本节介绍分布式缓存服务Redis版产品定义。 产品定义 分布式缓存服务Redis版是一种兼容Redis协议的NoSQL内存数据库产品，具备高性能、高可用、可水平扩展的特性，提供丰富的产品类型满足用户高读写性能场景需求，主要用于持久化数据的存储或缓存数据的存储。 为什么选择天翼云分布式缓存服务Redis 全面兼容Redis协议：基于开源Redis协议进行安全加固，客户端兼容Redis协议。 丰富的产品规格实例：提供多种缓存实例规格，灵活满足应用的多样化需求。 可靠的备份与恢复机制：支持手动备份与定时自动备份，自定义备份策略，实现将已备份的数据恢复到缓存实例中。 完善的监控运维工具：提供完备的日志、监控和告警功能，异常情况能自动告警并通知相关人员，多种监控指标及服务器运行情况支撑实时、历史监控运维。 对比自建原生Redis的优势 对比自建原生Redis，天翼云分布式缓存服务具备以下优势： 差异项 天翼云分布式缓存服务Redis 原生Redis 安装部署 实时开通，支持一键升级，无需关心服务部署的硬件及软件。 需要自行完成采购硬件、机房托管、部署机器等工作，周期较长，且需要自行维护节点关系。 备份恢复 支持手动备份与定时自动备份，一键恢复还原备份点。 仅支持一次性全量恢复。 运维管理 提供可视化运维监控平台，支持数十种的监控指标的实时监控。 需使用管理方式复杂的第三方监控工具实现服务监控。 扩展能力 支持节点性能线性扩展，支持在线扩容，业务无感知。 并发受限，升级依赖社区。

本节介绍分布式缓存服务Redis版产品优势 架构灵活 支持单机、主备、集群单机、集群主备、Cluster单机、Cluster主备、Proxy集群主备、读写分离的架构类型，适应于不同的使用场景，详情请参见产品规格。 高可用 配套完善的健康监控高可用系统，针对双副本实例，主节点（Master）和备节点（Replica）数据实时同步，主节点出现故障时可实现自动秒级切换，备节点接管业务，保障系统服务的高可用性。 支持实例级别的资源隔离，保障服务的稳定性。 灵活拓展 丰富的产品形态，透明的弹性拓展，支持多种内存规格，您可以根据实际业务进行内存规格扩容，从而适配各种不同场景。 支持实例类型变更，单副本可更新为双副本，提高系统高可用性。 数据安全 深度优化持久化内核机制，提供 RDB+AOF快照流水的持久化落盘方式，在提供高速数据读写能力的同时满足数据持久化需求。 数据容灾能力强，支持数据自动备份，可设置备份策略或一键手动备份，数据可一键恢复，可有效防范数据误操作，极大降低业务数据损失的可能。 简单易用 高度兼容Redis协议。按key水平扩展的透明访问能力，应用程序无缝接入。 智能运维 全面可视化、便捷式管理，多维度全链路可视化监控，提供CPU、内存、磁盘IO、网卡速率资源、链路节点请求计数、耗时(最大/最小、平均)、TPS、异常错误码以及节点命令运行情况统计、慢日志、内存情况、客户端情况连续信息等数十种监控指标的实时监控。 主动升级数据库内核版本，可迅速修复缺陷，解除日常版本管理的烦恼；同时优化Redis参数配置，以最大化利用系统资源。

本节介绍服务器安全卫士（原生版）弱口令检测操作指南。 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令。 Linux系统支持检测系统弱口令和数据库等应用弱口令。 Windows系统仅支持系统账号的弱口令检测。 版本限制 仅企业版、旗舰版支持弱口令检测功能。 执行弱口令检测 弱口令检测提供如下检测方式： 一键检测 如果用户想立即了解服务器当前是否存在弱口令，可以执行“一键扫描”，立即手动检测服务器中的漏洞。 定时检测 用户可以开启“定时扫描”，配置定时检测周期和范围，定期对服务器上存在的弱口令进行自动检测。 一键检测 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 单击“一键扫描”，页面右侧弹出一键检测设置窗口。 4. 设置检测参数，参数说明如下。 参数 说明 弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。 说明 以下服务器不能被选中执行弱口令检测： 使用“免费版”的服务器。 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确认”，立刻开始本次弱口令检测。 说明 检测需要一定的时间，请耐心等待，期间您可以切换页面执行其他操作。等待过程中您可以手动刷新页面查看最新检测数据。

本节介绍如何接入安全产品的日志、告警。 开通云安全中心实例后，系统默认会接入部分日志数据并对用户进行初始化配置。您可以根据自己的业务特性修改初始化配置。 在云安全中心的集成配置页面，选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 前提条件 已购买云安全中心实例，具体操作请参见购买云安全中心实例。 已购买天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 在左侧导航栏，选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

本章节主要介绍数据仓库服务的告警管理。 概述 告警管理包含查看告警规则、告警规则配置与告警信息订阅功能。其中，告警规则可以提供过去一周的告警信息统计与告警信息明细，方便用户自行查看租户下的告警。该特性除了以默认值的形式提供一套DWS告警最佳实践外，还允许用户根据自己的业务特点，个性化修改告警阈值。告警管理通过消息通知服务（Simple Message Notification，简称SMN）发送DWS 告警通知，用户可订阅告警启用通知。 说明 该特性仅支持8.1.1.200及以上版本的数据库内核。 进入告警管理页面 1.登录DWS 管理控制台。 2.在左侧导航栏，单击“告警管理”，切换至“告警”页签。 3.进入数据仓库告警展示页面。该页面分为三个区域： 存量告警统计 最近7天的存量告警统计值（按告警级别分类），以柱状图的形式展示。用户可通过存量告警统计图，对过去一周告警发生的数量和分布有清晰的了解。 当日告警 当天的存量告警统计值（按级别分类），以列表的形式展示。重点向用户强调当天未处理的告警数量，帮助用户快速掌握目前告警的数量和分布。 告警详情 最近7天的所有告警（包括已处理和未处理）的明细信息，以表格的形式展示。可查看近7天内所有告警的告警名称、告警级别、集群名称、定位信息、详细信息、产生日期、状态等信息，帮助用户快速发现和定位问题。 说明 告警展示页面的数据源来自EventService微服务，该微服务最多可以提供30天的告警缓存数据。

安全专区 云数据库审计组件 型号 性能规格 虚机资源要求 虚机规格选型 安全组件部分 :: 标准价 （月） 标准价 （年） 标准价 （2年） 标准价 （3年） VDAS100 100M 4vCPUs 8GB 系统盘140G 数据盘400G xlarge.2 4vCPUs 8GB 系统盘140G 数据盘400G 2800 28560 47040 50400 VDAS200 200M 4vCPUs 8GB 系统盘140G 数据盘1000G xlarge.2 4vCPUs 8GB 系统盘140G 数据盘1000G 3900 39780 65520 70200 VDAS400 400M 4vCPUs 8GB 系统盘140G 数据盘1500G xlarge.2 4vCPUs 8GB 系统盘140G 数据盘1500G 5200 53040 87360 93600 VDAS600 600M 8vCPUs 16GB 系统盘140G 数据盘2000G xlarge.2 8vCPUs 16GB 系统盘140G 数据盘2000G 6600 67320 110880 118800 安全专区 云堡垒机组件 型号 性能规格 虚机资源要求 虚机规格选型 标准价（月） 标准价（一年85折） 标准价（二年7折） 标准价（三年5折） OSM1000V10 10个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 1600 16320 26880 28800 OSM1000V20 20个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 2100 21420 35280 37800 OSM1000V50 50个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 3000 30600 50400 54000 OSM1000V100 100个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 4600 46920 77280 82800 OSM1000V200 200个资产 2vCPUs 8GB 系统盘300G数据盘1000G 2vCPUs 8GB 系统盘300G数据盘1000G 7800 79560 131040 140400 OSM1000V300 300个资产 2vCPUs 8GB 系统盘300G数据盘1000G 2vCPUs 8GB 系统盘300G数据盘1000G 10600 108120 178080 190800 OSM1000V500 500个资产 4vCPUs 16GB 系统盘300G数据盘1000G 4vCPUs 16GB 系统盘300G数据盘1000G 13400 136680 225120 241200

静态内容 指用户在一定时间内多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据都是相同的内容。例如：html、css和js文件、图片、视频、软件安装包、apk文件、压缩包文件等。静态内容对全站加速来说是可缓存的，可通过在客户控制台上对相应文件设置一定长度的缓存过期时间来实现缓存。 动态内容 指用户多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据均不相同。例如：.jsp、.asp、.php、.perl、.cgi文件和API接口等，常见于需要数据库查询且会动态变化的场景，例如余票查询，支付信息，动态会话等场景。动态内容一般不可缓存，需要使用全站加速得到加速效果。 缓存Key 缓存Key是一个文件在节点上缓存时唯一的身份ID，每个在节点上缓存的文件都会对应一个缓存Key。通常默认情况下，文件的缓存Key为客户端请求的原始URL（带参数）。通过自定义缓存Key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。功能介绍，详情请见：缓存key设置。 去问号缓存 对于可缓存的文件，节点通常会将用户请求的原始URL作为缓存key。如果原始URL中携带问号后参数，且不同参数实际指向同一份文件时，可以配置开启去问号缓存，此时节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。功能介绍，详情请见：缓存过期时间。

本章节主要介绍 ALM27001 DBService服务不可用的告警。 告警解释 告警模块按30秒周期检测DBService服务状态。当DBService服务不可用时产生该告警。 DBService服务恢复时，告警清除。 告警属性 告警ID 告警级别 是否自动清除 27001 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 数据库服务不可用，无法对上层服务提供数据入库、查询等功能，使部分服务异常。 可能原因 浮动IP不存在。 没有主DBServer实例。 主备DBServer进程都异常。 处理步骤 检查集群环境中是否存在浮动IP 。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >DBService > 实例”。 2. 查看是否有主实例存在。 是，执行步骤3。 否，执行步骤9。 3. 选择主DBServer实例，记录IP地址。 4. 以root用户登录上述IP所在主机，执行ifconfig命令查看DBService的浮动IP在该节点是否存在。 是，执行步骤5。 否，执行步骤9。 5. 执行ping 浮动IP地址命令检查DBService的浮动IP的状态，是否能ping通。 是，执行步骤6。 否，执行步骤9。 6. 以root用户登录DBService浮动IP所在主机，执行以下命令删除浮动IP地址。 ifconfig interface down 7. 在FusionInsight Manager首页，选择“ 集群 > 待操作集群的名称 > 服务 > DBService > 更多 > 重启服务”重启DBService服务，检查是否启动成功。 是，执行步骤8。 否，执行步骤9。 8. 等待约两分钟，查看告警列表中的DBService服务不可用告警是否恢复。 是，处理完毕。 否，执行步骤14。

在敏感数据任务列表中，可查看敏感数据识别任务的详细信息。 前提条件 已完成识别任务的创建。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面，查看识别任务的详细信息，检测任务参数说明如下表所示。 说明 输入任务名称或任务名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据识别任务。 单击任务名称，可以查看并下载识别任务报告，DSC为您提供PDF格式的识别任务报告。 在目标任务的“操作”列，单击“更多 > 下载风险结果”，下载风险结果报表，DSC为您提供了Excel格式的风险结果报表。 检测任务参数说明： 参数名称 参数说明 任务名称 识别任务的名称。 单击任务名称前方的，查看任务下各个对象执行扫描的具体时间以及识别状态，并在具体对象所在行的“操作”列，可执行以下操作： 单击“停止”，停止对该任务下具体对象的扫描。 单击“立即识别”，立即执行对该任务下具体对象的扫描。 单击“识别结果”，查看该任务下具体对象的识别情况。 单击“删除”，删除该任务下具体对象。 单击任务名称，可以查看并下载检测任务报告，具体的参考下载报告章节。 识别规则组 识别任务使用的规则组。 执行周期 识别任务的具体执行周期。说明如下： 单次：识别任务仅执行一次。 每天：每天固定时间执行一次识别任务。 每周：每月固定时间执行一次识别任务。 每月：每周固定时间执行一次识别任务。 状态 识别任务的执行状态。 待识别：识别任务在对列中，等待识别。 识别中：正在执行识别任务。 识别完成：目标任务下的所有识别对象都已成功完成了扫描。 识别异常：目标任务下至少存在一个识别对象执行识别任务失败。 识别终止：正在识别中的任务，被强行停止。 上次识别时间 上一次执行该任务的具体时间。 上次识别结果 上一次该任务扫描的结果，未识别风险、低风险、中风险、高风险。 通知主题 选择的消息通知主题。 操作 用户可以在操作栏中，执行以下操作： 立即执行识别任务，具体的参考立即启动识别任务章节。 查看识别结果，单击“识别结果”，跳转到“识别结果”页面，DSC为您提供了详细的结果分析报告，具体的参考识别结果。 编辑扫描任务，具体的参考编辑识别任务章节。 删除扫描任务，具体的参考删除识别任务章节。

本章节介绍Dubbo应用的离群实例摘除功能 概述 在微服务架构中，当服务提供者的应用实例出现异常，而服务消费者无法感知时会影响服务的正常调用，并影响消费者的服务性能甚至可用性。离群实例摘除功能会检测应用实例的可用性并进行动态调整，以保证服务成功调用，从而提升业务的稳定性和服务质量。 查看离群实例摘除策略列表 在左侧导航栏，Dubbo治理 > 离群实例摘除。查看当前账号下的离群实例摘除策略。离群实例摘除策略展示了策略名称、状态、生效应用、针对框架、异常类型、错误下限率、QPS下限、摘除实例比例上限、恢复检测单位时间、未恢复累计次数上限等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建离群实例摘除策略 在离群实例摘除页面单击创建离群实例摘除策略。 ● 环境：选择一个环境。 ● 策略名称：离群实例摘除策略名称，例如 ctyunremove。 ● 被调用服务所用框架： 未恢复累计次数上限。 ● 选择生效应用：选择生效应用后，该应用的调用的所有应用的异常实例会被摘除。摘除期间，生效应用的调用请求将不再被分发到异常实例。 ● 错误下限率：当被调用的应用中某个应用实例的错误率高于设置的下限后，将摘除该实例。默认值为50%。例如该实例在统计时间窗口内被调用10次，有6次调用失败，错误率为60%，超过了配置的错误率下限（50%），则从应用中移除该实例。 ● 高级配置： 异常类型：选择网络异常+业务异常（HTTP 5xx）。 QPS 下限：QPS按照统计时间窗口进行计算，Spring Cloud应用的统计时间窗口为10秒。当在统计时间窗口（例如10秒）内应用的QPS达到设置的下限后开始进行错误率统计分析。 摘除实例比例上限：摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。摘除异常实例数向下取整，例如应用实例总数为6，摘除实例比例设置为60%，摘除实例比例数为6 x 60% 3.6，则按策略最多摘除的实例数为3。若计算结果小于1，则不会摘除实例。 恢复检测单位时间：在异常实例被摘除后，按单位时间线性不断累加的时间作为检测间隔，检测异常实例是否恢复正常，单位为ms。默认为30000ms，即0.5分钟。 未恢复累计次数上限：持续对异常实例进行检测，检测间隔随检测次数按恢复检测单位时间线性增加，当达到设置的检测次数上限后，会按最长时间间隔持续检测异常实例是否恢复。例如，恢复检测单位时间设置30000ms，未恢复累计次数上限设置为20，在第20次检测异常实例仍未恢复后，则会按10分钟（20 x 30000 ms）为间隔执行后续的检测。如果检测到实例已经恢复，则会将检测间隔重置为初始的时间间隔，即一次恢复检测单位时间。

本章节介绍Spring Cloud应用离群实例摘除功能 概述 在微服务架构中，当服务提供者的应用实例出现异常，而服务消费者无法感知时会影响服务的正常调用，并影响消费者的服务性能甚至可用性。离群实例摘除功能会检测应用实例的可用性并进行动态调整，以保证服务成功调用，从而提升业务的稳定性和服务质量。 查看离群实例摘除策略列表 在左侧导航栏，Spring Cloud治理 > 离群实例摘除。查看当前账号下的离群实例摘除策略。离群实例摘除策略展示了策略名称、状态、生效应用、针对框架、异常类型、错误下限率、QPS下限、摘除实例比例上限、恢复检测单位时间、未恢复累计次数上限等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建离群实例摘除策略 在离群实例摘除页面单击创建离群实例摘除策略。 ● 环境：选择一个环境。 ● 策略名称：离群实例摘除策略名称，例如 ctyunremove。 ● 被调用服务所用框架： 未恢复累计次数上限。 ● 选择生效应用：选择生效应用后，该应用的调用的所有应用的异常实例会被摘除。摘除期间，生效应用的调用请求将不再被分发到异常实例。 ● 错误下限率：当被调用的应用中某个应用实例的错误率高于设置的下限后，将摘除该实例。默认值为50%。例如该实例在统计时间窗口内被调用10次，有6次调用失败，错误率为60%，超过了配置的错误率下限（50%），则从应用中移除该实例。 ● 高级配置： 异常类型：选择网络异常+业务异常（HTTP 5xx）。 QPS 下限：QPS按照统计时间窗口进行计算，Spring Cloud应用的统计时间窗口为10秒。当在统计时间窗口（例如10秒）内应用的QPS达到设置的下限后开始进行错误率统计分析。 摘除实例比例上限：摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。摘除异常实例数向下取整，例如应用实例总数为6，摘除实例比例设置为60%，摘除实例比例数为6 x 60% 3.6，则按策略最多摘除的实例数为3。若计算结果小于1，则不会摘除实例。 恢复检测单位时间：在异常实例被摘除后，按单位时间线性不断累加的时间作为检测间隔，检测异常实例是否恢复正常，单位为ms。默认为30000ms，即0.5分钟。 未恢复累计次数上限：持续对异常实例进行检测，检测间隔随检测次数按恢复检测单位时间线性增加，当达到设置的检测次数上限后，会按最长时间间隔持续检测异常实例是否恢复。例如，恢复检测单位时间设置30000ms，未恢复累计次数上限设置为20，在第20次检测异常实例仍未恢复后，则会按10分钟（20 x 30000 ms）为间隔执行后续的检测。如果检测到实例已经恢复，则会将检测间隔重置为初始的时间间隔，即一次恢复检测单位时间。

介绍分布式消息服务Kafka重置消费位置功能操作内容。 场景描述 Kafka重置消费位置的场景包括以下几个： 初次消费：当一个新的消费者加入到Kafka集群时，它需要从某个位置开始消费消息。在这种情况下，可以将消费位置重置为最早的消息或最新的消息。 消费者组重置：当消费者组中的消费者发生变化，如新增或退出消费者，可能需要重置消费位置。在这种情况下，可以将消费位置重置为最早的消息或最新的消息。 消费者出现故障：当消费者发生故障，并且需要将其替换或修复时，可能需要重置消费位置。在这种情况下，可以将消费位置重置为最早的消息或最新的消息，以确保新的消费者能够从正确的位置开始消费。 消费者重新处理消息：在某些情况下，消费者可能需要重新处理之前已经消费过的消息。这可能是由于消费者的处理逻辑发生变化，或者需要重新计算之前的结果。在这种情况下，可以将消费位置重置为指定的消息位置，以便消费者重新处理消息。 消费者消费速度过慢：当消费者的处理能力不足，无法及时消费消息时，可能需要重置消费位置。在这种情况下，可以将消费位置重置为最新的消息，以便消费者能够跳过堆积的消息，从最新的消息开始消费。 操作步骤 Tips：目前消费只能重置72小时内的消息，可选择72小时内时间点重置。 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“消费组管理”后进入消费组管理页面。 （5）在目标消费组所在行，点击其右侧的“更多”，在下拉框中单击“重置消费位置”。 （6）出现重置消费位置窗口后，可以选择从最新点位开始消费、从最旧点位开始消费、按时间点进行消费位置重置、重置消费点位到附近n条。 四种重置方式试用场景如下： 从最新点位开始消费：将消费者的消费位置重置为最新的消息。这意味着消费者将从当前Kafka主题的最新消息开始消费，忽略之前已经产生的消息。这种方式适用于只关注最新消息的场景，如实时监控或日志记录。 从最旧点位开始消费：将消费者的消费位置重置为最早的消息。这意味着消费者将从当前Kafka主题的最早消息开始消费，包括之前已经产生的消息。这种方式适用于需要处理全部消息历史记录的场景，如数据重播或数据分析。 按时间点进行消费位置重置：将消费者的消费位置重置为指定的时间点。这意味着消费者将从指定时间点之后的消息开始消费，可以精确地选择消费的起始位置。这种方式适用于需要从特定时间点开始消费的场景，如数据回溯或重新处理。 重置消费点位到附近n条：将消费者的消费位置重置到指定的消费位点上，这个是分区级别的，因此可以更加精确地选择消费的起始位置。这种方式适用于需要从特定位点开始消费的场景，如数据回溯或重新处理。

本节介绍创建并发云电脑的操作说明。 操作场景 开通多个桌面，每个桌面只属于单个用户。根据并发桌面比例或数量进行相应的资源扣减。但每个桌面只属于单个用户，每次最多可在线使用的桌面数量占总并发桌面数量的一定比例。 并发桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“桌面池管理”菜单，点击“并发桌面管理”； 3.在并发桌面管理页面，点击“创建桌面池” 4.填写并发桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择AI云电脑的“镜像类型”； 8.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 9.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 10.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 选择已有桌面：选择已有桌面加入并发桌面池后，桌面规格会调整为当前按共享比例的并发桌面池的桌面规格。 11.选择桌面并发方式“按桌面比例“或”按桌面数量“； 按桌面比例：通过并发比例控制池中最多可同时在线的桌面数量：桌面数量x并发比例可在线桌面数量。 按桌面数量：可手动设定池中最多可同时在线的桌面数量。 12.根据需求选择并发桌面的断连设置、离线桌面优先关机策略； 13.确认相关的配置信息，点击“开通桌面”，即完成并发桌面开通。

本文将介绍如何在Pod中使用配置项。 背景信息 在Pod中使用配置项是一种实现配置管理的常用方式，它可以应用于多种场景，主要包括以下几个方面： 应用程序配置：配置项可以存储应用程序所需的所有配置信息，例如数据库连接信息、密钥、证书等。这可以使得应用程序在部署时更加简单和灵活，开发人员可以使用配置项来控制应用程序的行为。 环境变量：通过配置项创建的环境变量可以直接注入到容器中，例如在容器中设置数据库的连接信息等环境变量。 命令行参数：通过配置项定义命令行参数可以使得容器镜像更加通用，可以使用不同的参数启动不同的容器实例。 挂载文件：配置项还可以将配置文件存储在其中，并将其挂载到容器内部。这使得容器可以在运行时动态加载配置文件，以更好地适应不同的部署场景。 使用限制 当您在Pod中使用配置项时，为了确保配置项在Pod内正确加载和使用，需要将它们部署到相同的命名空间中。 创建配置项 本次示例配置项configmapdemo包含DATABASEURL和LOGLEVEL两个键值对。具体的YAML示例模板如下所示： YAML apiVersion: v1 kind: ConfigMap metadata: name: configmapdemo namespace: default data: DATABASEURL: mysql://user:password@hostname/dbname APISECRET: bigsecretkey LOGLEVEL: debug 使用配置项定义Pod环境变量 1. 使用配置项的数据定义Pod环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载 ”，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“新增YAML”。 6. 填写无状态应用对应的YAML配置内容，并使用valueFrom引用配置项中的Value值，从而定义Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: DATABASEURL valueFrom: configMapKeyRef: name: configmapdemo key: DATABASEURL name: LOGLEVEL valueFrom: configMapKeyRef: name: configmapdemo key: LOGLEVEL 2. 将配置项的所有Key/Values配置为Pod的环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，并使用envFrom将配置项的所有Key/Values键值对配置为Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim envFrom: configMapRef: name: configmapdemo 3. 通过配置项设置命令行参数。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，您可以使用环境变量替换语法 $(VARNAME)，将配置项设置为容器中的命令或参数值。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim command: [ "/bin/sh", "c", "echo $(DATABASEURL) $(LOGLEVEL)" ] envFrom: configMapRef: name: configmapdemo

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 1个资源集中最多可创建150个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 1个仪表盘中最多可添加30个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个曲线图中最多可添加12个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 指标数据在数据库中最多保存30天。 指标 指标总量 单租户总指标量不超过40W 小规格总指标量不超过10W 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 每个指标的维度最多为30个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 自定义指标 无限制。 指标 上报自定义指标 单次请求数据最大不能超过40KB，上报指标所带时间戳不能超前于标准UTC时间10分钟，不接收乱序指标，即有新指标上报后，旧指标上报将会失败。 指标 应用指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃。 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 告警 告警 您最多可查询最近15天的告警。 告警 事件 您最多可查询最近15天的事件。 应用发现规则 应用发现规则最多可创建100个。

此章节为您介绍数据库审计如何设置告警通知。 邮件方式通知告警 1. 在菜单栏选择“通知外送 > 告警通知”进入“告警通知”页面，选择“邮件”页签。 2. 单击“编辑”，在弹出的“邮箱配置”对话框中编辑相关信息。具体参数说明可参考下表。 配置项 说明 SMTP服务器 SMTP服务器的IP或域名。 SMTP服务器端口 SMTP服务器所用端口。 发件人 发件人的邮箱。 SMTP验证 邮箱是否开启SMTP验证。 用户名 邮箱的用户名。 密码 与邮箱用户名对应的用户密码。 是否加密 邮箱是否进行加密。 编码 服务器支持的编码方式，主要为：UTF8、GBK。以上SMTP服务器相关配置与服务器端设置保持一致即可。 实时告警模板 发送实时告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 聚合告警模板 发送聚合告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 统计告警模板 发送统计告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 系统告警模板 发送系统告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 3. 配置邮件发送接口后，可对需要通过邮件发送接口发送通知的资产配置发送方式。单击“添加”。 4. 在弹出的对话框中编辑相关信息，编辑完成后单击“保存”。具体参数说明可参考下表。 配置项 说明 资产 选择要发送告警信息的资产，可选择多项。 接收者 接收告警信息的邮箱，可设置多个邮箱。 告警等级 选择要发送的告警信息的告警等级。 通知周期 同一个规则在通知周期内多次触发告警时只通知第一次触发的告警。 取值范围：0~86400，单位为秒。 0表示发送全部告警。如果设置为0，聚合通知功能将无法开启。 聚合通知 开启聚合通知功能后，系统会在通知周期结束后发送一条聚合告警信息。 聚合消息示例：在过去秒，总计触发条告警（“”为具体数值）。 告警统计 选择是否开启发送告警统计信息的功能。 发送时间 每天在设定的时间点发送前一天的告警统计信息。

本页介绍天翼云TeleDB数据库告警设置相关操作。 告警设置分为告警配置和告警抑制模块。 告警策略模块可查看告警策略列表，新建和删除告警策略，对告警策略进行启停操作。告警生效后可在历史告警和消息中心查看告警的消息和内容。 新建告警策略，可对主机和实例进行告警策略的配置，针对主机和实例进行设置告警的策略。 通知方式可选邮箱、短信、企业微信 在告警策略列表页面单击告警策略 或者查看详情 ，可查看告警策略的详细信息。 在告警策略列表页面的告警启停 栏，可单击启停图标，启动或停止告警策略。 在告警策略列表页面，可单击操作 列的编辑按钮，编辑告警策略信息。 在告警策略列表页面，可单击操作 列的删除按钮，进行告警策略的删除。只有停止的状态下可删除，启动时，删除按钮置灰。 告警抑制模块可查看告警抑制列表，新建和删除告警抑制，对告警抑制进行启停操作。 用户可新增告警抑制，根据表单提示填写即可创建告警抑制。 用户可对告警抑制进行单个删除或者批量删除，删除时二次确认提示，启动状态下的告警抑制不可删除，删除按钮置灰。 用户可对告警抑制进行编辑，启动状态下的告警抑制不编辑，编辑按钮置灰。

用户在连接到文档数据库后，需要关注以下支持以及限制的命令。 用户在连接到文档数据库后，需要关注以下支持以及限制的命令。更多信息，请参见MongoDB官方文档。 说明 下表所示，“√”表示当前版本支持该命令，“×”表示当前版本不支持该命令。 表 支持与限制的命令 命令类别 命令名称 3.4 4.0 4.2 备注 Aggregates Commands aggregate √ √ √ Aggregates Commands count √ √ √ Aggregates Commands distinct √ √ √ Aggregates Commands group √ √ √ Aggregates Commands mapReduce √ √ √ 在DDS实例关联参数模板中设置参数“security.javascriptEnabled”的值为“true”后，可以使用该命令。更多信息，请参见。 Geospatial Commands geoNear √ √ √ Geospatial Commands geoSearch √ √ √ Query and Write Operation Commands find √ √ √ Query and Write Operation Commands insert √ √ √ Query and Write Operation Commands update √ √ √ Query and Write Operation Commands delete √ √ √ Query and Write Operation Commands findAndModify √ √ √ Query and Write Operation Commands getMore √ √ √ Query and Write Operation Commands getLastError √ √ √ Query and Write Operation Commands resetError √ √ √ Query and Write Operation Commands getPrevError √ √ √ Query and Write Operation Commands parallelCollectionScan √ √ √ Query Plan Cache Commands planCacheListFilters √ √ √ Query Plan Cache Commands planCacheSetFilter √ √ √ Query Plan Cache Commands planCacheClearFilters √ √ √ Query Plan Cache Commands planCacheListQueryShapes √ √ √ Query Plan Cache Commands planCacheListPlans √ √ √ Query Plan Cache Commands planCacheClear √ √ √ Authentication Commands logout √ √ √ Authentication Commands authenticate √ √ √ Authentication Commands copydbgetnonce √ √ √ Authentication Commands getnonce √ √ √ Authentication Commands authSchemaUpgrade x x x 系统内部命令。 User Management Commands createUser √ √ √ User Management Commands updateUser √ √ √ User Management Commands dropUser √ √ √ User Management Commands dropAllUsersFromDatabase √ √ √ User Management Commands grantRolesToUser √ √ √ User Management Commands revokeRolesFromUser √ √ √ User Management Commands usersInfo √ √ √ Role Management Commands invalidateUserCache √ √ √ Role Management Commands createRole √ √ √ Role Management Commands updateRole √ √ √ Role Management Commands dropRole √ √ √ Role Management Commands dropAllRolesFromDatabase √ √ √ Role Management Commands grantPrivilegesToRole √ √ √ Role Management Commands revokePrivilegesFromRole √ √ √ Role Management Commands grantRolesToRole √ √ √ Role Management Commands revokeRolesFromRole √ √ √ Role Management Commands rolesInfo √ √ √ Replication Commands replSetElect x x x 系统内部命令。 Replication Commands replSetUpdatePosition x x x 系统内部命令。 Replication Commands appendOplogNote x x x 系统内部命令。 Replication Commands replSetFreeze x x x 系统内部命令。 Replication Commands replSetGetStatus √ √ √ Replication Commands replSetInitiate x x x 系统内部命令。 Replication Commands replSetMaintenance x x x 系统内部命令。 Replication Commands replSetReconfig x x x 系统内部命令。 Replication Commands replSetStepDown x x x 系统内部命令。 Replication Commands replSetSyncFrom x x x 系统内部命令。 Replication Commands replSetRequestVotes x x x 系统内部命令。 Replication Commands replSetDeclareElectionWinner x x x 系统内部命令。 Replication Commands resync x x x 系统内部命令。 Replication Commands applyOps x x x 系统内部命令。 Replication Commands isMaster √ √ √ Replication Commands replSetGetConfig x x x 系统内部命令。 Sharding Commands flushRouterConfig x x x 高危命令。 Sharding Commands addShard x x x 越权操作。 Sharding Commands addShardToZone √ √ √ Sharding Commands balancerStart √ √ √ Sharding Commands balancerStatus √ √ √ Sharding Commands balancerStop √ √ √ Sharding Commands removeShardFromZone √ √ √ Sharding Commands updateZoneKeyRange √ √ √ Sharding Commands cleanupOrphaned x x x 高危命令。 Sharding Commands checkShardingIndex x x x 系统内部命令。 Sharding Commands enableSharding √ √ √ Sharding Commands listShards x x x 系统内部命令。 Sharding Commands removeShard x x x 高危命令。 Sharding Commands getShardMap x x x 系统内部命令。 Sharding Commands getShardVersion √ √ √ Sharding Commands mergeChunks √ √ √ Sharding Commands setShardVersion x x x 系统内部命令。 Sharding Commands shardCollection √ √ √ Sharding Commands shardingState x x x 系统内部命令。 Sharding Commands unsetSharding x x x 系统内部命令。 Sharding Commands split √ √ √ Sharding Commands splitChunk √ √ √ Sharding Commands splitVector √ √ √ Sharding Commands moveChunk √ √ √ Sharding Commands movePrimary √ x √ Sharding Commands isdbgrid √ √ √ Administration Commands setFeatureCompatibilityVersion √ √ √ Administration Commands renameCollection √ √ √ Administration Commands dropDatabase √ √ √ Administration Commands listCollections √ √ √ Administration Commands drop √ √ √ Administration Commands create √ √ √ Administration Commands clone x x x 系统内部命令。 Administration Commands cloneCollection √ √ √ Administration Commands cloneCollectionAsCapped √ √ √ Administration Commands convertToCapped √ √ √ Administration Commands filemd5 √ √ √ Administration Commands createIndexes √ √ √ Administration Commands listIndexes √ √ √ Administration Commands dropIndexes √ √ √ Administration Commands fsync √ √ √ Administration Commands clean x x x 系统内部命令。 Administration Commands connPoolSync x x x 系统内部命令。 Administration Commands connectionStatus √ √ √ Administration Commands compact x x x 高危命令。 Administration Commands collMod √ √ √ Administration Commands reIndex √ √ √ Administration Commands setParameter x x x 系统配置命令。 Administration Commands getParameter √ √ √ Administration Commands repairDatabase x x x 高危命令。 Administration Commands repairCursor x x x 系统内部命令。 Administration Commands touch √ √ √ Administration Commands shutdown x x x 高危命令。 Administration Commands logRotate x x x 高危命令。 Administration Commands killOp √ √ √ Administration Commands releaseFreeMemory √ √ √ Diagnostic Commands availableQueryOptions √ √ √ Diagnostic Commands buildInfo √ √ √ Diagnostic Commands collStats √ √ √ Diagnostic Commands connPoolStats x x x 系统内部命令。 Diagnostic Commands cursorInfo x x x 系统内部命令。 Diagnostic Commands dataSize √ √ √ Diagnostic Commands dbHash x x x 系统内部命令。 Diagnostic Commands dbStats √ √ √ Diagnostic Commands diagLogging x x x 系统内部命令。 Diagnostic Commands driverOIDTest x x x 系统内部命令。 Diagnostic Commands explain √ √ √ Diagnostic Commands features √ √ √ Diagnostic Commands getCmdLineOpts x x x 系统内部命令。 Diagnostic Commands getLog x x x 系统内部命令。 Diagnostic Commands hostInfo x x x 系统内部命令。 Diagnostic Commands isSelf x x x 系统内部命令。 Diagnostic Commands listCommands √ √ √ Diagnostic Commands listDatabases √ √ √ Diagnostic Commands netstat x x x 系统内部命令。 Diagnostic Commands ping √ √ √ Diagnostic Commands profile √ √ √ Diagnostic Commands serverStatus √ √ √ Diagnostic Commands shardConnPoolStats x x x 系统内部命令。 Diagnostic Commands top √ √ √ Diagnostic Commands validate x x x 系统配置命令。 Diagnostic Commands whatsmyuri √ √ √ Internal Commands handshake x x x 系统内部命令。 Internal Commands recvChunkAbort x x x 系统内部命令。 Internal Commands recvChunkCommit x x x 系统内部命令。 Internal Commands recvChunkStart x x x 系统内部命令。 Internal Commands recvChunkStatus x x x 系统内部命令。 Internal Commands replSetFresh x x x 系统内部命令。 Internal Commands mapreduce.shardedfinish x x x 系统内部命令。 Internal Commands transferMods x x x 系统内部命令。 Internal Commands replSetHeartbeat x x x 系统内部命令。 Internal Commands replSetGetRBID x x x 系统内部命令。 Internal Commands migrateClone x x x 系统内部命令。 Internal Commands replSetElect x x x 系统内部命令。 Internal Commands writeBacksQueued x x x 系统内部命令。 Internal Commands writebacklisten x x x 系统内部命令。 System Events Auditing Commands logApplicationMessage x x x 系统内部命令。

本节介绍创建池化云电脑的操作说明。 操作场景 AI云电脑支持共享使用，对无专属数据要求的使用场景，如学校电教室、呼叫中心等用户，可使用池化桌面满足共享资源需求。 可以使用资源包中的资源开通池化桌面，您可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。 池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 池化桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.在池化桌面管理页面，点击“创建桌面池”； 4.填写池化桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择桌面开通数量； 注意：池化桌面与用户数量比例为1:3。 8.选择AI云电脑的“镜像类型”； 9.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 10.根据需求选择池化桌面的断连设置、关机还原策略； 11.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 12.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 13.确认相关的配置信息，点击“开通桌面”，即完成池化桌面开通。

工作负载的DNS配置介绍 Kubernetes集群内置DNS插件KubeDNS/CoreDNS，为集群内的工作负载提供域名解析服务。业务在高并发调用场景下，如果使用到域名解析服务，可能会触及到KubeDNS/CoreDNS的性能瓶颈，导致DNS请求概率失败，影响用户业务正常运行。在Kubernetes使用的过程中，在有些场景下工作负载的域名解析存在冗余的DNS查询，使得高并发场景更容易触及DNS的性能瓶颈。根据业务使用场景，对工作负载的DNS配置进行优化，能够在一定程度上减少DNS请求概率失败的问题。 更多DNS相关信息请参见CoreDNS（系统资源插件，必装）或通过kubectl配置kubedns/CoreDNS高可用。 Linux 系统域名解析文件配置项的介绍 在Linux系统的节点或者容器里执行cat /etc/resolv.conf命令，能够查看到DNS配置，以Kubernetes集群的容器DNS配置为例： nameserver 10.247.x.x search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 配置项说明： nameserver：容器解析域名时查询的DNS服务器的IP地址列表。如果设置为10.247.x.x说明DNS对接到KubeDNS/CoreDNS，如果是其他IP地址，则表示采用DNS或者用户自建的DNS。 search：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。对于CCE集群来说，容器的搜索域列表配置3个域，当解析一个不存在的域名时，会产生8次DNS查询，因为对于每个域名需要查询两次，分别是IPv4和IPv6。 options：定义域名解析配置文件的其他选项，常见的有timeout、attempts和ndots等等。Kubernetes集群容器的域名解析文件设置为options ndots:5，该参数的含义是当域名的“.”个数小于ndots的值，会先把域名与search搜索域列表进行组合后进行DNS查询，如果均没有被正确解析，再以域名本身去进行DNS查询。当域名的“.”个数大于或者等于ndots的值，会先对域名本身进行DNS查询，如果没有被正确解析，再把域名与search搜索域列表依次进行组合后进行DNS查询。如查询www.ctyun.cn域名时，由于该域名的“.”个数为2，小于ndots的值，所以DNS查询请求的顺序依次为：www.ctyun.cn.default.svc.cluster.local、www.ctyun.cn.svc.cluster.local、 www.ctyun.cn.cluster.local和www.ctyun.cn，需要发起至少7次DNS查询请求才能解析出该域名的IP。可以看出，这种配置在访问外部域名时，存在大量冗余的DNS查询，存在优化点。 说明：完整的Linux域名解析文件配置项说明可以参考文档： Kubernetes 集群应用的DNS 相关配置项介绍 前面已经分析过，应用在某些场景下会出现冗余的DNS查询。Kubernetes为应用提供了与DNS相关的配置选项，通过对应用进行DNS配置，能够在某些场景下有效地减少冗余的DNS查询，提升业务并发量。目前应用配置中与DNS相关的字段有dnsPolicy 和dnsConfig。 dnsPolicy 字段说明： dnsPolicy字段是应用设置的DNS策略，默认值为“ClusterFirst”。基于dnsPolicy策略生成的域名解析文件会与dnsConfig设置的DNS参数进行合并，合并规则将在“dnsConfig字段说明”中说明，dnsPolicy当前支持四种参数值： − ClusterFirst：应用对接KubeDNS/CoreDNS（CCE集群的KubeDNS/CoreDNS默认级联DNS）。这种场景下，容器既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。由于该配置下，域名解析文件设置了search搜索域列表和ndots: 5，因此当访问外部域名和集群内部长域名（如kubernetes.default.svc.cluster.local）时，大部分域名都会优先遍历search搜索域列表，导致至少有6次无效的DNS查询，只有访问集群内部短域名（如kubernetes）时，才不存在无效的DNS查询。 − ClusterFirstWithHostNet：对于配置主机网络的应用，默认配置kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS）。当dnsPolicy设置为“ClusterFirstWithHostNet”时，应用对接KubeDNS/CoreDNS。该配置下，容器的域名解析文件与“ClusterFirst”一致，也存在无效的DNS查询。 − Default：容器的域名解析文件使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS），没有配置search搜索域列表和options。该配置只能解析注册到互联网上的外部域名，无法解析集群内部域名，且不存在无效的DNS查询。 − None：Kubernetes v1.9（Beta in v1.10）中引入的新选项值。设置为None之后，必须设置dnsConfig，此时容器的域名解析文件将完全通过dnsConfig的配置来生成。 dnsConfig 字段说明： dnsConfig为应用设置DNS参数，设置的参数将合并到基于dnsPolicy策略生成的域名解析文件中。当dnsPolicy为“None”，应用的域名解析文件完全由dnsConfig指定；当dnsPolicy不为“None”时，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 − nameservers：DNS的IP地址列表。当应用的dnsPolicy设置为“None”时，列表必须至少包含一个IP地址，否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中，并删除重复的地址。 − searches：域名查询时的DNS搜索域列表，此属性是可选的。指定后，提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中，并删除重复的域名。Kubernetes最多允许6个搜索域。 − options：DNS的配置选项，其中每个对象可以具有name属性（必需）和value属性（可选）。该字段中的内容将合并到基于dnsPolicy生成的域名解析文件的options字段中，dnsConfig的options的某些选项如果与基于dnsPolicy生成的域名解析文件的选项冲突，则会被dnsConfig所覆盖。 工作负载的DNS配置实践 前面介绍了Linux系统域名解析文件以及Kubernetes为应用提供的DNS相关配置项，下面将举例介绍应用如何进行DNS配置。 场景1 对接kubernetes 内置的KubeDNS/CoreDNS 场景说明： 这种方式适用于应用中的域名解析只涉及集群内部域名，或者集群内部域名+外部域名两种方式，应用默认采用这种配置。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: ClusterFirst 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景2 直接对接DNS 场景说明： 这种方式适用于应用只访问注册到互联网的外部域名，该场景不能解析集群内部域名。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: Default //使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS） 该配置下容器的域名解析文件将如下所示： nameserver 10.125.x.x 场景3 主机网络模式的应用对接KubeDNS/CoreDNS 场景说明： 对于配置主机网络模式的应用，默认对接DNS，如果应用需要对接KubeDNS/CoreDNS，需将dnsPolicy设置为“ClusterFirstWithHostNet”。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: template: metadata: labels: app: nginx spec: hostNetwork: true dnsPolicy: ClusterFirstWithHostNet containers: name: nginx image: nginx:1.7.9 ports: containerPort: 80 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景4 自定义应用的域名配置 场景说明： 用户可以完全自定义配置应用的域名解析文件，这种方式非常灵活，dnsPolicy和dnsConfig配合使用，几乎能够满足所有使用场景，如对接用户自建DNS的场景、串联多个DNS的场景以及优化DNS配置选项的场景等等。 示例1 ：对接用户自建DNS 该配置下，dnsPolicy为“None”，应用的域名解析文件完全根据dnsConfig配置生成。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "None" dnsConfig: nameservers: 10.2.3.4 //用户自建DNS 的IP 地址 searches: ns1.svc.cluster.local my.dns.search.suffix options: name: ndots value: "2" name: timeout value: "3" 该配置下容器的域名解析文件将如下所示： nameserver 10.2.3.4 search ns1.svc.cluster.local my.dns.search.suffix options timeout:3 ndots:2 示例2 ：修改域名解析文件的ndots 选项，减少无效的DNS 查询 该配置下，dnsPolicy不为“None”，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "ClusterFirst" dnsConfig: options: name: ndots value: "2" //该配置会将基于ClusterFirst 策略生成的域名解析文件的ndots:5 参数改写为ndots:2 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:2

生命周期管理是指通过配置指定的规则,定期删除桶中的对象或改变对象的存储类别。本文介绍生命周期的使用场景、基本规则和使用方式。 使用场景 生命周期管理可应用于以下典型场景： 定期上传的日志文件可能只需要保留一周或一个月。当它们过期时删除它们。 一些文档在一段时间内被频繁访问，但是在一段时间后可能不再被访问。这些文档需要转换为低频存储、归档存储或在一定时间后删除。 出于存档目的上传到对象存储（简称ZOS）的一些数据类型包括数字媒体存档、财务和医疗记录、原始基因组序列数据、长期数据库备份以及为满足监管要求而必须保留的数据。 一次性删除桶中的大量文件。手动删除对象费时费力，而且有数量限制。在桶中配置一个生命周期管理规则，设置为定期删除所有文件。 对于上述场景中的对象，可以定义标识这些对象的生命周期管理规则，通过这些规则实现对象的生命周期管理。 注意 最多可配置1000条生命周期管理规则，超过1000条则不支持。 低频访问存储的最低存储时间为30天，归档存储的最低存储时间为90天。如果低频的对象转换存储类型后，低频类型的存储时间少于最低存储时间，需要补足剩余天数的存储费用。 对象存储类别转换限制： 支持将标准存储对象转换为低频或归档存储对象，低频或归档存储对象转换为标准存储对象需手动转换。 支持将标准存储或低频访问存储对象转换为归档存储对象。如果要将归档存储对象转换为标准存储或低频访问存储对象，需要手动恢复对象，然后手动转换存储类别。 归档类型不支持多AZ，因此无法使用生命周期规则将多 AZ 存储桶中文件的存储类型转换为归档存储。

批量导入资产访问授权规则 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3. 单击“导入”，在弹出的对话框中下载导入模板。 4. 打开模板，配置相关内容。 参数 参数说明 取值样例 基本信息 授权规则名 自定义资产访问授权的规则名称。 Test 基本信息 启用状态 选择授权规则创建完成后的启用状态，可选择“启用”或“禁用”。 启用 登录名 登录名 （可选）填写需要配置访问授权的用户名，用户名请保持和系统中添加用户名保持一致。 登录名 用户组 （可选）填写需要配置访问授权的用户组，用户组请保持和系统中添加用户组名保持一致。 若您填写的用户和用户组存在重合部分，取两者最大的合集。 资产 资产 （可选）填写需要配置访问授权的资产，资产名称请保持和系统中添加的资产名保持一致。 资产 资产组 （可选）填写需要配置访问授权的资产，资产组名称请保持和系统中添加的资产名保持一致。 若您填写的资产和资产组存在重合，默认取最大的合集。 账号 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 root 协议 协议 选择该授权规则支持访问的协议，协议可填写：SSH、TELNET、SFTP、FTP、X11、RDP、数据库、VNC。 SSH 授权时间 授权生效日期 选择规则生效的日期，日期填写格式为yyyy/mm/dd。 20231001 授权时间 授权失效日期 选择规则失效的日期，日期填写格式为yyyy/mm/dd。 20241001 授权时间 授权生效时间 填写规则生效的时间段，时间段填写格式为00:00:00。 9:00:00 授权时间 授权失效时间 填写规则失效的时间段，时间段填写格式为00:00:00。 18:00:00 5. 填写完成后，保存文件并上传。

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

使用场景 常用场景 1 ：当资源争抢时，需留足资源给优先级高的接口 为了确保提交的数据不丢失，我们将数据库读写分离，并给写库分配了更高的优先级。对于读取数据的请求，如果过于频繁，会对写入操作进行限流。 在新建流控防护规则对话框中配置以下规则信息： 1. 统计维度选择关联接口。 2. 流控效果选择快速失败。 3. 关联接口阈值为10。 当写库操作的QPS超过10之后，读库操作会被限流以保证留足资源给写库操作，避免写库操作数据丢失。 常用场景 2 ：预热启动避免大流量冲击 采用流量控制的方法，在流量入口处进行控制，以缓慢增加的方式让流量通过，在一定时间内达到阈值上限，以便系统能够预热。这种方法最适合应对突发流量的场景。 在新建流控防护规则对话框中配置以下规则信息： 1. 统计维度选择链路入口。 2. 流控效果选择预热启动。 3. 单机QPS阈值为90。 4. 预热时间为10s。 预热流控方式下，默认会从设置的QPS阈值的1/3开始慢慢往上增加至QPS设置值。本示例中，当入口的QPS超过30（即90÷3）时，会在预热的10s内缓慢增长至90。 常用场景 3 ：削峰填谷，使流量匀速通过 请求流量具有波峰波谷的特点，流量管理的原理是将前期的高峰流量延迟到后期再处理，以最大化满足所有请求，并保证用户体验。 在新建流控防护规则对话框中配置以下规则信息： 1. 统计维度选择当前接口。 2. 流控效果选择排队等待。 3. 配置匀速模式下请求单机QPS阈值为5。 4. 等待时长为5s。

本文为您介绍已过期备份集的相关功能。 已过期备份集页面支持汇总所有通过备份规则或备份集复制等产生的过期备份集信息，且支持过期备份集多条件组合搜素，方便对过期备份集进行统一的管理。 1. 已过期备份集列表说明如下： 备份ID：显示该备份集对应的备份ID。 客户端：显示该备份集对应的客户端。 实例名：显示该备份集对应的实例名字，一般仅数据库才显示。 对象：当前版本显示为空，作为后续数据源备份集管理预留字段使用。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集何时过期（备份时间+保留时间） 状态：显示当前备份集的状态。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量，当副本数>1时，为超链接形式，可以点击查看该备份集的所有副本。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 存储单元：显示该备份集备份时的目标存储单元。 规则类型：显示该备份集对应的规则类型。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码。 备份集清理次数：显示备份集过期清理的次数。 2. 操作列说明如下： 查看：查看备份集详细信息。 3. 操作栏说明如下： 导出：导出备份集过期任务。 删除：删除备份集过期任务。 刷新：刷新当页备份集过期任务。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅企业版云堡垒机支持自动运维功能。 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能。 用户自动化运维可执行的命令和脚本受到命令权限的限制。 新建自动运维策略 1. 使用“管理角色”或“运维角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3. 单击“新增”，开始新增自动运维策略。 4. 在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略。 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式。 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5. 单击“确认”，弹出“验证用户身份”窗口。 6. 在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

集群网络选择 云容器引擎支持calico IPIP隧道网络和cubecni VPC网络。不同网络插件存在性能和功能差异，请根据业务需求合理选择，详见集群网络概述。 VPC选择：由于VPC间相互隔离，如果容器应用需访问RDS数据库等云服务实例，建议把这些云服务实例创建在同一VPC。对于已创建好处于不同VPC的云服务实例，可以通过对等连接配置两VPC互通。 容器网段选择：容器网络网段大小直接影响可创建的节点和Pod数，所以不能设置太小。使用calico IPIP隧道网络的集群，如果容器网段掩码是/16，这有256256个地址，默认情况下每个节点从容器网段一次分配的IP网段为24，此时可创建节点数为256。使用cubecni VPC网络的集群，容器网段为VPC子网，容器网段被节点共享，每个节点会预申请10个子网IP。容器网段大小与节点数无直接关系，但影响可创建Pod数。若子网掩码是/19，则有8192个子网地址供Pod使用。 服务网段选择：服务网段决定集群中Service数上限，请根据实际需求配置Service网段。由于Service网段创建后无法修改，请勿设置过小的Service网段。 详见集群网络地址段规划实践。 服务转发模式 Kubernetes集群的kubeproxy组件，负责Service与后端Pod间的负载均衡转发，该组件有两种服务转发模式： 1. iptables：适用于Service数量较少或客户端会出现大量并发短连接场景。当Service数超过1000时，iptables模式可能引入部分网络延迟； 2. IPVS：相比iptables模式，其吞吐更高速度更快，适用于集群规模较大或Service数较多的场景。

本文介绍了：云容器引擎发布Kubernetes 1.31版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.31 版本Changelog 1. StatefulSet 起始序号（GA），允许用户自定义 Pod 的起始序号（默认从 0 开始），例如设置为 100，适用于需要固定编号或特定顺序的应用场景（如分布式数据库）。 2. 弹性索引 Job（GA），支持在索引 Job 创建后动态调整 .spec.completions 和 .spec.parallelism 字段，实现任务弹性伸缩，无需重新创建 Job。 3. Pod 失效策略（GA），可根据 Pod 失效原因（如被抢占、节点删除、kubelet 终止等）分别配置处理逻辑（重试或忽略），避免不必要的 Pod 重启，降低运行成本。 4. Pod 干扰状况（GA），在 Pod 的 Condition 中新增 DisruptionTarget 类型，明确标记 Pod 失效原因（如被高优先级 Pod 抢占），结合 Job 的失效策略实现更精细的任务管理。 5. Job成功策略（Beta），JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 6. 持久卷回收策略（Beta），确保 PV 的回收策略（如 Delete）在 PVC 删除后仍被强制执行，通过添加 Finalizer 防止存储资源泄漏，即使 PV 和 PVC 的删除顺序混乱也能保证一致性。 7. ServiceAccountTokenNodeBinding（Beta），创建绑定到特定节点的 Token，包含节点信息声明，并在 Token 使用时验证节点存在性。若节点被删除，Token 自动失效，降低凭证泄露风险。 8. 容器重启优化，当 Pod 配置变更但镜像未更新时，kubelet 不再强制重启容器，避免因非关键配置更新导致的不必要中断。 9. OCI 镜像卷（Alpha），允许将 OCI 镜像直接挂载为卷，简化 AI/ML 工作负载中模型和数据的访问，例如通过更换镜像快速更新模型权重。 更多信息请参考：Kubernetes 1.31 Changelog

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本文为您介绍脚本编写最佳实践。 概述 多活容灾服务支持使用 Shell 与 Python2 脚本语言。您可以在数据库或非天翼云云主机上执行这些脚本。 脚本管理提供多种创建方式： 上传本地脚本：直接上传您已有的脚本文件。 手工录入：在平台提供的编辑器中直接编写脚本内容。 克隆现有脚本：基于一个已有脚本快速复制并修改。 脚本功能强大，支持以下高级特性： 定义脚本参数：通过参数化提升脚本的灵活性。 使用系统环境变量：内置平台提供的环境变量。 设计输入与输出：明确脚本的请求参数与返回结果。 设置成功标准：根据返回参数自定义脚本执行成功的判定条件。 使用介绍 一、脚本参数说明 通过定义脚本参数，可以极大增强脚本的灵活性和复用性。单个脚本可作为模板，通过为不同资源配置不同的参数值，轻松适配多种场景，无需重复编写。 脚本参数包含两种类型： 1. 此类参数由多活容灾平台预定义，例如 HostIP、HostPort、HostUser、DBIP 等（共12个）。脚本执行时，平台会自动获取 指定资源的对应信息并注入环境变量，无需用户手动设置。 说明 查看方法：目前支持HostIP、HostPort、HostUser、HostPwd、HostAuthKeyPath、HostOtherUser、HostOtherPwd、DBIP、DBPort、DBName、DBName、DBPwd。具体适用对象和备注等内容可通过左侧菜单栏的“系统环境变量”查看。 2. 用户可根据脚本逻辑自定义所需的参数，每个参数需配置参数名 、参数类型 和参数Key。 参数名：仅为便于管理界面识别和填写，不会在脚本执行过程中出现。 参数Key：脚本执行时实际使用的变量名。 用户自定义参数分为两种用途： 请求参数：作为脚本的输入，在执行前由用户配置具体值，用于初始化脚本中的变量。 返回参数：作为脚本的输出结果，平台将捕获此参数的值，并用于判断脚本执行是否达到用户定义的成功标准。

本文主要介绍日志收集系统Flume接入Kafka。 最佳实践概述 场景描述 使用Flume+Kafka来完成实时流式日志处理，后面再连接上Storm/Spark Streaming等流式实时处理技术，从而完成日志实时解析的目标。如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，可以把它理解为一个数据库，可以存放一段时间的数据。 因此数据从数据源（ HTTP、Log 文件、JMS、监听端口数据等）到flume再到Kafka进行消息缓存，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。 技术架构图 暂无。 方案优势 把数据存储到 HDFS 或者 HBase 等下游存储模块或者计算模块时需要考虑各种复杂的场景，例如并发写入的量以及系统承载压力、网络延迟等问题。Flume 作为灵活的分布式系统具有多种接口，同时提供可定制化的管道。在生产处理环节中，当生产与处理速度不一致时，Kafka 可以充当缓存角色。Kafka 拥有 partition 结构以及采用 append 追加数据，使 Kafka 具有优秀的吞吐能力；同时其拥有 replication 结构，使 Kafka 具有很高的容错性。所以将 Flume 和 Kafka 结合起来，可以满足生产环境中绝大多数要求。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 确认准备 Apache Flume环境（1.6.0以上版本兼容 Kafka）。 确认 Kafka 的 Source、 Sink 组件已经在 Flume 中。 资源规划 本实践方案内容仅涉及Kafka专享版实例。 分布式消息服务 Figure 1 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 方案正文