弹性伸缩进行伸缩活动时，需定义如何按照不断变化的需求进行伸缩活动，即动态扩展资源。 当业务需求变化频繁且无固定规律时，可通过配置告警策略实现动态扩缩资源的目的。当满足伸缩策略的条件时，系统自动修改期望实例数，从而触发伸缩活动进行资源的扩张或收缩。如何创建告警策略请参考创建伸缩策略进行操作。 例如，一个支持用户进行购买火车票的Web应用程序，当运行该应用程序的实例的CPU使用率上升到90%时，需要增加一个实例，以确保业务正常运行，在CPU使用率下降到30%时需删除一个实例，以减少资源的浪费。根据以上情况，可以配置两条告警策略，第一条告警策略设置触发条件为：CPU使用率最大值大于90%，执行动作为：增加一个实例。第二条告警策略设置触发条件为：CPU使用率最小值小于30%，执行动作为：减少一个实例。

本节主要介绍参数对比列表 在进行数据库迁移时，为了确保迁移成功后业务应用的使用不受影响，数据复制服务提供了参数对比功能帮助您进行源库和目标库参数一致性对比。 本章节针对不同的引擎版本，列举了常见的常规参数及性能参数，方便您在使用参数对比功能时进行参考。 MySQL 5.6版本 表 MySQL5.6参数列表 参数名称 参数类型 是否需要重启数据库 ::: connecttimeout 常规参数 否 eventscheduler 常规参数 否 innodblockwaittimeout 常规参数 否 maxconnections 常规参数 否 netreadtimeout 常规参数 否 netwritetimeout 常规参数 否 explicitdefaultsfortimestamp 常规参数 是 innodbflushlogattrxcommit 常规参数 否 maxallowedpacket 常规参数 否 txisolation 常规参数 否 charactersetclient 常规参数 否 charactersetconnection 常规参数 否 collationconnection 常规参数 否 charactersetresults 常规参数 否 collationserver 常规参数 否 binlogcachesize 性能参数 否 binlogstmtcachesize 性能参数 否 bulkinsertbuffersize 性能参数 否 innodbbufferpoolsize 性能参数 是 keybuffersize 性能参数 否 longquerytime 性能参数 否 querycachetype 性能参数 是 readbuffersize 性能参数 否 readrndbuffersize 性能参数 否 sortbuffersize 性能参数 否 syncbinlog 性能参数 否 MySQL 5.7版本 表 MySQL5.7参数列表 参数名称 参数类型 是否需要重启数据库 ::: connecttimeout 常规参数 否 eventscheduler 常规参数 否 innodblockwaittimeout 常规参数 否 maxconnections 常规参数 否 netreadtimeout 常规参数 否 netwritetimeout 常规参数 否 explicitdefaultsfortimestamp 常规参数 否 innodbflushlogattrxcommit 常规参数 否 maxallowedpacket 常规参数 否 txisolation 常规参数 否 charactersetclient 常规参数 否 charactersetconnection 常规参数 否 collationconnection 常规参数 否 charactersetresults 常规参数 否 collationserver 常规参数 否 binlogcachesize 性能参数 否 binlogstmtcachesize 性能参数 否 bulkinsertbuffersize 性能参数 否 innodbbufferpoolsize 性能参数 否 keybuffersize 性能参数 否 longquerytime 性能参数 否 querycachetype 性能参数 否 readbuffersize 性能参数 否 readrndbuffersize 性能参数 否 sortbuffersize 性能参数 否 syncbinlog 性能参数 否 说明 对于上述参数“innodbbufferpoolsize”，参数对比功能对应用到目标数据库的值做了内控，最大不会超过目标数据库总内存的70%。所以有时候是无法完全和源数据库该参数取值一致，这是为了避免目标数据库设置过大，而导致数据库无法启动，如果您觉得上述最大值偏小，可以在数据库中通过执行命令手动设置更大的值。

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

本页介绍天翼云TeleDB数据库什么时候记录日志相关参数。 clientminmessages (enum) 控制被发送给客户端的消息级别。有效值是DEBUG5、 DEBUG4、DEBUG3、DEBUG2、 DEBUG1、LOG、NOTICE、 WARNING、ERROR、FATAL和PANIC。每个级别都包括其后的所有级别。级别越靠后，被发送的消息越少。默认值是NOTICE。注意LOG在这里有与logminmessages中不同的排名。 logminmessages (enum) 控制哪些消息级别被写入到服务器日志。有效值是DEBUG5、DEBUG4、 DEBUG3、DEBUG2、DEBUG1、 INFO、NOTICE、WARNING、 ERROR、LOG、FATAL和 PANIC。每个级别都包括以后的所有级别。级别越靠后，被发送的消息越少。默认值是WARNING。注意LOG在这里有与logminmessages中不同的排名。只有超级用户可以改变这个设置。 logminerrorstatement (enum) 控制哪些导致一个错误情况的SQL 语句被记录在服务器日志中。任何指定严重级别或更高级别的消息的当前 SQL 语句将被包括在日志项中。有效值是DEBUG5、 DEBUG4、DEBUG3、 DEBUG2、DEBUG1、 INFO、NOTICE、 WARNING、ERROR、 LOG、 FATAL和PANIC。默认值是ERROR，它表示导致错误、日志消息、致命错误或恐慌错误的语句将被记录在日志中。要有效地关闭记录失败语句，将这个参数设置为PANIC。只有超级用户可以改变这个设置。 logmindurationstatement (integer) 如果语句运行至少指定的毫秒数，将导致记录每一个这种完成的语句的持续时间。将这个参数设置为零将打印所有语句的执行时间。设置为1 （默认值）将停止记录语句持续时间。例如，如果你设置它为250ms，那么所有运行 250ms 或更久的 SQL 语句将被记录。启用这个参数可以有助于追踪应用中未优化的查询。只有超级用户可以改变这个设置。对于使用扩展查询协议的客户端，解析、绑定和执行步骤的持续时间将被独立记录。注意当把这个选项和logstatement一起使用时，已经被logstatement记录的语句文本不会在持续时间日志消息中重复。如果你没有使用syslog，我们推荐你使用loglineprefix记录 PID 或会话 ID，这样你可以使用进程 ID 或会话 ID 把语句消息链接到后来的持续时间消息。 表1解释了TeleDB所使用的消息严重级别。如果日志输出被发送到syslog或 Windows 的eventlog，严重级别会按照表中所示进行转换。 表61 表1 消息严重级别 严重性 用法 syslog eventlog DEBUG1..DEBUG5 为开发者提供连续的更详细的信息。 DEBUG INFORMATION INFO 提供用户隐式要求的信息，例如来自VACUUM VERBOSE的输出。 INFO INFORMATION NOTICE 提供可能对用户有用的信息，例如长标识符截断提示。 NOTICE INFORMATION WARNING 提供可能出现的问题的警告，例如在一个事务块外COMMIT。 NOTICE WARNING ERROR 报告一个导致当前命令中断的错误。 WARNING ERROR LOG 报告管理员可能感兴趣的信息，例如检查点活动。 INFO INFORMATION FATAL 报告一个导致当前会话中断的错误。 ERR ERROR PANIC 报告一个导致所有数据库会话中断的错误。 CRIT ERROR

%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 确认密码 必须和管理员密码相同。 参数模板 数据库参数模板就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。对于HA实例创建成功后，主备参数模板相同。实例创建成功后，参数模板可进行修改。 须知 创建数据库实例时， 为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发， 而是采用系统默认的推荐值。 “backlog” “innodbiocapacitymax” “maxconnections” “innodbiocapacity” “innodbbufferpoolsize” “innodbbufferpoolinstances” 您可以在实例创建完成之后根据业务需要进行调整。 表5 标签 参数 描述 标签 可选配置，对关系型数据库的标识。使用标签可以方便识别和管理您拥有的关系型数据库服务资源。每个实例最多支持10个标签配额。 实例创建成功后，您可以单击实例名称，在标签页签下查看对应标签。 表6 购买周期 参数 描述 购买时长（包年/包月） 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 购买数量 关系型数据库服务支持批量创建实例，如果您选择创建主备实例，数量选择为1，那么会同步创建一个主实例和一个备实例。 关系型数据库的性能，取决于用户申请关系型数据库时所选择的配置。可供用户选择的硬件配置项为性能规格、存储类型以及存储空间。 步骤 6 对于按需计费的实例，进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交申请”，完成购买实例的申请。 跳过步骤7和步骤8，直接执行步骤9。 步骤 7 对于包年/包月模式的实例，进行订单确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改关系型数据库实例信息。 如果订单确认无误，单击“去支付”，进入“付款”页面。 如果暂不确定实例规格，单击“提交，暂不付款”，系统将保留您的订单，稍后可在“费用 > 我的订单”中支付或取消订单。 对于“包年/包月”模式的实例，付款成功后，才会创建。 步骤 8 选择付费方式，完成付费。 本操作仅适用于包年/包月计费方式。 步骤 9 关系型数据库实例创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 创建实例过程中，状态显示为“创建中”。您可以通过“任务中心”查看详细进度和结果。在实例列表的右上角，单击刷新列表，可查看到创建完成的实例状态显示为“正常”。 创建实例时，系统默认开启自动备份策略，后期可修改。实例创建成功后，系统会自动创建一个全量备份。 数据库端口默认为3306，实例创建成功后可修改。 具体请参见 修改数据库端口。

本章节主要介绍通用操作类问题 DRS界面信息重叠是什么原因 DRS界面出现信息重叠通常是页面缩放率过小导致的，建议将页面缩放率调整为100%即可显示正常。 目标库读写设置是实例级还是库级 配置迁移任务时，目标数据库实例可以选择设置为“只读”或者“读写”状态。 只读：目标数据库整个实例 将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写：目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。 只读保护优点是避免用户对正在迁移的数据库或表进行DDL或DML误操作，造成数据不一致，可提高迁移完整性和数据一致性。 任务启动后，DRS不支持修改目标数据库状态。 待所有设置该目标库为“只读”状态的迁移任务结束后，可恢复读写。 MySQL源库设置了global binlogformat ROW没有立即生效 使用DRS进行MySQL的迁移时，必须确保源库的binlogformat是ROW格式的，否则就会导致任务失败甚至数据丢失。在源库设置了global级别的binlogformatROW之后，还需要中断之前所有的业务连接，因为设置之前的连接使用的还是非ROW格式的binlog写入。 安全设置global级binlogformatROW的步骤 步骤 1 通过MySQL官方客户端或者其它工具登录源数据库。 步骤 2 在源数据库上执行全局参数设置命令。 set global binlogformat ROW; 步骤 3 在源数据库上执行如下命令确认上面操作已执行成功。 select @@global.binlogformat; 步骤 4 您可以通过如下两种方式确保修改后的源库binlogformat格式立即生效。 方法一： 1. 选择一个非业务的时间段，中断当前数据库上的所有业务连接。 a. 通过如下命令查询当前数据库上的所有业务连接(所有的binlog Dump连接及当前连接除外)。 show processlist; b. 中断上面查出的所有业务连接。 2. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 方法二： 1.为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 2.确保上述配置参数binlogformat添加或修改成功后，选择一个非业务时间段，重启源数据库即可。 binlogrowimage参数设置为FULL没有立即生效 使用DRS进行MySQL迁移时，必须确保源库的binlogrowimage参数设置为FULL，否则就会导致任务失败。在源库设置了binlogrowimageFULL之后，只对新的session生效，为了关闭旧的session，需选择一个非业务时间段，重启源数据库并重置任务即可。

参数 描述 数据流动方向 选择入云。 入云指目标数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 此处选择VPC网络。 默认为公网网络类型，可按照需求选择VPC网络、VPN网络、专线网络、公网网络。 VPC网络：适合云上数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库，该类型要求目标数据库绑定弹性公网IP（EIP）。 VPN网络：适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 专线网络：适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的本云关系型数据库实例。 迁移实例所在子网 选择迁移实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保迁移实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 目标库读写设置 只读 迁移中，目标数据库实例将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写 迁移中，目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。如果目标库有其他数据库需要在迁移时被业务使用，可设置该选项为读写。 任务创建后不能修改。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 标签 可选配置，对迁移任务的标识。使用标签可方便管理您的迁移任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。

本节包含了通用计算增强型C6s弹性云主机的概述、规格、适用场景。 概述 C6s型云主机搭载第二代英特尔® 至强® 可扩展处理器，兼具高性能、高稳定性、低时延、高性价比的特点，适用于互联网、游戏、渲染等场景，特别是对计算及网络稳定性有较高要求的场景。 类型 CPU基频/睿频 CPU型号 ::: C6s 2.6GHz/3.5GHz Intel 6278C 适用场景 适用于互联网、游戏、渲染等场景，特别是对计算及网络稳定性有较高要求的场景。 游戏业务场景：满足游戏行业高性能、高稳定性要求。 渲染场景：优质渲染效果下提供极致性价比。 其他场景：游戏加速器、视频弹幕、建站、APP开发等。 规格 表 C6s型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6s.large.2 2 4 1/1 30 50 2 2 KVM c6s.xlarge.2 4 8 2/2 60 50 2 3 KVM c6s.2xlarge.2 8 16 4/4 120 100 4 4 KVM c6s.3xlarge.2 12 24 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.2 16 32 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.2 24 48 11/11 350 200 8 8 KVM c6s.8xlarge.2 32 64 15/15 450 300 16 8 KVM c6s.12xlarge.2 48 96 22/22 650 400 16 8 KVM c6s.16xlarge.2 64 128 30/30 850 500 32 8 KVM c6s.large.4 2 8 1/1 30 50 2 2 KVM c6s.xlarge.4 4 16 2/2 60 50 2 3 KVM c6s.2xlarge.4 8 32 4/4 120 100 4 4 KVM c6s.3xlarge.4 12 48 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.4 16 64 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.4 24 96 11/11 350 200 8 8 KVM c6s.8xlarge.4 32 128 15/15 450 300 16 8 KVM c6s.12xlarge.4 48 192 22/22 650 400 16 8 KVM c6s.16xlarge.4 64 256 30/30 850 500 32 8 KVM

本文介绍创建用户并授权使用Redis 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Redis服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Redis资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Redis的策略管理，包含Redis所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Redis资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，进入账号中心。 步骤 3 账号中心左侧菜单中，单击“统一身份认证”。 步骤 4 在统一身份认证管理页，单击左侧导航菜单中的“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户对话框中，输入用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回用户列表，将显示新创建的IAM用户。

授予最小权限 最小权限原则是标准的安全建议，您可以使用IAM提供的系统权限，或者自己创建自定义策略，给帐号中的用户仅授予刚好能完成工作所需的权限，通过最小权限原则，可以帮助您安全地控制用户对天翼云云资源的访问。 同时，建议为使用API、CLI、SDK等开发工具访问云服务的IAM用户，授予自定义策略，通过精细的权限控制，减小因访问密钥泄露对您的帐号造成的影响。 开启虚拟MFA功能 MultiFactor Authentication (简称MFA) 是一种非常简单的安全实践方法，建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬件也可以基于软件，系统目前仅支持基于软件的虚拟MFA，虚拟MFA是能产生6位数字认证码的应用程序，此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。 设置敏感操作 设置敏感操作后，如果您或者您帐号中的用户进行敏感操作时，例如删除资源，需要进行验证码验证，避免误操作带来的风险和损失。 定期修改身份凭证 如果您不知道自己的密码或访问密钥已泄露，定期进行修改可以将不小心泄露的风险降至最低。 定期更改账号密码可以通过账号中心密码修改进行。 轮换访问密钥可以通过创建两个访问密钥进行，将两个访问密钥作为一主一备，一开始先使用主访问密钥一，一段时间后，使用备访问密钥二，然后在控制台删除主访问密钥一，并重新生成一个访问密钥，在您的应用程序中定期轮换使用。

下载MacOS版控件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮。 4. 在访问插件窗口，下载MacOS版控件到本地。 5. 下载完成后，可以查看文件“cbhcontrolxxx.dmg”。 示例： 安装MacOS版控件 1. 双击下载的MacOS版控件。 2. 在弹出的窗口中，将CBHCMD、CBHsom、vncviewer放入应用程序。 3. 在安装过程中出现的权限申请，需要选择“允许”，如果点击其他地方或点击不允许，弹框消失后，只能卸载重装插件。 允许插件添加代理配置：在如下窗口中，单击“允许”。 允许系统扩展：在如下窗口中，单击“打开系统设置”。 在如下页面，单击“允许”，允许应用程序“CBHsom”的系统软件载入。 4. 安装完成后，能在应用程序里看到已安装的插件。 5. 若使用了本地初始化功能，在“设置 > 网络 > 过滤条件”里能看到名为CBHAppProxy的透明代理状态为已启用。 若无法拉起CBHAppProxy的透明代理，请在“通用 > 登录项与扩展 > 网络拓展”中启用CBHsom，需要卸载重装插件，并确保安装过程中权限申请均选择“允许”。 注意 高版本的Mac需要手动打开网络拓展才能正常拉起代理，如下图所示。

介绍创建用户并授权使用Kafka 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Kafka服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Kafka资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Kafka的策略管理，包含Kafka所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“子用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Kafka资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM子用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，在下拉列表中单击“个人中心”。 步骤 3 个人中心左侧菜单中，单击“主子账号及授权管理”。 步骤 4 在主子账号及授权管理页，单击左侧导航菜单中的“子用户”。 步骤 5 在“子用户”管理界面中，单击“创建子用户”。 步骤 6 在弹出的创建用户对话框中，输入子用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

在使用DRDS前,您需要先创建DRDS实例。本文介绍如何创建DRDS实例。 注意事项 仅华东1、西南1和青岛20这三个资源池支持选择多个可用区、性能类型和企业项目。 V5.1.9.6020.2530及以后版本，创建实例时，Giserver与DBProxy合并部署，不再区分DBProxy和Giserver两种实例。 注意 当您需要使用GiServer时，只需开启GiServer服务，具体操作，请参见开启全局索引。 V5.1.9.6020.2533及以后版本，创建实例时，支持关联与DRDS实例相同网络的MySQL实例，或同步创建全局Binlog日志节点。 操作步骤 1. 进入DRDS实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表上方，单击创建实例 ，进入DRDS实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击立即开通，进入DRDS实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择DRDS实例组件引擎和版本： 引擎：DRDS 版本：1.0 基本信息 区域 实例所在区域，支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 支持包年/包月和按需计费（部分资源池显示为按需）两种模式： 包年/包月：选购完服务配置后，需设置购买时长，系统将一次性按照购买价格对账户余额进行扣费。 按需计费：选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 注意 贵州3、北京5暂不支持按需计费。 基础配置 可用区 可选择1个或多个可用区，跨可用区部署可以提升DRDS实例的高可用性，实现跨可用区的容灾能力。 仅部分资源池支持选择多个可用区，详见注意事项。 注意 若选择2个可用区，DRDS实例的节点数量是单可用区的2倍。 实例配置 计算节点数量 DRDS实例的计算节点数量，不同实例类型支持不同的节点数量，其中，每个可用区最多支持6个节点。 请根据业务所需的计算能力，选择合适的节点数量。创建后可通过规格变更进行扩容。 说明 部分资源池不支持配置单节点规格 和节点数量 ，支持配置实例规格 ，即支持选择DRDS实例的总规格（总规格单节点规格节点数量）。不同实例类型支持不同的实例规格，详见规格。 实例配置 CPU类型 DRDS的实例节点类型，默认为X86。 注意 部分资源池支持ARM，具体以控制台显示为准。 实例配置 性能类型 节点规格支持多种类型，例如通用型 、计算增强型 、内存优化型 等类型，具体性能类型信息，请参见规格。 支持选择不同代系主机，代系越高，性能与稳定性等整体表现越好。 为了使所购买的DRDS实例能更好地满足应用需求，您需要根据业务需求，评估所需要的服务能力和规模，选择合适的性能类型。 说明 部分资源池此配置项名称为主机类型，则不支持选择节点规格，仅支持选择主机代系，请以实际页面为准。 实例配置 单节点规格 请选择单节点的CPU和内存。 实例配置 日志节点 全局Binlog的日志节点，支持： 现在创建：创建DRDS时，同时创建日志节点。此时，您需要配置日志节点数量、所在的可用区和性能规格。 注意 仅支持1个日志节点。 使用时创建 ：创建DRDS实例后，如您需要使用日志节点，只需在目标实例的日志节点管理页面创建日志节点即可。 实例配置 实例名称 DRDS实例的名称。 名称不能为空，长度为4到50位的字符。 实例配置 标签 您可以为实例绑定标签，对实例进行分类管理。 最多支持添加50个标签。 企业项目 企业项目 企业项目提供了对云资源进行分组管理，不同企业项目下的资源逻辑隔离，但不影响业务关联。仅部分资源池支持选择企业项目，详见注意事项。 网络 虚拟私有云 DRDS实例所在的虚拟专用网络，可对不同业务进行网络隔离，您可以根据需求选择所需的虚拟私有云。 DRDS实例选择的虚拟私有云要与MySQL实例一致，以保证网络连通。另外，建议DRDS实例与应用程序处于同一虚拟私有云下，避免网络原因造成性能损耗。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效。 网络 安全组 安全组限制实例的安全访问规则，加强DRDS与其他服务间的安全访问。建议DRDS实例与应用程序、MySQL实例选择相同的安全组，确保三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 关联数据库实例 数据库实例 关联与DRDS实例相同网络的MySQL实例。 在数据库实例 列表中选中目标MySQL实例后，单击绑定，即可为DRDS实例关联该MySQL实例。 购买量 购买时长 当计费模式 选择包年/包月时，才需要选择购买时长，单次最多支持购买5年。 购买量 购买数量 当计费模式 选择包年/包月时，支持批量创建实例，单次最多可批量购买5个实例。系统会自动计算对应的配置费用，购买时间越长，折扣越多。 当计费模式 选择按需时，单次只能购买1个实例。 购买量 自动续订 包年包月的实例支持自动续订。 按月购买的实例，自动续订周期为1个月。 按年购买的实例，自动续订周期为1年。 3. 在页面右侧的当前配置中，查看当前实例配置。 4. 在页面右下角阅读并勾选协议，然后单击确认订单。 5. 在订单支付详情页面，确认订单信息无误后，选择付费方式，完成支付。 6. 支付完成后，回到控制台的DRDS > 实例管理页面，查看和管理该实例。 您可以看到实例状态 为创建中 ，当实例创建成功后，实例状态 显示为运行中 。

天翼云应用服务网格CSM提供兼容开源istio的服务网格能力,并基于开源实现做了功能增强,提供了丰富的流量治理、安全和可观测能力,大大降低开发和运维的负担。

本节主要介绍TaurusDB数据库连接数满的排查思路 数据库连接数表示应用程序可以同时连接到数据库的数量，与您的应用程序或者网站能够支持的最大用户数没有关系。 数据库连接数过多，可能会导致业务侧无法正常连接，也会导致实例全量备份和增量备份失败，影响业务的正常使用。 排查思路 1. 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 2. 规格偏小，请对数据库进行规格扩容。 3. 云监控服务目前可以监控数据库cpu、内存、磁盘、连接数等指标，并且设置告警策略，出现告警时可以提前识别风险。具体请参考《云监控服务用户指南》。 解决方法 1. 通过内网连接数据库实例。用内网连接，不会出现因为带宽等原因的拥塞。 具体请参见：通过公网连接TaurusDB实例 2. 通过控制台设置参数innodbadaptivehashindexoff ， 关闭自适应hash索引，减少锁等待。 参数修改具体请参见编辑参数模板。 3. 优化慢查询。

操作场景 用户开发大数据应用程序并在支持Kerberos认证的MRS集群中运行程序时，需要准备访问MRS集群的用户认证文件。认证文件中的keytab文件可用于认证用户身份。 该任务指导管理员用户通过MRS Manager下载用户认证文件并导出keytab文件。 说明 如果选择下载“人机”用户的认证文件，在下载前需要使用Manager修改过一次此用户的密码使管理员设置的初始密码失效，否则导出的keytab文件无法使用。请参见 修改用户密码后，之前导出的keytab将失效，需要重新导出。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“权限配置”区域，单击“用户管理”。 2. 在需导出keytab文件用户所在的行，选择“更多 > 下载认证凭据”下载认证文件，待文件自动生成后指定保存位置，并妥善保管该文件。 3. 使用解压程序打开认证文件。 “user.keytab”表示用户keytab文件，用于认证用户身份。 “krb5.conf”表示认证服务器配置文件，应用程序在进行用户认证身份时根据该文件的配置信息连接认证服务器。

本章节主要介绍istio资源管理 网格中服务关联的istio资源（如VirtualService、DestinationRule）如需修改，可以在“istio资源管理”中以YAML或JSON格式进行编辑。同时，还支持创建新的istio资源。 编辑已有istio资源 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网格配置”，单击“istio资源管理”页签。 步骤 3 在搜索框中选择istio资源类型（如“istio资源：virtualservices”），以及资源所属命名空间。 步骤 4 单击操作列的“编辑”，在右侧页面修改相关配置后单击“确定”保存。 支持以YAML或JSON格式显示，同时可以将配置文件下载到本地。 创建新的istio资源 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网格配置”，单击“istio资源管理”页签。 步骤 3 单击列表左上方的“创建”。 步骤 4 在右侧页面直接输入内容，或者单击“导入文件”，将本地编辑好的YAML或JSON文件上传上来。 步骤 5 确认信息无误后，单击“确定”。

使用限制 不支持直接在共享盘运行应用程序。 不支持跨企业（租户）天翼AI云电脑挂载。 Windows server 2016、2019 使用NAS共享盘使用的NFS服务会与重定向文件SMB服务冲突，建议在对应场景下使用。

本文介绍CDN支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议和配置方法。 功能介绍 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。 天翼云CDN加速在域名配置完HTTPS证书后，可选择加密套件类型：全部加密套件、强加密套件、自定义加密套件。 选择全部加密套件后，默认支持的加密套件及对应套件支持的最低版本的SSL/TLS协议如下： 加密算法 最低版本的SSL/TLS协议 TLSAES256GCMSHA384 TLSv1.3 TLSCHACHA20POLY1305SHA256 TLSv1.3 TLSAES128GCMSHA256 TLSv1.3 ECDHEECDSAAES256GCMSHA384 TLSv1.2 ECDHERSAAES256GCMSHA384 TLSv1.2 DHEDSSAES256GCMSHA384 TLSv1.2 DHERSAAES256GCMSHA384 TLSv1.2 ECDHEECDSACHACHA20POLY1305 TLSv1.2 ECDHERSACHACHA20POLY1305 TLSv1.2 DHERSACHACHA20POLY1305 TLSv1.2 ECDHEECDSAAES256CCM8 TLSv1.2 ECDHEECDSAAES256CCM TLSv1.2 DHERSAAES256CCM8 TLSv1.2 DHERSAAES256CCM TLSv1.2 ECDHEECDSAARIA256GCMSHA384 TLSv1.2 ECDHEARIA256GCMSHA384 TLSv1.2 DHEDSSARIA256GCMSHA384 TLSv1.2 DHERSAARIA256GCMSHA384 TLSv1.2 ECDHEECDSAAES128GCMSHA256 TLSv1.2 ECDHERSAAES128GCMSHA256 TLSv1.2 DHEDSSAES128GCMSHA256 TLSv1.2 DHERSAAES128GCMSHA256 TLSv1.2 ECDHEECDSAAES128CCM8 TLSv1.2 ECDHEECDSAAES128CCM TLSv1.2 DHERSAAES128CCM8 TLSv1.2 DHERSAAES128CCM TLSv1.2 ECDHEECDSAARIA128GCMSHA256 TLSv1.2 ECDHEARIA128GCMSHA256 TLSv1.2 DHEDSSARIA128GCMSHA256 TLSv1.2 DHERSAARIA128GCMSHA256 TLSv1.2 ECDHEECDSAAES256SHA384 TLSv1.2 ECDHERSAAES256SHA384 TLSv1.2 DHERSAAES256SHA256 TLSv1.2 DHEDSSAES256SHA256 TLSv1.2 ECDHEECDSACAMELLIA256SHA384 TLSv1.2 ECDHERSACAMELLIA256SHA384 TLSv1.2 DHERSACAMELLIA256SHA256 TLSv1.2 DHEDSSCAMELLIA256SHA256 TLSv1.2 ECDHEECDSAAES128SHA256 TLSv1.2 ECDHERSAAES128SHA256 TLSv1.2 DHERSAAES128SHA256 TLSv1.2 DHEDSSAES128SHA256 TLSv1.2 ECDHEECDSACAMELLIA128SHA256 TLSv1.2 ECDHERSACAMELLIA128SHA256 TLSv1.2 DHERSACAMELLIA128SHA256 TLSv1.2 DHEDSSCAMELLIA128SHA256 TLSv1.2 RSAPSKAES256GCMSHA384 TLSv1.2 DHEPSKAES256GCMSHA384 TLSv1.2 RSAPSKCHACHA20POLY1305 TLSv1.2 DHEPSKCHACHA20POLY1305 TLSv1.2 ECDHEPSKCHACHA20POLY1305 TLSv1.2 DHEPSKAES256CCM8 TLSv1.2 DHEPSKAES256CCM TLSv1.2 RSAPSKARIA256GCMSHA384 TLSv1.2 DHEPSKARIA256GCMSHA384 TLSv1.2 AES256GCMSHA384 TLSv1.2 AES256CCM8 TLSv1.2 AES256CCM TLSv1.2 ARIA256GCMSHA384 TLSv1.2 PSKAES256GCMSHA384 TLSv1.2 PSKCHACHA20POLY1305 TLSv1.2 PSKAES256CCM8 TLSv1.2 PSKAES256CCM TLSv1.2 PSKARIA256GCMSHA384 TLSv1.2 RSAPSKAES128GCMSHA256 TLSv1.2 DHEPSKAES128GCMSHA256 TLSv1.2 DHEPSKAES128CCM8 TLSv1.2 DHEPSKAES128CCM TLSv1.2 RSAPSKARIA128GCMSHA256 TLSv1.2 DHEPSKARIA128GCMSHA256 TLSv1.2 AES128GCMSHA256 TLSv1.2 AES128CCM8 TLSv1.2 AES128CCM TLSv1.2 ARIA128GCMSHA256 TLSv1.2 PSKAES128GCMSHA256 TLSv1.2 PSKAES128CCM8 TLSv1.2 PSKAES128CCM TLSv1.2 PSKARIA128GCMSHA256 TLSv1.2 AES256SHA256 TLSv1.2 CAMELLIA256SHA256 TLSv1.2 AES128SHA256 TLSv1.2 CAMELLIA128SHA256 TLSv1.2 ECDHEECDSAAES256SHA TLSv1 ECDHERSAAES256SHA TLSv1 ECDHEECDSAAES128SHA TLSv1 ECDHERSAAES128SHA TLSv1 ECDHEPSKAES256CBCSHA384 TLSv1 ECDHEPSKAES256CBCSHA TLSv1 RSAPSKAES256CBCSHA384 TLSv1 DHEPSKAES256CBCSHA384 TLSv1 ECDHEPSKCAMELLIA256SHA384 TLSv1 RSAPSKCAMELLIA256SHA384 TLSv1 DHEPSKCAMELLIA256SHA384 TLSv1 PSKAES256CBCSHA384 TLSv1 PSKCAMELLIA256SHA384 TLSv1 ECDHEPSKAES128CBCSHA256 TLSv1 ECDHEPSKAES128CBCSHA TLSv1 RSAPSKAES128CBCSHA256 TLSv1 DHEPSKAES128CBCSHA256 TLSv1 ECDHEPSKCAMELLIA128SHA256 TLSv1 RSAPSKCAMELLIA128SHA256 TLSv1 DHEPSKCAMELLIA128SHA256 TLSv1 PSKAES128CBCSHA256 TLSv1 PSKCAMELLIA128SHA256 TLSv1 DHERSAAES256SHA SSLv3 DHEDSSAES256SHA SSLv3 DHERSACAMELLIA256SHA SSLv3 DHEDSSCAMELLIA256SHA SSLv3 DHERSAAES128SHA SSLv3 DHEDSSAES128SHA SSLv3 DHERSACAMELLIA128SHA SSLv3 DHEDSSCAMELLIA128SHA SSLv3 SRPDSSAES256CBCSHA SSLv3 SRPRSAAES256CBCSHA SSLv3 SRPAES256CBCSHA SSLv3 RSAPSKAES256CBCSHA SSLv3 DHEPSKAES256CBCSHA SSLv3 AES256SHA SSLv3 CAMELLIA256SHA SSLv3 PSKAES256CBCSHA SSLv3 SRPDSSAES128CBCSHA SSLv3 SRPRSAAES128CBCSHA SSLv3 SRPAES128CBCSHA SSLv3 RSAPSKAES128CBCSHA SSLv3 DHEPSKAES128CBCSHA SSLv3 AES128SHA SSLv3 CAMELLIA128SHA SSLv3 PSKAES128CBCSHA SSLv3 DHERSAAES256GCMSHA384 TLSv1.2 DHERSACHACHA20POLY1305 TLSv1.2 DHERSAAES256CCM8 TLSv1.2 DHERSAAES256CCM TLSv1.2 DHERSAARIA256GCMSHA384 TLSv1.2 DHERSAAES128GCMSHA256 TLSv1.2 DHERSAAES128CCM8 TLSv1.2 DHERSAAES128CCM TLSv1.2 DHERSAARIA128GCMSHA256 TLSv1.2 DHERSAAES256SHA256 TLSv1.2 DHERSACAMELLIA256SHA256 TLSv1.2 DHERSAAES128SHA256 TLSv1.2 DHERSACAMELLIA128SHA256 TLSv1.2 DHERSAAES256SHA SSLv3 DHERSACAMELLIA256SHA SSLv3 DHERSAAES128SHA SSLv3 DHERSAAES128SHA SSLv3 ECCSM2SM4GCMSM3 GMTLS1.1 ECDHESM2SM4GCMSM3 GMTLS1.1 ECCSM2SM4CBCSM3 GMTLS1.1 ECDHESM2SM4CBCSM3 GMTLS1.1 选择强加密套件后，默认支持的加密套件及对应套件支持的最低版本的SSL/TLS协议如下： 加密算法 最低版本的SSL/TLS协议 TLSAES256GCMSHA384 TLSv1.3 TLSCHACHA20POLY1305SHA256 TLSv1.3 TLSAES128GCMSHA256 TLSv1.3 ECDHEECDSACHACHA20POLY1305 TLSv1.2 ECDHERSACHACHA20POLY1305 TLSv1.2 ECDHEECDSAAES256GCMSHA384 TLSv1.2 ECDHERSAAES256GCMSHA384 TLSv1.2 ECDHEECDSAAES256CCM8 TLSv1.2 ECDHEECDSAAES256CCM TLSv1.2 ECDHEECDSAARIA256GCMSHA384 TLSv1.2 ECDHEARIA256GCMSHA384 TLSv1.2 ECDHEECDSAAES128GCMSHA256 TLSv1.2 ECDHERSAAES128GCMSHA256 TLSv1.2 ECDHEECDSAAES128CCM8 TLSv1.2 ECDHEECDSAAES128CCM TLSv1.2 ECDHEECDSAARIA128GCMSHA256 TLSv1.2 ECDHEARIA128GCMSHA256 TLSv1.2 选择自定义加密套件后，可从如下列表中自定义选择1个或多个加密套件： 加密算法 最低版本的SSL/TLS协议 TLSAES256GCMSHA384 TLSv1.3 TLSCHACHA20POLY1305SHA256 TLSv1.3 TLSAES128GCMSHA256 TLSv1.3 ECDHEECDSAAES256GCMSHA384 TLSv1.2 ECDHERSAAES256GCMSHA384 TLSv1.2 ECDHEECDSACHACHA20POLY1305 TLSv1.2 ECDHERSACHACHA20POLY1305 TLSv1.2 ECDHEECDSAAES256CCM8 TLSv1.2 ECDHEECDSAAES256CCM TLSv1.2 ECDHEECDSAARIA256GCMSHA384 TLSv1.2 ECDHEARIA256GCMSHA384 TLSv1.2 ECDHEECDSAAES128GCMSHA256 TLSv1.2 ECDHERSAAES128GCMSHA256 TLSv1.2 ECDHEECDSAAES128CCM8 TLSv1.2 ECDHEECDSAAES128CCM TLSv1.2 ECDHEECDSAARIA128GCMSHA256 TLSv1.2 ECDHEARIA128GCMSHA256 TLSv1.2 ECDHEECDSAAES256SHA384 TLSv1.2 ECDHERSAAES256SHA384 TLSv1.2 ECDHEECDSACAMELLIA256SHA384 TLSv1.2 ECDHERSACAMELLIA256SHA384 TLSv1.2 ECDHEECDSAAES128SHA256 TLSv1.2 ECDHERSAAES128SHA256 TLSv1.2 ECDHEECDSACAMELLIA128SHA256 TLSv1.2 ECDHERSACAMELLIA128SHA256 TLSv1.2 AES256GCMSHA384 TLSv1.2 AES256CCM8 TLSv1.2 AES256CCM TLSv1.2 ARIA256GCMSHA384 TLSv1.2 AES128GCMSHA256 TLSv1.2 AES128CCM8 TLSv1.2 AES128CCM TLSv1.2 ARIA128GCMSHA256 TLSv1.2 AES256SHA256 TLSv1.2 CAMELLIA256SHA256 TLSv1.2 AES128SHA256 TLSv1.2 CAMELLIA128SHA256 TLSv1.2 DHERSAAES256GCMSHA384 TLSv1.2 DHERSACHACHA20POLY1305 TLSv1.2 DHERSAAES256CCM8 TLSv1.2 DHERSAAES256CCM TLSv1.2 DHERSAARIA256GCMSHA384 TLSv1.2 DHERSAAES128GCMSHA256 TLSv1.2 DHERSAAES128CCM8 TLSv1.2 DHERSAAES128CCM TLSv1.2 DHERSAARIA128GCMSHA256 TLSv1.2 DHERSAAES256SHA256 TLSv1.2 DHERSACAMELLIA256SHA256 TLSv1.2 DHERSAAES128SHA256 TLSv1.2 DHERSACAMELLIA128SHA256 TLSv1.2 DHERSAAES256SHA SSLv3 DHERSACAMELLIA256SHA SSLv3 DHERSAAES128SHA SSLv3 DHERSACAMELLIA128SHA SSLv3 ECCSM2SM4GCMSM3 GMTLS1.1 ECDHESM2SM4GCMSM3 GMTLS1.1 ECCSM2SM4CBCSM3 GMTLS1.1 ECDHESM2SM4CBCSM3 GMTLS1.1

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 云容器引擎服务对接了应用运维管理服务AOM，支持容器日志采集、查看、检索功能。使用该功能前首先要配置日志采集路径，本章节向您介绍如何采集容器内路径日志。 如果您需要通过不做任何配置的方式采集容器标准输出日志，请参见采集容器标准输出日志。 注意事项 ICAgent只采集.log、.trace和.out类型的文本日志文件。 AOM默认会采集容器标准输出日志，您不用做任何配置。 在CCE中添加日志策略 步骤 1 在CCE中创建无状态负载(Deployment)时，添加容器后，展开“容器日志”配置区域。 步骤 2 单击“添加日志策略”，设置自定义日志参数，配置日志策略，以nginx为例，不同工作负载根据实际情况配置。 步骤 3 存储类型有“主机路径”和“容器路径”两种类型可供选择： 主机路径：可将主机上的路径挂载到指定的容器路径。日志策略配置参数如下： 添加日志策略主机路径 参数 参数说明 存储类型 设置为“主机路径”。将主机上的路径挂载到指定的容器路径。 添加容器挂载 主机路径 输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意： 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 容器路径：日志仅输出到容器路径，无需挂载主机路径。日志策略配置参数如下： 添加日志策略容器路径 参数 参数说明 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 说明： 此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 步骤 4 单击“确定”，并完成创建工作负载。 查看日志 日志采集路径配置和工作负载创建完成后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。 待采集完成后，进入工作负载详情页，单击右上角的“日志”按钮查看日志详情并进行分析。 说明： 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

集群内节点安装客户端 1. 获取软件包。 访问FusionInsightManager（MRS3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. “选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： −x8664：可以部署在X86平台的客户端软件包。 −aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须与待安装节点的架构匹配，否则客户端会安装失败。 3. 勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件。 文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 当用户无法获取root用户权限，需要用omm用户操作。 如需安装客户端至集群内其他节点，则执行以下命令复制客户端到待安装客户端的节点： scp p / tmp/FusionInsightClient /FusionInsightCluster1ServicesClient.tar待安装客户端节点的IP地址:/opt/Bigdata/client 4. 以userclient用户登录将要安装客户端的服务器。 5. 解压软件包。 进入安装包所在目录，例如“/tmp/FusionInsightClient”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 6. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar:OK 7. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 8. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/client”目录。 cd /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/client命令，等待客户端安装完成（以下只显示部分屏显结果）。 Thecomponent client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/client”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/client o命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。

HPA策略即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 若使用系统指标，则需要安装metricsserver和prometheus插件： metricsserver：负责采集kubernetes集群中kubelet的公开指标项，包含CPU利用率、内存利用率。HPA弹性策略如基于CPU/MEM利用率，必须安装此插件。 prometheus：负责采集kubernetes集群中kubelet的公开指标项（CPU利用率、内存利用率）。 约束与限制 HPA策略：仅支持1.13及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建工作负载弹性伸缩（CustomedHPA）或其他HPA策略，您可以删除该HPA策略后再创建。 操作步骤 步骤 1 在CCE控制台中，单击左侧导航栏的“弹性伸缩”，在“工作负载伸缩”页签下，单击“创建HPA策略”。 步骤 2 进入创建工作负载HPA策略页面，在“插件检测”步骤中： 若插件名称后方显示，请单击插件后方的“现在安装”，根据业务需求配置插件参数后单击“立即安装”，等待插件安装完成。 若插件名称后方显示，则说明插件已安装成功。 步骤 3 确认插件已安装成功后，单击“下一步：策略配置”。 说明： 如果插件已提前安装成功，单击“创建HPA策略”后，在“插件检测”步骤中经过短暂检测后将直接进入“策略配置”步骤。 步骤 4 在“策略配置”步骤中，参照下表设置策略参数。 表HPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 集群名称 请选择工作负载所在的集群。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。 策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟，缩容扩容冷却时间不能小于 1 分钟。 该设置仅在1.15 及以上版本的集群中显示，1.13 版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标。 系统指标 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载容器组（Pod）的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。 期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。 阈值：请输入缩容和扩容阈值。 当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。阈值仅在 1.15 及以上版本的集群中支持。 您可以单击“添加策略规则”，设置多条伸缩策略。 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内的最大值。 步骤 5 设置完成后，单击“创建”，在“完成”步骤中若显示“创建工作负载策略提交成功”，可单击“返回工作负载伸缩策略”。 步骤 6 在“工作负载伸缩”页签下，可以看到刚刚创建的HPA策略。

功能分类 功能名称 功能描述 云硬盘备份 云硬盘粒度的备份 云硬盘备份提供对云硬盘的基于快照技术的数据保护。云服务备份支持备份服务器的单个磁盘，为磁盘提供数据保护。 云硬盘备份 使用备份策略备份数据 通过备份策略，您可以将整个存储库绑定的磁盘按照一定的策略要求对磁盘数据进行周期性备份，以便磁盘在数据丢失或损坏时快速恢复数据，保证业务正常运行。 云硬盘备份 备份数据管理 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情进行整理。 云硬盘备份 根据备份恢复云硬盘数据 当磁盘发生故障、或者由于人为误操作导致服务器数据丢失时，可以使用已经创建成功的备份恢复磁盘。 云硬盘备份 使用备份创建新云硬盘 可以使用云硬盘备份数据创建新的磁盘，创建后的磁盘原始数据将会和磁盘备份状态的数据内容相同。 云主机备份 服务器粒度的备份 云主机备份提供对弹性云主机的基于多云硬盘一致性快照技术的数据保护。云服务备份支持备份整个服务器，为服务器提供数据保护。 云主机备份 使用策略备份数据 通过备份策略，您可以将整个存储库绑定的服务器按照一定的策略要求对服务器数据进行周期性备份，以便服务器在数据丢失或损坏时快速恢复数据，保证业务正常运行。 云主机备份 备份数据管理 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情进行整理。 云主机备份 使用备份恢复服务器数据 当服务器发生故障、或者由于人为误操作导致服务器数据丢失时，可以使用已经创建成功的备份恢复服务器。 云主机备份 共享备份 在对服务器和磁盘数据进行备份后，可将备份进行添加共享，将备份共享给其他账户项目使用。共享的备份可用于创建服务器等操作。 云主机备份 数据库服务器备份 云主机备份在支持崩溃一致性备份的基础上，同时支持数据库备份。文件/磁盘数据在同一时间点，通过数据库备份内存数据，能够保证应用系统一致性，如包含MySQL或SAP HANA数据库的弹性云主机。 SFS Turbo备份 SFS Turbo备份 云服务备份提供对SFS Turbo文件系统的备份保护。通过SFS Turbo备份，您可以使用备份创建新的SFS Turbo，从而避免SFS Turbo重要数据丢失 SFS Turbo备份 使用策略备份数据 通过备份策略，您可以将整个存储库绑定的文件系统按照一定的策略要求对文件系统数据进行周期性备份，以便文件系统在数据丢失或损坏时快速恢复数据，保证业务正常运行。 SFS Turbo备份 备份数据管理 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情进行整理。 SFS Turbo备份 使用备份创建新文件系统 可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 文件备份 创建文件备份 文件备份支持为云上主机或本地的文件目录进行备份，无需再以整机或整盘的形式进行备份。 文件备份 使用备份恢复数据 当文件由于人为误操作或病毒入侵导致文件数据丢失时，可以使用云上已经创建成功的备份恢复数据。

本章节主要介绍配置诊断 服务诊断 应用服务网格会对管理集群下的所有服务进行诊断，诊断结果为正常的服务，方可进行流量治理、流量监控及灰度发布等操作。 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“服务管理”，服务列表中展示了各服务的诊断结果。 如果服务存在异常，请单击“处理”，根据服务异常修复进行处理。 步骤 3修复异常项后，您可以单击“重新诊断”对服务进行再次诊断。 服务异常修复 诊断异常的服务，需要先手动处理异常状态的检查项，再一键修复可自动处理项。 步骤 1 在诊断状态为异常的服务下单击“处理”，根据修复指导进行手动修复。 步骤 2 手动处理异常状态的检查项后，单击“下一步”进入自动修复项页面，单击“一键修复”，自动处理异常状态的检查项。 说明 如果自动处理无法修复状态异常的检查项，请根据修复指导进行手动修复。 已配置网关或创建灰度发布的服务可能因为Service的端口名称被修改而出现异常，此时不支持进行一键修复。

SQL规范 查询时指定返回需要的字段，不要返回用不到的字段。 查询条件中，建议使用NOT EXISTS替代NOT IN。 查询或比较字段是否为NULL时，只能使用IS NULL或IS NOT NULL条件。 稳定性与性能规范 在代码中写分页查询逻辑时，若count为0应直接返回，避免执行后面的分页语句。 两阶段提交的事务，要及时提交或回滚，否则可能导致数据库膨胀。 建议使用truncate代替delete操作全表。 建议客户应用程序开启autocommit，同时避免应用程序自动begin事务，并且不进行任何操作的情况发生，某些框架可能会有这样的问题。 高并发业务场景下，务必使用绑定变量（prepared statement），防止数据库硬解析消耗过多的CPU资源。 管理规范 在执行DDL操作数据尤其是删除和修改数据记录场景下，要先select，避免出现误删除，确认无误才能提交执行。 用户可以使用explain analyze查看实际的执行计划，但是如果需要查看的执行计划设计数据的变更，必须在事务中执行explain analyze，然后回滚。 建议为数据库访问账号设置复杂密码。 建议用户做账户权限控制，避免大量使用高权限用户操作。

前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 购买步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 配置“云堡垒机实例”相关参数，参数说明如下。 参数 说明 计费模式 实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 地域/可用区 选择云堡垒机实例应用区域，即提供云堡垒机服务的区域。 建议根据待管理ECS、RDS等服务器上资源的区域选择，可以降低网络时延、提高访问速度。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 实例类型 支持“单机版”和“主备版”。 可用区 实例类型选择“主备版”时，可以分别为主节点和备节点选择不同的可用区。 实例名称 自定义云堡垒机实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 版本 目前支持“标准版”和“企业版”，各版本支持的功能请参见功能特性。 资产规格 选择需要纳管的资产数，堡垒机在不同资源池版本支持的资产数略有不同，请根据实际需要选择。 支持10/20/50/100/200/500/1000/2000/5000/10000资产规格。 企业项目 选择堡垒机实例所属的企业项目。 说明 订购完成后，企业项目不支持修改。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网选择必须在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 存储扩容 根据您业务自身的需求选择需要扩容的数据盘大小。 5. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 7. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

本节介绍云等保专区产品的数据库审计配置类问题。 数据库审计如何进行接入配置？ 1. 首先进入到数据库审计原子能力后先修改管理口IP，在菜单栏选择“ 系统管理 > 系统配置 ”进入系统配置页面，选择网络页签，点击操作列中的“编辑”。 在弹出的编辑网口对话框中修改网口的IPv4地址、子网掩码、IPv6等配置信息，点击“保存”。 如果该网口是管理口，除修改网口的IPv4地址、子网掩码、IPv6配置信息，还可设置IPv4网关。 在网口管理区域的操作列中点击是否启用开关，可启用或禁用选中的网口（管理口无法被禁用）。 2. 然后添加系统需要审计的数据库，在菜单栏选择“ 资产 > 资产管理 ”进入资产管理页面，选择资产管理页签，点击“添加”。 在弹出的添加资产页面编辑相关信息。 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。 3. 然后配置数据库的安全规则和过滤规则，在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“推荐”，切换至“全部”。 用户也可以管理自定义的规则，新增自定义安全规则的操作方法如下：在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“新增”。 在新增规则对话框中编辑相关信息，点击“保存”。 接着启用规则，在菜单栏选择“规则配置 > 安全规则”进入安全规则页面，选择规则管理页签，在规则列表中勾选目标规则，点击“启用选中项”。 在弹出对话框中勾选资产，点击“确定”，则可将已启用的规则直接应用到选择的资产上。 4. 最后便于用户及时了解数据库的运行状态及安全告警信息，可查看报表订阅和告警通知，在菜单栏选择“报表中心 > 报表预览”进入报表预览页面，点击页面右上角的“订阅”。 进入添加订阅任务页面，编辑相关信息，点击“保存”。 系统支持多种消息通知模式，可及时将当前资产告警情况以及系统本身的状态信息提供给管理员，目前支持邮件、短信、企业微信、钉钉、SNMP、Syslog六种通知方式，详情阅读用户手册进行设置。

Windows主机中文件的上传/下载 通过CBH运维Windows主机资源，个人网盘在Windows主机上的默认路径为NetDisk G盘，该磁盘即为当前用户的个人网盘。 Windows主机资源不能直接与本地进行文件传输，必须依赖于个人网盘的“中转”才能实现文件的传输。 1 登录云堡垒机系统。 2 选择“运维 > 主机运维”，选择目标Windows主机资源。 3 单击“登录”，跳转到Windows主机资源运维界面。 4 单击“文件传输”，默认进入个人网盘文件列表。 5 上传文件到Windows主机。 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”，可上传一个或多个来自本地的文件或文件夹。 打开Windows主机的磁盘目录，查找G盘NetDisk。 打开NetDisk磁盘目录，鼠标右键复制目标文件（夹），并将其粘贴到Windows主机目标目录下，实现将文件上传到Windows主机。 6 下载Windows主机中文件。 打开Windows主机的磁盘目录，鼠标右键复制目标文件（夹）。 打开NetDisk磁盘目录，鼠标右键粘贴文件（夹）目录下，实现将Windows主机文件下载到个人网盘。 7 下载个人网盘中文件。 选中一个或多个待下载文件。 单击下载图标，直接下载一个或多个文件到本地。 协同分享 云堡垒机系统Web运维“协同分享”功能，支持通过分享URL，邀请系统其他用户共同查看同一会话，并且参与者在会话控制者批准的前提下可对会话进行操作，可应用于远程演示、对运维疑难问题“会诊”等场景。 约束限制 创建协同分享前，需确保系统与资源主机网络连接正常，否则受邀用户无法加入会话，且邀请人会话界面上报连接错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T514）”。 邀请URL链接可复制发送给多个用户，拥有该资源账户策略权限的用户才能正常打开链接。 受邀用户需在链接有效期前或会话结束前才能有效加入会话。 前提条件 已获取主机资源运维的权限。 已通过Web浏览器正常登录。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 主机运维”，进入主机运维列表页面。 3 选择待运维主机资源，单击“登录”，登录会话进行操作。 4 单击会话框右侧“协同分享”，邀请用户参与会话，一同进行操作。 5 单击“邀请好友进入此会话”，获取邀请链接。复制链接，发送给拥有云堡垒机资源账户权限的用户。 6 受邀用户登录云堡垒机，打开邀请链接，查看邀请信息。 受邀用户查看会话协同邀请信息 7 受邀用户单击“立即进入”，加入会话操作。 单击“申请控制权”，向当前控制者发送控制申请，申请控制会话的权限。 单击“释放权限”或“退出会话”，会话权限将返给邀请人控制。 单击“退出会话”，用户退出当前会话。当邀请链接未过期且邀请人未结束会话时，用户可再次加入会话。 受邀用户协同会话界面 8 邀请人或当前控制者可对会话进行管理操作。 邀请人单击“取消分享”或退出会话，将结束协同分享会话，受邀用户将被强制退出会话，且不能通过链接再次进入。 当受邀用户申请会话控制权限时，会话控制者可单击“同意”或“拒绝”，转交会话控制权限。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

本节主要介绍创建网格 步骤 1 登录应用服务网格ASM控制台。 步骤 2 单击右上角“创建网格”。 步骤 3 设置如下参数，其余参数均采用默认值。 网格类型 默认为基础版。 网格名称 设置网格的名称。 Istio版本 网格支持的Istio版本。 集群 选择步骤4中创建的集群。 Istio控制面节点 如果需要高可用，建议选择两个或以上不同可用区的节点。 步骤 4 设置完成后，在右侧的配置清单中确认网格配置，单击“提交”。 创建时间预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。

为帮助您更好地管理Kubernetes集群内的节点，云容器引擎CCE引入节点池概念。节点池是集群中具有相同配置的一组节点，一个节点池包含一个节点或多个节点。 您可以在CCE控制台中创建新的自定义节点池，借助节点池基本功能方便快捷地创建、管理和销毁节点，而不会影响整个集群。新节点池中所有节点的参数和类型都彼此相同，您无法在节点池中配置单个节点，任何配置更改都会影响节点池中的所有节点。 在云容器引擎中，创建集群时配置的节点参数和类型将成为默认节点池“DefaultPool”，该节点池不可编辑、删除或迁移，也不支持扩容、弹性伸缩。 通过节点池功能您还可以实现节点的动态扩缩容： 当集群中出现因资源不足而无法调度的实例（Pod）时，自动触发扩容，为您减少人力成本。 当满足节点空闲等缩容条件时，自动触发缩容，为您节约资源成本。 本章节介绍节点池在云容器引擎（CCE）中的工作原理，以及如何创建和管理节点池。 节点池架构 通常情况下，节点池内的节点均具有如下相同属性： 节点操作系统。 节点Kubernetes组件启动参数。 节点自定义启动脚本。 节点“K8S标签”及“Taints”设置。 此外，CCE将同时围绕节点池扩展以下属性： 节点池级别操作系统。 节点池级别每节点的Pod数上限。 应用场景 当业务需要使用大规模集群时，推荐您使用节点池进行节点管理，以提高大规模集群易用性。 下表介绍了多种大规模集群管理场景，并分别展示节点池在每种场景下发挥的作用： 场景 作用 集群存在较多异构节点（机型配置不同） 通过节点池可规范节点分组管理。 集群需要频繁扩缩容节点 通过节点池可降低操作成本。 集群内应用程序调度规则复杂 通过节点池标签可快速指定业务调度规则。 集群内节点日常维护 通过节点池可便捷操作Kubernetes版本升级、Docker版本升级。 功能点及注意事项 功能点 功能说明 注意事项 创建节点池 新增节点池， 暂不支持包年包月类型。 单个集群不建议超过100个节点池。 删除节点池 删除节点池时会先删除节点池中的节点，原有节点上的工作负载实例会自动迁移至其他节点池的可用节点。 如果工作负载实例具有特定的节点选择器，且如果集群中的其他节点均不符合标准，则工作负载实例可能仍处于无法安排的状态。 节点池开启弹性伸缩 开启弹性伸缩后，节点池将根据集群负载情况自动创建或删除节点池内的节点。 节点池中的节点建议不要放置重要数据，以防止节点被弹性缩容，数据无法恢复。 节点池关闭弹性伸缩 关闭弹性伸缩后，节点池内节点数量不随集群负载情况自动调整。 / 调整节点池大小 支持直接调整节点池内节点个数。若减小节点数量，将从现有节点池内随机缩容节点。 开启弹性伸缩后，不建议手动调整节点池大小。 调整节点池配置 可修改节点池名称、节点个数、K8S标签、Taints及资源标签。 修改K8S标签和Taints会对节点池内节点全部生效，可能会引起Pod重新调度，请谨慎变更。 添加已有节点 可添加不属于集群的节点到节点池。要求如下： 待添加节点需与CCE集群在同一虚拟私有云和子网内。 实例未被其他集群使用且实例与节点池配置相同（机型、计费模式等）。 无特殊情况时，不建议添加已有节点，推荐直接新建节点池。 移出节点池内节点 可以将同一个集群下某个节点池中的节点迁移到默认节点池（defaultpool）中 暂不支持将默认节点池（defaultpool）中的节点迁移到其他节点池中，也不支持将自定义节点池中的节点迁移到其他自定义节点池。 拷贝节点池 可以方便的拷贝现有节点池的配置，从而创建新的节点池。 配置kubernetes参数 通过该功能您可以对核心组件进行深度配置。 本功能仅支持在v1.15及以上版本的集群中对节点池进行配置，V1.15以下版本不显示该功能。 默认节点池DefaultPool不支持修改该类配置。 将工作负载部署到特定节点池 在定义工作负载时，您可以间接的控制将其部署在哪个节点池上。 例如，您可以通过CCE控制台中工作负载页面的“调度策略”设置工作负载与节点的亲和性，强制将该工作负载部署到特定节点池上，从而实现该工作负载仅在该节点池中的节点上运行的目的。如果您需要更好地控制工作负载实例的调度位置，您可以使用调度策略概述章节中关于工作负载与节点的亲和或反亲和策略相关说明。 您也可以为容器指定资源请求，工作负载将仅在满足资源请求的节点上运行。 例如，如果工作负载定义了需要包含四个CPU的容器，则工作负载将不会选择在具有两个CPU的节点上运行。