本节介绍云容器引擎的最佳实践: 开启控制面过载保护。 简介 容器集群控制面的资源是有限的，如果控制面处理的请求超出资源能力限制，会导致集群性能显著下降，无法正常工作，因此有必要对控制面进行过载保护，以确保控制面稳定性，提高集群的可用性和可靠性。 控制面过载保护策略及触发条件 Kubernetes 1.31.6及以上版本支持集群过载保护功能。 开启集群过载保护功能后，当集群控制平面资源压力较大时，系统将根据负载等级按比例拒绝外部流量，通过减少处理外部请求来缓解系统压力。 集群过载监控 在安装Prometheus插件的集群，查询apisreveroverloadlevel获取集群过载等级，操作指引参见 Prometheus监控指标探索。 指标值对应含义如下： 0: 正常，不拒绝外部流量 1: 轻度过载，拒绝25%外部流量 2: 中度过载，拒绝50%外部流量 3: 重度过载，拒绝75%外部流量 4: 熔断，拒绝所有外部流量 开启或关闭集群控制面过载保护操作步骤 1、订购集群时可选择开启过载保护（默认开启）。 2、创建集群后开启或关闭过载保护。 1）若当前集群未开启过载保护功能，在集群概览页面将会有跳转提示，若无提示说明当前集群已开启过载保护功能，可直接前往配置中心进行修改。 2）点击提示信息跳转到集群配置中心页面，选择开启或关闭过载保护点击“确认配置”。 3）确定更新并等待控制面更新重启完成。 注意 1、专有版集群暂不支持过载保护功能。 2、仅Kubernetes1.31.6及以上版本集群支持过载保护功能。 3、开启或关闭过载保护功能会导致控制面重启，期间会导致服务短暂不可用，请在业务低峰期时进行。

本文介绍了:云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本文主要 介绍 CCE发布Kubernetes 1.17版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.17版本所做的变更说明。 资源变更与弃用 apps/v1beta1和apps/v1beta2下所有资源不再提供服务，使用apps/v1替代。 extensions/v1beta1下daemonsets、deployments、replicasets不再提供服务，使用apps/v1替代。 extensions/v1beta1下networkpolicies不再提供服务，使用networking.k8s.io/v1替代。 extensions/v1beta1下podsecuritypolicies不再提供服务，使用policy/v1beta1替代。 extensions/v1beta1 ingress v1.20版本不再提供服务，当前可使用networking.k8s.io/v1beta1。 scheduling.k8s.io/v1beta1 and scheduling.k8s.io/v1alpha1下的PriorityClass计划在1.17不再提供服务，迁移至scheduling.k8s.io/v1。 events.k8s.io/v1beta1中event series.state字段已废弃，将在1.18版本中移除。 apiextensions.k8s.io/v1beta1下CustomResourceDefinition已废弃，将再1.19不在提供服务，使用apiextensions.k8s.io/v1。 admissionregistration.k8s.io/v1beta1 MutatingWebhookConfiguration和ValidatingWebhookConfiguration已废弃，将在1.19不在提供服务，使用admissionregistration.k8s.io/v1替换。 rbac.authorization.k8s.io/v1alpha1 and rbac.authorization.k8s.io/v1beta1被废弃，使用rbac.authorization.k8s.io/v1替代，v1.20会正式停止服务。 storage.k8s.io/v1beta1 CSINode object废弃并会在未来版本中移除。 其他废弃和移除 移除OutOfDisk node condition，改为使用DiskPressure。 scheduler.alpha.kubernetes.io/criticalpod annotation已被移除，如需要改为设置priorityClassName。 beta.kubernetes.io/os和beta.kubernetes.io/arch在1.14版本中已经废弃，计划在1.18版本中移除。 禁止通过nodelabels设置kubernetes.io和k8s.io为前缀的标签，老版本中kubernetes.io/availablezone该label在1.17中移除，整改为failuredomain.beta.kubernetes.io/zone获取AZ信息。 beta.kubernetes.io/instancetype被废弃，使用node.kubernetes.io/instancetype替代。 移除{kubeletrootdir}/plugins路径。 移除内置集群角色system:csiexternalprovisioner和system:csiexternalattacher。

与 NAS 相比，OSS 提供了便捷的工具以及控制台，支持可视化管理 Bucket，并在解决应用实例数据持久化和实例间数据分发问题的基础上，进一步降低成本。OSS适用于读多写少的场景，例如挂载配置文件或者前端静态文件等。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 挂载OSS指引 挂载OSS 展开持久化存储设置 区域，启用 OSS 对象存储 。配置Bucket、挂载目录、容器路径以及读写权限等相关信息。如需添加多条信息，请点击添加 。 取消挂载OSS 挂载 OSS 后，如果您不再使用 OSS 存储，可以取消挂载 OSS。在云应用引擎控制台取消挂载 OSS 后，您在 OSS 中所存储的数据仍然存在，不会被删除。具体操作为找到需要取消挂载的 OSS 配置条目，单击操作列的删除按钮。 配置项 说明 示例值 Bucket 已创建的 OSS Bucket。 bucketname 挂载目录 已创建的 OSS 目录或 OSS 对象。如果 OSS 挂载目录不存在，会触发异常。 示例如下： / tmp/osstest/ tmp/ossdemo.log 容器路径 CAE 的容器路径。如果路径已存在，会覆盖原有路径；如果路径不存在，会新建路径。 /home/admin/app/php/ 权限 容器路径对挂载目录资源的权限，取值如下： 只读 读写 只读

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 创建保密字典功能入口 1. 登录 CAE 控制台。 2. 在左侧导航栏选择配置管理 > 保密字典，进入保密字典管理页面。 3. 单击创建 ，在弹出的创建保密字典 面板，根据需求选择不同的保密字典类型，并根据下表说明完成参数配置 ，然后单击确认。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque 是默认的 Secret 类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque 类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储 TLS 证书相关的数据，当您的服务需要启用 HTTPS 访问时，可以使用这种类型的 Secret 来保存和管理 TLS 证书，以确保在 CAE 环境中的 Pod 中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得 Kubernetes 在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的 Secret 用于存储仓库用户名和密码或访问令牌，确保 CAE 在部署应用时能够拉取到私有镜像。

问题描述 云主机显示的Windows操作系统时间与本地标准时间不一致。 如图所示，操作系统显示的时间与本地标准时间不一致。 可能原因 因网络问题或系统进程干扰，系统时间可能产生偏差，导致与标准时间不符。 处理方式（一） 手动同步系统时间 1. 单击桌面右下角的“更改日期和时间设置”，打开“日期和时间”窗口。 2. 点击“Internet时间”页签。 3. 单击“更改设置”，并选择时间服务器源。默认时间服务器源为: “time.windows.com”。 4. 依次点击“立即更新 > 确定”按钮。 5. 对比Windows系统时间与本地标准时间是否一致。 处理方式（二） 您可以通过修改注册表来调整Windows系统的时间更新频率，具体步骤如下。 1. 快捷键“win+r”打开“运行”对话框，输入“regedit”进入注册表编辑器。 2. 在注册表编辑器中，依次展开以下路径：HKEYLOCALMACHINE > SYSTEM > CurrentControlSet > Services > W32Time > TimeProviders > NtpClient，在 "NtpClient" 下找到 "SpecialPollInterval" 键值。 3. 在"NtpClient" 下找到"SpecialPollInterval" 键值。 4. 设定时间同步周期。 “数值数据”中显示的数字正是自动对时的间隔（以秒为单位），输入您想要的更新频率（单位是秒）。例如，如果您希望系统每隔3600秒（1小时）更新一次时间，您可以输入"3600"。 5. 单击“确定”保存关闭对话框。 6. 配置完成后，打开“命令提示符”窗口（CMD），执行以下命令以刷新组策略并使更改生效： Gpupdate 。 7. 在Internet时间里查看，如下图所示，可见下一次同步计划时间已更新，且同步频率调整为每3600秒一次。

本节是版本升级概述。 云数据库GaussDB提供单个实例和批量实例就地升级、灰度升级、热补丁升级，支持用户手动进行内核版本升级。内核版本升级涉及性能提升、新功能或问题修复等。 如何查看内核版本 当前实例的版本信息可在实例“基本信息”页面，“数据库信息”模块的“数据库引擎版本”处查询。 升级方案介绍 GaussDB提供了多种升级方案： 表 升级方案 升级方式 操作方式 升级类型 适用场景 支持的回退方式 升级对业务的影响 建议的业务措施 热补丁升级 升级自动提交 在线升级 产品问题修复 自动 手动 全程无业务中断。 无。 就地升级 不涉及 离线升级 新功能上线 产品问题修复 自动 就地升级需要暂停业务约30分钟。 升级过程需要全程停止业务。 灰度升级 升级自动提交 在线升级 新功能上线 产品问题修复 自动 在升级主DN和CN的过程中分别会有一次10秒左右的业务中断，提交升级过程中可能会进行主备分布均衡，根据业务量等因素会有不同时长的业务中断。 增加业务重连机制。建议每次重连间隔1s，低压力期间（每分片3000TPS+4000QPS以内）重连总时长25s；可接受高压力期间（每分片6000TPS+10000QPS以内）重连总时长100s；高于可接受的高压力期间不建议升级。 灰度升级 升级待观察（滚动升级） 在线升级 新功能上线 产品问题修复 自动 手动 如果选择升级的AZ内包含主DN，每个主DN的升级会有一次10秒左右业务中断，如果选择升级的AZ内包含CN组件，升级时每个CN就会有一次10秒左右业务中断。 增加业务重连机制。建议每次重连间隔1s，低压力期间（每分片3000TPS+4000QPS以内）重连总时长25s；可接受高压力期间（每分片6000TPS+10000QPS以内）重连总时长100s；高于可接受的高压力期间不建议升级。

本节介绍了云数据库GaussDB 的参数调优建议。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参考“导出参数”，将参数导出后查看。 通过控制台界面修改参数值，请参见查看和修改实例参数。 查询 trackstmtsessionslot 作用：设置一个session缓存的最大的全量/慢SQL的数量。 影响：缓存的SQL定期会被写入到系统表，如果业务量很大，超过这个数量语句执行将不会被跟踪，直到落盘线程将缓存语句落盘，留出空闲的空间，但不影响SQL的执行。 effectivecachesize 作用：设置节点优化器在一次单一的查询中可用的磁盘缓冲区的有效大小。设置这个参数，还要考虑的共享缓冲区以及内核的磁盘缓冲区。另外，还要考虑预计的在不同表之间的并发查询数目，因为它们将共享可用的空间。这个参数对分配的共享内存大小没有影响，它也不会使用内核磁盘缓冲，它只用于估算。数值是用磁盘页来计算的，通常每个页面是8192字节。 取值范围：整型，1～INTMAX，单位为8KB。 影响：比默认值高的数值可能会导致使用索引扫描，更低的数值可能会导致选择顺序扫描。 enablestreamoperator 控制优化器对stream的使用。当该参数关闭时，可能会有大量关于计划不能下推的日志记录到日志文件中。 logmindurationstatement 作用：当某条语句的持续时间大于或者等于特定的毫秒数时，记录每条完成语句的持续时间。设置logmindurationstatement可以很方便地跟踪需要优化的查询语句。对于使用扩展查询协议的客户端，语法分析、绑定、执行每一步所花时间被独立记录。 影响：设置过低的阈值可能影响负载吞吐，1表示关闭此功能。

本节介绍SMB协议的文件存储如何挂载到Windows系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 本章节以Windows Server 2019操作系统为例进行SMB协议的文件存储的挂载。 同一文件存储不能同时支持NFS协议和SMB协议。 前提条件 在需要操作的地域创建虚拟私有云VPC。 已创建该VPC下的边缘虚拟机，以下将以操作系统为 Windows Server 2019 的边缘虚拟机为例。 已创建该VPC下的文件存储，协议类型为SMB，并获取到文件存储的挂载点名称。 如果需要跨VPC访问文件存储，需要配置对等连接以确保VPC网络互通。 操作步骤 1. 登录ECX控制台。 2. 点击【边缘虚拟机>实例】，进入边缘虚拟机界面，找到即将执行挂载操作的边缘虚拟机所在行。 3. 点击“登录”，使用VNC方式登录已创建好的Windows Server 2019的边缘虚拟机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具中执行以下命令。 REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 鼠标移到桌面左下角，右键点击“Windows徽标”按钮，点击打开“文件资源管理器”。 6. 在文件资源管理器的左侧栏找到“此电脑”，右键单击“此电脑”，选择“映射网络驱动器”。 7. 在弹出的对话框中输入文件存储的挂载点名称，即文件存储服务ip路径。 8. 单击“完成”。 9. 挂载成功后，已挂载的文件存储将显示在“此电脑”的网络位置中，您可以像使用普通文件存储一样进行创建、修改或删除文件。

本文介绍了:云容器引擎发布Kubernetes 1.29版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.29 版本Changelog 1. Kubernetes 1.29 版本，API 优先级和公平性（AFP）正式 GA，该特性以更细粒度的方式对请求进行分类和隔离。它还引入了有限的排队量，因此在非常短暂的突发情况下不会拒绝任何请求。请求使用公平排队技术从队列中分派，例如，行为不佳的控制器不会影响其他控制器（即使在相同的优先级）。 2. APIListChunking 正式 GA，该特性支持对 List 请求进行分页，减少一次性返回数据太多而导致的性能问题。 3. ServiceNodePortStaticSubrange 达到 GA，该特性将 NodePort 划分为静态段和动态段，在 NodePort 自动分配时，则优先从动态段进行分别，降低与静态段分配到时端口冲突的概率。 4. ReadWriteOncePod 正式 GA，该特性允许用户在 PVC 中配置访问模式 ReadWriteOncePod，确保只有一个 Pod 可以修改存储中的数据。 5. CRD 验证表达式语言正式 GA，该特性支持在 CRD 验证时使用表达式语言（CEL）定义验证规则，对比 webhook 更加简单高效。 6. PodHostIPs 升级到 Beta 阶段，该特性支持将 Node IP 暴露给 Pod。 7. 原生边车容器 升级到 Beta 阶段，该特性以 restartPolicy 设置为 Always 的方式声明，原生边车容器适用于批处理、日志采集等场景。 8. Job Pod 更换策略升级到 Beta 阶段，该特性使用 Failed 阶段代替删除时间戳不为空作为 Pod 替换的条件，避免出现删除过程中的 Pod 占用索引和节点资源。 9. Job Pod 逐索引的回退限制达到 Beta 阶段，该特性可以避免持续失败的带索引的 Job Pod 进行不必要的失败重试，达到优化资源利用的目的。 更多信息请参考：Kubernetes 1.29 Changelog

本节介绍了云容器引擎的最佳实践:Ingress。 修改自定义端口 1、点击目标容器集群名称，进入集群详情页。 2、在菜单栏【插件】中选择【插件市场】，安装nginxingresscontroller插件。 3、安装插件时指定IngressController插件http及https端口。 4、您也可通过查看插件详情，按需修改端口重新安装插件即可。 配置基础用户名和密码 步骤一：创建用户名和密码 1、使用htpasswd工具创建一个包含用户名和密码的文件auth，例如添加一个名为foo的用户，该用户的密码是123456。 2、输入 cat auth查看文件auth，即可查看htpasswd工具生成的用户名和密码的加密形式。 步骤二：新增secret文件 1、点击目标容器集群名称，进入集群详情页。 2、在菜单栏【配置管理】中选择【保密字典】，点击【新增】。 3、创建一个名为“basicauth”的Secret对象，将auth作为变量名，步骤一htpasswd工具生成的用户名和密码的加密形式作为变量值填入。 4、查看Secret的yaml文件，填入后变量值会自动进行Base64加密。 注：当使用这个Secret对象来进行身份验证时，Ingress控制器会解码这里的Base64字符串，使用其中的用户名和密码来验证用户的身份。如果提供的用户名和密码与这里存储的一致，用户将被允许访问相应的资源。

本文主要介绍 CCE发布Kubernetes 1.21版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.21版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.21版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.21 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 操作系统 CentOS Linux release 7.6 1.21版本开始CCE集群 Centos7.6节点docker存储模式使用overlayfs CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 社区1.21 ReleaseNotes CronJob现在已毕业到稳定状态，版本号变为batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段，以拒绝更改。此拒绝可保护集群免受可能无意中中断应用程序的更新。因为这些资源是不可变的，kubelet不会监视或轮询更改。这减少了kubeapiserver的负载，提高了可扩展性和性能。更多信息，请参见Immutable ConfigMaps。 优雅节点关闭现在已升级到测试状态。通过此更新，kubelet可以感知节点关闭，并可以优雅地终止该节点的Pod。在此更新之前，当节点关闭时，其Pod没有遵循预期的终止生命周期，这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统，并通知正在运行的Pod，使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。 PodSecurityPolicy废弃，详情请参见 BoundServiceAccountTokenVolume特性进入Beta，该特性能够提升服务账号（ServiceAccount）Token的安全性，改变了Pod挂载Token的方式，Kubernetes 1.21及以上版本的集群中会默认开启。

普通IO、高IO、通用型SSD、超高IO、极速型SSD云硬盘采用三副本数据冗余技术,提高数据的可靠性。 什么是三副本数据冗余？ 数据三副本技术是一种在分布式存储系统中使用的数据冗余技术。它的原理是将数据分块后的三个副本保存在集群中不同的节点上，以提高数据的可靠性和容错性。 数据三副本技术的基本原理如下： 数据复制：当数据被写入分布式存储系统时，系统会自动将该数据分块并复制为三个副本。 副本分布：这三个副本将分散存储在不同的物理节点或存储设备上，以减少副本之间的关联性。这样，即使某个存储节点或设备发生故障，其他节点上的副本仍然可用。 容错和数据恢复：如果一个副本不可用或损坏（例如由于存储节点故障或硬件故障），系统可以使用其他副本中的数据来实现容错和数据恢复。系统会自动检测并修复副本中的数据错误或丢失。 三副本技术架构如图： 三副本技术怎样确保数据一致性？ 数据一致性表示当应用写一份数据到存储系统时，存储系统中的3个数据副本必须保持数据一致。且当应用再次读取这些数据时，任意副本上的数据和之前写入的数据都是一致的。 通常从两个角度确保数据一致性： 应用程序写数据时，会向存储系统中写入三份数据副本。只有当三个副本都写入成功后，存储系统才会向应用程序返回写入成功响应。 如果有数据副本无法读取，则存储系统会自动从其他已保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，自动修复损坏的副本，确保数据一致性。

本文简要介绍如何创建前缀列表。 前缀列表是一些网络前缀（即CIDR地址块）的集合，您可以在配置其他资源的网络规则时引用前缀列表。本文介绍如何新建一个前缀列表。 操作场景 您可以创建前缀列表，即CIDR地址块的集合，在配置其他资源（例如安全组）的网络规则时引用前缀列表。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 点击页面右上角“创建前缀列表”按钮，进入创建前缀列表页面。 6. 根据界面提示配置参数，设置前缀列表信息；参数说明如下： 参数 说明 名称 输入前缀列表名称 最大条目数 设置前缀列表的最大条目容量，创建后不可更改。取值范围：1~200 地址族 选择IPv4或者IPv6地址族，创建后不可更改。 如果选择IPv4地址族，在前缀列表条目中只能设置IPv4的CIDR地址块。 如果选择IPv6地址族，在前缀列表条目中只能设置IPv6的CIDR地址块。 前缀列表条目 设置前缀列表的CIDR地址块信息。支持新增多条CIDR地址块和描述信息。 前缀列表条目的约束如下： 1、添加的总条目数量不能超过您设置的 最大条目容量。 2、条目中的CIDR地址块类型根据地址族决定，一个前缀列表不能同时包含IPv4和IPv6的CIDR地址块。 3、条目中的CIDR地址块不能重复。 描述 设置前缀列表的描述信息。 7. 点击“确认”按钮，即可完成前缀列表的创建。

本文介绍弹性文件存储卷概述。 Serverless集群支持使用天翼云弹性文件存储卷。当前cstorcsi插件支持使用弹性文件静态存储卷，通过将弹性文件存储卷挂载到容器指定目录下，以实现数据持久化需求。 弹性文件提供按需扩展的高性能文件存储，可为云上多个弹性云主机、容器、物理机等计算服务提供大规模共享访问，具备高可用性和高数据持久性。提供标准的POSIX文件访问接口，可以将现有应用与文件存储无缝集成。 使用限制 规格类型 当前cstorcsi插件支持SFS Turbo标准型、SFS Turbo性能型。 文件协议 当前cstorcsi插件仅支持NFS协议。 容量 单个文件系统最小容量为500GB。 文件系统加密 当前暂不支持使用加密。 性能规格 SFS Turbo标准型、SFS Turbo性能型规格对比：弹性文件性能对比。 说明 最大IOPS、最大带宽两个参数的值均为读写总和，比如最大IOPSIOPS读+IOPS写。 最大IOPS大小与容量无关。 时延是指低负载情况下的最低延迟，非稳定时延。 使用场景 根据业务需求，弹性文件类型的存储常见以下使用场景： 使用弹性文件动态存储卷（暂不支持）：即用户无需预先创建文件系统和PV，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建文件系统及对应PV资源，推荐使用。 使用弹性文件静态存储卷：即用户预先创建文件系统，并创建对应的PV资源。之后在创建PVC时选择已有PV进行挂载。适用于已有可用的底层存储或底层存储需要包周期的场景。 有状态负载挂载弹性文件：支持有状态负载通过PVC模版的方式，实现为每一个Pod关联一个独有的PVC及PV，当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。

使用保密字典设置Pod的环境变量 1. 通过命令行进行配置。 创建example.yaml配置文件，具体示例内容如下： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: username valueFrom: secretKeyRef: name: secretdemo key: username name: password valueFrom: secretKeyRef: name: secretdemo key: password 执行以下命令，配置保密字典。 PowerShell kubectl apply f example.yaml 在上述示例中，我们定义了一个Pod，并在其中添加了一个名为mycontainer 容器，接着为其定义了两个环境变量username和password，并使用valueFrom和secretKeyRef来引用Secret中的值。secretKeyRef的name属性用于指定Secret 的名称，key属性用于指定需要使用的Secret 中对应的键名。通过上述方式，在容器中就可以使用username和paasword环境变量，来获取Secret 中的用户名和密码信息。 2. 通过控制台进行配置。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“创建deployment” 。详细操作步骤请参阅Serverless 容器引擎使用快速入门 。 6. 在“数据卷（选填）”中添加目标保密字典的数据卷。 7. 在实例内容器中的环境变量区域单击“新增变量” ，类型选择“秘钥键值导入”，变量/变量引用选择在创建保密字典中新建的Secret，再分别选择Secret的Key以及填写它们对应的变量名。 本次示例配置如下所示：

本文将介绍如何在集群中管理保密字典。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 背景信息 在 Kubernetes 中，保密字典（Secret）是一种用于保存敏感数据的对象。它可以存储像用户名、密码、令牌、密钥、证书等敏感信息，这些信息需要被保护以避免被恶意用户利用。 保密字典可以以字符串或者文件的形式保存敏感信息，它们被编码为 base64 格式并存储在 Kubernetes 集群中。 保密字典可以被用于各种用例，例如：在容器中或 Pod 中挂载配置文件、合并 Docker 镜像的安全证书等。 保密字典的使用方式类似于配置项目，但保密字典显然更加安全，因为它可以加密保存，并且可以限制访问权限。您可以在 Pod 中使用 Volume 或者环境变量引用保密字典，或者将其用作镜像源、终端服务器等。 创建保密字典 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”。 2. 在集群列表页面中，单击目标集群名称，并在左侧导航栏中选择“配置管理” 。 3. 选择“保密字典”，在保密字典页面中，您可以通过以下两种方式创建配置项。 1. 通过保密字典菜单创建。 1. 单击保密字典页面左上角的“创建” 。 2. 在创建保密字典页面中，填写保密字典名称。名称最长100个字符，由小写字母、数字、""及"."组成，且开始和结尾只能是数字和字母。 3. 填写保密字典内容。包括变量名和对应变量值，允许添加多个配置项。支持“上传文本文件”和“上传二进制文件” 。 2. 使用YAML创建。 1. 单击保密字典页面左上角的“新增YAML” 。 2. 在使用模版部署的页面填写保密字典内容，即Secret的相关信息；或者选择从文件导入然后单击保存。

本节介绍了如何进行域名归属权校验。域名归属权校验是将域名接入DDoS高防（边缘云版）的必要操作。在控制台进行域名基本配置之后，会弹出域名归属权校验框，需根据其中返回内容完成以下步骤。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1. 客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1. 在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 2. 文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 ）。 windows验证： linux验证： 3. 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

批量卸载 当您已有服务器安装过ICAgent，且该服务器“/opt/ICAgent/”路径下存在ICAgent安装包ICProbeAgent.tar.gz，通过该方式可对多个服务器进行一键式继承批量卸载。 批量卸载的服务器需同属一个VPC下，并在同一个网段中。 前提条件 已收集需要卸载Agent的所有服务器的IP地址、密码，按照iplist.cfg格式整理好，并上传到已安装过ICAgent机器的/opt/ICAgent/目录下。iplist.cfg格式示例如下所示，IP地址与密码之间用空格隔开： 192.168.0.109 密码（请根据实际填写） 192.168.0.39 密码（请根据实际填写） 说明 iplist.cfg中包含您的敏感信息，建议您使用完之后清理一下。 如果所有服务器的密码一致，iplist.cfg中只需列出IP地址，无需填写密码，在执行时输入此密码即可；如果某个IP密码与其他不一致，则需在此IP地址后填写其密码。 操作步骤 1. 在已安装ICAgent的服务器上执行如下命令。 bash /opt/oss/servicemgr/ICAgent/bin/remoteUninstall/remoteuninstall.sh batchModeConfig /opt/ICAgent/iplist.cfg 根据脚本提示输入待卸载机器的root用户默认密码，如果所有IP地址的密码在iplist.cfg中已有配置，则直接输入回车键跳过即可，否则请输入默认密码。 batch uninstall begin Please input default passwd: send cmd to 192.168.0.109 send cmd to 192.168.0.39 2 tasks running, please wait... End of uninstall agent: 192.168.0.109 End of uninstall agent: 192.168.0.39 All hosts uninstall icagent finish. 请耐心等待，当提示All hosts uninstall icagent finish.时，则表示配置文件中所有服务器的卸载操作已完成。 2. 卸载完成后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器的ICAgent状态。

本小节介绍Web应用防火墙CC攻击防护最佳实践。 CC（ChallengeCollapsar，挑战黑洞）攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。 基础CC防护 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。CC攻击防护在遭受应用层DDoS攻击时对缓解服务器压力有着显著的效果，但是自定义CC攻击防护配置需要用户对自身业务情况有一定的了解。CC攻击防护会限制单一客户端访问频率，严格的CC攻击防护策略在部分情况下会导致正常访问失败，如大量客户通过同一Wifi下的单一出口IP同时访问。 前提条件 已添加了防护域名并已完成了域名接入。 WAFCC防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“CC攻击防护”页签。 统计对象：依据判定的对象，默认是根据用户IP访问行为进行判定。 增长频率：单一IP每秒HTTP访问次数上限与增长率上限。增长频率与访问频率满足其一触发防护。 访问频率：单一IP每秒HTTP访问次数上限。增长频率与访问频率满足其一触发防护。 时间配置：默认每120秒检测一次，将达到以上拦截阈值的用户IP封禁7200秒。 以上配置您可以全部自定义，如有疑问，您可以联系联系云WAF工程师咨询（ 服务热线：4009259120 语音提示后，请按“ 2”转接人工服务，在线客服 QQ：2448296676 ）。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

事件数据格式 [ { "specversion":"1.0", "id":"test8194e630fec1", "source":"ctyun.sitemonitor", "type":"sitemonitor:responsetimeout", "subject":"ctyun.sitemonitor:fdda0184221140dd809802bd4e1f0452:responsetimeout", "datacontenttype":"application/json", "time":"20250116T14:06:52.368536895Z", "data":{ "taskID":"fdda0184221140dd809802bd4e1f0452", "pointID":"1e138ae8b9914c25a139b0ad3ac2f22a", "targetAddr":"203.83.233.26", "targetIP":"", "dnsServer":null, "responseTime":"", "accountID":"", "protocol":"ping", "interval":60, "err":"fdda0184221140dd809802bd4e1f0452 Failed to sent any pkg or receive any valid pkg, sent: 10, receive: 0" }, "reportidc":"guizhou03", "ctyunregion":"guizhou03" }, ... { "specversion":"1.0", "id":"1d7554dfb7c44109be177da11a09dd6a", "source":"ctyun.sitemonitor", "type":"sitemonitor:responsetimeout", "subject":"ctyun.sitemonitor:fdda0184221140dd809802bd4e1f0452:responsetimeout", "datacontenttype":"application/json", "time":"20250116T14:06:52.368536895Z", "data":{ "taskID":"fdda0184221140dd809802bd4e1f0452", "pointID":"1e138ae8b9914c25a139b0ad3ac2f22a", "targetAddr":"203.83.233.26", "targetIP":"", "dnsServer":null, "responseTime":"", "accountID":"", "protocol":"ping", "interval":60, "err":"fdda0184221140dd809802bd4e1f0452 Failed to sent any pkg or receive any valid pkg, sent: 10, receive: 0" }, "reportidc":"guizhou03", "ctyunregion":"guizhou03" } ] 说明 订阅数据类型分为指标类数据、事件类数据、告警类数据。 指标类数据：指标数据是对系统、服务或资源的各种量化特征进行实时或定期监测和收集的数据。这些数据通常以数值形式表示，用于描述系统的运行状态、性能表现和资源使用情况等。 事件类数据：事件数据是记录云资源或服务状态变化的离散信息，通常由系统自动生成，用于描述某一时刻发生的操作或状态变更。 告警类数据：告警数据是基于指标数据或事件数据，当系统检测到某些特定告警规则时产生。告警数据通常包含了告警的类型、等级、发生时间、相关资源信息以及告警的具体描述等。

资源 默认限制 一个账号在单地域可创建的经典型（免费）负载均衡数量（个） 1（经典型负载均衡同VPC内多实例性能共享，无性能保障。如用于生产业务，建议选择性能保障型实例。性能保障型未上线的地域，建议联系您的客户经理，由天翼云工程师评估后为您调整配额） 一个账号在单地域可创建性能保障型负载均衡数量（个） 20（可开工单评估提升配额） 一个负载均衡实例可添加的监听器数量（个） 30（可开工单评估提升配额） 一个监听器/转发策略可关联的后端主机组数量（个） 1（不支持调整） 一个后端主机组可关联的监听器/转发策略数量（个） 1（不支持调整） 一个负载均衡实例的后端主机组可添加的云主机类型的后端主机数量（个） 100（可开工单评估提升配额） 一个账号在单地域可添加的跨VPC后端IP类型的后端主机数量（个） 100（可开工单评估提升配额） 一个负载均衡实例中的监听器可选择的端口范围 165535（不支持调整） 一个监听器可设置的访问策略组数量（个） 1（不支持调整） 一个监听器可设置的扩展域名数量（个） 3（不支持调整） 一个账号在单地域可创建的后端主机组数量（个） 100（可开工单评估提升配额） 一个账号在单地域可创建的访问策略组数量（个） 20（可开工单评估提升配额） 一个访问策略组可包含的地址段数量（个） 50（可开工单评估提升配额。仅集群模式资源池支持调整，主备、集群模式资源池列表见 一个账号在单地域可创建的证书数量（个） 10（可开工单评估提升配额）

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书,请配合天翼云验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本章介绍初始化容量大于2TB的Linux数据盘(parted)的方法。 操作场景 本文以物理机的操作系统为“CentOS 7.4 64位”、云硬盘容量为3 TB举例，采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 前提条件 已登录物理机。 已挂载数据盘至物理机，且该数据盘未初始化。 划分分区并挂载磁盘 本操作以该场景为例，当物理机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1. 执行以下命令，查看新增数据盘。 plaintext lsblk 回显类似如下信息： plaintext [root@bmscentos74 ~] lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 40G 0 disk ├─vda1 253:1 0 1G 0 part /boot └─vda2 253:2 0 39G 0 part / vdb 253:16 0 3T 0 disk 表示当前的服务器有两块磁盘，“/dev/vda”是系统盘，“/dev/vdb”是新增数据盘。 2. 执行以下命令，进入parted分区工具，开始对新增数据盘执行分区操作。 plaintext parted 新增数据盘 以新挂载的数据盘“/dev/vdb”为例： plaintext parted /dev/vdb 回显类似如下信息： plaintext [root@bmscentos74 ~]

四层服务 针对四层服务（TCP/UDP协议）：开启监听器的“获取客户端IP”功能。 注意 开启此功能后，执行后端服务器迁移任务时，可能出现流量中断（例如单向下载、推送类型的流量）。所以后端服务器迁移完成后，需要通过报文重传来恢复流量。 监听器开启此功能后，后端服务器不能作为客户端访问此监听器。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能，开启“获取客户端IP”功能会重新上线后端服务器，新建流量会有12个健康检查间隔的中断。 1、 1）开启监听器的“获取客户端IP”功能。 2）登录管理控制台。在管理控制台左上角选择区域和项目。 3）在页面中选择“网络 > 弹性负载均衡”。 4）在“负载均衡器”界面，单击需要操作的负载均衡名称。 5）切换到“监听器”页签。 新增场景：单击“添加监听器”。 修改场景：在需要修改的监听器名称右侧所在行的操作列，单击“编辑”。 6）开启“获取客户端IP”开关。 7）设置后端服务器的安全组、网络ACL、操作系统和软件的安全规则，使客户端的IP地址能够访问后端服务器。 说明 开启“获取客户端IP”之后，不支持同一台服务器既作为后端云主机又作为客户端的场景。如果后端云主机和客户端使用同一台云主机，且开启“获取客户端IP”，则后端云主机会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。 2、 开启“获取客户端IP”之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器，且开启“获取客户端IP”，则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。

监控Java应用需要先为Java应用安装Agent,您可以选择以手动方式或脚本方式安装Agent,本文介绍如何为Java应用手动安装Agent。 为Java应用手动安装Agent。 准备工作 1. DNS配置：上报域名为内网域名，需要在dns配置文件(/etc/resolv.conf)第一行加上 nameserver 100.95.0.1 才生效。 2. 检查VPC接入情况：使用agent前，需要先接入云主机所在的VPC网络。 下载Agent 各个资源池的下载地址都不一样，在接入应用面板的STEP1区域下载对应的Agent。 注意 javaagent目前仅支持JDK 8、11、17版本。 安装Agent 进入Agent压缩包所在目录并将其解压至任意工作目录下。 plaintext unzip ctyunArmsAgent.zip d /{user.workspace}/ “{user.workspace}”是示例路径，此处及以下均请根据具体环境替换为正确的路径 。 复制以下JVM参数，添加到应用服务的启动脚本中。 plaintext nohup java javaagent:/{user.workspace}/ctyunArmsAgent/ctyunArmsAgent.jar Dotel.resource.attributesservice.namemyservice Darms.licenseKeySgrpVvT0@14462p5oHbdZ Dotel.exporter.otlp.endpoint jar {jar.name}.jar & license.key和endpoint 是我们为您自动生成的。 service.name 是您的应用名称，请将 myservice 替换成您自己的应用名。 如需在同一台服务器为一个应用部署多个进程实例，则应在Dotel.resource.attributes内容中增加配置：instance.id逻辑实例名，使用逗号与其他配置隔开，如若无此配置，则多个进程实例数据将合并为同一个实例。 启动应用 请在重新启动您的应用，大约5分钟后Agent将会安装完毕。 结果验证 约5分钟后，若Java应用出现在应用列表页面中且有数据上报，则说明接入成功。

本节将为您介绍如何进行企业项目创建管理与授权。 创建企业项目 企业项目管理服务提供统一的云资源企业项目管理，以及企业项目内的资源管理，成员管理。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“企业项目”进入企业管理页面，单击右上角“创建企业项目”。 4. 在“创建企业项目”弹窗对“企业项目名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 授权 通过为企业项目添加用户组，并设置策略，实现企业项目和用户组的权限关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“用户组”进入用户组管理页面，单击右上角“创建用户组”。 4. 在“创建用户组”弹窗对“用户组名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 5. 回到“企业项目”，找到创建好的企业项目，单击“查看用户组”。 6. 在“用户组”页签单击“设置用户组”。 7. 选择在步骤4创建好的用户组进行设置后，单击“确认”完成添加。 8. 您可在该用户组“设置策略”完成具体策略设置。

本文介绍分布式缓存服务Redis版功能类常见问题 分布式缓存服务Redis版与Redis是什么关系？ 天翼云分布式缓存服务Redis版是完全兼容Redis协议的云原生高性能内存数据库。 任何兼容Redis的客户端都可以与分布式缓存服务Redis版建立连接进行数据存储及相应操作。 Redis实例是否有CPU处理能力、带宽和连接数等限制？ 分布式缓存服务Redis实例在CPU处理能力、数据传输带宽（上行/下行）和连接数等方面都有限制。 不同规格实例的性能参数有所区别，详情请参见规格概览，您也可以查看购买页上的对应提示。 单个实例有多少个数据库？ 单个分布式缓存服务Redis版实例默认有256个数据库（DB）。 说明 集群架构实例默认也有256个数据库（DB）。 Redis实例是否都有主从节点？ 节点类型为主备版的Redis实例（含集群实例）都具备主从节点，单机版本的Redis实例则仅具备主节点。具体请参考实例类型概览 目前支持的实例规格包括标准版单机、标准版主备、集群版单机、集群版主备，可根据业务场景选用不同规格的实例。通过自研的aof+rdb持久化机制，所有产品系列都支持数据持久化，满足高性能的同时兼顾数据可靠。 分布式缓存服务Redis版是否开放了作为只读节点的从节点？ 分布式缓存服务Redis版是主从（MasterReplica）双节点的架构，这种架构下，通常有一个主节点（Master）和一个或多个从节点（Replica）。主节点负责写操作和处理读操作，而从节点则负责复制主节点的数据，提供冗余备份和支持读操作的负载均衡。 目前暂未将从节点作为只读节点开放。

本文介绍关系数据库PostgreSQL版的性能测试方法。 前提条件 快速创建关系数据库PostgreSQL版实例。 创建弹性云主机ECS。 测试环境 测试使用ECS和RDS实例均在西南1可用区1。 测试使用ECS和RDS实例在同一VPC内。 测试使用ECS信息： 规格为s6.4xlarge.2 镜像为CentOS 7.9 测试使用关系数据库PostgreSQL版信息： 规格为S7系列下各规格 版本为PostgreSQL 12.20 存储类型为超高IO数据盘500G 参数模板为RDS默认参数模板 说明 1.ECS规格较高是为了保证测试时性能瓶颈不在ECS端。 2.RDS数据盘大小涉及IOPS及IO吞吐量上限，需确保容量符合IO能力要求。 测试工具 Sysbench工具 Sysbench是一个跨平台且支持多线程的模块化基准测试工具，用于评估系统在运行高负载的数据库时相关核心参数的性能表现。 本次测试使用的Sysbench版本为1.0.20，具体的参数说明及安装命令如下： 表1 Sysbench参数说明 参数 说明 dbdriver 数据库引擎。 pgsqlhost 实例连接地址。 pgsqlport 实例连接端口。 pgsqluser 实例账号。 pgsqlpassword 实例账号对应的密码。 pgsqldb 实例用于测试的数据库名。 tablesize 测试表大小。 tables 测试表数量。 events 测试请求数量。 time 测试时间。 threads 测试并发线程数。 percentile 需要统计的百分比，默认值为95%，即请求在95%的情况下的执行时间。 reportinterval 测试进度报告输出频率，表示N秒输出一次测试进度报告。 skiptrx 是否跳过事务。1：跳过0：不跳过 安装方法 ECS实例执行如下命令安装Sysbench。 bash wget c sudo yum install make automake libtool pkgconfig libaiodevel postgresqldevel unzip 1.0.20.zip cd sysbench1.0.20

本页主要介绍关系数据库MySQL版的性能测试方法。 前提条件 快速创建关系数据库MySQL版实例。 创建弹性云主机ECS。 测试环境 测试使用ECS和RDS实例均在同一地域、同一可用区。所有测试在西南1资源池完成。 测试使用ECS和RDS实例在同一VPC内。 测试使用ECS信息： 规格为s8.4xlarge.2 镜像为CentOS 7.9 测试使用RDS信息： 规格为通用计算增强型C7下各规格、存储类型为超高IO数据盘500G； 通用计算增强型C8下各规格、存储类型为XSSD1数据盘500G； 参数模板均为RDS默认参数模板。 说明 1.ECS规格较高是为了保证测试时性能瓶颈不在ECS端。 2.RDS数据盘大小涉及IOPS及IO吞吐量上限，需确保容量符合IO能力要求。 测试工具 Sysbench工具 Sysbench是一个跨平台且支持多线程的模块化基准测试工具，用于评估系统在运行高负载的数据库时相关核心参数的性能表现。 本次测试使用的Sysbench版本为1.0.20。 表1 Sysbench参数说明 参数 说明 dbdriver 数据库引擎。 mysqlhost RDS实例连接地址。 mysqlport RDS实例连接端口。 mysqluser RDS实例账号。 mysqlpassword RDS实例账号对应的密码。 mysqldb RDS实例用于测试的数据库名。 tablesize 测试表大小。 tables 测试表数量。 events 测试请求数量。 time 测试时间。 threads 测试并发线程数。 percentile 需要统计的百分比，默认值为95%，即请求在95%的情况下的执行时间。 reportinterval 测试进度报告输出频率，表示N秒输出一次测试进度报告。 skiptrx 是否跳过事务。1：跳过0：不跳过 安装方法 ECS实例执行如下命令安装Sysbench。 plaintext sudo yum install gcc gccc++ autoconf automake make libtool mysqldevel git mysql git clone