密钥对的使用限制 仅支持Linux实例。 仅支持的RSA密钥对，支持的长度：1024、2048和4096。 一台Linux实例只能拥有一个密钥对。如果您的实例已绑定密钥，绑定新的密钥会替换原来的密钥。 密钥对的生成方式 通过管理控制台创建密钥对。 说明 在首次生成密钥对时，务必下载并妥善保存私钥。 通过PuTTYgen等工具创建密钥对，并导入天翼云的物理机服务中。 具体生成方式可参考操作指南中的密钥与密码介绍。

本节为您介绍数据迁移工具高级选项选择。 1. 选择迁移方式之后，进行高级选项选择. 是否记录迁移失败对象 开启后，将记录迁移失败的对象名 是否开启多版本 开启多版本后同名文件不会被覆盖，开启多版本同时源桶也开启多版本,将先清空目的桶再进行迁移,建议目的端使用新桶 是否指定迁移起始时间 开启后，可以设置迁移任务开始的时间 是否指定迁移任务运行时间 开启后，可以设置迁移任务运行时间段

添加到信任规则 根据告警日志里的信息，可以选择客户端工具、数据库账号、客户端 、操作类型等属性生成一条新的信任规则，对于符合信任规则的请求将不再告警。 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.在告警日志列表中选择一条需要加到信任规则的告警日志，单击“详情”按钮，在告警日志详细页，单击下方“添加到信任规则”按钮。 3.勾选需要信任属性后 ，单击“确定”按钮 ，则成功添加到信任规则。

本节主要介绍CCE发布Kubernetes 1.27版本 云容器云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.27集群。本文介绍Kubernetes 1.27版本相对于1.25版本所做的变更说明。 主要特性 Kubernetes 1.27版本 SeccompDefault特性已进入稳定阶段 如需使用SeccompDefault特性，您需要为每个节点的kubelet启用seccompdefault命令行标志。如果启用该特性，kubelet将为所有工作负载默认使用RuntimeDefault seccomp配置文件，该配置文件由容器运行时定义，而不是使用Unconfined（禁用seccomp）模式。 Job可变调度指令 该特性在Kubernetes 1.22版本中引入，当前已进入稳定阶段。在大多数情况下，并行作业Pod希望在一定的约束下运行，例如希望所有Pod在同一可用区。该特性允许在Job开始前修改调度指令。您可以使用suspend字段挂起Job，在Job挂起阶段，Pod模板中的调度部分（例如节点选择器、节点亲和性、反亲和性、容忍度）允许修改。 Downward API HugePages已进入稳定阶段 在Kubernetes 1.20版本中，Downward API引入了 requests.hugepages 和 limits.hugepages ，HugePage可以和其他资源一样设置资源配额。 Pod调度就绪态进入Beta阶段 Pod创建后，Kubernetes调度程序会负责选择合适的节点运行pending状态的Pod。在实际使用时，一些Pod可能会由于资源不足长时间处于pending状态。这些Pod可能会影响集群中的其他组件运行（如Cluster Autoscaler）。通过指定/删除Pod的.spec.schedulingGates，您可以控制Pod何时准备好进行调度。 通过Kubernetes API访问节点日志 此功能当前处于Alpha阶段。集群管理员可以直接查询节点上的服务日志，可以帮助调试节点上运行的服务问题。如需使用此功能，请确保在该节点上启用了NodeLogQuery特性门控，并且kubelet配置选项enableSystemLogHandler和enableSystemLogQuery都设置为true。 ReadWriteOncePod访问模式进入Beta阶段 在Kubernetes 1.22版本中，PV和PVC提供了一种新的访问模式ReadWriteOncePod，该功能当前进入Beta阶段。卷可以被单个Pod以读写方式挂载。如果您想确保整个集群中只有一个Pod可以读取或写入该PVC，请使用ReadWriteOncePod访问模式。 Pod拓扑分布约束中matchLabelKeys字段进入Beta阶段 matchLabelKeys是一个Pod标签键的列表，用于选择需要计算分布方式的Pod集合。使用matchLabelKeys字段，您无需在变更Pod修订版本时更新pod.spec。控制器或Operator只需要将不同修订版的标签键设为不同的值。调度器将根据matchLabelKeys自动确定取值。 快速标记SELinux卷标签功能进入Beta阶段 默认情况下，容器运行时递归地将SELinux标签赋予所有Pod卷上的所有文件。 为了加快该过程，Kubernetes使用挂载可选项 o context 可以立即改变卷的SELinux标签。 VolumeManager重构进入Beta阶段 重构的VolumeManager后，如果启用NewVolumeManagerReconstruction特性门控，将会在kubelet启动期间使用更有效的方式来获取已挂载卷。 服务器端字段校验和OpenAPI V3已进入稳定阶段 Kubernetes 1.23中添加了对OpenAPI v3的支持，1.24版本中已进入Beta阶段，1.27已进入稳定阶段。 控制StatefulSet启动序号 Kubernetes 1.26为StatefulSet引入了一个新的Alpha级别特性，可以控制Pod副本的序号。 从Kubernetes 1.27开始，此特性进入Beta阶段，序数可以从任意非负数开始。 HorizontalPodAutoscaler ContainerResource类型指标进入Beta阶段 Kubernetes 1.20在HorizontalPodAutoscaler (HPA) 中引入了ContainerResource类型指标。在 Kubernetes 1.27中，此特性进阶至Beta，相应的特性门控 (HPAContainerMetrics) 默认被启用。 StatefulSet PVC自动删除进入Beta阶段 Kubernetes v1.27提供一种新的策略机制，用于控制StatefulSets的PersistentVolumeClaims（PVCs）的生命周期。这种新的PVC保留策略允许用户指定当删除StatefulSet或者缩减StatefulSet中的副本时，是自动删除还是保留从StatefulSet规约模板生成的PVC。 磁盘卷组快照 磁盘卷组快照在Kubernetes 1.27中作为Alpha特性被引入。 此特性允许用户对多个卷进行快照，以保证在发生故障时数据的一致性。 它使用标签选择器来将多个PersistentVolumeClaims分组以进行快照。 这个新特性仅支持CSI卷驱动器。 kubectl apply裁剪更安全、更高效 在Kubernetes 1.5版本中，kubectl apply引入了prune标志来删除不再需要的资源，允许kubectl apply自动清理从当前配置中删除的资源。然而，现有的prune实现存在设计缺陷，会降低性能并导致意外行为。 为NodePort Service分配端口时避免冲突 在Kubernetes 1.27中，您可以启用新的特性门控ServiceNodePortStaticSubrange，为NodePort Service使用不同的端口分配策略，减少冲突的风险。当前该特性处于Alpha阶段。 原地调整Pod资源 在Kubernetes 1.27中，允许用户调整分配给Pod的CPU和内存资源大小，而无需重新启动容器。 加快Pod启动 在Kubernetes 1.27中进行了一系列的参数调整，以提高Pod的启动速度，例如并行镜像拉取、提高Kubelet默认API每秒查询限值等。 KMS V2进入Beta阶段 Kubernetes中的密钥管理KMS v2 API进入Beta阶段，对KMS加密提供程序的性能进行了重大改进。

本章介绍Adobe Font Manager库远程代码执行漏洞。 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。 对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 攻击者可通过多种方式利用此漏洞，包括诱导用户打开经特殊设计文档或在Windows预览窗格中查看。 漏洞编号 CVE20201020 CVE20200938 漏洞名称 Adobe Font Manager库远程代码执行漏洞 漏洞描述 对于除Windows 10之外的所有系统，成功利用远程代码执行漏洞的攻击者可以远程执行代码。 对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

JWT配置指南 1. 生成JWKS jwt鉴权需要用户提供有效的JWKS（JSON Web Key Set）。您可以使用在线生成工具生成，例如mkjwk.org。下文以使用mkjwk.org工具生成JWKS为例说明。 按图所示选择Key Use，Algorihm，Show X.509，点击Generate生成需要的公私钥和jwks。 2. 把public key填入jwks的keys字段里 3.使用 生成请求用的jwt，如图所示 算法选择RS256。 playload根据需要配置，但必须有iss字段，值为触发器名称。 公私钥内容根据第1步里生成的填写即可。 左侧生成的“xxx.xxx.xxx”即为合法签名后的jwt内容。 4. 配置JWT Token（必填） 在JWT Token 配置 配置项中，选择 token所在位置和 token的名称。 token位置支持Header、Cookie、Query参数（GET)。如果 token位置选择为Header，则还需为其指定前缀，函数计算在获取Token时，会删除此前缀。 5. 配置JWT Claim转换（可选） 在JWT Claim 转换配置项中，选择透传给函数的参数所在位置、参数原始名称和参数透传给函数之后的名称。注意，这里的claim的名称指的是jwt的payload里的key。 映射参数位置只支持Header，以下配置的意思是：从jwt的payload中查找MyHeader字段，并把MyHeader的具体值用新的header，这里是HewHeader，透传给目标函数。目标函数收到的请求的header中就会包含一个新的，key为NewHeader的header。

切换VPC 批量切换VPC支持属于同一子网的网卡批量切换至其他的VPC和子网，如需操作需要在列表先搜索要切换的网卡当前所属的VPC和子网。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性网卡】，在列表搜索框选择要切换的网卡当前所属的VPC和子网，单击【查询】。 3. 勾选要操作的弹性网卡，单击【批量操作>切换VPC】，在弹窗页，可以查看已选择有效的弹性网卡数，选择新的VPC和子网，设置内网带宽上限，单击【确认】，完成VPC子网切换，返回弹性网卡列表页，可以查看弹性网卡的VPC和子网已发生变更。 注意 仅支持网卡为VPC网卡且虚机运行状态为关机状态的网卡，否则将忽略此类网卡。 选择的新子网不能与原来相同，否则会报错。 配置源/目的地址检查状态 在列表可查看和筛选网卡源/目的地址检查状态，可对单个或多个VPC网卡修改源/目的地址检查状态。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性网卡】，在列表页切换至需要操作的地域，勾选需要操作的网卡，单击【批量操作>配置源/目的地址检查】，进入弹窗页。 3. 在界面可以查看已选择的有效网卡数，修改源/目的地址检查状态，单击按钮可以切换至开启或者关闭状态，输入二次确认字符，单击【确认】完成源/目的地址检查状态修改。 说明 启用状态，系统会检查发送的报文中源/目的IP地址是否正确，不匹配则不允许发送该报文，有效避免伪装报文攻击，提升网络安全性。 关闭状态，系统不会检查发送的报文中源/目的IP地址，存在伪装报文攻击风险。 直通网卡不支持自助修改源/目的地址检查状态。

本文主要介绍如何创建工作负载弹性伸缩（CustomedHPA）。 CustomedHPA策略是自研的弹性伸缩增强能力，能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能如下： 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 前提条件 使用CustomedHPA策略必须安装ccehpacontroller。若ccehpacontroller版本低于1.2.11，则必须安装prometheus插件；若版本大于或等于1.2.11，则需要安装能够提供Metrics API的插件，如kubeprometheusstack、metricsserver或Prometheus。 约束与限制 CustomedHPA策略：仅支持1.15及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 ccehpacontroller插件的资源使用量主要受集群中总容器数量和伸缩策略数量影响，通常场景下建议每5000容器配置CPU 500m, 内存1000Mi资源，每1000伸缩策略CPU 100m，内存500Mi。 若ccehpacontroller插件版本低于1.2.11，不支持使用kubeprometheusstack插件提供Metrics API来实现工作负载弹性伸缩。

DWS数据库设置主键后还需要设置分布键吗？ 仅设置主键即可，默认会选择主键的第一列作为分布键。如果两个同时设置，主键必须包含分布键。 DWS是否兼容PostgreSQL的存储过程？ 兼容。 DWS兼容PostgreSQL的存储过程，请参见《开发指南》的“存储过程”章节。 如何理解分区表、数据分区和分区键？ 分区表：分区表是把逻辑上的一张表根据某种方案分成几张物理块进行存储。这张逻辑上的表称之为分区表，物理块称之为分区。分区表是一张逻辑表，不存储数据，数据实际是存储在分区上的。 数据分区：在DWS分布式系统中，数据分区是在一个节点内部按照用户指定的策略对数据做进一步的水平分表，将表按照指定范围划分为多个数据互不重叠的部分（Partition）。 分区键：分区键是一个或多个表列的有序集合。表分区键列中的值用来确定每个表行所属的数据分区。 分区表中指定了maxvalue分区时如何再添加新的分区 问题背景 用户在最初建表时指定了Maxvalue分区后，数据被写入该分区，如下图中的40001，当用户需要新建一个40000~50000的分区时报错：upper boundary of adding partition MUST overtop last existing partition. 根据报错提示，不能新增分区的原因是：分区的上边界必须大于最后一个现有分区的上边界。即若需要新增40000~50000的分区，需调整分区表分区中的上边界，若直接删除Maxvalue分区再新建分区可能会导致原有p8分区数据被删除。

本章主要介绍翼MapReduce的更新集群密钥功能。 操作场景 在安装集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，如果原始密钥不慎意外泄露或者需要使用新的密钥，系统管理员可以通过以下操作手动更改密钥值。 对系统的影响 更新集群密钥后，集群中新增加一个随机生成的新密钥，用于加密解密新保存的数据。旧的密钥不会删除，用于解密旧的加密数据。在修改安全信息后，例如修改数据库用户密码，新密码将使用新的密钥加密。 更新集群密钥需要停止集群，集群停止时无法访问。 前提条件 已确认主备管理节点IP。请参见登录管理节点。 停止依赖集群运行的上层业务应用。 操作步骤 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 停止”，输入当前登录的用户密码确认身份。 在确认停止的对话框单击“确定”，等待界面提示停止成功。 3.以omm用户登录主管理节点。 4.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 5.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/tools 6.执行以下命令，更新集群密钥。 sh updateRootKey.sh 根据界面提示，输入 y ： The root key update is a critical operation. Do you want to continue?(y/n): 界面提示以下信息表示更新密钥成功： Step 41: The key save path is obtained successfully. ... Step 44: The root key is sent successfully. 7.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 启动”。 在弹出窗口中单击“确定”，等待界面提示启动成功。

本章节主要介绍 ALM12073 cep资源异常。 告警解释 HA每60秒周期性检测Manager的cep资源。当HA连续2次检测到cep资源异常时，产生该告警。 当HA检测到cep资源正常后，告警恢复。 cep资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的cep资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12073 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 cep进程持续重启，可能会导致监控数据异常。 可能原因 cep进程异常。 处理步骤 检查cep进程是否异常 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机名称。 2.以root用户登录该告警的主机地址。 3.执行命令 su omm ，执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh，查询当前HA管理的cep资源状态是否正常（单机模式下面，cep资源为normal状态；双机模式下，cep资源在主节点为normal状态，在备节点为stopped状态。）。 是，执行步骤6。 否，执行步骤4。 4.执行命令 vi $BIGDATALOGHOME/omm/oms/cep/cep.log 和 vi $BIGDATALOGHOME/omm/oms/cep/scriptlog/cepha.log ，查看ha的cep资源日志，是否有关键字“ERROR”，分析日志查看资源异常原因并修复。 5.等待五分钟，查看告警是否恢复。 是，操作结束。 否，执行步骤6。

本文主要讲述了企业主体变更注意事项及操作流程。 企业主体变更是指变更前与变更后的企业不是同一主体，资源与资金的归属主体发生了变更。 注意事项 实名认证变更生效（审批通过）之前，原实名认证信息仍然有效。 实名认证变更开始到变更生效（审批通过）期间，产生的欠费和新购的资源归属于变更后的主体。 实名认证变更开始到审批驳回期间，产生的欠费和新购的资源归属于原实名认证主体。 同一证件最多可认证5个天翼云账号，如果变更后的证件已经实名过5个天翼云账号（含已注销账号），则无法继续变更。 企业帐号变更企业主体，需要填写实名认证变更申请表并加盖双方企业公章，同时需根据页面提示上传已认证的材料和新认证的材料。 操作步骤 1、登录天翼云官网，点击“我的已实名认证”快速进入实名认证页面。 2、选择“变更企业主体”。 3、阅读实名认证变更影响，并点击确认。 4、根据页面提示，填写变更后的企业信息。 5、根据页面提示，上传变更前已实名认证的材料和新认证的材料。 说明 变更申请表模板为word文件格式，上传的附件格式不支持word，上传请转为图片格式。 企业主体变更申请表 6、勾选协议并点击“提交“，进入审核页面。 说明 变更后的认证信息将在13个工作日内审核完成，请耐心等待审核结果，审核成功，变更即可生效。

本文主要介绍了手动续订规则及操作流程。 适用范围 续订仅针对包月包年产品。 按需资源及包月包年转按需资源不可续订。已退订或已释放资源不可续订。 续订规则 包月包年资源开通成功后，用户可对其进行续订操作。 若资源到期后续订，续订周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 手动续订操作 用户随时可以手动续订包月包年且未退订、未释放的资源，延长相关资源的使用时间。 手动单个续订方式1 1、控制台资源管理界面找到所需续订的资源，点击“操作”下面的更多，点击“续费”，将跳转续订页面。 2、在续订页面调整所需续订周期后，提交续订订单并完成支付。 说明 当续订周期达到1年或以上时，续订单将可享受包年折扣，续订金额显示折后价。 手动单个续订方式2 1、进入费用中心订单管理续订管理页面，通过资源到期时间、产品名称等筛选或搜索，找到并勾选所需续订的资源，点击“手动续订”。 2、在续订页面，可点击左侧下拉键查看资源ID、配置等资源信息，确认后调整续订周期，勾选协议后提交订单并完成支付。 说明 当续订周期达到1年或以上时，续订单将可享受包年折扣，续订金额显示折后价。

操作场景 您可以复制安全组内已有的规则，然后基于已有的参数进行修改，快速生成一条新的规则。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组的名称超链接，进入安全组详情页面。 3. 根据情况，选择“入方向规则”或者“出方向规则”页签，进入安全组规则列表页面。 4. 在安全组规则列表中，单击目标规则所在行的操作列下的“复制”，弹出复制安全组规则对话框。 5. 根据界面提示，修改安全组规则信息，并单击“确定”，保存修改。

本节介绍加载VPC的操作步骤。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“跨域互联”，进入跨域互联管理页面； 3.在操作实例中，点击“跨域互联名称”； 4.进入跨域互联详情VPC管理，点击“加载VPC”； 以下加载资源池AVPC2中的子网“资源池A跨域互联VPC2SUBNET01”以及资源池BVPC1。 5.确定加载后，在跨域互联详情页可以看到新加载的VPC与子网。

本页主要介绍云数据库ClickHouse产品资源池下线的原因、影响和建议。 原因 因云数据库ClickHouse产品规划调整，后续为了聚焦服务能力以及提升客户体验，我们将下线 I 类型资源池内蒙6。 影响 涉及资源池将不能通过官网订购新的云数据库ClickHouse产品，已开通运行中实例的使用不受影响，具体的资源池和下线日期见下表。 序号 资源池 下线日期 1 内蒙6 2025年4月15日 建议 为满足用户使用产品的需求，建议用户使用其他相近区域的 II 类型资源池。

本文介绍如何配置直播转码。 视频直播支持输出不同码率、帧率、分辨率等直播流，同时支持对原始流增加水印。直播转码如何配置请参见：直播转码。 注意 一个域名可以配置多个转码模板。 转码只能与拉流域名进行绑定。 若修改了转码配置，则正在直播的在线直播流不会生效，仅对修改配置后新请求的直播流生效。 直播转码功能为计费项，按实际使用的编码标准、转码分辨率和转码时长收取费用。收费详情请参考增值服务计费中的

视频点播的播放地址过期如何解决。 视频点播的播放地址过期。 云点播底层依赖于对象存储的相关签名机制对文件访问权限进行保护。 如果将相关存储桶的权限默认设置为私有，任何访问请求需要经过签名校验才能通过。出于安全性考虑，该签名的有效期最长不超过7天（控制台生成的签名地址有效期为24小时），因此当携带签名的地址对外暴露超过7天后需要重新签名才可正常访问。用户可使用SDK或通过API接口对视频文件进行签名获取新的签名。

本文为您介绍如何修改SSL并发连接数。 您可以根据业务需要修改VPN网关实例的SSL连接数规格。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN连接页面，单击“VPN网关”。 5. 在VPN网关页面，找到目标VPN网关实例，功能配置为“SSL”，在操作列单击“扩容”。 6. 在变配页面，选择新的SSL连接数，单击“确定”。 7. 单击“立即支付”并完成支付。

字段 类型 必选 说明 workloadSelector WorkloadSelector N 用于选择匹配的工作负载 configPatches EnvoyConfigObjectPatch[] N 需要下发到数据面的配置 priority int N 优先级定义，可用于处理个EnvoyFilter匹配同一个工作负载，且EnvoyFilter之间存在依赖关系的场景 1. 默认的生效顺序为根命名空间 > 工作负载命名空间，在一个EnvoyFilter内的多个patch按照定义的顺序生效 2. 如果优先级为负，则在默认生效规则之前生效，如果为正则在默认生效规则之后生效 3. 建议优先级定义时保留足够的间隔，用于插入新的补丁

本节主要介绍项目管理 项目管理可对多个资源进行分组和管理，例如：可为阿里云迁移至天翼云创建一个新的项目，里面将包含阿里云平台的主机、数据库、组件等信息。 新建项目 在浏览器中输入 单击左侧导航栏的“ 配置管理 ”，进入配置管理 界面。在“ 项目管理 ”页签，单击“ 新建项目 ”。 新建项目 在弹出的“ 新建项目 ”窗口，输入项目名称和项目描述，单击“ 保存 ”。 保存项目

痛点维度 具体表现 影响数据 经验依赖陷阱 新员工需学习3套检索话术才能定位“合同审批流程”文档 培训周期长 检索效率黑洞 平均每个工单需切换 5 次关键词才能查到目标 时间浪费严重 知识孤岛效应 市场/财务/产研部门文档命名规则冲突 跨部门文档检索失败率高 内容治理困境 制度更新后旧版本仍在流通 错误知识引用导致流程返工 采纳率危机 首条结果匹配度低 人均每日重复检索次数多

添加到SQL白名单 根据运维日志里的信息，可以选择语句、操作类型、模版属性生成一条新的白名单，对于符合白名单的请求将不再告警。 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.在运维日志列表中，选择一条未加入白名单的日志信息，单击日志条目右侧的“详情”，进入运维日志详情页。 3.单击详情页下方的“添加到SQL白名单”，在弹出的对话框勾选需要加白的内容。 4.单击“确定”，即可成功加入SQL白名单。

本小节介绍安全专区创建用户账号方法。 操作方法 1.点击【添加用户】，按照页面提示完整填写用户信息，添加新的账号。 2.打开用户注册信息窗口。 用户名：填写用户邮箱作为用户名（系统将发送邮件到该邮箱）； 手机号：填写用户手机号（登录接收验证码）； 角色分配 安全管理员：负责安全策略配置； 审计人员：可查看及管理日志； 运维人员：业务系统运维人员只能登录云堡垒机，对业务系统进行操作。

本章介绍初始化容量大于2TB的Linux数据盘(parted)的方法。 操作场景 本文以物理机的操作系统为“CentOS 7.4 64位”、云硬盘容量为3 TB举例，采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 前提条件 已登录物理机。 已挂载数据盘至物理机，且该数据盘未初始化。 划分分区并挂载磁盘 本操作以该场景为例，当物理机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1. 执行以下命令，查看新增数据盘。 plaintext lsblk 回显类似如下信息： plaintext [root@bmscentos74 ~] lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 40G 0 disk ├─vda1 253:1 0 1G 0 part /boot └─vda2 253:2 0 39G 0 part / vdb 253:16 0 3T 0 disk 表示当前的服务器有两块磁盘，“/dev/vda”是系统盘，“/dev/vdb”是新增数据盘。 2. 执行以下命令，进入parted分区工具，开始对新增数据盘执行分区操作。 plaintext parted 新增数据盘 以新挂载的数据盘“/dev/vdb”为例： plaintext parted /dev/vdb 回显类似如下信息： plaintext [root@bmscentos74 ~]

参数 说明 后端主机组名称 可修改后端主机组名称。名称应为232位，英文开头，支持大小写英文和数字 负载均衡协议 不支持修改。 负载方式 不支持修改。 会话保持 选择是否开启会话保持。可选“开启”或“关闭”。 开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式：集群模式资源池HTTP协议的会话保持方式支持重写cookie/植入cookie。 植入cookie：客户端首次访问时，负载均衡在返回请求中植入cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入cookie需要指定会话保持时间，取值范围为 1 86400。 重写cookie：负载均衡对用户自定义的cookie进行重写，下次客户端携带新的cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入cookie时，可设置会话保持超时时间。缺省3600s。选择重写cookie，负载均衡发现用户自定义的cookie，对原来的cookie进行重写，下次客户端携带新的cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写cookie方式该cookie的会话保持时间由后端主机维护。 健康检查 选择是否开启健康检查。可选“开启”或“关闭”。 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型：不支持修改。 间隔时间（秒）：取值范围1 ~ 20940。 超时时间（秒）：取值范围2 ~ 60。 最大重试次数：取值范围1~10。 检查路径：以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘，长度范围1 ~ 80。 HTTP方法：可选GET或HEAD。 HTTP状态码：不支持修改。

三、使用openClaw Windows或者Mac环境 1. 新开一个终端，运行以下命令。 plaintext openclaw dashboard 2. 在Web UI点击左侧顶部“聊天”进入聊天窗口后，输入Message进行对话。 Linux环境 1. 新开一个终端，运行以下命令，进入TUI界面。 plaintext openclaw tui 2. 在TUI界面进行对话。 四、常见问题 聊天对话上方出现“API rate limit reached. Please try again later” 原因：由于模型免费额度已用完或已到期，或者已经开通模型付费但因账户余额不足，模型已无法使用。 解决方案： 请在控制台开通模型付费。如遇部分模型无法自助开通，请联系客户经理或提交工单购买。 提示“USERTPMRATELIMITING 用户请求TPM超限，请减少tokens后重试” 原因：每分钟消耗的Token总数已超过系统阈值，单次请求的文本过长（如长文档分析、长代码生成），或多个并发请求的总Token量过大，导致触发限流。 解决方案： 配置限流：您可在openclaw.json配置文件中，为当前使用的模型配置TPM。各模型所支持的限额可在模型广场对应模型卡片的介绍信息中查看。 缩短聊天消息长度：请尝试将问题或输入内容拆分成几个较短的部分，分批发送。 稍后再试：系统限流通常会在1分钟内自动恢复，您可以稍等一会儿再继续提问。 减少同时对话：避免并发过高，如果您同时打开了多个聊天窗口，请先集中在一个窗口对话，关闭其他窗口，避免多个对话同时争抢额度。 调整限额：如果您需要更高的流量额度，请联系客户经理或提交工单提升额度。

副本数 较高的复制因子会导致分区领先者与后继者之间的请求数增加。因而，较高的复制因子会消耗更多的磁盘和CPU来处理额外的请求，并增大写入延迟，降低吞吐量。 我们建议对Azure HDInsight 中的 Kafka 至少使用 3 倍的复制因子。大部分 Azure 区域有三个容错域。在只有两个容错域的区域中，用户应使用 4 倍复制因子。 5. 消费者配置 以下部分重点介绍一些用于优化 Kafka 消费者性能的最重要通用配置属性。 消费者数量 良好的做法是让分区数量等于消费者数量。如果消费者数量小于分区数量，则少数消费者将从多个分区读取数据，从而增大消费者延迟。 如果消费者数量大于分区数量，则会浪费消费者资源，因为这些消费者将处于空闲状态。 避免频繁进行消费者重新平衡 发生分区所有权更改（即消费者横向扩展或纵向缩减）、中介崩溃（因为中介是消费者组的组协调者）、消费者崩溃、添加新主题或添加新分区时，会触发消费者重新平衡。在重新平衡期间，消费者无法使用，因此会增大延迟。 如果消费者可以在session.timeout.ms 内向中介发送检测信号，则认为消费者是存活的。否则，认为消费者已消亡或有故障。这会导致消费者重新平衡。消费者的 session.timeout.ms 越低，我们检测到这些故障的速度就越快。 如果session.timeout.ms 太低，消费者可能会由于某些情况（例如，处理一批消息花费了较长时间，或 JVM GC 暂停时间太长）而遇到重复的不必要重新平衡。如果你的某个消费者花费了过多时间处理消息，你可以通过以下方法解决此问题：使用 max.poll.interval.ms 提高消费者在获取更多记录之前可以保持空闲状态的时长上限，或使用配置参数 max.poll.records 减小返回的最大批大小。

重启数据面 在卸载控制面前，您可以点击数据面标签，对存量的工作负载进行重启。具体步骤如下： 登录CSM控制台，选定您的网格实例进入网格管理页面。 在左侧栏，网格实例中，选中网格实例升级。 选择金丝雀发布，点击数据面。 进入页面后，您可以依据集群和命名空间筛选仍为升级的工作负载，逐一进行滚动更新。 可以看到，ratings已经更新到1.20版本不会再出现在列表中。 另外，您可以在网格状态中，选择全部命名空间查看版本，以确认是否所有工作负载都升级到新版本了。 当所有工作负载都更新后，总体框架如下： 网关升级 服务网格Ingress和Egress网关数据面和sidecar一样也是基于Envoy构建，需要连接对应版本的控制面；在完成了控制面版本升级后，网关也需要升级数据面版本，以下以Ingress网关为例介绍网关升级流程。 进入服务网格控制台 > 网关 > 入口网关，选择对应的集群和命名空间可以看到已经创建的网关实例。 点击操作栏的灰度升级按钮，当前网关还是老的版本，我们选择 部署灰度副本，部署完成后网关流量会按副本数比例分配到新老版本的网关上，您可以根据需要灵活调整新老版本网关的比例。 如果发现新版本网关有问题，可以将灰度版本下线，后续再基于日志等监控能力定位相关问题。 经过验证确认灰度版本可以正常承载流量后，您可以重启旧版本的网关，所有网关实例都升级到了新版本。 确认重启后的网关实例正常后就可以删除灰度版本了。

本文介绍了如何重置管理员账号密码。 操作场景 在使用过程中，如果用户忘记管理员账号密码，可以通过控制台重新设置密码。 注意 如果新密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 请妥善管理您的密码，因为系统为保障您的数据安全未保存您的密码信息。 Ⅰ类资源池操作步骤 1. 登录天翼云门户。 2. 打开控制中心。 3. 左上角选择资源池区域，RDSPostgreSQL基础版加载的资源池详见功能加载说明。 4. 找到【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 5. 在实例管理页面中的“操作”列，点击对应实例的“修改密码”按钮，如图所示。 6. 在弹出框内输入新的密码，点击确认。返回成功即为修改密码成功，返回失败请根据错误提示重新设置您的密码。 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在基本信息中找到“管理员账号名”项中的“重置密码”。 7. 在弹出框内输入新的密码，点击确定。返回成功即为修改密码成功。返回失败请根据错误提示重新设置您的密码。

约束与限制 安全容器不支持使用对象存储卷。 OBS限制单用户创建100个桶，但是CCE使用OBS桶为单个工作负载挂载一个桶，当工作负载数量较多时，容易导致桶数量超过限制，OBS桶无法创建。建议此种场景下直接通过OBS的API或SDK使用OBS，不在工作负载中挂载OBS桶。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 1.19及以下版本的集群在卸载subpath时会遍历subpath下所有文件夹，若文件夹数量较多的情况下，遍历时间较长，卸卷时间对应较长。建议在subpath下不要建立太多文件夹，否则可能会出现Pod删除卸卷时间较长的情况。 CCE集群下挂载的OBS中单个文件大小限制远小于obsfs限制。 插件使用推荐 使用CSI插件（Everest）要求Kubernetes版本需为 1.15及以上 ，v1.15及以上版本的集群在创建时将默认安装本插件，v1.13及以下版本集群创建时默认安装Flexvolume插件（storagedriver）。 集群版本由v1.13升级到v1.15后，v1.13版本集群中的Flexvolume容器存储插件（storagedriver）能力将由v1.15的CSI插件（Everest，插件版本v1.1.6及以上）接管，接管后原有功能保持不变。 插件版本为1.2.0的Everest优化了使用OBS存储时的 密钥认证功能 ，低于该版本的Everest插件在升级完成后，需要重启集群中使用OBS存储的全部工作负载，否则工作负载使用存储的能力将受影响。

postauthdelay (integer) 如果为非零，那么在一个新的服务器进程派生出来之后并且在它开始认证过程之前，就会发生这么多秒的延迟。这是为了给开发者们一个机会在一个服务器进程上附加一个调试器。这个参数在会话开始之后不能被更改。 preauthdelay (integer) 如果为非零，那么在一个新的服务器进程派生出来之后并且在它开始认证过程之前，就会发生这么多秒的延迟。这是为了给开发者们一个机会在一个服务器进程上附加一个调试器来跟踪认证过程中的不当行为。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 tracenotify (boolean) 为LISTEN和NOTIFY命令生成大量调试输出。clientminmessages和logminmessages必须是DEBUG1或者更低才能把这种输出分别发送到客户端或者服务器日志。 tracerecoverymessages (enum) 启用记录与恢复有关的调试输出，否则无法记录。这个参数允许用户覆盖logminmessages的正常设置，但只用于指定的消息。这个参数的目的是用来调试热后备。有效值包括DEBUG5、DEBUG4、DEBUG3、DEBUG2、DEBUG1和LOG。默认值LOG完全不会影响日志决定。其他值会记录相关级别或更高级别的与恢复相关的调试消息，就好像它们具有LOG优先级一样；对于logminmessages的通用设置，这会无条件的将消息发送给服务器日志。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 tracesort (boolean) 如果打开，发出在排序操作中的资源使用的相关信息。只有在编译时定义了TRACESORT宏， 这个参数才可用（不过，当前在默认情况下就定义了TRACESORT）。