导入作业 导入作业功能依赖于OBS服务，如无OBS服务，可从本地导入。 在作业目录中导入一个或多个作业 1. 单击作业目录中的 > 导入作业，选择已上传至OBS或者本地中的作业文件，以及重名处理策略。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 详见下图：导入作业定义及依赖 2. 单击“下一步”，根据提示导入作业。 说明 在导入作业过程中，若作业关联的数据连接、dli队列、ges图等在数据开发模块系统中不存在时，系统会提示您重新选择。 操作示例 背景信息： 在数据开发模块系统中创建一个DWS的数据连接“doctest” 在作业目录中创建实时作业“doc1”，作业中添加节点“DWS SQL”，配置节点的“数据连接”为“doctest”，配置“SQL脚本”和“数据库”。 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 作业开发”。 3. 在作业搜索框中搜索作业“doc1”，导出作业到本地，并上传作业至OBS文件夹中。 4. 在数据开发模块系统中删掉作业关联的dws数据连接“doctest”。 5. 单击作业目录中的 > 导入作业，选择上传至OBS文件夹中的作业，并设置重名处理策略。 6. 单击“下一步”，根据导入作业页面的提示重新选择数据连接。 7. 单击“下一步”，再单击“关闭”。

本小节介绍数据库安全数据库拖库检测最佳实践。 操作场景 数据库安全审计默认提供一条“数据库拖库检测”的风险操作，用于检测原始审计日志疑似拖库的SQL语句，及时发现数据安全风险。 通过数据库拖库检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息。 数据库安全审计支持以下执行语句类型检测，数据定义（DDL）： CREATE TABLE CREATE TABLESPACE DROP TABLE DROP TABLESPACE 数据操作（DML）： INSERT UPDATE DELETE SELECT SELECT FOR UPDATE 数据控制（DCL）： CREATE USER DROP USER GRANT 配置数据库拖库检测 在启用数据库拖库检测规则前，还需要用户根据业务实际需求添加待审计的数据库、客户端IP/IP段、操作类型、操作对象及执行结果。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。 4. 在“选择实例”下拉列表框中，选择需要配置数据库拖库检测的实例。 5. 选择“风险操作”页签。 6. 在数据库拖库检测行的“操作”列，单击“编辑”，进入“编辑风险操作”界面。 7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。 8. “操作类型”：选择“SELECT”，如图所示。 9. （可选）设置“操作对象”，不配置系统默认检测全部。 单击操作对象后，输入“目标数据库”、“目标表”和“字段”信息。 单击“确定”。 10. 配置“执行结果”区域中的“影响行数”和“执行时长”，如图所示。 当您的应用程序发生变化（如：服务升级、代码变更）时，需要根据实际情况修改“影响行数”的参数，以免审计不完全。 11. 单击“保存”。

指导用户初始化专属加密实例、安装安全代理软件并授权。 在您支付完成后，我们会根据您反馈的邮寄地址，将初始化专属加密实例的Ukey邮寄给您，请您耐心等待。同时，专属加密服务安全专家会通过您提供的联系方式，与您取得联系，将配套的软件及相关指导文档发送给您。软件分为两类，一类用于管理云加密实例；另一类是业务调用时依赖的安全代理软件和SDK。 前提条件 在实例化专属加密实例后，用户需要获取以下信息，初始化专属加密实例、安装安全代理软件并授权。 信息获取 名称 说明 来源 Ukey 保存专属加密实例的权限管理信息。 订单付款后，且实例化专属加密实例成功后，由专属加密服务邮寄到您的Ukey收件地址。 专属加密实例管理工具 配合Ukey，远程管理专属加密实例。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例配套文档 《专属加密实例用户手册》和《专属加密实例安装手册》。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 安全代理软件 与专属加密实例建立安全通道。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 SDK 用于提供专属加密实例的API接口，用户通过调用SDK与专属加密实例建立安全连接。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例管理节点（例如：ECS） 运行专属加密实例管理工具，与专属加密实例处于同一VPC，并分配弹性IP地址用于远程连接。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 业务APP节点（例如：ECS） 运行安全代理软件和用户的业务APP，与专属加密实例处于同一VPC。 无

支持在存储库之间进行备份迁移吗？ 目前部分资源池已支持备份在规格相同的存储库间迁移，通过迁移资源功能，您可以将某个资源从当前存储库中解绑并重新绑定至另一存储库，该资源产生的所有备份也会从当前存储库迁移至目标存储库中。详情请参考操作指导章节，存储库管理，迁移资源。 删除备份会对服务器造成性能影响吗？ 不会。备份不存储在服务器中，删除后不会对服务器造成任何性能影响。 删除资源后还可以使用备份恢复数据吗？ 可以。资源和备份并不会存放在一起，删除资源后，备份不会被同时删除，还可以使用备份创建与备份时间点一模一样的资源。 单个资源可以创建多少个备份？ 没有个数限制。您可以根据需要，为资源创建多个备份。需要保证资源绑定的存储库空间足够，建议您在云监控服务中配置告警规则，监控对应存储库容量，当容量不足时，提前进行扩容或者相应处理，以免因备份失败造成损失。 备份时可以终止备份吗？ 不可以。暂时无法终止正在进行中的备份任务。 如何减小备份占用空间？ 问题描述：磁盘备份远大于云主机内部查看磁盘的已用空间的大小。即使删除磁盘中的大文件重新备份，备份大小仍没有明显减小。 可能原因：这是由于磁盘删除一些大文件等操作，进行磁盘清理或更新清理后，数据依然在磁盘里，只是通过系统无法看到。而云服务备份的备份功能是基于整个磁盘备份，这些看不到的数据依然会被备份，导致备份过大。 解决方法：云服务备份系统暂无法通过其他手段减小备份数据大小。您可以自行使用第三方工具（安全性需要自行判断）进行处理。

本章节主要介绍如何访问DataArts Studio实例控制台。 前提条件 请参见创建DataArts Studio基础包，确认已创建DataArts Studio实例。 操作步骤 步骤 1 登录云控制台，在左上角的服务列表中选择“数据治理中心DataArts Studio”，进入DataArts Studio实例控制台。 如果当前区域下有多个DataArts Studio实例，则默认进入实例列表。请单击所需实例卡片上的“进入控制台”，进入DataArts Studio控制台首页。 如果当前区域下仅有一个DataArts Studio实例，则默认进入DataArts Studio控制台首页。 图1 控制台首页

本章介绍天翼云关系型数据库在性能方面的常见问题及解决办法。 RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 为何使用了RDS后网站登录较慢 推荐您做如下两个处理： 通过关系型数据库服务的管理控制台查看关系型数据库实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和关系型数据库的差异。

功能说明 PutBucketEncryption请求设置存储桶默认加密功能。 注意事项 若使用KMS加密算法，需要资源池对接KMS服务，支持的线上资源池参考产品能力地图。 请求消息样式 plaintext PUT /{Bucket}?encryption HTTP/1.1 Host: xxxx.zos.ctyun.cn AcceptEncoding: Identity xamzcontentsha256: ContentSHA256 xamzdate: Date ContentLength: ContentLength ContentMD5: ContentMD5 Authorization: Auth String string string 请求消息参数 参数名称 参数描述 类型 是否必须 Bucket 参数解释： 桶的名称。 String 是 请求消息头 该请求使用公共的请求消息头，请参见如何调用API构造请求请求消息头。 请求消息元素 参数名称 参数描述 类型 是否必须 ServerSideEncryptionConfiguration 参数解释： 指定默认的服务端加密配置。 Container 是 表ServerSideEncryptionConfiguration 参数名称 参数描述 类型 是否必须 Rule 参数解释： 服务端加密配置规则信息。 Container 是 表Rule 参数名称 参数描述 类型 是否必须 ApplyServerSideEncryptionByDefault 参数解释： 指定默认的服务端加密配置，若上传对象时请求中未指定任何加密信息，则会使用该加密配置。 Container 否 表ApplyServerSideEncryptionByDefault 参数名称 参数描述 类型 是否必须 SSEAlgorithm 参数解释： 加密算法。 取值范围： 仅支持AES256和aws:kms。 String 是 KMSMasterKeyID 参数解释： 加密密钥。 约束限制： 若加密算法选用的是aws:kms，则此项必填，参数格式为"{密钥管理服务处的密钥ID}::::{userID}"，其中userId是用户的ctyun账号id。 若加密算法选用的是AES256，则此项可不填，若填，则字符长度需为32。 String 否

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

功能说明 Put Bucket Encryption 请求设置存储桶默认加密功能。 注意事项 若使用KMS加密算法，需要资源池对接KMS服务，支持的线上资源池参考产品能力地图。 请求消息样式 plaintext PUT /{Bucket}?encryption HTTP/1.1 Host: xxxx.zos.ctyun.cn AcceptEncoding: Identity XAmzContentSHA256: ContentSHA256 XAmzDate: Date ContentLength: ContentLength ContentMD5: ContentMD5 Authorization: Auth String string string 请求消息参数 参数名称 参数描述 类型 是否必须 Bucket 参数解释： 桶的名称。 String 是 请求消息头 该请求使用公共的请求消息头，请参见如何调用API构造请求请求消息头。 请求消息元素 参数名称 参数描述 类型 是否必须 ServerSideEncryptionConfiguration 参数解释： 指定默认的服务端加密配置。 Container 是 表ServerSideEncryptionConfiguration 参数名称 参数描述 类型 是否必须 Rule 参数解释： 服务端加密配置规则信息。 Container 是 表Rule 参数名称 参数描述 类型 是否必须 ApplyServerSideEncryptionByDefault 参数解释： 指定默认的服务端加密配置，若上传对象时请求中未指定任何加密信息，则会使用该加密配置。 Container 否 表ApplyServerSideEncryptionByDefault 参数名称 参数描述 类型 是否必须 SSEAlgorithm 参数解释： 加密算法。 取值范围： 仅支持AES256和aws:kms。 String 是 KMSMasterKeyID 参数解释： 加密密钥。 约束限制： 若加密算法选用的是aws:kms，则此项必填，参数格式为"{密钥管理服务处的密钥ID}::::{userID}"，其中userId是用户的ctyun账号id。 若加密算法选用的是AES256，则此项可不填，若填，则字符长度需为32。 String 否

本小节介绍云堡垒机术语解释。 资产数 资产数是指云堡垒机管理的云服务器上运行的资源数，同一台云服务器上对应有多个需要运维的协议、应用等资源。 云堡垒机实例 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 主备实例 在单机实例基础上增强高可用性。主备实例具有以下特征： 实例包含一个主节点和一个备节点，支持数据持久化。 主备节点通过数据同步的方式保持一致。 备节点对用户不可见，不支持客户端直接读写数据。 当主节点故障后，备节点自动升级为主节点，无需用户操作。 区域 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region： 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。 一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。

主机Agent的覆盖 HW和重保期间需要保证所有主机均接入服务器安全卫士服务，以提高服务器安全风险防御能力。 您可以登录服务器安全卫士控制台查看“Agent管理”页面，确认主机防护状态，显示所有 Agent 的状态，并可随时调整 Agent 运行模式，导出 Agent 运行日志与报表，随时分析解决问题。 发现未安装服务器安全卫士主机，消除防护盲点 主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 执行系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。所有发现的网络环境中，未安装 Agent 的主机资产。可以根据首次发现时间和最后发现时间等字段进行过滤，筛选出想要的未安装 Agent 主机列表。 完善安全防护配置并实时处理告警 全面开启入侵检测功能。 服务器安全卫士的入侵检测通用功能，包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。

参数 类型 描述 是否必须 startTime String HBlock日志采集的起始时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为HBlock日志采集结束时间2小时之前的时间点。 注意 HBlock日志采集的起始时间必须早于HBlocks日志采集的结束时间。 如果HBlock日志采集的起始时间早于HBlock初始化时间，则HBlock初始化时间为日志采集起始时间。 如果修改系统时间，可能导致日志文件的最后修改时间出现波动甚至错误。 否 endTime String HBlock日志采集的结束时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为当前时间。 注意 HBlock日志采集的起始时间必须早于HBlocks日志采集的结束时间。 HBlock日志采集的结束时间必须晚于HBlock初始化时间。 日志文件的最后修改时间大于结束时间时，如果存在多个大于结束时间的同类型日志，则HBlock日志采集时间值最小的那个日志文件。 否 servers Array of String 要采集HBlock日志的服务器ID。 取值：可以填写多个服务器ID，以英文逗号（,）隔开。默认采集所有服务器。 否 logTypes Array of logType 采集的日志类型 取值： Config：配置相关的日志。 System：系统相关的日志。 Data：数据处理相关的日志（仅集群版支持）。 Coordination：内部协调服务相关的日志（仅集群版支持）。 默认采集所有类型的日志。 否 outputDirectory String HBlock日志采集后存放的目录，为绝对路径。 取值：如果不指定，默认存放在被请求服务器的HBlock安装目录下。以collectedlogs/hblocklogs idyyyyMMddHHmmssyyyyMMddHHmmss .zip命名，其中： id：本次日志请求的唯一标识符。 yyyyMMddHHmmss ：日志采集的起始时间和结束时间，UTC+0时间。 否

流量标签使用示例 准备工作：首先部署测试应用app1和app2，调用关系为ingress > app1> app2。 plaintext apiVersion: v1 kind: Service metadata: name: app1 labels: app: app1 service: app1 spec: ports: port: 8000 name: http selector: app: app1 apiVersion: apps/v1 kind: Deployment metadata: name: app1base namespace: demo labels: app: app1 CSMTRAFFICTAG: base spec: replicas: 1 selector: matchLabels: app: app1 name: app1 CSMTRAFFICTAG: base template: metadata: labels: app: app1 name: app1 source: CCSE CSMTRAFFICTAG: base spec: containers: name: default image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/tracedemo:v1.0.0 imagePullPolicy: IfNotPresent env: name: version value: base name: app value: app1 name: upstreamurl value: " ports: containerPort: 8000 部署Gateway和VirtualService资源 plaintext apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: tracedemogateway spec: selector: istio: ingressgateway servers: hosts: "" port: name: http number: 80 protocol: HTTP apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: vsgatewayapp1 spec: gateways: tracedemogateway hosts: "" http: route: destination: host: app1 Ingress gateway流量打标 Ingress网关侧对流量打标之后我们看通过查看上游的app1服务收到的请求头部确认流量打标是否成功，首先定义流量标签策略： plaintext apiVersion: istio.ctyun.cn/v1beta1 kind: TrafficLabel metadata: name: trafficlabelexample namespace: istiosystem spec: workloadSelector: labels: istio: ingressgateway rule: labels: name: labelfromheader valueFrom: $getInboundRequestHeader(appversiontag) name: labelfrompod valueFrom: $getLabel(app) 上面的配置在Ingress网关处定义了两个标签，labelfromheader会从appversiontag请求头部取值打标，labelfrompod从pod的app标签取值打标。我们通过Ingress网关访问app1服务，并带上appversiontag: ccccc，查看app1的日志如下：

诊断维度 诊断项 说明 修复方案 Service 检查Service后端Ready Pod数量 检查Service后端Ready Pod数量。 检查业务Pod状态，保证Pod存在且处于Ready状态。 Service 检查Service是否存在异常事件 检查集群中是否存在与该Service相关的异常事件。 请检查并处理Service异常事件中的描述信息，若无法处理，请提交工单。 节点 检查节点是否存在 检查集群中是否存在该节点。 请检查Node在集群中是否存在。 节点 检查节点状态是否Ready 检查节点在集群中的状态是否为Ready。 请登录到节点上执行systemctl status kubelet或journalctl exu kubelet查看节点上kubelet进程异常日志并尝试修复。 节点 检查节点状态是否不可调度 检查节点是否不可调度，不可调度的节点会影响Pod的正常运行。 节点不可调度，请检查节点调度设置。 节点 检查节点CPU装载率是否过高 检查节点CPU资源分配率是否过高。 请检查节点上pod的CPU request值设置的合理性。 节点 检查节点内存装载率是否过高 检查节点内存资源分配率是否过高。 请检查节点上pod的Memory request值设置的合理性。 节点 检查节点磁盘压力 检查节点磁盘使用率是否过高。 请检查节点磁盘使用情况，及时清理磁盘中不需要的文件或扩容磁盘。 节点 检查节点PID压力 检查节点PID使用率是否过高。 请检查节点PID使用情况。 节点 检查节点Chronyd进程状态是否正常 检查节点Chronyd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Chronyd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart chronyd重启节点Chronyd进程。 节点 检查节点Ntpd进程状态是否正常 检查节点Ntpd进程是否异常，该进程异常时可能会影响系统时钟同步。 节点Ntpd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart ntpd重启节点Ntpd进程。 节点 检查节点Containerd状态是否正常 检查节点Containerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Containerd状态异常，请收集节点日志并提交工单处理。 节点 检查节点Containerd镜像拉取是否正常 检查节点Containerd进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Docker状态是否正常 检查节点Dockerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Docker状态异常，请收集节点日志并提交工单处理。 节点 检查节点Docker镜像拉取是否正常 检查节点Docker进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Kubelet状态是否正常 检查节点Kubelet服务的状态，该进程可能会影响Pod的正常运行。 请检查节点kubelet日志。 节点 检查节点Kubelet启动时间 检查节点Kubelet进程启动时间。 无 节点 节点OS版本 检查节点操作系统版本。 无 节点 节点内核版本 检查节点内核版本是否过低，内核版本过低可能造成系统异常。 请尝试更换节点升级内核。 节点 节点Systemd版本 检查节点systemd版本。 无 节点 节点runc版本 检查节点runc版本，runc版本过低可能造成系统异常。 无 节点 节点系统时间 检查节点系统时间。 无 节点 节点硬件时间 检查节点硬件时间。 无 节点 节点硬件时间漂移 检查节点硬件时钟与系统时间是否一致，时间相差超过2分钟可能引起组件异常。 请尝试登录节点，通过命令hwclock systohc将节点系统时间同步到硬件时间。 节点 检查节点内存交换区开启情况 检查节点内存交换区 (Memory Swap) 功能是否开启，K8s默认要求关闭内存交换区。 当前节点内存交换区 (Memory Swap) 功能不支持开启，请登录节点关闭该功能。 节点 检查Conntrack表使用情况 检查节点Conntrack表是否满，Conntrack表满可能影响网络性能。 请检查nfconntrackbuckets和nfconntrackmax内核参数。 节点 检查节点访问集群API Server是否正常 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 节点 节点DNS服务地址 检查节点能否正常使用主机DNS服务，通过主机DNS服务解析集群外域名。 请检查主机DNS服务是否正常。更多信息，请参见 节点 检查节点内网IP是否存在 检查节点内网IP是否存在。 节点内网IP不存在，请尝试移除节点后重新导入。 节点 检查节点能否访问公网 检查节点能否正常访问公网，无法访问公网可能影响公网镜像拉取。 请检查集群是否开启SNAT公网访问。 节点 节点CPU使用率 检查节点CPU负载是否过高，CPU负载过高可能影响系统性能。 无 节点 节点内存使用率 检查节点内存负载是否过高，内存过高可能影响系统性能。 无 Pod 检查Pod是否存在 检查集群中是否存在该Pod。 请检查Pod在集群中对应命名空间下是否存在。 Pod 检查Pod状态是否为Running 检查Pod是否处于Running状态。 请检查Pod状态及日志。更多信息，请参见 Pod Pod容器重启次数统计 统计Pod中容器重启次数。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器是否存在镜像下载阻塞情况 检查Pod容器对应的镜像下载被阻塞。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器镜像Secrets是否有效 检查Pod拉取镜像的Secrets是否有效。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod到主机网络DNS服务器的连通性 检查Pod到主机网络DNS服务器的连通性。 请检查Pod到主机网络DNS服务器的连通性。 Pod 检查Pod容器进程处于D状态检查 检查Pod内的容器进程是否处于D状态。 Pod的部分容器进程处于D状态，通常为容器进程卡在磁盘IO中，请尝试重启宿主机ECS，如仍无法恢复，请提交工单处理。 Pod 检查Pod是否初始化成功 检查Pod是否正常初始化。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否处于调度中状态 检查Pod是否正常调度。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否配置了livenessProbe探针 检查Pod描述文件是否配置了livenessProbe探针。 请为Pod配置合适的livenessProbe健康检查。 Pod 检查Pod是否配置了ReadinessProbe探针 检查Pod描述文件是否配置了ReadinessProbe探针。 请为Pod配置合适的readinessProbe健康检查。 Pod 检查Pod是否配置了资源requests 检查Pod描述文件是否配置了资源requests。 请为Pod配置合适的request资源申请。 Pod 检查Pod是否配置了资源limits 检查Pod描述文件否配置了资源limits。 请为Pod配置合适的limit资源限制。 Pod 检查Pod在过去24小时内是否存在OOM Kill情况 检查Pod在过去24小时内是否存在因内存过载而被Kill的情况。 请检查Pod是否配置了合适的limit资源限制，同时检查Pod状态及日志。更多信息，请参见 Ingress 检查Ingress是否存在 检查与转发规则匹配的Ingress是否存在。 检查所提供的URL信息是否有能够对应的Ingress规则。若URL信息无误，可能是Ingress规则存在问题。 Ingress 检查Ingress名称规范 检查所匹配到的Ingress名称是否规范。 无 Ingress 检查是否使用了nginx.ingress.kubernetes.io/sessioncookiehash废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/sessioncookiehash注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/baseurlscheme废弃注解 检查是否使用了在0.22.0版本废弃的nginx.ingress.kubernetes.io/baseurlscheme注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/securebackends废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/securebackends注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.com/nginx.org注解 检查是否使用了不兼容社区版Nginx Ingress Controller的商业版Ingress注解key（以nginx.com/nginx.org开头）。 请使用对应功能的正确用法。关于Ingress更多信息，请参见社区官方文档 。(引用到官方文档) Ingress 检查是否使用了nginx.ingress.kubernetes.io/grpcbackend废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/grpcbackend注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/mirroruri废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/mirroruri注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否启用了canary 使用了nginx.ingress.kubernetes.io/canary相关注解，但value值为"false‘，如果需要使用灰度功能，请指定nginx.ingress.kubernetes.io/canary: "true"。 如果您需要在该Ingress上开启Canary功能，请在Ingress规则上添加nginx.ingress.kubernetes.io/canary: "true"注解。 Ingress 检查Ingress是否存在异常事件 检查集群中是否存在与该Ingress相关的异常事件。 检查并处理异常事件描述信息中的报错，如无法解决，请提交工单处理。

本节介绍安全云应用的产品介绍。 产品简介 安全云应用是一种基于天翼云托管的应用程序流式传输服务，通过天翼云自研的clink传输协议，将音视频、图像、外设等信息传输到用户的远程设备上，实现跨平台、安全、易用的应用程序访问。 注意 目前安全云应用功能仅在部分资源池（石家庄3、郴州2、佛山3）开放，如当前资源池的AI云电脑（政企版）控制台没有安全云应用的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn）。 应用场景 国产化转型 在国产操作系统上无缝运行Windows应用，确保用户业务系统的连续性，轻松实现国产化转型。 安全办公场景 远程访问应用，内外网隔离，兼顾外网访问需求的同时，最大限度保证用户数据安全。 支持的操作系统 服务桌面：承载云应用运行的AI云电脑，支持Windows Server 2019 用户桌面：用户使用的国产化AI云电脑，统信V20, 麒麟V10，中科方德 产品规格 规格类型 功能适用 规格参数 系统支持 基础版 适用于简单办公、文档编辑、客户服务等场景 2C4G 80G系统盘 Windows 标准版 适用于视频娱乐，在线会议，OA办公等场景 4C8G 80G系统盘 Windows 旗舰版 适用于高效办公，开发设计，视频监控等场景 8C16G 80G系统盘 Windows

本章介绍函数工作流具备哪些监控指标。 功能说明 本节定义了FunctionGraph上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供管理控制台或API接口来检索FunctionGraph产生的监控指标和告警信息。 命名空间 SYS.FunctionGraph 函数监控指标 FunctionGraph支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） count 调用次数 该指标用于统计函数调用次数。单位：次 ≥ 0 counts 函数 1分钟 failcount 错误次数 该指标用于统计函数调用错误次数。 以下两种情况都会记入错误次数： 函数请求异常，导致无法执行完成且返回200。 函数自身语法错误或者自身执行错误。单位：次 ≥ 0 counts 函数 1分钟 rejectcount 被拒绝次数 该指标用于统计函数调用被拒绝次数。 被拒绝次数是指并发请求太多，系统流控而被拒绝的请求次数。 单位：次 ≥ 0 counts 函数 1分钟 concurrency 并发数 该指标用于统计函数同时调用处理的最大并发请求个数。 单位：个 ≥ 0 counts 函数 1分钟 reservedinstancenum 预留实例个数 该指标用于统计函数配置的预留实例个数。 单位：个 ≥ 0 counts 函数 1分钟 duration 平均运行时间 该指标用于统计函数调用平均运行时间。 单位：毫秒 ≥ 0 ms 函数 1分钟 maxDuration 最大运行时间 该指标用于统计函数调用最大运行时间。 单位：毫秒 ≥ 0 ms 函数 1分钟 minDuration 最小运行时间 该指标用于统计函数最小运行时间。 单位：毫秒 ≥ 0 ms 函数 1分钟 函数流支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） count 调用次数 用于统计函数流调用次数。单位：次 ≥ 0 counts 函数流 1分钟 failcount 错误次数 该指标用于统计函数调用错误次数。单位：次 ≥ 0 counts 函数流 1分钟 runningcount 正在运行数量 该指标用于统计正在运行状态的函数流。单位：个 ≥ 0 counts 函数流 1分钟 rejectcount 被拒绝次数 该指标用于统计函数流调用被拒绝次数。单位：个 ≥ 0 counts 函数流 1分钟 duration 平均运行时间 该指标用于统计函数流调用平均耗时。单位：毫秒 ≥ 0 ms 函数流 1分钟 维度 key value packagefunctionname 应用名函数名。示例：defaultmyfunctionPython。 graphname 函数流。

本章节将详细介绍实例创建成功后，配置跨网段访问的方法。 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 使用须知 仅副本集实例支持该功能。 配置跨网段访问期间业务可正常运行，不会出现中断或闪断业务的情况。 当客户端和副本集处于不同VPC、不同网段时，需要先在不同的VPC之间建立对等连接，然后再配置跨网段访问。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的数据库实例，单击实例名称，进入“基本信息”页面。 步骤 5 在左侧导航树，单击“连接管理”。 步骤 6 在“内网连接”页签下，单击“跨网段访问配置”右侧的“立即开通”，设置对应的源端网段信息，目前支持添加和删除源端网段。 单击源端网段右侧的新增源端网段。 单击源端网段右侧的删除源端网段。 跨网段访问配置 说明 跨网段访问配置当前最多可支持配置30个源端网段， 源端网段之间允许重叠但不能重复。即设置的源端网段之间可以有交集但不能完全一样，禁止使用127开头的网段，允许的IP掩码范围为832。 步骤 7 开通成功后，“跨网段访问配置”的状态变更为“已开通”。 若您需要更改源端网段配置，可以单击“跨网段访问配置”右侧的“立即修改”。 修改源端网段

操作场景 文档数据库服务事件管理功能主要是用来便于用户查看相关实例系统通知的事件，事件管理分为计划内事件和历史事件，用户可以在“事件管理”中查看系统通知的事件。 约束限制 计划内事件目前只有控制台维护这一种事件类型，计划内事件用户可以手动操作变为历史事件。 操作步骤 1. 登录TeleDB数据库控制台首页。 2. 点击“DDS”>“事件管理"，即可看到计划内事件页面。 3. 用户可以在计划内事件页面的搜索框根据实例ID搜索指定实例的事件。 4. 在计划内事件对应的实例的操作列点击“取消”，可以将该实例的计划内事件变更为历史事件。 5. 计划内事件成功变更为历史事件后，将不在计划内事件列表展示。

本页介绍了文档数据库服务增量备份的功能。 增量备份简介 增量备份指在一次全量备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加或者被修改的数据。 说明 在开启增量备份策略之前，需确认自动备份策略已开启。 增量备份默认开启。 目前增量备份功能只支持副本集和集群，单机版不支持。 配置或开启增量备份策略 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，点击“修改备份策略”按钮，可配置合适您业务的增量备份策略。 5. 点击“确定”按钮即可完成自动备份策略。

本文带您了解如何查看正在告警记录。 操作场景 正在告警可以展示当前处于告警状态的记录，帮助您快速定位当前正在告警的资源。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下“告警记录”，默认进入“正在告警”界面。 说明 界面默认展示当前处于告警中的告警记录，如果告警已经恢复，会归档到”历史告警“页签下。

本节主要介绍应用上云 应用场景 应用上云时，很多工作需要重复操作，例如环境的销毁和重建、在扩容的场景下重复完成多个新实例的配置等。同时应用上云时，很多操作非常耗时，例如创建数据库、创建虚拟机等，都需等待分钟级别的时间。一旦需要串行创建多个耗时任务，就需要您持续等待一段时间。而此时如果可以将整个流程自动化，可以减少您的等待过程，完成其他更有价值的任务。 价值 使用应用编排服务，通过模板对应用及应用所需资源进行统一描述，一键式自动完成部署或销毁操作。您可以同步进行资源规划、应用定义和业务部署，提升应用上云的效率

本页详细介绍如何配置同步实例。 基本流程 用户在成功购买天翼云DTS同步实例之后，实例默认是“待配置”状态，需要完成实例的配置，才可以真正实现数据的同步。 前置条件 1. 备好待同步的数据库实例。 2. 已成功订购天翼云DTS实例。 3. 其他合理且必要的条件。 具体步骤 1、登录天翼云官网门户，进入数据传输服务DTS控制台。 登录天翼云 在天翼云门户首页顶部菜单栏，点击“控制中心”进入【控制中心】页面。 在【控制中心】页面顶部的资源池下拉列表框中选择相应资源池（目前支持上海36/华东1/西南1/华北2/长沙42/杭州7 ），找到页面中的“数据库”服务列表，选择“数据传输服务DTS”，进入DTS控制台。 2、进入数据同步实例列表页面。 在控制台左侧菜单栏点击“数据同步”，进入【数据同步】实例列表页面。 3、选择待配置实例，点击“实例配置”进入实例配置页面。 DTS实例订购成功后，选择对应实例ID的操作，点击“实例配置”，进入配置页面。

本章节主要介绍如何给物理机挂载磁盘。 物理机创建成功后，如果发现磁盘不够用或当前磁盘不满足要求，可以将已有磁盘挂载给物理机，或在“存储”页面创建新的磁盘，然后再挂载至物理机。 前提条件 已创建可用的磁盘。 待挂载的磁盘与物理机属于同一可用区。 物理机的状态为“运行中”或“关机”。 如果是非共享盘，待挂载的云硬盘为“可用”状态。如果是共享盘，待挂载的云硬盘为“正在使用”或“可用”状态。 由于某些机型的服务器没有配备智能网卡，或者其他服务器本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台的区域按钮，选择地域和项目。 3. 选择“计算>物理机服务”。 4. 在物理机列表中的右上角，输入物理机名称、IP地址或ID，进行搜索。 5. 单击待挂载磁盘的物理机的名称。 6. 系统跳转至该物理机详情页面，选择“磁盘”页签，并单击“挂载磁盘”。 7. 系统跳转至“挂载磁盘”页面，根据界面提示选择磁盘类型，勾选目标磁盘，并设置挂载点。 说明 如果无可用的云硬盘，请单击列表下方的“创建云硬盘”进行创建。 挂载磁盘时的约束限制，请参见

本节介绍如何配置跳板机进行内网扫描。 使用跳板机进行内网扫描的网络示意图如下图所示。 1. 创建主机扫描任务，IP地址栏填写目标主机的内网IP。 2. 添加跳板机配置。 配置的跳板机“公网IP”需与被测目标机的内网环境互通。 添加跳板机后，还需在该跳板机的ssh配置文件“/etc/ssh/sshdconfig”中添加：AllowTcpForwarding yes，用于支持SSH授权登录转发。修改配置后需重启sshd服务。

本文介绍建议启用HTTPS功能的业务场景。 需要开启HTTPS功能的业务场景： HTTP协议以明文方式发送内容，不提供任何方式的数据加密。如果您的网站包含敏感信息，担心网站信息泄露或者被篡改等情况，建议您的域名开启HTTPS功能。开启HTTPS功能后，可实现客户端和CDN节点之间请求使用HTTPS加密传输，保障数据传输的安全性。同时，为保障CDN节点和源站之间的数据链路传输安全，建议CDN节点回源也使用HTTPS协议，即源站也需要支持HTTPS服务，从而保障用户>CDN节点>源站全链路数据安全。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mongodblink 服务节点 一个或者多个节点的地址，以“;”分隔。建议同时配置多个节点。 192.168.0.1;192.168.0.2 端口 连接的Cassandra节点的端口号。 9042 用户名 连接Cassandra的用户名。 cdm 密码 连接Cassandra的密码。 连接超时时长 可选参数，单击“显示高级属性”后显示。 连接超时时长，单位秒。 5 读取超时时长 可选参数，单击“显示高级属性”后显示。 读取超时时长，单位秒。小于或等于0表示不超时。 12

本章主要介绍删除凭据。 操作场景 已创建的凭据不再提供服务，可以将凭据删除。 前提条件 已创建凭据。 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > 凭据管理”，进入凭据管理信息页面。 步骤 4 通过以下任意一种方式，进入“删除凭据”对话框。 在待删除的凭据所在行，单击“删除”。 单击“凭据名称”，进入凭据详情页面，在右上角单击“删除”。 说明 仅在应用未绑定任何API时，支持删除，否则请先解绑API。 步骤 5 单击“确定”，完成凭据的删除。

本节介绍数据加密的个人保护机制。 收集范围 DEW收集及产生的个人数据如下表所示： 类型 收集方式 是否可以修改 是否必须 租户ID 在控制台进行任何操作时Token中的租户ID 在调用API接口时Token中的租户ID 否 是，租户ID是用户的身份标识信息 存储方式 租户ID不属于敏感数据，明文存储。 访问权限控制 用户只能查看自己业务的相关日志。 日志记录 用户个人数据的所有操作，包括修改、查询和删除等，DEW都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

本章节主要介绍翼MapReduce服务取消隔离主机。 操作场景 用户已排除主机的异常或故障后，需要将主机隔离状态取消才能正常使用。 该任务指导用户在MRS Manager上取消隔离主机。 前提条件 主机状态为“已隔离”。 主机的异常或故障已确认修复。 操作步骤 在MRS Manager单击“主机管理”。 1.勾选待取消隔离主机前的复选框。 2.选择“更多 > 取消隔离主机”。 3.在“取消隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功取消隔离，“操作状态”显示为“正常”。 4.单击已取消隔离主机的名称，显示主机“状态”，单击“启动所有角色”。

异常场景 建议处理方式 护栏服务超时（网络抖动） 建议超时时间设为 3~5 秒；超时后根据业务风险等级决定放行或拦截，不应直接报错中断用户会话 successfalse（参数错误） 记录完整请求日志，不将接口调用失败等同于内容风险，应放行并同时告警 checkResultfail 不直接将原始大模型内容返回用户，优先使用配置的代答内容，若代答为空则使用兜底话术 在线测试额度耗尽 额度耗尽返回502，不影响正式 API 调用，可继续使用；如需更多测试次数，可使用正式 API 进行测试

本章节介绍如何进行链路追踪 概述 在开启了链路追踪并配置采样率大于0，网关会根据采样率配置上报链路追踪数据，链路追踪基于traceid将调用链上下游串联起来，方便快速定位问题。 查看链路追踪数据 进入云原生网关控制台，选择对应的实例，进入观测分析 > 链路追踪页面查看调用链情况，当前支持根据请求信息（如接口，traceid等）查询链路追踪数据，点击一条链路数据可以看到调用链路的瀑布图，方便快速了解到本次调用涉及到哪些服务，调用关系如何，以及哪些环节出现异常（错误或者耗时过长等情况）。

本文带您了解什么是弹性IP产品。 弹性 IP（Elastic IP Address，简称EIP）是可以独立申请的公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。 弹性IP需与绑定的云资源在同一个区域（Region）进行使用，不允许跨区域（Region）使用弹性IP。 详细信息请参考：弹性IP。