本节定义了SQL Server支持的上报云监控的监控指标列表。 实例监控指标 类别 监控项 指标Key 指标含义 取值范围 资源监控 实例CPU使用率 CPURATE 实例的CPU使用率（含操作系统占用） 0～100% 资源监控 磁盘使用率 DISKRATE 磁盘已使用容量/磁盘总容量 0～100% 资源监控 内存使用率 MEMORYRATE 实例的内存使用率 0～100% 资源监控 磁盘读IOPS DISKIOREAD 每秒从磁盘读取操作次数 ≥0 counts/s 资源监控 磁盘写IOPS DISKIOWRITE 每秒从磁盘写入操作的次数 ≥0 counts/s 资源监控 磁盘队列长度 DISKREQUESTSQUEUED 磁盘请求队列的平均长度 ≥0 资源监控 磁盘读吞吐量 DISKREADTHROUGHPUT 每秒从磁盘读取的字节数 ≥0 byte/s 资源监控 磁盘写吞吐量 DISKWRITETHROUGHPUT 每秒写入磁盘的字节数 ≥0 byte/s 资源监控 磁盘总量 DISKSIZEBYTES 磁盘总字节数 说明 此项仅支持通过API接口查询，控制台可在实例详情页查看存储空间大小。 ≥0 byte 资源监控 磁盘使用量 DISKUSEBYTES 磁盘使用字节数 ≥ 0 byte 资源监控 实例平均每秒钟的流入流量/流出流量 mssqlwriteseconds/mssqlreadseconds 实每秒钟的输入流量/输出流量 ≥0 kb/s 资源监控 当前总连接数 mssqlconnections 实例当前总连接数 ≥0 counts 引擎监控 平均每秒事务数 mssqltransactions 统计每秒钟事务处理数 ≥0 counts/s 引擎监控 平均每秒SQL语句执行次数 mssqlbatchrequests 统计每秒钟SQL语句执行次数缓存池的读命中率 ≥0 counts/s 引擎监控 缓存命中率 mssqlbufferhitratio 统计缓存池的读命中率 0～100% 引擎监控 每秒写入page数 mssqlpagecheckpointseconds 统计检查点写入的速度 ≥0 counts/s 引擎监控 每秒登录次数 mssqlloginseconds 统计每秒登录次数 ≥0 counts/s 引擎监控 平均每秒全表扫描次数 mssqlfullscanseconds 统计平均每秒全表扫描次数 ≥0 counts/s 引擎监控 每秒SQL编译 mssqlsqlcompilationseconds 统计每秒SQL编译次数 ≥0 counts/s 引擎监控 每秒锁超时次数 mssqllocktimeoutseconds 统计每秒锁超时次数 ≥0 counts/s 引擎监控 每秒死锁次数 mssqldeadlockseconds 统计每秒死锁次数 ≥0 counts/s 引擎监控 每秒锁等待次数 mssqllockwaitseconds 统计每秒锁等待次数 ≥0 counts/s 引擎监控 工作线程使用率 mssqlworkerthreadsusagerate 当前活跃线程数与maxworkerscount的比值 0～100% 引擎监控 数据同步延迟 mssqlreplicationdelay 主备实例复制延迟，由于SQL Server实例复制延迟都是库级别，每个库各自都在做同步，所以实例级别复制延迟为复制延迟最大的库的值，单机不涉及 ≥0 s 引擎监控 平均每秒batch数 mssqlbatchpersec 统计每秒收到的TransactSQL命令批次 ≥0 counts/s 引擎监控 每秒登出次数 mssqllogoutspersec 统计每秒启动的注销操作总数 ≥0 counts/s 引擎监控 平均每秒SQL重编译数 mssqlrecompilationspersec 统计每秒重新编译的次数 ≥0 counts/s 引擎监控 每秒用户错误数 mssqlusererrorspersec 统计每秒用户错误数 ≥0 counts/s 引擎监控 每秒闩锁等待数 mssqllatchwaitspersec 统计每秒未能立即授予的闩锁请求数 ≥0 counts/s 引擎监控 每秒锁请求次数 mssqllockrequestspersec 统计锁管理每秒请求的新锁和锁转换次数 ≥0 counts/s 引擎监控 平均锁等待延迟 mssqlavglockwaittime 统计每个导致等待的锁请求的平均等待时间（毫秒） ≥0 ms 引擎监控 待内存授权进程数 mssqlmemorygrantspending 统计等待接受内存授权的进程总数，指示内存压力 ≥0 counts 引擎监控 每秒惰性写入缓存数 mssqllazywritespersec 统计每秒被惰性编辑器（Lazy writes）写入的缓冲数 ≥0 counts/s 引擎监控 无引用页缓冲池停留时间 mssqlpagelifeexpectancy 统计页面不被引用后，在缓冲池中停留的秒数 ≥0 s 引擎监控 每秒页读取次数 mssqlpagereadspersec 统计每秒读取页的个数 ≥0 counts/s 引擎监控 临时表空间大小 mssqltempdbdisksize 当前临时表空间占用磁盘大小 ≥0 MB

本文提供SQL Server中文乱码的常见原因和解决方案。 在实际生产和使用SQL Server中，常常会用到中文的情况。但是，有时候会出现中文乱码的情况，本文提供中文乱码的两种常见原因和解决思路。 安装设置问题 安装SQL Server实例时，系统默认选择的是排序规则是拉丁文的排序规则，极容易造成使用过程中出现乱码。 解决方案就是在安装实例时不使用默认值、选择ChinesePRCCSAIWS。 业务连接问题 在 一些客户业务使用SQL Server中，连接设置的字符集也会影响到中文显示问题。以Python为例，SQL Server中涉及到中文的缺省字符集是CP936，因此需要将charset设置为CP936，从而解决中文乱码问题。 import pymssql conn pymssql.connect(server"xxx",user"xxx",password"xxx",database"xxx",charset'cp936')

本文主要介绍SQL Server产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用SQL Server产品API的详细介绍，请参见OpenAPI门户。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

本文介绍SQL Server找不到实例的原因。 如果您无法在SQL Server控制台上看到您所订购的实例，可能有如下两点原因。 原因 解决办法 未选择正确的资源池 需要切换至正确的资源池。 实例未完成开通 极端情况下会存在着底层资源不足、开通缓慢的情况，此时需要您耐心等待即可。

本文介绍SQL Server关于资源池和可用区的概念，以及相关的常见问题。 资源池和可用区的介绍 资源池是指天翼云存放数据的地理区域，如华东、山东、湖南等资源池。 可用区是指同一资源池内进一步地划分，网络和电力相互独立的物理区域。 同一资源池不同可用区的实例是否互通？ 相同资源池的不同可用区是可以通过内网地址互通的。 可以修改实例的资源池或者可用区吗？ 实例的资源池和可用区是不可以修改的，请在订购实例时选择正确、符号需求的资源池和可用区。

本节主要介绍了SQL Server一些常用的函数，供用户在生产和实践中使用。 聚合函数 聚合函数是指对一组值计算，并返回单个值的计算结果。 除了 COUNT() 外，聚合函数都会忽略 Null 值。 聚合函数通常与 SELECT 语句的 GROUP BY 子句一起使用。 所有聚合函数均为确定性函数。 换言之，每次使用一组特定的输入值调用聚合函数时，它们所返回的值都是相同的。 APPROXCOUNTDISTINCT APPROXCOUNTDISTINCT( expression ) 计算组中每行的表达式，并返回组中唯一非空值的近似数。 此函数旨在跨响应速度比绝对精度更为关键的大型数据集进行聚合。 使用 APPROXCOUNTDISTINCT 此示例返回学生表中不同主键的近似数。 SELECT APPROXCOUNTDISTINCT(TestKey) AS result FROM db1.students; 下面是结果集： result 12456 结合使用 APPROXCOUNTDISTINCT 和 GROUP BY 此示例返回学生表中不同主键的近似数。 SELECT AGE, APPROXCOUNTDISTINCT(OOrderKey) AS Result FROM db1.students GROUP BY AGE ORDER BY AGE; 下面是结果集。 AGE Result 11 7397838 12 7387803 13 388036 CHECKSUMAGG CHECKSUMAGG ( [ ALL DISTINCT ] expression ) 函数返回组中各值的校验和。 CHECKSUMAGG 将忽略 null 值。 参数 介绍 ALL 向所有值应用此聚合函数。 ALL 为默认参数。 DISTINCT 指定 CHECKSUMAGG 返回唯一值的校验和。 expression 整数表达式。 分析函数 分析函数基于一组行计算聚合值。 但是，与聚合函数不同，分析函数可能针对每个组返回多行。 可以使用分析函数来计算移动平均线、运行总计、百分比或一个组内的前 N 个结果。

本文介绍如何通过SQL命令设置SQL Server实例的参数。 注意事项 通过SQL命令修改参数值时，请务必在参数值的合理范围内进行修改。 部分参数修改需要重启生效，通过SQL命令修改后请主动通过控制台重启实例。 通过SQL命令修改参数值后，该参数值修改不会体现在SQL Server控制台参数修改历史页面，且不会更新到实例参数页面，因此建议尽量通过控制台修改参数。 请提前安装SQL Server客户端。如果实例未绑定公网IP，请确保客户端所在主机能和实例处于同一个VPC下，保证客户端主机网络能连通实例。SQL Server客户端推荐使用官方SQL Server Management Studio，具体安装方法请参考SQL Server官网。 操作方法 1. 通过SQL Server客户端连接SQL Server实例。 2. 通过存储过程spconfigure进行修改。SQL命令如下： sql 查询有哪些参数 USE master GO SELECT FROM sys.configurations [WHERE NAME '具体参数名'] GO 修改参数, 比如修改max degree of parallelism spconfigure 'max degree of parallelism', 0 GO RECONFIGURE GO

本文主要介绍SQL Server实例备份服务的价格。 天翼云SQL Server提供了备份服务，其价格如下表： 产品名称 标准价格(元/GB /月） 按需(元/GB/小时） 普通IO 0.30 0.0005 高IO 0.40 0.0009 超高IO 1.20 0.0017 对象存储 不支持包月 0.000139 对象存储流量 不支持包月 功能公测阶段，对象存储流量免费。 注意 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5折优惠。 云硬盘的备份类型不享受免费额度，因此备份类型更推荐选择对象存储。 说明 目前对象存储的备份类型赠送和开通的存储空间同等大小的免费额度，在免费额度内的备份将不收取任何费用。超出免费额度外的备份将按照对象存储收费标准进行收费，每小时的备份费用 ( 备份总大小 免费备份额度 ) x 备份单价。 举例：如用户开通包周期2个月，存储空间100G的实例，那么在两个月内，备份空间不超过100G，则不会收取额外的备份费用。但如果备份超过100G，总备份为150G，则超出的50G按照0.00139元/GB/小时来收取费用。 此外用户的备份文件会根据备份策略进行保留，备份策略保留周期内的备份文件占用的对象存储容量按照以上规则进行收费。

本文介绍SQL Server的备份方案概览。 场景 功能 相关操作 备份方案 备份方案 备份方案 备份 设置自动备份策略 设置自动备份策略 备份 创建手动备份 创建手动备份 备份 删除手动备份 删除手动备份 备份 下载备份 下载备份 备份 跨域备份 跨域备份 费用 备份费用 备份费用

本文主要介绍如何创建子账号，并对子账号设置系统策略，从而使用子账号开通实例，使用SQL Server控制台。 创建子账户并使用 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。创建子账户的步骤如下： 操作步骤 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择【我的】，点击【账号中心】，进入个人中心界面。 2. 在左侧导航栏点击【统一身份认证】，进入统一认证服务IAM。 3. 在左侧导航栏点击【用户】页签，点击右上角【创建用户】。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角【下一步】。 5. 如无用户组请先创建用户组，如有可点击【添加】，添加进该用户组之后，会自动显示在右侧【已选用户组】窗口。如后续从用户组删除该用户，可点击【移除】。admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自行创建的用户组。 6. 加入用户组后，点击右下角【下一步】，将会显示创建成功。点击【返回用户列表】，可以看到创建的子账户。 7. 选择左侧导航栏【企业项目】页签，可以看到默认的企业项目，您也可以点击右上角【创建企业项目】按钮新创建一个企业项目。点击右侧的【查看用户组】可进行查看和设置企业项目下的用户组。 8. 点击【设置用户组】，并选择可选的用户组，点击右箭头移动至右侧窗口，并点击【确定】。点击【移除】按钮可将用户组从企业项目中移除。如果您在上一步骤中创建了新的企业项目，也需要进行该步骤设置用户组。 9. 在新添加的用户组右侧选择【设置策略】，可以搜索SQL Server相关的策略，勾选策略，点击右移箭头移动至右侧窗口，并点击【确定】。确认后会提示操作成功，该步骤是为用户组的用户设置策略。 10. 退出当前账号，并使用步骤4中创建的子账号和密码登录，选择相应资源池和企业项目，您可看到主账户创建的资源。 11. 您也可以利用子账户创建开通实例。

本文主要介绍SQL Server实例的状态，以及所对应的可执行的操作。 SQL Server实例的状态和对应可进行的操作如下表： 运行状态 可执行操作 创建中 正在创建实例，不支持对实例执行任何操作。 运行中 实例正常可用，可以执行所有操作。 重启中 实例重启中支持查看实例管理和监控页面，以及退订实例，不支持执行其他操作。 退订中 正在退订实例，不支持对实例执行任何操作。 升配中 正在对实例进行升配，不支持对实例执行任何操作。 已暂停 支持续订和查看实例监控。 异常 支持查看实例监控。

本文提供SQL Server续订的相关指引和说明。 续订限制说明 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 续订操作 当产品实例到达到期时间，则会暂停相应的服务。可以通过续订操作延后实例的到期时间。 1. 实例列表中选择要续订的实例，在【更多】中选择的【续订】按钮。 2. 选择续订的时长，并完成订单支付。

产品规格 存储类型 标准价格(元/G/月） 标准价格(元/G/小时） 单机实例/只读实例 高IO 0.4000 0.0009 单机实例/只读实例 超高IO 1.2000 0.0017 单机实例/只读实例 极速型SSD 2.0000 0.0042 主备实例 高IO 0.7000 0.0015 主备实例 超高IO 2.0000 0.0028 主备实例 极速型SSD 3.2000 0.0068

本文主要介绍SQL Server服务到期与欠费说明。 服务到期 ● “包年/包月”实例到期后无法在SqlServer管理控制台进行该实例的操作，相关接口也无法调用，自动化监控或告警等运维也会停止。“包年/包月”实例的到期时间以实际订购为准，如客户资源2020年9月30号订购，订购1个月，那么资源服务开始时间为9月30号，到期时间为10月30号。 ● “按需计费”实例没有服务到期的概念。 欠费 ● “包年/包月”实例，没有欠费的概念。 ● “按需计费”实例是按每小时扣费，当余额不足，无法支付上一个小时的费用时，就会导致实例有停机风险。您续费后解冻实例，可继续正常使用。

本节介绍全流量分析服务接入流程。 托管检测与响应服务团队通过全流量分析服务，对接入托管检测与响应服务的云主机流量进行全面分析，发现病毒木马、APT攻击等。 服务阶段 实施内容 购买阶段 请您根据实际需求及服务团队沟通建议购买全流量分析服务，购买指引请参见购买全流量分析服务。 准备阶段 明确需创建的虚拟机规格，是否需要对接终端引流插件。 部署阶段 上传私有镜像、创建全流量虚拟机、完成授权，全流量对接及外发策略配置。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》

产品退订逻辑说明，本服务以人工服务为主，当前不支持退订操作。 本产品不支持退订。

本节介绍了云容器引擎的网络插件常见问题。 容器集群节点为什么会自动添加网卡？ 如下图所示，容器集群主机除了主网卡外，额外绑定了多张网卡，这是因为使用了Cubecni网络插件。 Cubecni网络插件会为集群内每个节点动态添加弹性网卡，用于构建Underlay容器网络。如下图所示，eth1是该插件动态绑定到云主机的弹性网卡。 注意 请勿删除这类网卡。若删除，可能导致部分Pod的访问异常。 容器集群的Pod如何访问公网？ 1. 使用Cubecni网络插件，Pod访问外网流量默认不会经过主机主网卡，所以为主机主网卡绑定EIP后，Pod依旧无法访问外网。在该网络模式下，建议通过配置公网NAT网关，将Pod IP所属子网加入NAT网关SNAT规则，以实现Pod访问外网。 2. 使用Calico网络插件，配置集群主机能够访问外网，Pod便能访问外网，如配置EIP或公网NAT网关。 已创建的容器集群能否切换容器网络插件？ 容器网络插件仅支持在集群创建时选择，集群创建后不支持修改。如需切换，请重新创建集群。 使用Cubecni网络插件，增加Pod子网后，部分新建的Pod无法访问公网，如何解决？

先上传镜像至容器镜像服务仓库，然后才能做manifest docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 创建双架构manifest文件并上传。 创建镜像manifest文件 docker manifest create amend insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 如果镜像在之前制作中没有添加架构信息，需要给镜像manifest文件添加arch信息 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 arch amd64 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 arch arm64 向容器镜像服务仓库推送镜像manifest docker manifest push p insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 用户在使用时只需要image中填写registrycrshuadong1.ctyun.cn/library/nginx:1.5这个镜像地址， 当Pod调度到 x86 架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64这个镜像； 当Pod调度到ARM架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64这个镜像。

蓝绿发布原理 以Deployment为例，假设在集群中已经部署了两个不同版本的Deployment，这些Pod都拥有一些共同的标签，但其中有一个标签的值是不同的，这个值用于区分它们的版本。Service在选择后端Pod时，会依据这些标签。如果想要更改Service后端对应的Pod，即实现服务从一个版本切换到另一个版本，我们只需修改Service的selector中那个用于区分版本的标签的值。这样，Service就会自动将流量转发到新版本的Pod上，从而实现了版本的平滑切换。示意图如下： 示例说明 前提条件 已上传测试镜像至容器镜像服务，镜像包含v1和v2两个版本。 资源创建方式 本文提供以下两种方式使用YAML部署Deployment和Service： 方式1：在无状态工作负载页面，单击上方的“新增YAML”，再将本文示例的YAML文件内容输入编辑窗中。 方式2：将本文的示例YAML保存为文件，再使用kubectl指定YAML文件进行创建。例如：kubectl create f xxx.yaml。 步骤1：部署两个版本的服务 在集群中部署两个版本的服务。 1、创建第一个版本的Deployment，名称以appv1为例。YAML示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: appv1 spec: replicas: 2 selector: matchLabels: app: myapp version: v1 template: metadata: labels: app: myapp version: v1 spec: containers: image: {repositoryurl}/myapp:v1 name: container resources: limits: cpu: 100m memory: 200Mi requests: cpu: 100m memory: 200Mi 2、创建第二个版本的Deployment，名称以appv2为例。YAML示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: appv2 spec: replicas: 2 selector: matchLabels: app: myapp version: v2 template: metadata: labels: app: myapp version: v2 spec: containers: image: {repositoryurl}/myapp:v2 name: container resources: limits: cpu: 100m memory: 200Mi requests: cpu: 100m memory: 200Mi 您可以登录云容器引擎控制台查看部署情况。

访问验证 1. 创建一个nginx工作负载 进入集群，在菜单栏选中“工作负载”>“无状态”，然后点击“创建Deployment”按钮，如下示例创建nginx工作负载。 2. 创建Ingress，通过新部署的Nginx Ingress Controller提供网络访问 在菜单栏选中“网络”>“路由”，然后点击“新增YAML”，填写以下内容，然后点击“保存”。 plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginx namespace: ingressdemo annotations: nginx.ingress.kubernetes.io/rewritetarget: / spec: ingressClassName: ingressdemo 新创建的Nginx Ingress Controller的ingressClass rules: host: nginx.demo.com 访问的Host地址 http: paths: path: / pathType: Prefix backend: service: name: nginx 目标服务nginx port: number: 80 目标服务nginx端口 3. 通过新部署的Nginx Ingress Controller来访问该应用 在菜单栏选中“网络”>“服务”，找到新部署的Nginx Ingress Controller对应的服务，如下图： 其中集群外地址为Nginx Ingress Controller对应的ELB地址，通过该地址访问应用，可以看到返回正确的nginx页面。 4. 通过集群的Ingress Controller组件来访问该应用 找到Ingress Controller组件对应的服务，如下图： 通过其对应的ELB地址访问nginx应用，可以看到返回404错误。

本节介绍了云容器引擎的最佳实践：ELB访问控制配置。 应用场景 云容器引擎实例支持通过EIP+ELB暴露APIServer服务，用户可通过配置ELB的访问控制限制访问APIServer的入口流量。 注意事项 若配置ELB访问控制白名单，请放通以下流量，确保CCE控制台正常访问集群。 端口 协议 源地址 说明 全部 TCP 198.19.128.0/20 VPCE内网地址段，控制台通过VPCE访问APIServer

本节介绍了：监控常见问题。 为什么容器集群监控数据异常无法显示？ 本文介绍容器集群监控数据异常无法显示的问题现象、排查步骤和解决方法。 问题现象 容器集群监控数据异常无法显示。 排查步骤 一、检查集群是否已安装最新版本ccsemonitor插件 登录云容器引擎控制台，在集群详情页中选择插件 > 插件实例 ，查看是否安装最新版本ccsemonitor插件。如无安装请先安装ccsemonitor插件。 二、检查监控相关负载是否正常 登录云容器引擎控制台，在集群详情页中选择插件 > 插件实例 ，选择ccsemonitor插件实例，进入插件实例详情页，点击资源列表tab，查看监控相关的pod是否都是Running状态。如果有pod非Runing状态可以通过pod事件进一步排查，如无法解决请提工单反馈。 三、检查指标采集器是否能正常上报数据 登录云容器引擎控制台，在集群详情页中选择工作负载 > 无状态 ，命名空间选择 kubesystem ，查看工作负载 ccseopentelemetrycollector 的日志，查看是否有报错，如有报错，请提工单反馈。

本节介绍了云容器引擎的其他类常见问题。 节点NTP时间不同步怎么排查？ 检查 NTP 服务状态 在每个节点上，检查 NTP 服务是否正在运行。使用如下命令： bash sudo systemctl status ntp 如果 NTP 服务没有运行，使用以下命令启动它： bash sudo systemctl start ntp 也可以使 NTP 服务在启动时自动运行： bash sudo systemctl enable ntp 检查 NTP 配置 检查 /etc/ntp.conf 文件，确保 NTP 服务器的配置是正确的。可以选择使用公共的 NTP 服务器，或者在网络内部运行一个 NTP 服务器。 检查网络连通性 节点需要能够访问 NTP 服务器。可以使用 ping 或 nc 来检查节点是否可以连接到 NTP 服务器。 ping c 3 [yourntpserver] 手动同步时间 如果以上步骤不能解决问题，可以尝试手动同步节点的时间。ntpdate 是一个可以立即同步时间的命令： sudo ntpdate [yourntpserver] 使用 Chrony 如果 NTP 无法满足需求，可以考虑使用 Chrony。Chrony 是一个可以替代 NTP 的时间同步服务，它对网络延迟有更好的处理，而且配置也比较简单。

本节介绍了云容器引擎的其他类常见问题。 前提条件：确认对应节点已绑定EIP，并能通过EIP进行登录访问 问题现象：执行yum安装或者更新无响应 当出现上述问题，用户可以登录主机执行以下步骤修复；或者通过提工单方式，运维介入处理。 修复步骤 1、执行 cat /etc/dnf/dnf.conf，查看dnf配置： 2、删除下图中proxy相关配置： 3、重新执行yum命令，进行安装或更新，比如： 4、如上述步骤未能解决问题，请提工单介入处理。

本节介绍了节点伸缩原理。 工作原理 在Kubernetes中，节点自动伸缩的工作原理与传统意义上基于使用率阈值的模型有所差别，这也是很多开发者在从传统的IDC或者其他编排系统迁移到Kubernetes后最难理解的地方。 传统的弹性伸缩模型是基于使用率的，例如：一个集群中有3个节点，当集群中的节点CPU、内存使用率超过特定的阈值时，此时弹出新的节点。但当深入思考时会发现以下几个问题： 阈值是如何选择与判断的？ 在一个集群中，部分热点节点的利用率会较高，而另外一个节点的利用率会很低。如果选择平均利用率的话可能会造成弹性伸缩的不及时。如果使用最低的节点的利用率，那么也会造成弹出资源的浪费。 弹出实例后是如何缓解压力的？ 在Kubernetes中，应用是以Pod为最小单元，部署在集群的不同节点上的。当一个Pod资源利用率较高的时候，即便此时所在的节点或者集群的总量触发了弹性扩容，但是该应用的Pod数目，以及Pod对应的Limit没有任何变换，那么负载的压力是无法转移到新扩容出的节点上的。 如何判断以及执行实例的缩容？ 如果基于资源利用率的方式判断节点是否缩容，那么很有可能出现，Request很大，但是Usage很小的Pod被驱逐，当集群中这种类型的Pod较多时，会导致集群的调度资源被占满，部分Pod无法调度。 Kubernetes节点伸缩是怎么解决以上问题的呢？Kubernetes是通过调度与资源解耦的两层弹性模型来解决的。 基于资源的使用率来触发应用副本的变化，也就是调度单元的变化。而当集群的调度水位达到100%的时候会触发资源层的弹性扩容，当资源弹出后，无法调度的单元会自动调度到新弹出的节点上，从而降低整个应用的负载状况。以下介绍Kubernetes弹性伸缩的技术细节： 如何判断节点的弹出？ clusterautoscaler是通过对处在Pending的Pod进行监听而触发的。当Pod处在Pending的原因是调度资源不足的时候，会触发clusterautoscaler的模拟调度，模拟调度器会计算在配置的伸缩组中哪个伸缩组弹出节点后可以调度这些Pending的Pod。如果有伸缩组可以满足，那么就弹出相应的节点。 模拟调度就是将一个伸缩组当成一个抽象的Node，伸缩组中配置的机型规格对应会成为Node的CPU/内存/GPU的容量，然后设置伸缩组上面的Label、Taint，也就是Node的Label与Taint。模拟调度器会在调度模拟的时候，将该抽象的Node纳入调度参考。如果Pending的Pod可以调度到抽象的Node，那么就会计算所需的Node的数目，驱动伸缩组弹出节点。 如何判断节点的缩容？ 首先只有弹性伸缩弹出的节点会被缩容，静态的节点是无法被clusterautoscaler接管的。缩容的判断是通过每个节点单独判断的。当任意一个节点的调度利用率低于所设置的调度阈值时，会触发节点的缩容判断。此时clusterautoscaler会尝试模拟驱逐节点上面的负载，判断当前节点是否可以排水彻底。有些特殊的Pod（kubesystem命名空间的非DaemonSet Pod、PDB控制的Pod等），则会跳过该节点而选择其他的候选节点。当节点发生驱逐时，会先进行排水，将节点上的Pod驱逐到其他的节点，然后再下线该节点。 多个分组之间如何选择？ 不同分组之间，实际上相当于不同的虚拟的Node之间的选择，和调度策略一样，这里也存在一个打分的机制。首先符合调度策略的Node会先过滤出来，在符合调度策略的Node中，会根据affinity等亲和性的策略进行选择。如果上述的策略都不存在，默认情况下clusterautoscaler会通过leastwaste的策略来进行抉择。leastwaste的策略的核心就是模拟弹出节点后，剩余的资源最少。此外，有一个特别的场景，当有一个GPU的伸缩组和CPU的伸缩组同时可以弹出生效时，默认CPU会优先于GPU弹出。 如何提高弹性伸缩的成功率？ 弹性伸缩的成功率主要取决如下两个因素： 1、调度策略是否满足 首先在配置好伸缩组后，开发者需要先确认下该伸缩组可以承载的Pod的调度策略范围。如果无法直接判断，最简单的方式是通过nodeSelector直接选择伸缩组的Label进行预弹模拟。 2、资源配置是否充分 当模拟调度通过后，会选择伸缩组进行弹出，但是伸缩组中配置的ECS规格是否有库存会直接决定是否可以成功弹出实例。因此配置多个节点池选择不同的规格可以大大提高弹出成功率。

可能原因 说明 推荐的解决方案 节点存在资源压力，包括内存不足、磁盘空间不足等，引发kubelet主动驱逐节点上的一个或者多个Pod，以回收节点资源。 可能存在内存压力、磁盘压力、Pid压力等。可以通过kubectl describe node <node name> grep Taints命令查询。 内存压力：带有污点node.kubernetes.io/memorypressure。 磁盘压力：带有污点node.kubernetes.io/diskpressure。 Pid压力：带有污点node.kubernetes.io/pidpressure。 内存压力： 根据自身业务情况，调整Pod的资源配置。 磁盘压力： 定时清理节点上的业务Pod日志，防止磁盘空间被耗尽。 为节点进行磁盘扩容。 Pid压力：根据自身业务情况，调整Pod的资源配置。 发生了非预期的驱逐行为。 待运行Pod的节点被手动打上了NoExecute的污点，导致出现非预期的驱逐行为。 通过kubectl describe node <node name> grep Taints命令检查节点是否被打上了NoExecute污点。如是，请删除。 未按照预期流程执行驱逐。 podevictiontimeout：当节点宕机时间超过设置时间后，开始驱逐宕机节点上的Pod，默认为5min。 nodeevictionrate：每秒从节点上驱逐的Pod数量。默认为0.1，即每10s至多从一个节点上驱逐Pod。 secondarynodeevictionrate：第二档的节点驱逐速率。当集群中宕机节点过多时，节点驱逐速率会降低至第二档，默认值为0.01。 unhealthyzonethreshold：可用区的不健康阈值，默认为0.55，即当宕机的节点数量超过总节点数的55%时，该可用区被判定为不健康。 largeclustersizethreshold：集群的大规模阈值，默认为50，即当集群节点数量超过50时判定集群为大规模集群。 在小规格的集群（集群节点数小于等于50个节点）中，如果故障的节点大于总节点数的55%，实例的驱逐会被停止。 在大规模集群中（集群节点数大于50），如果集群中不健康的节点数量占总节点数的比例超过了预设的阈值unhealthyzonethreshold（默认为0.55），驱逐速率由secondarynodeevictionrate控制（代表每分钟驱逐节点上Pod的最大比例），默认值为0.01。 容器被驱逐后仍然频繁调度到原节点。 节点驱逐容器时会根据节点的资源使用率进行判断，而容器的调度规则是根据节点上的“资源分配量”进行判断，被驱逐的Pod有可能被再次调度到这个节点，从而出现频繁调度到原节点的现象。 根据集群节点的可分配资源检查Pod的资源Request请求配置是否合理。

本节介绍了：容器水平伸缩（HPA）的用户指南。 容器水平伸缩 云容器引擎支持在控制台界面上快速创建支持HPA的应用，实现容器资源的弹性伸缩。您也可通过定义HPA（Horizontal Pod Autoscaling）的YAML来进行配置。 背景信息 从v1.18开始，K8s v2beta2 API允许通过HPA的behavior字段配置扩缩行为。在behavior字段中的scaleUp和scaleDown分别指定扩容和缩容行为。当您在使用HPA时，希望只进行扩容或者只进行缩容的Pod伸缩，则可以通过开启指标伸缩，单击禁止缩容或者禁止扩容来实现。 默认值：均不禁止 禁止扩容：selectPolicy的值Disabled会关闭给定方向的扩容。因此使用以下策略，将会阻止扩容。 plaintext behavior: scaleUp: selectPolicy: Disabled 禁用缩容：selectPolicy的值Disabled会关闭给定方向的缩容。因此使用以下策略，将会阻止缩容。 plaintext behavior: scaleDown: selectPolicy: Disabled 伸缩规则 HPA总体支持两种度量指标，一种为资源度量指标 ，默认情况下仅支持cpu、内存这两种资源指标，它不仅支持资源百分比也支持平均值；另一种为自定义度量指标，包含Pod度量跟Object度量两大类。 资源度量指标 以CPU为例，配置示意如下： plaintext type: Resource resource: name: cpu target: type: Utilization averageUtilization: 50

本节介绍接入集群如何通过IPv6接入管控实例。 操作步骤 资源准备 管控实例vpc和子网支持IPv6，参考：搭建IPv6私有网络，无需购买云主机。 创建内网ELB，参考：创建负载均衡器，网络类型选择内网。 创建管控实例并启用IPv6 1. 在分布式容器云平台控制台左侧导航栏中选择【分布式集群】>【管控实例】>【实例信息】，点击【创建管控实例】进入订购页面。 2. 在管控实例订购页面，选择在【前置步骤】中创建的支持ipv6的vpc、子网，启用ipv6, 选择创建的ELB 3. 提交订单等待管控实例创建完成 4. 在实例信息页面，启用NAT64功能 5. 查看在【前置步骤】中创建的ELB的详情，查看6443监听器的后端主机组， 确认IPV6健康检查状态正常

本文介绍用户访问集群API Server的方式有哪些？ 用户访问集群API Server的方式有哪些？ 当前云容器引擎提供通过证书认证访问集群API Server的方式： 集群API方式：集群API需要使用证书认证访问，在云容器引擎控制台集群信息 > 连接信息获取kubeconfig文件， 通过kubectl直接连接集群API Server。

如何开启自动弹性伸缩？ 在插件市场安装cubeclusterautoscaler插件。 配置中心开启弹性伸缩策略。 按需节点池配置弹性伸缩策略。 如何删除创建失败的节点？ 如果集群中出现创建失败的节点，可登录云容器引擎控制台，选择集群进入后，通过 “节点池” > "节点管理" ，退订节点。

本页主要介绍云容器引擎产品的API使用中password字段加密的方法。 涉及的OpenAPI包括：纳管节点 通过API创建节点时password字段需要进行加密处理，具体方法如下： Java 以下是Java环境下对密码进行加密的示例步骤： plaintext import javax.crypto.Cipher;import java.security.KeyFactory; import java.security.PublicKey; import java.security.spec.X509EncodedKeySpec; import java.util.Base64; public class PasswordEncryptDemo { public final static String publicKeyWord "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCcX/slG/wUF6+qVw34VTW+gwFuVvHMHAPmu9jDn+jwED2A+i87CuYpvcjyYwPij41uS6SPZ/MSWDTO6f8/1YRs0Jbj1SIDNpRl/udTEbsPquFIqHSQSZsQseZS+j0HCAIwLUgMAJHW4AHw622Vgiirsm7gOY0qwnry1BmymiVXlQIDAQAB"; private static String encrypt(String password) throws Exception { Cipher cipher Cipher.getInstance("RSA"); PublicKey publicKey KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(Base64.getDecoder().decode(publicKeyWord))); cipher.init(Cipher.ENCRYPTMODE, publicKey); byte[] encrypts cipher.doFinal(password.getBytes("UTF8")); return Base64.getEncoder().encodeToString(encrypts); } public static void main(String[] args) throws Exception { String password "密码"; String encryptPassword encrypt(password); System.out.println(encryptPassword); }} GO 以下是GO环境下对密码进行加密的示例步骤： plaintext package mainimport ( "crypto/rand" "crypto/rsa" "crypto/x509" "encoding/base64" "encoding/pem" "fmt")const publicKeyword "BEGIN PUBLIC KEYnMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCcX/slG/wUF6+qVw34VTW+gwFuVvHMHAPmu9jDn+jwED2A+i87CuYpvcjyYwPij41uS6SPZ/MSWDTO6f8/1YRs0Jbj1SIDNpRl/udTEbsPquFIqHSQSZsQseZS+j0HCAIwLUgMAJHW4AHw622Vgiirsm7gOY0qwnry1BmymiVXlQIDAQABnEND PUBLIC KEY"func Encrypt(password string) string { publicKeywordByte : []byte(publicKeyword) block, : pem.Decode(publicKeywordByte) if block nil { fmt.Println("解析pem 失败") return "" } publicKeyInterface, error : x509.ParsePKIXPublicKey(block.Bytes) if error ! nil { fmt.Println("Failed to parse public key:", error) return "" } publicKey, ok : publicKeyInterface.(rsa.PublicKey) if !ok { fmt.Println("Public key is not type rsa.publicKey") return "" } ciphertext, err : rsa.EncryptPKCS1v15(rand.Reader, publicKey, []byte(password)) if err ! nil { fmt.Println("Encryption failed:", err) return "" } return base64.StdEncoding.EncodeToString(ciphertext)}func main() { fmt.Println(Encrypt("密码"))}