。 节点文件路径：采集集群内指定节点路径的文件。 说明 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 K8S事件：采集K8S集群内的事件日志。 说明 K8S事件不能重复配置，即一个K8S集群的K8S事件，只能配置接入到一个日志流。 表 1 采集配置参数表 类型 参数配置 容器标准输出 采集容器标准输出到AOM、采集容器标准输出（stdout）和采集容器标准错误（stderr）。 采集容器标准输出到AOM：默认集群下的主机已安装了ICAgent且采集日志到AOM，采集容器标准输出到AOM的开关处于开启状态。 开启后标准输出只会采集到AOM，不会采集到LTS，建议您手动关闭该开关。 采集容器标准输出（stdout）和采集容器标准错误（stderr）两者必须得有一个是开启状态。 容器文件路径 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 当CCE集群的工作负载中，已配置容器的挂载路径时，此时路径配置里添加的路径将无效。 须将CCE集群页面中的挂载路径删除后，该配置才有效。采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。 指定按目录过滤，可过滤掉该目录下的所有文件。 节点文件路径 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 采集路径不能重复配置，即同一个主机下的同一路径，即使跨日志组和日志流，也只能配置一次。 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。 指定按目录过滤，可过滤掉该目录下的所有文件。 K8S事件 无需设置参数。仅支持icagent 5.12.130及以上版本。 3. K8s匹配规则：当数据源类型选择容器标准输出和容器文件路径时，设置K8s匹配规则，非必选项。 说明 填写正则匹配规则后，单击校验按钮，支持校验确保正则表达式的正确性。 表 2 K8s匹配规则 参数名称 参数说明 K8s Namespace正则匹配 通过Namespace名称指定采集的容器，支持正则匹配。采集名称符合正则规则的Namespace的日志，为空时采集所有Namespace的日志。 K8s Pod正则匹配 通过Pod名称指定待采集的容器，支持正则匹配。 采集名称符合正则规则的Pod的日志，为空时采集所有Pod的日志。 K8s容器名称正则匹配 通过容器名称指定待采集的容器（Kubernetes容器名称是定义在spec.containers中），支持正则匹配。采集名称符合正则规则的容器的日志，为空时采集所有容器的日志。 K8s Label白名单 通过K8s Label白名单指定待采集的容器。 如果您要设置K8s Label白名单，那么LabelKey必填，LabelValue可选填。 若LabelValue为空，则K8S Label中包含LabelKey的容器都匹配； 若LabelValue不为空，则K8S Label中包含LabelKeyLabelValue的容器才匹配； LabelKey需要全匹配，LabelValue支持正则匹配；多个白名单之间为或关系，即只要K8S Label满足任一白名单即可被匹配。 K8s Label黑名单 通过K8s Label黑名单排除不采集的容器。如果您要设置K8s Label黑名单，那么LabelKey必填，LabelValue可选填。 若LabelValue为空，则K8S Label中包含LabelKey的容器都被排除； 若LabelValue不为空，则K8S Label中包含LabelKeyLabelValue的容器才会被排除； LabelKey需要全匹配，LabelValue支持正则匹配； 多个黑名单之间为或关系，即只要K8S Label满足任一黑名单即可被排除。 K8s Label日志标签 设置K8s Label日志标签后，日志服务将在日志中新增K8s Label相关字段。设置K8s Label日志标签后，lts将在日志中新增相关字段。 例如设置LabelKey为app，设置LabelValue为appalias，当容器中包含applts时，将在日志中添加内容{appalias：lts}。 容器Label白名单 通过容器Label白名单指定待采集的容器。 如果您要设置容器Label白名单，那么LabelKey必填，LabelValue可选填。 若LabelValue为空，则容器 Label中包含LabelKey的容器都匹配； 若LabelValue不为空，则容器 Label中包含LabelKeyLabelValue的容器才匹配； LabelKey需要全匹配，LabelValue支持正则匹配； 多个白名单之间为或关系，即只要容器 Label满足任一白名单即可被匹配。 容器Label黑名单 通过容器Label黑名单排除不采集的容器。 如果您要设置容器Label黑名单，那么LabelKey必填，LabelValue可选填。 若LabelValue为空，则容器 Label中包含LabelKey的容器都被排除； 若LabelValue不为空，则容器 Label中包含LabelKeyLabelValue的容器才会被排除； LabelKey需要全匹配，LabelValue支持正则匹配； 多个黑名单之间为或关系，即只要容器Label满足任一黑名单即可被排除。 容器Label日志标签 设置容器Label日志标签后，日志服务将在日志中新增容器Label相关字段。 设置容器 Label日志标签后，lts将在日志中新增相关字段。 例如设置LabelKey为app，设置LabelValue为appalias，当容器中包含applts时，将在日志中添加的内容{appalias：lts}。 环境变量白名单 用于指定待采集的容器。 如果您要设置环境变量白名单，那么Label Key必填，Label Value可选填。 如果环境变量Value为空，则容器环境变量中包含环境变量Key的容器都匹配； 如果环境变量Value不为空，则容器环境变量中包含环境变量Key环境变量Value的容器才被匹配； LabelKey需要全匹配，LabelValue支持正则匹配； 多个白名单之间为或关系，即只要容器的环境变量满足任一键值对即可被匹配。 环境变量黑名单 用于排除不采集的容器。 如果您要设置环境变量黑名单，那么Label Key必填，Label Value可选填。 如果环境变量Value为空，则容器环境变量中包含环境变量Key的容器都将被排除； 如果环境变量Value不为空，则容器环境变量中包含环境变量Key环境变量Value的容器才会被排除； LabelKey需要全匹配，LabelValue支持正则匹配； 多个黑名单之间为或关系，即只要容器的环境变量满足任一键值对即可被排除。 环境变量日志标签 设置环境变量日志标签后，日志服务将在日志中新增环境变量相关字段。 设置环境变量日志标签后，lts将在日志中新增相关字段，例如设置环境变量Key为app，设置环境变量Value为appalias，当容器中包含环境变量applts时，将在日志中添加的内容为{appalias：lts}。 4. 其他配置。 表 3 其他配置 名称 说明 日志拆分 云日志服务支持对日志进行拆分，默认为关闭状态。 当日志大小超过500KB时，开启日志拆分按钮，则单行日志会被拆分为多行采集。 例如：日志大小为600KB，被拆分为2行日志采集，第一行500KB，第二行100KB。 当日志大小超过500KB时，未开启日志拆分按钮，则单条日志大小限制不超过500KB，超过限制部分会被截断丢弃。 采集二进制文件 云日志服务支持采集二进制文件，默认为关闭状态。 您可以通过命令（file i 文件名 ）查看文件类型，如果包含charsetbinary，那么该日志文件就是二进制文件。 当日志的文件类型为二进制时，开启采集二进制文件按钮，则对接入的二进制文件日志进行采集，但仅支持UTF8编码的字符串，非UFT8编码的字符在LTS控制台页面会显示乱码。 当日志的文件类型为二进制时，未开启采集二进制文件按钮，则对接入的二进制文件日志停止采集，开启后即可进行采集。 5. 日志格式、日志时间具体说明如下： 表 4 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。 ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符 用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：20190101 23:59:59.011，时间通配符应该填写为：YYYYMMDD hh:mm:ss.SSS。 如果日志中的时间格式为：1911 23:59:59.011，时间通配符应该填写为：YYMD hh:mm:ss.SSS。 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写示例： YY year (19) YYYY year (2019) M month (1) MM month (01) D day (1) DD day (01) hh hours (23) mm minutes (59) ss seconds (59) SSS millisecond（999） hpm hours (03PM) h:mmpm hours:minutes (03:04PM) h:mm:sspm hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志； 当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。 日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 说明 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志系统时间模式即可。

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

如何减项退订功能和规格？ 安全与加速 如果您想退订扩展服务，可以点击“退订扩展服务”进入订购页面选择对应的扩展服务“点击进行退订”进行减项操作。 注意 定制版套餐版本、DDoS防护带宽、DDoS弹性防护不支持退订扩展服务 如何操作加速区域的变更？ 安全与加速 可以点击“变更加速区域”进入操作页面；对已订购的套餐版本进行加速区域的变更。 注意 基础版暂时只支持加速区域为中国内地。 边缘接入服务 可以点击“变更加速区域”进入操作页面；对已订购的套餐版本进行加速区域的变更。

项目 描述 卷名称 卷名称。 对象存储服务 对象存储服务名称（此项不能修改）： OOS ： 天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 Endpoint 修改对象存储的Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 签名版本 修改上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 区域 Endpoint资源池所在区域。 V4签名时，此项必填。V2签名时，此项不显示。 AS/SK 对象存储服务的Access Key和Secret Access Key。 压缩 是否压缩数据上传至对象存储： 启用：压缩数据上传至对象存储。 禁用：不压缩数据上传至对象存储。

参数 类型 说明 是否必要 bucket String 执行本操作的桶名称 是 key String 上传文件到对象存储（融合版）服务后对应的key。PutObject操作支持将文件上传至文件夹，如需要将对象上传至"/folder"文件下，只需要设置Key"/folder/{exampleKey}"即可 是 file File 上传的本地文件 文件上传必须 inputStream InputStream 流式上传的Stream 流式上传必须 cannedAcl CannedAccessControlList 配置上传对象的预定义的标准ACL信息，详细说明见 设置对象访问权限 一节 否 storageClass StorageClass 配置上传对象的存储类型，包括标准类型STANDARD、低频类型STANDARDIA以及归档类型GLACIER 否 accessControlList AccessControlList 配置上传对象的详细ACL信息，详细说明见设置 对象访问权限 一节 是 objectMetadata ObjectMetadata 对象的元数据信息 否 tagging ObjectTagging 对象的标签信息 否

本章节介绍边缘重保服务的整体服务流程和实施分工。 整体服务流程 边缘重保服务的整体流程如下图所示： 注意 该流程中各个阶段的服务细项基于付费版服务标准进行罗列，不作为体验版的权益参考，不同服务版本差异详见服务版本差异一览表。 实施分工说明 共同责任 明确重保背景、需求、核心保障时段、双方接口人等基本信息； 就重保的服务目标达成一致； 商务合作已达成，具备开展重保前准备工作的必要条件。 天翼云责任 启动阶段 确保清晰把握重保背景、需求、目标及客户主要接口人等基本信息，确认实施交付的可行性后，接受客户的重保服务申请； 组建重保专项服务团队。 准备阶段 对核心业务进行全面分析评估，设计定制化重保服务方案，并邀请客户对方案内容进行全面评审； 就客户对重保服务方案中提出的疑问和优化建议做出积极正面的回应和优化调整，直至客户对方案中的所有内容无异议； 对通过客户确认的重保服务方案中的功能、监控、告警等内容进行实施交付，涉及产品功能部分邀请客户共同参与测试并验收； 客户侧若有演练、压测、业务联调等需求，需配合客户对服务覆盖范围中的产品能力部分进行保障支持。

205 [DBProxy]优化在控制台执行DDL语句审计不通过的处理逻辑，展示DDL审计规则不通过的具体信息。 158 [DBProxy]优化DDL HINT处理逻辑，增强HINT处理能力。 363 [DBProxy]优化通过DDL语句下发执行顺序，确保与物理分片顺序一致。 378 [前端]优化控制台创建表时设置分片规则相关配置，提升交互体验。 402 [管理平台]调整退订策略，使退订DRDS实例时自动解除所有关联MySQL实例的绑定状态，确保MySQL实例可以正常退订。 389 [前端]优化重启节点页面提示，提升交互体验。 373 [DBProxy]优化关联MySQL实例策略，使DRDS实例关联主备版MySQL实例时直接关联该MySQL实例主节点，提升操作效率。 374 [DBProxy]优化实例创建后的默认参数，减少故障发生率。 399 [DBProxy]优化ZooKeeper连接申请策略，消除异常场景可能出现的ZooKeeper连接数泄露问题。 425 优化检测分片库时MySQL连接数配置策略，提高实例安全性，该功能对公有云租户端不可见。 436 优化DRDS实例新增节点的防火墙策略，提高实例安全性，该功能对公有云租户端不可见。 427、428 [前端]优化DRDS实例关联MySQL相关的页面提示和操作引导，提升交互体验。 429 [前端]优化DRDS实例表回收站的相关页面提示，提升交互体验。

本节主要介绍功能特性 微服务引擎是微服务应用的云中间件，可为用户提供注册发现、服务治理、配置管理等企业级应用服务能力。 服务注册与发现 微服务引擎的注册发现中心Apache ServiceComb Service Center是一款restful风格的、高可用无状态的服务注册发现中心，提供微服务发现和微服务管理功能。服务提供者可以将自身的实例信息注册到注册发现中心，以供服务消费者发现并使用。 微服务治理 提供熔断、隔离、限流、负载均衡等微服务治理能力。微服务架构存在一些常见的故障模式，通过这些治理能力，能够减少故障对于整体业务的影响，避免产生雪崩效应。 服务配置管理 配置管理可为所有微服务提供统一的配置管理视图，有效降低配置管理的复杂性，搭配服务治理控制台，可在微服务运行态对微服务的行为进行调整，满足不升级应用即可适配业务场景变化的业务诉求。 灰度发布 为保障新特性平稳上线，可以先选择少部分用户试用，待新特性成熟以后，再让所有用户使用。微服务引擎的灰度发布功能可以保证整体系统的稳定，在初始灰度的时候就可以发现、调整问题，降低版本升级风险。 微服务仪表盘 微服务引擎可将有关联的微服务间调用依赖关系进行可视化展现，并提供各微服务实例的接口运行统计，如吞吐量、时延和调用成功率等指标，并集成在实时监控仪表盘中。

前提条件 在控制台完成沙箱模板创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 运行代码 您可以使用 runcode 方法来在沙箱内置的 jupyter server 中执行代码。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestcodetemplate") 默认执行python代码 response sandbox.runcode("print("hello")") 支持多种语言 您可以指定代码的语言，支持 python, javascript, typescript, java, r, bash。 python response sandbox.runcode( "console.log("hello")", "javascript" ) 创建代码执行上下文 默认情况下，每个语言会运行在其默认的上下文中，同一上下文共享变量。 您可以通过 createcodecontext 来创建上下文。 python ctx sandbox.createcodecontext(language"python") 您可以通过 context 参数来指定运行时上下文，需要注意，仅能设置 language 和 context 中的一个参数，两者互斥。 python response sandbox.runcode( "print("hello")", contextctx ) 代码执行流式返回 代码执行可以流式返回，您可以通过指定回调函数来接收流式返回的数据。 python pythonstreamcode """ import time for i in range(10): print(i, end'') time.sleep(1) """ sandbox.runcode( pythonstreamcode, onstdoutlambda data: print(data), onstderrlambda data: print(data), onresultlambda data: print(data), onerrorlambda data: print(data) ) 指定代码运行环境变量 您可以为代码运行指定环境变量。 python response sandbox.runcode( "print("hello")", envs{"foo": "bar"} ) 指定代码执行超时时间 您可以为代码运行指定超时时间，在超过指定时间后终止代码运行。 python response sandbox.runcode( "print("hello")", timeout60

前提条件 在控制台完成沙箱模板创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 运行代码 您可以使用 runcode 方法来在沙箱内置的 jupyter server 中执行代码。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestcodetemplate") 默认执行python代码 response sandbox.runcode("print("hello")") 支持多种语言 您可以指定代码的语言，支持 python, javascript, typescript, java, r, bash。 python response sandbox.runcode( "console.log("hello")", "javascript" ) 创建代码执行上下文 默认情况下，每个语言会运行在其默认的上下文中，同一上下文共享变量。 您可以通过 createcodecontext 来创建上下文。 python ctx sandbox.createcodecontext(language"python") 您可以通过 context 参数来指定运行时上下文，需要注意，仅能设置 language 和 context 中的一个参数，两者互斥。 python response sandbox.runcode( "print("hello")", contextctx ) 代码执行流式返回 代码执行可以流式返回，您可以通过指定回调函数来接收流式返回的数据。 python pythonstreamcode """ import time for i in range(10): print(i, end'') time.sleep(1) """ sandbox.runcode( pythonstreamcode, onstdoutlambda data: print(data), onstderrlambda data: print(data), onresultlambda data: print(data), onerrorlambda data: print(data) ) 指定代码运行环境变量 您可以为代码运行指定环境变量。 python response sandbox.runcode( "print("hello")", envs{"foo": "bar"} ) 指定代码执行超时时间 您可以为代码运行指定超时时间，在超过指定时间后终止代码运行。 python response sandbox.runcode( "print("hello")", timeout60

本章节主要围绕快速部署一个GO语言的微服务应用,分享一个最佳实践 概述 微服务示例所用框架为Gomicro和Gin的开发框架，示例主要分为服务端goprovider服务提供者和客户端goconsumer服务消费者，服务端goprovider主要是通过protobuf定义服务接口，并使用gRPC作为底层传输；客户端主要是基于Gin的web框架，通过外部Http接口调用触发内部RPC调用远程服务端goprovider的服务。注册中心采用nacos作为服务发现和治理。 代码所依赖的环境变量如下： 环境变量名 是否必填 说明 NacosAddr 是 nacos注册中心（ip+port） NamespaceId 是 nacos命名空间 Username 是 nacos用户名 PwCode 是 nacos密码（未加密） APMTOKEN 否 接入APM所需TOKEN APMENDPOINT 否 接入APM节点 SERVICENAME 是 接入APM上报节点（项目code.环境code.应用实例名） 说明 如果用户要接入APM，创建应用实例时，应用实例名要和应用名一致，否则链路上报可能不成功 GoProvider 创建microService服务，定义服务名：goprovider，注册中心支持consul、nacos等，这里使用nacos注册中心，同时注册了一个user服务，通过暴露50051端口提供外部服务。 参考代码如下： plaintext nacosAddr : os.Getenv(utils.NacosAddr) namespaceId : os.Getenv(utils.NamespaceId) username : os.Getenv(utils.Username) pwCode : os.Getenv(utils.PwCode) registry : nacos.NewRegistry(nacos.WithAddress(addrs), nacos.WithClientConfig(config)) // 初始化 OpenTelemetry Tracer shutdown : apm.InitProviderHttp() defer shutdown() ip, err2 : utils.GetContainerIP() if err2 ! nil { log.Errorf("GetContainerIP err:%v", err2) } // Create service srv : micro.NewService( micro.Name(service), micro.Version(version), micro.Address(ip+":50051"), micro.Registry(registry), micro.WrapHandler(utils.MicroGoMicroServerTrace()), ) srv.Init() // Register handler err : pb.RegisterUserHandler(srv.Server(), new(handler.User)) if err ! nil { fmt.Println("RegisterUserHandler err: ", err) return }

本文主要介绍弹性文件服务的基本概念。 什么是NFS？ NFS（Network File System），即网络文件系统。一种使用于分散式文件系统的协议，通过网络让不同的机器、不同的操作系统能够彼此分享数据。 Linux系统建议使用NFS协议类型的文件系统。 什么是CIFS？ CIFS（Common Internet File System），通用Internet文件系统，是一种网络文件系统访问协议。CIFS是公共的或开放的SMB协议版本，由微软公司使用，它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。通过CIFS协议，可实现Windows系统主机之间的网络文件共享。 CIFS类型的文件系统不支持使用Linux操作系统的云主机进行挂载。 Windows系统建议使用CIFS协议类型的文件系统。 文件系统 文件系统通过标准的NFS协议和CIFS协议为客户提供文件存储服务，用于网络文件远程访问，用户通过管理控制台创建挂载地址后，即可在多个云主机上进行挂载，并通过标准的POSIX接口对文件系统进行访问。 POSIX 可移植操作系统接口（Portable Operating System Interface，POSIX），是IEEE为要在各种UNIX操作系统上运行软件而定义API的一系列互相关联的标准的总称。POSIX标准意在期望获得源代码级别的软件可移植性。也就是为一个POSIX兼容的操作系统编写的程序，可以在任何其它的POSIX操作系统上编译执行。 DHCP 动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

本节介绍了本地Linux主机使用SFTP上传文件到Linux云主机的操作场景、操作步骤。 操作场景 本节操作以CentOS操作系统为例，介绍配置SFTP、使用SFTP上传或下载文件、文件夹的操作步骤。 操作步骤 1. 以root用户登录云主机。 2. 执行以下命令查看ssh版本，OpenSSH版本大于等于4.8p1。 ssh V 回显信息如下所示： OpenSSH7.4p1, OpenSSL 1.0.2kfips 26 Jan 2017 3. 创建用户和组，以user1用户为例。 groupadd sftp useradd g sftp s /sbin/nologin user1 4. 设置用户密码。 passwd user1 图 设置用户密码 5. 设置目录权限。 chown root:sftp /home/user1 chmod 755 R /home/user1 mkdir /home/user1/upload chown R user1:sftp /home/user1/upload chmod R 755 /home/user1/upload 6. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 图 sshdconfig文件补充配置信息后 7. 重启云主机，或执行以下命令重启sshd服务。 service sshd restart 或 systemctl restart sshd 8. 执行以下命令，远程连接到服务器。 sftp root@IP地址 9. 连接成功后，您可以使用交互式的sftp命令。 10. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r 下载文件：get r

克隆卷 克隆卷是基于快照创建的卷，与快照时刻的数据和状态一致。它可独立于源卷进行修改和操作，仅记录克隆后新增或修改的数据，原始数据依赖源卷存储。克隆卷与快照断开关系链后，快照时刻的数据将被全量复制到克隆卷，成为独立卷，与普通卷无异。 克隆深度是指从一个快照克隆出来的链式克隆卷的层级数，即从初始源卷开始，可以连续创建多少层克隆卷。例如： 以lun1为源卷，创建快照snap1，再从snap1创建克隆卷lun1C1，此时克隆深度为1。 以lun1C1为新的源卷，创建快照snap2，再从snap2创建克隆卷lun1C2，此时克隆深度为2。 备份 备份记录特定时间点的数据状态，并生成可独立存储的备份文件，支持独立存放，按需导入。可以根据需要进行全量导出和增量导出，支持导入完整的备份文件、导入中断产生的备份文件。 可以应用下列场景： 关键数据备份：完整数据副本存储于独立介质，支持增量/全量策略，长期保留历史版本数据。 跨集群迁移/灾难恢复：将备份文件还原到其他存储池和其他集群的卷中。 镜像分发与部署：将预配置的系统镜像导入到多个卷中实现快速部署，在无网络连接的环境中也可通过导入文件部署系统。

配置说明 您可以通过访问控制的加白功能配置网站白名单。 配置项 说明 优先级 配置访问控制策略的优先级，数字越小，优先级越高 开关 规则的防护开关 处理动作 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略 攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志 拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志 丢弃：拦截后不会响应页面，会减少带宽 规则名称 访问控制策略的规则名称 规则描述 访问控制策略的规则描述 防护范围 支持配置PATH、URI、IP、IPS、地理位置等十几种参数；支持配置最多3个范围，多个范围为且关系 防护周期 若您希望访问控制策略只在某个周期生效，可以配置防护周期，并支持且条件。防护周期支持配置每日、每周、每月。 配置示例： 1. 每周一至周二：周期包含12 2. 每周日至周一的7点至9点：周期包含每周 71 且 周期包含每天07:0009:00 3. 每月19号的23点到次日1点：周期包含每月 1919 且 周期包含每天23:0001:00 4. 每周二或每周四的7点至9点：周期包含每周 22;44 且 周期包含每天07:0009:00

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。

本章节介绍了区域和可用区的基本概念。 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 区域和终端节点 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。