查看Agent状态 登录裸金属服务器，执行以下命令，查看Agent状态。 service telescoped status 当系统返回以下内容，则表示Agent为正常运行状态。 "Telescope process is running well." 启动Agent 执行以下命令，启动Agent。 /usr/local/telescope/telescoped start 重启Agent 执行以下命令，重启Agent。 /usr/local/telescope/telescoped restart 停止Agent 执行以下命令，停止Agent。 service telescoped stop 说明 如果Telescope安装失败，可能会导致无法正常停止Agent，可通过执行以下命令进一步尝试： /usr/local/telescope/telescoped stop 卸载Agent 用户可手动卸载Agent插件，卸载后将不再监控BMS实例监控数据。如需再次使用，请参考安装Agent重新安装。 执行以下命令，即可卸载Agent。 /usr/local/telescope/uninstall.sh

本章节介绍了如何讲其他厂商或自建的业务迁移到分布式消息服务RocketMQ的实践方案。 操作场景 RocketMQ业务迁移是指将其他厂商或者自建的RocketMQ迁移到天翼云分布式消息服务RocketMQ。 前提条件 1. 配置网络环境 分布式消息服务RocketMQ实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 2. 购买分布式消息服务RocketMQ实例 具体请参考购买RocketMQ实例。 操作步骤 1. 迁移元数据至分布式消息服务RocketMQ实例。 1. 获取其他厂商或自建RocketMQ实例的元数据。 2. 登录主机，下载RocketMQ软件包。 wget i < 1. 解压软件包。 unzip rocketmqall4.9.4binrelease.zip 1. （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey: secretKey: accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥。 1. 进入解压后的软件包目录下，执行以下命令，查询集群名称。sh ./bin/mqadmin clusterList n {nameserver地址及端口号}例如：“nameserver地址及端口号”为“192.168.0.65:8100”。 2. sh ./bin/mqadmin clusterList n 192.168.0.65:8100执行以下命令，导出元数据。未开启SSL的实例，执行以下命令。sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 1. sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export已开启SSL的实例，执行以下命令。JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 3. JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export在控制台迁移元数据。登录控制台。 4. 单击RocketMQ实例的名称，进入实例详情页面。 5. 在左侧导航栏，选择“元数据迁移”，进入迁移任务列表页面。 6. 单击“创建迁移任务”，弹出“创建迁移任务”对话框。 参考，设置迁移任务的参数。 参数 说明 任务名称 您可以自定义迁移任务的名称，用于区分不同的迁移任务。 是否同名覆盖 如果开启同名覆盖，会对已有的同名元数据的配置进行修改。例如：原实例Topic01的读队列个数为3，云上实例Topic01的读队列个数为2，开启同名覆盖后，云上实例Topic01的读队列个数变为3。如果不开启同名覆盖，同名元数据的迁移将失败。例如：原实例的Topic包含Topic01和Topic02，云上实例的Topic包含Topic01和Topic03，不开启同名覆盖，原实例Topic01的迁移将失败。 元数据 上传。 1. 单击“确定”。迁移完成后，在迁移任务列表页面查看“任务状态”。 1. 当“任务状态”为“迁移完成”，表示所有元数据都已成功迁移。 2. 当“任务状态”为“迁移失败”，表示元数据中部分或全部元数据迁移失败。单击迁移任务名称，进入迁移任务详情页，在“迁移结果”中查看迁移失败的Topic/消费组名称，以及失败原因。 2. 迁移生产消息至分布式消息服务RocketMQ版实例。将生产客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启生产业务，使得生产者将新的消息发送到分布式消息服务RocketMQ版实例中。 3. 迁移消费消息至分布式消息服务RocketMQ版实例。待消费组中的消息消费完之后，将消费客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启消费业务，使得消费者从分布式消息服务RocketMQ版实例中消费消息。 4. 如果有多个RocketMQ实例需要迁移到同一个分布式消息服务RocketMQ版实例中，请依次进行迁移

本节介绍如何查看服务器的资产指纹信息。 服务器安全卫士支持采集服务器的端口、账户、进程、软件应用、数据库、自启动项、Web服务、Web框架资产指纹信息，通过资产指纹功能，可以帮助您清点服务器中的资产，及时发现潜在的风险。 版本限制 基础版仅支持查看端口和账户这两种指纹信息。若需要查看进程、软件应用、数据库、自启动项、Web服务、Web框架等14种资产指纹信息，请升级到企业版、旗舰版，详细操作请参见绑定防护配额。 资产指纹内容 指纹 描述 端口 展示所有服务器中开放的端口列表，帮助用户及时发现主机中的危险端口。 端口信息包括：服务器、操作系统、端口号、高危端口、网络协议、监听IP、监听进程、进程PID、最后更新时间。 可以按照端口号、是否高危端口、服务器名称、服务器IP进行搜索。 账户 展示所有服务器中的账号信息，帮助用户进行账户安全性管理。 账号信息包括：服务器、操作系统、用户名、设置密码、管理员权限、用户组、到期时间、上次登陆时间、上次登陆IP、用户目录、用户启用Shell、UID/SID、最后更新时间。 可以按照用户名、服务器名称、服务器IP进行搜索。 进程 展示所有服务器中正在运行的进程信息，帮助用户及时发现服务器中异常的进程。 进程信息包括：服务器、操作系统、进程名、进程路径、文件MD 、进程状态、启动参数、运行用户、进程PID、父进程、文件权限、进程启动时间、最后更新时间。 可以按照进程名、服务器名称、服务器IP进行搜索。 软件应用 展示所有服务器中的软件应用信息，帮助用户清点软件资产，识别出服务器中不安全的软件。 软件应用信息包括：服务器、操作系统、软件名称、软件版本、安装时间、最后更新时间。 可以按照软件名称、服务器名称、服务器IP进行搜索。 中间件 展示所有服务器中的软件应用信息，帮助用户清点中间件资产。 中间件信息包括：服务器、中间件名称、类型、运行时环境版本、版本、PID、启动路径、版本验证信息、父进程PID、运行用户、监听IP、监听端口、监听状态、监听端口协议、启动时间、启动命令行、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、版本、运行用户进行搜索。 数据库 展示所有服务器中的数据库信息，帮助用户清点数据库资产。 数据库信息包括：数据库类型、数据库版本、PID、父进程PID、启动路径、版本验证信息、监听端口、监听状态、监听端口配置路径、最后更新时间。 可以按照运行用户、版本、端口、进程PID、服务器名称进行搜索。 计划任务 展示所有服务器中的计划任务信息，帮助用户了解各服务器后续会进行的任务信息。 计划任务信息包括：服务器、执行命令、任务周期、MD5、执行用户、配置文件路径、最后更新时间。 可以按照服务器名称/服务器IP、执行用户进行搜索。 自启动项 展示所有服务器中的自启动项，帮助用户及时发现服务器中异常的自启动项。 自启动项信息包括：自启动项名称、启动项路径、类型、最后更新时间。 可以按照自启动项名称、服务器名称、服务器IP进行搜索。 内核模块 展示所有服务器中的内核模块，帮助用户了解内核模块的具体信息。 内核模块信息包括：服务器、模块名称、模块大小、模块路径、被依赖进程数、被依赖的模块数、最后更新时间。 可以按照服务器名称/服务器IP、模块名称进行搜索。 Web服务 展示所有服务器中的Web服务，帮助用户及时发现服务器中异常的Web服务。 Web服务信息包括：服务器、操作系统、Web服务名、版本、PID、启动路径、监听端口、监听状态、监听端口配置路径、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、版本、运行用户进行搜索。 Web框架 展示所有服务器中的Web框架，帮助用户及时发现服务器中异常的Web框架。 Web框架信息包括：框架名称、框架语言、框架版本、路径、关联进程PID、进程路径、最后更新时间。 可以按照服务器名称/服务器IP、框架名称、框架版本、进程PID进行搜索。 Web站点 展示所有服务器中的Web站点，帮助用户及时发现服务器中异常的Web站点。 Web站点信息包括：服务器、域名、站点类型、端口、Web路径、Web根路径、运行用户、目录权限、监听协议、PID、启动时间、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、运行用户进行搜索。 Web应用 展示所有服务器中的Web应用，帮助用户及时发现服务器中异常的Web应用。 Web应用信息包括：服务器、应用名称、版本号、服务类型、站点域名、Web路径，Web根路径、最后更新时间。 可以按照服务器名称/服务器IP、应用名称、版本进行搜索。

本页介绍天翼云TeleDB数据库配置文件管理。 TeleDB提供了一些特性用于把复杂的 postgresql.conf文件分解成子文件。在管理多个具有相关但不完全相同配置的服务器时，这些特性特别有用。 除了单个参数设置，postgresql.conf文件可以包含包括指令，它指定要读入和处理的另一个文件，就好像该文件被插入到配置文件的这个点。这个特性允许一个配置文件被划分成物理上独立的部分。包括指令看起来像： include 'filename' 如果文件名不是一个绝对路径，它将作为包含引用配置文件的目录的相对位置。包括可以被嵌套。 也有一个includeifexists指令，它的作用和include指令一样，不过当被引用的文件不存在或者无法被读取时其行为不同。一个通常的include将认为这是一个错误情况， 而includeifexists仅仅记录一个消息并且继续处理引用配置文件。 postgresql.conf文件也可以包含includedir指令，它指定要被包含的配置文件的一整个目录。它的用法类似： includedir 'directory' 非绝对目录名被当做包含引用配置文件的目录的相对路径。在该指定目录中，只有以后缀名.conf结尾的非目录文件才会被包括。以. 字符开头的文件名也会被忽略，因为在某些平台上它们是隐藏文件。一个包括目录中的多个文件被以文件名顺序处理（根据 C 区域规则排序，即数字在字母之前并且大写字母在小写字母之前）。 包括文件或目录可以被用来在逻辑上分隔数据库配置的各个部分，而不是用一个很大的postgresql.conf文件。考虑一个有两台数据库服务器的公司，每一个都有不同的内存量。很可能配置的元素都会被共享，例如用于日志的参数。但是两者关于内存的参数将会不同。并且还可能会有服务器相关的自定义。一种管理这类情况的方法是将你的站点的自定义配置修改分成三个文件。你可以把下面的内容加入到你的postgresql.conf文件末尾来包括它们： include 'shared.conf' include 'memory.conf' include 'server.conf' 所有的系统将会有相同的shared.conf。每个有特定内存量的服务器可以共享相同的memory.conf。你可能对所有 8GB 内存的服务器有一个，而对那些 16GB 内存的服务器有另一个。并且最后server.conf可以装有真正服务器相关的配置信息。 另一中可能性是创建一个配置文件目录并把这个信息放到其中的文件里。例如，一个conf.d目录可以在postgresql.conf的末尾被引用： includedir 'conf.d' 然后你可以这样命名conf.d目录中的文件： 00shared.conf 01memory.conf 02server.conf 这种命名习惯建立了这些文件将被载入的清晰顺序。这是很重要的，因为在服务器读取配置文件时，对于一个特定的参数只有最后碰到的一个设置才会被使用。在这个例子中，conf.d/02server.conf设置的东西将会覆盖在 conf.d/01memory.conf中相同参数的值。 你还可以使用这种配置目录方法，在命名文件时更有描述性： 00shared.conf 01memory8GB.conf 02serverfoo.conf 这种形式的安排为每个配置文件变体给定了一个唯一的名称。当多个服务器把它们的配置全部存储在一个位置（例如在一个版本控制仓库中）时，这可以帮助消除歧义（在版本控制下存储数据库配置文件是另一个值得考虑的好方法）。 TeleDB通常将配置文件拆分为 postgresql.conf和postgresql.conf.user文件，postgresql.conf文件中配置通用的，实例初始化运行必要的参数；postgresql.conf.user中配置由实例初始化化时模版提供的通用配置参数，postgresql.conf.user文件中参数设置优先级更高，当两个配置文件中有相同参数设置时，postgresql.conf中的设置将被postgresql.conf.user覆盖；在控制台页面修改的参数，将记录在postgresql.conf.user中。 不建议使用ALTER SYSTEM来修改参数，该方式修改的参数值会被记录在postgresql.auto.conf中，该配置文件参数加载优先级高于postgresql.conf.user和postgresql.conf，将覆盖这两个配置文件中的参数，会导致通过控制台页面修改参数无法生效的问题。

本节介绍了初始化Windows数据盘（Windows 2016）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2016 Standard 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，单击左下方开始图标。弹出Windows Server窗口。 2.单击“服务器管理器”。弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器 3.“服务器管理器”页面右上方选择“工具 > 计算机管理”。弹出“计算机管理”窗口，下图所示。 图 计算机管理 4.选择“存储 > 磁盘管理”。 进入磁盘列表页面，存在未初始化的磁盘时，系统会自动弹出“初始化磁盘”对话框，如下图所示。 图 磁盘列表 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，此处以选择“GPT（GUID分区表）”为例，单击“确定”。返回“计算机管理”窗口，如下图所示。 图 计算机管理(Windows 2016) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2016) 7.根据界面提示，单击“下一步”。进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2016) 8.指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2016) 9.分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2016) 10.格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。进入“完成新建卷”页面，如下图所示。 图 完成新建卷(Windows 2016) 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2016) 12.新建卷完成后，单击下方任务栏中，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。单击“此电脑”，若下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2016)

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容 为保障您的账户安全、避免额外损失，请务必仔细阅读安全风险提示的全部内容 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本节为您介绍数据库迁移迁移限制相关问题。 兼容性列表有哪些？ 您可参见兼容性列表。 迁移限制有哪些。 您可以参见迁移约束与限制，以及任务配置的前提条件和要求。 为何不支持同步/迁移系统库？ 由于系统库中数据迁移/同步至目标库中，可能会影响数据库实例的可用性，因此不支持将数据库的系统库作为源或目标。 为何不支持高版本向低版本迁移？ 建议源和目标库版本保持一致，或者从低版本向高版本以保障兼容性。如高版本向低版本，可能存在数据库兼容性问题。 数据库迁移工具重要声明有哪些？ 具体内容您可请参见免责声明。

本节为您介绍迁移限制相关问题。 兼容性列表有哪些？ 您可参见兼容性列表。 数据迁移工具将对象数据迁移到并行文件系统有哪些限制？ 数据迁移工具将对象数据迁移到并行文件系统有以下限制（并行文件系统限制）： 若对象名以/结尾，则对象大小必须为0，否则不支持迁移。 对象名中不能出现连续/，例如test//test。 迁移源使用共享带宽是否可以进行迁移? 不可以。 数据迁移工具仅支持独占带宽进行迁移，不支持使用共享带宽进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 数据迁移工具重要声明有哪些？ 具体内容您可以参见[免责声明]数据库迁移部分。

支持控制是否开启日志。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用设置」「日志开启设置」。 前提条件 需要先开通云日志服务产品，如果您已开通，则可通过配置关联查看调用链路的日志详情。 功能说明 关联业务日志与TraceId 设置关联云日志服务的具体日志项目和单元，确认日志存储路径，以便查看。开启关联后，在调用链详情会出现查看日志按钮，点击可跳转云日志服务查看具体内容。

参数 说明 取值示例 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 TCP 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。 例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“<”和“>”。

添加方式 配置 说明 基本信息 子作业名称 在作业的执行结果中，每条规则对应一个子作业。为便于结果查看和日志定位，建议您补充子作业信息。 基本信息 描述 为更好的识别子作业，此处加以描述信息。 来源对象 规则类型 包括库级规则、表级规则、字段级规则、跨字段级规则和自定义规则，自定义规则可针对表中的具体字段配置监控规则。 来源对象 数据连接 来源对象/目的对象支持的数据源类型：DWS，MRS Hive，DLI，ORACLE、RDS（MySQL、PostgreSQL）。 从下拉列表中选择已创建的数据连接。 说明 规则都是基于数据连接的，所以在建立数据质量规则之前需要先到管理中心模块中建立数据连接。 针对通过代理连接的MRS HIVE，需要选择MRS API方式或者代理方式提交： MRS API方式：通过MRS API的方式提交。历史作业默认是MRS API提交，编辑作业时建议不修改。 代理方式：通过用户名、密码访问的方式提交。新建作业建议选择代理提交，可以避免权限问题导致的作业提交失败。 来源对象 数据库 选择配置的数据质量规则所应用到的数据库。 说明 数据库基于已建立的数据连接。 当“规则类型”选择“库级规则”，数据对象选择对应的数据库即可。 来源对象来源对象 数据表 选择配置的数据质量规则所应用到的表。 说明 数据表与数据库强相关，基于已选择的数据库。 当“规则类型”选择“表级规则”，数据对象选择对应的数据表。 来源对象 SQL 当“规则类型”选择“自定义规则”时，需要配置该参数。此处需输入完整的SQL语句，定义如何对数据对象进行数据质量监控。 来源对象 失败策略 选择是否勾选“忽略规则错误”。 来源对象 选择字段 当“规则类型”选择“字段级规则”，需要配置该参数。此处选择对应数据表中的字段。 说明 数据质量字段级别校验不支持对字段名为单个字母（例如：a,b,c,d...等）的字段进行校验。 来源对象 参考数据对象 当“规则类型”选择“跨字段级规则”，需要配置该参数。此处选择参考的数据字段。 来源对象 维度 当“规则类型”选择“自定义规则”时，需要配置该参数。将该自定义规则与质量六性（完整性、有效性、及时性、一致性、准确性、唯一性）进行关联。 计算引擎 集群名称 选择运行质量作业的引擎。仅数据连接为DLI类型时，此参数有效。 规则模板 模板名称 选择系统内置的或者用户自定义的规则模板。 说明 模板类型与规则类型强相关，详情请参见 规则模板 版本 仅“模板名称”选择为自定义的规则模板时，需要配置该参数。自定义的规则模板发布后，会产生对应的版本号，此处选择所需的版本。 规则模板 权重 设置规则的权重，支持按照字段级别设置权重。权重范围：【19】，整数。默认值为5。 计算范围 选择扫描区域 支持选择“全表扫描”或“条件扫描”，默认为全表扫描。 当仅需计算一部分数据，或需周期性按时间戳运行质量作业时，建议通过设置where条件进行条件扫描。 计算范围 where条件 输入where子句，系统会选择符合条件的数据进行扫描。 例如需要筛选数据表中“age”字段在(18, 60]区间范围内的数据时，where条件可设置为如下内容： age > 18 and age < 60 where条件还支持输入为SQL动态表达式，例如当需要根据“time”字段筛选数据表中24小时前的数据时，where条件可设置为如下内容： time > (datetrunc('hour', now()) interval '24 h') and time < (datetrunc('hour', now())) 告警条件 告警表达式 此参数可选，如果您需要针对当前规则设定告警条件，则可以在此配置告警条件的表达式。如果您需要通过多条规则的逻辑运算统一设置告警条件的表达式，此处无需设置，可在下一步的告警配置中统一设置。 配置规则的告警条件后，系统通过“告警参数”的值，结合告警条件进行真假判断，如果结果为真则进行告警。另外，除了单一告警表达式的结果，您还可以通过逻辑运算符组成组成更复杂的告警条件进行告警。当前表达式中支持如下逻辑运算符，且可以通过“(”和“)”进行包围： +：相加 ：相减 ：相乘 /：相除 ：等于 !：不等于 >：大于 <：小于 >：大于等于 <：小于等于 !：非 ll：或 &&：与 例如，“规则模板”为“字段空值”时，您可以参考如下样例进行配置： 需要配置字段空值大于10时告警，则此处可设置为“ {1}>10”，其中“ {1}”为通过告警参数配置的“空值行数”。 需要配置有字段空值率大于80%时告警，则此处可设置为“ {3}>0.8”，其中“ {3}”为通过告警参数配置的“空值率”。 需要配置字段空值大于10或字段空值率大于80%时告警，则此处可设置为“( {1}>10)ll ( {3}>0.8)”，其中“ {1}”和“ {3}”分别为通过告警参数配置的“空值行数”和“空值率”，“ll”表示满足两个条件之一即会告警。 告警条件 告警参数 此参数来源于规则模板的输出结果。您可以单击界面显示的参数从而输入告警表达式中的告警参数，单击后系统会在“告警表达式”输入框给出参数的表达式。 例如“规则模板”为“字段空值”时，点击告警参数“空值行数”，在“告警表达式”输入框会显示为“${1}”。 告警条件 逻辑运算符 可选，本参数支持将单一告警表达式的结果进行逻辑运算，组成更复杂的告警条件。 您可以将鼠标光标放在“告警表达式”输入框处需要进行逻辑运算的两个告警表达式之间，然后单击输入如下之一运算符。另外，您也可以手动输入，当前表达式中支持如下逻辑运算符，且可以通过“(”和“)”进行包围： +：相加 ：相减 ：相乘 /：相除 ：等于 !：不等于 >：大于 <：小于 >：大于等于 <：小于等于 !：非 ll：或 &&：与 例如，“规则模板”为“字段空值”，需要配置字段空值大于10或字段空值率大于80%时告警，则“告警表达式”可设置为“( {1}>10)ll ( {3}>0.8)”，其中“ {1}”和“ {3}”分别为通过告警参数配置的“空值行数”和“空值率”，“ll”表示满足两个条件之一即会告警。 告警条件 质量评分 当“规则类型”选择“自定义规则”时，需要配置该参数。 告警条件 生成异常数据 开启“生成异常数据”开关，单击“选择库表”可将质量作业中不符合设定规则的异常数据存储在异常表中。 说明 自定义模板不支持生成异常数据，自定义规则可通过自定义异常表SQL生成异常数据。 系统内置模板，“表级规则”中的“表行数”模板。“字段级规则”中的“字段平均值”、“字段汇总值”、“字段最大值”、“字段最小值”模板不支持生成异常数据。 当质量作业设置周期调度或重跑时，每次实例运行的扫描的异常数据会持续插入该异常表。建议您定期到该数据湖中清理异常表数据，避免异常数据表超大带来的成本与性能问题。 告警条件 异常表 单击选择库表，可以配置输出表名的前后缀。 告警条件 输出配置 输出规则配置：勾选，则可在异常表中显示质量作业的配置信息，方便查看异常数据产生的源头。 输出空值：勾选，则当空值不满足设定规则时，可在异常表中输出空值。 告警条件 异常数据数量 可选择输出全部的异常数据，或者设定数量的异常数据。 告警条件 异常表SQL 当“规则类型”选择“自定义规则”时，需要配置该参数。此处需输入完整的SQL语句，指定输出哪些数据是异常数据。 告警条件 查看相同规则 单击，创建质量作业时， 能够根据表和字段判断规则的重复性。 提示已存在相关子规则和质量作业，您可看到已有规则。 计算范围 选择扫描区域 用来确定所配置的某条规则应检查的范围。 勾选全表扫描，则遍历所有表。 勾选条件扫描，输入where条件后，精确定位分区查询数据，不需要全表扫描查询。

本节介绍了XEN实例变更为KVM实例(Linux手动配置)的操作场景、约束与限制、操作流程、后续处理。 操作场景 Linux操作系统XEN实例变更为KVM实例前，必须完成驱动的安装和配置。 本节操作指导您手动安装Linux云主机驱动、配置磁盘自动挂载等，并将XEN实例变更为KVM实例。 说明 XEN实例：S1、C1、C2、M1型弹性云主机。 KVM实例：参考规格清单，查询对应规格的虚拟化类型。 为了同时支持XEN虚拟化和KVM虚拟化，Linux弹性云主机的正常运行需依赖于xenpv驱动、virtio驱动等。XEN实例变更为KVM实例前，需要确保Linux弹性云主机已完成相关配置，包括安装驱动、配置磁盘自动挂载等。 约束与限制 Linux操作系统云主机如果存在由多个物理卷组成的LVM逻辑卷或组建了RAID磁盘阵列，均不支持变更规格，否则可能会导致数据丢失。 对于XEN实例，当挂载的VBD磁盘超过24块时，不支持将规格变更为KVM实例。 系统支持将“XEN实例”变更为“KVM实例”，不支持将“KVM实例”变更为“XEN实例”。 操作流程 XEN实例变更为KVM实例的操作流程如下图所示。 图 Linux云主机变更流程（手动配置） 表 XEN实例变更为KVM实例（手动配置） 序号 任务 :: 步骤1 步骤1：制作系统盘快照 步骤2 步骤2：安装驱动 步骤3 步骤3：检查云主机配置是否成功 步骤4 步骤4：变更规格 步骤5 （可选）步骤5：检查磁盘挂载状态 步骤1：制作系统盘快照 如果云主机未安装驱动就执行了变更规格的操作，云主机无法正常使用，需要重装操作系统才能恢复，可能造成您的系统盘数据丢失。因此，建议您先制作系统盘快照，防止数据丢失。创建快照参考< 1. 制作系统盘备份前请对云主机完成自检。 对云主机执行关机、开机操作，确保云主机重启后业务可以正常运行。再启动制作系统盘快照。 说明：变更规格完成后，如已确认业务恢复正常，请在快照页面手动删除快照。 步骤2：安装驱动 对于不支持使用脚本方式配置的弹性云主机，请参见本部分内容，手动配置云主机。 1. 登录弹性云主机。 2. 卸载云主机中已安装的Tools。 操作请参见< 3. 修改grub的UUID。 操作请参见< 4. 修改fstab的UUID。 操作请参见< 5. 安装原生的XEN和KVM驱动。 操作请参见< 步骤3：检查云主机配置是否成功 根据步骤2：安装驱动修改grub文件、安装所需驱动后，需检查修改是否生效、驱动是否安装成功。 注意 手动方式配置弹性云主机时请务必执行以下操作检查云主机配置是否成功。 1. 登录弹性云主机。 2. 执行以下命令，检查root分区是否以UUID的形式表示。 cat /boot/grub/grub.cfg − 是，表示已修改grub文件的磁盘标识方式为UUID。 − 否，修改失败，请参见步骤2：安装驱动重新修改。 ……menuentry 'Ubuntu Linux, with Linux 3.13.024generic' class ubuntu class gnulinux class gnu class os unrestricted $menuentryidoption 'gnulinux3.13.024genericadvancedec51d86034bf4374ad46a0c3e337fd34' { recordfail loadvideo gfxmode $linuxgfxmode insmod gzio insmod partmsdos insmod ext2 if [ x$featureplatformsearchhint xy ]; then search nofloppy fsuuid setroot ec51d86034bf4374ad46a0c3e337fd34 else search nofloppy fsuuid setroot ec51d86034bf4374ad46a0c3e337fd34 fi echo ‘Loading Linux 3.13.024generic ...’ linux /boot/vmlinuz3.13.024generic rootUUIDec51d86034bf4374ad46a0c3e337fd34 ro echo ‘Loading initial ramdisk ...’ initrd /boot/initrd.img3.13.024generic } 说明 对于不同操作系统，grub文件的具体路径存在差异，请以具体的操作系统为准。例如：“/boot/grub/menu.lst”、“/boot/grub/grub.cfg”、“/boot/grub2/grub.cfg、“/boot/grub/grub.conf”。 3. 执行以下命令，检查磁盘的标识方式是否为UUID。 cat /etc/fstab − 是，表示已修改fstab文件的磁盘标识方式为UUID。 − 否，修改失败，请参见步骤2：安装驱动重新修改。 [root@ ~]

本节介绍了更新警报和作业所用的操作员信息的相关内容。 操作场景 使用存储过程更新警报和作业所用的操作员（通知收件人）信息。 前提条件 成功连接RDS for SQL Server实例。通过SQL Server客户端连接目标实例。 操作步骤 执行以下命令，更新警报和作业所用的操作员信息。 EXEC [msdb].[dbo].[rdsupdateoperator] @name 'name', @newname 'newname', @enabledenabled, @emailaddress'emailaddress', @pageraddress 'pagernumber', @weekdaypagerstarttime weekdaypagerstarttime, @weekdaypagerendtime weekdaypagerendtime, @saturdaypagerstarttime saturdaypagerstarttime, @saturdaypagerendtime saturdaypagerendtime, @sundaypagerstarttime sundaypagerstarttime, @sundaypagerendtime sundaypagerendtime, @pagerdays pagerdays, @netsendaddress 'netsendaddress', @categoryname'category'; 表 参数说明 参数 说明 'name' 操作员（通知收件人）的名称。此名称必须唯一，并且不能包含百分号（%）字符。名称为sysname，无默认值。 'newname' 操作员的新名称。此名称必须唯一。newname是sysname，默认值为NULL。 enabled 指示操作员的当前状态。enabled为tinyint，默认值为1（已启用）。如果为0，则不启用操作员且不会收到通知。 'emailaddress' 操作员的电子邮件地址。此字符串将直接传递到电子邮件系统。emailaddress为nvarchar（100），默认值为 NULL。 'pagernumber' 操作员的寻呼地址。此字符串将直接传递到电子邮件系统。pagernumber的数据类型为 nvarchar(100)，默认值为 NULL。 weekdaypagerstarttime 一个时间，在该时间之后 SQL Server代理将寻呼通知发送到工作日的指定操作员，从星期一到星期五。weekdaypagerstarttime的值为int，默认值为090000，指示 9:00 A.M。并且必须使用HHMMSS格式输入。 weekdaypagerendtime 一个时间，在此时间之后，SQLServerAgent服务不再向星期一到星期五的工作日发送寻呼通知。“weekdaypagerendtime”的值为“int”，默认值为180000，表示6:00 P.M.并且必须使用HHMMSS格式输入。 saturdaypagerstarttime SQLServerAgent服务在星期六向指定操作员发送寻呼通知的时间。“saturdaypagerstarttime”的值为“int”，默认值为090000，指示9:00 A.M。并且必须使用HHMMSS格式输入。 saturdaypagerendtime 一个时间，在此时间之后，SQLServerAgent服务不再向周六的指定操作员发送寻呼通知。“saturdaypagerendtime”的值为“int”，默认值为180000，表示6:00 P.M并且必须使用HHMMSS格式输入。 sundaypagerstarttime SQLServerAgent服务在星期日向指定操作员发送寻呼通知的时间。“sundaypagerstarttime”的值为“int”，默认值为090000，指示9:00 A.M。并且必须使用HHMMSS格式输入。 sundaypagerendtime 在星期日上，SQLServerAgent服务不再向指定操作员发送寻呼通知的时间。“sundaypagerendtime”的值为“int”，默认值为180000，表示6:00 P.M并且必须使用HHMMSS格式输入。 pagerdays 是一个数字，指示操作员可用于页面的日期（受限于指定的开始/结束时间）。pagerdays为tinyint，默认值为0，表示运算符从不可用于接收页面。有效值为0至127。pagerdays是通过添加所需日期的各个值来计算的。例如，从星期一到星期五是2+4+8+16+32 62。下表列出了一周中每天的值。 值为1，表示星期日。 值为2，表示星期一。 值为4，表示星期二。 值为8，表示星期三。 值为16，表示星期四。 值为32，表示星期五。 值为64，表示星期六。 'netsendaddress' 要向其发送网络消息的操作员的网络地址。netsendaddress为nvarchar（100），默认值为NULL。 'category' 此操作员的类别名称。category的类型为sysname，默认值为NULL。 执行成功后，系统将会如下提示： plaintext Commands completed successfully.

前提条件 已在管理控制台中创建“弹性负载均衡”实例。 1. 登录管理控制台首页，在服务列表中选择“网络 > 弹性负载均衡”。 2. 单击右上角的“创建弹性负载均衡”。 说明： CCE中的负载均衡 ( LoadBalancer )访问类型使用弹性负载均衡 ELB提供网络访问，存在如下产品约束： 自动创建的ELB实例建议不要被其他资源使用，否则会在删除时被占用，导致资源残留。 创建Ingress 您可以在创建工作负载时通过CCE控制台设置访问方式，本节以创建一个nginx工作负载并添加Ingress类型的Service为例进行说明。 步骤 1 创建工作负载，详细步骤请参见创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)。 若创建工作负载时，部署了“节点访问( NodePort )”类型的Service，请直接执行步骤3。 若创建工作负载时，未部署“节点访问( NodePort )”类型的Service，请先执行步骤2。 步骤 2 （可选）若创建工作负载时，未配置“节点访问 ( NodePort )”，请执行如下操作。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。 2. 在Service页签下，单击“添加Service”。选择类型为“节点访问 ( NodePort )”。 − Service 名称：自定义服务名称，可与工作负载名称保持一致。 − 集群名称：选择需要添加Service的集群。 − 命名空间：选择需要添加Service的命名空间。 − 关联工作负载：单击“选择工作负载”，选择需要配置节点访问 ( NodePort )的工作负载名称，单击“确定”。 − 服务亲和： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 − 端口配置： a、协议：请根据业务的协议类型选择。 b、容器端口：容器镜像中工作负载实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 c、访问端口：容器端口映射到节点私有IP上的端口，用私有IP访问工作负载时使用，端口范围为3000032767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 3. 单击“创建”，节点访问方式设置成功。 步骤 3 添加Ingress类型的Service。 1. 单击CCE左侧导航栏的“资源管理 > 网络管理”。 2. 在Ingress页签下，单击“添加Ingress”。 − Ingress 名称：自定义Ingress名称，例如ingressdemo。 − 集群名称：选择需要添加Ingress的集群。 − 命名空间：选择需要添加Ingress的命名空间。 − 负载均衡配置：Ingress使用弹性负载均衡服务（ELB）的负载均衡器提供七层网络访问。 说明： 1. ingress创建后请在CCE页面对所选ELB实例进行配置升级和维护，否则可能导致ingress服务异常。 2. 自动创建的ELB实例尽可能不要被其他ingress或者service使用，否则可能导致资源残留。 负载均衡：负载均衡实例需与当前集群处于相同VPC且为相同公网或私网类型。 请根据业务需求选择“公网”或“私网”。公网支持自动创建和使用已有负载均衡实例两种方式。私网：支持自动创建和使用已有负载均衡实例两种方式。 更改配置：选择“公网 > 自动创建”时，单击规格配置下的“更改配置”，可修改待创建的负载均衡实例的名称、规格、计费模式和带宽。 − 监听器配置：Ingress为负载均衡器配置监听器，监听器对负载均衡器上的请求进行监听，并分发流量。 a、对外协议：支持HTTP和HTTPS。 b、对外端口：开放在负载均衡服务地址的端口，可任意指定。 若选择启用“对接Nginx”后，将默认开启80和443端口，此处“对外端口”参数项将不显示。 c、服务器证书：请选择密钥证书。 须知： 选择HTTPS协议时，才需要创建密钥证书ingresstestsecret.yaml。创建密钥的方法请参见创建密钥。 同一个ELB实例的同一个端口配置HTTPS时，一个监听器只支持配置一个密钥证书。若使用两个不同的密钥证书将两个Ingress添加到同一个ELB下的同一个监听器，ELB侧实际只生效最初的证书。 − 转发策略配置：请求的访问地址与转发规则匹配时（转发规则由域名、URL组成），此请求将被转发到对应的目标Service处理。 说明： 服务负载均衡配置中可更改ELB实例的分配策略类型、会话保持、健康检查等内容，请勿在ELB服务修改相关信息。 − 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 − URL匹配规则： 前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1，/healthz/v2。 精确匹配：表示精准匹配，只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 正则匹配：可设定映射URL规范，例如规范为/[AZaz09.]+/test。只要符合此规则的URL均可访问，例如/abcA9/test，/v1Ab/test。正则匹配规则支持POSIX与Perl两种标准。 − URL：需要注册的访问路径，例如：/healthz。 − 目标Service：请选择已有Service或新建Service。页面列表中仅支持选择“节点访问 ( NodePort )” 类型的Service，该查询结果已自动过滤。 − Service访问端口：可选择目标Service的访问端口。 − 服务负载均衡配置：该配置是基于服务的配置，若有多条路由使用当前服务，这些路由将使用相同的服务负载均衡配置。 健康检查：默认不启用。请根据界面提示进行配置。 − 操作：可单击“删除”按钮删除该配置。 单击“添加转发策略”按钮可添加多条转发策略。 步骤 4 配置完成后，单击“创建”。 创建完成后，在Ingress列表可查看到已创建成功的Ingress。 步骤 5 访问工作负载（例如名称为defaultbackend）的“/healthz”接口。 方式一：负载均衡IP访问（需负载均衡访问的服务不能配置域名） 1. 获取defaultbackend“/healthz”接口的访问地址，访问地址有负载均衡实例、对外端口、映射URL组成，例如：10.154.73.151:80/healthz。 a. 在左侧导航栏选择“资源管理 > 网络管理”。 b. 在“Ingress”页签下，单击Ingress名称，可查看访问地址。 2. 在浏览器中输入“/healthz”接口的访问地址，如： 访问defaultbackend“/healthz”接口 方式二：域名访问 以ingress中已配置域名ingress.com为例。 1. 获取ingressdemo的域名与访问地址的IP、URL与端口。 a. 在左侧导航栏选择“资源管理 > 网络管理”。 b. 在“Ingress”页签下，可查看访问地址。 c. 单击Ingress名称，可查看域名。 2. 在本地主机的C:WindowsSystem32driversetchosts中配置访问地址的IP和域名，如下图： 3. 在浏览器中输入 更新Ingress 您可以在添加完Ingress后，更新此Ingress的端口、域名和路由配置。操作如下： 说明： Ingress创建后请避免在ELB服务的控制台中操作Ingress对接的ELB资源，如需修改请在CCE控制台中对所选ELB实例进行配置升级和维护，否则可能导致Ingress服务异常。 在CCE控制台中更新Ingress时，负载均衡配置中可更改ELB实例的分配策略类型、会话保持、健康检查等内容，请勿在ELB服务修改相关信息。 自动创建的ELB实例尽可能不要被其他Ingress或者Service使用，否则可能导致资源残留。 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在Ingress页签下，选择对应的集群和命名空间，单击待更新Ingress后方的“更新”。 步骤 2 在“更新Ingress”页面，更新如下参数： 监听器配置 对外端口：开放在负载均衡服务地址的端口，可任意指定。 转发策略配置 服务负载均衡配置： 单击展开后，可对如下参数进行设置： − 健康检查：默认开启。请根据界面提示进行配置。 单击“添加转发策略”按钮可添加多条转发策略。 − 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 − URL匹配规则： a、前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1，/healthz/v2。 b、精确匹配：表示精准匹配，只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 c、正则匹配：可设定映射URL规范，例如规范为/[AZaz09.]+/test。只要符合此规则的URL均可访问，例如/abcA9/test，/v1Ab/test。正则匹配规则支持POSIX与Perl两种标准。 − URL：需要注册的访问路径，例如：/healthz。 − 目标Service：请选择已有Service或新建Service。页面列表中仅支持选择“节点访问 ( NodePort )” 类型的Service，该查询结果已自动过滤。Service访问端口：可选择目标Service的访问端口。 − 服务负载均衡配置：该配置是基于服务的配置，若有多条路由使用当前服务，这些路由将使用相同的服务负载均衡配置。详细配置请参见服务负载均衡配置.docx

iscsid守护进程移动到宿主机的升级 升级前的版本values.yaml中没有参数iscsiOnHost（1.5.1之前版本不能设置该参数），升级后values.yaml中参数iscsiOnHost设置为true。 升级前的版本values.yaml中参数iscsiOnHost设置为false，升级后values.yaml中参数iscsiOnHost设置为true。 升级步骤 1. 暂停CSI相关业务，以及存量计算节点POD所有业务，留出升级时间。执行下列命令后，禁止用户执行创建PV、删除PV、POD挂载存储、卸载POD等CSI相关的业务。 plaintext kubectl delete daemonset csistorpluginnode 2. 在Kubernetes所有的slave节点宿主机安装iSCSI工具，并配置/etc/iscsi/iscsid.conf。 1. 安装iSCSI工具。 如果操作系统是CentOS/RHEL，请安装iscsiinitiatorutils，安装命令如下： plaintext yum y install iscsiinitiatorutils 注意 安装iSCSI initiator 6.2.087410 或以上版本。 如果操作系统是Ubuntu/Debian，安装命令如下： plaintext apt install openiscsi 2. 修改/etc/iscsi/iscsid.conf配置文件。 plaintext 如需启用iscsi target迁移自动恢复， 那么得将iscsid.safelogout设置为No iscsid.safelogout No 3. 在各宿主机启动iSCSI进程。 plaintext systemctl enable iscsid systemctl restart iscsid 确认iSCSI进程状态正常 systemctl status iscsid 3. 在Kubernetes所有的slave节点宿主机配置MPIO。 1. 安装 MPIO。 说明 如果已安装MPIO，忽略此步骤。 对于CentOS： plaintext yum y install devicemappermultipath devicemappermultipathlibs 对于Ubuntu： plaintext apt install multipathtools 2. 配置 MPIO。 1. 复制/usr/share/doc/devicemappermultipath X.Y.Z /multipath.conf （其中X.Y.Z 为multipath的实际版本号，请根据实际情况查找multipath.conf）到/etc/multipath.conf。 2. 在/etc/multipath.conf中增加如下配置： 注意 配置文件multipath.conf中，如果multipath部分与devices部分中有相同参数，multipath中的参数值会覆盖devices中的参数值。为了正常使用HBlock卷，需要删除multipath中的与下列字段相同的参数。 如果升级前修改过stormultipathconf（可通过kubectl describe cm stormultipathconf查看文件内容），且与下列文件不一致，请务必联系天翼云客服后再做操作，否则可能会引起升级失败或者异常。 plaintext defaults { userfriendlynames yes findmultipaths yes uidattribute "IDWWN" } devices { device { vendor "CTYUN" product "iSCSI LUN Device" pathgroupingpolicy failover pathchecker tur pathselector "roundrobin 0" hardwarehandler "1 alua" rrweight priorities nopathretry queue prio alua } } 3. 重启multipathd服务。 对于CentOS： plaintext systemctl restart multipathd systemctl enable multipathd 对于Ubuntu： plaintext systemctl restart multipathtools.service systemctl enable multipathtools.service 4. 更新驱动镜像：请根据逐台导入镜像的方式或docker私仓导入镜像的方式章节的步骤，导入最新安装包的驱动。 5. 在升级版本的charts/csidriverstor下修改values.yaml： 使其HBlock相关配置与升级前版本的相同。 iscsiOnHost设置为true。 6. 在升级版本的charts/csidriverstor下执行下列命令升级： plaintext helm upgrade stor ./ 7. 升级后检查： 进入各CSI POD，执行ps ef，确认容器内没有进程：multipathd f、iscsid f。 可以在宿主机启动样例POD，进行基础流程测试，确认功能正常。 重启Kubernetes所有的slave宿主机节点，确认各存量POD能正确启动。（如果不验证重启恢复的场景，可跳过这步。） 从低版本（小于等于1.6.0）升级到高版本（大于等于1.6.1）后，如存在业务POD，确保在没有正在新建或者删除POD的前提下，执行命令kubectl get pod A grep csistorpluginnode awk '{print $2}' xargs I {} kubectl exec {} c storpluginnode sh c'/storadmupgrade addmissingtrackfile'，补齐缺失的trackfile。 注意 kubectl get pod A grep csistorpluginnode的作用是过滤出所有CSI节点的驱动POD。执行此命令前需管理员检查此处需要与驱动实际部署方案一致，如果不一样，请修改为对应CSI节点的驱动POD。 命令执行完成后，将显示添加成功与失败的 tracefile 数量。若存在添加失败的情况（如提示“Failed to add x file(s)”），管理员需及时排查原因并处理。 如果用户使用了自定义的驱动部署方案，请注意：storadm工具的执行依赖于环境变量DRIVERNAME和KUBENODENAME，因此必须在 CSI Node Server 的Pod中配置这两个环境变量，否则可能导致功能异常。 plaintext env: name: DRIVERNAME value: 驱动名 name: KUBENODENAME valueFrom: fieldRef: apiVersion: v1 fieldPath: spec.nodeName

本文帮助您快速熟悉负载均衡服务HTTP监听器的添加。 添加HTTP监听器 操作场景 HTTP协议适用于需要对数据内容进行识别的应用，如Web应用、门户网站等。 前提条件 您已经创建了弹性负载均衡实例。具体操作详见创建弹性负载均衡器。 操作步骤 步骤一：创建监听器 1. 登录弹性负载均衡弹性负载均衡控制台； 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1； 3. 选择以下一种方法打开监听器配置向导。 在负载均衡器列表页面页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在负载均衡器列表页面，找到目标实例，单击“实例名称”进入实例详情页，单击添加“监听器”。 4. 在协议&监听配置向导依据HTTP监听器配置说明完成以下配置，然后点击下一步。 HTTP监听器配置说明 监听配置 说明 名称 设置监听器的名称，名称应为232位，英文开头，支持大小写英文和数字。 负载均衡器协议/端口 下拉列表选择HTTP协议，输入监听端口，取值范围1~65535。 描述 可选，填写监听器描述。 高级配置 监听器的特定参数配置：重定向 重定向 仅集群模式资源池支持开启重定向，将把此HTTP监听器的访问请求重定向至选定的HTTPS监听器。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。此功能方便业务从HTTP迁移至HTTPS的场景，可将习惯性访问HTTP的客户端平滑迁移到HTTPS。前置条件：需要预先配置好HTTPS监听器。开启重定向后，下方出现重定向至选项，从下拉列表框选择目标HTTPS监听器。注意：只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，如需获取源IP能力，请在重定向后监听器开启。 NAT64 支持将v6地址的请求转发到v4后端主机。集群模式支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 请求超时时间 输入范围1~300s, 缺省60s。集群模式资源池支持设置HTTP请求超时时间，在请求超时时间内接收请求的后端主机无响应，负载均衡会向所有其它后端主机重试请求。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。如果重试所有后端主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 空闲超时时间 输入范围1~300s, 缺省15s。集群模式资源池支持设置HTTP连接的空闲超时时间。在空闲超时时间后仍没有访问请求，负载均衡会中断当前连接。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 附加HTTP头字段 通过XForwardedFor获取客户端IP：开启获取客户端IP，将通过XForwardedFor头字段携带客户端源真实IP。 通过XForwardedProto获取监听协议：集群模式资源池支持XForwardedProto来获取客户端与负载均衡监听连接时所用的协议（HTTP/HTTPS）。 通过XForwardedPort获取监听端口：支持XForwardedPort获取客户端与负载均衡监听连接时所用的端口。 主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 QPS限速 开启每秒查询次数QPS限速，可设置此监听服务的QPS上限，减轻高访问量服务切换过程中后端服务器压力。输入范围1~200000，单位qps(query per second)，缺省 10000。集群模式资源池支持设置QPS，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 访问控制 选择是否开启访问控制。开启访问控制后，选择一种访问控制方式：黑名单、白名单。并设置访问策略组作为该监听器的白名单或黑名单。白名单：允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求，白名单适用于只允许特定IP访问的场景。黑名单：禁止特定IP访问负载均衡，不转发来自所选访问策略组中的IP或地址段，黑名单适用于只限制特定IP访问的场景。

介绍分布式消息服务Kafka创建Topic的功能操作内容。 场景描述 Kafka的新建主题操作适用于以下场景： 系统扩展：当系统需要扩展以处理更多的数据时，可以通过新建主题来增加数据存储和处理的容量。管理员可以根据系统需求创建新的主题，并配置适当的分区和副本数量。 数据分流：在某些情况下，需要将特定类型或特定来源的数据分流到不同的主题中进行处理。通过新建主题，可以为这些特定的数据流创建专门的主题，并将相应的数据写入这些主题中。 数据分析和实时处理：新建主题可以用于数据分析和实时处理场景。根据不同的分析需求，可以为特定的分析任务创建新的主题，将相关的数据写入这些主题中供分析和处理。 业务需求变更：当业务需求发生变化时，可能需要创建新的主题来适应新的数据处理流程或数据存储需求。通过新建主题，可以根据新的业务需求重新组织和管理数据。 数据隔离和权限控制：有时候需要对不同的数据进行隔离和权限控制，以确保数据的安全性和私密性。通过新建主题，可以为不同的数据创建独立的主题，并设置相应的权限和访问控制规则。 总之，Kafka的新建主题操作适用于各种需要扩展、分流、分析和处理数据的场景，以及应对业务需求变更和数据隔离的需求。 操作步骤 创建Topic （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“Topic管理”后，点击“创建Topic”。 （5）点击“创建Topic”后，输入Topic名称、分区数等参数。 表：Topic参数说明 参数 参数说明 Topic名称 Topic名称，英文字母、数字、下划线开头，且只能由英文字母、数字、中划线、下划线组成，长度为364个字符。创建Topic后不能修改名称。 分区数 您可以设置Topic的分区数，分区数越大消费的并发度越大。该参数设置为1时，消费消息时会按照先入先出的顺序进行消费。取值范围：1100，默认值：6 副本数 每个Topic设置副本的数量，Kafka会自动在每个副本上备份数据，当其中一个Broker节点故障时数据依然是可用的，副本数越大可靠性越高。默认值：3 分区容量 每个分区的数据量的最大值，超过这个值后前面生产的消息将会被删除，保证了数据不会无限上涨挤爆磁盘。 是否同步刷盘 同步刷盘即确保消息被写入磁盘才会被认定为生产成功，该参数可提高可靠性，但是会影响性能。 消息保留时长 当消息生存时间超过该时长后，将会被清理，可用于控制存储成本。 最小同步副本数 该参数使得消息必须写入设定值个数的副本后，才能被认定生产成功，该参数可提高可靠性，但是过大会影响性能，且必须不大于副本数。 批处理消息最大值 每个批次中最大允许的消息大小，这影响了每次请求中能包含的消息总量和大小。 消息时间戳类型 CreateTime: 这是消息被生产者发送到Kafka时的时间戳，它表示消息创建的实际时间；LogAppendTime: 这是消息被Kafka日志接收并写入到日志文件时的时间戳，它表示消息写入 Kafka 的实际时间。 描述 topic的描述字段，可用作标记和说明。 标签 标签用于从不同维度对资源分类管理。 预设ACL策略 勾选提前设置好的 ACL 策略，具体 ACL 策略设置可参考用户管理页面的ACL策略管理。 消息清除策略 delete：超过消息保留时长后，消息将被删除。compact：超过消息保留时长后，消息将会被压缩而不是直接删除。 允许unclean副本选举 开启该选项后，不在ISR的副本也将可以参与leader选举。 分片滚动时间 当一个日志段的最老消息的创建时间与当前时间的差值达到该配置的值时，Kafka 会创建一个新的日志段。 分片大小 当一个日志段的大小达到该配置的值时，Kafka 会创建一个新的日志段。该配置和分片滚动时间配置可以同时使用，具体看哪个条件先行触发。 批量创建Topic （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“Topic管理”后、点击“导入Topic”。 （5）点击“导入Topic”后，出现如下界面，点击“下载模板”按钮，获取模板，修改后上传进行导入。 （6）点击“上传文件”完成批量创建。 模板如下。

本节介绍了通过外部镜像文件创建Linux系统盘镜像的流程等内容。 流程概览（Linux） 除了可以通过云主机创建私有镜像，系统也支持外部镜像导入功能，可将您本地或者其他云平台的主机系统盘镜像文件导入至镜像服务私有镜像中。导入后，您可以使用该镜像创建新的云主机，或对已有云主机的系统进行重装。 创建过程 私有镜像创建过程如下图所示。 步骤说明如下： 1. 准备符合平台要求的外部镜像文件，请参考下文“准备镜像文件（Linux）”。 2. 上传外部镜像文件到OBS个人桶中，请参考下文“上传镜像文件（Linux）”。 3. 通过管理控制台选择上传的镜像文件，并将镜像文件注册为私有镜像，请参考下文“注册镜像（Linux）”。 4. 私有镜像注册成功后，使用该镜像创建新的云主机，请参考下文“使用镜像创建弹性云主机（Linux）”。 准备镜像文件（Linux） 您需要提前准备好符合条件的镜像文件。 说明： 下表中，文件系统、网络、驱动相关的配置需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像文件。当然，您也可以使用弹性云主机完成这些配置，具体操作请参见Linux外部镜像文件在导出前未完成初始化配置，怎么办？ Linux 操作系统的镜像文件限制 镜像文件属性 条件 :: 操作系统 SUSE、Oracle Linux、Red Hat、Ubuntu、openSUSE、CentOS、Debian、Fedora、EulerOS 支持32位和64位 操作系统不能与特定的硬件绑定 操作系统必须支持全虚拟化 所支持的操作系统版本请参考外部镜像文件支持的格式和操作系统类型，在此范围内的操作系统支持后台自动化配置（详情请参阅通过镜像文件注册私有镜像过程中，系统会对镜像做哪些修改？），在此之外的操作系统请您自行排查及安装virtio驱动，在注册镜像页面选择Other Linux，导入后系统启动情况取决于驱动完备度。 镜像格式 VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD 镜像大小 镜像大小不超过128GB。 网络能力 必选项，不设置会导致云主机启动异常或网络能力异常，包括： 清理网络规则文件 设置网卡属性为DHCP 可选项，即增值能力，主要包括： 开启网卡多队列 开启网卡多队列功能可以将网卡中断分散给不同的CPU处理，实现负载均衡，从而提升网络PPS和带宽性能。操作方法请参考如何设置镜像的网卡多队列属性？。 配置动态获取IPv6地址 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。镜像中配置动态获取IPv6地址，发放的云主机能够同时支持IPv4和IPv6地址。配置方法请参考如何开启云主机动态获取IPv6？。 工具 强烈建议安装CloudInit工具。 CloudInit是开源的云初始化工具，使用安装了CloudInit的镜像创建云主机时可以通过“用户数据注入”功能，注入初始化自定义信息（例如为云主机设置登录密码）；还可以通过查询、使用元数据，对正在运行的云主机进行配置和管理。不安装CloudInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 安装方法请参考安装CloudInit工具。 插件 为了保证使用私有镜像创建的新云主机可以实现一键式重置密码功能，建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。详情请参见安装一键式重置密码插件（Linux）。 驱动 安装原生的KVM驱动 文件系统 修改grub文件磁盘标识方式为UUID 修改fstab文件磁盘标识方式为UUID 其他限制 暂不支持创建带有数据盘的镜像，镜像文件中必须只能包含系统盘，且系统盘大小范围为：[40GB, 1024GB] l 镜像文件的初始密码至少包含以下4种字符：大写字母、小写字母、数字、特殊字符（!@$%^+[{}]:,./?） 镜像启动分区和系统分区必须包含在同一个磁盘中 “/etc/fstab”文件中不能包含非系统盘的自动挂载信息，否则创建的云主机可能无法正常登录。 l 如果外部镜像文件的系统盘为LVM设备，通过该镜像文件注册的私有镜像用来创建云主机时，不支持文件注入。 外部镜像文件所在虚拟机如果经历了关机过程，则必须是优雅关机，否则使用私有镜像创建的云主机在启动时可能会出现蓝屏。

入门指引 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。本文档将帮助您学习如何安装容器引擎以及如何使用容器引擎客户端上传镜像到容器镜像仓库。 说明 上传镜像仅适用于管理控制台操作。 图 入门流程图 准备工作 在使用容器镜像服务前，您需要完成天翼云注册并实名认证的准备工作。 本文以一个2048应用为例，讲述根据该应用编写Dockerfile文件构建镜像并上传至容器镜像服务的操作。您可以编写一个Dockerfile文件，以alpine:3.7为基础镜像，来构建一个2048容器镜像。 前提条件 已安装Docker 已获取2048应用，并将该镜像下载至本地。 构建镜像 步骤1： 使用root用户登录虚拟机。 步骤2： 创建2048demo目录。 mkdir 2048demo 步骤3 ：下载2048源码至2048demo目录中。 该应用源码地址为： ，详细命令可参考< t 2048demo:v1：指定镜像的名称和版本。 .：指定Dockerfile所在目录，镜像构建命令会按照Dockerfile的内容构建镜像。 步骤7 ：执行以下命令，可查看到已成功构建的2048demo镜像，版本为v1。 docker images grep 2048demo 查看已构建的2048demo镜像 创建组织 组织用于隔离镜像，并为租户下用户指定不同的权限（读取、编辑、管理）。 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及创建触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、以及共享镜像。 步骤1 ：登录容器镜像服务控制台。 步骤2 ：在左侧菜单栏选择“组织管理”，单击右侧“创建组织”，在弹出的页面中填写“组织名称”，然后单击“确定”。 客户端上传镜像 docker客户端上传镜像，是指使用docker命令将镜像上传到容器镜像服务的镜像仓库。 本章节以2048demo:v1镜像为例，介绍如何上传镜像。上传成功后，在“我的镜像”中显示已上传成功的镜像。 注意 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 上传镜像的Docker客户端版本必须为1.11.2及以上。 步骤1：连接容器镜像服务。 a. 登录容器镜像服务控制台。 b. 在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”，在弹出的页面中单击“生成临时docker login指令”，单击 复制docker login指令。docker login指令末尾的域名即为当前镜像仓库地址，记录该地址。 说明 此处获取的docker login指令有效期为24小时，若需要长期有效的docker login指令，请参见 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 c.在安装Docker的机器中执行上一步复制的docker login指令。 登录成功会显示“login succeeded”。 步骤2：在安装docker的机器给2048demo:v1镜像打标签。 docker tag [镜像名称:版本名称] [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 说明 镜像名称不支持多级目录格式，例如：镜像名称可命名为“2048demo”，不可命名为“2048demo/test”。 样例如下： docker tag 2048demo:v1 {Public image address}/group/2048demo:v1 其中： {Public image address}为容器镜像服务的镜像仓库地址。获取该地址的方式：单击“我的镜像”，单击镜像列表中的镜像名称，在“Pull/Push指南”页签中的“1. 本镜像地址”下可以看到镜像仓库地址。 group为组织名称，如果该组织还没有创建，容器镜像服务会根据组织名称自动创建一个组织。 2048demo:v1 为镜像名称和版本号。 步骤3：上传镜像至镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 样例如下： docker push {Public image address}/group/2048demo:v1 终端显示如下信息，表明push镜像成功。 6d6b9812c8ae: Pushed 695da0025de6: Pushed fe4c16cbf7a4: Pushed v1: digest: sha256:eb7e3bbd8e3040efa71d9c2cacfa12a8e39c6b2ccd15eac12bdc49e0b66cee63 size: 948 返回系统，在“我的镜像”页面，执行刷新操作后可查看到对应的镜像信息。

本节介绍了通过脚本批量更新一键式重置密码插件(Windows系统)的操作场景、前提条件、约束与限制、操作步骤等内容。 操作场景 当您需要对多台Windows系统的云主机批量更新一键式重置密码插件时，可参考本文档操作。 前提条件 登录已准备好的执行机，执行机需满足的条件请参见下文约束与限制。 需要提前准备待批量安装插件的云主机的IP地址、Administrator用户的密码信息。 执行机应该与待更新机器在同一VPC下。 在执行完步骤7之后可以解绑eip。 约束与限制 需要选取一台操作系统为CentOS 8.2（公共镜像）且已绑定弹性公网IP的云主机作为执行机，且与待批量安装插件的弹性云主机之间网络需要互通。 说明 若已配置yum内部源，可不需要绑定弹性公网IP。 操作步骤 1.执行以下命令，安装批量脚本运行所需要的依赖。 yum install epelrelease y yum install ansible y skipbroken 执行ansible version命令检查ansible是否安装成功 说明 如果因为yum源配置问题导致无法安装ansible，可以使用如下命令安装ansible： yum install python3 python3pip pip3 install upgrade pip pip3 install ansible python3.6 m pip install bcrypt3.2.0 paramiko3.3.1 cryptography3.3.0 pywinrm PyYAML Jinja2 httplib2 six 若出现如下图所示报错信息，请执行以下操作。 执行以下命令，安装依赖： dnf install python3devel 然后再次执行以下命令： python3.6 m pip install bcrypt3.2.0 paramiko3.3.1 cryptography3.3.0 pywinrm PyYAML Jinja2 httplib2 six 图 报错信息 2.请参考获取并校验一键式重置密码插件完整性（Windows），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 3.执行以下命令，将对应OS架构的Windows版本的安装包下载到root目录下： 32位操作系统，x86架构： wget 'nocheckcertificate' 64位操作系统，x86架构： wget 'nocheckcertificate' 64位操作系统，ARM架构： wget 'nocheckcertificate' 4.执行以下命令，将批量操作脚本下载到root目录下。 curl URL > ~/batchupdatelog4jversionforwindows.py 其中，URL为批量操作的执行脚本。 选择脚本下载地址： 5.执行以下命令，将更新插件脚本下载到root目录下。 curl URL > ~/updatelog4jversionforresetpwdagentwindows.bat 其中，URL为更新插件脚本的下载地址。 脚本下载地址： 6.检查如下文件是否在root目录下。 batchupdatelog4jversionforwindows.py updatelog4jversionforresetpwdagentwindows.bat CloudResetPwdAgent.zip 7z.exe 7.执行以下命令，新建并编辑hostlist.txt，按i进入编辑模式。 vi hostlist.txt 将需要自动安装驱动的云主机的相关信息填写到hostlist.txt文件中。 填写Administrator用户的IP和密码，请严格按照每行“IP,用户密码”的格式填写，中间以英文逗号隔开。 示例： 192.168.1.10,'' 192.168.1.11,'' 8.执行以下命令，添加ansible配置文件。 mkdir p /etc/ansible touch /etc/ansible/ansible.cfg 运行批量执行操作脚本“batchupdatelog4jversionforwindows.py”。 python3.6 batchupdatelog4jversionforwindows.py 图 运行脚本 9.执行如下命令，在“/root/logs/execorigin.log”的最后一行查看运行结果日志。 vim /root/logs/execorigin.log 若如下图所示，则表示运行成功。 图 运行成功

本节主要介绍OOS的功能特性。 在使用OOS之前，建议您先了解存储桶（Bucket）、对象/文件（Object）、地域（Region）、访问域名（Endpoint）、对象存储网络其他区域及等基本概念，以便更好地使用OOS的功能。OOS主要提供以下功能： 功能名称 功能描述 各区域支持 功能名称 功能描述 对象存储网络区域 港澳台及海外 其他地域 存储类别 OOS提供了标准存储、低频访问型存储两种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 √ √ √ 存储桶管理 OOS提供创建、列举、查看、删除等基本功能，帮助您便捷的进行存储桶管理。 √ √ √ 文件管理 OOS提供上传、下载、复制、移动、删除、分享、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的文件管理需求。 √ √ √ 生命周期管理 OOS可针对某个存储桶下具体前缀或者所有文件设置删除或者转储规则。 √ √ √ 静态网站托管 您可以将静态网站文件上传至OOS存储桶中，并对存储桶赋予匿名用户可读权限，然后将该存储桶配置成静态网站托管模式，以实现在OOS上托管静态网站。 √ √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。 √ √ √ 防盗链 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 √ √ √ 日志 日志功能可以帮助您记录所有object级别的操作记录， 您可以通过控制台日志功能页面“开启”/“不开启”用户日志功能，同时还可以通过设置目标存储桶和路径来指定日志的存储位置。 √ √ √ 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。 √ √ x 清单配置 通过OOS存储桶清单功能可以获取Bucket中指定文件（Object）的大小、存储类型等信息。相对于GET Bucket (List Objects)接口，存储桶清单可以按每天或者每周以CSV的形式输出指定文件的相关信息，且不会影响存储桶的请求速率。在需要列举海量文件的场景中，推荐使用存储桶清单功能。 √ √ x 访问权限控制 OOS支持灵活的授权、鉴权机制，您可以通过以下方式控制OOS资源的访问权限： ACL：通过访问控制列表（ACL）给存储空间和文件授予访问权限，包括公共读写、公共读、私有。 Bucket Policy：通过Bucket Policy功能授权其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 IAM Policy：通过IAM Policy来控制存储空间和文件的访问权限。通过用户、用户组、策略的组合，实现精准的资源权限控制。 STS临时授权：通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证。 √ √ x （IAM Policy和STS暂不支持） 数据位置选择 您可以按需选择存储桶中数据的存储位置，并且支持后期修改。 √ √ x 文件速率和连接数控制 OOS支持单链接限速功能，您可以使用单链接限速功能在上传、下载、拷贝文件时进行流量和并发连接数控制，以保证您其他应用的网络带宽。 √ √ √ 获取文件元数据信息 OOS支持仅获取文件的元数据信息，而不返回数据本身，有效提升响应速度。 √ √ √ 设置HTTP头 OOS支持设置文件的HTTP头，您可以通过设置HTTP头来自定义HTTP请求的策略。例如，缓存策略、文件强制下载策略等。 √ √ √ 图片处理 您可以使用图片处理功能对存放在OOS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 √ √ √ 统计分析 OOS支持查询指定存储桶的使用情况、指定数据域的使用情况。用户可以根据统计分析数据，采取对应的措施。 √ √ x（不支持Bucket维度的统计） 操作跟踪 您可以通过操作跟踪记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中持久存储。 √ √ x API访问 OOS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除存储桶，上传、下载、删除文件等操作。 √ √ √ 控制台访问 OOS提供可视化控制台页面，方便用户使用。 √ √ √ 工具访问 OOS提供迁移工具以及支持第三方工具（S3Browser、S3cmd等），满足不同场景下数据迁移和数据管理需求。 √ √ √ SDK访问 OOS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、JS、Android、IOS、PHP、Go。 √ √ √（不支持PHP和Go）

功能 说明 支持IP或域名，最多可添加60个。 设置CDN在回源时遵循的协议类型，如：HTTP、HTTPS或跟随。 回源协议为HTTPS协议时，默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 设置CDN在回源时使用的端口。 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，CDN在回源时根据HOST信息去对应站点获取资源。 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源host带端口功能，回源时可以在回源host中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 当您的加速域名配置多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云CDN在回源时会根据配置的回源HOST信息去访问不同站点的资源。 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 改写回源请求中的URI。 开启回源302/301跟随功能后，CDN节点会代替用户去处理源站给出的302/301状态码内容，即CDN节点会直接跳转到源站302/301响应中的Location地址请求资源，不会直接把源站响应的302/301跳转地址直接返回给用户。 域名既有IPv4源站，又有IPv6源站，可以配置区分IPv4/IPv6协议回源，实现跟随客户端V4/V6协议回源效果，即：IPv4协议的客户端回IPv4的源站，IPv6协议的客户端回IPv6的源站。 域名有多个源站，且希望通过CDN加速实现多个源站之间负载均衡，可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 改写回源请求URL的查询参数，既问号后的参数值。 开启Common Name白名单功能后，CDN节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 若客户使用媒体存储/对象存储作为源站，在新建Bucket权限选择【私有】之后，需要配置私有Bucket回源功能。 当客户希望CDN基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 回源超时时间可配置回源连接超时时间跟回源请求超时时间。 “回源超时时间设置（新）”与“回源超时时间设置”的区别：新的回源连接超时时间和回源请求超时时间具备内部链路超时时间从回源层往边缘层逐层递增的能力，默认递增1s。可促进回源重试，降低访问异常的概率。

本章节内容主要介绍开发规范 数据库连接 使用DDS时，可能会遇到因为 Mongod/Mongos 连接数用满了，导致客户端无法连接的问题。在Mongod/Mongos的服务端，收到一个新的连接由一个单独的线程来处理，每个线程配置了1MB的栈空间，当网络连接数太多时，过多的线程会导致上下文切换开销变大，同时内存开销也会上涨。 客户端连接数据库的时候，要计算业务一共有多少个客户端，每个客户端配置的连接池大小是多少，总的连接数不要超过当前实例能承受的最大连接数的80%。 对于副本集，客户端需要同时配置主备节点的IP地址, 对于集群，至少配置两个mongos的IP地址。 DDS默认提供rwuser用户，使用rwuser用户登录时认证库必须是admin。 可靠性 write concern设置规则：对于关键业务，write concern设置为{w:n},n>0，数字越大，一致性实现更好，但性能较差。 w:1表示实际写入主节点完成返回。 w:1,journal:true表示写主节点和日志后返回。 w:majority表示大多数备节点写入后返回。 对于可靠性有较高要求的，建议采用3az部署的集群。 性能相关 规范 业务程序禁止执行全表扫描的查询。 执行查询时，只选择需要返回的字段，不需要的字段不要返回。从而减少网络和进程处理的负载，修改数据时，只修改变化需要修改的字段，不要整个对象直接存储全部修改。 避免使用not。DDS并不会对缺失的数据进行索引，因此not的查询条件将会要求在一个结果集中扫描所有记录。如果$not是唯一的查询条件，会对集合执行全表扫描。 用and时把匹配最少结果的条件放在最前面，用or时把匹配最多结果的条件放在最前面。 单个实例中，数据库的总的个数不要超过200个，总的集合个数不要超过500个。 业务上线前，一定要对数据库进行性能压测，评估业务峰值场景下，对数据库的负载情况 禁止同时执行大量并发事务，且长时间不提交。 业务正式上线前， 所有的查询类别，都应该先执行查询计划检查查询性能 建议： 每个连接在后台都是由一个单独线程处理，每个线程会分配1MB的栈内存。所以连接数不宜过多，否则会占用过多的内存。 使用连接池，避免频繁的建立连接和断开连接，否则会导致CPU过高。 减少磁盘读写：避免使用不必要的upsert命令，避免查询不必要的数据。 优化数据分布：对数据进行分片，同时分散热点数据，均衡地使用实例资源。 减少锁冲突：避免对同一个Key，过频繁地操作。 减少锁等待：避免前台创建索引。 注意： 开发过程中对集合的每一个操作都要通过执行explain()检查其执行计划，如： db.TDeviceData.find({"deviceId":"ae4b5769896f"}).explain(); db.TDeviceData.find({"deviceId":"77557c231b4"}).explain("executionStats"); 对于查询而言，因为覆盖查询不需要读取文档，而是直接从索引中返回结果，这样的查询性能好，所以尽可能使用索引覆盖查询。如果explain()的输出显示indexOnly字段为真，则说明这个查询就被一个索引覆盖。 执行计划解析： 看执行时间：executionStats.executionStages.executionTimeMillisEstimate和executionStats.executionStages.inputStage. executionTimeMillisEstimate时间越短越好。 − executionStats.executionTimeMillis表示执行计划选择和执行的所有时间。 − executionStats.executionStages.executionTimeMillisEstimate表示最优执行计划的执行完成时间。 − executionStats.executionStages.inputStage. executionTimeMillisEstimate表示最优执行计划下的子阶段执行完成时间。 看扫描条数：三个条目数相同为最佳。 − executionStats. nReturned表示匹配查询条件的文档数。 − executionStats .totalKeysExamined表示索引扫描条目数。 − executionStats .totalDocsExamined表示文档扫描条目数。 看Stage状态，性能较好的Stage状态组合如下。 − Fetch+IDHACK − Fetch+ixscan − Limit+（Fetch+ixscan） − PROJECTION+ixscan 表 状态说明 状态名称 描述 COLLSCAN 全表扫描 SORT 内存中进行排序 IDHACK 根据id进行查询 TEXT 全文索引 COUNTSCAN 未用索引计数 FETCH 索引扫描 LIMIT 使用Limit限制返回数 SUBPLA 未用索引的$or查询阶段 PROJECTION 限定返回字段时stage的返回 COUNTSCAN 使用索引计数 Cursor使用规则 如果cursor不使用了要立即关闭。由于cursor在10分钟内不活动，就会关闭，立即手动关闭会节省资源。 4.2版本分布式事务使用规则 Spring Data MongoDB不支持事务报错后重试机制，如果客户端使用Spring Data Mongo作为连接MongoDB的客户端，需要依照Spring Data Mongo的参考文件，使用Spring Retry进行事务的重试操作。 分布式事务操作数据的大小不能超过16MB。

针对DDoS高防（边缘云版）续费情况，为您进行说明，请在续费前务必阅读以下内容。 规则说明 1. 只有通过实名认证的客户，才可以执行续订操作。 2. 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 3. 已退订或释放的资源不可续费。 4. 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 5. 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。

本节介绍了初始化容量大于2TB的Windows数据盘(Windows 2008)的操作场景、前提条件、操作指导等内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Standard 64bit”、磁盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见初始化容量大于2TB的Windows数据盘（Windows 2008）。关于磁盘分区形式的更多介绍，请参见场景及磁盘分区形式介绍。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 操作指导 步骤 1 在云主机桌面，单击“开始”。 弹出开始窗口。 步骤 2 在“计算机”栏目，右键单击菜单列表中的“管理”。 弹出“服务器管理器”窗口，如图所示。 图 服务器管理器(Windows 2008) 步骤 3 在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 在磁盘1区域，右键单击菜单列表中的“联机”。 如图所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图 联机成功(Windows 2008) 步骤 4 在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。 弹出“初始化磁盘”窗口，如图所示。 图 初始化磁盘(Windows 2008) 步骤 5 在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。 返回“服务器管理器”窗口，如图所示。 图 服务器管理器窗口(Windows 2008) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 步骤 6 在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如图所示。 图 新建简单卷向导(Windows 2008) 步骤 7 根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如图所示。 图 指定卷大小(Windows 2008) 步骤 8 指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如图所示。 图 分配驱动器号和路径(Windows 2008) 步骤 9 分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如图所示。 图 格式化分区(Windows 2008) 步骤 10 格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如图所示。 图 完成新建卷 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 步骤 11 单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如图所示。 图 初始化磁盘成功(Windows 2008) 步骤 12 新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 若如图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2008)

$ % ^ & ( ) + [ ] { } ; : , . / ?), and must not contain any of the following: 3 consecutive repeating characters, 3 consecutive or inreverse order of numbers or letters (caseinsensitive) , 3 consecutive or inreverse order of keyboard sequences (caseinsensitive). 新密码不符合规则。长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: the first node type must be root. 节点类型的包含关系错误，第一个节点必须是root。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: childNodes of room are limited to [rack, server], childNodes of rack to [server], childNodes of server to [path] only. 节点类型的包含关系错误。room的节点仅限于rack、server，机架的子节点是server，server的子节点是path。 400 InsufficientPath The base storage pool must have at least one disk path. 基础存储池至少要有一个数据目录。 400 InvalidPort Value valueat 'argument' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidPortRange Value value at 'port range' failed to satisfy constraint: Argument must satisfy pattern 'port1port2', where port1, port2 are positive integers between 1 and 65535, port1 is less than port2. 参数必须是“port1port2”格式，port1和port2必须是介于[1,65535]之间的正整数，且port1小于port2。 400 InvalidPublicNetwork Value publicNetwork at 'public network' failed to satisfy constraint: Argument must satisfy CIDR specifications. 业务网格式错误。 400 InvalidServers The current server is not in the servers list. 当前服务器不在servers列表内。 400 InvalidServersCount The number of servers for xx service shoule be value. XX服务的服务器数量应该为value台。 400 InvalidStorName Value 'value' at 'argument' failed to satisfy constraint: Argument can only contain letters, digits, hyphens () or underscores (), and does not exceed 64 characters, must begin with a letter or digit. HBlock名称不合法。 400 InvalidTopologyContent The content of the topology is not compliant. 拓扑文件内容解析错误。 400 MissingClusterNetwork Value null at 'cluster network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，集群网不能为空。 400 MissingPublicNetwork Value null at 'public network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，业务网不能为空。 400 NotInterfaceIP The IP IP is not an interface IP address, check and retry. IP地址不是服务器的接口IP，请修改并重试。 400 ProductTypeDoesNotMatch HBlock product type does not match. 产品类型不一致。 400 ServerAlreadyInitialized The server has been initialized. 服务器已初始化。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 TooFewServers The number of servers must be greater than or equal to 3. 服务器必须大于等于3台。 400 UnrecognizedServer Value IP at 'argument' failed to satisfy constraint: Argument must be in the setup server list. 服务器IP不在初始化服务器列表内。 400 VersionDoesNotMatch Please replace the HBlock version of server serverIP [,serverIP...] to clutserVersion, then try again. 版本号不一致。 403 InvalidUserName Invalid user name. 用户名不正确。 403 InvalidUserNameOrPassword Invalid user name or password hash. 用户名或密码不正确。 409 PortChanged Initialization failed because the port on the server serverIP is currently used by another service during the initialization process. Please try again. 端口在初始化过程中被其他服务占用，请重试。 409 PortConflict The following port is/ports are in use. serverID/IP/local server: portname port[, portname port...] [ serverID/IP/local server: portname port[, portname port...]...] 端口冲突。 500 InitializeServerFailed Server serverIP initialization failed, please check the firewall, network, memory, diskpath, etc, or contact technical team for support. 服务器初始化失败，请检查防火墙、网络、内存、数据目录等设置，或联系技术团队进行支持。

本文为您提供一个以AD FS与天翼云进行用户SSO的示例,以在Windows Server 2012 R2 ECS实例上搭建的AD FS为例进行介绍。 在IAM中将AD FS配置为可信SAML IdP 1. 下载AD FS的元数据XML文件。 2. 在IAM控制台使用下载好的元数据文件完成配置。具体步骤请参考用户SSO概览中的配置步骤天翼云配置。 说明 如果元数据文件超过大小限制，可以删除fed:ClaimTypesRequested 和fed:ClaimTypesOffered中的所有内容。 在AD FS中将天翼云配置为信任方和配置映射关系 1. 在管理工具AD FS管理中，点击信任关系，右键点击信赖方信任，点击添加信赖方信任。 2. 选择“导入有关在线或本地网络上发布的信赖方的数据”。填写链接如下： 3. 其他信赖方选项按照默认配置，点击下一步直到完成。点击编辑声明规则。在颁发转换规则中，点击添加规则。 4. 配置名称 ID声明。勾选使用转换传入声明,传出声明选择名称ID，传入声明选UPN。 5. 配置身份提供商Id声明。勾选以声明方式发送组成员身份，传出声明为idpId,传出声明值在身份提供商配置查看。 6. 配置AD用户与天翼云IAM用户的映射关系。在进行IAM用户映射登录时，支持以下两种方式配置AD用户与天翼云IAM用户的映射关系。建议以邮箱匹配（b）的方式完成用户映射。 注意 如果两种配置都进行了配置，会以a方式中所示的userId优先进行匹配。因此如果需要使用b方式中按照邮箱匹配的方案，请先删除配置的对userId的映射。 7. 配置天翼云IAM用户的映射，您可以从以下两种方式中选择一种完成映射。 1. 配置天翼云IAM用户的userId完成映射。这一方式采用天翼云IAM用户的userId和AD用户进行映射配置，具体操作如下：在编辑声明规则中，勾选以声明方式发送组成员身份，传出声明为userId，传出声明值为天翼云用户ID。 注意 这条映射代表将指定用户组下的成员，都映射为天翼云中的一个IAM用户。如果需要进行多条映射，需要设置多条同类规则，例如：AD FS用户组A映射为IAM用户a，AD FS用户组B映射为IAM用户b。 3. 配置天翼云IAM用户的邮箱以完成映射（推荐）。这一方式采用天翼云IAM用户的邮箱与AD用户进行映射配置，具体操作如下：在编辑声明规则中，选择转换传入声明，在传入声明类型中，勾选UPN；在传出声明类型中，输入email。如果UPN能够与天翼云用户的邮箱匹配，请勾选传递所有声明值，例如，AD用户登录的UPN为testUser@cty.cn，则需要新建一个天翼云IAM子用户，邮箱为testUser@cty.cn，以此类推为不同的AD用户完成匹配。 注意 如果天翼云用户邮箱后缀和AD用户的UPN不同，可以选择将传入电子邮件后缀替换为新电子邮件后缀，并填写电子邮件后缀，例如AD用户testUser@cty.cn，配置将传入电子邮件后缀替换为新电子邮件后缀，填写新后缀为aduser.cn，则可以匹配到天翼云IAM子用户testUser@aduser.cn。 8. 配置账户Id声明。勾选使用转换传入声明,传出声明为accountId,配置规则如下，传入账户的唯一标识，可以UPN、email、IDP侧用户ID、主SID。 9. 配置UPN转换规则，传入声明为UPN，传出声明固定输入nickName。

本文介绍如何为应用挂载数据卷。 Docker镜像是由多个文件系统叠加而成，当启动一个容器的时候，Docker会加载只读镜像层并在上面添加一个读写层。当删除Docker容器并通过该镜像重新启动时，之前的更改将会丢失。为了能够保存数据以及共享容器间的数据，Docker提出了数据卷的概念。简单来说，数据卷就是目录或者文件，它可以绕过默认的联合文件系统，以正常的文件或者目录的形式存在于主机上。 在Docker中，数据卷只是磁盘或另一容器中的目录。其生命周期不受管理，且Docker现在提供的卷驱动程序功能非常有限。容器引擎CCE采用的是Kubernetes的数据卷的概念，Kubernetes数据卷具有完善的生命周期管理，支持多种类型的数据卷，同时实例可以使用任意数量的数据卷。 云容器引擎支持四类本地磁盘挂载类型：支持hostPath、emptyDir、configMap、secret。各类型说明如下： hostPath：指定主机中的文件或目录挂载到容器的某一路径中； EmptyDir：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除， 数据会永久丢失； ConfigMap：将配置文件中的key映射到容器中，可以用于挂载配置文件到指定容器目录； Secret：将密钥中的数据挂载到指定的容器路径。 操作步骤 1.在创建应用或升级应用流程中，进去容器设置步骤，点击【数据存储】，点击【添加本地磁盘】，进入本地磁盘添加页面； 1）卷类型选择hostPath，表示在容器上挂载宿主机上的文件或目录。通常用于“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”，具体参数说明如下所示： 参数 参数说明 存储类型 选择主机路径 主机路径 输入主机路径，如/tmp 挂载路径 数据卷挂载到容器上的路径 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 子路径 相对路径 权限 只读：只能读容器路径中的数据卷； 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失； 2）卷类型选择emptyDir：容器分配到节点时系统将自动创建卷，初始内容为空。在同一个Pod中所有容器可以读写emptyDir中的相同文件。当Pod从节点上移除时，empryDir中的数据也会永久删除。通常用于临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择临时路径 磁盘介质 不勾选：存储在硬盘上，适用于数据量大，读写效率要求低的场景 勾选：存储在内存中，适用于数据量少，读写效率要求高的场景 挂载路径 数据卷挂载到容器上的路径。 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 权限 只读：只能读容器路径中的数据卷 可写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失 3）卷类型选择configMap：平台提供应用代码和配置文件的分离，configMap用于处理应用配置参数。用户需要提前创建应用配置，操作步骤请参见创建配置项，临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择配置项 配置项 选择已经建立好的配置项 说明： configMap需要提前创建 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 4）卷类型选择secret：用户需要提前创建私密凭据，操作步骤请参见创建私密凭据,临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择私密凭据 卷类型 选择已经创建好的私密凭据 说明： secret需要提前创建，请参见 创建私密凭据 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 2.点击【添加容器挂载】，可新增挂载项，点击【删除】可删除之前的容器挂载配置； 3.点击【确定】，完成本地磁盘的添加。

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通添加路由 操作场景 私网NAT网关配置完成后，您还需要在业务VPC中添加指向私网NAT网关的路由。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在系统首页，选择“网络 > 虚拟私有云”。 4. 在左侧导航栏选择“路由表”。 5. 在路由表列表中，单击业务VPC的路由表名称。 单击“添加路由”，按照提示配置参数。 参数 参数说明 示例 目的地址 目的地址网段。配置为IDC（目的VPC）的私网网段。 10.0.0.0/24 下一跳类型 下一跳资源类型选择“NAT网关”。 NAT网关 下一跳 下一跳资源选择创建的私网NAT网关。 privatenat01 描述 路由的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。 6. 单击“确定”，完成添加。

参数 说明 取值样例 协议端口 安全组规则作用的协议。 目前支持“全部方通”、“全部TCP”“自定义TCP”、“全部UDP”、“自定义UDP”“ICMP”和“GRE”等协议。 选择“全部放通”，表示全部协议端口。 自定义TCP 协议端口 端口：允许远端地址访问弹性云主机指定端口。 通过内网连接实例 时，输入已购买弹性云主机的目标实例的端口。 单个端口：例如22 连续端口：例如2230 全部端口：为空或165535 源地址 源地址：可以是IP地址、安全组。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 操作 支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。

参数 说明 取值样例 协议端口 安全组规则作用的协议。 目前支持“全部方通”、“全部TCP”“自定义TCP”、“全部UDP”、“自定义UDP”“ICMP”和“GRE”等协议。 选择“全部放通”，表示全部协议端口。 自定义TCP 协议端口 端口：允许远端地址访问弹性云主机指定端口。 通过内网连接实例 时，输入已购买弹性云主机的目标实例的端口。 单个端口：例如22 连续端口：例如2230 全部端口：为空或165535 地址 源地址：可以是IP地址、安全组。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 操作 支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。

Logstash部署在弹性云主机上时导入数据 当Logstash部署在同一VPC的弹性云主机时，导入数据的流程说明如下图所示。 Logstash部署在弹性云主机上时导入数据示意图 1.确保已部署Logstash的弹性云主机与待导入数据的集群在同一虚拟私有云下，已开放安全组的9200端口的外网访问权限，且弹性云主机已绑定弹性IP。 说明 如果同一个VPC内有多台服务器，只要其中一台绑定了弹性IP，其他的服务器可以不需要绑定弹性IP。通过绑定弹性IP的节点跳转到部署Logstash的节点即可 。 如果有专线或者VPN，也不需要绑定弹性IP。 2.使用PuTTY登录弹性云主机。 例如此服务器中存储了需要导入的数据文件“access20181029log”，文件存储路径为“/tmp/accesslog/”，此数据文件中包含的数据如下所示： All Heap used for segments 18.6403 MB All Heap used for doc values 0.119289 MB All Heap used for terms 17.4095 MB All Heap used for norms 0.0767822 MB All Heap used for points 0.225246 MB All Heap used for stored fields 0.809448 MB All Segment count 101 All Min Throughput indexappend 66232.6 docs/s All Median Throughput indexappend 66735.3 docs/s All Max Throughput indexappend 67745.6 docs/s All 50th percentile latency indexappend 510.261 ms 3.执行如下命令在Logstash的安装目录下新建配置文件logstashsimple.conf。 cd / / vi logstashsimple.conf 在配置文件logstashsimple.conf中输入如下内容。 input { 数据所在的位置 } filter { 数据的相关处理 } output { elasticsearch{ hosts > " "} } input：指明了数据的来源。实际请根据用户的具体情况来设置。 filter：对日志进行了提取和处理，将非结构化信息转换为结构化信息。 output：指明了数据的目的地址。 为集群中节点的内网访问地址和端口号。 当集群包含多个节点时，为了避免节点故障，建议将上述命令中 替换为该集群中多个节点的内网访问地址和端口号，多个节点的内网访问地址和端口号之间用英文逗号隔开，填写格式请参见如下示例。 hosts > ["192.168.0.81:9200","192.168.0.24:9200"] 当集群只包含一个节点时，填写格式请参见如下示例。 hosts > "192.168.0.81:9200" 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。需导入数据的集群，其节点内网访问地址和端口号为“192.168.0.81:9200”。导入数据的索引名称为“myindex”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input { file{ path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output { elasticsearch { hosts > "192.168.0.81:9200" index > "myindex" documenttype > "mytype" } } 如果集群开启了安全模式，则需要先下载证书。 a. 在集群基本信息页面下载证书。 详见下图：下载证书 b. 将下载的证书存放到部署logstash服务器中。 c. 修改配置文件logstashsimple.conf。 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。跳转主机的公网IP和端口号为“192.168.0.227:9200”。导入数据的索引名称为“myindex”，证书存放路径为“/logstash/logstash6.8/config/CloudSearchService.cer”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input{ file { path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output{ elasticsearch{ hosts > [" index > "myindex" user > "admin" password > "" cacert > "/logstash/logstash6.8/config/CloudSearchService.cer" } } 说明 password：登录安全集群的密码 。 4.执行如下命令将Logstash收集的弹性云主机的数据导入到集群中。 ./bin/logstash f logstashsimple.conf 5.登录云搜索服务管理控制台。 6.在左侧导航栏中，选择“集群管理”，进入集群列表页面。 7.在集群列表页面中，单击待导入数据的集群“操作”列的“Kibana”。 8.在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 9.在已打开的Kibana的Console界面，通过搜索获取已导入的数据。 在Kibana控制台，输入如下命令，搜索数据。查看搜索结果，如果数据与导入数据一致，表示数据文件的数据已导入成功。 GET myindex/search