步骤一：创建虚拟私有云和子网 在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量和IP网段划分等。 说明 IPv4/IPv6双栈网络的基本操作与之前的IPv4网络相同。只有部分页面的配置参数会略有差异，具体请以管理控制台显示为准。 如需了解IPv6收费策略、支持的ECS类型及支持的区域等信息，请参见IPv4/IPv6双栈网络。 请按如下操作，创建一个VPC“vpcipv6”和一个IPv6默认子网“subnetipv6”。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 选择“网络>虚拟私有云 VPC”。 4. 单击“创建虚拟私有云”。 5. 根据界面提示配置虚拟私有云和子网参数。 子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭。暂不支持自定义设置IPv6网段。 6. 单击“立即创建”。 步骤二：创建集群 1. 登录CCE控制台，创建一个CCE集群。 网络配置请按如下设置，其余配置可参考购买CCE集群： 网络模型：选择“容器隧道网络”。 虚拟私有云：选择已创建的“vpcipv6”。 控制节点子网：请务必选择已开启了IPv6的子网。 IPv6双栈：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 容器网段：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 2. 创建节点。 CCE控制台会过滤出支持IPv6的机型，可直接选择。 创建完成后，您可以进入集群，单击节点名称进入ECS详情页查看自动分配的IPv6地址。

云硬盘挂载至云主机后，需要初始化云硬盘才可以正常使用。本文帮助您了解如何初始化数据盘。 操作场景 一块新创建的数据盘在挂载至云主机后，还不能直接存储数据，您需要为这块数据盘创建分区、格式化等初始化操作后才可以正常使用。 系统盘会自动初始化，无须手动再操作。 数据盘无论是随云主机一起创建的，还是后续购买手动创建的，都需手动初始化。 注意 磁盘分区和格式化被视为高风险操作，因此在进行初始化操作时必须保持谨慎。此操作仅适用于一块全新的数据盘，而不适用于已写入数据的盘。如果您决定格式化已写入数据的盘，请务必为该盘创建一个快照，以确保数据不会丢失。 前提条件 数据盘已挂载至云主机，且未初始化。 操作方法 专属云内磁盘操作同公有云中一样，数据盘需要初始化之后才可使用。初始化方法参见初始化数据盘。

本节介绍云智助手的企业品牌设置功能。 功能说明 天翼AI云电脑——云智助手，提供支持企业品牌logo自定义设置功能，打造属于自己专属的AI应用中心，提升品牌辨识度。 使用说明 【操作步骤】 1.使用管理员身份的AI云电脑用户账号登录AI云电脑，打开“云智助手”，点击右上角个人头像，点击“设置”； 说明：如无管理员账号，请前往天翼AI云电脑（政企版）控制台进行绑定或创建管理员子账号，操作说明详见管理员账号。 2.在设置页面，点击“品牌设置”，选择需要设置的企业名称，并开启设置（关闭则恢复默认）； 3.提供支持“仅图片”和“图片和企业名称”两种自定义方式，按照图片格式和大小要求上传即可； 5.企业管理员设置成功后，普通用户打开“云智助手”，即可看到右上角AI应用中心的logo已更新为企业专属logo。

本文介绍基于NAT网关和云专线的混合云Internet加速的操作实践。 使用背景 用户通过专线已连接到天翼云VPC的IDC，自身无internet或希望统一线上线下公网出口，可以选择使用天翼云NAT网关作为统一公网出口，实现混合云Internet加速。 方案优势 节省成本：云上云下多台服务器，可以通过NAT网关功能共用同一弹性IP，可以有效降低成本。 配置简单，即开即用：NAT网关关联的弹性IP可以根据需求调整带宽大小，以适应应用流量变化的需求。 安全高效：云专线提供云上云下高速、低时延、稳定安全的专属连接通道，结合NAT网关的SNAT和DNAT功能，可满足各类用户带宽需求。 方案涉及产品 VPC，NAT网关，弹性IP，云专线 方案架构 本方案网络拓扑架构如图所示 实现方式如下： 1. 通过云专线将用户IDC与VPC连通。 2. 在VPC中搭建公网NAT网关，连通Internet。 操作步骤 步骤一：创建云上VPC环境 配置云专线需要做好云上VPC和本地数据中心的网段规划，确保云上VPC网段和本地IDC网段没有冲突或重叠。 具体操作步骤参见虚拟私有云创建VPC、子网搭建私有网络。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一资源池内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现对等连接创建、修改、删除以及路由策略配置等操作。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网，也不产生公网费用。

本文介绍了云搜索服务中目前支持的组件及其功能。 Elasticsearch Elasticsearch是一个分布式全文检索引擎，能够自动管理索引和查询在实例中的分布方式，‌操作实现简单。无论是结构化、非结构化的文本、数字数据还是地理空间数据，Elasticsearch都能支持快速搜索的方式高效地存储和构建索引。 高拓展、高实时的搜索与数据分析引擎。 生态完整，可叠合Logstash、Kibana作为集成解决方案收集存储分析呈现数据。 采用Rest API标准，可通过HTTP接口使用JSON格式进行操作数据。 Kibana Kibana是一个可用于集群开发、运维、数据检索与分析及数据可视化平台，可与Elasticsearch搜索引擎一起使用。通过Kibana可以搜索、查看存放在Elasticsearch索引中的数据，也可以实现以图表、地图等方式展示数据。 云搜索服务的Elasticsearch集群默认提供Kibana，无需安装部署，绑定弹性IP后即可一键访问Kibana。云搜索服务兼容了开源Kibana可视化展现和Elasticsearch统计分析能力。 支持包括甘特图在内的多种数据呈现方式 支持多种数据统计方式 支持时间、标签等各种维度分类 支持可视化索引管理功能 支持SQL化查询数据方式 支持多用户角色的权限管理 OpenSearch OpenSearch是一个基于Elasticsearch开源版研发的搜索和分析引擎，OpenSearch继承了Elasticsearch的许多特性，并且提供了一些额外的功能和改进，以支持更广泛的社区和用例。 OpenSearch相比Elasticsearch，在性能和功能上都有一定的提升。同时天翼云在此基础上升级了内核能力，对搜索引擎在分词、流量管控、存算分离等方面予以增强。

请联系专属客户经理或者拨打天翼云客服电话4008109889或者点击新建业务需求单进行下单。

策略名称 策略描述 分布式容器云平台CCE Oneadmin 分布式容器云平台CCE One默认管理员策略，拥有所有权限（适用于一类节点资源池） 分布式容器云平台CCE Oneuser 分布式容器云平台CCE One默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 分布式容器云平台CCE Oneviewer 分布式容器云平台CCE One默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池）

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5，5.6，5.7，8.0 PostgreSQL 10，11，12，13 Oracle 10g，11g，12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

本章介绍函数工作流的开发事件函数的示例。 概述 使用自定义镜像开发事件函数时，用户需要在镜像中实现一个http server，并监听8000端口接收请求。其中，请求路径/init 默认为函数初始化入口，请根据需要实现该接口。请求路径/invoke为函数执行入口，触发器事件转到该接口处理。 步骤一：准备环境 本章节所有操作均默认具有操作权限，请确保您登录的用户已有“FunctionGraph Administrator”权限，即FunctionGraph服务管理员权限。 步骤二：制作镜像 以在linux x86 64位系统上制作镜像为例。 1. 创建一个空文件夹 mkdir customcontainereventexample && cd customcontainerevnetexample 2. 以Nodejs语言为例，实现一个Http Server，处理函数初始化init请求和函数调用invoke请求并响应。 创建一个main.js文件，引入express框架，实现Method为POST和Path为/invoke的函数执行入口，实现Method为POST和Path为/init的函数初始化入口。 const express require('express'); const PORT 8000; const app express(); app.use(express.json()); app.post('/init', (req, res) > { console.log('receive', req.body); res.send('Hello initn'); }); app.post('/invoke', (req, res) > { console.log('receive', req.body); res.send('Hello invoken'); }); app.listen(PORT, () > { console.log(Listening on }); 3. 创建一个package.json文件，此文件用于向npm提供信息，使其能够识别项目以及处理项目的依赖关系。 { "name": "customcontainereventexample", "version": "1.0.0", "description": "An example of a custom container event function", "main": "main.js", "scripts": {}, "keywords": [], "author": "", "license": "ISC", "dependencies": { "express": "^4.17.1" } } name：值为项目名。 version：值为项目版本。 main：列举文件为库的主入口。 dependencies：列出npm上可用的项目的所有依赖项。 4. 创建Dockerfile文件 FROM node:12.10.0 ENV HOME/home/customcontainer GROUPID1003 GROUPNAMEcustomcontainer USERID1003 USERNAMEcustomcontainer RUN mkdir m 550 ${HOME} && groupadd g ${GROUPID} ${GROUPNAME} && useradd u ${USERID} g ${GROUPID} ${USERNAME} COPY chown${USERID}:${GROUPID} main.js ${HOME} COPY chown${USERID}:${GROUPID} package.json ${HOME} RUN cd ${HOME} && npm install RUN chown R ${USERID}:${GROUPID} ${HOME} RUN find ${HOME} type d xargs chmod 500 && find ${HOME} type f xargs chmod 500 USER ${USERNAME} WORKDIR ${HOME} EXPOSE 8000 ENTRYPOINT ["node", "main.js"] FROM：指定基础镜像为node:12.10.0，基础镜像必须设置，值可修改。 ENV：设置环境变量，设置HOME环境变量为/home/customcontainer，设置GROUPNAME和USERNAME为customcontainer，USERID和GROUPID为1003，这些环境变量必须设置，值可修改。 RUN：格式为RUN ，例如RUN mkdir m 550 {HOME}表示构建容器时创建{USERNAME}用户的home目录。 USER：切换${USERNAME}用户。 WORKDIR：切换工作目录到${USERNAME}用户的home目录下。 COPY：将main.js和package.json拷贝到容器的${USERNAME}用户的home目录下。 EXPOSE：暴露容器的8000端口，请勿修改。 ENTRYPOINT：使用node /home/tester/main.js命令启动容器。 说明 1. 可以使用任意基础镜像。 2. 在云上环境会默认使用uid 1003，gid 1003 启动容器。uid、gid可以在函数页面的设置 > 常规设置 >容器镜像覆盖板块中修改，但不可以是root或其他保留id。 5.构建镜像 指定镜像的名称为customcontainereventexample，版本为latest，“.”指定Dockerfile所在目录，镜像构建命令将该路径下所有的内容打包给容器引擎帮助构建镜像。 docker build t customcontainereventexample:latest .

本节主要介绍分布式消息服务Kafka的订购流程。 背景信息 Kafka实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占Kafka实例，可根据业务需要可定制相应规格的Kafka实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 前提条件 具备已通过实名认证的天翼云账号 操作步骤 1. 登录管理控制台。 2. 进入Kafka管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本 或者IntelliJ ，JDK 1.8.111以上版本。 说明 以下订购说明适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3资源池 计费模式：包周期和按需计费 引擎类型：云原生引擎和Kafka引擎。两者差别如下： 云原生引擎：大规模分区性能稳定性更高，扩容无需迁移数据。 Kafka引擎：完全兼容开源Kafka生态，占用更少IO带宽，可应对更高的性能峰值突刺。 部署方式：单可用区和多可用区部署。单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区 自动续期：支持自动续期，支持做选择自动续期时长 节点数：3、5、7、9 主机类型：通用型和计算增强型，不同类型主机规格价格不一样，具体区别见文档弹性云主机实例规格 实例规格：主机节点规格，通用型和计算增强型规格不一致，具体以页面为准。 说明 以下订购说明适用于芜湖2、上海7、重庆2、乌鲁木齐27、石家庄20、内蒙6、北京5 资源池 计费模式：包周期和按需计费 区域：开通实例所在资源池 类型：选择产品规格，包括高级版8核32G与基础版4核16G 节点数：固定3个节点 主机类型：支持通用型主机s2、s3和s6，具体区别见文档弹性云主机实例规格通用型

前言 资源配额是允许用户对购买的专属集群资源按照自身业务实际情况进行资源划分的一种资源分配方式，凸显“专款专用”的理念。比如，用户可以基于作业类型维度将专属集群的资源进行划分：希望将专属集群的部分资源专门交给训练任务使用，因此可以创建一份资源配额专门交给训练任务使用；还可以基于用户公司部门/团队维度进行划分：将专属集群的部分资源交给A部门/团队使用，此时可以创建一份资源配额专供A部门/团队使用；总之，资源配额是将专属集群资源进行划分的一种方式。资源配额的使用需要结合工作空间一起使用，需要将资源配额与对应工作空间进行关联，这样在工作空间里进行相关作业(如任务训练、推理、开发机)时，就可以使用划分给工作空间的资源配额的资源。工作空间是息壤训推智算服务平台的顶层逻辑概念，为企业和团队提供统一的计算资源管理及人员权限管理能力，可以将工作空间类比成“办公室”，“办公室”就是员工工作的地方，允许有权进入“办公室”的人员进行相关作业(如任务训练、推理、开发机)，在“办公室”内作业时可以使用资源配额的资源，即资源配额的使用需要在关联的工作空间进行作业时才能使用。 创建资源配额 前置条件 1. 已购买专属集群(专属资源) 2. 当前账号为IAM管理员 操作步骤 1. 进入训推智算服务平台后，将集群切换为购买的专属集群，然后在【管理中心】打开【资源配额】菜单，点击【新增资源配额】按钮，打开【新增资源配额】页面。 2. 在【新增资源配额】页面，依次填写【基础信息】【资源配额】【算力借用】【调度策略】【关联工作空间】等模块内容。其中最重要的是【资源配额】【算力借用】【调度策略】【关联工作空间】四个模块，其介绍如下： 2.1资源配额：指的是分配给配额的资源量，由所属集群、负载类型、实例规格、实例数四个字段组成。 1. 所属集群：即用户购买的专属集群，数据来源于用户在训推智算服务平台顶部所选的专属集群。 2. 支持任务类型：即当前资源配额给哪些任务类型使用，目前有两大任务类型，分别是：IDE、自定义训练，若只选择自定义训练，则该资源配额只允许自定义训练可以使用，IDE不可使用该资源配额的资源。 3. 实例规格：选择资源配额的实例规格，由专属集群自身机器资源细分而来，分为1、2、4、8卡四种粒度的资源规格，如集群的资源为英伟达H800资源，则实例规格由H8001卡、H8002卡、H8004卡、H8008卡四种规格可选。 4. 即所选资源规格的数量，如实例规格选择的是H8002卡，实例数选择2，则资源配额总资源为H8004卡。注：实例规格选择的是H8002卡，实例数选择2和实例规格选择的是H8004卡，实例数选择1，其总资源是一样的，都是4张H800的GPU卡，此处的资源只代表资源配额的资源总量，提供不同的实例规格是为了更精细的分配资源配额的资源。例：实例规格选择的是H8002卡，实例数选择2，并不代表任务在使用该配额时，只能选择资源规格为H8002卡的资源，而是可以在不超过资源配额总资源4张H800 GPU卡的情况下自由选择，比如可以创建一个任务直接使用资源配额的全部资源H8004卡，也可以创建4个任务资源使用量为H8001卡的任务。 2.2算力借用：可以设置配额的权重、是否可以借用同一专属集群下其他配额的闲置资源以及是否允许别的配额借用自身的闲置资源。由资源配额权重、闲时算力借用、独享配额资源三个字段组成： 1. 资源配额权重：允许填入1100的整数，数字越大代表资源配额的重要性越高，同一集群下的资源配额权重不可重复。 2. 闲时算力借用：默认关闭 ，开启则代表允许使用当前资源配额的任务在资源配额所剩资源不足时，可以去借用同一专属集群下其他资源配额的闲置资源，从而保证任务优先运行，被借用资源的资源配额，在借用资源的任务运行完成后，被借用的资源会自动归还。若存在多个资源配额，则优先去借用资源配额权重低的资源配额的闲置资源。若资源配额权重较高建议开启此设置，开启后使用此资源配额运行的任务，在当前资源配额资源不足时，将不会排队等待已运行的任务运行完毕后释放资源配额的资源，而去借用其他配额的闲置资源，保证任务可以优先运行。注：可借用的最大资源量专属集群总资源专属集群未分配的资源(未分配给资源配额的资源)当前资源配额的资源。 3. 独享资源配额：独享资源配额是设置自身配额资源不被其他配额借用的开关，开启后则不允许别的配额来借用，关闭则允许别的配额借用，若需要保证资源配额的资源随时可用，不被其他配额借用资源，则建议开启此开关。 2.3调度策略：指的是当提交给资源配额的任务由于配额资源不够时导致任务排队时，排队任务的排队逻辑，目前仅有一个先进先出策略，先进先出策略是指：按照任务提交时间升序进行排队(提交时间最早的排在前)，如果队列中的第一个任务无法出队(配额剩余资源>第一个排队任务所需资源时就会出队，任务将会调度成功)，系统将反复尝试对第一个任务进行出队操作，而不会跳过。 2.4关联工作空间：只有关联工作空间后，资源配额才可以在对应的工作空间内使用，由管理员、关联工作空间两个字段组成。 1. 管理员：可以添加指定用户为管理员，管理员除了能使用资源以外，还能管理该资源配额，具体包含管理用户，编辑，更配、启动/停止、删除操作。 2. 关联工作空间：将该资源配额分配给指定工作空间，在该工作空间内进行作业时，可以使用该资源配额。

前言 资源配额是允许用户对购买的专属集群资源按照自身业务实际情况进行资源划分的一种资源分配方式，凸显“专款专用”的理念。比如，用户可以基于作业类型维度将专属集群的资源进行划分：希望将专属集群的部分资源专门交给训练任务使用，因此可以创建一份资源配额专门交给训练任务使用；还可以基于用户公司部门/团队维度进行划分：将专属集群的部分资源交给A部门/团队使用，此时可以创建一份资源配额专供A部门/团队使用；总之，资源配额是将专属集群资源进行划分的一种方式。资源配额的使用需要结合工作空间一起使用，需要将资源配额与对应工作空间进行关联，这样在工作空间里进行相关作业(如任务训练、推理、开发机)时，就可以使用划分给工作空间的资源配额的资源。工作空间是息壤一站式智算服务平台的顶层逻辑概念，为企业和团队提供统一的计算资源管理及人员权限管理能力，可以将工作空间类比成“办公室”，“办公室”就是员工工作的地方，允许有权进入“办公室”的人员进行相关作业(如任务训练、推理、开发机)，在“办公室”内作业时可以使用资源配额的资源，即资源配额的使用需要在关联的工作空间进行作业时才能使用。 注:仅在杭州7资源池支持 创建资源配额 前置条件 1. 已购买专属集群(专属资源) 2. 当前账号为IAM管理员 操作步骤 1. 进入一站式智算平台后，将集群切换为购买的专属集群，然后在【管理中心】打开【资源配额】菜单，点击【新增资源配额】按钮，打开【新增资源配额】页面。 2. 在【新增资源配额】页面，依次填写【基础信息】【资源配额】【算力借用】【调度策略】【关联工作空间】等模块内容。其中最重要的是【资源配额】【算力借用】【调度策略】【关联工作空间】四个模块，其介绍如下： 2.1资源配额：指的是分配给配额的资源量，由所属集群、负载类型、实例规格、实例数四个字段组成。 1. 所属集群：即用户购买的专属集群，数据来源于用户在一站式智算平台顶部所选的专属集群。 2. 负载类型：即当前资源配额给哪些任务类型使用，目前有两大任务类型，分别是：IDE、自定义训练，若只选择自定义训练，则该资源配额只允许自定义训练可以使用，IDE不可使用该资源配额的资源。 3. 实例规格：选择资源配额的实例规格，由专属集群自身机器资源细分而来，分为1、2、4、8卡四种粒度的资源规格，如集群的资源为英伟达H800资源，则实例规格由H8001卡、H8002卡、H8004卡、H8008卡四种规格可选。 4. 即所选资源规格的数量，如实例规格选择的是H8002卡，实例数选择2，则资源配额总资源为H8004卡。注：实例规格选择的是H8002卡，实例数选择2和实例规格选择的是H8004卡，实例数选择1，其总资源是一样的，都是4张H800的GPU卡，此处的资源只代表资源配额的资源总量，提供不同的实例规格是为了更精细的分配资源配额的资源。例：实例规格选择的是H8002卡，实例数选择2，并不代表任务在使用该配额时，只能选择资源规格为H8002卡的资源，而是可以在不超过资源配额总资源4张H800 GPU卡的情况下自由选择，比如可以创建一个任务直接使用资源配额的全部资源H8004卡，也可以创建4个任务资源使用量为H8001卡的任务。 2.2算力借用：可以设置配额的权重、是否可以借用同一专属集群下其他配额的闲置资源以及是否允许别的配额借用自身的闲置资源。由资源配额权重、闲时算力借用、独享配额资源三个字段组成： 1. 资源配额权重：允许填入1100的整数，数字越大代表资源配额的重要性越高，同一集群下的资源配额权重不可重复。 2. 闲时算力借用：默认关闭 ，开启则代表允许使用当前资源配额的任务在资源配额所剩资源不足时，可以去借用同一专属集群下其他资源配额的闲置资源，从而保证任务优先运行，被借用资源的资源配额，在借用资源的任务运行完成后，被借用的资源会自动归还。若存在多个资源配额，则优先去借用资源配额权重低的资源配额的闲置资源。若资源配额权重较高建议开启此设置，开启后使用此资源配额运行的任务，在当前资源配额资源不足时，将不会排队等待已运行的任务运行完毕后释放资源配额的资源，而去借用其他配额的闲置资源，保证任务可以优先运行。注：可借用的最大资源量专属集群总资源专属集群未分配的资源(未分配给资源配额的资源)当前资源配额的资源。 3. 独享资源配额：独享资源配额是设置自身配额资源不被其他配额借用的开关，开启后则不允许别的配额来借用，关闭则允许别的配额借用，若需要保证资源配额的资源随时可用，不被其他配额借用资源，则建议开启此开关。 2.3调度策略：指的是当提交给资源配额的任务由于配额资源不够时导致任务排队时，排队任务的排队逻辑，目前仅有一个先进先出策略，先进先出策略是指：按照任务提交时间升序进行排队(提交时间最早的排在前)，如果队列中的第一个任务无法出队(配额剩余资源>第一个排队任务所需资源时就会出队，任务将会调度成功)，系统将反复尝试对第一个任务进行出队操作，而不会跳过。 2.4关联工作空间：只有关联工作空间后，资源配额才可以在对应的工作空间内使用，由管理员、关联工作空间两个字段组成。 1. 管理员：可以添加指定用户为管理员，管理员除了能使用资源以外，还能管理该资源配额，具体包含管理用户，编辑，更配、启动/停止、删除操作。 2. 关联工作空间：将该资源配额分配给指定工作空间，在该工作空间内进行作业时，可以使用该资源配额。

本节介绍了容器镜像服务:通过内网域名跨地域或从IDC环境访问容器镜像服务。 操作场景 当您需要跨地域或从IDC环境通过内网域名访问容器镜像服务时，可按以下步骤操作。 操作步骤 1.参考 内网访问 创建容器镜像服务的VPCE和对象存储的VPCE（容器镜像文件存储再对象存储，拉取镜像需要访问对象存储） 示例说明（域名和IP仅用来说明，请以实际为准）： 在华东1的VPC中为容器镜像服务创建VPCE，内网域名testregistryhuadong1.crsinternal.ctyun.cn解析至VPCE IP 192.168.0.11 为对象存储创建VPCE，内网域名huadong1internal.zos.ctyun.cn解析至VPCE IP 192.168.0.21 2.使用云间高速或云专线等产品打通网络，确保源资源池或者IDC环境能访问目标资源池的容器镜像服务 VPCE IP和对象存储的VPCE IP。注意：拉取镜像和访问对象存储都是使用域名，需要确保在访问侧可以解析容器镜像和对象存储的内网域名。 通过专线/VPN打通与华东1 VPC的网络 配置本地DNS，将容器镜像服务内网域名指向192.168.0.11，对象存储内网域名指向192.168.0.21 3.验证与使用 执行nslookup testregistryhuadong1.crsinternal.ctyun.cn确认域名解析正确 在Docker配置中指定内网镜像地址即可正常拉取镜像

序号 类型 天翼云计费方式 1 SFS容量型 按需、资源包 2 SFS Turbo标准型 按需、包周期 3 SFS Turbo标准型增强版 按需 4 SFS Turbo性能型 按需、包周期 5 SFS Turbo性能型增强版 按需 6 SFS Turbo标准型专属 按需 7 SFS Turbo性能型专属 按需

本章节介绍专属云分布式缓存服务Redis版的产品价格。 产品介绍 打造的分布式keyValue 数据库服务，兼容Redis 协议，主要用于持久化数据的存储或缓存数据的存储；DCS 提供单机、主备、集群多种实例类型，支持自动容灾切换、在线扩容、数据备份、实例监控等数据库服务。资费标准包括单机实例、主备实例和集群实例。 收费标准 表 Redis 实例类型 格(GB) 标准资费（元/小时） ::: 单机 2 0.08 单机 4 0.174 单机 8 0.36 单机 16 0.744 单机 32 1.52 单机 64 3.104 主备 2 0.141 主备 4 0.29 主备 8 0.572 主备 16 1.152 主备 32 2.32 主备 64 4.736 集群 64 13.54 集群 128 27.08 集群 256 54.38 集群 512 —— 集群 1024 ——

本节介绍天翼云注册集群。 CCE One 支持关联 CCE 专有版、托管版、智算版和Serverless版等天翼云容器集群，实现分布式容器集群统一管理。 前提条件 已创建状态处于运行中待关联的 CCE 专有版、托管版、智算版、SCE等天翼云集群。 操作步骤 1. 登录 分布式容器管理控制台，在左侧导航栏选择集群资源>注册集群。 2. 在页面左侧顶部，选择资源池。 3. 在注册集群指引页面，单击天翼云集群选项卡中的注册集群。 4. 在注册集群订购页面，按照页面指引完成集群配置。 配置项 说明 舰队 关联天翼云集群完成后自动将集群加入指定舰队。关联时可不指定，关联集群后可手动加入舰队。 注册集群 选择待关联的天翼云集群，集群状态必须为运行中。 支持跨资源池关联天翼云集群，包括CCE One尚未开通的资源池。注意跨资源池关联的天翼云集群资源池归属与原天翼云集群资源池一致。 企业项目 集群归属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 5. 配置完成后，单击下一步，进入集群确认页面，确认以下信息： 确认集群配置是否正确 确认依赖检查项是否通过 创建集群前，需阅读《天翼云分布式容器云平台服务协议》《天翼云分布式容器云平台服务等级协议》。 6. 配置完成后，单击提交订单。等待集群关联成功。

参数名 参数描述 名称 弹性资源池添加的队列名称。 类型 SQL队列：用于运行SQL作业。 通用队列：用于运行Spark作业 、Flink作业。 执行引擎 如果队列类型选择为“SQL队列”，则可以选择队列引擎是：spark或者trino 企业项目 选择队列的企业项目。弹性资源池支持添加不同企业项目的队列资源。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明 只有开通了企业管理服务的用户才显示该参数。 描述 弹性资源池添加队列的描述信息。

本章节介绍微服务引擎MSE的定义 产品定义 微服务引擎 MSE 面向业界主流开源微服务项目，提供注册配置中心、云原生网关、微服务治理能力，助力企业搭建微服务平台，实现微服务应用的快速开发和高可用运维。 MSE产品包含以下子产品：注册配置中心、微服务治理中心、云原生网关。您在构建自己的微服务体系时，既可单独使用某个子产品，也可搭配使用以便获得微服务生态的最佳实践。 子产品 描述 注册配置中心 面向业界主流开源微服务项目，致力于帮助用户发现、配置和管理微服务，实现动态服务发现、服务配置、服务元数据及流量管理等功能。 云原生网关 将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 微服务治理中心 兼容SpringCloud、Dubbo等开源微服务框架，支持无侵入的接入应用，提供标签路由、灰度发布、无损上下线、服务降级、服务鉴权等服务治理的能力。 产品优势 开源增强 100% 兼容Spring Cloud、Dubbo微服务开源项目，无缝对接K8s，无厂商绑定，并在稳定性、性能、可运维性上提供更强的能力。 低成本 节省自建微服务引擎的人力成本，集成流量网关和微服务网关功能，降低50%资源开销，缩短请求时间，降低运维复杂度。

本节介绍数据加密服务的计费类问题。 数据加密服务如何收费和计费？ 详细的服务资费和标准，请参见计费说明。 密钥管理：密钥管理实行按需计费，没有最低费用。用户创建密钥后，密钥会按小时计费。用户需要为自己创建的所有用户主密钥，以及超出免费次数的API请求支付费用。 专属加密：专属加密根据您购买的专属加密实例版本和设备型号进行包年/包月收费。 如何为数据加密服务续费？ 详细的续订规则，请参加续订规则。 自动续费：如果在购买专属加密实例时，您已勾选并同意“自动续费”，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费。自动续订规则见自动续订。 手动续费：服务到期前，系统会以短信或邮件的形式提醒您服务即将到期，并提醒您续费。手动续订规则见手动续订。 数据加密服务是否支持退订？ 数据加密服务不支持退订。若您需要停止按需资源计费，将按需资源删除即可，删除操作详见删除密钥。

本文主要 介绍 CCE发布Kubernetes 1.17版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.17版本所做的变更说明。 资源变更与弃用 apps/v1beta1和apps/v1beta2下所有资源不再提供服务，使用apps/v1替代。 extensions/v1beta1下daemonsets、deployments、replicasets不再提供服务，使用apps/v1替代。 extensions/v1beta1下networkpolicies不再提供服务，使用networking.k8s.io/v1替代。 extensions/v1beta1下podsecuritypolicies不再提供服务，使用policy/v1beta1替代。 extensions/v1beta1 ingress v1.20版本不再提供服务，当前可使用networking.k8s.io/v1beta1。 scheduling.k8s.io/v1beta1 and scheduling.k8s.io/v1alpha1下的PriorityClass计划在1.17不再提供服务，迁移至scheduling.k8s.io/v1。 events.k8s.io/v1beta1中event series.state字段已废弃，将在1.18版本中移除。 apiextensions.k8s.io/v1beta1下CustomResourceDefinition已废弃，将再1.19不在提供服务，使用apiextensions.k8s.io/v1。 admissionregistration.k8s.io/v1beta1 MutatingWebhookConfiguration和ValidatingWebhookConfiguration已废弃，将在1.19不在提供服务，使用admissionregistration.k8s.io/v1替换。 rbac.authorization.k8s.io/v1alpha1 and rbac.authorization.k8s.io/v1beta1被废弃，使用rbac.authorization.k8s.io/v1替代，v1.20会正式停止服务。 storage.k8s.io/v1beta1 CSINode object废弃并会在未来版本中移除。 其他废弃和移除 移除OutOfDisk node condition，改为使用DiskPressure。 scheduler.alpha.kubernetes.io/criticalpod annotation已被移除，如需要改为设置priorityClassName。 beta.kubernetes.io/os和beta.kubernetes.io/arch在1.14版本中已经废弃，计划在1.18版本中移除。 禁止通过nodelabels设置kubernetes.io和k8s.io为前缀的标签，老版本中kubernetes.io/availablezone该label在1.17中移除，整改为failuredomain.beta.kubernetes.io/zone获取AZ信息。 beta.kubernetes.io/instancetype被废弃，使用node.kubernetes.io/instancetype替代。 移除{kubeletrootdir}/plugins路径。 移除内置集群角色system:csiexternalprovisioner和system:csiexternalattacher。

操作步骤 集群创建完成后，您可以在集群中创建节点。 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理”，单击要创建节点的集群进入集群控制台。 步骤 2 在集群控制台左侧导航栏中选择“节点管理”，单击右侧“创建节点”，在节点配置步骤中参照如下表格设置节点参数。 计算配置 ： 配置节点云主机的规格与操作系统，为节点上的容器应用提供基本运行环境。 表 计算配置参数 参数 参数说明 计费模式 支持如下两种计费方式。 包年包月 包年包月需要选择购买时长。 按需计费 可用区 节点云主机所在的可用区，集群下节点创建在不同可用区下可以提高可靠性。 创建后不可修改。建议您选择“随机分配”，可根据选择的节点规格随机分配一个可以使用的可用区。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您将云主机创建在不同的可用区。 节点类型 CCE集群支持弹性云主机虚拟机和物理机。 操作系统 选择操作系统类型，不同类型节点支持的操作系统有所不同。 公共镜像：请选择节点对应的操作系统。 节点名称 节点云主机使用的名称，批量创建时将作为云主机名称的前缀。系统会默认生成名称，支持修改。节点名称以小写字母开头，支持小写字母、数字和中划线()，不能以中划线()结尾。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 存储配置 ： 配置节点云主机上的存储资源，方便节点上的容器软件与容器应用使用。请根据实际场景设置磁盘大小。 表 存储配置参数 参数 参数说明 系统盘 节点云主机使用的系统盘，供操作系统使用。 您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为50GB。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 默认不加密。 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 数据盘 节点云主机使用的数据盘，供容器运行时和Kubelet组件使用。br您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可进行如下设置： 自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见数据盘空间分配说明。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。目前仅在部分Region显示此选项，具体以界面为准。 − 默认不加密。 − 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。添加多个数据盘 最多可以添加4个，默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，选择如下配置。 默认：默认情况直接创建为裸盘，不做任何处理。 挂载到指定目录：将数据盘挂载到指定目录。 作为持久存储卷：适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/localstoragepersistent标签，取值为linear或striped。 作为临时存储卷：适用于对EmptyDir有性能要求的场景。说明持久存储卷和临时存储卷仅在集群版本 > v1.21.2r0 时支持创建，且临时存储卷需要Everest插件版本>1.2.29，持久存储卷需要Everest插件版本>1.2.31。持久存储卷和临时存储卷支持如下两种写入模式。 线性（linear）：线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷，实际写入数据时会先往一个基本物理卷上写入，当存储空间占满时再往另一个基本物理卷写入。 条带化（striped）：创建逻辑卷时指定条带化，当实际写入数据时会将连续数据分成大小相同的块，然后依次存储在多个物理卷上，实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 本地盘说明 节点规格为“磁盘增强型”或“超高I/O型”时，有一块数据盘可以是本地盘。本地磁盘实例有宕机风险，不保证数据可靠性，建议您使用云硬盘存储您的业务数据。 网络配置 ： 配置节点云主机的网络资源，用于访问节点和容器应用。 表 网络配置参数 参数 参数说明 节点子网 节点子网默认使用创建集群时的子网配置，也可以选择其他子网。 节点IP 支持指定节点IP地址。默认随机分配。 高级配置 ： 节点能力增强，可在此配置节点的标签、污点、启动命令等功能。 表 高级配置参数 参数 参数说明 K8S标签 单击“添加标签”可以设置附加到Kubernetes 对象（比如Pods）上的键值对，最多可以添加10条标签使用该标签可区分不同节点，可结合工作负载的亲和能力实现容器Pod调度到指定节点的功能。详细请参见Labels and Selectors。 资源标签 通过为资源添加标签，可以对资源进行自定义标记，实现资源的分类。CCE服务会自动帮您创建CCEDynamicProvisioningNode节点id的标签。 污点(Taints) 默认为空。支持给节点加Taints来设置反亲和性，每个节点最多配置10条Taints，每条Taints包含以下3个参数： Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。 Taints的使用请参见管理节点污点（taint）。 说明 对于1.19及以下版本集群，有可能会出现污点打上之前负载已经调度到节点上，如果需要避免这种情况，请选择1.19及以上集群。 最大实例数 节点最大可以正常运行的实例数(Pod)，该数量包含系统默认实例，取值范围为16~256。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点最多能创建多少个Pod还受其他因素影响，具体请参见节点最多可以创建多少个Pod。 云主机组 云主机组是对云主机的一种逻辑划分，同一云主机组中的云主机遵从同一策略。 反亲和性策略：同一云主机组中的云主机分散地创建在不同主机上，提高业务的可靠性。 选择已创建的云服务器组，或单击“新建云服务器组”创建，创建完成后单击刷新按钮。 安装前执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。 安装后执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。 委托 委托是由租户管理员在统一身份认证服务上创建的。通过委托，可以将云主机资源共享给其他帐号，或委托更专业的人或团队来代为管理。 如果没有委托请单击右侧“新建委托”创建。 步骤 3 单击“下一步：规格确认”，确认所设置的服务选型参数、规格和费用等信息，且确认已阅读并知晓服务协议。 步骤 4 确认规格和费用后，单击“提交”，节点开始创建。 若选择购买“包年包月”的节点，请单击“去支付”，根据界面提示进行付款操作。 系统将自动跳转到节点列表页面，待节点状态为“运行中”，表示节点添加成功。添加节点预计需要610分钟左右，请耐心等待。 步骤 5 单击“返回节点列表”，待状态为运行中，表示节点创建成功。

本文为您介绍开启Web核心防护能后，如何配置防护规则引擎。 Web核心防护提供最新的OWASP TOP10威胁防御，包含但不限于SQL注入攻击，XSS跨站攻击、跨站请求伪造攻击、参数污染、命令执行、服务端代码注入、信息泄露、预测资源位置、缓存溢出、Cookie投毒、XML注入、远程文件包含、XPath注入、路径遍历、认证攻击、LDAP注入、逃避检测攻击、目录遍历、HTTP响应拆分、XML解析漏洞、恶意文件上传、远程命令执行、文件包含、多层编译攻击、动态应用混淆、恶意扫描爬虫、网站挂马、后门上传等黑客攻击。支持防护针对Web应用框架和组件漏洞发起的攻击，深度发现经过混淆、变形的恶意隐藏的Web请求，在造成破坏之前预防、阻断，提供设备指纹识别，识别隐藏攻击。 支持防逃逸，自动还原常见编码，解码常见编码类型包含URL编码、JavaScriptUnicode编码、HEX编码、HTML实体编码、Java序列化编码、PHP序列化编码、Base64编码、UTF7编码、UTF8编码、混合嵌套编码、ASCII编码、IIS反斜杠编码等。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 背景信息 云WAF的Web全局防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web核心防护规则引擎的检测和防护。 Web核心防护则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见全局Web核心防护。

功能概述 用户数据漫游（UPM），全称：User Profile Management，用户配置文件管理，指用户登录到计算机时系统所需要加载的工作环境设置与文件的集合。 启用用户数据漫游后，用户在池化桌面场景中，或者重启还原AI云电脑时，用户配置文件作为用户的私人数据，可以保持不丢失，保持一致的用户体验。包括IE、Chrome等应用程序的个性化配置数据。 功能优势 （1）在池化桌面中，用户登录到任何一台AI云电脑都是随机的，对用户配置文件进行配置管理后，即可获得一致性的使用体验。 （2）用户在重装还原AI云电脑时，通过对用户配置文件控制管理，有助于保护用户数据免受用户本人不当操作的影响，更便捷可靠的访问自己的专属数据。 使用场景 （1）对于随机分配的池化桌面，用户退出后，该桌面可能被其他用户占用，用户只能使用其他桌面，此时用户配置文件没有同步，如使用数据漫游，用户在访问其他桌面时，使用同一份配置文件，可保持一致的使用体验。 （2）专属AI云电脑重装还原之后，用户系统配置文件不会被重置。 （3）管理员强制下发配置文件，包括环境变量、执行脚本、注册表、文件、文件夹用户桌面使用管理员下发的配置文件。

本节介绍节点池管理用户指南。 前提条件 创建分布式容器云平台的注册集群，并将自建Kubernetes集群以内网方式接入注册集群。 自建Kubernetes集群的网络与云上注册集群使用的VPC网络互通。 集群容器网络互通，搭建混合云网络，云上容器网络与云下容器网络互通。 创建节点池 创建流程 需要根据用户的环境和上图的判断条件，最终确定使用提前预装软件包的自定义OS镜像，或是根据实例脚本构建节点部署脚本，完成节点池创建。 部署脚本构建 步骤一：创建节点部署脚本 1. 获取集群信息。 shell 获取k8s集群版本号，后续设置到示例脚本环境变量KUBEVERSION中 kubectl get no $(kubectl get nodes l noderole.kubernetes.io/controlplane o json jq r '.items[0].metadata.name') o json jq r '.status.nodeInfo.kubeletVersion' 输出示例 v1.31.6 获取运行时及版本号，后续设置到示例脚本环境变量RUNTIMEVERSION中 kubectl get no $(kubectl get nodes l noderole.kubernetes.io/controlplane o json jq r '.items[0].metadata.name') o json jq r '.status.nodeInfo.containerRuntimeVersion' 输出示例 containerd://1.6.28 获取kubeadm添加节点命令。需要设置为永不过期，避免节点池弹性伸缩失效。添加到部署脚本环境变量KUBEADMJOINCMD kubeadm token create ttl 0 printjoincommand

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

如果您希望将当前应用的配置完全复制到其他命名空间，您可以在应用引擎控制台使用应用复制功能。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用操作列的复制按钮，跳转至复制应用页面。 3. 复制应用页面，您可以按需修改命名空间以及配置信息，并按照界面提示创建当前应用。

本节介绍订购集群联邦。 订购联邦 订购步骤 1. 在CCEONE控制台右上方侧点击“创建联邦”按钮。 2. 在“订购创建联邦”页面，选择计费模式、联邦名称、容器舰队、企业项目、虚拟私有云、所在子网、安全组、ApiServer访问、是否使用EIP暴露ApiServer、删除保护等参数，选择好了后点击"下一步"。 3. 在“开通配置”页面确认创建配置符合要求后，勾选同意“服务协议”，勾选好了后点击“提交订单”。 4. 返回CCEONE控制台，查看开通状态，待实例处于“运行”状态后开通成功，可点击实例进入控制台操作联邦实例。 约束条件 项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

本小节介绍产品优势与特性产品优势与特性。 产品优势 依托云网资源优势，结合三网线路，打造“运营商级自主专利”的高防平台，电信防护无上限，四层七层全覆盖，并叠加DNS、国际加速、等保密评等竞品，支持IaaS+SaaS多元交付，可融合可定制，为各行业客户网络安全保驾护航。 针对DDoS高防的部署环境的灵活性：DDoS高防的使用无需客户业务支撑主机为天翼云，任何厂商的主机均可以使用天翼云DDoS高防IP产品，客户只要有公网域名或公网IP地址均可以使用。 功能特性 全网防护：三网覆盖、DDoS防护、流量牵引、分析溯源 专属定制：Flowspec定制、API专属、IDC定制、OTN专属 功能扩展：DNS防护、国际加速、等保密评、其他扩展 运维巡检：集约监控、智慧巡检、自助门户、威胁情报

本节介绍云等保专区产品的最佳实践之主机勒索病毒有效防护。 勒索病毒因其具备快速横向传播、变种迅速、对文件加密等特点因此导致用户难以对其进行有效防护，天翼云云等保专区主机安全提供内核级多维度防御引擎，及时发现并阻断勒索病毒，准确高效地实时保护用户关键数据。 1. 在导航栏选择“高级威胁 > 勒索防御”，进入勒索防御页面。 2. 选择需要设置的引擎类型，点击引擎右侧区域的“去设置”。 勒索诱饵防护引擎：针对勒索病毒遍历文件实施加密的特点，在终端关键目录下放置诱饵文件，当有勒索病毒尝试加密诱饵文件时及时中止进程，阻止勒索病毒的进一步加密和扩散。 勒索行为防护引擎：通过分析常见的勒索软件样本，总结了样本具有的共性特征形成了引擎行为库，系统API级别分析，有效抵御未知勒索病毒。 文件保险柜：添加访问控制策略，对重要文件进行访问权限控制，仅允许配置的例外进程操作，避免被勒索病毒破坏。 3. 进入系统防护页面，选择“勒索防御”，开启“勒索诱饵防护引擎”。 4. 点击“文件保险柜”按钮，弹出文件保险柜对话框，点击“添加一行”，输入保护项 、例外程序后点击“保存”，再点击“确定”，即可添加文件保险柜，针对重要文件进行保护。

性能 单核的能力如下： 极简模式日志最大处理能力为100 MB/s。 正则默认最大处理能力为20 MB/s（与正则表达式的复杂度有关）。 分隔符日志最大处理能力为40 MB/s。 JSON日志最大处理能力为30 MB/s。 可调整启动和资源限制参数来提升性能。 推荐参数值 主机环境 参数 默认的采集速率 采集速率大于5 MB/s 采集速率大于10 MB/s 采集速率大于20 MB/s 采集速率大于40 MB/s cpuusagelimit 0.4 1 2 2 4 memusagelimit 384 1024 1024 2048 4096 processthreadcount 1 2 2 4 8 sendrequestconcurrency 4 4 20 40 80 资源限额参数需要修改 /etc/systemd/system/lmtagent.service 中如下部分： plaintext MemoryMax384M MemoryAccountingyes MemoryLimit384M MemoryHigh384M CPUQuota50% 启动参数需要修改 /app/cams/lmtagent/config.json 中如下部分： plaintext "processthreadcount": 4, "sendrequestconcurrency": 4, 最后通过如下命令重启采集器生效 plaintext sudo systemctl daemonreload && sudo systemctl restart lmtagent 容器或Kubernetes环境 环境变量 默认的采集速率 采集速率大于5 MB/s 采集速率大于10 MB/s 采集速率大于20 MB/s 采集速率大于40 MB/s cpuusagelimit 1 2 3 4 10 memusagelimit 1024 2048 2048 4096 4096 processthreadcount 2 2 2 4 8 sendrequestconcurrency 4 4 20 40 80 resources.limits.cpu 1000M 2000M 3000M 4000M 10000M resources.limits.memory 1 Gi 2 Gi 2 Gi 4 Gi 4 Gi 需要到云容器引擎CCE控制台插件插件实例 选择 ctglogoperator 选择更新，修改如下配置： plaintext procesThreadCount: 2 resources: limit: cpu: "1000m" memory: "1000Mi" request: cpu: "10m" memory: "200Mi" selfMonitor: cpuUsageLimit: 10 memUsageLimit: 1024 sendRequestConcurrency: 4 其中 resources.limit 为Kubernetes 资源限制，selfMonitor 为采集器内部资源监控，默认配置中两处基本一致； 如果希望优先使用Kubernetes 资源限制，可以把selfMonitor调整比resources.limit大 如果希望优先使用采集器内部资源管控，可以把selfMonitor调整比resources.limit小 注意 resources.limit.memory 超限会触发Kubernetes资源管控导致lmtagent强制重启，此时数据可能会丢失或重复； 占用相关资源超过selfMonitor最大限制的时间5分钟，则lmtagent会强制重启，此时数据可能会丢失或重复。 如果下发的采集配置多或者采集目标文件非常多，请调高内存上限，使其高于上面表格中的推荐值。 如果下发的采集配置中有很多JSON或者正则解析处理插件，请调高CPU上限，使其高于上面表格中的推荐值。