本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本章节主要介绍了不同安全组内物理机内网互通、仅允许特定IP地址远程登录物理机、允许任意公网IP地址远程登录物理机的安全组配置案例。 实际应用中，请根据实际网络环境需求，对安全组进行配置。我们提供以下几种常见的安全组配置案例作为参考。 案例一：不同安全组内的物理机器内网互通 场景举例： 在相同Region的相同帐号下，用户需要将某个安全组内一台物理机器上的资源拷贝到另一个安全组内的物理机器上时， 可以将两台物理机器设置为内网互通后再拷贝资源。 安全组配置方法： 由于相同Region的相同帐号下，在同一个安全组内的物理机器默认互通，无需配置。但是，在不同安全组内的物理机器默认无法通信，此时需要添加安全组规则，使得不同安全组内的物理机器内网互通。 在两台物理机器所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 协议 方向 端口范围/ICMP协议类型 源地址 设置内网互通时使用的协议类型（支持TCP/UDP/ICMP/ANY） 入方向 设置端口范围或者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个安全组的ID 说明 源地址可以配置为CIDR（仅支持IPv4），也可以配置为安全组ID。如果想将目的地址配置成某个具体的IP地址，需将CIDR的子网掩码长度设置成32位。

本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

本节包含了通用计算增强型C6nl弹性云主机的概述、规格。 概述 C6nl型云主机搭载第二代英特尔® 至强® 可扩展处理器，兼具高性能、高稳定性、低时延、高性价比的特点，适配于PaaS、Ei、数据库、安全、云视频等应用。 类型 CPU基频/睿频 CPU型号 ::: C6nl 3.0GHz/3.5GHz Intel 6248R 规格 表 C6nl型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 虚拟化类型 :::::::: c6nl.large.2 2 4 4/1 32 2 2 KVM c6nl.xlarge.2 4 8 8/2 64 2 3 KVM c6nl.2xlarge.2 8 16 15/4 120 4 4 KVM c6nl.3xlarge.2 12 24 17/6 160 4 6 KVM c6nl.4xlarge.2 16 32 20/8 224 8 8 KVM c6nl.6xlarge.2 24 48 25/12 320 8 8 KVM c6nl.8xlarge.2 32 64 30/16 440 16 8 KVM c6nl.12xlarge.2 48 96 35/27 750 16 8 KVM c6nl.16xlarge.2 64 128 40/32 800 32 8 KVM c6nl.large.4 2 8 4/1 32 2 2 KVM c6nl.xlarge.4 4 16 8/2 64 2 3 KVM c6nl.2xlarge.4 8 32 15/4 120 4 4 KVM c6nl.3xlarge.4 12 48 17/6 160 4 6 KVM c6nl.4xlarge.4 16 64 20/8 224 8 8 KVM c6nl.6xlarge.4 24 96 25/12 320 8 8 KVM c6nl.8xlarge.4 32 128 30/16 440 16 8 KVM c6nl.12xlarge.4 48 192 35/27 750 16 8 KVM c6nl.16xlarge.4 64 256 40/32 800 32 8 KVM

本节内容为您介绍购买弹性云主机的方式,以及购买前注册天翼云账户并实名认证的操作步骤。 购买方式简介 说明 自定义购买弹性云主机：自定义购买可以灵活地选择计费模式、配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。 我们以自定义购买方式、创建密码鉴权方式的弹性云主机为例，以“图+文字”的形式为您介绍弹性云主机创建流程： 新手入门： 注册天翼云并实名认证 如果您已有一个天翼云帐户，请跳到下一个任务。如果您还没有天翼云帐户，请参考以下步骤创建。 1. 打开天翼云网站 2.在注册页面，请填写“邮箱地址”、“密码”、“确认密码”、“手机号码”，并点击“同意协议并提交”按钮，如1分钟内手机未收到验证码，请再次点击“重新获取短信验证码”按钮。 注册成功后，系统会自动跳转至您的个人信息界面。 3、选择一种账号类型。 4、以个人认证身份证认证为例，选择身份证认证方式。 5、使用天翼云APP扫描二维码，按照提示完成认证。

物理机是否可以关联多个安全组？ 弹性裸金属支持关联多个安全组。 通过将弹性裸金属添加到不同的安全组中，您可以为其应用多个安全规则，以提供更灵活和细粒度的网络访问控制。这样可以实现不同层次、不同需求的安全隔离和保护。通过合理配置安全组规则，可以限制入站和出站流量，控制来源和目标IP地址、端口以及协议类型等，从而加强对物理机的网络安全防护。 说明：当弹性裸金属同时属于多个安全组时，它将同时遵循所有安全组规则。因此，在管理和配置安全组规则时，需要确保规则之间的协调和一致，以避免可能引发的网络通信故障。 安全组为什么无法绑定到物理机上？ 只有弹性裸金属支持关联安全组，标准裸金属不支持关联安全组。 标准裸金属不支持关联安全组，怎么解决网络端口无法访问的问题？ 参考关闭及禁用防火墙操作文档。 为什么有的子网不支持VPC和子网切换？ 多az资源池的标准裸金属不支持VPC/子网切换，建议您在多az资源池创建标准裸金属前，提前做好网络规划。 物理机可以和同一VPC内的弹性云主机通信吗？ 可以。 当物理机和弹性云主机在同一个子网内时，它们可以直接相互通信，无需经过路由器。建议在安全组规则中配置允许物理机和弹性云主机之间通信的策略。

本节主要介绍智能视图服务计费类的常见问题。 智能视图服务支持的计费方式？ 智能视图服务有哪些计费项？ 智能视图服务的视频包是如何计费的？ 智能视图服务的AI包是如何计费的？ 智能视图服务的上行带宽包是如何计费的？ 智能视图服务的下行带宽包是如何计费的？ 智能视图服务支持的计费方式？ 智能视图服务支持包周期计费（预付费）方式，用户可根据实际使用需求选择购买资源包。 开通方式：进入天翼云智能视图服务产品详情页点击【立即开通】，开通流程详情请参见【智能视图服务计费说明购买】。 智能视图服务有哪些计费项？ 智能视图服务计费项包括设备管理费、上行带宽费、下行带宽费、存储费和AI服务费。视频包已包含设备管理费和存储费。 设备管理费：用户接入设备到智能视图服务平台时，将会产生设备管理服务费用。 上行带宽费：设备接入智能视图服务平台时使用的带宽或流量，将会产生上行带宽费用。 下行带宽费：用户播放视频流、下载录像等操作时使用的带宽或流量，将会产生下行带宽费用。 存储费：用户开启云端录制或接入视图数据时，生成的云端视图文件将产生存储服务费用。 AI服务费：用户启用AI应用对视频画面进行实时分析时，将产生AI服务费用。

基于业务日志的运维分析 背景 Nginx日志是运维网站的重要信息，用于记录服务器活动和请求信息，Nginx服务器通常将Nginx日志输出到本地的文件中。传统模式下，运维人员查询日志时，需要登录服务器，通过操作系统的文件查看工具进行日志查询，由于日志分布在各个服务器上，且存在命令行操作易出错、服务器权限等限制因素，存在日志查询效率低下的问题。本实践将以Nginx日志为例，介绍日志采集、查询、分析与告警的过程。 优势 使用云日志服务，对比传统的日志模式，可以获得以下优势： 数据集中存储，无需登录多台服务器查询，在微服务架构下尤为重要 快速检索日志，告别繁琐的命令行操作，提升故障处理效率 实时检测异常日志，设置告警，提升故障响应时效 实践步骤 步骤一：创建日志项目与日志单元 开通云日志服务后，登录日志服务控制台，创建日志项目与日志单元。详细操作步骤请查看创建日志项目与日志单元。 1. 创建日志项目：日志项目是用于管理日志服务的资源单元，通常可将某个独立项目/业务的日志对应至一个日志项目中。 2. 创建日志单元：日志单元是进行日志数据的采集、存储、检索和分析的基本单元，日志数据以日志单元的方式进行管理，通常可将一个应用/服务下的日志采集至一个日志单元中。此处可为Nginx日志单独创建一个日志单元。

五、流程定义语言 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、延时触发（Sleep状态）等控制逻辑，并能通过错误捕获（Catch状态）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。状态可以大致分类为两种：执行类（Operation、 Noop、 Fail、Sleep）以及流程控制类（Switch Parallel Foreach）。 5.1 Operation Operation类型状态主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 5.2 Noop Noop类型状态是一种特殊的Operation类型状态， 不执行任何操作。 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。

本小节介绍等保咨询服务常见问题。 本产品是否支持试用？ 等保咨询服务不支持试用。如果您需要使用等保咨询服务，可以联系客服进一步了解该服务的内容和优势。感谢您的理解和支持。 本产品下订单后是否支持退订？ 等保咨询服务一旦服务开始后便不支持退订，感谢您的理解和支持。 等保咨询服务的报价依据包含哪些方面？ 主要依据系统等级（涉及测评项不同）、服务版本（标准版或精简版）、云主机数量（涉及工作量不同）、地区（不同省份人工成本有差距）、是否首次测评（首次涉及工作量较多，如：加固建议，管理建议等）、系统行业（不同行业有不同等保标准）。 什么是等级保护？ 等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等保咨询的服务范围包含哪些方面？ 等保咨询简化服务：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准服务：包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

本文介绍SQL Server任务列表的功能和操作方法。 背景信息 SQL Server控制台提供任务列表的功能，旨在为用户提供便捷的任务管理操作，提供运维效率。任务列表提供任务列表，能够实时查看任务类型、进度、时间等关键信息，同时能够根据任务状态快速筛选匹配任务。 在任务列表管理的任务类型具体如下： 创建实例 重启实例 应用参数模板 修改参数 主备切换 备份数据 恢复数据 数据空间扩容 实例规格扩容 备份空间扩容 退订实例 续订实例 实例类型扩容 启动实例节点 停止实例节点 删除手动备份 修改端口 删除跨域备份 实例规格缩容 冻结对象存储备份 解冻对象存储备份 存储空间自动扩容任务提交 实例规格自动扩容任务提交 实例规格自动缩容任务提交 开启SSL 关闭SSL 迁移可用区 按需转包周期 包周期转按需 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 任务列表】，进入任务中心页面。然后在顶部菜单栏，选择区域和项目。 3. 在任务列表上方，选择任务开始时间、关键字（任务ID、任务类型、实例ID）、任务状态等筛选条件可以查询出符合条件的目标任务。 4. 对于筛选出的符合条件的目标任务，将在页面上显示其对应的任务类型、资源ID、任务状态、任务进度、任务开始时间及任务结束时间。

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本节介绍托管检测与响应服务（原生版）基础版服务内容及购买操作步骤。 购买须知 基础版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个基础版实例。 服务内容 持续监控安全产品（WAF、云防火墙、主机安全）事件。 提供漏洞感知，监控云主机、应用、服务脆弱性。 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 提供安全产品策略检查和调优，确保检测和防护效果。 提供安全产品售后管家，专人快速解决问题。 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击基础版“立即购买”按钮，跳转到基础版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本节主要介绍怎么设置HBlock服务开机自启动。 应用场景 在设置HBlock使用的数据目录自动挂载后，可以设置HBlock开机自启动。 前提条件 HBlock的安装目录和数据目录都已经完成开机自动挂载。 具体操作 对于HBlock服务，执行下列步骤实现HBlock服务开机自动启动： 1. 复制systemd服务单元文件： plaintext cp HBlock安装目录/apps/tool/systemd/HBlock.service /usr/lib/systemd/system/ 例如： plaintext [root@hblockserver] cp /mnt/storage01/CTYUNHBlockPlus3.9.0x64/apps/tool/systemd/HBlock.service /usr/lib/systemd/system/ [root@hblockserver] cat /usr/lib/systemd/system/HBlock.service [Unit] DescriptionHBlock Storage Resource Reutilization System Documentation Afternetworkonline.target Wantsnetworkonline.target Beforeiscsi.service iscsid.service [Service] Typeforking KillModenone Userroot Grouproot TimeoutStartSec660 TimeoutStopSec660 RemainAfterExitno ExecStart/mnt/storage01/CTYUNHBlockPlus3.9.0x64/stor start t 600 ExecReload/mnt/storage01/CTYUNHBlockPlus3.9.0x64/stor restart ExecStop/mnt/storage01/CTYUNHBlockPlus3.9.0x64/stor stop PIDFile/mnt/storage01/CTYUNHBlockPlus3.9.0x64/run/pid/ms.pid Restartonfailure RestartSec30 [Install] WantedBymultiuser.target 说明 /mnt/storage01/CTYUNHBlockPlus3.9.0x64为安装路径。如果使用root用户安装，User、Group使用默认值root，如果其他用户安装的，请修改User、Group为对应的名称。 2. 重载 systemd配置并启用服务： plaintext sudo systemctl daemonreload sudo systemctl enable HBlock.service

本章介绍函数工作流如何配置函数初始化。 概述 初始化函数在函数实例启动成功后执行，执行成功后，实例才能开始调用请求处理函数处理请求。FunctionGraph保证一个函数实例在生命周期内，初始化函数成功执行且只能成功执行一次。 应用场景 多个请求处理可以共享的业务逻辑适合放到初始化函数，以降低函数时延，例如深度学习场景下加载规格较大的模型、数据库场景下连接池构建。 前提条件 已创建函数。 初始化函数 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 高级设置”，开始配置。 开启初始化配置 初始化配置参数说明 参数 说明 配置初始化函数 如需初始化，请开启此参数。 初始化超时时间（秒） 函数初始化的超时时间，如开启函数初始化功能则设置，不开启则不设置。函数初始化超时时间设置范围为1300秒。 函数初始化入口 在函数配置页面中，可以选择开启函数初始化功能。各runtime的函数初始化入口命名规范与原有函数执行入口保持一致。如Node.js和Python函数，命名规则：[文件名].[初始化函数名]。 说明 如不开启函数初始化功能则无需配置函数初始化入口 说明 开启函数初始化功能后，各runtime的函数初始化入口命名规范与原有函数执行入口保持一致。如Node.js和Python函数，命名规则：[文件名].[初始化函数名]。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

查看出云流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> 互联网边界流量分析”，进入互联网边界流量分析页面。 3. 选择“出云分析（主动外联）”，查看云上资源访问互联网时经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计云上资源访问互联网的数据统计以及最大流量信息，包括目的IP、源IP、目的端口、协议。 出云访问TOP统计：查看所选时间段内出云流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 出云访问带宽统计：出云峰值带宽、出云累计带宽，以及出云请求流量和响应流量数据。 出云访问分布统计：查看所选时间段内出云访问协议、出云访问应用、出云访问目的端口分布情况。支持按次数、流量进行查看。 主动外联源IP分析：展示出云流量中源IP的流量详细信息。 主动外联源IP支持添加黑/白名单，一键封禁/放行源IP。添加黑/白名单后，可通过配置黑白名单规则对规则进行管理。 主动外联目的IP分析：展示出云流量中目的IP的流量详细信息。

DRDS支持使用reload命令来动态重新加载元数据，避免数据丢失的同时，无需重启数据库进程或整个集群，可有效降低对在线服务的影响。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 背景信息 DBProxy通过ZooKeeper广播机制同步库表、参数、关联MySQL元数据信息，在网络异常或节点高负载、异地容灾场景下，DBProxy内存可能未完全加载元数据。此时，可通过动态加载元数据能力来为DBProxy重新读取并应用其参数配置或元数据，无需重启DBProxy进程，动态更新集群配置或元数据信息，最大限度地减少对在线服务的影响，避免因重启操作导致服务中断。 使用说明 支持动态加载的DRDS 元数据和对应的命令如下： 加载metadata 支持加载schema（库）、table（表）、sequence（序列）、index（切片索引）元数据 命令如下： plaintext reload metadata [where schema? [and table ?] where table in ('schema1'.'table1',...)] 参数 说明 schema 加载指定schema中所有表或指定表的元数据信息，其中zk function tablerule元数据全量加载，不区分库表。 table 表名。 使用示例： 加载更新序列（sequence） 注意 为保证序列全局唯一递增，reload后的新序列会增加一段余量，余量 2 max(1000, increment) ，即新序列起始值 集群节点序列最大值 + 余量。 命令如下： plaintext reload sequence [where schema? [and sequence?] where sequence in ('schema1'.'sequence',...)] 参数 说明 schema 库名。 sequence 序列名。 使用示例：

实例到达瓶颈 原因及现象 实例到达瓶颈的原因一般有如下几种： 业务量经过一段时间持续增长而没有扩容实例规格。 服务器的硬件老化，性能有损耗。 业务表数据量一直增加导致单表数据量太大，表数据结构也有变化，导致原来不慢的SQL变成慢SQL。 您可以在控制台的查看实例的资源使用情况。如果CPU，磁盘IO等资源使用率各项指标都接近100%，可能是实例到达了瓶颈。具体操作，请参见查看监控指标。 解决方案 确认是实例到达瓶颈后，建议升级实例规格。具体操作，请参见规格扩容。 内核版本升级 原因及现象 实例升级版本有可能会导致SQL执行计划发生改变，explain的执行计划中连接类型从好到坏的顺序是system>const>eqref>ref>fulltext>refornull>indexmerge>uniquesubquery>indexsubquery>range>index>all。如果SQL请求变慢，业务又不断重发请求，导致并行SQL查询比较多，会导致应用线程释放变慢，最终连接数耗尽，影响整个业务。更多执行计划信息，请参见MySQL官方文档。 您可以在控制台的查看实例的当前连接数指标。具体操作，请参见查看监控指标。 解决方案 请在控制台慢SQL监控中查看执行计划。根据执行计划分析索引使用情况、预估扫描的行数等，预估查询效率，重构SQL语句、调整索引，提升查询效率。

本节主要介绍手动修复项 所有Pod是否都配置了app和version标签 问题描述 Service关联的所有Pod都必须配置app和version标签。app标签在流量监控中用于流量的跟踪，version标签在灰度发布中用于区分不同版本。如果存在未配置app或version标签的Pod，则报此异常。 修复指导 Pod标签配置在Deployment的spec.template.metadata.labels中，建议配置为： labels: app: {serviceName} version: v1 注意 修改或删除Deployment会触发Pod滚动升级，可能会导致业务短暂中断，请根据业务场景选择适当的时间修改。 步骤 1 复制原有工作负载配置，保存为YAML文件。 kubectl get deployment {deploymentName} n {namespace} o yaml > {deploymentName}deployment.yaml 例如： kubectl get deployment productpage n default o yaml > productpagedeployment.yaml 步骤 2 修改productpagedeployment.yaml内容，如果没有app和version，需要添加。app的值建议与Service名称一致，version建议为v1。 步骤 3 删除原工作负载。 kubectl delete deployment {oldDeploymentName} n {namespace} 步骤 4 应用新的工作负载配置。 kubectl apply f productpagedeployment.yaml 注意 1.15及以下集群还可以在CCE控制台直接修改Pod的标签，但有可能会导致ReplicaSet残留。 判断是否存在ReplicaSet残留的方法如下： 1.查询Deployment的ReplicaSet。 kubectl get replicaset grep {deploymentName} 2.找到实例个数大于1的ReplicaSet，如果ReplicaSet个数大于1，可能是修改label导致ReplicaSet残留。需要删除旧配置的ReplicaSet。 kubectl delete replicaset {replicaSetName} n {namespace} 所有Pod的app和version标签是否都相等

本页介绍了备份方案的实现。文档数据库服务支持集群、副本集以及单机版（单节点）规格实例的备份，同时在部分资源池支持跨可用区备份。 集群备份 集群实例由Mongos、ConfigServer、Shard节点组成，其中Mongos节点为集群提供路由等能力，为集群提供唯一的外部应用接口。ConfigServer节点存储集群的元数据，元数据反映了集群的所有状态以及组织情况。Shard节点为集群提供数据存储能力。因此数据备份将在ConfigServer和Shard节点上进行。为了最小化降低备份数据时对集群的影响，备份将在ConfigServer和Shard节点中的Hidden节点中进行。当用户发起数据备份或者到周期备份时间点时，在Hidden节点中将实例数据备份至远端的对象存储服务中，因此备份数据不会占用实例的存储空间。 副本集备份 为了最小化降低备份数据对数据库实例服务的影响，备份操作将在副本集实例的中的Hidden节点进行。当用户发起数据备份或者到周期备份时间点时，在Hidden节点中将实例数据备份至远端的对象存储服务中，因此备份数据不会占用实例的存储空间。 单机版（单节点）备份 单机版（单节点）只包含1个节点，当用户发起数据备份或者到周期备份时间点时，在该节点上将实例数据备份至远端的对象存储服务中，因此备份数据不会占用实例的存储空间。但是执行备份任务过程中将会占用实例的cpu、内存等资源，因此可能会出现因cpu、内存资源不足的情况下备份任务失败的情况。

如何选择磁盘空间？ Kafka支持多副本存储，副本数量为3。存储空间包含所有副本存储空间总和，因此，您在创建Kafka实例，选择初始存储空间时，建议根据业务消息体积预估以及副本数量选择合适的存储空间。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3+ 预留磁盘大小100GB。 如何选择实例带宽？ Kafka实例的网络带宽指单向（读或写）最大带宽。一般建议选择带宽时建议预留30%，确保您的应用运行更稳定。 100MB/s，业务流量为70M以内时推荐选用。 300MB/s，业务流量为210M以内时推荐选用。 Kafka支持磁盘加密吗？ 分布式消息服务Kafka不支持磁盘加密。 Kafka扩容会影响业务吗？ Kafka的扩容过程可能会对业务产生一定的影响，具体取决于您的扩容策略和实施方式。以下是一些可能的影响： 重分区和重新分配：当您需要扩容Kafka集群时，可能需要进行重分区和重新分配。这涉及到数据的重新分布和重新平衡，可能会导致一段时间内的性能下降和延迟增加。在重分区和重新分配期间，Kafka会重新分配副本、重新分区数据，并且可能需要重新加载和重新平衡消费者群组。 网络和磁盘负载增加：扩容Kafka集群意味着增加了更多的节点和副本，这可能会增加网络和磁盘的负载。数据的复制和同步可能会导致网络带宽的消耗，而新增的节点和副本可能会增加磁盘的写入和读取负载。

什么是上下级管理？ 上下级管理是AI云电脑平台中的一种租户管理机制，旨在帮助租户在复杂的组织架构中实现资源的统一管理和分配。通过上下级管理功能，上级租户可以对下级租户的资源进行统一管理，而下级租户则可以接受上级租户的管理和指导。这种机制特别适用于多层级组织架构，如教育部门与学校、集团公司与子公司等场景。 功能优势： 统一管理：上级租户可以对下级租户的资源进行统一管理，确保资源的合理分配和使用； 权限分级：通过不同类型的子账号（协同管理员、上级管理员、下级管理员），实现权限的精细化管理； 灵活配置：支持多种管理场景，满足不同组织的管理需求。 应用场景 上下级管理功能适用于需要租户之间进行层级管理的场景。以下是几个典型的使用场景： 1. 教育部门与学校 场景描述：某教育部门下属有多所学校，每所学校都需要以独立的租户账号购买和管理AI云电脑资源。教育部门需要对所有学校的AI云电脑资源进行统一管理和监控。 操作流程： （1）教育部门租户在“下级管理员”菜单下，添加学校租户为“下级管理员”； （2）学校租户在收到添加请求后进行确认，确认后，学校租户可以在子账号管理菜单下看到教育部门租户是其“上级管理员”； （3）教育部门租户可以在“下级管理员”菜单中查看所有被其添加的“下级管理员”，并对这些下级租户的资源进行管理。 2.

本文主要介绍 设置环境变量。 操作场景 环境变量是指容器运行环境中设定的一个变量，环境变量可以在工作负载部署后修改，为工作负载提供极大的灵活性。 CCE中设置的环境变量与Dockerfile中的“ENV”效果相同。 注意 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度Pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 环境变量支持如下几种方式设置。 自定义 配置项导入 ：将配置项中所有键值都导入为环境变量。 配置项键值导入 ：将配置项中某个键的值导入作为某个环境变量的值。例如将configmapexample这个配置项中configmapkey的值configmapvalue导入为环境变量key1的值，导入后容器中有一个名为key1的环境变量，其值为configmapvalue。 密钥导入 ：将密钥中所有键值都导入为环境变量。 密钥键值导入 ：将密钥中某个键的值导入作为某个环境变量的值。例如将secretexample这个配置项中secretkey的值secretvalue导入为环境变量key2的值，导入后容器中有一个名为key2的环境变量，其值为secretvalue。 变量/变量引用 ：用Pod定义的字段作为环境变量的值，例如Pod的名称。 资源引用 ：用Container定义的字段作为环境变量的值，例如容器的CPU限制。

在 AOne会议中，您可以通过屏幕共享功能，将当前屏幕或指定窗口的内容共享给会议中的其他成员。 适用场景 展示PPT、文档、表格等会议资料。 演示软件操作或产品功能。 在线授课、培训时共享课件。 共同查看设计图纸、代码等工作内容。 远程协助排查和解决问题。 操作步骤 1. 会议中，点击底部工具栏的“共享屏幕”按钮。 2. 在弹出的窗口中，选择您想要共享的内容（如整个屏幕、应用窗口或浏览器标签页），如需同时共享您电脑的声音，可选中左下角的“同时共享电脑声音”。 3. 点击“确认共享”，开始屏幕共享。 4. 屏幕共享开启后，“结束共享”按钮会悬浮在屏幕顶部。鼠标悬浮在“您正在共享屏幕”的区域时，会显示完整的工具栏。如果在共享屏幕期间需要开启共享电脑声音，或停止共享电脑声音，可以点击菜单栏“停止共享”旁边的下三角按钮，勾选或取消勾选“同时共享电脑声音”。 5. 当前共享者可随时点击“结束共享”按钮，停止屏幕共享。 注意事项 同一时间会议中只能有一位成员进行屏幕共享。如果有其他成员正在共享屏幕，您的屏幕共享按钮会置灰，无法发起屏幕共享。 会议主持人或联席主持人拥有强制结束当前屏幕共享的权限，以便优先安排其他成员进行共享。 屏幕共享权限依赖于安全模块设置，只有主持人或联席主持人设定的可共享屏幕成员才能发起共享，否则无法使用屏幕共享功能。

可能影响 无法连接数据库； 解决步骤 此报错开启ssl认证，但证书文件无效； 解决办法： 上传正确的证书到报错提示的指定目录；并确认数据库用户有访问权限； 连接数过多问题 问题描述 用户存在，但客户端连接报错： FATAL: too many connections for role"xxx" 可能影响 无法连接数据库。 解决步骤 1. 管理员（SUPERUSER）有专用预留的连接数，不会受用户连接数限制，如果是管理员用户报错，则可在控制台调大参数superuserreservedconnections，重启节点生效； 2. 普通用户可以设置连接数限制，可通过以下SQL查看当前连接限制数 > select rolconnlimit from pgroles where rolname'xxx'; > 需要评估用户连接数是否在正常范围，是否需要清理无用连接，或协调应用侧限制连接使用；如需要调整，通过以下SQL调整： > > alter role xxx with connectionlimit xxx; 打开文件过多问题 问题描述 客户端连接报错： FATAL: too many open file 可能影响 无法连接数据库； 解决步骤 此报错为打开文件句柄不够，参考操作系统资源限制类问题处理。 数据库启动/关闭中无法连接问题 问题描述 客户端连接报错： FATAL:the database system is shutting down 或 FATAL:the database system is starting up 可能影响 无法连接数据库； 解决步骤 此报错为数据库正在启动/停止中，暂时无法访问。 解决办法：等待数据库启动完成后再连接。 连接异常断开问题 问题描述 客户端连接报错： serverclosed the connection unexpectedly This probably means the serverterminated abnormally before or while processing the request. Theconnection to the server was lost. Attempting reset: Succeeded.

云产品名称 产品说明 计费说明 弹性容器实例ECI 用于部署Serverless容器引擎集群应用及插件，更多信息，请参见 虚拟私有云VPC 用于构建集群网络环境和路由规则，更多信息，请参见 弹性负载均衡ELB 用于为集群创建负载均衡，更多信息，请参见 容器镜像服务CRS 用于容器镜像的安全托管和全生命周期管理，更多信息，请参见 NAT网关 用于为集群开启公网访问和公网镜像拉取，更多信息，请参见 弹性IP 用于云资源与公网通信，更多信息，请参见

本文介绍虚机网卡修改IP操作。 应用场景 虚拟机已用IP需改为他用，或虚拟机之间需要交换IP等场景。 使用说明 桥接网卡不支持在公网IP列表解绑和绑定，如需修改IP，请参考直通网卡修改IP操作。 VPC网卡如需修改关联的公网IP，请前往公网IP列表解绑IP再绑定新的公网IP。 前提条件 已开通VPC网卡或直通网卡虚拟机。 虚拟机已关机。 直通网卡虚拟机修改IP时需先购买一个空闲公网IP。 VPC网卡修改内网IP 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，展开要操作的VPC网卡详情，在网卡基础信息栏，点击“内网IPv4地址”右侧的编辑按钮。 4. 在编辑内网IP的弹窗页，手动配置内网IP地址，IP地址必须是在子网网段范围内且并未使用的内网IP，点击【查看已使用IP地址】可查看已使用的IP地址及其用途。 5. 点击【确认】，返回操作成功后表示内网IP已修改完成。 6. 在网卡基础信息栏，查看内网IPv4地址已变更。 7. 修改VPC网卡内网IPv4地址时，会同步修改已分配的IPv6地址，当IPv6地址绑定带宽实例时，需先前往IPv6网关或共享带宽解绑带宽实例后方可修改内网IPv4地址，详情参见[VPC IPv6地址取消公网访问能力](

生产站点服务器或网关上报的主机名称不正确，始终显示为"localhost"如何处理？ 问题描述 生产站点服务器或网关上报的主机名称不正确，始终显示为"localhost"。 根因分析 因为主机以最小（minimal）模式安装或未安装网络和域名解析相关服务导致无法正确获取到主机名。 处理建议 生产站点服务器和网关不要以最小（minimal）模式安装，否则可能会导致缺少关键功能而导致SDRS服务异常。 如果以minimal模式安装，需要手动修改 /etc/hosts文件，增加一行“本机IP和主机名”。 示例："192.168.0.1 sdrshostname" 切换后，容灾端虚拟机未正常拉起如何处理？ 问题原因 SDRS异步复制具备崩溃一致性，切换时内存中的数据可能会丢失，在容灾站点可能需要利用应用或文件系统的崩溃修复功能进行修复，大多数情况下可以将数据恢复到一致状态并正常使用。 处理建议 示例：切换后容灾机器启动失败，发生XFS异常（LSN校验失败），OS进入紧急模式。 修复手段：执行journalctl命令，确认xfs文件系统异常报错；在emergency mode下，使用xfsrepair命令进行修复。 生产主机服务器如何获取网关上的安装包？ 生产主机服务器获取网关上的安装包可以通过sftp或者scp等远程传输工具传输。 示例如下： 登录Windows虚拟机，打开powershell，执行如下命令 sftp root@... get sdrswin.zip C:UsersAdministratorDesktopsdrswin.zip

本章节主要介绍 租户简介 。 定义 MRS集群拥有的不同资源和服务支持多个组织、部门或应用共享使用。集群提供了一个逻辑实体来统一使用不同资源和服务，这个逻辑实例就是租户。多个不同的租户统称多租户。当前仅分析集群支持租户。 MRS集群提供多租户的功能，支持层级式的租户模型，支持动态添加和删除租户，实现资源的隔离，可以对租户的计算资源和存储资源进行动态配置和管理。 原理 计算资源指租户Yarn任务队列资源，可以修改任务队列的配额，并查看任务队列的使用状态和使用统计。 存储资源目前支持HDFS存储，可以添加删除租户HDFS存储目录，设置目录的文件数量配额和存储空间配额。 MRS Manager作为MRS集群的统一租户管理平台，可以为企业提供成熟的多租户管理模型，实现集中式的租户和业务管理。租户可以在界面上根据业务需要，在集群中创建租户、管理租户。 创建租户时将自动创建租户对应的角色、计算资源和存储资源。默认情况下，新的计算资源和存储资源的全部权限将分配给租户的角色。 默认情况下，查看当前租户的资源、在当前租户中添加子租户并管理子租户资源的权限将分配给租户的角色。 修改租户的计算资源或存储资源，对应的角色关联权限将自动更新。 MRS Manager中最多支持512个租户。系统默认创建的租户包含“default”。和默认租户同处于最上层的租户，可以统称为一级租户。

参数名 描述 用户名 指定当前的用户名，长度为3~32个字符，可包含数字、字母、下划线（）、中划线（）或空格。 “用户名”不能与集群各节点所有操作系统用户名相同，否则此用户无法正常使用。 不支持创建两个名称相同但大小写不同的用户。例如已创建用户“User1”，无法创建用户“user1”。使用“User1”时请输入正确的用户名。 用户类型 可选值包括“人机”和“机机”。 “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。选择该值需同时填写“密码”和“确认密码”。 “机机”用户：用于应用开发的场景。选择该值用户密码随机生成，无需填写。 密码 选择“人机”用户需填写“密码”。密码必须包含8~64个字符，至少包含以下类型字符中的四种：大写字母、小写字母、数字、特殊字符和空格。不能与用户名或倒序的用户名相同。 确认密码 再次输入密码。 用户组 单击“添加”，选择对应用户组将用户添加进去。 如果用户组添加了角色，则用户可获得对应角色中的权限。 例如，为新用户分配Hive的权限，请将用户加入Hive组。 主组 选择一个组作为用户创建目录和文件时的主组。下拉列表包含“用户组”中勾选的全部组。 角色 单击“添加”为用户绑定租户的角色。 说明 若一个用户想要获取使用“tenant1”租户包含的资源，且能够为“tenant1”租户添加/删除子租户，则需要同时绑定“Managertenant”和“tenant1 集群ID ”两个角色。 描述 配置当前用户的描述信息。