KMS发布新的镜像版本后,您可以自行升级服务实例镜像版本。本文介绍如何升级KMS服务实例的镜像版本。 升级影响 升级时长约为30分钟，过程中可能会存在业务闪断，升级结束后自动恢复正常。因此建议您在业务低峰期进行升级。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，选择“服务管理”。 4. 在服务列表找到目标服务，点击进入服务详情页。 5. 查看镜像版本，如提示“升级版本”则表示KMS服务实例镜像可以升级，如提示“当前已是最新版 本”则表示无需升级。 6. 点击升级版本，查看新版本镜像的新功能说明，并配置升级。 说明 当前仅支持升级到镜像的最新版本，不支持指定升级到中间版本。 KMS支持如下两种升级方式： 自动升级：计划升级，设置升级时间点，到达既定时间系统自动执行升级。支持设置未来7天内的任意时间，您也可以在升级前取消当前升级计划，重新设置升级时间。 手动升级：立即升级，点击确定后立即执行升级。 7. 若您设置了自动升级，镜像版本进入等待升级状态，您可以在控制台查看具体的升级时间。若需要改变升级计划，可以点击“取消升级”，并重新配置升级计划。 8. 系统执行升级时，镜像版本状态变为“升级中”，此过程大概约30分钟。 9. 等待约30分钟后，查看镜像版本升级结果。镜像版本状态为“当前已是最新版本”，则表示升级成 功。提示“升级失败”时，请联系天翼云技术支持。

本文介绍子网ACL实例的相关功能。 子网ACL概述 子网ACL(Access Control List, ACL)是虚拟私有云网络VPC(Virtual Private Cloud, VPC)中的网络访问控制功能。可以通过自定义设置网络ACL规则，实现对子网中虚拟机实例流量的访问控制。 使用限制： 一个子网ACL实例可以关联多个子网，但一个子网同一时间只能关联一个子网 ACL。 关联子网后，子网ACL默认拒绝所有出入子网的流量。 默认放通同一子网内的流量及预留子网。 创建子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，点击左上角【创建子网ACL】。 3. 在创建子网ACL页面，配置以下参数，完成创建。 参数说明： 参数 说明 名称 输入子网ACL的名称。 描述 输入子网ACL的描述。 查看子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表，点击任意实例查看详情信息。 关联子网 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表。 3. 在子网ACL列表页点击【关联子网】进入到子网ACL详情页面。 4. 在【关联子网】页签，点击【关联子网】。 5. 勾选要关联的子网，点击【绑定】。 6. 查看子网ACL详情，显示关联的子网已完成绑定。 说明： 已被网络ACL关联的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再重新关联。 一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。

操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 单击库表恢复，并配置恢复参数。 支持按时间点 和按备份集进行恢复。您可以选择要恢复的库表，并修改或者使用默认的目标库表名。 6. 单击确定。 恢复实例Q&A 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果非运行中或异常，需要等待实例为运行中才可以进行恢复到当前实例。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 可检查目标实例的状态是否正常。 目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本，因为高内核版本的实例无法恢复到低内核版本的实例。 目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果不同，也无法恢复。 目标实例实例与源实例若备份类型为云硬盘，则需要注意目标实例与源实例的VPC需要一致，若为对象存储，则可以跨VPC恢复。 目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 目标实例如果为带只读的MGR实例，也无法进行恢复。 源实例具备tde功能，但是目标实例不具备，也将无法进行恢复。

本文主要介绍 容器引擎基础知识 容器引擎（Docker）是一个开源的引擎，可以轻松的为任何应用创建一个轻量级、可移植的应用镜像。 安装前的准备工作 在安装容器引擎前，请了解容器引擎的基础知识，具体请参见Docker Documentation。 选择容器引擎的版本 容器引擎几乎支持在所有操作系统上安装，用户可以根据需要选择要安装的容器引擎版本，具体请参见 说明 由于SWR支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 安装容器引擎 你可以根据自己的操作系统选择对应的安装步骤： Linux操作系统下安装 在Linux操作系统下，可以使用如下命令快速安装Docker的最新稳定版本。如果您想安装其他特定版本的Docker，可参考安装Docker。 curl fsSL get.docker.com o getdocker.sh sh getdocker.sh sudo systemctl daemonreload sudo systemctl restart docker EulerOS操作系统下安装 在EulerOS操作系统下，安装容器引擎的方法如下： a. 登录弹性云服务器。 b. 配置yum源。 如果您的机器上还没有配置yum源，首先配置本机的yum。 c. 安装并运行容器引擎。 i. 获取yum源里的dockerengine包。 yum search dockerengine ii. 使用yum install y命令安装上一步获取的dockerengine包，x86架构示例： yum install dockerengine.x8664 y iii. 设置开机启动Docker服务。 systemctl enable docker iv. 启动Docker。 systemctl start docker d. 检查安装结果。 docker version 回显如下类似信息，表示容器引擎安装成功。 Docker version 18.09.0, build 384e3e9

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本页介绍了三种规格文档数据库服务特性，以及新建并连接实例的操作流程。 三种规格特性及适用场景 文档数据库服务提供了集群版、副本集和单机版三种规格的实例，分别采用不同的部署架构，能够满足不同的业务场景。 集群版 分片集群提供Mongos、Shard、ConfigServer三类节点，每个Shard和ConfigServer基于副本集（每个副本集使用三节点主从模式）组成。 适用于高并发读写的场景，可以自由地选择Mongos和Shard节点的个数和配置，扩展性能及存储空间，构建不同性能的分片集群实例，满足不同的业务需求。 副本集 副本集提供不同角色的节点，一个可供读写的Primary节点，一个、三个或五个提供高可用的Secondary节点，一个隐藏的Hidden节点，0~5个只读的ReadOnly节点。 适用于需要保证高可用，读多写少的中小型业务系统，可按需增加Secondary节点和ReadOnly节点，扩展读性能。 单机版（单节点） 单机版仅部署一个节点在虚拟机上，没有高可用等高级特性，优点是性价比高。 适用于研发测试、学习培训、以及非企业核心数据存储的场景。 新建并连接数据库 1. 新建实例 根据业务需要定制相应计算能力和存储空间的实例。 2. 设置安全组 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云主机处于不同安全组时，或者使用公网连接实例时，需要配置安全组访问规则。 3. 绑定弹性IP（可选） 如果要使用公网地址连接实例，需要先申请并绑定弹性公网IP。 4. 连接实例 提供内网、公网、程序代码连接单机版（单节点）、副本集、分片集群实例的操作。

参数 是否必选 说明 基本属性 表名 是 数据表的名称。只能包含英文字母、数字、“ ”，不能为纯数字，不能以“ ”开头，且长度为1~63个字符。 别名 否 数据表的别名，只能包含中文字符、英文字母、数字、“ ”，不能为纯数字，不能以“ ”开头，且长度为1~63个字符。 数据连接 是 选择数据表所属的数据连接。 数据库 是 选择数据表所属的数据库。 模式 是 选择数据库的模式。 表描述 否 数据表的描述信息。 高级选项 否 提供以下高级选项： 选择数据表的存储方式 − 行存模式 − 列存模式 选择数据表的压缩级别 − 行存模式：压缩级别的有效值为YES/NO。 − 列存模式：压缩级别的有效值为YES/NO/LOW/MIDDLE/HIGH，还可以配置列存模式同一压缩级别下不同的压缩水平03（数值越大，表示同一压缩级别下压缩比越大）。 表结构 列名 是 填写列名，列名不能重复。 数据分类 是 选择数据类型的类别： 数值类型 货币类型 布尔类型 二进制类型 字符类型 时间类型 几何类型 网络地址类型 位串类型 文本搜索类型 UUID类型 JSON类型 对象标识符类型 类型 是 选择数据类型。 列描述 否 填写列的描述信息。 是否建ES索引 否 单击复选框时，表示需要建立ES索引。建立ES索引时，请同时在“CloudSearch集群名”中选择建立好的CSS集群。如何创建CSS集群，请参见《 ES索引数据类型 否 选择ES索引的数据类型： text keyword date long integer short byte double boolean binary 操作 否 单击 ，增加列。

当记录值有多个IP地址时，域名是如何解析的？ 当解析记录的“值”包含多个IP地址时，域名解析会返回所有的IP地址，但返回IP地址的顺序是随机的，浏览器默认取第一个返回的IP地址作为解析结果。根据大量测试数据显示，解析到各IP地址的比例接近相等。 内网DNS并发有什么限制？ 为保证内网域名的解析效率，内网DNS服务器会限制来自单个IP地址的解析流量，QPS最大不能超过2000。如果某个服务器请求DNS解析的频率特别高，超出了正常的业务访问量，即QPS超过2000，则超出部分的解析请求将会被清洗，内网DNS服务器将不会处理超出的这部分解析请求。 DNS是否同时支持IPv4和IPv6解析？ NS可以同时支持IPv4解析和IPv6解析。您可以在DNS上为域名同时添加A类型和AAAA类型的解析记录，实现IPv4和IPv6的解析。 例如，为域名example.com同时添加如下记录： 域名 记录集类型 记录集值 www.example.com A 192.168.1.2 www.example.com AAAA 2407:c080:0:ffff:ffff:fffe:0:1 怎样设置弹性云主机的私网IP的反向解析？ 反向域名解析提供通过IP地址查找域名的功能。 如果要设置ECS服务器私网IP的反向解析，可以通过在创建内网域名之后添加PTR记录集实现。 设置私网IP的反向解析，其域名格式是x.x.x.x.inaddr.arpa。 说明 inaddr.arpa是反向解析的顶级域。 例如，私网IP是192.168.1.10，其反向域名格式是10.1.168.192.inaddr.arpa。 可以创建内网域名192.inaddr.arpa，然后添加10.1.168.192.inaddr.arpa的PTR记录集来实现设置该私网IP的反向解析记录。

本章节主要介绍备份元数据。 操作场景 为了确保元数据信息安全，或者用户需要对元数据功能进行重大操作（如扩容缩容、安装补丁包、升级或迁移等）前后，需要对元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。元数据包含OMS数据、LdapServer数据、DBService数据和NameNode数据。备份Manager数据包含同时备份OMS数据和LdapServer数据。 默认情况下，元数据备份由“default”任务支持。该任务指导用户通过MRS Manager创建备份任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 需要准备一个用于备份数据的备集群，且网络连通。每个集群的安全组，需分别添加对端集群的安全组入方向规则，允许安全组中所有弹性云主机全部协议全部端口的访问请求。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“数据存放路径/LocalBackup/”是否有充足的空间。 操作步骤 创建备份任务 1. 在MRS Manager，选择“系统设置 > 备份管理”。 2. 单击“创建备份任务”。 设置备份策略 1. 在“任务名称”填写备份任务的名称。 2. 在“备份类型”选择备份任务的运行类型，“周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 创建周期备份任务，还需要填写以下参数： “开始时间”：表示任务第一次启动的时间。 “周期”：表示任务下次启动，与上一次运行的时间间隔，支持“按小时”或“按天”。 “备份策略”：表示任务每次启动时备份的数据量。支持“首次全量备份，后续增量备份”、“每次都全量备份”和“每n次进行一次全量备份”。选择“每n次进行一次全量备份”时，需要指定n的值。

本节主要介绍支持审计的关键操作列表 通过云审计服务，您可以记录与文档数据库服务相关的操作事件，便于日后的查询、审计和回溯。 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance ddsRestoreToOldInstance 创建实例 instance ddsCreateInstance 删除实例 instance ddsDeleteInstance 重启实例 instance ddsRestartInstance 扩节点 instance ddsGrowInstance 扩磁盘 instance ddsExtendInstanceVolume 重置数据库密码 instance ddsResetPassword 实例重命名 instance ddsRenameInstance 切换SSL instance ddsSwitchSsl 修改实例端口 instance ddsModifyInstancePort 创建备份 backup ddsCreateBackup 删除备份 backup ddsDeleteBackup 设置备份策略 backup ddsSetBackupPolicy 应用参数模板 parameterGroup ddsApplyConfigurations 复制参数模板 parameterGroup ddsCopyConfigurations 重置参数模板 parameterGroup ddsResetConfigurations 创建参数模板 parameterGroup ddsCreateConfigurations 删除参数模板 parameterGroup ddsDeleteConfigurations 更新参数模板 parameterGroup ddsUpdateConfigurations 绑定公网IP instance ddsBindEIP 解绑公网IP instance ddsUnBindEIP 修改标签 tag ddsModifyTag 删除实例标签 tag ddsDeleteInstanceTag 添加实例标签 tag ddsAddInstanceTag 扩容失败回退 instance ddsDeleteExtendedDdsNode 规格变更 instance ddsResizeInstance 实例解冻 instance ddsUnfreezeInstance 实例冻结 instance ddsFreezeInstance 修改内网地址 instance ddsModifyIP 修改内网域名 instance ddsModifyDNSName 设置集群均衡开关 instance ddsSetBalancer 内部通信方式切换 instance ddsSwitchInnerSsl 添加只读节点 instance AddReadonlyNode 集群开启shard/config IP instance ddsCreateIp 修改实例安全组 instance ddsModifySecurityGroup 迁移可用区 instance ddsMigrateAvailabilityZone 实例备注 instance ddsModifyInstanceRemark 可维护时间段 instance ddsModifyInstanceMaintenanceWindow 补丁升级 instance ddsUpgradeDatastorePatch 主备切换 instance ddsReplicaSetSwitchover 跨网段访问配置 instance ddsModifyInstanceSourceSubnet 实例参数修改 parameterGroup ddsUpdateInstanceConfigurations 实例导出参数模板 parameterGroup ddsSaveConfigurations 设置跨区域备份策略 backup ddsModifyOffsiteBackupPolicy 慢日志开启明文显示 instance ddsOpenSlowLogPlaintextSwitch 慢日志关闭明文显示 instance ddsCloseSlowLogPlaintextSwitch 下载错误/慢日志 instance ddsDownloadLog 实例开启审计策略 instance ddsOpenAuditLog 实例关闭审计策略 instance ddsCloseAuditLog 实例下载审计日志 instance ddsDownloadAuditLog 实例删除审计日志 instance ddsDeleteAuditLogFile 回收站策略 instance ddsModifyRecyclePolicy

本章节会介绍如何变更数据库代理的规格 操作场景 CPU/内存规格可根据业务需要进行变更，当实例的状态由“代理实例规格变更中”变为“正常”，则说明变更成功。 目前仅支持按需计费的数据库代理进行规格变更。 约束限制 主实例、只读实例和数据库代理的实例状态正常时才可进行规格变更。 当实例进行CPU/内存规格变更时，该实例不可被删除。 规格变更会重启数据库代理实例，请在业务低峰期进行规格变更。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称。 5、在“数据库代理”页面，“代理实例信息”模块的“代理实例规格”处，单击“规格变更”。 您可以根据自己的需求缩小或扩大规格。 规格变更时会提示“修改CPU/内存后，将会重启数据库代理实例。请选择业务低峰期，避免业务异常中断。” 如果切换时间选择“可维护时间段”，任务在变更期间会导致数据库代理实例重启，业务暂时中断。建议将变更时间段设置在业务低峰期，具体设置请参考设置可维护时间段。 6、进行规格确认。 如需重新选择，单击“上一步”，回到上个页面，修改规格。 按需计费模式的实例，单击“提交”，提交变更。 由规格变更产生的费用，您可在“费用中心 > 消费明细”中查看费用详情。 7、查看变更结果。 任务提交成功后，单击“返回云数据库RDS列表”，在实例管理页面，可以看到实例状态为“代理实例规格变更中”。稍后在对应的“数据库代理”页面，查看实例规格，检查修改是否成功。此过程需要13～15分钟。

本节介绍了变更备机可用区的内容。 操作场景 您可以将主备实例的备机迁移至同一区域内的其它可用区。 约束限制 RDS for MySQL 5.6、5.7、8.0版本的主备实例支持备机可用区迁移功能。 业务高峰期批量写操作可能会导致迁移失败，为确保迁移成功，请选择业务低峰期操作。 迁移期间将短暂停止DDL语句和event定时任务，请选择业务低峰期操作，避免业务异常中断。 如果备机迁移出现问题，任务中心会显示任务状态为失败，但是实例管理页面的运行状态一栏仍会显示“备机迁移中”，此时实例进入了锁保护状态，无法进行操作，您可以通过提交客服工单的方式来解决此问题。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 可用区迁移”，进入“可用区迁移”页面。 步骤 5 在“可用区迁移”页面，选择目标可用区，单击“提交”。 步骤 6 迁移可用区成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 可用区迁移过程中，状态显示为“备机迁移中”。您可以通过“任务中心”查看详细进度。具体请参见任务中心。 在实例列表的右上角，单击 刷新列表，可查看到可用区迁移完成后，实例状态显示为“正常”。 在“基本信息”页面的“可用区”处，可以查看到备机迁移后所在的可用区。 结束

功能名称 描述 解析IPsports 解析IP或端口 地址簿删除IP 地址簿删除IP 地址簿添加IP 地址簿添加IP 统计地址簿 统计地址簿数量和所用ip数量 删除地址簿 删除地址簿 查询地址簿 查询地址簿列表 地址簿详情 查询地址簿详情 添加地址簿 添加地址簿 地址簿ipport更新 地址簿更新内容（IP/端口） 安全告警告警详情 查询告警详情 安全告警标记已处理 安全告警标记已处理 安全告警流量日志列表 查询流量日志列表 安全告警查询告警列表 查询告警列表 安全告警告警统计 安全告警统计 报表管理订阅配置更新 更新报表订阅列表 报表管理订阅列表 查看报表订阅列表 报表管理统计 统计列表信息 报表管理列表 查看报表列表 查看nat列表 查询nat列表 查询云间高速列表 查询云间高速列表 查询云专线列表 查询云专线列表 查询对等连接列表 查询对等连接列表 vpc资产同步 东西向(vpc)资产同步 VPC边界统计 查询东西向(vpc)资产统计接口 查询所有东西向资产 查询东西向所有资产的列表 开启防护自动检查 开启防护的自动检查结果 一键创建子网路由表 一键创建子网路由表 关闭防护删除终端节点 关闭vpc资产防护 确认手动引流配置完成 确认手动引流配置完成 创建终端节点 创建终端节点 校验cidr合法 校验cidr是否合法 查询资源池规格 查询资源池规格 能否降低版本 防火墙能否降低版本 能否订购防火墙 能否订购防火墙 降配配额最低值 降配配额最低值 防火墙防火墙名称修改 修改防火墙名称 安全防护概览 查询安全防护概览接口 访问控制策略概览 查询访问控制策略概览接口 资产防护监控概览 查询资产防护监控概览接口 实例状态概览 查询实例状态概览接口 获取黑白名单规则的excel文件模板 获取黑白名单规则的excel文件模板 获取访问规则的excel文件模板 获取访问规则的excel文件模板 app应用查询应用大类和子类 查询apr支持的全部应用 ipsRule查询攻击类型 根据ips规则类型获取所有列表 日志管理操作日志excel导出 操作日志excel导出 日志管理流量日志excel导出 流量日志excel导出 日志管理入侵防御访问控制日志excel导出 入侵防御日志excel导出 修改日志存储类型 修改日志存储类型 修改本地日志储存时间 修改本地日志存储时间 查询日志内容 查询日志内容 统计日志数量 统计日志数量 查看日志存储容量 查询日志存储容量的情况 更新投递任务状态 更新投递任务状态 查看日志投递列表 查询日志投递列表 查询日志投递类型信息 查询日志投递类型信息 查询日志投递开始时间 查询日志投递开始时间 通知设置更新通知配置 更新通知设置 通知设置获取通知设置 获取通知设置 获取资产同步状态 提供获取资产同步状态接口 删除防护规则 删除防护规则接口 获取资产详情 提供获取资产详情接口 更新防护规则 更新防护规则接口 设置防护规则优先级 设置防护规则优先级接口 切换防护规则防护状态 切换防护规则防护状态接口 新增防护规则 新增防护规则接口 删除黑白名单 删除黑白名单接口 更新资产提示信息 提供更新资产的提示信息接口 新增黑白名单 新增黑白名单接口 同步资产 同步资产接口 切换资产防护状态 切换资产防护状态接口 查询黑白名单详情 查询黑白名单详情接口 切换黑白名单防护状态 提供切换黑白名单或白名单防护状态接口 更新黑白名单 提供更新黑名单或白名单接口 获取资产同步时间 获取资产同步时间接口 查询全部黑白名单 提供查询全部黑名单或白名单的接口 查询资产统计 查询资产统计接口 查询防护规则详情 提供查询防护规则详情的接口 查询日志配置详情 查询日志配置详情 查询防火墙流量日志 查询防火墙流量日志 查询防护规则 防护规则查询接口 定义防火墙的随机名称 给防火墙定义一个随机名称 判断防护能力是否升级 判断防护能力是否升级 查询资产 查询资产接口 查询防火墙的简要信息 查询防火墙的简要信息 查询黑白名单 查询黑白名单接口 获取vpc的子网列表 获取vpc的子网列表 获取用户的vpc列表 获取vpc的列表 获取防护规则统计数据 获取防护规则统计数据接口 获取ips规则类型列表 根据ips规则类型获取所有列表 查询防火墙详情 查询防火墙详情 查询ips规则 查询防火墙配置的ips规则 查询dpi详情 查询dpi配置详情 保存dpi配置 下发dpi配置并保存配置，实现配置持久化 查询操作日志 查询前端操作日志 查询全部应用 查询apr支持的全部应用

操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令：容器将会以该启动命令启动，请参见设置容器启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为“Entrypoint”和 "CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令 "Entrypoint"、"CMD"，规则如下： 表容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。设置方法请参见设置容器启动命令。 启动后处理 步骤 1 登录CCE控制台，在创建工作负载时，展开“生命周期”。 步骤 2 在“启动后处理”后，设置启动后处理的参数，如下表。 启动后处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /install.sh installagent 请在执行脚本中填写: /install installagent。这条命令表示容器创建成功后将执行install.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 停止前处理 步骤 1 登录CCE控制台，在创建工作负载配置生命周期过程中，选择“停止前处理”。 步骤 2 在“停止前处理”后，设置停止前处理的参数，如下表。 停止前处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /uninstall.sh uninstallagent 请在执行脚本中填写: /uninstall uninstallagent。这条命令表示容器结束前将执行uninstall.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 容器重启策略 Pod通过restartPolicy字段指定重启策略，重启策略类型为：Always、OnFailure和Never，默认为 Always。 restartPolicy仅指通过同一节点上的kubelet重新启动容器。 重启策略 说明 Always 当容器失效时，由kubelet自动重启该容器。 OnFailure 当容器终止运行且退出码不为0时，由kubelet自动重启该容器。 Never 不论容器运行状态如何，kubelet都不会重启该容器。 说明： 可以管理Pod的控制器有ReplicaSet Controller，Job，DaemonSet，及kubelet（静态Pod）。 RS和DaemonSet：必须设置为Always，需要保证该容器持续运行。 Job：OnFailure或Never，确保容器执行完后不再重启。 kubelet：在Pod失效的时候重启它，不论RestartPolicy设置为什么值，并且不会对Pod进行健康检查。 设置容器生命周期YAML样例 本节以nginx为例，说明kubectl命令设置容器生命周期的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为nginxdeployment.yaml的描述文件。其中，nginxdeployment.yaml为自定义名称，您可以随意命名。 vi nginxdeployment.yaml 在以下配置文件中，您可以看到postStart命令在容器目录/bin/bash下写了个install.sh 命令。 preStop执行uninstall.sh命令。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: restartPolicy: Always

AI 网关支持对MCP服务进行添加策略和配置插件,提高API的AI能力。 操作步骤 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入MCP服务详情页，切换到"策略与插件"页签。 4. 在启用策略/插件面板中，选择策略或插件进行配置。 策略配置 限流 当前实现为单机限流，基于时间窗口实现，可以配置时间窗口大小（秒）以及在一个时间窗口内限制的请求数。 配置 说明 时间窗口 进行限流统计的时间窗口 限制请求 时间窗口内允许的最大请求次数，超出的请求将会被拒绝 Header设置 Header配置支持对请求和响应的头部做修改。 配置 说明 开启状态 开启时策略才生效 Header类型 网关与后端交互时支持对请求和应答的头部做修改 操作类型 支持新增、修改、删除操作 新增：若header key已存在，则在末尾追加header value；否则新增 修改：若header key不存在，则新增header kv；否则覆盖已有header value值 删除：若header key存在，则删除；否则忽略该header key Header Key 头部Key Header Value 头部Value 跨域 AI网关支持跨域资源共享（CORS）。 CORS配置说明如下： 配置 说明 允许访问的来源 作用于AccessControlAllowOrigin头部，格式如：scheme://host:port，比如: 允许的方法 作用于AccessControlAllowMethods头部，表示允许的访问方法 允许的请求头部 作用于AccessControlAllowHeaders头部，允许跨域访问时请求方携带哪些CORS规范以外的Header，多个值使用','分割，''来表示所有Header均允许通过 允许的响应头部 作用于AccessControlExposeHeaders头部，允许浏览器和js脚本访问的响应头部 允许携带凭证 作用于AccessControlAllowCredentials头部 预检的过期时间 作用于AccessControlMaxAge头部 开启状态 开启时才生效

本节介绍云容器引擎的最佳实践: 开启控制面过载保护。 简介 容器集群控制面的资源是有限的，如果控制面处理的请求超出资源能力限制，会导致集群性能显著下降，无法正常工作，因此有必要对控制面进行过载保护，以确保控制面稳定性，提高集群的可用性和可靠性。 控制面过载保护策略及触发条件 Kubernetes 1.31.6及以上版本支持集群过载保护功能。 开启集群过载保护功能后，当集群控制平面资源压力较大时，系统将根据负载等级按比例拒绝外部流量，通过减少处理外部请求来缓解系统压力。 集群过载监控 在安装Prometheus插件的集群，查询apisreveroverloadlevel获取集群过载等级，操作指引参见 Prometheus监控指标探索。 指标值对应含义如下： 0: 正常，不拒绝外部流量 1: 轻度过载，拒绝25%外部流量 2: 中度过载，拒绝50%外部流量 3: 重度过载，拒绝75%外部流量 4: 熔断，拒绝所有外部流量 开启或关闭集群控制面过载保护操作步骤 1、订购集群时可选择开启过载保护（默认开启）。 2、创建集群后开启或关闭过载保护。 1）若当前集群未开启过载保护功能，在集群概览页面将会有跳转提示，若无提示说明当前集群已开启过载保护功能，可直接前往配置中心进行修改。 2）点击提示信息跳转到集群配置中心页面，选择开启或关闭过载保护点击“确认配置”。 3）确定更新并等待控制面更新重启完成。 注意 1、专有版集群暂不支持过载保护功能。 2、仅Kubernetes1.31.6及以上版本集群支持过载保护功能。 3、开启或关闭过载保护功能会导致控制面重启，期间会导致服务短暂不可用，请在业务低峰期时进行。

本文介绍了:云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本文主要 介绍 CCE发布Kubernetes 1.17版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.17版本所做的变更说明。 资源变更与弃用 apps/v1beta1和apps/v1beta2下所有资源不再提供服务，使用apps/v1替代。 extensions/v1beta1下daemonsets、deployments、replicasets不再提供服务，使用apps/v1替代。 extensions/v1beta1下networkpolicies不再提供服务，使用networking.k8s.io/v1替代。 extensions/v1beta1下podsecuritypolicies不再提供服务，使用policy/v1beta1替代。 extensions/v1beta1 ingress v1.20版本不再提供服务，当前可使用networking.k8s.io/v1beta1。 scheduling.k8s.io/v1beta1 and scheduling.k8s.io/v1alpha1下的PriorityClass计划在1.17不再提供服务，迁移至scheduling.k8s.io/v1。 events.k8s.io/v1beta1中event series.state字段已废弃，将在1.18版本中移除。 apiextensions.k8s.io/v1beta1下CustomResourceDefinition已废弃，将再1.19不在提供服务，使用apiextensions.k8s.io/v1。 admissionregistration.k8s.io/v1beta1 MutatingWebhookConfiguration和ValidatingWebhookConfiguration已废弃，将在1.19不在提供服务，使用admissionregistration.k8s.io/v1替换。 rbac.authorization.k8s.io/v1alpha1 and rbac.authorization.k8s.io/v1beta1被废弃，使用rbac.authorization.k8s.io/v1替代，v1.20会正式停止服务。 storage.k8s.io/v1beta1 CSINode object废弃并会在未来版本中移除。 其他废弃和移除 移除OutOfDisk node condition，改为使用DiskPressure。 scheduler.alpha.kubernetes.io/criticalpod annotation已被移除，如需要改为设置priorityClassName。 beta.kubernetes.io/os和beta.kubernetes.io/arch在1.14版本中已经废弃，计划在1.18版本中移除。 禁止通过nodelabels设置kubernetes.io和k8s.io为前缀的标签，老版本中kubernetes.io/availablezone该label在1.17中移除，整改为failuredomain.beta.kubernetes.io/zone获取AZ信息。 beta.kubernetes.io/instancetype被废弃，使用node.kubernetes.io/instancetype替代。 移除{kubeletrootdir}/plugins路径。 移除内置集群角色system:csiexternalprovisioner和system:csiexternalattacher。

与 NAS 相比，OSS 提供了便捷的工具以及控制台，支持可视化管理 Bucket，并在解决应用实例数据持久化和实例间数据分发问题的基础上，进一步降低成本。OSS适用于读多写少的场景，例如挂载配置文件或者前端静态文件等。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 挂载OSS指引 挂载OSS 展开持久化存储设置 区域，启用 OSS 对象存储 。配置Bucket、挂载目录、容器路径以及读写权限等相关信息。如需添加多条信息，请点击添加 。 取消挂载OSS 挂载 OSS 后，如果您不再使用 OSS 存储，可以取消挂载 OSS。在云应用引擎控制台取消挂载 OSS 后，您在 OSS 中所存储的数据仍然存在，不会被删除。具体操作为找到需要取消挂载的 OSS 配置条目，单击操作列的删除按钮。 配置项 说明 示例值 Bucket 已创建的 OSS Bucket。 bucketname 挂载目录 已创建的 OSS 目录或 OSS 对象。如果 OSS 挂载目录不存在，会触发异常。 示例如下： / tmp/osstest/ tmp/ossdemo.log 容器路径 CAE 的容器路径。如果路径已存在，会覆盖原有路径；如果路径不存在，会新建路径。 /home/admin/app/php/ 权限 容器路径对挂载目录资源的权限，取值如下： 只读 读写 只读

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 创建保密字典功能入口 1. 登录 CAE 控制台。 2. 在左侧导航栏选择配置管理 > 保密字典，进入保密字典管理页面。 3. 单击创建 ，在弹出的创建保密字典 面板，根据需求选择不同的保密字典类型，并根据下表说明完成参数配置 ，然后单击确认。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque 是默认的 Secret 类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque 类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储 TLS 证书相关的数据，当您的服务需要启用 HTTPS 访问时，可以使用这种类型的 Secret 来保存和管理 TLS 证书，以确保在 CAE 环境中的 Pod 中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得 Kubernetes 在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的 Secret 用于存储仓库用户名和密码或访问令牌，确保 CAE 在部署应用时能够拉取到私有镜像。

问题描述 云主机显示的Windows操作系统时间与本地标准时间不一致。 如图所示，操作系统显示的时间与本地标准时间不一致。 可能原因 因网络问题或系统进程干扰，系统时间可能产生偏差，导致与标准时间不符。 处理方式（一） 手动同步系统时间 1. 单击桌面右下角的“更改日期和时间设置”，打开“日期和时间”窗口。 2. 点击“Internet时间”页签。 3. 单击“更改设置”，并选择时间服务器源。默认时间服务器源为: “time.windows.com”。 4. 依次点击“立即更新 > 确定”按钮。 5. 对比Windows系统时间与本地标准时间是否一致。 处理方式（二） 您可以通过修改注册表来调整Windows系统的时间更新频率，具体步骤如下。 1. 快捷键“win+r”打开“运行”对话框，输入“regedit”进入注册表编辑器。 2. 在注册表编辑器中，依次展开以下路径：HKEYLOCALMACHINE > SYSTEM > CurrentControlSet > Services > W32Time > TimeProviders > NtpClient，在 "NtpClient" 下找到 "SpecialPollInterval" 键值。 3. 在"NtpClient" 下找到"SpecialPollInterval" 键值。 4. 设定时间同步周期。 “数值数据”中显示的数字正是自动对时的间隔（以秒为单位），输入您想要的更新频率（单位是秒）。例如，如果您希望系统每隔3600秒（1小时）更新一次时间，您可以输入"3600"。 5. 单击“确定”保存关闭对话框。 6. 配置完成后，打开“命令提示符”窗口（CMD），执行以下命令以刷新组策略并使更改生效： Gpupdate 。 7. 在Internet时间里查看，如下图所示，可见下一次同步计划时间已更新，且同步频率调整为每3600秒一次。

本节是版本升级概述。 云数据库GaussDB提供单个实例和批量实例就地升级、灰度升级、热补丁升级，支持用户手动进行内核版本升级。内核版本升级涉及性能提升、新功能或问题修复等。 如何查看内核版本 当前实例的版本信息可在实例“基本信息”页面，“数据库信息”模块的“数据库引擎版本”处查询。 升级方案介绍 GaussDB提供了多种升级方案： 表 升级方案 升级方式 操作方式 升级类型 适用场景 支持的回退方式 升级对业务的影响 建议的业务措施 热补丁升级 升级自动提交 在线升级 产品问题修复 自动 手动 全程无业务中断。 无。 就地升级 不涉及 离线升级 新功能上线 产品问题修复 自动 就地升级需要暂停业务约30分钟。 升级过程需要全程停止业务。 灰度升级 升级自动提交 在线升级 新功能上线 产品问题修复 自动 在升级主DN和CN的过程中分别会有一次10秒左右的业务中断，提交升级过程中可能会进行主备分布均衡，根据业务量等因素会有不同时长的业务中断。 增加业务重连机制。建议每次重连间隔1s，低压力期间（每分片3000TPS+4000QPS以内）重连总时长25s；可接受高压力期间（每分片6000TPS+10000QPS以内）重连总时长100s；高于可接受的高压力期间不建议升级。 灰度升级 升级待观察（滚动升级） 在线升级 新功能上线 产品问题修复 自动 手动 如果选择升级的AZ内包含主DN，每个主DN的升级会有一次10秒左右业务中断，如果选择升级的AZ内包含CN组件，升级时每个CN就会有一次10秒左右业务中断。 增加业务重连机制。建议每次重连间隔1s，低压力期间（每分片3000TPS+4000QPS以内）重连总时长25s；可接受高压力期间（每分片6000TPS+10000QPS以内）重连总时长100s；高于可接受的高压力期间不建议升级。

本节介绍了云数据库GaussDB 的参数调优建议。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参考“导出参数”，将参数导出后查看。 通过控制台界面修改参数值，请参见查看和修改实例参数。 查询 trackstmtsessionslot 作用：设置一个session缓存的最大的全量/慢SQL的数量。 影响：缓存的SQL定期会被写入到系统表，如果业务量很大，超过这个数量语句执行将不会被跟踪，直到落盘线程将缓存语句落盘，留出空闲的空间，但不影响SQL的执行。 effectivecachesize 作用：设置节点优化器在一次单一的查询中可用的磁盘缓冲区的有效大小。设置这个参数，还要考虑的共享缓冲区以及内核的磁盘缓冲区。另外，还要考虑预计的在不同表之间的并发查询数目，因为它们将共享可用的空间。这个参数对分配的共享内存大小没有影响，它也不会使用内核磁盘缓冲，它只用于估算。数值是用磁盘页来计算的，通常每个页面是8192字节。 取值范围：整型，1～INTMAX，单位为8KB。 影响：比默认值高的数值可能会导致使用索引扫描，更低的数值可能会导致选择顺序扫描。 enablestreamoperator 控制优化器对stream的使用。当该参数关闭时，可能会有大量关于计划不能下推的日志记录到日志文件中。 logmindurationstatement 作用：当某条语句的持续时间大于或者等于特定的毫秒数时，记录每条完成语句的持续时间。设置logmindurationstatement可以很方便地跟踪需要优化的查询语句。对于使用扩展查询协议的客户端，语法分析、绑定、执行每一步所花时间被独立记录。 影响：设置过低的阈值可能影响负载吞吐，1表示关闭此功能。

本节介绍SMB协议的文件存储如何挂载到Windows系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 本章节以Windows Server 2019操作系统为例进行SMB协议的文件存储的挂载。 同一文件存储不能同时支持NFS协议和SMB协议。 前提条件 在需要操作的地域创建虚拟私有云VPC。 已创建该VPC下的边缘虚拟机，以下将以操作系统为 Windows Server 2019 的边缘虚拟机为例。 已创建该VPC下的文件存储，协议类型为SMB，并获取到文件存储的挂载点名称。 如果需要跨VPC访问文件存储，需要配置对等连接以确保VPC网络互通。 操作步骤 1. 登录ECX控制台。 2. 点击【边缘虚拟机>实例】，进入边缘虚拟机界面，找到即将执行挂载操作的边缘虚拟机所在行。 3. 点击“登录”，使用VNC方式登录已创建好的Windows Server 2019的边缘虚拟机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具中执行以下命令。 REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 鼠标移到桌面左下角，右键点击“Windows徽标”按钮，点击打开“文件资源管理器”。 6. 在文件资源管理器的左侧栏找到“此电脑”，右键单击“此电脑”，选择“映射网络驱动器”。 7. 在弹出的对话框中输入文件存储的挂载点名称，即文件存储服务ip路径。 8. 单击“完成”。 9. 挂载成功后，已挂载的文件存储将显示在“此电脑”的网络位置中，您可以像使用普通文件存储一样进行创建、修改或删除文件。

本文主要介绍CCE发布Kubernetes 1.25版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.25版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.25版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.25 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.25变更说明 CCE v1.25集群的节点均默认采用Containerd容器引擎。 社区1.25 ReleaseNotes 清理iptables链的所有权 Kubernetes通常创建iptables链来确保这些网络数据包到达，这些iptables链及其名称属于Kubernetes内部实现的细节，仅供内部使用场景，目前有些组件依赖于这些内部实现细节，Kubernetes总体上不希望支持某些工具依赖这些内部实现细节。 在Kubernetes 1.25版本后，Kubelet通过IPTablesCleanup特性门控分阶段完成迁移，是为了不在NAT表中创建iptables链，例如KUBEMARKDROP、KUBEMARKMASQ、KUBEPOSTROUTING。 存储驱动的弃用和移除，移除云服务厂商的intree卷驱动。 社区1.24 ReleaseNotes 在Kubernetes 1.24版本后，Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。请使用自定义annotation。 在Kubernetes 1.24版本后，kubeapiserver移除参数address、insecurebindaddress、port、insecureport0。 在Kubernetes 1.24版本后，kubecontrollermanager和kubescheduler移除启动参数port0和address。 在Kubernetes 1.24版本后，kubeapiserver auditlogversion和auditwebhookversion仅支持audit.k8s.io/v1，Kubernetes 1.24移除audit.k8s.io/v1[alphabeta]1，只能使用audit.k8s.io/v1。 在Kubernetes 1.24版本后，kubelet移除启动参数networkplugin，仅当容器运行环境设置为Docker时，此特定于Docker的参数才有效，并会随着Dockershim一起删除。 在Kubernetes 1.24版本后，动态日志清理功能已经被废弃，并在Kubernetes 1.24版本移除。该功能引入了一个日志过滤器，可以应用于所有Kubernetes系统组件的日志，以防止各种类型的敏感信息通过日志泄漏。此功能可能导致日志阻塞，所以废弃。 VolumeSnapshot v1beta1 CRD在Kubernetes 1.20版本中被废弃，在Kubernetes 1.24版本中移除，需改用v1版本。 在Kubernetes 1.24版本后，移除自1.11版本就废弃的service annotation tolerateunreadyendpoints，使用Service.spec.publishNotReadyAddresses代替。 在Kubernetes 1.24版本后，废弃metadata.clusterName字段，并将在下一个版本中删除。 Kubernetes 1.24及以后的版本，去除了kubeproxy监听NodePort的逻辑，在NodePort与内核net.ipv4.iplocalportrange范围有冲突的情况下，可能会导致偶发的TCP无法连接的情况，导致健康检查失败、业务异常等问题。升级前，请确保集群没有NodePort端口与任意节点net.ipv4.iplocalportrange范围存在冲突。

云搜索服务是一款全托管的在线分布式搜索服务，可为用户提供结构化、非结构化数据的多条件检索、统计、报表服务，兼容开源组件原生接口。可助力企业搭建在线分布式搜索、日志统计报表、语义搜索功能。 机型映射表 机型名称 映射云主机名称 通用型 esearch4c16g s7.xlarge.4 通用型 esearch8c16g s7.2xlarge.2 通用型 esearch8c32g s7.2xlarge.4 通用型 esearch16c32g s7.4xlarge.2 通用型 esearch16c64g s7.4xlarge.4 通用型 esearch32c64g s7.8xlarge.2 通用型 esearch32c128g s7.8xlarge.4 计算型 esearch4c16g c7.xlarge.4 计算型 esearch8c16g c7.2xlarge.2 计算型 esearch8c32g c7.2xlarge.4 计算型 esearch16c32g c7.4xlarge.2 计算型 esearch16c64g c7.4xlarge.4 计算型 esearch32c64g c7.8xlarge.2 计算型 esearch32c128g c7.8xlarge.4 计算型 esearch64c128g c7.16xlarge.2 内存型 esearch4c32g m7.xlarge.8 内存型 esearch8c64g m7.2xlarge.8 内存型 esearch16c128g m7.4xlarge.8 通用增强型 esearcheis4c8g s8.xlarge.2 通用增强型 esearcheis4c16g s8.xlarge.4 通用增强型 esearcheis8c16g s8.2xlarge.2 通用增强型 esearcheis8c32g s8.2xlarge.4 通用增强型 esearcheis16c32g s8.4xlarge.2 通用增强型 esearcheis16c64g s8.4xlarge.4 通用增强型 esearcheis32c64g s8.8xlarge.2 计算增强型 esearcheic4c8g c8.xlarge.2 计算增强型 esearcheic4c16g c8.xlarge.4 计算增强型 esearcheic8c16g c8.2xlarge.2 计算增强型 esearcheic8c32g c8.2xlarge.4 计算增强型 esearcheic16c32g c8.4xlarge.2 计算增强型 esearcheic16c64g c8.4xlarge.4 计算增强型 esearcheic32c64g c8.8xlarge.2 内存增强型 esearcheim4c32g m8.xlarge.8 内存增强型 esearcheim8c64g m8.2xlarge.8 海光通用型 esearchh1s4c8g hs1.xlarge.2 海光通用型 esearchh1s4c16g hs1.xlarge.4 海光通用型 esearchh1s8c16g hs1.2xlarge.2 海光通用型 esearchh1s8c32g hs1.2xlarge.4 海光通用型 esearchh1s16c32g hs1.4xlarge.2 海光通用型 esearchh1s16c64g hs1.4xlarge.4 海光计算型 esearchh1c4c8g hc1.xlarge.2 海光计算型 esearchh1c4c16g hc1.xlarge.4 海光计算型 esearchh1c8c16g hc1.2xlarge.2 海光计算型 esearchh1c8c32g hc1.2xlarge.4 海光计算型 esearchh1c16c32g hc1.4xlarge.2 海光计算型 esearchh1c16c64g hc1.4xlarge.4 海光计算型 esearchh1c32c64g hc1.8xlarge.2 海光内存型 esearchh1m4c32g hm1.xlarge.8 海光内存型 esearchh1m8c64g hm1.2xlarge.8 海光4计算型 esearchh3c4c8g hc3.xlarge.2 海光4计算型 esearchh3c4c16g hc3.xlarge.4 海光4计算型 esearchh3c8c16g hc3.2xlarge.2 海光4计算型 esearchh3c8c32g hc3.2xlarge.4 海光4计算型 esearchh3c16c32g hc3.4xlarge.2 海光4计算型 esearchh3c16c64g hc3.4xlarge.4 海光4计算型 esearchh3c32c64g hc3.8xlarge.2 海光4计算型 esearchh3c32c128g hc3.8xlarge.4 海光4计算型 esearchh3c64c128g hc3.16xlarge.2 海光4内存型 esearchh3m4c32g hm3.xlarge.8 海光4内存型 esearchh3m8c64g hm3.2xlarge.8 海光4内存型 esearchh3m16c128g hm3.4xlarge.8 鲲鹏通用型 esearchk1s4c8g ks1.xlarge.2 鲲鹏通用型 esearchk1s4c16g ks1.xlarge.4 鲲鹏通用型 esearchk1s8c16g ks1.2xlarge.2 鲲鹏通用型 esearchk1s8c32g ks1.2xlarge.4 鲲鹏通用型 esearchk1s16c32g ks1.4xlarge.2 鲲鹏通用型 esearchk1s16c64g ks1.4xlarge.4 鲲鹏计算型 esearchk1c4c8g kc1.xlarge.2 鲲鹏计算型 esearchk1c4c16g kc1.xlarge.4 鲲鹏计算型 esearchk1c8c16g kc1.2xlarge.2 鲲鹏计算型 esearchk1c8c32g kc1.2xlarge.4 鲲鹏计算型 esearchk1c16c32g kc1.4xlarge.2 鲲鹏计算型 esearchk1c16c64g kc1.4xlarge.4 鲲鹏计算型 esearchk1c32c64g kc1.8xlarge.2 鲲鹏内存型 esearchk1m4c32g km1.xlarge.8 鲲鹏内存型 esearchk1m8c64g km1.2xlarge.8 飞腾通用型 esearchf1s4c8g fs1.xlarge.2 飞腾通用型 esearchf1s4c16g fs1.xlarge.4 飞腾通用型 esearchf1s8c16g fs1.2xlarge.2 飞腾通用型 esearchf1s8c32g fs1.2xlarge.4 飞腾通用型 esearchf1s16c32g fs1.4xlarge.2 飞腾通用型 esearchf1s16c64g fs1.4xlarge.4 飞腾计算型 esearchf1c4c8g fc1.xlarge.2 飞腾计算型 esearchf1c4c16g fc1.xlarge.4 飞腾计算型 esearchf1c8c16g fc1.2xlarge.2 飞腾计算型 esearchf1c8c32g fc1.2xlarge.4 飞腾计算型 esearchf1c16c32g fc1.4xlarge.2 飞腾计算型 esearchf1c16c64g fc1.4xlarge.4 飞腾内存型 esearchf1m4c32g fm1.xlarge.8 飞腾内存型 esearchf1m8c64g fm1.2xlarge.8

本章节介绍云原生API网关产品特性。 API网关 API网关同时具备传统的流量网关和业务网关功能，提供全局性和独立业务域级别的流量管理策略，支持Nacos、K8s和函数计算等多种服务发现方式，支持TLS加密通信和多种身份认证方式，构筑安全的流量入口。 功能集 功能 功能详情 实例管理 实例管理 支持网关实例的订购、查看、退订、版本升级、升降配操作 实例管理 接入点管理 支持关联ELB，实现网关公网访问以及入站负载均衡 实例管理 策略管理 支持实例级绑定IP黑白名单、自定义响应等策略 实例管理 可观测 支持实例级监控分析 API管理 API生命周期管理 支持API在线设计、调试、发布、下线等生命周期管理 API管理 多版本管理 支持多版本共存 API管理 快照管理 支持发布历史查看、在线版本切换等功能 API管理 策略管理 支持API绑定限流、跨域、重写、认证、熔断等多种策略 API管理 可观测 支持API级监控分析 路由管理 匹配管理 支持请求路径、请求头、请求方法、请求参数、Cookie等匹配条件 路由管理 策略管理 支持路由绑定限流、跨域、重写、认证、熔断等多种策略 路由管理 可观测 支持路由级监控分析 服务来源与服务管理 容器服务 支持从CCE发现并导入服务 服务来源与服务管理 注册配置中心 支持从Nacos和Eureka发现并导入服务 服务来源与服务管理 函数计算 支持从函数计算发现并导入服务 服务来源与服务管理 固定地址/域名 指定IP地址或域名作为上游服务 域名管理 域名管理 支持域名管理，支持HTTP、HTTPS协议 域名管理 证书管理 支持证书管理 插件市场 插件管理 支持插件安装、卸载 插件市场 插件配置管理 支持插件配置启用、停用、绑定、解绑 插件市场 插件分类 丰富的插件分类，传输协议、安全防护、认证鉴权、流量管控等多种插件扩展支持 消费者管理 消费者管理 支持消费者新增、编辑、删除、启用、停用等 消费者管理 消费者授权 支持消费者授权、解除授权，支持实例级、API级、路由级多维授权范围

本节介绍了:创建一个无状态工作负载——创建工作负载及服务的用户指引。 进入云容器引擎控制台，在集群选项卡中选择一个集群进入集群详情界面。选择工作负载 > 无状态 > 新增 选择命名空间，创建一个Deployment 配置项说明 配置项 说明 Deployment名称 工作负载的名称 数据卷（选填） 为容器提供存储，目前支持临时路径、主机路径、配置文件、本地卷（Local PV）、NFS、Ceph，还需挂载到容器的指定路径中。 实例数量 工作负载的副本数，可选择手动设置或自动伸缩。 实例内容器 工作负载中的容器实例配置，可配置一个或多个。 容器名称 容器实例的名称 镜像及镜像版本 支持选择容器镜像服务企业版、容器镜像服务个人版的镜像。 CPU/内存限制 Request用于预分配资源，当集群中的节点没有request所要求的资源数量时，容器会创建失败。Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多。 环境变量（选填） 支持配置容器的环境变量。 启动执行（选填） 启动执行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数。 启动执行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数。 启动后处理 容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数。 停止前处理 容器停止前执行，常用于资源清理；每个输入框仅输入一个命令或参数。 容器健康检查 存活检查：检查容器是否正常，不正常则重启实例。 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例。 特权级容器 容器开启特权级，将拥有宿主机的root权限。 Container安全上下文 为Container设置安全上下文，仅适用于该Container：若Pod、Container层面都设置了用户、用户组、Selinux上下文，Container的设置会覆盖Pod的设置。 访问设置 配置Service访问负载

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容 为保障您的账户安全、避免额外损失，请务必仔细阅读安全风险提示的全部内容 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本章节主要向您介绍什么是IP地址组。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址，您可以将其添加到一个IP地址组内。IP地址组无法独立使用，需要将IP地址组关联至对应的资源，可关联IP地址组的资源说明如下表所示。 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，安全组sgA的的入方向规则的源地址使用IP地址组ipGroupA。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，网络ACLfwA的入方向规则的源地址使用IP地址组ipGroupA。 IP地址组应用示例 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 IP地址组的使用限制 对于关联IP地址组的安全组，其中IP地址组相关的规则对某些类型的云主机不生效，不支持的规则如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） GPU加速型（G1型、G2型） 在网络ACL的规则中使用IP地址组时，有以下限制： 对于入方向规则，源地址和目的地址只能有一方使用IP地址组。 对于出方向规则，源地址和目的地址只能有一方使用IP地址组。比如网络ACL入方向规则中的源地址已使用IP地址组，则目的地址只能是IP地址，无法选择IP地址组。