应用场景 场景一：基于用户请求将匹配的业务流量切分到新版本 假设在当前线上环境中，您已经有一套服务Service v1对外提供7层服务，此时开发了一些新的功能，现需发布新版本Service v2服务。但又不想直接替换Service v1服务，而是希望将请求头包含 “foobar” 或者Cookie包含 “foobar” 的客户端请求转发到Service v2服务中，验证一下新版本功能是否正常，待稳定运行后，再逐步全量切到Service v2服务，平滑下线Service v1服务。示意图如下： 场景二：基于服务权重将业务流量切分到新版本 假设当前线上环境，您已经有一套服务Service v1对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service v2。但又不想将所有客户端流量切换到新版本Service v2中，而是希望将20%的流量灰度到Service v2，待稳定运行后，逐步全量切到Service v2，平滑下线Service v1。示意图如下： 操作步骤 场景一：基于用户请求将匹配的业务流量切分到新版本 步骤一：部署旧版本Service v1和常规Ingress 这里使用Ingress作为service v1应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v1”。 1. 创建配置configmap，key为index.html，value为v1。 2. 创建nginx工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30080。 3. 创建旧版本service v1的常规ingress。灰度ingress一栏选择否，在域名路径规则一栏填写域名，指定服务名称以及端口等。 4. 检查通过Ingress域名能正常访问旧版本service v1服务。 步骤二：部署新版本Service v2 这里同样使用Ingress作为service v2应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v2”。 1. 创建配置configmap，key为index.html，value为v2。 2. 创建Ingress工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30081。 步骤三：创建灰度ingress，在灰度发布新版本 1. 基于Header创建新版本service v2的Ingress。 2. 在灰度Ingress一栏选择是；在生产ingress一栏选择旧版本service v1的常规Ingress；在流量切换方式一栏选择灰度，基于Header的区分方式，填写Header key为foo，Header value为bar，精确匹配；在域名路径规则一栏填写域名，指定服务名称和端口等。 执行命令进行访问测试， 为Nginx Ingress对外暴露的IP：

本页介绍了文档数据库服务集群版的产品资费。 说明 天翼云文档数据库服务DDS对Ⅰ类型资源池和Ⅱ类型资源池的价格有所区分。 部分Ⅰ类型资源池已加载国产化处理器，相关价格见下方说明。 具体资源池类型请见 集群价格 下表中为集群中单个Mongos、单个Shard、单个ConfigServer的资费，多个时按数量计费。 实例类型 CPU(核) 内存（G） 标准资费（元/月） 按需标准资费（元/小时） : 集群Mongos 2 4 200 0.42 集群Mongos 2 8 330 0.695 集群Mongos 2 16 340 0.708 集群Mongos 4 8 360 0.76 集群Mongos 4 16 660 1.39 集群Mongos 4 32 680 1.416 集群Mongos 8 16 700 1.46 集群Mongos 8 32 1330 2.78 集群Mongos 8 64 2246.25 4.677 集群Mongos 16 32 2419.44 5.04 集群Mongos 16 64 2660 5.56 集群Mongos 16 128 4479.88 9.328 集群Mongos 32 64 4826.25 10.06 集群Mongos 32 128 6384 13.344 集群Mongos 32 256 8947.15 18.63 集群Mongos 64 128 9652.5 20.11 集群Mongos 64 256 12768 26.688 集群Mongos 64 512 17894.3 37.259 集群Shard 2 4 600 1.25 集群Shard 2 8 1000 2.084 集群Shard 2 16 1050 2.19 集群Shard 4 8 1090 2.29 集群Shard 4 16 2000 4.168 集群Shard 4 32 2050 4.27 集群Shard 8 16 2100 4.38 集群Shard 8 32 4000 8.335 集群Shard 8 64 5978 12.46 集群Shard 16 32 7303.11 15.22 集群Shard 16 64 8000 16.67 集群Shard 16 128 11760 24.5 集群Shard 32 64 14523.56 30.43 集群Shard 32 128 19200 40.008 集群Shard 32 256 23030 47.98 集群Shard 64 128 36308.9 75.6 集群Shard 64 256 38400 80.016 集群Shard 64 512 91327.75 190.16 集群ConfigServer 2 4 570 1.2 集群ConfigServer 4 8 1368 1.38 集群ConfigServer 8 16 2736 2.75 集群实例类型包年预付费可享受一年85折、两年7折、三年5折的优惠政策。

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案。 场景说明 天翼云CDN是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，CDN系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云CDN将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云CDN的一组特殊节点，这组节点与常规节点之间相互隔离，用于隔离有风险的业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

平台的训练任务可以提供稳定和易用的训练环境,在降低训练成本的同时提升训练任务执行效率。 前置条件 完成训练数据集准备，完成存储配置准备（ZOS/HPFS）,详见我的数据集。 如果预置模型不满足开发要求，需要基于自有模型，需要完成模型文件准备，详见我的模型。 如果预置镜像不满足开发要求，需要基于自有镜像，需要完成镜像文件准备，详见我的镜像。 如果需要使用代码包，需要完成代码包的上传，详见我的代码包。 创建训练任务 登录智算服务平台。 创建训练任务入口： 入口一：在左侧菜单选择“模型定制”“训练任务”，点击“新建任务”，进入任务创建页面。 入口二：在左侧菜单选择“模型定制”“开发机”，点击开发机列表的“开始训练”。 参数类型 参数名 说明 基本信息 任务名称 必填，训练任务名称。 基本信息 描述 非必填，输入128个字符的描述。 数据集配置 训练数据集 最多可添加10个，选择基础数据集或者标注数据集。 模型配置 模型来源 我的模型：最多5个，将模型管理中的模型文件挂载到容器内路径。 预置模型：最多5个，将预置模型挂载到容器内路径。 模型配置 模型文件 选择我的模型具体的模型文件及版本。 选择预置模型文件及具体版本。 存储配置 ZOS对象存储 最多选择5个，如果没有提前创建，可以点击“去创建对象存储”完成创建。 存储配置 HPFS并行文件系统 最多选择5个，如果没有提前创建，可以点击“去创建HPFS”完成创建。 环境配置 文件目录 平台可持久化的挂载目录，后续可以在该目录下读写文件，是用户间隔离的。 环境配置 训练代码 非必填，可以选择目标代码包。 环境配置 启动命令 必填。如果您的代码包是文件夹，则需要填写python xx.py，其中xx.py是您的训练代码；如果您的代码中有启动参数，可以直接填写；若您使用的代码包是压缩包文件，需要在启动命令中添加解压命令zip。 资源配置 镜像来源 支持选择系统预置镜像、自定义镜像、共享容器镜像和他人分享镜像。 资源配置 集群 支持公共集群和专属集群两种类型，其中专属集群需要提前购买。 资源配置 队列 选择目标队列，展示当前总资源及使用情况。 资源配置 资源规格 选择当前任务所需要的资源规格。 资源配置 训练模式 默认为DDP（分布式训练），如果在单一计算设备上进行机器学习模型训练选择单机训练。 资源配置 容错训练 启动容错训练后，如果训练过程中节点异常，系统会自动重新启用一个新的节点来替换异常节点，从上一个checkpoint开始继续训练。 高级配置 断点续训 开启容错后，如因为节点故障导致训练任务异常，会封锁故障节点，重新调度训练任务。 高级配置 算力健康检查 检查昇腾机器节点的显卡状态、显卡通信状态和交换机状态，以及带宽的压测值。可训练任务详情页查看具体信息。

步骤四：查看事件报表 镜像配置防护策略后，会记录防护事件信息，包括报警名称、报警级别、报警类型、集群名称、受影响的节点/仓库、镜像名称、状态、首次发现时间、最近发现时间等。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“告警响应 > 镜像告警”。 3. 在告警列表可以查看镜像告警记录。 4. 单击列表操作列的“处理”，可对事件进行“标记为已处理”、“加入白名单”、“镜像阻断”等处置。单击列表右上方的“标记为已处理”，可以批量处置误报的告警。

避免使用ServcieAccount Secret Token访问集群 Kubernetes 1.21以前版本的集群中，Pod中获取token的形式是通过挂载ServiceAccount的Secret来获取的，这种方式获得的token是永久的，Pod被删除后token仍然存在Secret中，一旦泄露可能导致安全风险。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该token，保证Pod始终拥有有效的token，并且当挂载的Pod被删除时这些token将自动失效。该方式通过Bound ServiceAccount TokenVolume特性实现，能够提升服务账号（ServiceAccount）token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本client的用户尽快升级至高版本，否则业务将存在故障风险。 基于Secret的ServiceAccount Token由于token由于具有上述的安全风险。1.23版本以及以上版本云容器引擎集群推荐使用Bound Servcie Account Token，该方式支持设置过期时间，并且和Pod生命周期一致，可减少凭据泄露风险。例如： apiVersion: apps/v1 kind: Deployment metadata: name: tokenexample namespace: tokenexample spec: replicas: 1 selector: matchLabels: app: tokenexample label: tokenexample template: metadata: labels: app: tokenexample label: tokenexample spec: serviceAccountName: boundsatoken containers: image: nginx imagePullPolicy: Always name: tokenexample volumes: name: testsecurity projected: defaultMode: 420 sources: serviceAccountToken: expirationSeconds: 3600 path: token configMap: items: key: ca.crt path: ca.crt name: kuberootca.crt downwardAPI: items: fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace

本文介绍ECI虚拟节点概述。 ECI为Kubernetes提供一种层次化的解决方案：即ECI负责底层Pod容器资源的调度和管理工作，Kubernetes在ECI之上作为PaaS层来管理业务负载，例如管理Deployment、Service、StatefulSet、CronJob等。 ECI在接管Pod容器底层基础设施的管理工作后，Kubernetes不再需要直接负责单个Pod的放置、启动等工作，也不再需要关心底层虚拟机的资源情况，通过ECI即可确保Pod需要的资源随时可用。对于长时间运行的业务负载，可以将此类负载的弹性流量部分调度至ECI，缩短弹性扩容的时间，减少弹性部分的扩容成本，并尽可能充分利用已有资源。当业务流量下降后，可以快速释放部署在ECI上的Pod，从而降低使用成本。 如果在天翼云上自建了Kubernetes集群，则可以通过部署虚拟节点（VNode）的方式来使用ECI。VNode对标原生kubernetes节点，内置了virtualkubelet等组件，兼容原生kubernetes节点API。当有Pod调度到VNode上时，VNode会自动创建并管理底层的ECI资源。在VNode上运行的每个Pod都对应一个ECI实例。

Kubernetes 1.28 版本Changelog 1. 优化了调度器逻辑，通过减少无效的重试，提升调度器的整体性能。 2. 节点非体面关闭正式 GA，该特性允节点非正常关闭时 StatefulSet 及时调度到正常节点，降低对业务的影响。 3. 可追溯的默认 StorageClass 正式 GA，该特性允许未分配 StorageClass 的 PVC 自动更新 storageClassName 字段为默认 StorageClass。 4. 节点 podresources API 正式 GA，该特性支持公开专门分配给容器的计算资源。 5. Linux 节点支持使用 NodeSwap 升级为Beta版，该特性支持用户在 Linux 节点上使用交换内存的功能。 6. 验证准入策略（ValidatingAdmissionPolicy）进入 Beta 阶段，该特性提供声明式的方式验证资源请求，支持基于 CEL 编写的验证规则。 7. 弃用 Ceph FS 和 Ceph RBD 等树内插件，并将于 v1.31 中删除。 更多信息请参考：Kubernetes 1.28 Changelog

本章节主要介绍数据治理中心 DataArts Studio的产品价格。 数据治理中心 DataArts Studio 基础包： 销售品名称 计费方式 标准资费（元/月） 标准资费（元/包1年） :::: 数据治理中心 DataArts Studio初级版 包周期 2000 20400 数据治理中心 DataArts Studio企业版 包周期 20000 204000 DataArts Studio增量包批量数据迁移CDM： 销售品名称 CPU核（V） 内存容量（GB） 计费方式 标准资费（元/小时） ::::: DataArts Studio增量包批量数据迁移cdm.large 8 16 按需 2.25 DataArts Studio增量包批量数据迁移cdm.xlarge 16 32 按需 4.23 DataArts Studio增量包批量数据迁移cdm.4xlarge 64 128 按需 17.50 DataArts Studio批量数据迁移dayu.cdm.xlarge.dec 16 32 按需 2.12 DataArts Studio增量包数据服务专享集群增量包： 销售品名称 最大支持发布的API数量 延时（单位：ms） 标准资费（元/月） 基础版 500 <20 5000 高级版 1000 <15 7500 专业版 2000 <10 13500

本文介绍边缘函数增值服务的计费规则。 计费规则 边缘函数按函数执行次数计费，资费说明如下： 函数规格 标准资费 单位 10ms 1 元/百万次 50ms 3 元/百万次 100ms 5 元/百万次 计费方式：按需计费。 计费周期：按小时结算，定时扣费。 注意事项 边缘函数不区分中国内地和全球（不含中国内地），价格统一。 函数规格不同，标准资费不同，请根据需要选择函数规格。 因边缘函数为增值服务，涉及计费，如无需使用，请及时退订服务。

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

本章节介绍了如何讲其他厂商或自建的业务迁移到分布式消息服务RocketMQ的实践方案。 操作场景 RocketMQ业务迁移是指将其他厂商或者自建的RocketMQ迁移到天翼云分布式消息服务RocketMQ。 前提条件 1. 配置网络环境 分布式消息服务RocketMQ实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 2. 购买分布式消息服务RocketMQ实例 具体请参考购买RocketMQ实例。 操作步骤 1. 迁移元数据至分布式消息服务RocketMQ实例。 1. 获取其他厂商或自建RocketMQ实例的元数据。 2. 登录主机，下载RocketMQ软件包。 wget i < 1. 解压软件包。 unzip rocketmqall4.9.4binrelease.zip 1. （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey: secretKey: accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥。 1. 进入解压后的软件包目录下，执行以下命令，查询集群名称。sh ./bin/mqadmin clusterList n {nameserver地址及端口号}例如：“nameserver地址及端口号”为“192.168.0.65:8100”。 2. sh ./bin/mqadmin clusterList n 192.168.0.65:8100执行以下命令，导出元数据。未开启SSL的实例，执行以下命令。sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 1. sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export已开启SSL的实例，执行以下命令。JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 3. JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export在控制台迁移元数据。登录控制台。 4. 单击RocketMQ实例的名称，进入实例详情页面。 5. 在左侧导航栏，选择“元数据迁移”，进入迁移任务列表页面。 6. 单击“创建迁移任务”，弹出“创建迁移任务”对话框。 参考，设置迁移任务的参数。 参数 说明 任务名称 您可以自定义迁移任务的名称，用于区分不同的迁移任务。 是否同名覆盖 如果开启同名覆盖，会对已有的同名元数据的配置进行修改。例如：原实例Topic01的读队列个数为3，云上实例Topic01的读队列个数为2，开启同名覆盖后，云上实例Topic01的读队列个数变为3。如果不开启同名覆盖，同名元数据的迁移将失败。例如：原实例的Topic包含Topic01和Topic02，云上实例的Topic包含Topic01和Topic03，不开启同名覆盖，原实例Topic01的迁移将失败。 元数据 上传。 1. 单击“确定”。迁移完成后，在迁移任务列表页面查看“任务状态”。 1. 当“任务状态”为“迁移完成”，表示所有元数据都已成功迁移。 2. 当“任务状态”为“迁移失败”，表示元数据中部分或全部元数据迁移失败。单击迁移任务名称，进入迁移任务详情页，在“迁移结果”中查看迁移失败的Topic/消费组名称，以及失败原因。 2. 迁移生产消息至分布式消息服务RocketMQ版实例。将生产客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启生产业务，使得生产者将新的消息发送到分布式消息服务RocketMQ版实例中。 3. 迁移消费消息至分布式消息服务RocketMQ版实例。待消费组中的消息消费完之后，将消费客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启消费业务，使得消费者从分布式消息服务RocketMQ版实例中消费消息。 4. 如果有多个RocketMQ实例需要迁移到同一个分布式消息服务RocketMQ版实例中，请依次进行迁移

本章节介绍微服务云应用平台相关名词解释 MSAP 本系统即微服务云应用平台（MicroService Application Platform）的英文简称。 云容器引擎 云容器引擎是天翼云产品，提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务。 ECS 弹性云主机（Elastic Cloud Server）是天翼云产品，可随时获取、弹性扩展，由 CPU、内存、镜像、云硬盘组成，结合多种能力打造安全应用环境，确保服务稳定运行。 应用性能监控 应用性能监控是天翼云产品，帮助您进行应用性能管理。通过无入侵式探针接入的方式，无需您修改代码，就能够对应用进行全方位监控，帮助您快速定位出错接口和慢接口，重现调用参数，发现系统瓶颈，从而大幅提升线上问题诊断的效率。 微服务治理中心 微服务治理中心是天翼云微服务引擎的子产品，兼容SpringCloud、Dubbo等开源微服务框架，支持无侵入的接入应用，提供标签路由、灰度发布、无损上下线、服务降级、服务鉴权等服务治理的能力。。 注册配置中心 注册配置中心是天翼云微服务引擎的子产品，面向业界主流开源微服务项目，致力于帮助用户发现、配置和管理微服务，实现动态服务发现、服务配置、服务元数据及流量管理等功能，通过微服务注册配置中心，您可以更敏捷、更简单地构建、交付和管理微服务平台。

删除防护策略 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 勒索病毒防护 > 防护策略”。 5、单击目标策略“操作”列的“删除”。 说明 删除策略后，关联的服务器将不再被防护，风险系数将会升高，建议删除策略前将目标策略关联的服务器绑定其他策略开启防护。 6 、在弹窗确认正在删除的策略信息，确认无误，单击“确认”，完成删除。 关闭勒索防护 前提条件 已购买主机安全版本为旗舰版或网页防篡改版。 防护服务器列表至少有一台服务器处理防护中状态。 约束限制 开启勒索病毒防护时，需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份，遭受攻击后较大概率无法恢复业务。 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。 按需计费模式下，不支持勒索病毒防护。 关闭服务器防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 勒索病毒防护 > 防护策略”。 5、单击目标服务器“操作”列的“关闭防护”，在弹窗中选择需要关闭的防护功能。 关闭所有防护：关闭后目标服务器的勒索防护和备份功能都将关闭。 仅关闭勒索防护：仅关闭目标服务器的勒索病毒防护。 仅关闭备份功能：仅关闭目标服务器的数据备份功能。 6 、确认关闭信息无误，单击“确认”，完成关闭。

移动办公、远程办公统一管控 针对企业移动办公、远程办公场景下常常被诟病的“性能慢、体验差”、“权限管理混乱、安全性差”“扩容慢、经常掉线”等问题，实现随时随地接入、就近接入，动态扩容，提升员工访问速度、稳定性，具有最小权限管控，动态行为持续评估能力，有效防社工钓鱼，限制风险范围。 高速、灵活、安全的网络接入 基于 AOne 优质的边缘网络资源和应用安全加速能力，为企业网络提供安全、高性能网络连接。 客户可以将任意位置的数据资源安全连接到边缘网络入口，通过高速通道、智能路由及安全防护技术，实现数据高速、稳定、安全的跨地域传输，帮助客户解决全球访问卡顿、延迟过高问题。 边缘节点可编程 随着互联网业务的发展，动态请求（例如搜索结果、个性化推荐等）的占比越来越大，这类多元化内容需要经过计算后再返回给用户。 AOne开发者平台提供边缘函数、边缘KV存储，当控制台上的标准配置无法满足您的业务需求时，可以尝试使用边缘函数快速编程实现。 通过JavaScript ES6标准语法和模板，积木式地组合出个性化的边缘定制配置。 在边缘节点进行计算，避免源站请求过载，从而减少源站并发和请求，使业务运行更加平滑，波动降低，同时还能降低带宽成本。 AOne开发者平台提供以下能力，帮助您个性化处理全球各地的请求： 全球部署，超低延迟 AOne开发者平台将计算从源站前置到边缘节点上，缩短物理链路耗时50%以上，就近处理客户端请求，显著降低客户端请求的响应时间，让用户获得低延迟的计算体验。 Serverless模式，高效易用 无需关注底层服务器资源，Serverless将自动分配足够的计算资源和存储资源。只需专注业务代码的开发，将业务代码发布至全球边缘节点即可完成应用部署，有效地降低开发成本。 弹性扩容 当一个区域的客户端请求数量突增时，快速启用就近的计算资源，自动完成扩容和调度。

编辑自动注入标签 通过启动自动注入功能，可以在创建Pod的过程中，将Sidecar代理自动注入Proxy容器，以实现数据平面的网格化。 1. 登录控制台，在左侧导航栏，选择网格实例 > 全局命名空间 。 2. 在全局命名空间页面的自动注入列，单击目标命名空间对应的 编辑标签 ，然后在弹出页面中选择编辑标签，单击确定 。 说明 1. 启用Sidecar网格代理自动注入后，您需要重启Pod使配置生效。 2. 编辑页仅支持展示和编辑服务网格相关的标签，即istioinjection，opaistioinjection和istio.io/rev。 同步自动注入标签 1. 登录控制台，在左侧导航栏，选择网格实例 > 全局命名空间 。 2. 在全局命名空间页面的自动注入列，单击目标命名空间对应的 同步 。点击确定即发起同步。 点击同步后产生的效果： 1. 命名空间会同步给所有所属集群（参考下方编辑全局命名空间的所属集群章节）。 2. 从集群中如果不存在该命名空间，则会新建。 3. 从集群中如果存在该命名空间，服务网格相关的标签会被更新为主集群的取值。 说明 目前只会同步服务网格相关的标签，即istioinjection，opaistioinjection和istio.io/rev。

开通方式 登录应用性能监控控制台，点击左侧菜单栏【用量统计】，点击【订购资源包】，按照页面提示完成开通即可。 Prometheus监控计费说明 Prometheus监控按照用户实际使用的自定义指标上报量、指标存储时长进行按需计费。 说明 Prometheus监控仅对自定义指标收取指标上报费用，对云容器引擎的基础指标不收取上报费用，且提供免费15天存储。 目前容器基础指标存储时间默认为15天，因此默认情况下，在云容器引擎中开启Prometheus基础指标监控不会产生额外费用，请放心使用。若额外开启自定义指标监控，请参考下文计费说明。 计费项说明 应用性能监控Prometheus监控各计费项说明如下。 计费项 计费说明 自定义指标上报量 自定义指标上报量（即采样点数量）的计算遵循开源 Prometheus 数据模型。每条采样点数据包含指标名称、Label 集合、时间戳及取值，并以时间线形式逻辑组织。例如一个指标监控 Kubernetes 集群各节点的可分配 CPU 核心数：若集群有 3 个节点，采样周期为 15 秒，则每分钟上报的采样点总量为 3×(60/15)12 条（每个节点对应一条时间线）。 指标存储时长 默认支持的指标存储时长为15天。15天内不收取存储时长费用，超过15天则按量累计计费。 价格说明 自定义指标上报量：按日均上报数据量进行阶梯计费，如0 150百万条范围内的指标量，按0.6元/百万条进行计费，超过150万条不足600万条的部分，按照0.5元/百万条进行计费，如此类推。Prometheus监控仅对上报的自定义指标收取该计费项费用，对于任意数量的基础指标都不收取上报量费用。 日均上报数据量范围 标准价格(元/百万条) 0 150百万条 0.6 150 600百万条 0.5 600 1200百万条 0.35 1200百万条以上 0.25 指标存储时长：默认支持的指标存储时长为15天。15天内可免费使用，不收取存储时长费用，超过15天则按量累计计费。 计费项 标准价格(元/百万条/天) 指标存储时长 0.005

本文描述云防火墙所提供服务的韧性保证 天翼云云防火墙（原生版）的管理平台、引擎、日志服务等组件均采用主备或集群方式部署，并在多个可用区部署，从而保证云防火墙服务的韧性。 其中管理平台采用集群式部署架构，支持服务器级别的容灾备份。 日志服务采用集群式部署架构，支持服务器级别的容灾备份。 引擎采用主备部署架构，当主设备出现故障时能够快速切换到备设备提供服务。 说明 主备设备之间采用心跳进行状态检测，同时引擎还支持直接转发的功能，当主备设备同时出现故障时，能够将流量直接转发到用户的业务上，不影响用户的业务正常运行。任意一台服务器或者任意一个可用区故障时都不会导致云防火墙故障。

Watch watcher（事件监听器）：Zookeeper允许用户在指定的节点上去注册事件监听器watcher，在服务端数据节点发生变化时，Zookeeper会把该变化通知给感兴趣的客户端（即订阅了该服务端节点的客户端） Eureka 集群 集群指提供一定分布式协同能力的一组服务所需要的云资源组合，关联了若干云服务器节点、负载均衡等云资源。您可以理解为集群是“同一个子网中一个或多个弹性云服务器（又称：节点）”，通过相关技术组合而成的计算机群体，为容器运行提供了计算资源池。 节点 每一个节点对应一台服务器（可以是虚拟机实例或者物理服务器），实例运行在节点上。集群中的节点数量可以伸缩，可以调整机器规格。 服务 通过预定义接口网络访问的提供给客户端的软件功能。 服务注册 客户端（服务提供者）将自身服务信息上传到注册中心的过程。服务注册后，其他服务消费者将可以通过注册中心获取到其服务地址，并发起调用。 服务发现 在计算机网络上，（通常使用服务名）对服务下的实例的地址和元数据进行探测，并以预先定义的接口提供给客户端进行查询。 实例 提供一个或多个服务的具有可访问网络地址（IP:Port）的进程。

Watch watcher（事件监听器）：Zookeeper允许用户在指定的节点上去注册事件监听器watcher，在服务端数据节点发生变化时，Zookeeper会把该变化通知给感兴趣的客户端（即订阅了该服务端节点的客户端） Eureka 集群 集群指提供一定分布式协同能力的一组服务所需要的云资源组合，关联了若干云服务器节点、负载均衡等云资源。您可以理解为集群是“同一个子网中一个或多个弹性云服务器（又称：节点）”，通过相关技术组合而成的计算机群体，为容器运行提供了计算资源池。 节点 每一个节点对应一台服务器（可以是虚拟机实例或者物理服务器），实例运行在节点上。集群中的节点数量可以伸缩，可以调整机器规格。 服务 通过预定义接口网络访问的提供给客户端的软件功能。 服务注册 客户端（服务提供者）将自身服务信息上传到注册中心的过程。服务注册后，其他服务消费者将可以通过注册中心获取到其服务地址，并发起调用。 服务发现 在计算机网络上，（通常使用服务名）对服务下的实例的地址和元数据进行探测，并以预先定义的接口提供给客户端进行查询。 实例 提供一个或多个服务的具有可访问网络地址（IP:Port）的进程。

本文解答边缘接入服务提供了哪些产品能力。 除了IP应用加速能力，边缘接入服务还提供四层高阶DDoS防护能力。 详情参见：边缘接入服务版本介绍。

软件分发能力用于统一管理企业员工安装的软件，确保终端获取正确合规的软件。 背景说明 不同企业往往有不同的必装软件清单，为确保每个员工终端电脑上都能正确安装这些软件，通常需要进行软件的分发与安装。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理基础版套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件分发】，查看软件分发相关内容。 3. 可根据业务需求进行相关配置。 上传软件 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 安装包 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 运行环境 分发时，仅分发至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 默认不勾选。 勾选时，支持输入名称或发布者。

使用云原生网关配置路由转发 首先进入云原生网关控制台服务来源菜单下，添加云容器引擎服务来源，选择我们部署了后端服务的云容器引擎集群，添加完成后如下所示： 进入 服务列表> 创建服务 功能，选择从容器创建后端服务，选择我们部署的命名空间和服务，服务协议选择HTTPS（暂时先关闭mTLS选项），如下： 创建完成后，服务如下： 进入 路由配置> 创建路由 页面，配置路由转发规则（匹配路径/api/1/reviews，请求转发到上面创建的服务）如下： 结果验证 通过云原生网关访问接口 curl sv Trying 192.168.4.96:27151... Connected to 192.168.4.96 (192.168.4.96) port 27151 ( 0) > GET /api/1/reviews HTTP/1.1 > Host: 192.168.4.96:27151 > UserAgent: curl/7.71.1 > Accept: / > Mark bundle as not supporting multiuse 502 Bad Gateway 502 Bad Gateway openresty Connection

本节介绍云下节点池用户指南。 云下节点池为Anywhere集群特有，用于管理Anywhere集群IDC节点的按需扩缩容场景需求。 前提条件 已创建Anywhere集群，并已经完成部署。 若IDC节点为已安装操作系统的节点，请先确保节点已安装以下工具软件：conntrack（必选）、s3fs工具（可选）。 创建云下节点池 1. 登录分布式容器云平台，选择 集群资源 > 集群管理，在集群列表中，选中目标集群，点击进入； 2. 在目标集群页面，选择节点管理 > 节点池，在节点池页面，单击 创建云下节点池； 3. 在创建云下节点池对话框中，完成云下节点池的配置项。云下节点池创建完成之后，在节点池列表右侧支持编辑云下节点池部分配置项。 节点池配置项内容如下所示： 配置项 说明 是否支持修改 节点池名称 自定义节点池名称 × 架构 节点架构：X86、ARM × 节点类型 物理机(托管)：未装操作系统的物理机节点，节点池扩容时自动安装操作系统； 物理机(纳管）：请提供已安装操作系统的物理机节点； 虚拟机：请提供已安装操作系统的虚拟机节点； × 节点数量 如当前无需创建节点，可填写为0，仅配置节点池信息，后续再进行扩容节点； 填写数量>0时，需填写对应数量的节点信息，完成节点池创建并扩容对应节点到集群内； × 节点网络 节点类型为物理机(托管)类型时，需填写以下网络信息： 子网掩码：节点设备所属子网范围； 网关：节点设备所属子网网关； DNS：节点配置的DNS服务器地址，用于解析域名； × 操作系统 当节点类型为物理机(托管)类型时，选择节点需要安装的操作系统。 × 高级配置（选填） 配置项 说明 是否支持修改 节点标签 为扩容的节点添加标签，采用键值对形式。 √ 节点污点 为扩容节点添加污点，污点包含键、值和Effect(效果)。 Effect可选择NoSchedule、NoExecute、PreferNoSchedule。 NoSchedule：节点上若存在Effect值为NoSchedule的污点，则Pod不会分配到该节点； NoExecute：不能忍受此污点的Pod会被驱逐； PreferNoSchedule：尽量避免调度未忍受该污点的Pod到该节点，但不会强制执行； √ 自定义Kubelet参数 支持自定义Kubelet参数，在节点加入集群时配置； ×

接口功能介绍 订购企业版实例 接口约束 仅限企业版实例使用 URI POST /v2/subscribeEnterpriseInstance 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceName 是 String 实例名称（530个字符，只能包含小写字母、数字及分隔符("")，且必须以小写字母开头，数字或小写字母结尾） myinstance instanceType 是 String 实例类型（企业版：enterprisebasic） enterprisebasic crUserName 是 String 用户名称（530个字符，只能包含小写字母、数字及分隔符("")，且必须以小写字母开头，数字或小写字母结尾），可以复用已有实例的用户名，也可以使用新的 myuser crUserPassword 否 String 用户密码（密码长度在850个字符，且需包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符），如果复用已有实例的用户名，不需要传密码（传了密码也不会起作用），如果使用新的用户名，需要传密码 Abc@12345 ossBucket 是 String 对象存储的Bucket名称（需要开通对象存储（原生版）I型，并创建Bucket） mybucket billMode 是 String 计费模式（按周期计费为1，按需计费为2） 1 cycleType 是 String 订购周期类型（3为按月计费） 3 cycleCnt 是 Integer 订购时长（单位为月），目前只支持1、2、3、4、5、6、12 3 repositoryExtraQuota 否 Integer 额外仓库配额（默认已包含仓库配额1000，如果配额依然不足，您可以按需额外增加仓库配额包。仓库配额由容器镜像和HelmChart共享。 单项费用：每增加1000个仓库配额，额外需100元/月。详见计费说明） 0 namespaceExtraQuota 否 Integer 额外命名空间配额（默认已包含命名空间配额15，如果配额依然不足，您可以按需额外增加命名空间配额包。命名空间配额由配额由容器镜像和HelmChart共享。 单项费用：每增加5个命名空间配额，额外需25元/月。详见计费说明） 0 autoRenewStatus 否 Boolean 是否自动续期（默认为false） false autoRenewCycleType 否 String 自动续期单位（目前只提供按月计费，该值只能为3） 3 autoRenewCycleCount 否 Integer 自动续期时长（目前只提供按月计费，代表自动续期多少个月） 3 autoPay 否 Boolean 是否自动付款（默认为false） false projectId 否 String 企业项目ID（默认为0，代表default企业项目） 188781daa55d42679c3e364f7b780fc6 preferPayType 否 String 优先支付方式:vouch代金卷(默认)/cash账户余额支付 vouch

本文主要介绍如何使用ICAgent采集容器日志。 集群kubesystem命名空间下名为icagent的DaemonSet），ICAgent负责收集工作负载的日志并上报到AOM，您可以在CCE控制台和AOM控制台查看工作负载的日志。 约束与限制 ICAgent只采集.log、 .trace和 .out类型的文本日志文件。 费用说明 AOM每月赠送每个账号500M免费日志采集额度。 使用ICAgent采集日志 在工作负载中可以单独配置日志采集策略，此策略需要使用ICAgent。 步骤 1 在CCE中创建工作负载时，在配置容器信息时可以设置容器日志。 步骤 2 单击添加日志策略。 以nginx为例，不同工作负载根据实际情况配置。 图 添加日志策略 步骤 2 存储类型有“主机路径”和“容器路径”两种类型可供选择： 表 配置日志策略 参数 参数说明 :: 存储类型 主机路径：HostPath模式，将主机路径挂载到指定的容器路径（挂载路径）。用户可以在节点的主机路径中查看到容器输出在挂载路径中的日志信息。 容器路径：EmptyDir模式，将节点的临时路径挂载到指定的路径（挂载路径）。临时路径中存在的但暂未被采集器上报到AOM的日志数据在Pod实例删除后会消失。 主机路径 请输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 请输入数据存储要挂载到容器上的路径，如：/tmp 说明 请不要挂载到系统目录下，如“/”、“/var/run”等，否则会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 仅“主机路径”类型需要填写 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp/ /test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明 AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 步骤 3 单击“确定”，并完成创建工作负载。

本文介绍如何对集群节点进行扫描。 扫描节点 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 单击节点列表右上方的“开始扫描”，可选择扫描全部节点或者仅扫描列表中勾选的节点。 4. 单击“确定”，立即开始扫描，扫描状态变为“扫描中”。 重新扫描 扫描完成后，可以单击操作列的“重新扫描”，重新对节点进行扫描。

操作步骤 停用边缘接入服务 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 选择对应域名，找到【操作】列的【停用】按钮。 4. 单击【停用】按钮，单击【确定】。 如您需要删除已停用域名，请等待停用域名工单完成后继续按如下删除边缘接入域名的流程进行操作。 删除边缘接入域名 1. 域名停用后，单击【操作】列的【删除】按钮。 2. 单击【删除】后，跳出【删除确认】框，输入需删除的域名，单击【确定】，即可删除域名。

本文向您介绍，如何自定义安全能力响应的拦截页面。 功能介绍 目前触发安全能力中拦截策略会给请求响应默认的拦截页面。若用户有自定义拦截页面的需求，可以通过本节功能进行配置。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买高级版及以上版本，请参见安全与加速服务版本差异比对。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】【Web应用防火墙】【Bot防护】菜单，并在左侧域名列表选择您要配置拦截页面的域名。 3. 点击右上角【自定义拦截页面】，即可进行配置。 注意 配置中或已停用的域名不支持变更配置。 配置说明 添加自定义拦截页面 每个域名最多支持设置5条自定义拦截页面。 配置项 配置项说明 功能开关 自定义拦截页面的功能开关。开启后当前域名将按照您配置的拦截页面做响应，若关闭则响应默认的拦截页面。 页面名称 配置拦截页面的名称，相同域名下的拦截页面名称不可重复。 关联防护功能 即自定义拦截页面需要与哪些防护功能进行关联。 请求命中所选的防护功能时，将返回自定义拦截页面。目前仅部分防护策略支持配置自定义拦截页面，详见控制台。 响应码 支持自定义响应码，响应码支持填写200600之间的正整数。 页面类型 支持HTML、JSON与自定义 contenttype头部值 当页面类型选择【自定义】时，需要自定义填写contenttype头部值 页面响应内容 配置页面响应内容，您可以参考页面提供的示例进行配置。 目前有9类标签暂时限制输入，分别如下： a href、img src、script、iframe、frameset、embed、object、applet、layer

工作原理 Nginx Ingress由资源对象Ingress、Ingress控制器、Nginx三部分组成，Ingress控制器用以将Ingress资源实例组装成Nginx配置文件（nginx.conf），并重新加载 Nginx使变更的配置生效。当它监听到Service中Pod变化时通过动态变更的方式实现Nginx上游服务器组配置的变更，无须重新加载Nginx进程。工作原理如下图所示。 Ingress：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，Ingress实例被存储在对象存储服务etcd中，通过接口服务被实现增、删、改、查的操作。 Ingress控制器（Ingress controller）：用以实时监控资源对象Ingress、Service、Endpoint、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，自动对Nginx进行相应的操作。 Nginx：实现具体的应用层负载均衡及访问控制。 Nginx Ingress工作原理 使用约束 仅支持在1.15及以上版本的CCE集群中安装此插件。 通过api调接口创建的Ingress annotation必须添加kubernetes.io/ingress.class: "nginx"，如果是对接老的Ingress，annotation需添加为kubernetes.io/ingress.class: "cce"。 独享型ELB规格必须支持网络型（TCP/UDP），且网络类型必须支持私网（有私有IP地址）。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群，请参照“购买CCE集群”中的步骤创建。

背景知识 在CCE创建容器应用时，支持您通过对接普罗米修斯（prometheus）来上报自定义指标，并将其展示在应用运维管理（AOM）服务中的“监控 > 指标浏览”中。 指标是应用运维管理（AOM）服务中对资源性能的数据描述或状态描述，指标由命名空间、维度、指标名称和单位组成。指标分为系统指标和自定义指标。 系统指标：AOM提供的基础指标，例如：CPU使用率、CPU内核占用等。 自定义指标：您自己定义的指标。可参考如下两种方式上报自定义指标。 − 方式一：通过AOM提供的接口上报自定义指标。 − 方式二：在CCE创建容器工作负载时，通过对接普罗米修斯（prometheus）上报自定义指标，详细操作请参见操作步骤。 前提条件 您已经成功创建一个Kubernetes集群，参见购买混合集群。 您已连接到集群的控制节点，方便快速查看节点标签等信息，参见通过kubectl操作CCE集群。 在设置自定义监控前，您需先了解和安装[]( " ")prometheus，并在您的工作负载中提供获取自定义指标数据的GET接口，以便能够通过该接口获取您的自定义指标数据。 说明： 当前仅支持获取prometheus的[]( " ")Gauge指标类型。 操作步骤 步骤 1 当您在创建工作负载时，在“高级设置”步骤中配置“自定义指标监控”。 步骤 2 您的exporter必须提供自定义指标的上报端口及上报路径，请参考下图设置。设置完成后，CCE将通过“ 设置自定义指标监控 表参数说明 参数 说明 是否必须设置 上报路径 exporter提供的供CCE获取自定义指标数据的URL。 由字母、数字、斜杠（/）和下划线（）组成，且必须以“ / ”开头。例如，/metrics。 是 上报端口 exporter提供的供CCE获取自定义指标数据的端口。 取值范围：1～65535。例如，8080。 是 监控维度 exporter提供的自定义指标名称。 自定义指标名称为由字母、数字和下划线（）组成的字符串，长度为5～100个字符。输入格式为：["自定义指标名称1","自定义指标名称2"]，多个自定义指标名称请以英文逗号（,）分隔。例如，["cpuusage","memusage"]。 如果不设置，则CCE会获取所有的自定义指标数据。 如果设置，例如，设置为["cpuusage","memusage"]，则CCE会对自定义指标进行过滤，只获取cpuusage、memusage指标数据。 否