本章节主要介绍节点排水。 操作场景 您可以通过控制台使用节点排水功能，系统会将节点设置为不可调度，然后安全地将节点上所有符合节点排水规则的Pod驱逐，后续新建的Pod都不会再调度到该节点。 在节点故障等场景下，该功能可帮助您快速隔离故障节点，被驱逐的Pod将会由工作负载controller转移到其他正常可调度的节点上。 约束与限制 仅以下指定版本的集群支持节点排水功能： v1.21集群：v1.21.10r0及以上版本 v1.23集群：v1.23.8r0及以上版本 v1.25集群：v1.25.3r0及以上版本 v1.25以上版本集群 IAM用户在使用节点排水功能时，至少需要具有以下一项权限，详情请参见命名空间权限（Kubernetes RBAC授权）。 clusteradmin（管理员权限）：对全部命名空间下所有资源的读写权限。 drainageeditor：节点排水操作权限，可执行节点排水。 drainageviewer：节点排水只读权限，仅可查看节点排水状态，无法执行节点排水。 节点排水规格 节点排水功能会安全驱逐节点上的Pod，但对于满足以下过滤规则的Pod，系统会进行例外处理： 表 节点排水规则 Pod筛选条件 使用强制排水 不使用强制排水 Pod的status.phase字段为Succeeded或Failed 删除 删除 Pod不受工作负载controller管理 删除 放弃排水 Pod由DaemonSet管理 忽略 放弃排水 Pod中挂载了emptyDir类型的volume 驱逐 放弃排水 由kubelet直接管理的静态Pod 忽略 忽略 说明 节点排水过程中可能会对Pod执行的操作如下： 删除：Pod会从当前节点上删除，不会再重新调度至其他节点。 驱逐：Pod会从当前节点上删除，且会重新调度至其他节点。 忽略：Pod不会被驱逐或删除。 放弃排水：若节点上存在放弃排水的Pod，节点排水过程会中止，不会驱逐或删除任何Pod。

本节介绍如何为包周期的态势感知（专业版）订单进行续费。 态势感知（专业版）续费是在原已购买的版本规格的基础上，延长使用时间。续费操作不能变更版本规格，即不能改变“主机配额”。 续费操作仅针对包周期版本。 包周期（包年/包月）模式为预付费方式。当购买的包周期版本到期时，用户需通过续费延长使用期。 按需计费为按小时计费，即开即用。在账户余额充足前提下，不涉及过期情况，即无需续费操作。 手动续费 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“已购资源”，进入已购资源页面后，在待续费态势感知（专业版）版本所在region栏中，单击“续费”，系统跳转至费用中心“续费管理”页面。 4. 在态势感知（专业版）实例所在行，单击“续费”，跳转至“续费”页面。 5. 配置“续费时长”，如选择“一年”。 6. （可选）设置并勾选“统一到期时间”。默认将统一到期时间设置为每月1号23:59:59 GMT+08:00。 7. 单击“去支付”，跳转至支付页面，完成付款。 返回续费管理页面，可查看态势感知（专业版）已续费成功。 开通自动续费 在账户余额充足前提下，已配置“自动续费”后，包周期版本的资产配额、增值包、安全编排将自动续费，延长使用周期。 1. 登录管理控制台。 2. 单击“费用与成本 > 续费管理”，跳转至费用中心“续费管理”页面。 3. 在“手动续费项”页签，选择态势感知（专业版）专业版实例，单击“开通自动续费”，跳转至自动续费配置页面。 4. 选择配置“自动续费周期”和勾选“预设自动续费次数”。 5. 单击“开通”，完成自动续费配置。 6. 返回续费管理页面，在“自动续费项”页签，可查看态势感知（专业版）已开通自动续费。 后续将根据配置，自动续费延长使用期。

本节主要介绍如何导入、导出情报指标。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条情报指标信息。 导入指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，单击指标列表左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入情报指标信息。 7. 待导入情报指标文件填写完成后，在导入情报指标对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，勾选您需要导出的指标，并单击列表右上角的，弹出导出对话框。 6. 在导出指标对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的指标列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载指标excel表格到本地。

本节指导用户通过密钥管理界面使用在线工具加解密不大于4KB的数据。 前提条件 自定义密钥处于“启用”状态。 约束条件 在线工具不支持通过默认密钥加解密小数据。 用户可使用调用API接口的方式，使用默认密钥加解密小数据。 加密数据时，使用当前指定的密钥加密数据。 解密数据时，在线工具自动识别并使用数据被加密时使用的密钥解密数据，如果加密时使用的密钥已被删除，会导致解密失败。 加密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息在线工具加密数据页面。 步骤 5 在“加密”文本框中输入待加密的数据。 步骤 6 单击“执行”，右侧文本框显示加密后的密文数据。 说明 加密数据时，使用当前指定的密钥加密数据。 用户可单击“清除”，清除已输入的数据。 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。 解密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 步骤 5 单击“解密”，在左侧文本框中数据待解密的密文数据。 说明 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 若该密钥已被删除，会导致解密失败。 步骤 6 单击“执行”，右侧文本框中显示解密后的明文数据。 说明 用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。

本节将介绍用户通过管理控制台查看工作空间的信息，包括名称、类型和创建时间等。 约束与限制 新创建的工作空间需要初始化，工作空间创建完成后需要等待约10分钟后刷新查看。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在工作空间界面，查看已有工作空间的信息。 当工作空间较多时，可以通过搜索功能，选择搜索条件并在搜索框中输入关键词，单击，即可快速查询指定工作空间。 工作空间参数说明： 参数名称 参数说明 名称 工作空间的名称。 类型 工作空间的类型。 工作空间分为普通工作空间和托管视图。 普通工作空间 未托管：未被托管视图纳管的工作空间，工作空间名称后不携带标签。 已托管：已经被托管视图纳管的工作空间，工作空间名称后会有“已托管”标签。 托管视图 托管视图：可用于纳管其他工作空间，实现多个工作空间集中管理，实现跨账号安全运营。托管视图更多信息请参见创建空间托管。 ID 工作空间的ID。 区域 工作空间所属区域。 项目 工作空间所属的项目。 更多 将鼠标悬停在“更多”上，可查看工作空间ID、区域、项目、企业项目、创建时间等信息。 托管状态 工作空间是否托管。 事件 该工作空间中的事件数量。事件更多信息请参见查看事件信息。 漏洞 该工作空间中的漏洞数量。漏洞更多信息请参见漏洞管理概述。 告警 该工作空间中的告警数量。告警更多信息请参见告警概述。 情报 该工作空间中的情报数量。情报更多信息请参见查看情报指标。 资产 该工作空间中已有资产的数量。资产管理更多信息请参见资产管理概述。 安全分析 该工作空间中已有数据空间数量。 实例 该工作空间中已有实例的数量。 剧本 该工作空间中已有剧本的数量。剧本更多信息请参见安全编排概述。 5. 如需查看某个工作空间的详细信息，可单击待查看工作空间右侧的，进入工作空间基本信息页面查看详细信息。 在工作空间详情页面，可查看工作空间的名称、创建时间、所属项目等信息。另外，还支持修改工作空间名称和描述信息。 在“标签”页签中，支持“编辑标签”，标签的详细操作请参考管理工作空间标签。 在“导航设置”页签，可以设置当前工作空间的目录，导航设置页签的参数含义如下： 参数名称 参数说明 面包屑导航显示开关 按钮默认开启。该开关用于控制是否允许用户返回外层导航目录。 开关打开：用户可返回外层空间管理导航目录。 开关关闭：用户无法返回外层空间管理导航目录。 工作空间导航设置 新增：用户自定义新增目录。 批量编辑：支持批量编辑，设置“落地页”，设置“是否显示”按钮。落地页即单击工作空间名称后进入空间详情的默认页面。 批量删除：支持批量删除目录，仅用户自定义的目录支持删除，系统内置目录不支持删除。 导航名称 导航目录所属的一级目录名称。单击一级目录名称前方的按钮可展开该一级目录下的二级目录名称。 目录状态 目录所属的类型。 发布者 目录的发布者。 布局 目录关联的布局。 目录地址 目录所在地址。系统自动生成的访问目录页面的地址。 中文别名 目录的中文名称。 英文别名 目录的英文名称。 落地页 设置单击工作空间名称后进入空间详情的默认页面。 一个工作空间必须有一个落地页。 只能设置允许显示的目录中的一个作为落地页。 一级目录不支持设置为落地页。 是否显示 控制该目录是否在导航栏显示。 操作 可对目录进行编辑、更换布局等操作。 编辑：支持编辑目录的“中文别名”、“英文别名”、“落地页”、“是否显示”。 更换布局：用户自定义的目录，或系统内置的关联了布局的目录支持更换布局。仅支持更换相同布局类型的其他布局。

《互联网信息服务管理办法》(国务院292号令) （2000 年 9 月 20 日国务院第 31 次常务会议通过，中华人民共和国国务院令第 292 号公布，自公布之日起施行） 第一条 为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，制定本办法。 第二条 在中华人民共和国境内从事互联网信息服务活动，必须遵守本办法。本办法所称互联网信息服务，是指通过互联网向上网用户提供信息的服务活动。 第三条 互联网信息服务分为经营性和非经营性两类。 经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。 非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。 第四条 国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。 未取得许可或者未履行备案手续的，不得从事互联网信息服务。 第五条 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。 第六条 从事经营性互联网信息服务，除应当符合《中华人民共和国电信条例》规定的要求外，还应当具备下列条件： (一)有业务发展计划及相关技术方案； (二)有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度； (三)服务项目属于本办法第五条规定范围的，已取得有关主管部门同意的文件。 第七条 从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。 省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕，作出批准或者不予批准的决定。予以批准的，颁发经营许可证；不予批准的，应当书面通知申请人并说明理由。 申请人取得经营许可证后，应当持经营许可证向企业登记机关办理登记手续。 第八条 从事非经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时，应当提交下列材料： (一)主办单位和网站负责人的基本情况； (二)网站网址和服务项目； (三)服务项目属于本办法第五条规定范围的，已取得有关主管部门的同意文件。 省、自治区、直辖市电信管理机构对备案材料齐全的，应当予以备案并编号。 第九条 从事互联网信息服务，拟开办电子公告服务的，应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时，按照国家有关规定提出专项申请或者专项备案。 第十条 省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营许可证或者已履行备案手续的互联网信息服务提供者名单。 第十一条 互联网信息服务提供者应当按照经许可或者备案的项目提供服务，不得超出经许可或者备案的项目提供服务。 非经营性互联网信息服务提供者不得从事有偿服务。 互联网信息服务提供者变更服务项目、网站网址等事项的，应当提前30日向原审核、发证或者备案机关办理变更手续。 第十二条 互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。 第十三条 互联网信息服务提供者应当向上网用户提供良好的服务，并保证所提供的信息内容合法。 第十四条 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。 互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。 第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息： (一)反对宪法所确定的基本原则的； (二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； (三)损害国家荣誉和利益的； (四)煽动民族仇恨、民族歧视，破坏民族团结的； (五)破坏国家宗教政策，宣扬邪教和封建迷信的； (六)散布谣言，扰乱社会秩序，破坏社会稳定的； (七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； (八)侮辱或者诽谤他人，侵害他人合法权益的； (九)含有法律、行政法规禁止的其他内容的。 第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。 第十七条 经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作，应当事先经国务院信息产业主管部门审查同意；其中，外商投资的比例应当符合有关法律、行政法规的规定。 第十八条 国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。 新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门，在各自职责范围内依法对互联网信息内容实施监督管理。 第十九条 违反本办法的规定，未取得经营许可证，擅自从事经营性互联网信息服务，或者超出许可的项目提供服务的，由省、自治区、直辖市电信管理机构责令限期改正，有违法所得的，没收违法所得，处违法所得3倍以上5倍以下的罚款；没有违法所得或者违法所得不足5万元的，处10万元以上100万元以下的罚款；情节严重的，责令关闭网站。 违反本办法的规定，未履行备案手续，擅自从事非经营性互联网信息服务，或者超出备案的项目提供服务的，由省、自治区、直辖市电信管理机构责令限期改正；拒不改正的，责令关闭网站。 第二十条 制作、复制、发布、传播本办法第十五条所列内容之一的信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关、国家安全机关依照《中华人民共和国治安管理处罚条例》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚；对经营性互联网信息服务提供者，并由发证机关责令停业整顿直至吊销经营许可证，通知企业登记机关；对非经营性互联网信息服务提供者，并由备案机关责令暂时关闭网站直至关闭网站。 第二十一条 未履行本办法第十四条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，责令停业整顿或者暂时关闭网站。 第二十二条 违反本办法的规定，未在其网站主页上标明其经营许可证编号或者备案编号的，由省、自治区、直辖市电信管理机构责令改正，处5000元以上5万元以下的罚款。 第二十三条 违反本办法第十六条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，对经营性互联网信息服务提供者，并由发证机关吊销经营许可证，对非经营性互联网信息服务提供者，并由备案机关责令关闭网站。 第二十四条 互联网信息服务提供者在其业务活动中，违反其他法律、法规的，由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。 第二十五条 电信管理机构和其他有关主管部门及其工作人员，玩忽职守、滥用职权、徇私舞弊，疏于对互联网信息服务的监督管理，造成严重后果，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。 第二十六条 在本办法公布前从事互联网信息服务的，应当自本办法公布之日起60日内依照本办法的有关规定补办有关手续。 第二十七条 本办法自公布之日起施行。

操作场景 在您创建弹性云主机后，通过控制台进入弹性云主机列表页与详情页，可以查看弹性云主机的列表与详细信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”，进入弹性云主机控制台，此处展示弹性云主机列表页，您可以查看弹性云主机名称、规格、镜像等基本信息。 4. 在弹性云主机列表页，点击目标弹性云主机名称，即可跳转至该云主机的详情页，可以进一步查看弹性网卡、云硬盘、安全组、弹性IP、监控等详细信息。

本文介绍IPv4/IPv6云主机通过绑定弹性IP和共享带宽,实现互联网连接的前提条件。 在进行本文操作之前，您需要完成以下准备工作： 1. 在天翼云资源节点中，根据网络、业务需要，创建、配置VPC相关信息，需选择VPC产品支持IPv4/IPv6双栈的资源节点进行配置。 2. 以上VPC的子网选择“开启IPv6”。 3. 在以上VPC的子网中，完成云主机或云服务器的创建与配置工作，需选择支持IPv4/IPv6双栈网卡的规格类型。 4. 云主机或云服务器绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

报错信息 原因及其解决方法 mysql conmand not found 服务器未安装MySQL，可参考以下命令进行安装： CentOS：执行命令sudo yum install mysql。 Ubuntu：执行命令sudo aptget update，并执行sudo apt install mysqlserver。 Access denied for use 'xxxx'(using password:YES) 输入的账号或密码错误，可在访问MySQL实例列表中查看对应目标实例ID的账号管理。 Unknown MySQL server host 'xxxx' 输入的MySQL地址错误，请重新确认地址。 Can't connect to mysql sever on ‘xxxx’ Cannot Connect to Database Server Your connection attempt failed for user ‘xxxx’ to the MySQL server 请根据连接场景重新确认RDS连接地址类型与安全组规则设置。

本节主要介绍IAM用户登录。 1. 根用户或有管理用户权限的IAM用户，通过“用户管理”>“用户”，进入具体用户页面，在用户详细信息页面，点击“安全”，复制“控制台登录链接”，即得到该IAM用户的登录链接。 2. 输入上一步骤中复制的控制台链接，进入子用户登录页面。根据提示，输入IAM用户名和登录密码，进行登录。 说明 IAM用户名为“@”前面的部分。 IAM子用户与根用户的页面基本一致，子用户的功能根据授权而定。如果需要更多权限，可以向根用户进行申请。

本文介绍存储桶复制的适用场景。 通过存储桶复制功能，可满足用户以下场景需求： 合规性要求：因合规性要求，数据需要在不同存储区域或存储桶保存一份副本。通过存储桶复制，可在媒体存储的存储区域之间复制数据，以满足业务要求。 数据迁移：因业务发展需要，将业务数据从一个存储桶复制到另一个存储桶，实现数据的迁移。 数据备份与容灾：因业务运行需要，希望所有写入媒体存储对象存储服务的数据能够在另一存储区域进行备份，以预防在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。

本节指导用户通过密钥管理界面关闭自动轮换密钥。 前提条件 密钥处于“启用”状态。 “密钥材料来源”为“密钥管理”。 已开启密钥轮换。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标对称密钥的别名，进入密钥详细信息页面。 步骤 5 单击“轮换策略”，进入密钥轮换管理界面。 步骤 6 单击，关闭密钥轮换。 步骤 7 关闭后，页面将显示密钥轮换管理界面。

本节介绍了备份弹性云主机的操作场景、云主机备份操作步骤、云硬盘备份操作步骤。 操作场景 云备份（Cloud Backup and Recovery，CBR）提供对云硬盘和弹性云主机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。云备份最大限度保障用户数据的安全性和正确性，确保业务安全。 云备份提供申请即用的备份服务，使您的数据更加安全可靠。例如，当磁盘或服务器出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 云主机备份操作步骤 1.登录管理控制台。 2.选择“存储 > 云备份 > 云主机备份”。 3.单击“创建云主机备份存储库”。 详细操作，请参见《云备份用户指南》中“创建存储库”章节。 4.云主机备份存储库创建后，通过向存储库绑定服务器来进行备份操作。 详细操作，请参见《云备份用户指南》中“绑定云主机或磁盘”章节。 5.创建备份。 详细操作，请参见《云备份用户指南》中“创建备份”章节。 云硬盘备份操作步骤 1.登录管理控制台。 2.选择“存储 > 云备份 > 云硬盘备份”。 3.单击“创建云硬盘备份存储库”。 详细操作，请参见《云备份用户指南》中“创建存储库”章节。 4.云硬盘备份存储库创建后，通过向存储库绑定磁盘来进行备份操作。 详细操作，请参见《云备份用户指南》中“绑定云主机或磁盘”章节。 5.创建备份。 详细操作，请参见《云备份用户指南》中“创建备份”章节。

添加审计范围后，您可以查看审计范围信息，启用、编辑、禁用或删除审计范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加审计范围。 启用、编辑和删除审计范围前，请确认审计范围的状态为“已禁用”。 禁用审计范围前，请确认审计范围的状态为“已启用”。 注意 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 查看审计范围信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要查看审计范围的实例。 6. 查看审计范围信息，相关参数说明如下所示。 在列表右上方输入审计范围名称的关键字，可以搜索指定的审计范围。 审计范围信息参数说明 参数名称 说明 名称 审计范围的名称。 例外IP 该审计范围内的白名单IP。 源IP 访问数据库的IP地址或IP地址段。 源端口 审计的IP地址端口。 数据库名称 审计范围的数据库。 数据库帐户 数据库的用户名。 状态 审计范围的状态，包括： 已启用 已禁用 根据需要，您还可以对审计范围执行以下操作： 启用 在需要启用的审计范围所在行的“操作”列，单击“启用”，数据库安全审计将对该审计范围的数据库进行审计。 编辑（仅自定义创建审计范围的支持） 在需要编辑的审计范围所在行的“操作”列，单击“编辑”，在弹出的对话框中，您可以修改审计范围。 禁用 在需要禁用的审计范围所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该审计范围。禁用审计范围后，该审计范围规则将不在审计中执行。 删除（仅自定义创建审计范围的支持） 在需要删除的审计范围所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该审计范围。删除审计范围后，如果需要对该审计范围进行审计，请重新添加该审计范围。

本章节介绍微服务云应用平台推荐使用的部署配置中的特性 概述 应用部署配置中涉及了许多K8s中的概念，如果要使用到应用部署配置中的这些高级特性，需要对K8s有较为深入的了解。下面将介绍一些推荐使用的部署配置中的特性。 应用配置信息 应用配置信息可在两处进行配置： 1. 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例，在应用实例列表，点击上方创建应用实例，进入到部署配置模块进行配置。 2. 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例，在应用实例列表，点击应用实例，进入到应用实例详情，点击右上方新增版本按钮，在新增版本界面进行配置。 Pod数量 建议为应用配置2个及以上Pod实例。配置多个Pod实例，可有效避免单个Pod实例故障而导致的应用无法使用。 单Pod资源配额 建议为应用配置合理的CPU资源预留（Request）和Mem资源限制（Limit）。配置合理的单Pod资源配额，可以有效利用K8s集群资源。 说明 对于Java应用，配置的Mem资源限制（Limit）不应低于JVM配置的内存使用上限，否则会在Pod层面出现内存不足（OOM），导致Pod重启。 应用高级配置信息 1. 建议为应用设置合理的日志滚动策略，及时清理。Pod实例内打印过多日志将侵占节点的磁盘空间，导致节点进入DiskPressure状态，并引发Pod驱逐。 2. 合理配置应用生命周期的探针。 为了便于故障自愈和优雅上下线，Liveness存活探针的各参数配置应当保证应用可以正常启动，若应用正常启动时间较长，可以配置更长的首次启动延迟时间（InitialDelaySeconds）。相关文档，请参见应用运维>容器应用实例>创建制品微服务，查看应用高级配置——应用生命周期管理。 如果部署的是应用通过Service实现的服务暴露，Readiness就绪探针的各参数配置应当保证能准确的反映应用健康状况，以免非健康Pod提供服务（即未被Service摘除）。 3. 配置日志收集规则。将Pod实例日志持久化保存到云日志服务，便于问题排查。由于Pod实例本身是无状态的，会因为各种调度而重新创建和删除，因此需要将Pod实例的日志进行集中化收集并持久化存储。相关文档，请参见应用运维>容器应用实例>创建制品微服务，查看应用高级配置——日志收集管理。

方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

参数 说明 账号名称 数据库账号名称在1到128个字符之间，由字母、数字、中划线或下划线组成，不能包含其他特殊字符，不能和系统用户名称相同。系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 密码 长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , 特殊字符。 密码不能包含数据库账号名称或名称的逆序。 密码不能是易于破解的弱密码，否则会因弱密码拦截导致创建用户失败。建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 权限 可以为创建的用户指定角色权限，包括CREATEDB、CREATEROLE、REPLICATION。 CREATEDB：代表该用户具备创建数据库的权限。当不指定此属性时，新创建的用户默认无法创建数据库。 CREATEROLE：代表该用户具备创建其它用户角色的权限。当不指定此属性时，默认无法使用此用户创建新用户。 REPLICATION：代表该用户具备使用流复制或逻辑复制的能力。当不指定此属性时，默认无法使用此用户搭建流复制或逻辑复制。 备注 长度可在0~512个字符之间。

本章节主要介绍使用Spark的操作指导。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Spark客户端 1. 安装客户端。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行命令。例如： 7. plaintext sparksql

本文介绍如何创建有状态应用。 有状态应用与无状态应用的创建流程相似，有状态应用（StatefulSet）包含pod一致性、稳定的持久化存储、稳定的网络标志、稳定的次序。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 若基于私有镜像创建应用，用户首先需要将镜像上传至镜像仓库。将镜像上传至容器镜像仓库的具体操作请参考客户端上传私有镜像。 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【有状态应用】，进入有状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）单击【下一步】，进入添加服务页面>【添加服务】； 有状态应用必须填写【实例间发现服务】，请输入服务名称、端口名称、端口号完成添加； （可选）点击【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略。 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

您可以在产品信息界面查看WAF产品信息，包括申请的WAF版本、域名规格等信息。 前提条件 已申请Web应用防火墙实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域或项目。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“系统管理> 产品信息”，进入“产品信息”页面。 步骤 5 在“产品信息”界面，查看WAF版本、产品规格、到期时间等信息。单击“规格详情”，可以查看当前WAF版本的详细规格信息。

本节介绍如何查看并处理文件篡改告警。 查看告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。 3. 查看统计数据和变更信息。 查看统计信息 上方展示文件变更篡改行为事件和存在文件变更服务器的统计情况。 查看文件变更信息 在页面下方的“文件变更”页签，展示文件变更列表，展示字段包括服务器、原文件名、原文件路径、变更后文件MD5、文件变更时间、变更类型、状态。 告警事件支持按发现时间、处理状态、变更类型、服务器名称和服务器IP进行搜索。 查看变更统计信息 在页面下方的“变更统计”页签，系统帮助您自动统计出所有存在文件变更篡改行为的服务器。单击文件变更类型列的数字可查看详情。 处理告警 标记为已处理 若您已手动处理文件变更告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 具体操作步骤如下： 1. 在文件变更告警列表中，找到目标告警，单击操作列的“标记已处理”，或勾选目标告警，单击列表上方的“标记已处理”进行批量处理。 2. 在弹出的对话框中单击“确定”。

云等保的测评要求 等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业一般是建议两年做一次测评。 定期等保合规基线检查 合规基线覆盖等级保护二级、三级技术要求主机安全检查330项。涵盖系统基线、应用基线、等保合规检查和CIS合规检查。 使用合规基线功能，无需任何人工干预，全自动高效清点，一旦安全配置被修改迅速响应并可定位到具体的主机及负责人，最大限度减少风险暴露的同时有效降低员工再犯可能。 选择合规基线模版 点击某个基线任务，可查看该任务中的基线检查列表，也可对单个基线进行检查。 检查合规基线扫描结果 根据选定的基线检查任务，检查结果按照每个检查项的维度展示了该检查项的基本信息，和在主机范围内检查结果的通过率。

本节主要介绍如何通过公网连接Redis实例 当您的本地设备需要管理或测试Redis实例时，您可以本地设备上通过公网连接至Redis实例，需要先为Redis实例申请公网IP地址。 注意事项 通过公网连接首先需要申请弹性IP，具体操作请参见购买弹性IP。注意使用弹性IP服务会产生流量费用，并且会增加网络延迟，影响分布式缓存Redis服务的性能，且存在一定的安全风险。因此更推荐通过专有网络连接，可获得更低的网络延迟和更高的安全性。 若实例为Cluster集群架构，则不支持申请公网连接，无法通过公网连接Redis实例，请通过专有网络连接实例。 操作步骤 1. 申请公网连接地址，具体操作，请参见购买弹性IP。 2. 为Redis实例绑定公网IP地址，具体操作，请参见绑定公网IP。 3. 通过获取到的公网连接地址，使用rediscli或客户端程序连接Redis实例。具体可参考以下文档： 通过客户端连接方式。 rediscli连接方式。

处置告警 您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。告警处理完成后，告警的状态将从“未处理”变为“已处理”。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 在页面下方的告警列表中，单击告警操作列的“详情”，可在弹出的对话框中查看告警详情。 4. 核对告警信息，单击弹窗下方的“处理”按钮，根据业务实际需求处理告警。 5. 在弹出的告警处理对话框中，选择告警处理方式。 忽略：选择忽略，告警状态将变为已忽略。 加白名单：选择加白名单，系统会为您自动填写加白规则，若自动生成的加白规则不满足您也可以自定义加白规则。 文件隔离：选择隔离文件，告警状态将变为已隔离。 文件删除：选择删除文件，删除文件可能影响业务系统正常运行，文件被删除后无法恢复，请谨慎操作。 6. 填写备注后，单击“提交”即可完成告警处理。

此章节指导您如何更改VPC。 为方便您的堡垒机和云上其他项目处于同一VPC下，您可以在堡垒机控制台更改VPC。 约束条件 堡垒机实例版本在V3.3.52.0及以上版本才支持更换VPC操作。 控制台中“运行状态”为“运行中”的实例才可以更改VPC。 在切换VPC前要确保待切换的VPC子网下的IP数≥3。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例界面。 4.在需要修改VPC的实例所在行，单击“操作”列中的“更多 > 网络设置 > 切换VPC”。 5.在弹出的对话框中勾选需要切换的“VPC”和“子网”。 说明 堡垒机实例切换VPC后，旧子网会依旧处于占用状态，需要您手动去子网下删除。

云搜索服务支持用户将已经在天翼云购买的弹性负载均衡配置到在用云搜索实例上，以实现访问流量均衡分摊。 前提条件 已购买同资源池的负载均衡，并确认有配额可用。 操作步骤 1. 在弹性负载均衡产品控制台购买负载均衡器，请购买与云搜索实例在同一地域的负载均衡器，虚拟私有云请选择和云搜索实例相同的VPC、子网以确保内网可连接。 2. 创建完成后，在负载均衡控制台设置监听器及后端主机组。 3. 登录云搜索控制台，点击需要绑定的实例名称进入详情页，在安全设置页面开启Elasticsearch实例负载均衡设置的开关，在弹出的界面中选择目标弹性负载均衡的和后端主机组。 4. 提交后等待绑定完成，即可通过负载均衡访问Elasitcsearch实例。

应用快、免安装 纯SaaS服务，无需安装任何软硬件，成本低 724小时全天候服务，按需购买，即买即用，无部署无需改变网络结构，无需占用机房或办公空间 资源广布，全网服务 支持多点检测，覆盖全国多地区、三大运营商线路 支持检测挂马、篡改、敏感内容、平稳度、域名解析、黑链等事件，并可以在用户门户上做可视化呈现 支持扫描 WASC 25 种 Web应用漏洞，全面覆盖 OWASP Top 10 Web应用风险 全流程管理，用户友好 多功能体系化产品，发现问题后能联动WAF进行风险处理 无需处理软硬件故障、升级等问题，完全托管，无需亲自运维 可视化看板、报表和态势跟踪全方位辅助业务数据跟踪，更好地进行业务管理 高效率，高专业度 分钟级实时监测能力，最高监测频率可达2min/次 漏洞扫描结果经安全专家验证，进一步保证结果可信

本文介绍了如何重置管理员账号密码。 操作场景 在使用过程中，如果用户忘记管理员账号密码，可以通过控制台重新设置密码。 注意 如果新密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 请妥善管理您的密码，因为系统为保障您的数据安全未保存您的密码信息。 Ⅰ类资源池操作步骤 1. 登录天翼云门户。 2. 打开控制中心。 3. 左上角选择资源池区域，RDSPostgreSQL基础版加载的资源池详见功能加载说明。 4. 找到【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 5. 在实例管理页面中的“操作”列，点击对应实例的“修改密码”按钮，如图所示。 6. 在弹出框内输入新的密码，点击确认。返回成功即为修改密码成功，返回失败请根据错误提示重新设置您的密码。 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在基本信息中找到“管理员账号名”项中的“重置密码”。 7. 在弹出框内输入新的密码，点击确定。返回成功即为修改密码成功。返回失败请根据错误提示重新设置您的密码。

此小节介绍启动实例。 以下场景需要启动实例： 当实例关闭后，实例的“运行状态”为“关闭”时，如果需重新登录使用云堡垒机系统，则需执行启动实例操作。 当实例异常时，实例的“运行状态”为“异常”时，为重新登录使用云堡垒机系统，可尝试执行启动实例操作。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，，进入云堡垒机实例界面。 5. 在需要启动的实例所在行，单击“操作”列中的“启动”。 6. 在弹出的开启实例对话框中，单击“确定”。 7. 实例启动成功后，实例的“运行状态”变为“运行”。

安全管理中心将自动检测系统中是否存在可疑或恶意登录，对未出现在白名单中的用户登录进程进行拦截提示。 查看方法 1.点击【系统管理】→【白名单列表】，创建白名单策略后，选择在需要重点防御的服务器中应用该策略。 2.点击【白名单列表】→【添加IP】，在弹出的编辑框中填上IP地址、用户账号，确认提交，自动同步加载更新时间。 3.可点击右侧【操作】→【编辑】，对白名单用户进行编辑，更改账号信息，同步更新时间。 4.可选择【批量删除】，对白名单进行管理，点击【确定】即可删除（删除后该账号不被IP地址所限制）。

本节介绍了设置SSL数据加密的相关内容。 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器； 加密数据以防止数据中途被窃取； 维护数据的完整性，确保数据在传输过程中不被改变。 由于老版本客户端存在SSL兼容问题（客户端版本低于5.1），RDS for MySQL新实例默认关闭SSL数据加密，如果确认客户端无兼容性问题，开启SSL请参考开启SSL加密，开启SSL会增加网络连接响应时间和CPU消耗，开启前请评估对业务的性能影响。 通过客户端连接实例提供两种连接方式：加密连接和非加密连接。 SSL未开启（默认），使用非加密连接数据库。 SSL已开启，使用SSL加密连接。加密连接实现了数据加密功能，具有更高的安全性。 注意 开启或关闭SSL加密会导致实例重启，实例重启时客户端会断开连接，请谨慎操作。 加密套件建议使用ECDHERSAAES128GCMSHA256/ECDHERSAAES256GCMSHA384/DHERSAAES128GCMSHA256/DHERSAAES256GCMSHA384。 开启SSL加密 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在“基本信息”页面，在“SSL”处单击 。 步骤 6 在弹出框中，单击“确定”，开启SSL加密。 步骤 7 稍后可在“基本信息”页面，查看到SSL已开启。 结束

参数 示例值 描述 k8s.ctyun.cn/eciusespecs pi7.4xlarge.4 指定ECI实例规格，只支持指定一种规格 k8s.ctyun.cn/eciimagecache "true" 配置为true表示自动匹配镜像缓存 k8s.ctyun.cn/eciimagesnapshotid imc7nh0dkpoaxepqyh2 指定镜像缓存ID k8s.ctyun.cn/ecisecuritygroup sg5bvqyvrmch 指定ECI容器实例所在的安全组ID k8s.ctyun.cn/ecieipinstanceid eipxxxx 指定弹性IP的ID。注：弹性IP默认不开放8080、80、443、8443端口，建议使用其他端口 k8s.ctyun.cn/eciiamrolename testName ECS资源委托名称 k8s.ctyun.cn/ecisubnet subnetxxxx 指定ECI子网ID。注：只支持单个子网