本节介绍创建应用组的相关步骤。 操作场景 应用管理功能支持管理系统应用和用户自定义应用，应用需属于一个应用组。系若统应用组无法满足用户需求，用户可添加一个新的自定义应用组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击 “应用组管理>创建应用组”。 5. 根据页面提示填写应用组名称。 6. 单击“确定”，完成应用组创建。

入口网关操作 入口网关创建后，您可以在应用网格控制台查看入口网关创建以及elb绑定进度，还可以管理入口网关。 通过应用网格控制台管理入口网关 1. 登录应用网格控制台，单击应用网格实例列表中的网格名称。 2. 在左侧导航栏中，选择网关>入口网关。 3. 选择对应的集群和命名空间后，对入口网关进行管理。 操作 说明 查看或编辑入口网关 单击所需查看的入口网关所在行右侧的管理按钮，可在编辑框中查看并修改入口网关配置。完成配置修改后，点击确定按钮即可提交修改。 删除入口网关 单击所需删除的入口网关所在行右侧的删除按钮，然后在确认对话框中，单击确认按钮。

本文介绍如何对媒体存储进行访问权限控制。 块存储：块设备在控制台新建时，需要设置CHAP iqn及用户密码，作为客户端连接块空间时的凭证。配置方式可参考：鉴权管理。 文件存储：用户在连接文件系统时，需要获取鉴权信息进行相应的鉴权操作。产品控制台提供鉴权管理能力，用户可通过控制台完成相关操作。配置方式可参考：鉴权管理。 对象存储： 支持桶策略以及ACL进行访问权限管理，具体可参考：访问权限。 支持主子账号配置，配置方式可参考：主子账号。

本节主要介绍如何进行托管授权。 操作场景 托管创建完成后，需要到目标工作空间所属账号中进行授权。授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 前提条件 已创建托管，详细操作请参见创建托管。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在托管页面中，选择“我纳管的”页签，并在目标托管任务所在行“操作”列，单击“接收”。 5. 在弹出的确认框中，单击“确认”。 后续处理 授权后，可以在“工作空间 > 空间管理”页面中查看已创建的托管视图，单击视图名称，进入后，可以查看被托管空间的详细信息。

本文为您介绍如何修改SSL服务端。 创建SSL服务端后，您可以修改SSL服务端的名称、本端子网、客户端地址池和高级配置。 注意 如果您修改了SSL服务端高级配置中协议、是否压缩或双因子认证的配置会使SSL服务端关联的SSL客户端证书失效，您需要重新创建SSL客户端证书，然后在客户端中安装新的证书并重新发起SSL VPN连接。 如果您在SSL服务端下创建了SSL客户端，无法修改SSL服务端下的的本端子网及客户端地址池等配置。 前提条件 您已经创建了VPN网关并开启了SSL VPN，请参见创建和管理IPsec连接。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 在SSL服务端页面，找到目标SSL服务端，在操作列单击“修改”。 6. 在编辑SSL服务端页面，修改SSL服务端的名称、本端子网、客户端地址池或高级配置，然后单击“确定”。

本章节主要介绍WAF权限及授权项。 如果您需要对您所拥有的WAF进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用WAF服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 :: 查询防敏感信息泄漏规则 waf:antiLeakageRule:get 查询网页防篡改规则 waf:antiTamperRule:get 查询CC攻击防护规则 waf:ccRule:get 查询精准访问防护规则 waf:preciseProtectionRule:get 查询误报屏蔽规则 waf:falseAlarmMaskRule:get 查询隐私屏蔽规则 waf:privacyRule:get 查询黑白名单规则 waf:whiteBlackIpRule:get 查询地址位置访问控制规则 waf:geoIpRule:get 查询证书 waf:certificate:get 修改WAF证书 waf:certificate:put 查询防护事件 waf:event:get 查询防护域名 waf:instance:get 查询防护策略 waf:policy:get 查询用户套餐信息 waf:bundle:get 查询防护事件下载链接 waf:dumpEventLink:get 查询页面配置信息 waf:consoleConfig:get 查询回源IP段 waf:sourceIp:get 更新防敏感信息泄漏规则 waf:antiLeakageRule:put 更新网页防篡改规则 waf:antiTamperRule:put 更新CC攻击防护规则 waf:ccRuleRule:put 更新精准访问防护规则 waf:preciseProtectionRule:put 更新误报屏蔽规则 waf:falseAlarmMaskRule:put 更新隐私屏蔽规则 waf:privacyRule:put 更新黑白名单规则 waf:whiteBlackIpRule:put 更新地址位置访问控制规则 waf:geoIpRule:put 更新防护域名 waf:instance:put 更新防护策略 waf:policy:put 删除防敏感信息泄漏规则 waf:antiLeakageRule:delete 删除网页防篡改规则 waf:antiTamperRule:delete 删除CC攻击防护规则 waf:ccRule:delete 删除精准访问防护规则 waf:preciseProtectionRule:delete 删除误报屏蔽规则 waf:falseAlarmMaskRule:delete 删除隐私屏蔽规则 waf:privacyRule:delete 删除黑白名单规则 waf:whiteBlackIpRule:delete 删除地址位置访问控制规则 waf:geoIpRule:delete 删除防护域名 waf:instance:delete 删除防护策略 waf:policy:delete 创建防敏感信息泄漏规则 waf:antiLeakageRule:create 创建网页防篡改规则 waf:antiTamperRule:create 创建CC攻击防护规则 waf:ccRule:create 创建精准访问防护规则 waf:preciseProtectionRule:create 创建误报屏蔽规则 waf:falseAlarmMaskRule:create 创建隐私屏蔽规则 waf:privacyRule:create 创建黑白名单规则 waf:whiteBlackIpRule:create 创建地址位置访问控制规则 waf:geoIpRule:create 创建证书 waf:certificate:create 创建防护域名 waf:instance:create 创建防护策略 waf:policy:create 查询防敏感信息泄漏规则列表 waf:antiLeakageRule:list 查询网页防篡改规则列表 waf:antiTamperRule:list 查询CC攻击防护规则列表 waf:ccRuleRule:list 查询精准访问防护规则列表 waf:preciseProtectionRule:list 查询误报屏蔽规则列表 waf:falseAlarmMaskRule:list 查询隐私屏蔽规则列表 waf:privacyRule:list 查询黑白名单规则列表 waf:whiteBlackIpRule:list 查询地址位置访问控制规则列表 waf:geoIpRule:list 查询防护域名列表 waf:instance:list 查询防护策略列表 waf:policy:list 查询独享引擎实例列表 waf:premiumInstance:list 查询独享引擎 waf:premiumInstance:get 创建独享引擎实例 waf:premiumInstance:create 删除独享引擎实例 waf:premiumInstance:delete 更新独享引擎 waf:premiumInstance:put

部署和配置License Server 我们以CentOS 7.5操作系统的云主机为例演示部署和配置License Server。 说明 云主机规格不小于2vCPU，内存不小于4GiB。 请提前记录云主机MAC地址。 如用作生产用途，建议采用高可用模式部署，主备高可用模式部署License Server 请参考NVIDIA官方License Server高可用部署文档（ licenseserverhighavailability） 。 1. 配置网络： 1. 如使用VPC网络访问License Server：请确保License Server和使用GRID驱动的GPU加速型实例处在同一个VPC子网内。 2. 如使用公网IP访问License Server：请配置License Server所在的安全组，增加入方向规则：TCP 7070和TCP 8080。 2. 安装License Server。 具体过程请参考NVIDIA官方License Server安装文档 （ installingnvidiagridlicenseserver)。 3. 获取License文件 a. 新建页签，登录NVIDIA网站（ SERVERS”。 图 选择LICENSE SERVERS b. 单击“CREATE SERVER”. c. 填写Server Name、Description、MAC Address（License服务器的MAC地址）。 d. 选择Feature，在Licenses框中输入需要的license数目，单击“ADD”。 如果是主备部署的情况需要把备服务器的名称填入 Failover License Server，MAC地址填入Failover MAC Address中。 e. 单击“CREATE LICENSE SERVER”。 图 填写LICENSE SERVERS信息 f. 下载license文件 图 下载license文件 4. 在Web浏览器中，根据安装时配置的管理页面链接，访问License Server管理界面的主页。 默认访问链接为： 5. 单击“License Server > License Management”，使用License服务器配置菜单导入，并单击“Upload”上传许可证.bin文件，完成License Server的配置。 图 上传许可证文件

配置项 说明 请求协议 请求协议是指客户端请求时使用的协议类型，默认选择HTTP协议的80端口，若请求包含HTTPS协议的网站，则勾选“HTTPS”。 服务端口 服务端口是客户端请求时使用的端口，默认HTTP开放80端口，HTTPS开放443 ，如需开放特殊非标端口，可联系技术支持处理。 证书 HTTPS提供对网络服务器的身份认证，保护交换数据的隐私和完整性。 证书来源天翼云证书管理平台，可进行下拉选择证书备注名，若未找到证书可直接点击上传。 HTTP2 若您的请求协议中勾选了HTTPS，且您的业务需支持HTTP2协议，请开启HTTP2开关。 强制跳转 开启强制跳转将请求的HTTP强制302跳转至HTTPS进行请求，需保障请求协议HTTPS已开启。

本文通过CDN加速业务实例，详细介绍业务接入的基本流程，合适的配置方案建议，消除客户业务创建困惑，帮助客户以更快的速度获得更优的加速体验。 背景信息 对于首次使用CDN加速的用户，如希望初始配置就获得较优的加速效果，可参照本实践案例，通过服务开通、域名配置、业务验收、CNAME切量等步骤，实现业务快速接入。 前提说明 本实例，仅针对只有静态内容的加速场景，如文字，图片，视频等静态可缓存内容的加速。如相同业务中不止静态内容，相同域名下同时有动态内容的场景，请参考全站加速的相关介绍。 业务场景 加速域名：ctyun.cn。 加速内容：文字和图片为主，包含少量点播视频。 加速区域：仅中国内地，即该网站的用户都集中在中国内地。 业务要求：客户自己提供源站，对传输安全性要求高，因此推荐客户使用https安全传输协议。 操作流程 步骤一： 在创建域名之前，需要先通过天翼云官网进行注册和实名制认证、开通CDN加速服务。详情请见：产品开通。 步骤二： CDN服务开通后，通过CDN控制台进行创建域名。登录控制台的步骤，详情详见：进入客户控制台。 步骤三： 在CDN控制台上，添加域名并配置。详情请见：添加加速域名。域名创建成功的标志是，在域名列表中，可以查到新建域名，以及CNAME地址。 为获得更优的加速效果，建议如下配置方案： 场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 回源HOST 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见：分片回源。 提高CDN缓存命中率 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见：证书管理。 HTTPS配置 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。 访问控制 步骤四： 在CDN控制台成功添加加速域名后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 具体流程如下： 1. 在天翼云CDN控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如：ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 用户修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而验证加速域名相关业务场景。 4. 验证内容： 成功绑定HOSTS文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在HOSTS文件中绑定的IP一致，表示配置正确。如果不一致，表示配置不正确，您需要检查HOSTS文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在本地电脑成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性；如果功能验证不如预期，请提交工单联系天翼云客服处理。 步骤五： 如果您在步骤四的验证均正常，或者您通过其他方式已完成功能的验收测试，证明CDN的配置已经符合切量解析条件。为了实现正式的CDN加速，您需要在域名解析服务商处，将加速域名的DNS解析记录指向天翼云为您分配的CNAME域名，请求才能转发到CDN节点上，实现加速。配置CNAME的操作，详情请见：配置CNAME。

本章节介绍MSE Nacos SDK的应用以及相关限制因素 概述 MSE Nacos 适用于各种微服务业务系统和应用场景，既可以单独使用也可以与微服务云应用平台、云容器引擎、应用服务网格等组合使用。为了您服务的稳定性，需要注意一些限制。本文介绍MSE Nacos SDK的应用以及相关的限制因素。 SDK的应用 如果您使用的技术栈是Java，既可以通过开源的Nacos客户端 SDK，也可以通过集成Spring Cloud、Dubbo等框架集成Nacos客户端访问Nacos实例，实现服务注册发现和配置管理；如果您业务使用的技术栈是Go、C++、Python、Nodejs，也可以通过开源客户端或者相关框架，访问 Nacos实例。另外， Nacos作为微服务系统的核心组件之一，也可以与服务网格和微服务网关、服务治理等组件整合使用，为云原生应用开发者提供更强大的能力。 技术栈 原生SDK 框架（Spring Boot） 框架（Spring Cloud） Java Nacos提供Java SDK 连接实例。 Spring Boot框架的接入方案请参考章节：Nacos Spring Boot快速接入 Spring Cloud框架的接入方案请参考章节：如何在MSE上为Spring Cloud应用构建服务注册中心？ SDK的使用限制 Java 不推荐的版本 不推荐原因 解决方案 0.X ~ 1.3.X 版本陈旧，影响性能。 升级至1.4.3及以上版本。 小于1.2.0 该部分版本不支持username和password注入，即不支持鉴权。 升级至1.4.3及以上版本。 1.3.3 该版本客户端不支持在密码中使用特殊字符。 升级至1.4.3及以上版本。 1.4.0 ~ 1.4.2 1.4.2版本使用配置加解密功能时，getConfigAndSignListener接口查询加密配置时返回内容为明文。 升级至1.4.3及以上版本。

本文介绍企业中心常用术语 主账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。在该账号下申请开通的企业中心功能，主账号是企业中心管理员账号，是唯一可以访问且管理企业中心平台功能的账号。 子账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。通过主账号邀请或者创建，成为了主账号下的关联账号，无法登录企业中心，资源/权限/财务等受到主账号管理。 组织 “组织”是企业中心账号间的虚拟归属关系，将子账号划分到归属的组织，便于统一操作与管理。企业中心当前最多支持三层组织架构。 一个组织由管理账号、成员账号、组织单元组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在任一层级的组织单元。 组织策略 可以为组织绑定权限策略，绑定后的策略对组织内所有成员账号中的IAM用户生效。 创建/邀请 主账号可以创建或邀请子账号，但受一定约束条件，满足条件的账号才可以进行邀请或者创建，共同组成企业中心下的组织单元。

调用链搜索 调用链搜索主要是搜索span信息，就是一个节点的根event。一个调用链可能从多个环境下面搜索到。比如A调用B调用C的场景，对于同一个调用链路，从A、B、C可能都可以搜索到同一个调用链。 1、登录管理控制台。 2、单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 3、在左侧导航栏选择“应用监控 > 调用链”，进入调用链界面。 4、输入如下查询条件查询具体的调用链列表，也可在界面下方新增自定义查询条件。 表 调用链查询条件 查询条件 具体含义 必填/选填 应用 调用链所在应用。 必填 区域 调用链所在区域。 必填 组件 调用链所在组件。 选填 环境 调用链所在环境。 选填 实例 调用链所在实例。 选填 URL 调用链的URL，分为Rest URL和Real URL两种搜索条件：Rest URL为restful风格的URL，URL中带有变量名称，如/apm/get/{id}；Real URL为实际访问的URL。 选填 精确 对URL是否精确匹配，开启状态下为精确查询URL，不开启则进行模糊查询。 选填 调用方法 调用链的HttpMethod。 选填 状态码 调用链返回的HTTP状态码。 选填 响应时间 调用链的响应时间范围，可以填写最小响应时间和最大响应时间搜索调用链，两个值都可以为空。 选填 是否异常 调用链是否有异常。 选填 Trace ID 调用链的TraceID，填写该搜索条件后，其他搜索条件全部失效，只根据该TraceID搜索。 选填 自定义参数 已配置url监控项的拦截header指定key值、拦截url参数指定key值、拦截cookie指定key值参数后，在这里可以设置keyvalue进行搜索。 选填 全局Trace ID 调用链的全局TraceID，填写该搜索条件后，其他搜索条件全部失效，只根据该全局TraceID搜索。 选填 应用码 已配置url监控项的业务code采集长度限制、解析业务code的key、业务code的正确值参数后，会采集响应的应用码，这这里可以根据应用码进行搜索。 选填

本文为您介绍删除跨域连接的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，单击“跨域连接管理”页签。 5. 在跨域连接管理页签的列表中，找到目标跨域连接，在操作列，单击“删除”，进入删除页面。 6. 在删除页面，单击“确定”，完成删除操作。

操作场景 当您不再需要保护指定实例时，请执行删除保护实例操作，解除生产站点服务器和云平台容灾站点间的复制关系。 删除保护实例不会删除生产站点的云主机资源，对生产站点业务无影响。 使用须知 保护实例反向重保护后初始同步过程中，如果删除保护实例，生产站点服务器可能无法启动，建议等初始同步完成后再删除保护实例。 前提条件 待删除的保护实例有其它操作正在执行时，不可以执行删除操作。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待删除的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择待删除保护实例所在的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待删除的保护实例所在行操作列的“更多 > 删除”。如果需要批量删除保护实例，可同时勾选需要删除的保护实例，单击保护实例列表上方的“删除”。 6. 在弹出的确认对话框中，根据需求选择相应的操作。删除容灾站点的服务器/云硬盘： 1. 不勾选：生产站点服务器与云平台容灾站点间的复制关系解除，但是会保留容灾站点服务器及容灾站点服务器上挂载的云硬盘。 2. 勾选：生产站点服务器与云平台容灾站点间的复制关系解除，并同步删除容灾站点服务器及容灾站点服务器上挂载的云硬盘。如果不存在服务器则直接删除云硬盘。 3. 若当前保护实例处于“切换”、“反向重保护”状态，即容灾站点处于业务运行状态，无论是否勾选，均不会删除容灾站点资源。 7. 单击“是”，删除保护实例，保护实例状态显示为“删除中”。 8. 删除完成后，生产站点服务器将出现在“未保护的服务器”列表中。删除保护实例不会自动清理该保护实例创建的容灾演练，需在容灾演练页面进行删除。详见删除容灾演练。

参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 如果您确认授权，请单击 确认授权，继续操作 ，ROS将使用密钥管理服务为您设置了“sensitive”值为“true”的参数进行加密保存。 如果您不希望授权，请单击 取消加密，继续操作 ，ROS将不再为您加密保存“sensitive”值为“true”的参数。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 企业项目 是 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 指定的企业项目会传递给资源栈内所有资源，该设置会在下次部署时生效。 注意：资源栈暂不支持设置企业项目，企业项目仅会传递给资源栈内所有资源 default 资源并发量 否 指单次部署可同时变更的资源数量上限 如需提升配额，请提交工单处理 10 失败时回滚 否 默认不开启。开启失败时回滚，将在资源创建失败时，删除已成功创建的资源，资源栈回滚至上一次部署成功的状态。 不开启 删除保护 否 默认不开启。删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 不开启 跳过资源预检 否 默认不开启。开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查(refresh)，直接按模板执行，可提升操作速度 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 不开启

参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 如果您确认授权，请单击 确认授权，继续操作 ，ROS将使用密钥管理服务为您设置了“sensitive”值为“true”的参数进行加密保存。 如果您不希望授权，请单击 取消加密，继续操作 ，ROS将不再为您加密保存“sensitive”值为“true”的参数。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 企业项目 是 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 指定的企业项目会传递给资源栈内所有资源，该设置会在下次部署时生效。 注意：资源栈暂不支持设置企业项目，企业项目仅会传递给资源栈内所有资源 default 资源并发量 否 指单次部署可同时变更的资源数量上限 如需提升配额，请提交工单处理 10 失败时回滚 否 默认不开启。开启失败时回滚，将在资源创建失败时，删除已成功创建的资源，资源栈回滚至上一次部署成功的状态。 不开启 删除保护 否 默认不开启。删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 不开启 跳过资源预检 否 默认不开启。开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查(refresh)，直接按模板执行，可提升操作速度 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 不开启

本章节主要介绍如何跨源认证权限管理。 操作场景 通过跨源认证的用户授权，可设置分配不同的跨源认证，且不同用户的作业不影响跨源认证的使用。 使用须知 管理员用户和跨源认证的所有者拥有所有权限，不需要进行权限设置且其他用户无法修改其跨源认证权限。 给新用户设置跨源认证权限时，该用户所在用户组具有Tenant Guest权限。 跨源认证用户授权 1. 登录DLI管理控制台。 2. 单击“跨源管理 > 跨源认证”。 3. 选择要进行授权的跨源认证，单击操作列“权限管理”进入开源认证的用户权限信息页面。 4. 单击页面右上角“授权”可对当前的跨源认证新增用户授权。 用户授权参数说明 参数名称 描述 用户名 被授权的IAM用户的名称。 说明 该用户名称是已存在的IAM用户名称。 权限设置 使用：使用该跨源认证。 更新：更新该跨源认证。 删除：删除该跨源认证。 赋权：当前用户可将跨源认证的权限赋予其他用户。 回收：当前用户可回收其他用户具备的该跨源认证的权限，但不能回收该跨源认证所有者的权限。 查看其他用户具备的权限：当前用户可查看其他用户具备的该跨源认证的权限。 修改当前用户的权限 1. 登录DLI管理控制台。 2. 单击“跨源管理 > 跨源认证”。 3. 选择要进行授权的跨源认证，单击操作列“权限管理”进入开源认证的用户权限信息页面。 4. 单击操作列的“权限设置”，修改当前用户的权限。详细权限描述如上表所示。 说明 当“权限设置”中的选项为灰色时，表示您不具备修改此跨源认证权限的权限。可以向管理员用户、组所有者等具有赋权权限的用户申请“跨源认证的赋权”和“跨源认证权限的回收”权限。 如需回收当前用户的全部权限，可单击操作列的“回收”，该子用户将不具备该跨源认证的任意权限。

大量的连接和通道可能会影响RabbitMQ管理接口的性能 RabbitMQ会收集每个连接和通道的数据进行分析和显示，大量连接和通道会影响RabbitMQ管理接口的性能。

本节介绍如何手动续订WAF独享型实例。 购买独享型实例后，在实例到期被删除前，您可以随时在WAF控制台进行续费。 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 3. 单击目标实例操作列的“查看产品详情”。 4. 单击“续订”，进入续订页面。 5. 在“续订”操作界面，根据使用需要调整续订周期。 续订“二类节点”区域的独享版实例时，实例绑定的云主机默认需要一起续订。 6. 续订时长设置完成后，在页面下方确认支付费用，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。

问题处理 在迁移Agent中输入目的端服务器所在天翼云帐号的AK/SK以后，若出现“AK，SK鉴权失败”的提示，请您参见如何处理迁移Agent中AK/SK校验失败？。 如果控制台看不到源端服务器记录，请参考源端Agent注册后为什么主机迁移服务控制台没有记录，进行排查处理。 安装Linux版本的SMSAgent 操作场景 您需要在源端服务器上安装迁移Agent并且输入目的端服务器所在天翼云的AK/SK，迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务。收集的所有信息仅用于数据迁移，不会用做其他用途。 前提条件 已获取目的端服务器所在天翼云帐号的AK/SK。 如果您使用IAM用户进行迁移，具体请参见如何获取AK/SK?（IAM用户）。 如果您直接使用帐号进行迁移，具体请参见如何获取AK/SK?（账号）。 源端服务器的OS类型需要包含在Linux兼容性列表中。 已完成源端服务器hosts配置，/etc/hosts。 安装Linux版的SMSAgent 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移Agent”，进入“迁移Agent”页面。 3. 在Linux服务器Agent安装区域，单击Linux Agent下载窗格中的“链接”，仔细阅读并同意服务声明后，复制Agent的下载命令，前往源端服务器下载迁移Agent。 4. 复制“sha256校验码”的下载命令，下载sha256校验码，对迁移Agent进行软件完整性校验，具体参见[如何对迁移Agent进行软件完整性校验？](

本文旨在为您介绍如何在云原生API网关中管理消费者并进行授权管理。 创建消费者 云原生API网关通过消费者机制启用认证能力，实现访问权限控制。每种消费者均可独立设置 JWT、HMAC、KEY 或 BASIC 认证策略，您可根据业务安全需求灵活选择合适的鉴权方式，确保API访问既安全又高效。具体详情，请参见 创建消费者。 启用消费者 消费者只有在启用状态时才能生效。具体详情，请参见 启用消费者。 停用或删除消费者 如您需要停用或删除消费者。具体详情，请参见 停用或删除消费者。 消费者授权管理 每个消费者均可配置独立的身份标识和授权策略，确保仅通过认证的请求才能访问对应资源。云原生API网关支持在路由、接口、API 及实例多个维度配置消费者授权机制，实现细粒度的访问控制。具体详情，请参见 消费者授权管理。

本章节向您介绍如何获取虚拟私有云ID信息与导出虚拟私有云列表。 获取虚拟私有云ID信息 操作场景 当您创建不同账户下的VPC对等连接时，需要获取对端VPC所在区域对应的项目ID，即对端项目ID。您可以将此章节推荐给对端项目ID账户的用户，以获取对端项目ID。 操作步骤 1. 登录管理控制台 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在虚拟私有云列表中，单击需要查看VPC ID的虚拟私有云名称，进入虚拟私有云详情页。 5. 在基本信息区域，查看VPC ID信息，单击VPC ID后面的“复制”按钮，可复制ID信息。 导出虚拟私有云列表 操作场景 您可以将当前账号下拥有的所有虚拟私有云信息，以Excel文件的形式导出至本地。 该文件记录了虚拟私有云的名称、ID、状态、网段、子网个数等信息。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在虚拟私有云列表页面，单击列表左上方的“导出”。 说明 导出已选中数据到XLSX：勾选一个或多个虚拟私有云，导出所选虚拟私有云的信息。 导出全部数据到XLSX：导出当前区域内所有虚拟私有云的信息。 系统会将虚拟私有云信息自动导出为Excel文件，并下载至本地。

本文将为您介绍财务管理快速入门的操作流程。 天翼云企业中心为企业财务管理提供了账单、发票、订单及资金的能力，以下是具体的入门操作流程： 1. 首先天翼云账号需完成企业中心开通流程，具体见开通企业中心。 2. 进入企业中心组织管理，通过创建/邀请账号的形式完成企业主子账号关联，具体见关联账号。 3. 已关联到企业下的账号，可通过企业中心财务管理实现企业下多账号的资金、账单、发票、订单的统一管理，具体见管理企业资金账单等财务信息。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI 应用漏洞检测功能 通过自动化扫描、多维度风险分析、全流程漏洞管理 ，帮助企业精准识别 AI 组件漏洞，构建从 “发现 响应 标记” 的闭环管理体系，解决传统安全工具对 AI 资产 “看不见、管不住” 的核心痛点。 功能说明 支持超过 30+ 种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理，帮助用户掌握 AI 应用漏洞风险状况。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用漏洞检测】，查看 AI 应用漏洞检测功能。 3. 可根据业务需求进行相关扫描和漏洞标记。 AI 漏洞扫描 1. 在 “AI 风险概况” 模块，点击【下发扫描】按钮，可针对组织、用户组、用户、设备主动触发对终端 AI 应用的漏洞扫描，获取最新漏洞数据。 2. 扫描完成后，“最新扫描时间” 将更新为本次扫描时间。

选择终端管理页签，可对终端设置管控。 客户端管理 针对客户端设置卸载密码、桌面快捷方式、升级方式及内容、下载限速。 系统性能监控 实现监控网络流量、CPU、内存及磁盘的使用状况。 Agent管理 配置 说明 密码管理 设置客户端卸载密码，防止客户端意外卸载。适用于需要自定义修改配置策略模板卸载密码场景。 1. 点击卸载密码、退出密码后的图标置于开启状态，开启卸载密码、退出密码功能。 2. 输入密码。 升级设置 设置客户端定期升级，使客户端及规则库保持最新。适用于需要自定义修改升级场景。 1. 勾选定时升级。 2. 设置执行时间，选择升级内容、错峰时间。 执行时间：可配置自动升级时间，支持按每日、每月、每周，并设置具体时间点。 升级内容：支持软件版本、病毒库、网马库、情报库、漏洞库和弱口令库。 错峰时间：避免批量升级客户端引发升级风暴。将在设置的时间内给绑定的终端随机一个时间升级。 下载设置 设置下载限速，保证客户网络环境运行稳定。适用于需要自定义修改升级场景。 时钟同步 开启后，将主机的计算机系统时间修改为管理中心的系统时间，并定期校准。

分类 功能点 功能说明 总览 资源概览 可视化资源概览，全局资源统计和审计日志 注册集群 天翼云集群 一键关联天翼云容器集群，支持跨区域、跨地域集群 注册集群 三方云集群 纳管三方公有云上的 Kubernetes 集群，如阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等 注册集群 本地集群 纳管本地满足CNCF标准的IDC自建或私有云上的 Kubernetes 集群 集群管理 接入配置 通过应用 YAML 文件到目标集群，快速实现云上纳管 集群管理 操作日志 注册集群的业务日志、施工日志等关键日志信息 集群管理 集群控制台 统一管理控制台，云上云下一致性操作体验 容器舰队 集群编排 根据业务自定义舰队，一键编排，实现多集群批量管理 集群联邦 负载分发 标准 Kubernetes 及CDR的多集群动态分发 集群联邦 联邦伸缩 集群联邦可根据业务负载进行弹性伸缩

。 2. 在左侧导航栏，单击“云服务监控”，选择容器与中间件类目下的“弹性容器实例”。 3. 在页面上方选择地域。 4. 在ECI实例列表中，单击要查看监控数据的ECI实例。 5. 根据需要选择或自定义时间段，查看监控数据。 6. 回到ECI实例列表，点击创建告警规则，管理对ECI实例的告警配置，请参考++云监控告警规则++。

本文主要介绍磁盘使用率问题排查 使用文档数据库服务时，如果实例的磁盘使用率过高或完全被使用，将会导致实例不可⽤。 本章节帮助您分析解决DDS实例磁盘使用率高的问题。 查看磁盘使用情况 DDS目前提供如下两种方法用于查看实例磁盘的使用情况。 1. 通过DDS控制台查看磁盘使用情况。 您可以登录DDS控制台，单击目标实例名称，进入“基本信息”页面，在“存储空间”区域可以查看到当前实例的磁盘使用情况。 图 查看磁盘使用情况 2. 通过查看监控指标（磁盘利用率和磁盘使用量）判断实例磁盘的使用情况。 如何查看监控指标请参见查看监控指标。 图 查看磁盘使用情况 解决方案 1. 对于集群实例，可能是因为选择和设置的分片不合理导致数据分布不均衡，从而引起磁盘空间使用率高的情况。 此时，可以对数据库集合进行合适的分片，具体操作请参见设置数据分片以充分利用分片性能。 2. 随着业务数据的增加，原来申请的数据库磁盘容量不足。此时建议扩容磁盘空间，确保磁盘空间足够。 集群实例，请参见扩容集群实例的磁盘空间。 副本集实例，请参见扩容副本集实例的磁盘空间。 如果原有实例规格的磁盘已是最大的，请先升级规格。 集群实例，请参见变更集群实例的CPU和内存规格。 副本集实例，请参见变更副本集实例的CPU和内存规格。 3. 存在大量过期的数据文件占用磁盘空间，此时需要及时处理过期数据文件。例如：如果整个库不需要了，则可以执行dropDatabase命令进行删除，从而快速释放磁盘空间。 4. 后台数据处理机制原因。 因为无论是写入、更新或删除等操作（包括索引插入和删除等操作），在后台实际上都会转成写入。因为底层的存储引擎（WiredTiger和RocksDB），采用都是appendOnly机制。只有当存储引擎内部数据状态满足一定条件后，会触发内部的compaction操作，进行数据压缩，进而释放磁盘空间。 所以有时候会发现，磁盘占用量比实际数据量大，实际上这只是“看起来大”，并不会影响用户的使用。因为内部有些数据压缩，是延时操作，没有立即执行。随着数据的继续写入，会触发后台执行数据压缩清理空间。

云应用引擎（CAE）提供了一套完整的 OpenAPI 接口，涵盖应用生命周期管理、配置管理、监控运维等核心功能，支持开发者通过API方式实现应用的自动化部署和运维管理。

本章节主要介绍翼MR Manager的新增配置组的操作。 操作场景 用户可以根据不同的分组标准，对集群服务中的主机进行分组，一个配置分组下的主机共享一套配置。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击“新增配置组”，进入新增配置组页面。根据需要选择分组方式，选择主机，单击右下角“保存”按钮即可。如图所示： 注意 分组方式为：全部、按组件角色、按实例分组、按主机配置时，配置组名称默认且不可改。 分组方式为：单个主机时，需要选择要分组的主机，配置组名称为所选主机的名称且不可改。 分组方式为：自定义时，需要选择分组的主机，配置组名称可以自定义但不能与其他配置组名称相同。

本章节主要介绍故障演练服务技术类问题。 故障演练的实现原理是什么？ 不同类型的故障动作实现原理各不相同，详细说明请参考故障动作库中的具体文档，下表简要概述了各类动作的核心原理： 分类 资源类型 动作类型 动作 简介 原理描述 计算 云主机 主机资源 主机宕机 使用云主机接口对实例进行关机 通过调用云主机关机OpenAPI触发关机 计算 云主机 CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序，空跑for循环来消耗CPU时间片 计算 云主机 内存资源 内存高负载 使用内部自研工具实施内存高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 计算 云主机 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 计算 云主机 磁盘资源 IO Hang 模拟磁盘产生IO Hang效果 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过fsfreeze命令模拟磁盘夯死表现 注意：设置磁盘夯死故障注入后，可能会导致应用无法读写文件产出异常，请谨慎使用 计算 云主机 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过dd命令将数据写入文件 计算 云主机 网络资源 网络丢包 使用TC和Netem模拟主机内网络丢包 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络延迟 使用TC和Netem模拟主机内网络延迟 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包重复 使用TC和Netem模拟主机内网络包重复 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包乱序 使用TC和Netem模拟主机内网络包乱序 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包损坏 使用TC和Netem模拟主机内网络包损坏 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 端口占用 模拟指定端口占用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序， 创建Socket对象并绑定到指定端口 计算 云主机 网络资源 DNS篡改 篡改指定域名解析到指定IP 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件实现 计算 云主机 网络资源 DNS不可用 DNS解析不可用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件或防火墙规则实现 注意：该动作风险较大，请谨慎操作 计算 云主机 JVM故障 JVM延迟 向特定JVM进程注入方法调用延迟故障 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过Java Agent在JVM进程内插入sleep代码来实现 中间件 Redis 集群资源 主从切换 Redis主从切换 通过调用Redis主从切换OpenAPI，触发Redis集群实例进行主从切换 中间件 Redis 节点资源 Redis节点故障 Redis节点发生故障 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复 中间件 Redis 节点资源 Proxy节点故障 Proxy节点发生故障 通过调用Redis停止Proxy服务OpenAPI，模拟Proxy节点不可用 中间件 Redis 节点资源 节点主机宕机 Redis节点关机 通过关闭节点主机，模拟节点宕机 中间件 Redis 节点资源 CPU高负载 Redis节点CPU高负载 在节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Redis 节点资源 内存高负载 Redis节点内存高负载 在节点启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 中间件 Redis 节点资源 磁盘IO高负载 Redis节点磁盘IO高负载 在节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Redis 节点资源 磁盘IO Hang Redis节点磁盘IO Hang 在节点通过fsfreeze命令模拟磁盘夯死表现 中间件 Redis 节点资源 网络丢包 Redis节点网络丢包 在节点通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 中间件 Kafka 节点资源 Broker节点主机宕机 Broker节点关机 指定或随机一个Broker节点进行关机 中间件 Kafka 节点资源 Broker节点CPU高负载 Broker节点CPU高负载 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Kafka 节点资源 Broker节点磁盘IO高负载 Broker节点磁盘IO高负载 指定或随机一个Broker节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Kafka 节点资源 分区Leader不可用 分区Leader发生故障 指定一个或多个分区Leader，通过调用Kafka模拟Leader故障OpenAPI，触发Leader重新选举 中间件 RCC 集群资源 停止服务 注册配置中心集群服务故障 通过调用RCC停止集群OpenAPI，模拟RCC集群服务故障 中间件 RCC 节点资源 停止节点 注册配置中心节点故障 通过调用RCC停止节点OpenAPI，模拟RCC节点故障 云容器 容器集群 节点资源 托管Master节点宕机 关闭云容器引擎Master节点主机 通过关闭云容器引擎Master节点主机，模拟Master节点宕机（支持托管版本和智算版） 云容器 容器集群 节点资源 节点宕机 关闭云容器引擎纳管的节点主机 通过关闭云容器引擎纳管的节点主机，模拟节点宕机（支持Worker节点或专有版容器Master节点） 云容器 容器集群 节点资源 Etcd节点宕机 停止Etcd服务，模拟Etcd节点宕机 通过停止Etcd节点上的服务，模拟Etcd节点宕机 云容器 集群Node CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Node 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Node 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Node 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Node 网络资源 网络丢包 使用TC和Netem模拟Node内网络丢包 通过增加TC和Netem规则模拟Node内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络延迟 使用TC和Netem模拟Node内网络延迟 通过增加TC和Netem规则模拟Node内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包重复 使用TC和Netem模拟Node内网络包重复 通过增加TC和Netem规则模拟Node内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包乱序 使用TC和Netem模拟Node内网络包乱序 通过增加TC和Netem规则模拟Node内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包损坏 使用TC和Netem模拟Node内网络包损坏 通过增加TC和Netem规则模拟Node内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Node 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Node 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Pod 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Pod 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Pod 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Pod 网络资源 网络丢包 使用TC和Netem模拟Pod内网络丢包 通过增加TC和Netem规则模拟Pod内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络延迟 使用TC和Netem模拟Pod内网络延迟 通过增加TC和Netem规则模拟Pod内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包重复 使用TC和Netem模拟Pod内网络包重复 通过增加TC和Netem规则模拟Pod内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包乱序 使用TC和Netem模拟Pod内网络包乱序 通过增加TC和Netem规则模拟Pod内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包损坏 使用TC和Netem模拟Pod内网络包损坏 通过增加TC和Netem规则模拟Pod内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Pod Pod资源 Pod删除 删除指定Pod 调用云容器引擎K8S API删除Pod 云容器 集群Pod 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Pod 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod JVM故障 JAVA方法调用延迟 指定JVM进程与方法增加调用延迟 通过Java Agent拦截指定JVM进程内方法，增加sleep操作模拟调用延迟 云容器 集群Pod JVM故障 JAVA方法抛自定义异常 指定JVM进程与方法抛出自定义异常 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常 云容器 容器镜像 Harbor服务 Harbor服务不可用 停止Harbor服务，模拟容器镜像仓库不可用 通过调用容器镜像服务OpenAPI，停止Harbor服务，模拟容器镜像仓库不可用

本文主要介绍日志收集系统Flume接入Kafka。 最佳实践概述 场景描述 使用Flume+Kafka来完成实时流式日志处理，后面再连接上Storm/Spark Streaming等流式实时处理技术，从而完成日志实时解析的目标。如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，可以把它理解为一个数据库，可以存放一段时间的数据。 因此数据从数据源（ HTTP、Log 文件、JMS、监听端口数据等）到flume再到Kafka进行消息缓存，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。 技术架构图 暂无。 方案优势 把数据存储到 HDFS 或者 HBase 等下游存储模块或者计算模块时需要考虑各种复杂的场景，例如并发写入的量以及系统承载压力、网络延迟等问题。Flume 作为灵活的分布式系统具有多种接口，同时提供可定制化的管道。在生产处理环节中，当生产与处理速度不一致时，Kafka 可以充当缓存角色。Kafka 拥有 partition 结构以及采用 append 追加数据，使 Kafka 具有优秀的吞吐能力；同时其拥有 replication 结构，使 Kafka 具有很高的容错性。所以将 Flume 和 Kafka 结合起来，可以满足生产环境中绝大多数要求。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 确认准备 Apache Flume环境（1.6.0以上版本兼容 Kafka）。 确认 Kafka 的 Source、 Sink 组件已经在 Flume 中。 资源规划 本实践方案内容仅涉及Kafka专享版实例。 分布式消息服务 Figure 1 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 方案正文