本节介绍集群定时备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 下发备份任务 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 集群定时备份 > 创建备份 ，进入集群定时备份配置页面。 4. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一。 命名空间 非必填，选择备份资源的命名空间，可多选。 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入。 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath。 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理。 时间点 必填，定时备份时执行的时间点，为整点。 重复周期 必填，定时备份任务重复在一周内哪几天触发执行。 说明 1. 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理。 2. 备份任务下发后，在备份列表中可查看定时备份任务的各项配置。 备份列表的操作列还包含以下三个操作： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。

针对tomcat进行监控。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用详情 」，您可以在应用详情页面切换至「web容器监控」页签，在左侧关键指标中选择不同的应用实例，可查看该应用实例相应的概览信息。 功能说明 Tomcat Tomcat线程 显示统计表信息，表头如下。 实例id：用于标识Tomcat线程的唯一标识符或ID。它可以用于区分不同的线程实例。 请求数：表示在某段时间内由Tomcat线程处理的总请求数量。每当Tomcat线程接收到一个请求并开始处理时，计数器就会增加。 错误数：在某段时间内由Tomcat线程处理的请求中发生错误的次数。错误可能包括HTTP错误状态（如404或500），处理异常或其他错误条件。 请求处理时间(ms)：表示Tomcat线程处理单个请求的平均时间。它衡量了请求处理的效率和性能。 请求处理最大时间(ms)：在某段时间内由Tomcat线程处理的请求中，处理时间最长的请求的时间。它反映了请求处理中的最大延迟或性能瓶颈。 请求吞吐量：表示Tomcat线程在某段时间内处理的请求数量。它衡量了Tomcat服务器的工作负载和处理能力。 活跃会话数：表示当前活动的会话（session）数量。会话是在用户与服务器之间建立的会话状态，用于跟踪用户的状态和信息。 当前线程数：表示当前正在运行的Tomcat线程数量。它反映了Tomcat服务器的并发处理能力和资源利用情况。 这些指标可以用于监控和评估Tomcat服务器的性能和健康状况。 统一交互操作说明： 将光标移到统计图上，可以查看光标所至时间点的数据详情。 单击图标，可以将当前图表放大显示。

参数 参数说明 策略名称 请输入伸缩策略的名称。 伸缩策略名称必须符合164字符，只能用字母、数字、下划线、中划线的组合，必须以字母开头。 策略类型 选择“告警策略”。 告警策略基于历史数据进行判断触发，以 1 分钟 为周期去判断监控窗口时间内用户设定的指标是否满足触发条件，若连续n个周期都满足触发条件，将会执行操作。 指标 指标是对资源性能的数据描述或状态描述。 CPU使用率：该指标用于统计测量对象的CPU使用率。工作负载实际使用的与申请的CPU核数量比率。 数据发送速率：该指标用于统计测量对象每秒钟发送的数据量。 磁盘写入速率：该指标用于统计每秒写入磁盘的数据量。 物理内存使用率：该指标用于统计测量对象已使用内存占申请物理内存总量的百分比。 物理内存总量：该指标用于统计测量对象申请的物理内存总量。 数据接收速率：该指标用于统计测量对象每秒钟接收的数据量。 CPU内核总量：该指标用于统计测量对象申请的CPU核总量。 物理内存使用量：该指标用于统计测量对象实际已经使用的物理内存（Resident Set Size）。 磁盘读取速率：该指标用于统计每秒从磁盘读出的数据量。 CPU内核占用：该指标用于统计测量对象已经使用的CPU核个数。 容器错包个数：该指标用于统计测量对象收到错误包的数量。 触发条件 可选“>”或“<”，支持以上指标的使用量达到设定值时触发伸缩策略。 如：指标选择“CPU使用率”，此处选择“>”70%，表示在CPU使用率超过70%时触发伸缩策略。 监控窗口 指数据的汇聚窗口大小。 若设置为60秒，表示每60秒统计一次。 连续周期 指监控窗口内连续触发阈值的次数，计算周期固定一分钟。 若设置为3，则表示指标数据连续三个统计周期达到了设定的阈值，则触发策略动作。 执行操作 策略触发后执行的动作，可增加或减少实例个数。

本章节主要介绍使用咨询相关问题。 什么是DLI 数据湖探索（Data Lake Insight，简称DLI）是完全兼容Apache Spark、Apache Flink生态，提供一站式的流处理、批处理、交互式分析的Serverless融合处理分析服务。用户不需要管理任何服务器，即开即用。支持标准SQL/Spark SQL/Flink SQL，支持多种接入方式，并兼容主流数据格式。数据无需复杂的抽取、转换、加载，使用SQL或程序就可以对云上CloudTable、RDS、DWS、CSS、OBS、ECS自建数据库以及线下数据库的异构数据进行探索。 DLI支持哪些数据格式 DLI支持如下数据格式： Parquet CSV ORC Json Avro DLI中的Spark组件与MRS中的Spark组件有什么区别？ DLI服务的Spark组件是全托管式服务，用户对Spark组件不感知，仅仅可以使用该服务，且接口为封装式接口。 MRS服务Spark组件的是建立在客户的购买MRS服务所分配的虚机上，用户可以根据实际需求调整及优化Spark服务，支持各种接口调用。 DLI的数据可存储在哪些地方 DLI服务的数据可存储在如下地方： OBS：SQL作业，Spark作业，Flink作业使用的数据均可以存储在OBS服务中，降低存储成本。 DLI：DLI内部使用的是列存的Parquet格式，即数据以Parquet格式存储。存储成本较高。 跨源作业可将数据存储在对应的服务中，目前支持CloudTable，CSS，DCS，DDS，DWS，MRS，RDS等。 DLI表与OBS表的区别 DLI表表示数据存储在本服务内部，用户不感知数据存储路径。 OBS表表示数据存储在用户自己账户的OBS桶中，源数据文件由用户自己管理。 DLI表相较于OBS表提供了更多权限控制和缓存加速的功能，性能相较于外表性能更好，但是会收取存储费用。

本文介绍回源302/301跟随功能的适用场景和配置说明。 功能介绍 配置回源302/301跟随功能后，全站加速节点会代替用户去处理源站给出的302/301状态码内容，即节点会直接跳转到源站302/301响应中的Location地址请求资源，不会直接把源站响应的302/301跳转地址直接返回给用户。该功能开启后将会减少一次（或多次）用户和边缘节点的302/301交互，用户体验更优。 适用场景 客户源站使用了重定向的方式，同时希望全站加速节点在收到源站302/301响应时再次请求Location地址，获取到200响应内容后，再缓存并响应给用户。 注意事项 1. 配置回源302/301跟随，请确认跟随时的回源HOST设置需求，当前可实现根据不同场景匹配不同效果： 期望结果1：源站响应“302/301状态码+Location地址”给全站加速节点时，请求Location地址携带的HOST头是源站响应的302/301信息里面的Location域名；默认为该效果，无需额外配置。 期望结果2：源站响应“302/301状态码+Location地址”给全站加速节点时，请求Location地址需携带的HOST头是用户自行配置的【默认回源HOST】；此时需要同时在【默认回源HOST】模块勾选【回源302/301跟随时生效】。 2. 支持回源302/301跟随次数设置：即源站响应302/301状态码之后，跟随访问Location地址的次数。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源302/301跟随】模块，开启配置。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 回源302/301跟随 默认关闭，开启后，可配置【跟随次数上限】以及【回源302/301跟随时生效】配置项。 跟随次数上限 值为具体数字，是指回源可跟随Location地址跳转访问的最大次数，如超出上限将直接返回302/301状态码给用户。默认值为1，可配置范围为1到5。 默认回源HOST:回源302/301跟随时生效 默认不勾选，即回源302/301跟随时的回源HOST按照302/301后Location中的HOST生效。配置勾选，即回源302/301跟随时的回源HOST按照【默认回源HOST】配置生效。

本文介绍回源302/301跟随功能的适用场景和配置说明。 功能介绍 配置回源302/301跟随功能后，CDN节点会代替用户去处理源站给出的302/301状态码内容，即CDN节点会直接跳转到源站302/301响应中的Location地址请求资源，不会直接把源站响应的302/301跳转地址直接返回给用户。该功能开启后将会减少一次（或多次）用户和CDN边缘节点的302/301交互，用户体验更优。 适用场景 客户源站使用了重定向的方式，同时希望CDN节点在收到源站302/301响应时再次请求Location地址，获取到200响应内容后，再缓存并响应给用户。 注意事项 1. 配置回源302/301跟随，请确认跟随时的回源HOST设置需求，当前可实现根据不同场景匹配不同效果： 期望结果1：源站响应“302/301状态码+Location地址”给CDN节点时，请求Location地址携带的HOST头是源站响应的302/301信息里面的Location域名；默认为该效果，无需额外配置。 期望结果2：源站响应“302/301状态码+Location地址”给CDN节点时，请求Location地址需携带的HOST头是用户自行配置的【默认回源HOST】；此时需要同时在【默认回源HOST】模块勾选【回源302/301跟随时生效】。 2. 支持回源302/301跟随次数设置：即源站响应302/301状态码之后，跟随访问Location地址的次数。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源302/301跟随】模块，开启配置。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 回源302/301跟随 默认关闭，开启后，可配置【跟随次数上限】以及【回源302/301跟随时生效】配置项。 跟随次数上限 值为具体数字，是指回源可跟随Location地址跳转访问的最大次数，如超出上限将直接返回302/301状态码给用户。默认值为1，可配置范围为1到5。 默认回源HOST:回源302/301跟随时生效 默认不勾选，即回源302/301跟随时的回源HOST按照302/301后Location中的HOST生效。配置勾选，即回源302/301跟随时的回源HOST按照【默认回源HOST】配置生效。

介绍分布式消息服务MQTT实例详情。 实例详情包含基本的实例基本信息、当前性能指标信息以及各MQTT Broker节点信息。 基本信息 实例基本信息包括实例ID、实例名称、实例类型、专有网络、子网、安全组、创建时间、服务端连接地址、内网终端连接地址等，各字段释义如下： 实例ID：MQTT实例ID通常用于标识和管理不同的MQTT实例。每个MQTT实例都有一个唯一的实例ID，以确保在MQTT Broker上进行识别和区分。实例ID通常是一个字符串，由系统自动生成。 实例名称：MQTT实例名称通常用于标识和描述特定的MQTT实例。它是一个可读性高的字符串，用于方便用户在管理和监控中识别不同的MQTT实例。实例名称可以由用户自定义，也可以由MQTT服务根据用户指定的规则自动生成。通常情况下，实例名称是唯一的，以确保在一个MQTT服务中区分不同的实例。 实例类型：包含MQTT主机规格和节点数信息。 专有网络：即VPC，为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。 子网：构建在云基础设施上的网络分段，用于划分和管理云资源的网络连接。 安全组：网络安全控制机制，用于在云计算环境中管理虚拟机实例、容器实例或其他云资源的网络访问规则。 创建时间：购买并成功创建MQTT实例时间。 服务器连接地址：MQTT服务器的主机名或IP地址。 内网终端连接地址：在局域网或内部网络中使用的地址，用于设备之间在相同网络环境下进行通信。 内网终端SSL连接地址：内网终端之间建立SSL连接，使用MQTT over TLS/SSL（通常称为MQTTS）来保护通信。 公网IP：可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。

本章节介绍MSE Nacos SDK的应用以及相关限制因素 概述 MSE Nacos 适用于各种微服务业务系统和应用场景，既可以单独使用也可以与微服务云应用平台、云容器引擎、应用服务网格等组合使用。为了您服务的稳定性，需要注意一些限制。本文介绍MSE Nacos SDK的应用以及相关的限制因素。 SDK的应用 如果您使用的技术栈是Java，既可以通过开源的Nacos客户端 SDK，也可以通过集成Spring Cloud、Dubbo等框架集成Nacos客户端访问Nacos实例，实现服务注册发现和配置管理；如果您业务使用的技术栈是Go、C++、Python、Nodejs，也可以通过开源客户端或者相关框架，访问 Nacos实例。另外， Nacos作为微服务系统的核心组件之一，也可以与服务网格和微服务网关、服务治理等组件整合使用，为云原生应用开发者提供更强大的能力。 技术栈 原生SDK 框架（Spring Boot） 框架（Spring Cloud） Java Nacos提供Java SDK 连接实例。 Spring Boot框架的接入方案请参考章节：Nacos Spring Boot快速接入 Spring Cloud框架的接入方案请参考章节：如何在MSE上为Spring Cloud应用构建服务注册中心？ SDK的使用限制 Java 不推荐的版本 不推荐原因 解决方案 0.X ~ 1.3.X 版本陈旧，影响性能。 升级至1.4.3及以上版本。 小于1.2.0 该部分版本不支持username和password注入，即不支持鉴权。 升级至1.4.3及以上版本。 1.3.3 该版本客户端不支持在密码中使用特殊字符。 升级至1.4.3及以上版本。 1.4.0 ~ 1.4.2 1.4.2版本使用配置加解密功能时，getConfigAndSignListener接口查询加密配置时返回内容为明文。 升级至1.4.3及以上版本。

make sure the NVIDIA modules are loaded on boot with nvidiapersistenced if available nvidiapersistenced; then $SUDO touch /etc/modulesload.d/nvidia.conf MODULES"nvidia nvidiauvm" for MODULE in $MODULES; do if ! grep qxF "$MODULE" /etc/modulesload.d/nvidia.conf; then echo "$MODULE" $SUDO tee a /etc/modulesload.d/nvidia.conf > /dev/null fi done fi status "NVIDIA GPU ready." installsuccess 2. 执行安装 plaintext bash installollama.sh 如下显示则为安装成功。 3. 测试ollama服务安装情况 plaintext ollama ps 2. 下载模型 天翼云镜像站也为常见镜像提供了加速能力，包括1.5B7B14B70B671B 等相关模型，可以通过如下手段体验其他模型，以14B 模型为例： plaintext mkdir deepseekr114b cd deepseekr114b wget wget ollama create deepseekr1:14b f ModelFile 如果你想体验其他模型，也可以直接通过ollama下载。 plaintext ollama pull deepseekr1:14b 3. 使用ollama运行模型 plaintext ollama run deepseekr1:14b 4. 通过web界面进行交互 1. 安装openwebui plaintext docker pull ghcr.io/openwebui/openwebui:main 2. 启动容器 plaintext docker run d nethost e PORT3000 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse v openwebui:/app/backend/data name openwebui restart always ghcr.io/openwebui/openwebui:main 后续请参考上文“快速体验DeepSeek——步骤二：使用deepseek模型” 。

本文介绍常见的安全组配置示例。 当您在VPC子网内创建实例（云主机、云容器、云数据库等）时，您可以使用系统提供的默认安全组default，您也可以创建其他安全组。无论是默认安全组，还是您创建的安全组，您均可以在安全组内设置出方向和入方向规则，以此控制出入实例的流量。 使用须知 在配置安全组规则之前，您需要先了解以下信息： 不同安全组之间的实例默认网络隔离，无法互相访问。 安全组默认拒绝所有来自外部的请求，即本安全组内的实例网络互通，外部无法访问安全组内的实例。您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。 安全组入方向规则的源地址设置为0.0.0.0/0或::/0，表示允许或拒绝所有外部IP地址访问您的实例，如果将“22、3389、8848”等高危端口暴露到公网，可能导致网络入侵，造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。 安全组的出方向规则一般默认全部放通，即允许安全组内的实例访问外部。如果出方向规则被删除，将会导致安全组内实例无法正常访问外部，您可以参考下表重新添加配置。 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

虚拟私有云为用户提供完全隔离的虚拟网络环境,可满足不同的应用场景。 虚拟私有云是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。同时，VPC可以灵活搭配其他网络服务，支撑您构建构建多元化网络环境。 构建高安全的云上网络 虚拟私有云VPC是云上的私有网络，您可以将应用程序部署在VPC内的实例上，同时，通过配置安全组和网络ACL策略，可以保障VPC内部署的实例安全运行。 安全组对实例进行防护，将实例加入安全组内后，该实例将会受到安全组的保护。 网络ACL对整个子网进行防护，将子网关联至网络ACL，则子网内的所有实例都会受到网络ACL保护。 您可以根据业务需求设置流量访问控制规则，比如您要部署面向公网提供服务的Web应用程序，则您可以在子网SubnetA01中的ECS上部署应用程序，在另外一个和公网隔离的子网SubnetA02中部署数据库，并且通过不同的安全组和网络ACL控制出入子网的流量。 构建多业务隔离的云上网络 如果您同时有多种业务需要部署在VPC内，并且业务A和业务B需要网络隔离，则您可以将业务A和业务B分别部署在不同的VPC。比如可以将业务A部署在VPCA内，业务B部署在VPCB内，两个VPC之间默认网络隔离，不同VPC内的资源无法直接通信，从而实现了业务间的逻辑隔离。

本章节主要介绍翼MapReduce服务的操作类常见问题。 如何使用组件客户端？ 1. 以root用户登录任意一个Master节点。 2. 执行su omm命令，切换到omm用户。 3. 执行cd 客户端安装目录 ，切换到客户端。 4. 执行source bigdataenv命令，配置环境变量。如果当前集群已启用Kerberos认证，执行kinit 组件业务用户认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 5. 环境变量配置成功后，即可执行组件的客户端命令。例如查看组件的相关信息，可执行HDFS客户端命令hdfs dfs ls /查看HDFS根目录文件。 集群支持提交哪些形式的Spark作业？ 在翼MR后台中，集群支持提交Spark、Spark Script和Spark SQL形式的Spark作业。 翼MR集群的计算资源最大值为0后，还可以跑Spark任务吗？ 翼MR集群的租户计算资源最大值改为0后，不可以跑Spark任务。 Spark作业的Client模式和Cluster模式有什么区别？ 理解YARNClient和YARNCluster深层次的区别之前先清楚一个概念：Application Master。 在YARN中，每个Application实例都有一个ApplicationMaster进程，它是Application启动的第一个容器。它负责和ResourceManager打交道并请求资源，获取资源之后告诉NodeManager为其启动Container。从深层次的含义讲YARNCluster和YARNClient模式的区别其实就是ApplicationMaster进程的区别。 YARNCluster模式下，Driver运行在AM(Application Master)中，它负责向YARN申请资源，并监督作业的运行状况。当用户提交了作业之后，就可以关掉Client，作业会继续在YARN上运行，因而YARNCluster模式不适合运行交互类型的作业。 YARNClient模式下，Application Master仅仅向YARN请求Executor，Client会和请求的Container通信来调度工作，也就是说Client不能离开。

存储库 云服务备份使用存储库来存放备份，备份存储库是存放服务器和磁盘产生的备份副本的容器，备份存储库同时又分为以下几种： 云主机备份存储库：分为两种规格，一种为仅存放普通备份的云主机备份存储库；一种为仅存放含有数据库的云主机产生的数据库备份的存储库。可以将服务器绑定至存储库并绑定自动备份策略，支持利用备份数据恢复云主机数据。 云硬盘备份存储库：仅存放磁盘备份，可以将磁盘绑定至存储库并绑定备份策略。 SFS Turbo备份存储库：仅存放SFS Turbo文件系统备份，可以将文件系统绑定至存储库并绑定备份策略。 备份 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。备份可以通过一次性备份和周期性备份两种方式产生。 云服务备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定服务器的方式创建的周期性备份任务。 一次性备份的备份名称支持用户自定义，也可以采用系统自动生成的名称。一次性备份产生的备份名称为“manualbkxxxx”。 周期性备份的备份名称由系统自动生成。周期性备份产生的备份名称为“autobkxxxx”。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略。包括备份策略的名称、开关、备份任务执行的时间、周期以及备份数据的保留规则。其中备份数据的保留规则包括保存时间或保存数量。通过将备份存储库绑定到备份策略，可以为存储库执行自动备份。

本文介绍Kubernetes 1.31版本的变更说明。 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.31集群版本特性。 新增特性及特性增强 StatefulSet起始序号（GA） 在Kubernetes 1.31中，StatefulSetStartOrdinal特性进阶至GA。默认情况下，StatefulSet中Pod的序号是从0开始，该特性引入后允许用户自定义Pod的起始序号。 弹性索引Job（GA） 在Kubernetes 1.31中，ElasticIndexedJob特性进阶至GA。该特性允许用户在索引Job创建后修改其.spec.completions和.spec.parallelism字段，使之具备弹性伸缩能力。 Pod失效策略（GA） 在Kubernetes 1.31中，JobPodFailurePolicy特性进阶至GA。该特性允许用户根据Pod失效的原因来分别指定处理方式（重试或者忽略），以优化避免不必要的Pod重启带来的运行成本。 Pod干扰状况（GA） 在Kubernetes 1.31中，PodDisruptionConditions特性进阶至GA。该特性在Pod的Condition中新增了DisruptionTarget类型，表示Pod失效的原因，例如被高优先级的Pod抢占、因节点删除而被清理、被kubelet终止等。若Pod是Job或者CronJob控制器创建的，可以与Pod失效策略一起使用，通过该Condition定义失效时的行为。 定制资源的可选择字段（Beta） 在Kubernetes 1.31中，CustomResourceFieldSelectors特性进阶至Beta。该特性支持对CRD配置selectableFields，并支持使用Field Selectors过滤List、Watch和DeleteCollection请求，方便用户定位或管理符合特定条件的CRD资源。 Job成功策略（Beta） 在Kubernetes 1.31中，JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 podAffinity中的matchLabelKeys（Beta） 在Kubernetes 1.31中，MatchLabelKeysInPodAffinity特性进阶至Beta。该特性在podAffinity和podAntiAffinity中引入了更为精细的配置字段matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。 ServiceAccountTokenNodeBinding（Beta） 在Kubernetes 1.31中，ServiceAccountTokenNodeBinding特性进阶至Beta。该特性支持创建绑定到节点的ServiceAccount Token：在Token中包含节点信息的声明，并在使用Token时验证节点的存在，若节点被删除，则Token将会失效。

操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。

本节主要介绍集群弹性扩容。 操作场景 通过云容器引擎管理控制台，您可以根据实际业务需要对集群的工作节点进行扩容和缩容，当集群中出现由于资源不足而无法调度的工作负载时自动触发扩容，从而减少人力成本。 约束与限制 该功能仅支持通过按需计费方式购买的虚拟机节点，不支持“包年/包月”方式购买的节点和裸金属节点。 目前不支持集群中Master节点的扩容和缩容。 如果您有集群自动扩缩容的需求，请通过autoscaler插件实现，具体请参见插件管理>autoscaler。 v1.17及以上版本的集群将不再支持AOM提供的弹性伸缩机制，请使用节点池功能进行弹性伸缩，详情请参见节点池管理>节点池概述。 集群自动扩容 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待设置伸缩策略集群下的“更多 > 弹性扩容”。 步骤 2 在“扩容配置”页签，单击“编辑”，为集群的弹性扩容设置冷却时间、集群最大节点数和节点配置。 表扩容配置 参数 参数说明 冷却时间 扩容策略执行后停止继续匹配的时间，目的是等待扩容动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。取值范围为：60秒~3600秒，默认为900秒。由于节点创建时间需要210分钟，冷却时间小于900秒可能无法达到预期。 单次扩容节点数上限 扩容策略执行时，集群下最大节点数。例如集群最大节点数为x，取值范围：1≤x<集群节点配额。说明：集群节点配额受两处限制，一是集群的规模，即单集群的节点数量。二是帐户的节点配额。此处的集群节点配额数，取两处限制中配额较少的。 节点配置 如果扩容策略执行后需要扩容，则系统会创建节点。1. 单击“设置”，配置创建节点的各项参数。创建节点的参数配置请参见购买节点.docx

本文介绍硬件连接器的接口配置。 功能介绍 当硬件连接器连接网线，接通公网后，即可通过控制台进行接口配置，实现远程、集中配置下发。 操作说明 1. 登录边缘安全加速平台控制台，在首页产品能力选择零信任进入工作台。 2. 在左侧导航栏选择AOne零信任网络连接器管理。 3. 进入连接器实例页面，选择对应的硬件连接器，点击网络管理设置。 4. 在网络管理页面，通过顶部卡片切换，可进入接口配置页面。 接口配置 物理网卡 展示硬件连接器上报的物理网卡信息，包括状态、协商速率、MAC地址、接收报文字节/包数、发送报文字节/包数。 点击刷新按钮，将获取最新的物理网卡信息。 逻辑接口 展示硬件逻辑接口信息，包括接口角色、绑定的物理网卡、接口协议、接口IP地址、接口状态等。允许编辑接口。 说明 1、不同型号的系统初始化逻辑接口有差异。 2、仅P10004GWIFI和C40005G支持配置探测，其它硬件连接器暂不支持配置探测。 系统初始化逻辑接口说明 逻辑接口wan 逻辑接口wan6 逻辑接口wwan 逻辑接口wwan6 逻辑接口wwan4 逻辑接口lan E1000/P1000/C4000/U6000 默认绑定网卡eth0。 允许编辑网卡、协议、优先级。 默认绑定网卡eth0。 允许编辑网卡、协议。 不允许编辑优先级，联动wan优先级配置。 未被绑定物理网卡作为bridge绑定到lan口。 允许编辑网卡、协议。 P10004GWIFI 默认绑定网卡eth0。 允许编辑网卡、协议、优先级。 允许编辑探测配置。 默认绑定网卡eth0。 允许编辑网卡、协议。 不允许编辑优先级，联动wan优先级配置。 允许编辑探测配置。 作为蜂窝网络接口，需插入SIM卡后获取运营商分配的IPv4地址。 默认绑定usb0。 不允许编辑网卡、协议。 允许编辑优先级。 允许编辑探测配置。 作为蜂窝网络接口，需插入SIM卡后获取运营商分配的IPv6地址。 默认绑定usb0。 不允许编辑网卡、协议。 不允许编辑优先级，联动wwan优先级配置。 允许编辑探测配置。 未被绑定物理网卡作为bridge绑定到lan口。 允许编辑网卡、协议。 C40005G 默认绑定网卡eth0。 允许编辑网卡、协议、优先级。 允许编辑探测配置。 默认绑定网卡eth0。 允许编辑网卡、协议。 不允许编辑优先级，联动wan优先级配置。 允许编辑探测配置。 作为蜂窝网络接口，需插入SIM卡后获取运营商分配的IP地址。 IP协议与PDP协议配置有关，当选择IPv4或IPv4/IPv6，且能获取到运营商分配的IPv4地址时，系统将自动生成wwan4逻辑接口。 默认绑定调制解调器/dev/cdcwdm0。 不允许编辑网卡、协议。 允许编辑优先级。 允许编辑探测配置。 当wwan接口PDP协议配置选择IPv4或IPv4/IPv6，且能获取到运营商分配的IPv4地址时，系统将自动生成wwan4逻辑接口。 默认绑定调制解调器/dev/cdcwdm0。 不允许编辑网卡、协议。 不允许编辑优先级，联动wwan优先级配置。 允许编辑探测配置。 未被绑定物理网卡作为bridge绑定到lan口。 允许编辑网卡、协议。

本节介绍了 使用cubevolcano的用户指南。 插件简介 Volcano调度器是一个基于Kubernetes的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而Kubernetes当前缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。(目前Volcano项目已经在Github开源) Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 项目开源地址： 前置条件 安装cubevolcano插件 使用示例 修改调度器配置 查看调度配置，默认开启binpack插件 修改volcano调度器配置，增加binpack得分权重，减少其他调度插件的影响 调整日志级别，查看更详细的日志 创建验证负载任务并且指定使用volcano调度器 可查看负载的YAML，确认scheduleName已设置为volcano 从控制台查看调度器日志，得知各节点的得分 从日志中知道得分最高的节点，查看pod绑定节点，预期绑定的是最高得分的节点

操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证（帐号密码）才能访问，而CCE中容器拉取镜像是使用密钥认证方式，这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时，请确保工作负载运行的节点可访问公网。您可以通过负载均衡(LoadBalancer)方式访问公网。 通过界面操作 步骤 1 创建第三方镜像仓库的密钥。 单击左侧导航栏的“配置中心 > 密钥 Secret”，单击“添加密钥”，密钥类型必须选择为kubernetes.io/dockerconfigjson，如下图所示。详细操作请参见创建密钥。 此处的“用户名”和“密码”请填写第三方镜像仓库的帐号密码。 添加密钥 步骤 2 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，选择第三方镜像时，请执行如下操作。 1. 密钥认证：是。 2. 选择密钥：选择步骤1中创建的密钥。 3. 镜像地址：输入镜像地址。 步骤 3 单击“创建”。 使用kubectl创建第三方镜像仓库的密钥 步骤 1 请参见通过kubectl操作CCE集群配置kubectl命令。 步骤 2 登录已配置好kubectl命令的弹性云主机。 步骤 3 通过kubectl创建认证密钥 ，该密钥类型为dockercfg类型。 kubectl create secret dockerregistry myregistrykey dockerserverDOCKERREGISTRYSERVER dockerusernameDOCKERUSER dockerpasswordDOCKERPASSWORD dockeremailDOCKEREMAIL 其中，myregistrykey为密钥名称，其余参数如下所示。 DOCKERREGISTRYSERVER：第三方镜像仓库的地址，如“www.3rdregistry.com”或“10.10.10.10:443”。 DOCKERUSER：第三方镜像仓库的帐号。 DOCKERPASSWORD：第三方镜像仓库的密码。 DOCKEREMAIL：第三方镜像仓库的邮箱。 步骤 4 创建工作负载时使用第三方镜像，具体步骤请参见如下。 dockecfg类型的密钥作为私有镜像获取的认证方式，以Pod为例，创建的myregistrykey作为镜像的认证方式。 apiVersion: v1 kind: Pod metadata: name: foo namespace: default spec: containers: name: foo image: www.3rdregistry.com/janedoe/awesomeapp:v1 imagePullSecrets: name: myregistrykey

本文介绍如何查看计费详情数据，可以了解安全加速的套餐详情和资源包使用情况。 CDN部分计费按照1000进制从Byte换算到Gbps。 套餐详情管理 安全加速的计费方式、WAF防护的套餐与计费、抗D服务的套餐与计费。 图 计费详情 资源包管理 资源包购买成功后次日00:00时生效，自动抵扣所覆盖产品产生的数据，有效期为一年； 资源包购买后不支持退款，到期后未用完的资源将清零，不支持转移到其他资源包； 购买多个资源包时，当某个资源包用尽后默认自动开启下一个临近到期的相同类别的资源包； 当资源包用尽或者过期后，默认转为按需计费。 1.订购安全加速产品后，可支持订购安全加速的资源包，并根据所开功能对资源包进行抵扣。 使用条件： 1）计费方式为“流量“：开通安全加速和WAF防护的用户，可抵扣“安全加速流量包“、“防护请求数包”和”静态https请求数包“；开通安全加速和抗D服务的用户，可抵扣”安全加速流量包“和“静态https请求数包”。 2）计费方式为“日带宽“：开通安全加速和WAF防护的用户，可抵扣“防护请求数包”和“静态https请求数包”；开通安全加速和抗D服务的用户，可抵扣“静态https请求数包”；计费方式为“日带宽”不能抵扣流量包，需要变更计费方式为“流量”。 2.资源包可叠加购买，购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 3.资源包不支持退订，资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 4.资源包的有效期为自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 5.资源包中的”安全加速流量包“是供边缘节点上行和下行总流量使用；“日带宽”计费客户，如需使用“安全加速流量包”，需将计费方式变更为“流量”。可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 不支持退订：资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 图 资源包管理

本文介绍访问出现重定向次数过多的报错问题原因及解决方案。 问题现象 接入边缘安全加速平台—安全与加速读物后浏览器无法正常访问网页，并提示重定向的次数过多。 问题原因 原因1：源站开启了HTTP强制跳转HTTPS的功能，并在控制台上配置HTTP回源协议。在这种配置下，由于CDN的回源协议为HTTP，客户的请求协议无论是HTTP还是HTTPS时，CDN在回源时都会采用HTTP协议请求源站，此时由于源站的强制跳转配置，会返回响应让客户端重定向到HTTPS协议，而此时客户端再次发起HTTPS请求协议后，回源依然会是HTTP协议，进而再触发强制跳转，以此类推，最终造成重定向次数过多，出现报错。 原因2：源站响应的重定向页面被CDN缓存，从重定向的响应头中可以看到CDN命中缓存的HIT字段，导致客户端访问CDN时直接命中缓存，并且在重定向后访问的还是缓存的重定向页面，最终出现重定向次数过多的报错。 原因3：CC防护开关开启且客户端或者业务无法支持对应好的CC防护策略。可以查看302状态码的响应头是否携带SetCookie头并且值里面带有CT6T的字样，如果有则是该原因导致。 解决方案 针对原因1，有如下两种方案： 方案一：关闭源站的HTTP强制跳转HTTPS的功能，如果客户依然希望进行HTTP强制跳转HTTPS，可以通过CDN控制台开启HTTPS强制跳转功能。 方案二：修改CDN回源协议为HTTPS协议或跟随请求协议回源。修改为HTTPS协议回源后，CDN回源将以HTTPS协议请求源站，就不会触发源站的强制跳转功能；修改为跟随请求协议回源后，当触发源站强制跳转时，客户端也能正常重定向通过HTTPS协议访问CDN，并以HTTPS协议请求回源。 针对原因2，有如下两种方案： 方案一：CDN默认遵循源站缓存，如果是源站重定向时给出缓存头部导致CDN缓存重定向的页面，则需要源站修改缓存头部或CDN侧针对重定向页面配置强制不缓存，且配置后刷新URL缓存。 方案二：如果非源站缓存头部原因，而是在CDN侧配置的强制缓存规则导致CDN缓存，则需要修改对应缓存配置，针对重定向页面删除相关缓存配置或配置为强制不缓存，且配置后刷新URL缓存。 针对原因3，建议操作如下： 如果是误开cc防护开关，可以采用关闭cc防护开关的方式解决。 如果是单ip或者单客户端支持302但是不支持携带cookie头请求，可以将对应ip或客户端加白，详情请参考防护白名单。 如果是业务不支持携带cookie验证，可以将cc防护的验证模式改为url参数形式。 如果以上均无法解决，您可以联系我们 排查解决。

参数 说明 输入框 输入开发环机称关键字 搜索框 单击【🔍】搜索，根据输入的开发机关键字查询开发机并显示列表中。 名称 开发机名称，点击名称可查看开发机详情。 状态 开发机状态。包含的状态有： 待创建。 启动中。包括资源调度，拉取镜像，启动容器流程等流程。 运行中。在线IDE实例正常运行中，可以进行“打开”和“停止”。 停止。在线IDE实例处于不可用状态，可点击“启动”重新开启在线IDE。 运行失败。在线IDE因某种因素而启动不成功。 运行结束。在线IDE实例在自动停止时长到期后自动停止，并处于不可用状态，也不可启动。 如果是运行中，将放置在绿色小圆点上可以查看自动停止的剩余时长，未设置自动停止，将不会显示自动停止时长。 框架版本 开发机框架版本，显示开发机类型。 规格 计算资源规格。· 通用计算型。包括CPU（核），内存(GB)。· GPU加速型。包括CPU（核），内存(GB)，显卡数量（块）。 已运行时长 开发机已运行的时间，以分钟计算。 剩余运行时长 开发机剩余运行时间，以分钟计算。 类型 资源配置类型，如GPU加速型、通用计算型、NPU加速型。 操作列表 打开：打开开发机，将会跳转到一个新窗口，显示对应开发机的界面，用户可在新界面内进行代码开发和调试。该功能只有在开发机运行中状态下才能点击。 启动：启动开发机。该功能只有在开发机是暂停的状态下才能点击。点击“启动”后，开发机的状态将变成启动中。 停止：停止开发机。停止开发机将使开发机变成不可用的状态。 保存镜像：保存开发机机镜像。 变更规格：变更计算资源规格，可自由选择GPU加速型和通用计算型，再选择符合需求的计算资源即可。 变更镜像：变更开发机目前镜像。 删除：删除开发机。查询

参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。

前提条件 本功能仅适用于 Java 应用。 需要开通天翼云 MSE 微服务治理。 注意 CAE 应用使用 MSE 服务的微服务治理功能时，MSE 会产生单独的费用。 开启微服务治理功能 1. 在 CAE 控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表 页面，单击目标应用名称，进入应用基础信息页。 3. 在左侧导航栏中展开微服务治理。 4. 在微服务治理 区域，单击开启微服务治理。 注意 1. 微服务治理功能开启后，系统会自动向应用中的每个实例中注入一个内置的 Agent，此 Agent 大约占用0.2 Core和200MB的资源，请您提前做好资源规划。 2. 如果是应用运行过程中开启微服务治理，会引起应用容器重启，请您在业务低峰期时进行操作 配置无损上下线功能 配置无损上线 1. 开启无损上线功能 2. 配置小流量预热时长 和延迟注册 时长。 配置项 说明 小流量预热时长（秒） 流量预热机制是为了确保新节点加入时，初期分配给该节点的微服务调用流量维持在较低水平，并随着时间平缓增加。这样设计是为了缓解 Java 应用冷启动期间处理能力较弱的问题，防止系统整体响应时间（RT）显著上升。预热过程将在预设的时长结束后自动终止，之后该节点将正常承载全量流量。 延迟注册 注册的延迟时间可以将原本服务注册时间往后推迟指定时长。如果您的应用在启动后有耗时较长的异步资源加载过程，可以通过该参数调节新上线节点的服务注册行为，以推迟其收到调用请求的时机。 更多细节，请参见无损上线。

3.保存模型 在VSCode列表页面保存模型到模型管理。 三、服务部署 点击“部署我的模型”，填写表单创建服务。 服务名称：服务名称应小于50字符，不能包含空格。 镜像选择：系统内置镜像、从JupyterLab/VSCode中制作的自定义镜像、容器镜像服务共享过来的镜像。平台预置支持910B的通用推理服务镜像ascendcommoninfersvc 模型选择：开发机保存的模型，或其他方式保存的模型。 代码包选择：开发机保存的代码包，或其他方式保存的代码包。 环境变量：输入镜像的启动依赖的环境变量。 运行命令：输入镜像的启动运行命令。 端口号：在线服务进程监听的端口号。 资源部署信息：现在规格以及实例数 授权管理：选择已创建的授权或去新创建授权后再选择 服务部署好后，进入服务的详情页获取服务的APPKEY和modelId 调用OpenAPI验证 App Key需要放置在请求的Authrization请求头中: Authorization: Bearer APPKEY e.g. modelId需要添加在请求体中的model字段：model: modelId e.g. Postman请求示例 plaintext curllocation ' header 'Authorization: Bearer 4a56fe' header 'ContentType: application/json' data '{ "model":"b41b61", "maxtokens":1024, "topp":0.1, "topk":5, "stream":false, "temperature":0.8, "streamoptions": { "includeusage":true }, "messages": [ { "role":"user", "content":"ping" } ] }'

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

以应用为维度,进行可视化拓扑展示。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用拓扑」查看相应信息。 功能说明 拓扑图是一种以图形化方式展示应用之间关系的图表，帮助开发人员或运维人员了解应用程序的整体结构和运行状况。 信息 拓扑图通常包括以下信息： 应用或服务的组成部分：例如数据库、缓存、消息队列、Web 服务器等，当前版本支持的插件见下表，暂未支持的插件会显示为unknown。 类别 支持的服务 其他基础服务 JavaMethod 其他基础服务 Netty 数据库 Mysql 数据库 ClickHouse 数据库 EsRestClient 数据库 MongoDb 缓存 Redis 缓存 Jedis 缓存 Lettuce 消息 KafkaConsumer 消息 KafkaProducer 消息 RabbitMqConsumer 消息 RabbitMqProducer Web容器 Tomcat 外部调用 HttpClient 组件之间的依赖关系：例如一个组件调用另一个组件的接口等，包含各项基础指标 指标名 说明 客户端 显示当前链路的客户端名称。 服务端 显示当前链路的服务端名称。 请求总量 显示当前链路在筛选时间段内的请求次数。 吞吐量 显示当前链路在筛选时间段内平均每分钟的请求量。 平均响应时间 显示当前链路在筛选时间段内所有请求的平均响应时间。 错误数 显示当前链路在筛选时间段内请求错误次数。 错误率 显示当前链路在筛选时间段内请求错误率，即：错误数/请求总量。 通过分析拓扑图，开发/运维人员可以快速定位应用中的问题，并进行及时的排查和修复。拓扑图还可以帮助开发/运维人员进行容量规划和性能优化，以提高应用程序或服务的性能和可靠性。

本节介绍了如何创建云数据库TaurusDB实例的参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 注意 并非所有数据库引擎参数都可在用户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，可通过复制参数模板来实现，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您在实例的“参数修改”页面，修改参数并保存后，动态参数将立即生效，静态参数需要手动重启实例后生效。此操作仅应用于当前实例，不会对其他实例造成影响。 当您在“参数模板管理”页面，更改参数并保存数据库参数模板时，需执行应用后，才对数据库实例生效。动态参数将立即生效，静态参数需要手动重启实例后生效。 在数据库参数模板内设置参数不恰当可能会造成性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 每个用户最多可以创建100个参数模板。 TaurusDB引擎共享参数模板配额。

此小节介绍企业主机安全管理安全报告。 若需对已订阅的报告内容进行修改、取消或关闭订阅，该章节将指导您完成相关操作。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 编辑安全报告 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“编辑”按钮，对报告进行编辑。 编辑报告 6、对报告基本信息进行编辑，参数说明如表所示。 编辑报告基本信息 报告基本信息参数说明 参数名称 参数说明 取值样例 报告名称 默认的报告名称。 default monthly security report 报告类型 报告的统计周期类型名称，不可编辑。 安全月报 报告发送时间 报告自动发送时间。 报告接收方式 生成的安全报告接收方式。 消息中心：使用消息中心和其它安全服务共同使用“安全事件通知”的信息接收人。需登录控制台，在右上角信箱查看。 消息主题：为HSS单独创建的主题，设置告警通知接收人。可选择短信或邮件通知。 无需发送到邮箱：不发送报告至邮箱。 消息中心 7、确认信息无误，单击页面右下角“下一步”，编辑报告内容。 8、在左侧勾选或取消报告项，右侧可预览，确认无误，单击“保存”，报告修改成功。

可选步骤1：创建自定义资源EniCfg（可实现Namespace或Pod粒度子网和安全组配置） 通过创建EniCfg，可通过selector方式为某些Pod或某些Namespace下的Pod在新建时指定使用的子网和安全组。若无EniCfg，Pod将使用默认的子网和安全组。创建方式如下： 1. 登录容器服务管理控制台，在集群列表页面单击目标集群名称； 2. 在左侧导航栏，选择工作负载 > 自定义资源； 3. 在自定义资源页面，选择资源对象浏览器，API组选择network.ccse.ctyun.cn > v1 > ElasticNetworkInterfaceConfiguration，单击新增； 创建EniCfg的示例如下： plaintext apiVersion: network.ccse.ctyun.cn/v1 kind: ElasticNetworkInterfaceConfiguration metadata: name: elasticnetworkinterfaceconfigurationsample spec: type: binding idleTimeout: 600 cascadingDelete: false priority: selector: podSelector: matchLabels: foo: bar namespaceSelector: matchLabels: foo: bar subnets: ENI使用的子网列表 subnet1 subnet2 securityGroups: ENI使用的安全组列表 sg1 sg2 参数说明如下： 参数 说明 type 取值范围： binding：独占ENI策略，Pod删除后，ENI被释放 fixed：固定ENI（IP）策略，Pod删除后，ENI会保留一段时间，仅用于有状态集（StatefulSet） idleTimeout 空闲超时时间。当Pod删除后，对应ENI资源的保留时间，默认10h，当type为fixed时生效 cascadingDelete 是否级联删除。当Pod删除后，若对应有状态集已删除，是否级联删除对应ENI，默认为false，当type为fixed时生效 priority 优先级。若有多个EniCfg匹配同个Pod，值越小的EniCfg优先使用 selector 取值范围： podSelector：Pod选择器。用来匹配Pod的标签，匹配的Pod在创建时将使用该EniCfg，和namespaceSelector是“与”关系 namespaceSelector：Namespace选择器。用来匹配Namespace的标签，匹配的Namespace下，Pod创建时将使用该EniCfg，和podSelector是“与”关系 subnets 子网ID列表。用于配置Pod使用的子网，多个子网间是“或”的关系，此时Cubecni将选择一个符合条件的子网 securityGroups 安全组ID列表。可配置多个Pod ENI使用的安全组，最终生效的安全组数量小于等于5个 4. 点击创建EniCfg资源后，Cubecni会同步网络配置信息，当该自定义资源status为Ready后，才能对新建的Pod生效。 plaintext [root@test

可选步骤1：创建自定义资源EniCfg（可实现Namespace或Pod粒度子网和安全组配置） 通过创建EniCfg，可通过selector方式为某些Pod或某些Namespace下的Pod在新建时指定使用的子网和安全组。若无EniCfg，Pod将使用默认的子网和安全组。创建方式如下： 1. 登录容器服务管理控制台，在集群列表页面单击目标集群名称； 2. 在左侧导航栏，选择工作负载 > 自定义资源； 3. 在自定义资源页面，选择资源对象浏览器，API组选择network.ccse.ctyun.cn > v1 > ElasticNetworkInterfaceConfiguration，单击新增； 创建EniCfg的示例如下： plaintext apiVersion: network.ccse.ctyun.cn/v1 kind: ElasticNetworkInterfaceConfiguration metadata: name: elasticnetworkinterfaceconfigurationsample spec: type: binding idleTimeout: 600 cascadingDelete: false priority: selector: podSelector: matchLabels: foo: bar namespaceSelector: matchLabels: foo: bar subnets: ENI使用的子网列表 subnet1 subnet2 securityGroups: ENI使用的安全组列表 sg1 sg2 参数说明如下： 参数 说明 type 取值范围： binding：独占ENI策略，Pod删除后，ENI被释放 fixed：固定ENI（IP）策略，Pod删除后，ENI会保留一段时间，仅用于有状态集（StatefulSet） idleTimeout 空闲超时时间。当Pod删除后，对应ENI资源的保留时间，默认10h，当type为fixed时生效 cascadingDelete 是否级联删除。当Pod删除后，若对应有状态集已删除，是否级联删除对应ENI，默认为false，当type为fixed时生效 priority 优先级。若有多个EniCfg匹配同个Pod，值越小的EniCfg优先使用 selector 取值范围： podSelector：Pod选择器。用来匹配Pod的标签，匹配的Pod在创建时将使用该EniCfg，和namespaceSelector是“与”关系 namespaceSelector：Namespace选择器。用来匹配Namespace的标签，匹配的Namespace下，Pod创建时将使用该EniCfg，和podSelector是“与”关系 subnets 子网ID列表。用于配置Pod使用的子网，多个子网间是“或”的关系，此时Cubecni将选择一个符合条件的子网 securityGroups 安全组ID列表。可配置多个Pod ENI使用的安全组，最终生效的安全组数量小于等于5个 4. 点击创建EniCfg资源后，Cubecni会同步网络配置信息，当该自定义资源status为Ready后，才能对新建的Pod生效。 plaintext [root@test

本节介绍网络的用户指南: CoreDNS介绍。 CoreDNS是Kubernetes集群中负责DNS解析的组件，能够支持解析集群内部自定义服务域名和集群外部域名。CoreDNS具备丰富的插件集，在集群层面支持自建DNS、自定义hosts、CNAME、rewrite等需求。与Kubernetes一样，CoreDNS项目由 CNCF托管。 云容器引擎订购的集群使用CoreDNS负责集群的服务发现，可根据不同使用场景配置CoreDNS及使用CoreDNS提升集群DNS QPS性能。 默认配置 在命名空间kubesystem下，有一个名为coreDNS的配置项。CoreDNS会基于该配置项启用和配置插件。不同CoreDNS版本的配置项有略微差异，修改配置前请仔细阅读CoreDNS官方文档。 以下是一个1.6.2版本CoreDNS默认采用的配置文件： Corefile: .:53 { errors log health { lameduck 15s } ready kubernetes {{.ClusterDomain}} inaddr.arpa ip6.arpa { pods verified fallthrough inaddr.arpa ip6.arpa } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } 配置文件中ClusterDomain代指集群创建过程中填写的集群本地域名，默认值为cluster.local。配置项说明如下： 参数 描述 errors 错误信息到标准输出。 health CoreDNS自身健康状态报告，默认监听端口8080，一般用来做健康检查，可以通过 获取健康状态。 ready CoreDNS插件状态报告，默认监听端口8181，一般用来做可读性检查，可以通过 获取可读状态。当所有插件都运行后，ready状态为200。 kubernetes CoreDNS Kubernetes插件，提供集群内服务解析能力。 prometheus CoreDNS自身metrics数据接口，可以通过 获取prometheus格式的监控数据。 forward（或proxy） 将域名查询请求转到预定义的DNS服务器。默认配置中，当域名不在Kubernetes域时，将请求转发到预定义的解析器（/etc/resolv.conf）中。默认使用宿主机的/etc/resolv.conf配置。 cache DNS缓存。 loop 环路检测，如果检测到环路，则停止CoreDNS。 reload 允许自动重新加载已更改的Corefile。编辑ConfigMap配置后，请等待两分钟以使更改生效。 loadbalance 循环DNS负载均衡器，可以在答案中随机A、AAAA、MX记录的顺序。