本章节介绍容器镜像Harbor服务不可用故障演练。 背景介绍 容器镜像服务是云原生环境中镜像存储与分发的核心，负责业务Pod部署所需镜像的拉取、推送及版本管理。Harbor服务不可用（如进程异常、网络中断、存储故障等导致）会阻碍集群Pod创建与重建，引发业务部署失败、扩容失效等问题。本演练可验证系统对该故障的应急响应与业务恢复能力，优化处理流程，提升集群可靠性。 基本原理 通过调用容器镜像服务OpenAPI，停止Harbor服务，模拟容器镜像仓库不可用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择容器镜像服务，然后单击添加资源。 3. 在弹出的对话框中，勾选目标容器镜像服务实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择容器镜像服务。 添加实例 ：单击添加实例 ，勾选上一步中添加的容器镜像服务实例。 添加故障动作 ：单击立即添加 ，在列表中选择Harbor服务不可用动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。

本章节介绍Kafka Broker节点主机宕机故障演练。 背景介绍 高性能高可靠的分布式消息服务 Kafka 在复杂分布式环境中仍可能因 Broker 节点宕机引发数据丢失、集群可用性下降、请求延迟升高、副本同步滞后等严重问题，本演练可测试业务系统应对此类核心组件故障的响应能力、高可用切换机制及数据一致性保障效果。 基本原理 指定或随机一个Broker节点进行关机。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择Broker宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：可选择随机一个节点或者特定的节点。

本文主要介绍应用场景 性能测试具备强大的分布式压测能力，应用十分广泛，适合互联网、数字化营销平台、车联网、金融等各行业。 电商抢购测试 电商抢购已成为当前互联网应用的普遍需求，有并发用户高、突发请求大、失败用户反复重试等特征，如何保证在高负载运行情况下网站的可用性已经成为运维保障的重点。 优势 真实场景模拟：秒级百万并发能力，瞬间发起大量并发压力，可在一个测试模型里面模拟全网站高负载。 专业测试报告：提供按时延响应区间的统计，客观反映用户体验。 失败用户重试：多种表达式的自定义结果比对，未正常进入网站的可以重试。 电商抢购测试 游戏高峰测试 游戏行业业务波峰波谷明显，具备弹性伸缩的能力，一方面需要验证弹性伸缩是否可以正常工作，另一方面需要验证在流量突发高峰场景下，时延等关键KPI是否达标。 优势 多场景组合模拟：通过多事务组合、事务元素多样性、报文自定义功能模拟真实场景。 波峰波谷模拟：针对每个单事务根据时间段定义压测曲线，模拟波峰波谷。 KPI度量：通过自定义响应超时时间，验证高峰场景游戏KPI满足度。 游戏高峰测试

本文介绍天翼云AOne会议应用场景。 AOne会议常见应用场景如下： 应用场景 业务痛点 AOne会议解决方案 智慧办公 跨地域团队协作成本高、效率低。 远程办公体验差，会议频繁卡顿或中断。 会议信息分散，事后难以追踪和整理。 提供高质量音视频会议，支持千人级会议稳定并发。 支持云录制、屏幕共享等功能，提升远程协同效率。 支持多端登录与移动办公，随时随地召开会议。 支持云录制视频下载和转写内容导出，方便会后任务跟进与知识沉淀。 远程医疗 医疗资源分布不均，专家会诊成本高。 医患沟通效率低，传统方式难以实时响应。 医疗系统安全要求高，需保障数据传输安全合规。 支持高清视频连线，可开展远程会诊、线上查房、远程培训等。 提供会议加密、水印追踪，保障医疗数据与隐私安全。 结合信创兼容能力，支持在合规环境下的部署落地。 支持共享影像资料、语音转写记录会诊过程，提升沟通效率、加强信息留存。 政企服务 跨部门、跨地区沟通流程繁琐。 政府系统对国产化、数据安全有严格要求。 政务会议需要留痕、可审计、可复用。 支持多地多方远程接入，实现跨部门、跨地区协同会议。 具备全链路国产化适配能力。 支持会议过程云录制、语音转写与水印留痕，满足合规与审计要求。 提供会议预约管理、主持权限管控，确保会议组织规范高效。

本文为您介绍合规检测功能的检测范围、前提条件、操作步骤以及配置介绍，帮助您更好地了解合规检测功能。 功能介绍 Web防护可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站 请求协议检测：只允许指定协议版本访问网站 请求头部缺失检测：请求缺少指定头部禁止访问网站 数据重复检测：针对头部重复，参数重复进行拦截，禁止访问网站 请求数据长度限制：针对请求URL,头部参数进行长度限制，禁止访问网站 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用合规检测功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入“合规检测”页面，可以配置合规检测策略； 注意：域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，客户也可以自定义合规检测规则

您可以在产品信息界面查看WAF产品信息，包括申请的WAF版本、域名规格等信息。 前提条件 已申请Web应用防火墙实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域或项目。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“系统管理> 产品信息”，进入“产品信息”页面。 步骤 5 在“产品信息”界面，查看WAF版本、产品规格、到期时间等信息。单击“规格详情”，可以查看当前WAF版本的详细规格信息。

功能 说明 开启HTTPS协议主要涉及两个步骤：一是打开“Https开关”，二是Https证书上传。第二步客户可参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过Web应用防火墙（边缘云版）控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 当证书过期或者不再使用时，可通过Web应用防火墙（边缘云版）控制台删除证书。

本章节介绍什么是密码服务。 密码服务是针对云上租户密评需求提供的端到端密评产品解决方案，产品基于具有商密资质的云密码机、密码服务在云上构建高性能密码资源池，为应用提供密钥管理、综合安全网关、协同签名等云原生密码服务，解决云上应用密评方案复杂、改造时间长问题，帮助租户快速通过密评。

ZHCNTOPIC0000001489250494)Proxy集群使用多DB限制，[]( ZHCNTOPIC0277553117)实例受限使用命令。 变更前实例的已用内存必须小于变更后最大内存的70%，否则将不允许变更。 如果变更前实例的已用内存超过总内存的90%，变更的过程中可能会导致部分key逐出。 变更完成后需要对实例重新创建告警规则。 如果原实例是主备实例，请确保应用中没有直接引用只读IP或只读域名。 请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后有可能需要重启客户端应用。 变更规格过程中会有秒级业务中断、大约1分钟只读，建议在业务低峰时进行变更。 Redis 4.0/5.0 Proxy集群实例变更为主备实例或读写分离实例 变更为proxy集群时，需要评估proxy集群的多DB使用限制和命令使用限制对业务的影响。具体请参考[]( ZHCNTOPIC0000001489250494)Proxy集群使用多DB限制，[]( ZHCNTOPIC0277553117)实例受限使用命令。 变更前实例的已用内存必须小于变更后最大内存的70%，否则将不允许变更。 如果变更前实例的已用内存超过总内存的90%，变更的过程中可能会导致部分key逐出。 变更完成后需要对实例重新创建告警规则。 如果原实例是主备实例，请确保应用中没有直接引用只读IP或只读域名。 请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后有可能需要重启客户端应用。 变更规格过程中会有秒级业务中断、大约1分钟只读，建议在业务低峰时进行变更。 除了上表中提到的实例外，其他实例类型目前不支持实例类型的变更，若您想实现跨实例类型的规格变更，可参考实例交换IP进行操作。 实例规格变更的影响 实例类型 规格变更类型 实例规格变更的影响 单机、主备和读写分离实例 扩容/缩容 Redis 4.0/5.0/6.0基础版实例，扩容期间连接会有秒级中断，大约1分钟的只读，缩容期间连接不会中断。 Redis 3.0实例，规格变更期间连接会有秒级中断，5~30分钟只读。 如果是扩容，只扩大实例的内存，不会提升CPU处理能力。 单机实例不支持持久化，变更规格不能保证数据可靠性。在实例变更后，需要确认数据完整性以及是否需要再次填充数据。如果有重要数据，建议先把数据用迁移工具迁移到其他实例备份。 主备和读写分离实例缩容前的备份记录，缩容后不能使用。如有需要请提前下载备份文件，或缩容后重新备份。 Proxy和Cluster集群实例 扩容/缩容 扩容/缩容分片数未减少时，连接不中断，但会占用CPU，导致性能有20%以内的下降。 扩容/缩容分片数减少时，删除节点会导致连接闪断，请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后可能需要重启客户端应用。 分片数增加时，会新增数据节点，数据自动负载均衡到新的数据节点。 分片数减少时，会删除节点。Cluster集群实例缩容前，请确保应用中没有直接引用这些删除的节点，否则可能导致业务访问异常。 缩容前，实例每个节点的已用内存要小于缩容后节点最大内存的70%，否则将不允许变更。l 实例规格变更期间，会进行数据迁移，访问时延会增大。Cluster集群请确保客户端能正常处理MOVED和ASK命令，否则会导致请求失败。 实例规格变更期间，如果有大批量数据写入导致节点内存写满，将会导致变更失败。 在实例规格变更前，请先使用缓存分析中的大key分析，确保实例中没有大key存在，否则在规格改变后，节点间进行数据迁移的过程中，单个key过大（≥512MB）会触发Redis内核对于单key的迁移限制，造成数据迁移超时失败，进而导致规格变更失败，key越大失败的概率越高。 Cluster集群实例扩容或缩容时，如果您使用的是Lettuce客户端，请确保开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。开启集群拓扑自动刷新配置请参考Lettuce客户端连接Cluster集群实例中的示例。 实例规格变更前的备份记录，变更后不能使用。如有需要请提前下载备份文件，或变更后重新备份。 主备、读写分离和Cluster集群实例 副本数变更 Cluster集群实例增加或删除副本时，如果您使用的是Lettuce客户端，请确保开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。开启集群拓扑自动刷新配置请参考Lettuce客户端连接Cluster集群实例中的示例。 删除副本会导致连接中断，需确保您的客户端应用具备重连机制和处理异常的能力，否则在删除副本后需要重启客户端应用。增加副本不会连接中断。 当副本数已经为实例支持的最小副本数时，不支持删除副本。

本文介绍了如何在科研助手中创建并行计算任务。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【并行计算】。 3. 在【并行计算】页面中，单击【作业管理】下方的【创建计算任务】。 4. 在【创建计算任务】页面中，配置参数，具体如下表所示。 参数 说明 企业项目 可将计算任务挂载在不同企业项目下。 作业名称 输入作业名称。要求如下：长度范围为4~25个字符。名称由小写字母、数字、中划线（）组成。以小写字母开头。 以小写字母或数字结尾。 并行框架 选择所需要使用的并行框架。支持MPI、Pytorch、Tensorflow、Paddle。 镜像地址 输入作业所需要使用的镜像URL地址，可以手动填写第三方镜像，也可以选择存储在天翼云的镜像。 启动命令 作业第一个实例启动时执行的命令内容，指令执行完成视为作业运行结束。例如"mpirun np 8 myapp.run"。 环境变量 为所有实例预置环境变量，输入形式为key+value。 可用区 选择所需的可用区。 实例规格 实例规格可选择通用计算型和GPU加速型，为作业的实例选择合适的实例规格。 数量 作业将创建的实例数量。输入范围1~99。 存储挂载 可将科研文件挂载到所有实例中，可设置实例中挂载的路径。 5. 所有参数填写完毕后，点击【确认订单】，作业将会创建和下发计算任务。

本文介绍如何在边缘虚拟机上安装CUDA。 CUDA为NVIDIA提供的运算平台，包含了CUDA指令集架构以及GPU内部的并行计算引擎。若想要在NVIDIA系列GPU上运行GPU加速计算任务，需要安装CUDA环境。 CUDA安装 安装前准备 步骤1、确认GPU驱动已安装。 shell nvidiasmi 步骤2、确认适配的CUDA版本。 安装步骤 步骤1、确定适配的CUDA版本，在CUDA Toolkit Archive查找适配CUDA软件包。 步骤2、点击进入，找到适配的runfile。 步骤3、执行下载命令，注意检查CUDA版本和GPU驱动版本是否一致。 shell wget 步骤4、执行安装命令。 shell wget 若已安装GPU驱动需要取消勾选Driver，若未安装GPU驱动请勾选安装。 步骤5、执行命令配置CUDA环境变量。 shell echo 'export PATH/usr/local/cuda/bin:$PATH' sudo tee /etc/profile.d/cuda.sh source /etc/profile 步骤6、检查安装是否成功。 shell nvcc V

是否支持配置迁移文件（Object）的大小？ 支持，可以通过配置文件migrate.conf中参数objectSize进行配置迁移文件（Object）的范围。格式是NM，表示迁移N至M大小的文件。取值：N和M是大于等于0的整数，且N≤M，单位是字节。默认不配置此项，表示迁移所有大小的文件。 迁移过程中任务被终止了如何继续？ 可以按照下列步骤继续终止的任务： 1. 保留上次迁移执行过程中产生的backup文件。 说明 如果不在原服务器上继续执行迁移任务，而是换一台服务器上重新开始迁移任务，则需要将backup文件拷贝到新服务器的迁移工具所在目录下。 2. 查看nextMarker.txt文件中记录的上次数据迁移位置。修改迁移任务配置文件(migrate.conf)，设置srcMarker为上次迁移位置，然后运行迁移工具。 如何提升迁移速度？ 在客户端网络环境不变的情况下，可以通过调整如下参数来提升迁移速度： 将系统配置文件（system.conf）中的threadNum参数调大，执行多线程并发迁移，譬如调整到50。 将迁移任务配置文件（migrate.conf）中的isSkipExistFile参数设置为true，当目标资源池中已有同名文件则跳过不再迁移。 说明 这个参数根据实际情况而定。 如果srcType为OOS时，且迁移源端和目的端的资源池为同类型，可以将迁移任务配置文件（migrate.conf）中的isAcceleratedMigration参数设置为true，使用加速迁移。 将迁移任务配置文件（migrate.conf）中的importSince参数设置为增量迁移的时间戳，可以只迁移该时间戳之后的对象。

选择系统防护页签，可对终端设置防护。 参数 说明 病毒防护 针对网络中流行的病毒、木马进行全面查杀。 系统登录防护 配置登录权限。 配置病毒防护 病毒查杀用于对网络中流行的病毒、木马进行全面查杀。适用于需要自定义修改配置策略模板病毒防护场景。 1. 选择病毒查杀页签。 2. 配置检测引擎、实时防护等参数。 详细配置请参见下表： 参数 说明 通用设置 检测引擎 检测引擎选项： 默认引擎（高性能跨平台通用引擎，建议开启）。 深度扫描引擎（开启后将占用200MB磁盘空间，深度扫描引擎占用内存更多，但扫描速度更快（进行压缩包扫描时需要选择“深度扫描引擎”）。 网马引擎（网马专用引擎，根据网马特征扫描）。 通用设置 检测提升 扫描缓存加速（建议开启）。 病毒扫描 扫描模式 极速扫描。 低资源扫描，CPU使用率低于限额（默认50%，建议不低于20%）。 实时防护 扫描时机 默认全部勾选，用户可根据实际场景进行勾选。 当文件被执行时，将会触发实时防护功能。 当文件被修改时，将会触发实时防护功能。 当存储介质被连接时，将会触发实时防护功能。 实时防护 处理方式 发现病毒（文件执行、文件修改、存储介质连接时）后的处理方式： 自动处理（优先进行文件修复，修复失败后再隔离）。 仅记录。由用户自行选择。 删除（删除病毒文件）。

本章节介绍云容器引擎托管Master节点宕机故障演练。 背景介绍 云容器引擎（CCE）Master节点是集群控制核心，负责容器调度、资源管理等关键职责，硬件故障、系统异常、软件故障及网络中断等均可能导致其异常。Master节点宕机可能会造成集群调度失效、管控异常，波及上层业务，本演练可测试系统应对与恢复能力，提升集群及业务高可用性。 基本原理 通过关闭云容器引擎Master节点主机，模拟Master节点宕机（支持托管版本和智算版）。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择托管Master节点宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 Master节点：故障动作的目标节点。

本小节介绍 Web应用防火墙自定义防护策略。 自定义防护策略配置入口 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入WAF防护配置页面。 3. 在WAF防护配置列表中，单击防护域名操作列的“自定义防护配置”，进入自定义防护配置页面。 1.基础防护配置 通过此界面可以将WAF当前防护模式进行调整，可以由阻断模式调整到观察模式。 可通过设置当前网站的应用系统与编程语言等业务信息，制定更加符合业务场景的Web入侵防护规则集。 2.一键关站 一键关站支持快速关闭外部流量对源站的访问，并自定义网站响应内容。 3.AI智能学习模式 AI学习引擎通过自动学习网站的流量特征与访问模式，同时对业务数据进行分类训练，提高对已知与未知Web安全威胁的防护效果。 4.CC防护策略 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。

在告警发送历史页面中，您可以筛选并查看根据通知策略分派的告警发送历史，并进行告警管理。 功能入口 1. 登录应用性能监控控制台。 2. 在左侧导航栏选择 告警管理 >告警发送历史。 告警发送列表 告警页面显示了告警的等级、名称、处理人等告警基本信息。 在告警页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，查看对应的告警发送历史。 字段 说明图 告警名称 创建的告警规则的名称。 告警状态 告警目前的处理状态，共有以下3种状态： 待认领 处理中 已解决 告警等级 告警的严重级别。可以在创建时指定告警规则产生的告警的级别，告警级别有以下几种： 一般 次要 重要 紧急 处理人 告警的处理人。 通知策略 告警对应的通知策略。 集成类型 告警事件对应的集成类型。 日志服务：日志服务上报的告警事件。 ARMS前端监控：ARMS前端监控上报的告警事件。 ARMS应用监控：ARMS应用监控上报的告警事件。 ARMSPrometheus：ARMS Prometheus上报的告警事件。 创建时间 告警产生的时间段。 单击告警名称，可以查看目标告警的详细信息。更多信息，请参见下方【告警详情】。 对于未解决的告警，可以认领、解决、指定告警处理人或修改告警等级。具体操作，请参见下方【处理告警】。

本章节介绍云容器引擎托管Master节点宕机故障演练。 背景介绍 云容器引擎（CCE）Master节点是集群控制核心，负责容器调度、资源管理等关键职责，硬件故障、系统异常、软件故障及网络中断等均可能导致其异常。Master节点宕机可能会造成集群调度失效、管控异常，波及上层业务，本演练可测试系统应对与恢复能力，提升集群及业务高可用性。 基本原理 通过关闭云容器引擎Master节点主机，模拟Master节点宕机（支持托管版本和智算版）。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择托管Master节点宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 Master节点：故障动作的目标节点。

本文为您介绍将网站域名接入Web应用防火墙（原生版）实例时，如何修改域名DNS解析。 在添加网站域名后，您必须使用WAF的CNAME地址（或IP地址）修改域名的DNS解析设置，将网站的Web请求解析到WAF进行安全防护。 前提条件 已通过CNAME接入模式手动添加网站域名。 可选：已在源站服务器上放行WAF回源IP地址。 可选：已通过本地验证确保转发配置生效。通过本地验证确保WAF的网站转发配置正常，防止因配置错误导致业务中断。 注意 如果在WAF网站转发配置未生效时修改域名DNS，可能导致业务中断。建议先通过本地验证，再修改域名DNS。 拥有在域名的DNS服务商处修改域名解析设置的权限。 获取WAF CNAME地址 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页Web应用防火墙信息栏中，复制该域名对应的WAF CNAME地址。

本章节演示通过使用ServiceStage的灰度发布功能部署weather服务的新版本weatherbeta。 ServiceStage提供了灰度发布功能，可以达到上述目的。 本章节演示通过使用ServiceStage的灰度发布功能部署weather服务的新版本weatherbeta。 业务场景 微服务引擎提供负载均衡、降级、限流、容错、熔断、错误注入、黑白名单等治理策略。 用户故事 用户可以根据实际的业务场景提前配置相应的治理策略，灵活应对业务需求变化，保障应用的稳定运行。 降级：在本实践中，假设前台请求剧增，导致系统响应缓慢甚至可能崩溃，在这样的场景下，我们可以在fusionweather对forecast使用降级策略，对forecast 进行降级处理，只请求比较重要的实时天气weather的数据，保障重要业务功能的正常运行，等流量洪峰过去再进行复原。 体验微服务降级 ServiceStage支持从界面上设置按微服务或接口粒度降级。 以对forecast微服务降级为例，操作步骤如下。 1. 登录ServiceStage控制台，选择“微服务引擎 CSE”。 2. 选择创建环境时选择的微服务引擎，单击“查看控制台”。 3. 单击“服务治理”。 4. 单击创建应用时创建的应用名称（例如weathermap） 5. 配置降级策略。 a. 选择fusionweather微服务。 b. 选择“降级”。 c. 单击“新增”。 d. “降级对象”选择“forecast”和“所有方法”。 e. “降级策略”设置为“开启”。 f. 单击“确定”

本章节介绍如何创建参数模板。 操作场景 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 注意 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。

本文介绍 IAM功能的基本用途、应用场景,以及本产品的权限定义。 目录 功能介绍 IAM应用场景 使用流程 权限策略 海量文件服务OceanFS权限表 常见问题 功能介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 使用流程 请查看：入门说明。

版本 描述 1.1.1 1、增加Javaagent关键内置对象指标 2、修复集成Nacos的内存占用问题 1.2.0 1、修复Springboot 2.5.15版本引用的Tomcat 9.0.75出现接口404问题 2、修复Agent运行一段时间后上报数据异常问题3、优化Agent内存占用 1.4.0 1、优化应用配置下发通道 2、修复异常数统计不准问题 3、修复Localhost显示Ipv6地址问题 1.5.0 1、新增Header和URL参数拦截功能 2、新增Netty内存指标展示 3、新增自定义URL状态码功能4 、新增自定义慢请求阈值 5、新增URL采集黑名单 1.5.1 1、新增Java方法拦截功能 2、新增Elasticsearch、Mongodb、Clickhouse等数据库指标展示 3、新增C3P0、DBCP、Druid等数据库连接池指标展示 4、新增Tomcat连接池指标展示 5、新增耗时区间分布统计 6、新增解析特定业务返回码功能 7、新增URL级别慢请求采样率设置功能 1.6.1 1、新增mysql原始sql采集配置项 2、新增jmx指标展示和隐藏动态配置项 3、javaagent兜底采样功能 4、新增xxljob指标展示 1.7.0 1、新增消息队列rocketmq监控指标 2、新增数据库Postgresql监控指标 3、新增慢、异常span自动打标签并支持过滤 4、新增自定义tag搜索能力 5、新增调用链支持散点图、全链路聚合展示 6、新增代码热点图 1.8.0 1、javaagent上报新增项目、环境信息 1.8.2 1、新增应用诊断线程分析功能 2、新增系统负载数，系统CPU使用率、用户CPU使用率、等待IO完成率、系统PageCache内存、BufferCache内存指标 3、新增磁盘总数、磁盘空闲数、磁盘使用数指标 4、新增支持javaagent对上报数据拆包 5、新增支持默认的和用户自定义URL规整规则 1.9.0 1、新增springbean方法采集功能 2、新增全局拓扑功能 3、新增应用健康度功能 4、新增URL最大采集条字符配置 2.0.0 1、支持自动生成项目、分组、环境、应用 2、优化agent日志输出 2.1 1、支持业务联系分析功能 2、修复ApacheTttpClient4.x下游traceId丢失问题 2.2.2 1、支持jdk21

本文主要介绍异常 异常监控项是对应用的异常日志进行监控，比如java的日志异常监控，一旦用户采用log系统打印日志，就会被采集上来。具体的异常采集类型会根据不同的采集器类型有变化。 查看异常日志 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击待查看接口调用的环境后的。 步骤 5 单击“异常”，切换至异常页签。页面默认展示所“全部实例”的“异常日志”异常日志信息。 异常指标包括：类名、异常类型、日志类型、总次数、消息以及以及异常堆栈。请参照下表 日志版本指标包括：logType以及版本。 图 异常监控数据 表 指标说明 指标集 参数 说明 ::: 异常 类名 发生异常的所在类 异常 异常类型 该异常的类型 异常 日志类型 该异常打印所属的日志类型 异常 次数 异常发生的次数 异常 异常消息 该异常产生的异常消息 异常 异常堆栈 该异常产生的异常堆栈 日志版本 日志类型 日志类型 日志版本 日志版本 日志类型对应的版本 单击蓝色数值，可以查看所选时间段内该线程的趋势图。 单击“消息”列的蓝色文字，可以查看消息的详细内容，包括：时间和消息内容。 单击“异常堆栈”列的“查看详情”可以查看异常的详细信息。 单击“异常堆栈”列的“历史信息”可以查看该类名的历史异常堆栈列表。 单击“版本”列的蓝色文字，可以查看该版本的日志详情。 步骤 6 在异常页签选择您想要查看的“实例名称”，并选择“异常日志”，可以查看该实例在对应采集器下的应用异常监控数据。 图 选择实例、异常日志

本章主要介绍步骤六：部署应用（ECS篇） 本章节以应用“phoenixsamplestandalone”为例，介绍如何将发布件部署至主机。若您需要了解如何署至CCE，请参照步骤六：部署应用（CCE篇）操作。 购买并配置ECS 本文档使用的是ECS，您也可以使用自己的Linux主机（Ubuntu 16.04操作系统）。 步骤 1 登录云主机控制台，购买云主机。 购买时的必要配置参照下表，表中未列出的配置可根据实际情况选择。 步骤 2 配置安全组规则。 样例项目的验证需要用到端口5000与5001，因此添加一条允许访问5000以及5001端口的入方向规则。 操作步骤如下： 1. 登录ECS页面，在列表中找到步骤步骤1中购买的ECS，单击服务器名称。 2. 选择“安全组”页签，参考“《云主机用户指南》>安全>安全组>配置安全组规格”添加一条协议为TCP、端口为50005001的入方向规则。 添加目标主机至项目 部署应用到ECS之前，需要先将目标主机添加到项目基础资源中。 步骤 1 进入“凤凰商城”项目，单击导航栏“设置 > 通用设置 > 基础资源管理”。 步骤 2 单击“新建主机集群”，输入集群名称“hosts”、选择操作系统（Linux）、关闭“使用代理机接入”开关，单击“保存”。 步骤 3 单击“新增目标主机”，在弹框中配置以下信息，勾选同意声明后，单击“添加”。 添加主机 配置项 配置建议 主机名 输入自定义主机名称。为了方便辨认，可与在购买并配置ECS时配置的ECS的名称保持一致。 IP 输入在购买并配置ECS中购买的ECS的IP。 用户名 输入“root”。 密码 输入在购买并配置ECS中购买的ECS的密码。 ssh端口 输入“22”。 步骤 4 页面显示一条主机记录，当“连通性验证”列的值显示为“成功”，表示主机添加完成。 若主机添加失败，请根据页面提示信息排查主机配置。

PV和 PVC 并非所有的Kubernetes数据卷（Volume）具有持久化特征，为了实现持久化的实现，容器存储需依赖于一个远程存储服务。为此Kubernetes引入了PV和PVC两个资源对象，将存储实现的细节从其如何被使用中抽象出来，并解耦存储使用者和系统管理员的职责。PV和PVC的概念如下： PV，PV是PersistentVolume的缩写，译为持久化存储卷。PV在Kubernetes中代表一个具体存储类型的卷，其对象中定义了具体存储类型和卷参数。即目标存储服务所有相关的信息都保存在PV中，Kubernetes引用PV中的存储信息执行挂载操作。PVC，PVC是PersistentVolumeClaim的缩写，译为存储声明。PVC是在Kubernetes中一种抽象的存储卷类型，代表了某个具体类型存储的数据卷表达。其设计意图是分离存储与应用编排，将存储细节抽象出来并实现存储的编排。这样Kubernetes中存储卷对象独立于应用编排而单独存在，在编排层面使应用和存储解耦。 PVC和PV的绑定：PVC与PV是一一对应关系，不能一个PVC挂载多个PV，也不能一个PV挂载多个PVC。为应用配置存储时，需要声明一个存储需求声明（PVC），而Kubernetes会通过最佳匹配的方式选择一个满足PVC需求的PV，并与之绑定。所以从职责上PVC是应用所需要的存储对象，属于应用作用域。PV是存储平面的存储对象，属于整个存储域。 PVC只有绑定了PV之后才能被Pod使用，而PVC绑定PV的过程即是消费PV的过程，这个过程是有一定规则的，以下规则都满足的PV才能被PVC绑定。 VolumeMode：被消费PV的VolumeMode需要和PVC一致。 AccessMode：被消费PV的AccessMode需要和PVC一致。 StorageClassName：如果PVC定义了此参数，PV必须有相关的参数定义才能进行绑定。 LabelSelector：通过标签（labels）匹配的方式从PV列表中选择合适的PV绑定。 Size：被消费PV的capacity必须大于或者等于PVC的存储容量需求才能被绑定。 PVC和PV里面的size字段作用如下： PVC、PV绑定时，会根据各自的size进行筛选。 通过PVC、StorageClass动态创建PV时，有些存储类型会参考PVC的size创建相应大小的PV和后端存储。 对于支持Resize操作的存储类型，PVC的size作为扩容后PV、后端存储的容量值。 一个PVC、PV的size值只是在执行一些PVC和PV管控操作的时候，作为配置参数来使用。 真正的存储卷数据流写数据的时候，不会参考PVC和PV的size字段，而是依赖底层存储介质的实际容量。

功能 说明 检查名称 输入基线的检查名称 执行范围 全部主机：主账号可选全部主机，子账号不可选全部主机。（子账号不显示“全部主机”选项） 选择业务组：可选择该账号管辖范围内的业务组。 选择主机：选择该账号管辖范围内的主机 IP，也可手动输入主机IP。 【 说明 】需要先选择检查范围后，才能选择基线规则。选择了检查范围后，将根据所选主机匹配出适用的应用基线，有多少主机缺少账号授权，并提供设置入口。 【提示】例如：您选择的主机中包含20台主机缺少账号授权，点击设置。 基线规则 系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类，每类下又细分为CIS 和等保基线，基线可多选。 【 说明 】基线选择后，若为数据库类型应用基线，则提示该规则中是否有需要添加账号授权的基线，若有，则提示，例如：该规则中的60个检查项需要账号授权 目前支持的系统基线有：centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有：Apache Apache2 MySQL MongoDB Nginx 定时检查 打开定时检查开关，则可以输入定时表达式，且定时表达式为必填。定时表达式为 crontab 格式，点击“创建并执行”时，需要校验该格式是否正确，校验规则请参考“任务系统》新建作业中 crontab 格式”。 鼠标移动到定时表达式后的 i，则显示定时表达式的输入说明。 关闭定时检查开关，则不可以输入定时表达式。 描述 输入对该基线的描述。

本节主要介绍用户场景 作为一款线下云迁移工具，云迁移工具RDA主要应用于以下几种场景： 本地数据中心迁移上云 本地数据中心物理机或者虚拟机快速迁移到天翼云弹性云主机上，从而帮助客户轻松把服务器上的应用和数据迁移到天翼云。 云上资源迁移 不同天翼云账号，不同资源池下的主机资源整合到一个天翼云账号下；其他公有云主机迁移到天翼云ECS。

本章节介绍Kubernetes配置相关能力 概述 Kubernetes配置目前支持K8s配置项、K8s保密字典和配置模板，通过Kubernetes配置来管理K8s的配置项、保密字典以及自定义添加配置模板。可以使用配置项来保存不需要加密的配置信息，例如jvm相关参数信息；使用保密字典来保存一些敏感信息，例如token数据；也可以通过配置模板提前创建好模板，方便在配置项或保密字典中引用。 K8s配置项 创建配置项 在配置项页面，点击“创建配置项”。创建配置项需要填写如下内容： 配置项名称：输入配置项名称 K8s集群：下拉选择目标云容器引擎K8s集群 K8s命名空间：自动带出 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s配置项键值 值： K8s配置项内容value 编辑K8s配置项，只能修改配置项键值内容。 删除K8s配置项，点击更多选择删除按钮，根据提示完成删除操作即可 说明 删除K8s配置项，前提是这个配置项没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s配置项使用情况。 K8s保密字典 在保密字典页面，点击“创建保密字典”。创建保密字典需要填写如下内容： 保密字典名称 云容器引擎K8s集群：选择目标K8s集群 K8s命名空间：根据K8s集群自动带入 base64编码数据：勾选后，secret须配置base64编码的数据 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s保密字典键值 值： K8s保密字典内容value 编辑K8s保密字典，只能修改保密字典键值内容。 删除K8s保密字典，点击更多选择删除按钮，根据提示完成删除操作即可。 说明 删除K8s保密字典，前提是这个保密字典没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s保密字典使用情况。

命令注入 利用各种调用系统命令的Web应用接口，通过命令拼接、绕过黑名单等方式在服务端形成对业务服务攻击的系统命令，从而实现对业务服务的攻击。 代码注入 利用Web应用在输入校验上的逻辑缺陷，或者部分脚本函数本身存在的代码执行漏洞，而实现的攻击手法。 敏感文件访问 一些涉及操作系统、应用服务框架的配置文件、权限管理文件等作为业务核心敏感的文件不应该被Internet上的请求所访问，否则会影响业务的安全。 服务端请求伪造 一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能，在用户可控的情况下，未对目标地址进行过滤与限制，导致此漏洞的产生。 网站后门 Webshell是一种Web入侵的脚本攻击工具，攻击者在入侵了一个网站后，将asp、php、jsp或者cgi等脚本文件与正常的网页文件混在一起，然后使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。因此也有人称之为网站的后门工具。 盗链 盗链是指对方网站直接链接您网站上的文件，而不是将其置于自己的服务器上。一般而言，盗链的对象大多为耗带宽的大体积文件，如图片、视频等。从某种意义上说，造成了让您为其访问流量买单，不仅您的服务器带宽被无任何回报地占用，而且往往会在很大程序上影响您网站的访问速度。

本小节介绍等保咨询服务常见问题。 等保咨询服务的实际实施方是谁？ 本服务是由天翼云授权的第三方专业安全服务提供商提供的，天翼云将对其提供技术指导及服务质量监督。 不同服务模式下等保技术测评要求？ 从云上用户等保2.0技术测评项可以看出，如果用户是自建云平台或传统IDC托管，那么等保中的所有技术条款都要进行测评。如果是laaS用户，只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标，不需关注物理机房环境和云平台网络等内容，测评条款数约是自建云平台的62.4%。如果是PaaS用户则需要测评内容更少，只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标，测评范围是自建云平台的36.8%。对于SaaS用户来说，只需要关注涉及应用安全配置以及业务数据保护的45项技术指标，需要投入的人力和经费成本也最少。 综合来讲，云时代因服务模式不同带来的云上用户合规责任的变化，使得公共云用户比自建云平台或传统IDC用户在等保2.0中投入的合规成本大幅降低，并且在PaaS和SaaS服务模式下优势更为突出，可以让用户将更多精力聚焦自身的业务应用系统和数据安全保护上。 如果一次测评没通过，还能继续提供相应的咨询服务吗？ 将会继续提供相应的咨询服务 在下单后一年的服务期限内，本服务将持续提供，直到客户通过等保测评或者一年期限已满。

多协议高并发性能测试 标准HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV报文内容快捷自定义，简单调整即可给不同的被测试应用发送压测流量。可以根据被测试应用的实际需求，HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV协议报文的任何字段内容进行自定义，包括HTTPGET/POST/PATCH/PUT/DELETE方法、URL、Header、Body等字段的设置和编辑。 虚拟用户的行为定义，适配不同测试场景。通过思考时间对同一个用户的请求设置发送间隔或者在一个事务中定义多个请求报文来设置每个用户每秒内发起的请求数。 自定义针对响应结果的校验，使请求成功的检查点更准确。针对每个用户的请求，支持用户配置检查点，在获取到响应报文后针对响应码、头域及响应body内容做结果检验，只有条件匹配后才认为是正常响应。 测试任务模型自定义，支持复杂场景测试 事务可以被多个测试任务复用，针对每个事务可以定义多个测试阶段，并对每个阶段分别定义持续时间和并发用户数或者压测次数，模拟流量波峰波谷的复杂场景。 通过多种事务元素与测试任务阶段的灵活组合，可以帮助用户测试在多操作场景并发下的应用性能表现。 专业性能测试报告，应用性能表现一目了然 提供用例RPS、并发用户、响应时延、访问累计、响应结果校验失败、响应超时等多种细分维度统计功能。 提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。

共享磁盘的主要优势 多挂载点：单个共享磁盘最多可同时挂载给16个云主机。 高性能：多台云主机并发访问超高IO共享磁盘时，随机读写IOPS可高达160000。 高可靠：共享磁盘支持自动和手动备份功能，提供高可靠的数据存储。 应用场景广泛：可应用于只需要VBD类型共享磁盘的Linux RHCS集群系统，同时也可应用于需要支持SCSI指令的共享磁盘的场景，如Windows MSCS集群和Veritas VCS集群应用。 共享磁盘的规格性能 磁盘性能的主要指标有IO读写时延、IOPS和吞吐量。 IOPS：磁盘每秒进行读写的操作次数。 吞吐量：磁盘每秒成功传送的数据量，即读取和写入的数据量。 IO读写时延：磁盘连续两次进行读写操作所需要的最小时间间隔。 不同类型磁盘的单队列访问时延如下： 高IO：1 ms ~ 3 ms 超高IO：1 ms 参数 高IO 超高IO 每GB磁盘的IOPS 3 50 单个磁盘的最大IOPS 3000 20000 单个磁盘的基线IOPS 100 100 单个磁盘的IOPS上限 min (3000, 100 + 3 × 容量) min (20000, 100 + 50 × 容量) 单个磁盘的IOPS突发上限 3000 10000 最大吞吐量 150 MB/s 350MB/s 挂载云主机数量 最大可同时挂载至16台云主机 说明 测试共享云硬盘性能时，必须满足以下要求： 共享云硬盘必须同时挂载至多台云主机（弹性云主机或者物理机）。 当共享云硬盘挂载至多台弹性云主机时，这些弹性云主机必须位于同一个策略为“反亲和性”的云主机组内。 如果弹性云主机不满足反亲和性，则共享云硬盘性能无法达到最大化。