本节介绍云容器引擎的最佳实践：合理分配容器资源。 CPU和内存是节点重要的资源，分配不当时可能导致容器频繁重启或者被驱赶，甚至导致节点宕机。特别是内存这类不可压缩的资源。 Kubernetes 将运行的 Pod 分为不同的 QoS 类，QoS 类由 Pod 中容器的资源请求（request）和限制（limit）决定。当 Node 资源不足时，Kubernetes 会根据 QoS 类驱逐可驱逐的 Pod。此外，Pod 或因超过限制（limit）被 kubelet 终止，或因没有限制而导致节点 OOM。 Kubernetes QoS 类有Guaranteed、Burstable、BestEffort。 Guaranteed Guaranteed Pod 具有最严格的资源限制，且最不可能被驱逐。在这些 Pod 未超过其资源的limit，或没有可从 Node 抢占的低优先级 Pod 之前，它们不会被kill。即它们只能使用其指定的资源限制。Pod 被赋予 Guaranteed QoS 类的几个判断： Pod 中的每个容器必须有 CPU 和内存的 request 和 limit 对于 Pod 中的每个容器，CPU 和内存的 limit 必须分别等于 CPU 和内存的 request Burstable Burstable Pod 具有基于请求的资源下限保证，但不需要资源限制。如果未指定资源limit，则默认为节点容量。这允许 Burstable Pod 在资源可用时灵活地增加其资源。在由于节点资源压力导致 Pod 被驱逐的情况下，Burstable Pod 只会在所有 BestEffort Pod 被驱逐后才会被驱逐。Burstable Pod 可以包括没有资源 limit 或 request 的容器，因此可以尝试使用任意数量的节点资源。 Pod 不满足 QoS 类 Guaranteed 的判定依据 Pod 中至少一个容器有CPU或内存的 request 或 limit

本节介绍了：云容器引擎发布 Kubernetes 1.23版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.23 Changelog 1. FlexVolume弃用，推荐使用 CSI。 2. IPv4/IPv6 双栈网络 GA，使用双栈网路非强制要求。 3. HorizontalPodAutoscaler v2版本 GA，HorizontalPodAutoscaler autoscaling/v2beta2 API已弃用，建议使用 autoscaling/v2。 4. 通用临时卷功能 GA，此功能允许存储驱动程序动态供应临时卷，其生命周期与 Pod一致。 5. 跳过卷所有权变更功能 GA，此功能允许用户在 Pod 挂载存储卷时跳过递归地权限变更，从而加速 Pod 启动 6. PodSecurity 升级到Beta，取代已经弃用的 PodSecurityPolicy。Kubernetes 1.23中 PodSecurity 默认启用 更多信息请参考：Kubernetes 1.23 Changelog Kubernetes 1.22 Changelog 1. Ingress将移除 extensions/v1beta1 和 networking.k8s.io/v1beta1，Ingress影响7层路由转发能力，推荐使用 networking.k8s.io/v1 2. 资源 ValidatingWebhookConfiguration和 MutatingWebhookConfiguration admissionregistration.k8s.io/v1beta1 API将不再支持，继续使用老版本API将影响 Webhook的正常运行，建议使用 admissionregistration.k8s.io/v1 3. 资源 CustomResourceDefinition apiextensions.k8s.io/v1beta1 API将不再支持，继续使用老板本 API创建 CRD，将影响 Controller 的调协，建议使用 apiextensions.k8s.io/v1 4. APIService apiregistration.k8s.io/v1beta1已弃用，APIService影响 APIServer aggregator的路由，推荐更新为 apiregistration.k8s.io/v1 5. Kubernetes 发版节奏从一年4次改为一年3次 更多信息请参考：Kubernetes 1.22 Changelog

本节主要介绍导出参数模板。 操作场景 您可以导出您创建的数据库实例参数列表，生成一个新的参数模板，供您后期使用。请参考应用参数模板将导出的参数模板应用到新的实例。 您可以将该实例对应的参数模板信息（参数名称，值，描述）导出到CSV中，方便查看并分析。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏选择“实例管理”，单击指定实例名称，进入基本信息页面。 4. 在左侧导航栏选择“参数修改”，单击参数页签下的“导出”。 图1 导出参数模板 导出到参数模板。将该实例对应参数列表导出并生成一个参数模板，供您后期使用。 在弹出框中，填写新参数模板名称和描述，单击“确定”。 说明 参数模板名称在1位到64位之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!<"&'特殊字符。 创建完成后，会生成一个新的参数模板，您可在“参数模板管理”页面的对其进行管理。 导出到文件。将该实例对应的参数模板信息（参数名称，值，描述）导出到CSV表中，方便用户查看并分析。 在弹出框中，填写文件名称，单击“确定”。 说明 文件名称在4位到81位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。

本节为您介绍云迁移服务CMS服务器迁移中Windows迁移任务相关配置。 迁移盘符 您可以在此设置所需“迁移盘符”及“目的盘符”。 说明 Windows迁移任务，盘符配置必须对C盘进行配置。当有多物理盘符时，目标机重新启动后要于磁盘管理中进行脱机磁盘联机，手动调整驱动号与源机保持一致。 自定义分区 1. 在“配置迁移任务”界面，单击“重置目标分区”进行分区。 2. 若磁盘分区类型是MBR，则要选择主分区的分区类型，分区类型为主分区则输入主分区大小和驱动器号。 说明 系统盘符要勾选系统分区选项，后续其余盘符请勿重复勾选系统盘符选项。 3. 完成配置后，单击“确认分区”。 说明 指定了系统分区才可以对目标机分区，如果驱动器号或者分区大小不合规，则无法执行分区操作。 开始迁移 1. 单击“开始迁移”，执行迁移任务。 2. 在开始迁移确认提示框单击“确定”。 3. 系统进入迁移任务配置中的状态。 4. 稍等片刻出现任务追踪面板，即可在此观察迁移任务进度。

开始修复 任务状态为“核查完成”且存在差异项，平台能下发修复任务，修复目标机与源机的差异项。 在“操作”下拉单击“开始修复”。 单击“开始修复”后，需点击再次确认的弹框，单击确认后，即可开始比对修复。 下发“开始修复”操作后，任务状态变为“修复中”。 取消修复 任务状态为“修复中”，可以在“任务追踪”界面进行“取消修复”。 在“操作”下拉单击“取消修复”，过程中需要单击“确定”。 迁移阶段切换到“修复取消”。 引导修复 在源机完成全量迁移后，或者结束增量、核查、修复的任务后（包括取消核查、取消修复），可以下发引导修复任务，目标机进入引导修复状态，引导修复完毕后，目标机自动重启。引导修复操作会根据任务配置中的网卡配置信息，自动配置目标机IP地址。自动进行驱动安装和天翼云agent安装。 1. 在“操作”下拉单击“引导修复”。 2. CMSSMS进入引导修复模式，引导修复模式会自动修复引导程序、配置公有云IP地址、安装天翼云必要的驱动程序。 3. 引导修复完成后，任务状态会变为目标机已恢复，此时可以登录目标机进行校验。

本文主要介绍 节点最多可以创建多少个Pod。 节点可以创建最大Pod数量由如下参数决定。 节点可分配容器IP数（alpha.cce/fixPoolMask）：在创建CCE集群时配置，仅网络模型为“VPC网络”需要配置。 节点最大实例数（maxPods）：在创建节点时配置，是kubelet的配置项。 节点上最多能创建多少个Pod，取决于这几个参数的最小值。 对于“容器隧道网络”的集群，仅取决于节点最大实例数。 对于“VPC网络”的集群，取决于节点最大实例数和[节点可分配容器IP 数的最小值，即 min(节点最大实例数, 节点可分配容器IP数) 。 对于“云原生2.0网络”的集群（CCE Turbo集群），取决于节点最大实例数和CCE Turbo集群节点网卡数量中的最小值。建议节点最大实例数不要超过节点网卡数，否则当节点规格可分配网卡不足时Pod实例可能无法正常调度。 节点可分配容器IP数 在创建CCE集群时，如果网络模型选择“VPC网络”，会让您选择每个节点可供分配的容器IP数量。 该参数会影响节点上可以创建最大Pod的数量，因为每个Pod会占用一个IP（使用容器网络），如果可用IP数量不够的话，就无法创建Pod。 节点默认会占用掉3个容器IP地址（网络地址、网关地址、广播地址），因此节点上 可分配给容器使用的IP数量 您选择的容器IP数量 3 ，例如上面图中可分配给容器使用的IP数量为 1283125。

本文为您介绍如何通过快照对Elasticsearch实例进行恢复。 利用已有快照通过恢复功能将实例恢复至指定快照状态 约束限制 1. 仅限恢复至当前实例或同一资源池内实例，不支持跨资源池恢复。 2. 实例正在恢复中时不支持重启、删除当前实例，也不支持删除正在恢复的快照。 前提条件 快照列表中快照状态为“已生成”，实例状态为“运行中”。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要恢复的实例，进入实例详情，在备份管理的快照列表中找到需要恢复的快照，点击“备份恢复”。 2. 选择要恢复的目标实例，目标实例须在运行中，不能正在执行处理任务或异常状态。 3. 填写恢复的参数，支持全部实例恢复和指定部分索引恢复。指定索引恢复时，需要先确保实例中没有同名称的索引存在。支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。 4. 支持对恢复的索引进行重命名，请填写重命名匹配模式的正则表达式，在恢复时，将根据文本框中定义的过滤条件去筛选快照中符合条件的索引。同时，您需要填写重命名替换模板，将根据上述匹配到的索引以您指定的规则模版进行重命名恢复。填写框支持0～1024个字符，不支持大写字母、空格以及字符" /?。 5. 单击确定开始恢复，当恢复信息对应记录变为“已完成”即恢复成功，您可通过索引管理查看对应索引的恢复情况。

本文为您介绍如何使用ECI快速部署Tensorflow。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 准备工作 1. 准备训练数据和容器镜像。 1. 训练数据：本文以Github的一个TensorFlow训练任务为例。 2. 容器镜像：在最佳实践中，已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 2. 创建镜像缓存。在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。 3. 创建NAS文件系统。在文件存储控制台创建文件系统。NAS文件系统需和ACK Serverless集群处于同一VPC。

本页面介绍云数据库ClickHouse续订与退订。 续订限制说明 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 手动续订 适用范围 续订仅针对包月包年产品。 按需资源及包月包年转按需资源不可续订。已退订或已释放资源不可续订。 续订规则 包月包年资源开通成功后，用户可对其进行续订操作。 若资源到期后续订，续订周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 手动续订操作 用户随时可以手动续订包月包年且未退订、未释放的资源，延长相关资源的使用时间。 手动单个续订方式1 1. 控制台资源管理界面找到所需续订的资源，点击“操作”下面的更多，点击“续费”，将跳转续订页面。 2. 在续订页面调整所需续订周期后，提交续订订单并完成支付。 说明 当续订周期达到1年或以上时，续订单将可享受包年折扣，续订金额显示折后价。

本小节介绍云解析的功能特性。 域名解析功能 提供标准规范的DNS解析服务，支持A、CNAME、MX、TXT、AAAA、SRV、NS等解析记录类型，解析记录数无限制。 记录类型 说明 A 地址记录，用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 CNAME 一种特殊类型的DNS记录，用来创建域名的别名。如果需要将域名指向另一个域名，再由另一个域名提供IP地址，就需要添加CNAME记录。 AAAA 地址记录，用来指定域名对应的IPv6地址。 TXT 文本记录，绝大多数的TXT记录是用来做SPF记录（反垃圾邮件）。 MX 邮件交换记录，用来指定由哪台邮件服务器负责接收给定域名网站的邮件，主要对给定域名网站的邮件接收服务器进行记录。如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。 SRV 服务器资源记录。 NS 域名服务器记录，用来指定某个子域名由哪个DNS服务器解析。 域名和域名记录自助管理 通过Web方式实现域名及其解析记录的管理、增加、修改、删除、查询等功能。 抗DDoS攻击能力 通过自研的DNS抗DDoS专用产品，可有效的对攻击DNS的DDoS报文实现准确识别和清洗。 安全监测 域名权威解析服务器的正确性监测：监控域名服务器的记录和地址，可有效发现域名篡改/劫持情况。 域名权威解析服务器可用性监测：监测目标权威解析服务器的服务响应数据，判定域名权威解析服务器全网的可用性。 网站拨测：通过对目标域名的定时拨测，及时识别目标服务故障，保障用户互联网服务的高可用。

本小节介绍如何修改默认密码。 确认防火墙的版本 确认是R7及之前的版本还是R8及之后的版本。 1.R7及之前版本的登录页面。 2.R8及以后版本的登录页面。 R7及之前版本修改密码 当前版本较老，修改完成密码后建议确认好一个窗口时间（需要升级两次15分钟），然后在天翼云平台上提交升级需求单会有工程师联系进行升级。 1.登录防火墙进入系统→设备管理→管理员页面； 2.勾选需要修改密码的账号，再点击编辑； 3.在密码框里输入新的密码，点击确认。留存好新的密码。 R8及以后版本修改密码 1.登录防火墙后点击右上角的账号。 2.点击修改密码。 3.输入原始密码及修改后的密码点击确认，留存好更新后的密码。 密码安全提醒 为了您的业务安全，请不要使用默认密码，并定期对您的密码进行修改。建议密码长度不小于8个字符，包含大写字母、小写字母、数字和特殊符号中的至少3种，并且每3个月更换一次密码。如您需要技术人员协助修改密码，请通过官网工单系统或拨打4008109889热线电话与我们联系。

查看恢复任务 上方步骤完成后，可于基础恢复列表查看恢复任务。 1. 在实例列表中，单击目标实例名称，进入实例基本信息 页面，然后单击备份恢复。 2. 选择基础恢复列表，可以查看所创建的恢复任务。 3. 可查看恢复记录，恢复源实例，目标实例，开始时间和结果。 恢复实例Q&A 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果非运行中或异常，需要等待实例为运行中才可以进行恢复到当前实例。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 可检查目标实例的状态是否正常。 目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本，因为高内核版本的实例无法恢复到低内核版本的实例。 目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果不同，也无法恢复。 目标实例实例与源实例若备份类型为云硬盘，则需要注意目标实例与源实例的VPC需要一致，若为对象存储，则可以跨VPC恢复。 目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 目标实例如果为带只读的MGR实例，也无法进行恢复。 源实例具备tde功能，但是目标实例不具备，也将无法进行恢复。

此小节介绍Web应用防火墙的计费模式。 计费模式 独享模式：支持包年/包月和按需计费方式。 内容安全检测：支持包年/包月和按需计费方式。 文本安全监测（按年） 文本安全监测（按月） 内容安全单次检测（按需） 按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。 包年包月 计费说明： 包年包月计费，一种预付费模式，即先付费再使用，一般为包年包月的购买形式。 支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 适用场景： 适用于较稳定的业务场景。 需要长期使用，追求低成本。 注意 包周期模式仅支持WAF实例创建类别为：资源租户类型。 按需计费 计费说明： 按需计费根据资源的结算周期进行结算。一般按需计费的结算周期有小时/日/月等，在达到结算周期时，系统会生成账单，进行扣费。 如果账户余额不足，资源将进入保留期，需要在保留期完成缴费，超过保留期，所使用资源将被关停并收回资源。 适用场景： 业务发展有较大波动性，且无法进行准确预测。 资源使用有临时性和突发性特点。

本节介绍数据加密的计费说明，数据加密会根据您的使用情况和购买的版本计费。 计费模式 数据加密包含密钥管理和专属加密两个服务，不同的服务计费模式不同。 密钥管理：按需计费模式，根据密钥个数或API的请求次数计费。用户需要为自己创建或导入的所有用户主密钥，以及超出免费次数的API请求支付费用。 专属加密：包年/包月计费模式，专属加密根据您购买的专属加密实例版本和设备型号进行包年/包月收费。 说明 包年包月计费，一种预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 按量计费，一种后付费模式，即先使用再付费，在结算时会按实际资源使用量收取费用。 计费项 DEW根据您的使用情况和购买的版本计费。计费项说明如下： 服务名称 计费模式 计费项 计费说明 密钥管理(KMS) 按需计费 密钥实例 按创建成功或导入成功的密钥实例进行按需计费，以小时为单位，不设最低消费标准。 密钥管理(KMS) 按需计费 API请求次数 免费请求次数为20000次，超出的部分进行计费，以万次为单位。 专属加密(DHSM) 包年/包月 服务版本 按购买的版本：实行包月、包年的计费模式。

本节介绍如何购买网页防篡改配额。 网页防篡改功能为付费的增值服务，需要单独购买。 首次使用网页防篡改功能时，请按如下步骤开通网页防篡改功能。 操作步骤 1. 登录网页防篡改（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改 > 防护状态”，在页面右上角单击“购买配额”。 首次使用网页防篡改功能时，进入如下页面，单击“立即升级”。 3. 在订购页面配置购买数量和购买时长。 配置“购买数量”：购买数量需大于等于1。 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为1个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 选择“购买时长”，可拖动时间轴设置购买时长。 4. 确认配置参数和配置费用，阅读《天翼云网页防篡改（原生版）服务协议》，并勾选“我已阅读并同意相关协议《天翼云网页防篡改（原生版）服务协议》“，单击“立即购买”。 5. 进入“付款”页面，完成付款。 购买完成后，即可进入防护配额页面，查看已购买的配额。

本节主要介绍功能特性 微服务引擎是微服务应用的云中间件，可为用户提供注册发现、服务治理、配置管理等企业级应用服务能力。 服务注册与发现 微服务引擎的注册发现中心Apache ServiceComb Service Center是一款restful风格的、高可用无状态的服务注册发现中心，提供微服务发现和微服务管理功能。服务提供者可以将自身的实例信息注册到注册发现中心，以供服务消费者发现并使用。 微服务治理 提供熔断、隔离、限流、负载均衡等微服务治理能力。微服务架构存在一些常见的故障模式，通过这些治理能力，能够减少故障对于整体业务的影响，避免产生雪崩效应。 服务配置管理 配置管理可为所有微服务提供统一的配置管理视图，有效降低配置管理的复杂性，搭配服务治理控制台，可在微服务运行态对微服务的行为进行调整，满足不升级应用即可适配业务场景变化的业务诉求。 灰度发布 为保障新特性平稳上线，可以先选择少部分用户试用，待新特性成熟以后，再让所有用户使用。微服务引擎的灰度发布功能可以保证整体系统的稳定，在初始灰度的时候就可以发现、调整问题，降低版本升级风险。 微服务仪表盘 微服务引擎可将有关联的微服务间调用依赖关系进行可视化展现，并提供各微服务实例的接口运行统计，如吞吐量、时延和调用成功率等指标，并集成在实时监控仪表盘中。

本章节介绍如何创建敏感数据识别任务。 数据安全中心DSC将根据您创建的识别任务，自动识别敏感数据并生成识别数据和结果，自动识别的范围在选定的OBS桶、数据库、大数据或MRS。 在创建任务时，可以选择多个场景的规则组，实现为同一资产配置多个场景的扫描任务。 前提条件 已添加OBS、数据库或大数据源资产，具体操作请参见资产列表。 已创建敏感数据规则组，具体操作请参见新增敏感数据规则组。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4. 在敏感数据任务列表的左上角，单击“新建任务”。 5. 在弹出的“新建任务”对话框中，配置任务基本信息，相关参数说明如下表所示。 参数 参数说明 取值样例 开启任务 是否开启敏感数据识别任务，系统默认开启任务。 任务名称 您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 任务名称不能与已有的任务名称重复。 数据类型 选择识别的数据类型。可多选。 OBS，添加OBS资产，参考添加OBS资产章节。 数据库，添加云数据库资产，参考添加云数据库章节。 大数据，添加大数据源资产，参考添加大数据源资产章节。 MRS，添加Hive资产，参考添加MRS资产。 数据库 识别规则组 选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 识别模式 选择检测任务的扫描模式： 快速识别：根据规则组进行扫描，实现数据分布快速识别。 全量识别：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。 快速扫描 识别周期 选择任务的识别周期： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，需要设置“启动时间”，即在每天的固定时间执行该识别任务。 每周：选择该选项，需要设置“启动时间”，即在设定的时间以及每周这一时间点执行该识别任务。 每月：选择该选项，需要设置“启动时间”，即在设定的时间以及每月这一时间点执行该识别任务。 单次 执行计划 “扫描周期”选择“单次”时，显示该参数。 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。 定时启动：在指定时间执行一次该识别任务。 立即执行 启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。 设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 告警通知的具体操作请参见告警通知。 6. 单击“确定”，完成敏感数据识别任务的创建。

监控Agent简介 通过在主机上安装云监控Agent，为您提供主机的系统监控、进程监控等服务。 系统要求 目前只支持Linux操作系统和Windows操作系统。支持的系统如下： 操作系统 版本 Linux 天翼云提供的公共Linux镜像均支持 Windows 天翼云提供的公共Windows镜像均支持 在部分区域，对于使用标准公共版本镜像的服务器，可以在云主机详情页监控 单击“一键安装监控Agent”来实现一键安装新的监控。 安装位置 监控Agent在云主机上的安装位置如下： Linux：/usr/bin/telegraf Windows：C:Program Filesctyuntelegraftelegraf 端口说明 云主机监控Agent通过TCP协议访问远程服务器的 10063和10064 端口， 用于心跳检测与监控数据上报，以及用于查看配置和更改日志级别等。 性能说明 资源 性能说明 CPU 当监控插件稳定运行时，一般CPU的消耗小于1% 内存 当监控插件稳定运行时，一般内存的占用小于64M 插件安装包 64M 支持安装监控Agent的地区及Agent安装包下载路径 地区名称 Agent安装包下载路径 华北2 Linux： Windows： 西南2 Linux： Windows： 青岛20 Linux： Windows： 上海15 Linux： Windows： 南昌5 Linux： Windows： 华南2 Linux： Windows： 广州6 Linux： Windows： 西南1 Linux： Windows： 芜湖4 Linux： Windows： 贵阳42 Linux： Windows： 沈阳8 Linux： Windows： 杭州7 Linux： Windows： 北京9 Linux： Windows： 西安7 Linux： Windows： 西安5 Linux： Windows： 太原4 Linux： Windows： 郑州5 Linux： Windows： 常州69 Linux： Windows： 上海32 Linux： Windows： 武汉41 Linux： Windows： 华东1 Linux： Windows： 南宁23 Linux： Windows： 上海36 Linux： Windows： 上海7 Linux： Windows： 内蒙6 Linux： Windows： 北京5 Linux： Windows： 九江 Linux： Windows： 拉萨3 Linux： Windows： 杭州2 Linux： Windows： 长沙42 Linux： Windows： 中卫5 Linux： Windows： 石家庄20 Linux： Windows： 南京5 Linux： Windows： 晋中 Linux： Windows： 贵州3 Linux： Windows： 辽阳1 Linux： Windows： 福州25 Linux： Windows： 合肥2 Linux： Windows： 注意 除以上地区外，若需要下载监控Agent安装包，请参考云监控Agent管理。

查看基线检查详情 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 约束限制 未开启防护不支持基线相关操作。 前提条件 配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。 检查项列表 检查项 说明 配置检查 目前支持的检测标准及类型如下： 1、Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOSext。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows2008、Windows2012、Windows2016、Windows2019。 口令复杂度策略检测 检测系统帐号的口令复杂度策略。 经典弱口令检测 通过与弱口令库对比，检测帐号口令是否属于常用的弱口令。 支持MySQL、FTP及系统帐号的弱口令检测。 查看配置检查 查看配置检查的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、 无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。 云安全实践 等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、单击目标检查项“操作”列的“检测详情”，查看检查项描述、审计描述和修改建议。 您需要确认检查的风险项是否是致命或需要修改的风险。 如果是，可根据修改建议对目标检查项进行修改。如果不是，可在配置检查项列表页面单击目标检查项“操作”列的“忽略”操作进行忽略。 查看检查项详情 查看口令复杂度策略检测 查看口令复杂度策略检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“口令复杂度策略检测”页签，查看口令复杂度策略检测的风险统计项及修改建议，参数说明如表59所示。 口令复杂度策略检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 口令长度 目标服务器的口令长度是否符合标准。 符合 不符合 大写字母 目标服务器的口令大写字母是否符合标准。 符合 不符合 小写字母 目标服务器的口令小写字母是否符合标准。 符合 不符合 数字 目标服务器的口令数字是否符合标准。 符合 不符合 特殊字符 目标服务器的口令特殊字符是否符合标准。 符合 不符合 建议 对目标服务器发现的口令风险的修改建议。 查看经典弱口令检测 查看经典弱口令检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“经典弱口令检测”页签，查看服务器中存在风险的弱口令帐号的统计，参数说明如表所示。 经典弱口令检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 帐号名称 目标服务器中被检测出是弱口令的帐号。 帐号类型 帐号的类型。 弱口令使用时长（单位：天） 目标弱口令使用的时间周期。 注意 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 口令设置建议：设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。 导出基线检查报告 在基线检查页面，可对配置检查和经典弱口令检查详情进行导出，列表右上角单击 ，可将所有云服务器的配置检测风险列表下载到本地。 不支持对单个云服务器执行导出。 单次最大导出告警数为5000条。

子账号使用流程 前置条件 子账号为IAM普通用户角色且已登录到训推智算服务平台 子账号使用流程 若子账号为IAM管理员角色，则其拥有全部操作权限，操作流程和主账号别无二致，故角色为IAM管理员的子账号使用流程参见主账号使用流程章节；角色为IAM普通用户的子账号，使用流程如下： 子账号的使用流程主要是为了进行任务作业，具体步骤如下： 流程 子任务 说明 详细指导 数据集准备与处理 创建基础数据集 可上传基础数据集到ZOS或HPFS 基础数据集 数据集准备与处理 创建标注数据集 创建标注数据集，可对数据集进行标注，并发布为新的数据集 标注数据集 数据集准备与处理 数据清洗 可以对数据 数据处理 镜像准备 预置镜像 预置镜像即平台预先设置的完整镜像，可直接用于创建任务时使用 预置镜像 镜像准备 自定义镜像 可以通过开发机自主制作镜像或通过天翼云容器镜像服务将镜像服务内的容器共享给训推智算服务平台 [自定义镜像](

本节介绍分布式消息服务RocketMQ相关的产品规格,以便您正确理解和使用。 （1）以下适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 注意 通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 天翼云分布式消息服务RocketMQ版产品规格由以下五个维度定义： 资源规格：定义使用的弹性云服务器的规格类型。 代理个数：即Broker数量，定义实例的规模，天翼云分布式消息RocketMQ每个Broker由一个Master节点（主节点）和一个Slave节点（备节点）组成，详细见产品架构。 存储容量：定义单个代理可以保存的存储容量。 单个代理TPS：定义单个代理的TPS性能。 单个代理消费组数上限：定义单个代理可以创建的消费组数量。 天翼云分布式消息服务RocketMQ支持的产品规格如下所示： 说明 TPS（Transaction per second）是指每秒可以生产消息和消费消息的总次数，可以理解为对应规格每秒生产消息和消费消息的总吞吐量。

本文主要介绍如何安装一键式重置密码插件(Linux) 操作场景 为了保证使用生成的镜像创建的新云主机可以实现一键式重置密码功能，建议您安装密码重置插件CloudResetPwdAgent，可以应用一键式重置密码功能，给云主机设置新密码。 操作步骤 1.下载一键式重置密码插件CloudResetPwdAgent。 说明 虚拟机需要绑定弹性公网IP才能自动更新一键式重置密码插件。 下载并解压软件包CloudResetPwdAgent.zip。 32位操作系统下载地址 64位操作系统下载地址 2.执行以下命令，解压软件包CloudResetPwdAgent.zip。 unzip o d 插件解压目录 CloudResetPwdAgent.zip 安装一键式重置密码插件对插件的解压目录无特殊要求，请自定义。例如插件解压的目录为“/home/PwdAgent/test”，则命令如下： unzip o d /home/PwdAgent/test CloudResetPwdAgent.zip 3.安装一键式重置密码插件。 a.执行以下命令，进入文件CloudResetPwdUpdateAgent.Linux。 cd CloudResetPwdAgent/CloudResetPwdUpdateAgent.Linux b.执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh c.执行以下命令，安装插件。 sudo sh setup.sh d.执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status service cloudResetPwdUpdateAgent status 如果服务CloudResetPwdAgent和CoudResetPwdUpdateAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

本章节主要介绍如何查看天翼云物理机的创建状态。 操作场景 用户创建物理机服务器后，可以通过“申请状态”栏查看任务的创建状态。创建物理机服务器的任务可以包括创建物理机服务器资源、绑定弹性公网IP、挂载云硬盘等子任务。 申请状态栏的任务状态包括如下两类： 处理中：指系统正在处理的请求。 处理失败：指未能成功处理的请求。对于处理失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（BMS.3033）创建系统卷失败。” 本节介绍如何查看物理机服务器的申请状态以及申请状态栏的提示信息说明。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机服务器页面。 3. 常用操作“开机、关机、重启、删除”的右侧即为“申请状态”，用户执行创建物理机服务器操作后，申请状态栏将显示该任务的创建状态。 图 申请状态 4. 单击“申请状态”栏对应的数字，即可查看“处理中”的任务和“处理失败”任务的详情，查看物理机服务器的创建状态。 图 申请状态详情 说明 如果用户发现申请状态栏显示创建物理机服务器的任务失败，而物理机服务器列表中显示该服务器已创建成功，关于此问题请参见

APM适合多种运维监控场景,此篇例举部分应用场景如下。 场景一：定位应用性能瓶颈与故障异常 场景说明 随着业务不断发展，业务逻辑日益复杂，导致应用性能问题分析与定位日益艰难，给监控运维带来了巨大的挑战： 应用之间的依赖关系复杂，难以梳理。 调用链路长，排查和定位群体困难。 接口调用、数据库调用关系复杂，管理难度大。APM提供了大型分布式应用的异常诊断能力，当应用出现请求失败或性能下降时，通过应用拓扑、调用链、性能指标监控等能力组合，可以帮助用户快速定位问题。 业务价值 应用拓扑展示：自动梳理业务应用，以拓扑图的方式全面展示相关应用调用关系。 丰富的指标监控：提供包括JVM、资源监控、Netty内存等基础监控；Kafka、RocketMQ等消息监控；Mysql，redis，es等数据库监控；httpClient、grpc等调用监控。 慢SQL分析：通过自定义的慢查询阈值、结合SQL的调用频次，获取导致数据库性能下降的不规范的SQL语句。 告警：针对接口响应时间、异常调用、数据库、JVM等性能指标做一定阈值的告警，先于客户之前发现并解决问题。 场景二：容器运维监控 场景说明 众所周知，Prometheus 是容器场景的最佳监控工具，但自建 Prometheus 对运维人力有限的中小企业成本过高，对业务快速发展的企业又易出现性能瓶颈。因此使用云托管 Prometheus 已成为越来越多上云企业的首选。

背景 当下的云原生时代，容器逐渐成为软件部署的标准。为了提升开发效率，函数计算提供容器镜像函数，开发者可以把自己的容器镜像作为函数的运行内容。容器镜像函数具备以下优点： 低成本迁移，保持环境一致。简化分发和部署的步骤。 容器镜像具备分层缓存能力，提高镜像上传拉取效率。 基本原理 函数计算平台在创建容器镜像函数时，选择自己的CRS仓库镜像，并需要输入用户名和密码，启动实例会拉取您选择的镜像，拉取成功后，根据指定的启动命令启动您的镜像。 容器镜像需要有HTTP Server。函数计算通过配置的端口监听容器内的HTTP Server，此HTTP Server将接管函数计算的所有请求，包括通过API调用和通过HTTP调用的请求。您在开发函数具体的交互逻辑之前，一般需要确认开发的是通过API调用函数还是通过HTTP请求调用函数，原理如下所示： 使用限制 镜像大小限制 最大支持10 GB（普通实例）的未解压镜像。 镜像仓库 支持拉取天翼云容器镜像服务的镜像。 镜像访问 仅支持同账号同地域下私有镜像仓库读取。 容器内文件读写权限 容器UID默认是Root用户ID，即 UID0。如果您在Dockerfile中指定了具体的使用者，则会以指定的使用者运行该容器镜像。

本文介绍资源共享者的相关功能 资源共享者是资源的创建方，是共享资源的所有者。 创建共享实例 一个共享实例应包括资源所有者、资源使用者、所共享资源、赋予共享使用者的权限。 1. 进入天翼云官网，点击右上角个人信息，进入账号中心，选择企业中心，进入资源共享界面。 2. 进入“我的共享”“共享管理”，点击右上角“创建共享” 3. 创建共享实例步骤： 1. 指定共享资源 编辑共享实例名称及描述 选择所需共享的资源 选择产品与资源池 选定共享资源并拉入选中框 2. 为共享实例分配权限 选择到共享的资源类型，点击下拉扩展按钮； 从默认的系统权限中选择共享使用者所允许的权限范围 若同一共享实例包含多款产品，不同产品均需单独选择系统策略 3. 为共享资源指定使用者 选择共享范围 仅允许在组织内共享：指共享的资源只能在企业中心组织成员内部查看与使用。 允许共享给天翼云任何账号：可以通过输入天翼云账号ID，共享匹配到任何天翼云账号，包括未归属于当前企业组织的账号。 选择账号查询方式 支持通过组织视图选择或者通过输入天翼云账号ID进行选择指定共享使用者。 查看天翼云账号ID的方式 ：账号ID可通过“统一身份认证”“概览”页面的“账号信息”“账号ID”中进行复制提取。

本小节介绍查看容器防护配额列表。 节点列表展示了云容器引擎服务（CCE）中集群节点的防护状态、节点状态和Agent状态，帮助您实时了解节点的安全状态。 约束限制 仅支持Linux系统。 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持容器相关操作。 查看节点列表 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、在左侧导航栏中，选择“资产管理 > 容器管理”，单击“容器节点管理”。 4、选择“节点列表”页签，查看节点防护状态。节点列表参数说明如表所示。 节点列表参数 参数名称 说明 服务器名称 目标服务器名称。 容器防护状态 节点的防护状态，包括： 未防护 防护中 服务器状态 运行中 不可用 正常 Agent状态 在线 离线 未安装 查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 配额信息 参数名称 参数说明 配额版本 容器安全企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。

本文介绍AOneMail服务能力。 什么是AOneMail 边缘安全加速平台提供防钓鱼邮箱客户端，通过本地规则引擎、云端情报库、慧泽大模型等能力，对邮件进行检测和过滤，识别并拦截可能的钓鱼邮件，以防止敏感信息的泄露和恶意软件的传播。 注意事项 AOneMail已集成至AOne2.15.4及以上版本客户端，若已订购零信任服务/终端管理，可按照零信任服务（远程办公）进行快速接入。 服务能力 功能 描述 安装与登录 AOne零信任客户端首次点击云邮箱加载完成后，会自动打开新增账户界面，可进行邮件账户与服务器信息配置来进行邮箱的登录。 邮箱设置 支持邮箱基础参数配置，如邮箱通知、账户设置、邮件读写等，个性化邮箱使用场景。 收发邮件 实现邮件接收与发送功能，可对接不同邮件服务器，实时收取新邮件并支持邮件发送至目标地址。 撰写邮件 提供邮件编辑界面，支持添加主题、收件人、附件，编辑正文内容，完成新邮件的创建与发送操作。 通讯录 用于存储联系人邮箱、姓名、电话等信息，支持分组管理，便于撰写邮件时快速选取收件人。 钓鱼检测服务 通过智能算法识别钓鱼邮件，拦截含危险链接、恶意附件的邮件，保障用户账户安全，防范钓鱼攻击。 AOneMail常见问题 汇总用户使用过程中高频问题（如登录异常、邮件收发失败等），提供对应的解决方案与操作指引，辅助用户自助排障。

本页介绍了IPv6的相关介绍和带宽绑定使用方法。 前提条件 要开通具备IPv6 连接地址的DDS实例。 VPC开启IPv6请参考开启/关闭虚拟私有云IPv6。 操作步骤 绑定带宽 文档数据库服务产品支持对可用实例进行IPv6绑定操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 在“节点信息”操作列，更多下拉框，点击“绑定带宽”，在弹窗中选择相应的带宽。或者点击“查看IPv6带宽”，去到网络控制台申请IPv6带宽进行绑定。 5. 点击“确定”完成IPv6带宽绑定。 解绑带宽 文档数据库服务产品支持对可用实例进行IPv6解绑操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 在“节点信息”操作列，更多下拉框，点击“解绑带宽”，并在弹窗中确认，即可解绑带宽。 说明 当前仅 当前IPv6 仅支持x86架构通用型、计算增强型、内存优化型资源。 集群版实例只支持mongos节点可以绑定解绑带宽。

介绍关系数据库MySQL版在安全上的表现。 关系数据库MySQL版是天翼云自研的新一代高性能企业级关系数据库。MySQL 支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展关系型数据库。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 MySQL 为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署、按时间点恢复数据等功能。这些特性可以帮助租户更好地管理和保护数据库。 网络隔离 MySQL 实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，MySQL 会为租户分配此子网的 IP 地址，用于连接数据库。MySQL 实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

查看恢复任务 完成恢复操作后，您可以在基础恢复列表查看详细的恢复任务信息。 1. 在实例列表中，单击目标实例名称，进入实例基本信息 页面，然后单击备份恢复。 2. 选择基础恢复列表，可以查看所创建的恢复任务。 支持查看恢复记录、恢复源实例、目标实例开始时间和结果信息。 恢复实例Q&A 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果非运行中或异常，需要等待实例为运行中才可以进行恢复到当前实例。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 可检查目标实例的状态是否正常。 目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本，因为高内核版本的实例无法恢复到低内核版本的实例。 目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果不同，也无法恢复。 目标实例实例与源实例若备份类型为云硬盘，则需要注意目标实例与源实例的VPC需要一致，若为对象存储，则可以跨VPC恢复。 目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 目标实例如果为带只读的MGR实例，也无法进行恢复。 源实例具备tde功能，但是目标实例不具备，也将无法进行恢复。

本章节主要介绍集群绑定和解绑ELB。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接时，利用域名解析的轮询特点，可以解决此问题。但内网域名仅限内网使用，使用公网域名访问时，还是存在CN单点问题，同时当前也不能在CN故障时进行请求转发，因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB），解决集群访问的单点问题。 弹性负载均衡（ELB）是将访问流量根据转发策略分发到后端多台弹性云主机的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。了解更多，请参见：弹性负载均衡用户指南。 利用ELB健康检查机制可将集群的CN请求快速转发到正常工作的CN节点上，当有CN故障节点时，也能第一时间切换流量到健康节点上，最大化降低集群访问故障。 当前支持两种类型的ELB操作，如下： 绑定ELB 解绑ELB 说明 该特性仅8.1.1.200及以上集群版本支持。 为保证集群负载均衡和高可用，避免CN单点故障问题，客户生产业务下，要求集群创建后进行ELB绑定。