本章介绍函数工作流的入门介绍。 使用流程 函数工作流FunctionGraph是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。 使用FunctionGraph快速创建函数的流程如下： 1. 配置权限：确保登录的用户已有“FunctionGraph Administrator”权限。 2. 创建函数：选择使用空白模板创建函数、示例代码创建函数、容器镜像部署函数。 3. 配置函数：配置代码源或修改其他参数配置。 4. 测试函数：创建测试事件来调试函数。 5. 查看执行结果：在函数详情页面，根据配置的测试事件，查看执行结果。 6. 查看监控指标：在函数详情页面的“监控”页签，查看函数监控指标。

数据库类型 支持的版本 所有版本 所有版本 所有版本 所有版本 所有版本

本文介绍Kafka消费端从服务端拉取不到消息或拉取消息缓慢原因及解决方案 问题现象 Topic中有消息并且Consumer未消费到最新的位置，出现消费端从服务端拉取不到消息或拉取消息缓慢的情况（特别是公网消费时）。 可能原因 消费流量达到网络带宽。 单个消息大小超过网络带宽。 Consumer每次拉取的消息量超过网络带宽。 说明 Consumer每次消息的拉取量受以下参数影响： max.poll.records：每次拉取的最多消息数。 fetch.max.bytes：每次拉取的最大总byte数。 max.partition.fetch.bytes：每个Partition每次拉取的最大总byte数。 解决方案 （1）登录分布式消息服务Kafka控制台查询消息。 如果能查询到消息，请继续尝试以下步骤。 （2）在实例详情页面，单击左侧导航栏的监控信息，查看消费流量是否已达到网络带宽。 如果消费流量已经达到网络带宽，您需要扩充网络带宽。 （3）检查Topic中是否存在单个消息的大小超过网络带宽。 如果存在单个消息的大小超过网络带宽，请提高网络带宽，或者减小单个消息的大小。 （4）检查Consumer每次拉取的消息量是否超过网络带宽。 说明 如果每次拉取的消息量超过网络带宽，您需要调整以下参数。 网络带宽>fetch.max.bytes 网络带宽>max.partition.fetch.bytes总订阅Partition数

本章节主要介绍Kafka的最佳实践。 1. 体系结构概述 Kafka主题用于对记录进行组织。记录由生产者生成，由消费者使用。生产者将记录发送到 Kafka 代理，后者存储数据。 主题跨代理对记录进行分区。在使用记录时，每个分区最多可使用一个消费者来实现数据并行处理。 复制用于在节点之间复制分区。这可以防止节点（代理）发生服务中断。将副本组之间的单个分区指定为分区领导者。生产者流量将根据由ZooKeeper管理的状态路由到每个节点的领导者。 2. 调优方案选择 Kafka性能体现在两个主要方面：吞吐量和延迟。吞吐量是指数据的最大处理速率，通常吞吐量越高越好。延迟是指存储或检索数据所花费的时间。通常，延迟越低越好。在吞吐量、延迟和应用基础结构的开销方面找到适当的平衡可能会有难度。 根据追求的是高吞吐量、低延迟还是此两者，性能要求可能符合以下三种常见情况中的一种： 高吞吐量，低延迟。此方案要求同时满足高吞吐量和低延迟（大约100毫秒）。服务可用性监视就是这种应用场景的一个例子。 高吞吐量，高延迟。此方案要求满足高吞吐量（大约1.5 GBps），但可以容许较高的延迟（< 250 毫秒）。这种应用场景的一个例子是引入遥测数据进行近实时的处理，例如安全与入侵检测应用程序。 低吞吐量，低延迟。此方案要求提供低延迟（< 10毫秒）以完成实时处理，但可以容许较低的吞吐量。在线拼写和语法检查就是这种应用场景的一个例子。

本节介绍了如何创建所需的VPC和安全组。 创建VPC和安全组，为创建云数据库GaussDB 实例准备网络资源和安全组。 创建VPC 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 单击“创建虚拟私有云”购买VPC。 5. 单击“立即创建”。 6. 返回VPC列表，查看创建VPC是否创建完成。 当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 选择“访问控制”>“安全组”。 5. 单击“创建安全组”。 6. 填写安全组名称等信息。 7. 单击“确定”。 8. 返回安全组列表，单击安全组名称“sgd1ce”。 9. 选择“入方向规则”，单击“添加规则”。 10. 配置入方向规则，添加源库的IP地址。

本节主要介绍绑定弹性公网IP。 操作场景 弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。GeminiDB Influx实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 使用须知 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 GeminiDB Influx使用您在VPC控制台购买的公网IP绑定到实例上。 对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在“基本信息”页面“节点信息”区域的节点上，单击“绑定弹性IP”。 图1 绑定弹性公网IP 5. 在弹出框的弹性公网IP列表中，显示“未绑定”状态的弹性公网IP，选择所需绑定的弹性公网IP，单击“是”，提交绑定任务。如果没有可用的弹性公网IP，单击“查看弹性IP”，创建新的弹性公网IP。 图2 选择弹性公网IP 6. 在节点的“弹性IP”列，查看绑定成功的弹性公网IP。 如需关闭，请参见下文解绑弹性公网IP。

如希望应用上架经过指定人员审批，可在“应用管理设置审批设置”中开启对应选项。 开启后，“上架应用”将变成“申请上架”。在应用申请上架后，审批人的桌面会收到上架申请，通过申请后，应用版本会变成“待上架”状态，管理员需要再次点击“上架”，选择上架设置后，才可完成上架应用版本的操作。 注：开启后，需要开通审批流程功能方可完全生效，详细操作如下。 （1）开通流程 上架、应用放行、应用推荐等功能均可使用审批，请先开通企业审批服务后使用该功能。 （2）分管设置 开通审批服务后，管理员需在此页面点击“同步组织架构”以更新最新部门与成员信息。 注：系统每天定时同步一次最新的组织架构，如发生临时变动，建议手动点击“同步组织架构”以实时同步更新。 点击“分管人员”，在此页面可设置部门的管理人员（如组长、主管等），如审批流程中设置了逐级审批等规则，则会自动流转至对应的分管人员（常见的逐级顺序：员工申请组长审批经理审批领导审批）。

内网DNS支持更改主机DNS的操作，本文为您介绍如何更改主机DNS并使内网DNS配置生效。 为实现内网域名在 VPC 上的正常解析，用户需要将云主机内的 DNS 改成内网 DNS 服务地址。 查看内网DNS地址 1. 在内网 DNS 的列表中，可以看到如下红框内的提示。 2. 点击“查看列表”，可以看到内网DNS地址。 配置云主机DNS地址 查询的到内网DNS SERVER地址可以通过配置VPC DHCP选项集的方式修改VPC的DHCP默认DNS SERVER地址，配置选项集后，VPC内所有计算实例都可通过DHCP获取到通过DHCP选项集配置的DNS地址，如只希望特定主机使用内网DNS服务，也可通过直接修改对应云主机DNS地址的配置的方法修改单台实例的DNS地址。 修改Linux云主机内DNS地址 1. 登录Linux弹性云主机。 2. 执行以下命令，打开resolv.conf文件。 vi /etc/resolv.conf 3. 按“i”键进入编辑模式。 4. 将“nameserver”修改为当前云主机所在VPC的内网DNS IP地址，按“ESC”后输入“：wq”保存配置。

本章节介绍应用容灾多活中应用系统的管理功能。包括数据双活/应用双活管理。 概述 应用系统是业务应用在多活产品内的具体实例，指应用在多活系统上的逻辑概念，用于进行租户粒度的管控配置和隔离。 创建应用系统 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 单击列表上方创建 ，进入新增应用系统页面。 4. 填写应用系统名称、勾选应用系统需要开通的模块、勾选“我已阅读，理解并接受《应用容灾多活计费规则》”，单击确定按钮完成创建。 5. 在应用系统列表，查看应用系统已创建成功。 注意 创建应用系统后，即根据开通模块数与实际接入应用节点数开始进行计费统计。 修改应用系统 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表 中找到需要修改的应用系统，单击应用系统数据行右侧更多 ，单击编辑 ，弹出应用系统修改页面。 4. 填写需要修改的应用系统名称、勾选应用系统需要开通的模块、勾选“我已阅读，理解并接受《应用容灾多活计费规则》”，单击确定按钮完成修改。 5. 在应用系统列表，查看应用系统已修改成功。 注意 修改应用系统后，在下一个统计周期，即根据新的开通模块数与实际接入应用节点数进行计费统计。

本文为您介绍如何使用ECI快速部署ChatGLM6B。 背景信息 ChatGLM6B 是一个开源的、支持中英双语的对话语言模型，基于 General Language Model架构，具有 62 亿参数。结合模型量化技术，用户可以在消费级的显卡上进行本地部署（INT4 量化级别下最低只需 6GB 显存）。ChatGLM6B 使用了和 ChatGPT 相似的技术，针对中文问答和对话进行了优化。经过约 1T 标识符的中英双语训练，辅以监督微调、反馈自助、人类反馈强化学习等技术的加持，62 亿参数的 ChatGLM6B 已经能生成相当符合人类偏好的回答。如果没有GPU硬件的话，也可以在CPU上进行推理，但是推理速度会更慢。 前期准备 已开通天翼云弹性容器实例服务。 天翼云容器镜像服务CRS或私有镜像仓库中已推送开源ChatGLM6B镜像。 硬件需求 量化等级 最低GPU显存 无GPU情况下内存需求 INT4 6GB 32GB INT8 8GB 暂未测试 FP16（无量化） 13GB 暂未测试 操作步骤 下面将介绍如何在ECI上快速部署ChatGLM6B的CPU实例并进行推理。 1. 通过天翼云弹性容器实例订购页面创建ECI实例。 2. 根据上述硬件需求，配置合适的CPU，内存资源。 3. 镜像选择开源ChatGLM6B镜像，并指定镜像版本。 4. 在容器设置中，配置启动命令 python3 webdemo.py、cpu。 5. 提交订单，然后回到控制台页面等待ECI实例Running。

本文介绍开通媒体存储的具体步骤。 订购须知 天翼云门户目前仅支持媒体存储中标准型对象存储能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 存储区域：目前支持海南资源池2区。 开通流程 说明 预付费客户订购媒体存储，需具备已通过实名认证的天翼云账号且确保现金余额+可用信用额度+通用代金券不低于100元。 1. 登录天翼云官网。 2. 进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，勾选“我已阅读，理解并接受 《天翼云媒体存储系统服务协议》”，点击“立即开通”。 4. 在跳转的订单页面完成支付，订单状态为【已完成】，即成功开通媒体存储。 5. 访问媒体存储控制中心：进入媒体存储产品详情页，点选“管理控制台”。 6. 进入控制台页面后，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 注意 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 7. 区域新增完成后，点选【对象存储】菜单，即可开始使用对象存储服务。具体可参考：控制台使用指南对象存储。

本文为您介绍了短信服务常见的计费问题，帮助您快速解答疑问。 短信服务是否可以先审核模板再进行购买？ 可以。申请模板和签名不收费，只有产生短信发送的事件才会计费，订购需要联系相应客户经理。 重复短信推送是免费吗还是额外收费？重复短信后台有记录吗？ 短信只要下发成功就会收费，可以在发送量统计中查看短信下发情况。 短信套餐包区分模板吗？ 短信套餐包不区分模板，发送验证码和通知类消息均可，按照短信发送量计算额度。 套餐包有短信条数，接口正常，但是为什么短信发送失败提示余额不足等信息？ 请核实账户余额是否为0，目前套餐包短信条数有剩余但是需要账户余额为0以上才可以正常调用短信接口，可以在官网费用中心充值一定金额解决此问题，例如10元钱。 套餐包剩余资源支持退款吗？ 套餐包购买立即生效，到期后自动失效。 套餐包购买后可通过费用中心开票，开票金额为购买套餐包实际支付金额，如已开具发票的套餐包需要退款，需先退发票。 必须确保天翼云账户余额不小于0，如天翼云帐户停机会影响套餐包正常使用。 已使用套餐包剩余资源不支持退订 使用第三方支付方式结算且支付时间在3个月内的订单，退款将自动原路返还。使用天翼云账户余额结算或支付时间在36个月的订单，退款将退回至天翼云账户余额。

本文主要介绍查看告警 告警是指AOM自身或外部服务在异常情况或在可能导致异常情况下上报的信息，并且您需采取相应措施清除故障，否则会由于AOM自身或外部服务的功能异常而引起业务的异常。 告警管理使用前提条件：已在主机安装ICagent。 告警管理使用流程 查看告警 步骤 1 在AOM左侧导航栏中选择“告警 > 告警列表”。 步骤 2 在“告警列表”页面中查看告警。 1、设置时间范围，查看已设时间范围内产生的告警。可通过如下两种方式设置时间范围： 方式一：在界面右上角处单击AOM预定义好的时间标签，例如，近1小时、近6小时、近一天等，您可根据实际需要选择不同的时间粒度。 方式二：在界面右上角处选择“自定义时间段”，通过设置开始时间和结束时间，自定义时间范围，您最长可设置为15天。 2、设置筛选条件后，单击“搜索”，查看在已设时间范围内满足搜索条件的告警。 步骤 3 您可参考下表执行如下操作： 操作说明 操作 方法 说明 ::: 查看告警统计数据 通过柱状图查看在指定时间范围内和搜索条件下告警的统计数据。 清除告警 在当前告警列表中单击目标告警所在“操作”列中的“”。 告警故障已经解除时可进行清除操作。 被执行清除操作后的告警将不能进行查询。 查看告警详情 鼠标单击目标告警名称，可查看告警详情。

本章节主要介绍节点参考的Delete OBS。 约束限制 该功能依赖于OBS服务。 功能 通过Delete OBS节点在OBS服务中删除桶和目录。 参数 用户可参考下表配置Delete OBS节点的参数。 属性参数 参数 是否必选 说明 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“ ”等各类特殊字符，长度为1～128个字符。 OBS路径 是 删除OBS桶或目录的路径。 说明 删除的文件将无法恢复，如需保留文件，请在删除前备份该桶下的数据。 高级参数 参数 是否必选 说明 节点执行的最长时间 是 设置节点执行的超时时间，如果节点配置了重试，在超时时间内未执行完成，该节点将不会再重试，直接置为失败状态。 失败重试 是 节点执行失败后，是否重新执行节点。 是：重新执行节点，请配置以下参数。 − 最大重试次数 − 重试间隔时间（秒） 否：默认值，不重新执行节点。 说明 如果作业节点配置了重试，并且配置了超时时间，该节点执行超时后将不会再重试，直接置为失败状态。 失败策略 是 节点执行失败后的操作： 终止当前作业执行计划：停止当前作业运行，当前作业实例状态显示为“失败”。 继续执行下一节点：忽略当前节点失败，当前作业实例状态显示为“忽略失败成功”。 挂起当前作业执行计划：暂停当前作业运行，当前作业实例状态显示为“等待运行”。 终止后续节点执行计划：停止后续节点的运行，当前作业实例状态显示为“失败”。 空跑 否 如果勾选了空跑，该节点不会实际执行，将直接返回成功。

查看作业监控 用户可以通过云监控服务（CES）查看作业数据输入输出的详细信息。 1.在DLI管理控制台的左侧导航栏中，单击“作业管理”>“Flink作业”，进入Flink作业管理页面。 2.单击需要查看的作业名称，进入“作业详情”页面。 单击页面右上角的“作业监控”，将跳转至云监控服务（CES）。 Flink 作业包含如下监控指标。 指标名称 说明 Flink作业数据输入速率 展示用户Flink作业的数据输入速率，供监控和调试使用。单位：条/秒。 Flink作业数据输出速率 展示用户Flink作业的数据输出速率，供监控和调试使用。单位：条/秒。 Flink作业数据输入总数 展示用户Flink作业的数据输入总数，供监控和调试使用。单位：条。 Flink作业数据输出总数 展示用户Flink作业的数据输出总数，供监控和调试使用。单位：条。 Flink作业字节输入速率 展示用户Flink作业每秒输入的字节数。单位：字节/秒。 Flink作业字节输出速率 展示用户Flink作业每秒输出的字节数。单位：字节/秒。 Flink作业字节输入总数 展示用户Flink作业字节的输入总数。单位：字节。 Flink作业字节输出总数 展示用户Flink作业字节的输出总数。单位：字节。 Flink作业CPU使用率 展示用户Flink作业的CPU使用率。单位：%。 Flink作业内存使用率 展示用户Flink作业的内存使用率。单位：%。 Flink作业最大算子延迟 展示用户Flink作业的最大算子延迟时间，单位ms。 Flink作业最大算子反压 展示用户Flink作业的最大算子反压值，数值越大，反压越严重。 0：表示OK 50：表示Low 100：表示High

本章节主要介绍（可选）管理脚本的导出导入脚本。 导出脚本 您可以在脚本目录中导出一个或多个脚本文件，导出的为开发态最新的已保存内容。 1. 单击脚本目录中的，选择“显示复选框”。 详见下图：显示脚本复选框 2. 勾选需要导出的脚本，单击 > 导出脚本。导出完成后，即可通过浏览器下载地址，获取到导出的zip文件。 详见下图：选择并导出脚本 导入脚本 导入脚本功能依赖于OBS服务，如无OBS服务，可从本地导入。 您可以在脚本目录中导入一个或多个脚本文件。导入会覆盖开发态的内容，并自动提交一个新版本。 1. 单击作业目录中的 > 导入脚本，选择已上传至OBS的脚本文件，以及重名处理策略。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 详见下图：导入脚本 2. 单击“下一步”，根据提示导入脚本。

本节指导用户通过KMS界面查看自定义密钥的信息，包括密钥别名、状态、ID和创建时间。密钥状态包括“启用”、“禁用”、“计划删除”和“等待导入”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在密钥列表中，查看密钥信息，密钥列表参数说明如下。 密钥列表参数说明 参数 操作说明 别名 密钥的别名。 状态 密钥的状态，包含： 启用：密钥处于启用状态 禁用：密钥处于禁用状态 计划删除：密钥处于计划删除状态 等待导入：如果密钥没有密钥材料，那么密钥的状态为“等待导入”。 ID 创建密钥时自动生成的密钥ID。在IAM中创建自定义策略时，添加资源路径中的“路径”填写此ID。 创建时间 创建该密钥的时间。 密钥算法及用途 创建密钥时选择的密钥算法及该算法的用途。 密钥材料来源 密钥材料的来源，包含： 外部用户从外部导入到KMS。 密钥管理用户通过KMS创建的密钥，或默认密钥。 操作 用户可以在操作栏中，执行禁用、删除、导入密钥材料、取消删除密钥等操作。 步骤 5 用户可单击密钥别名，查看密钥详细信息。 说明 用户可单击该密钥的“别名”或“描述”，修改密钥的别名或描述信息。 默认密钥（密钥别名后缀为“/default”），别名和描述不可以修改。 密钥状态处于“计划删除”时，别名和描述不可修改。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的入门指引。 场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如下图所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响；连接1恢复正常后，VPN仍使用连接2进行数据交互。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网下图所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 约束与限制 对端网关需要支持标准IKE和IPsec协议。 本地数据中心和VPC间互通的子网需要没有重叠，且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。 如果VPC使用云专线服务和其他VPC互通，则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 开启了“安全认证”的微服务引擎专享版，支持Spring Cloud、Java Chassis微服务框架正常接入。 说明： 基于RBAC的系统管理功能与IAM权限管理无关，仅是CSE内部微服务的权限管理机制。 如果您通过ServiceStage控制台操作微服务引擎，必须同时具备IAM和RBAC的操作权限，且IAM权限优先级要高于RBAC权限。 如果您通过API接口或者微服务框架操作微服务引擎，则只需具备RBAC相关权限。 当前系统管理功能仅支持微服务权限管理，暂不支持配置管理、服务治理。 1. 您可以使用关联了admin角色权限的帐号创建新帐号，根据实际业务需求把合适的角色同帐号关联。使用该帐号的用户则具有对该微服务引擎的相应的访问和操作权限。 − 创建开启了“安全认证”的微服务引擎专享版时，系统自动创建1个关联了admin角色权限的root帐号。不能编辑、删除root帐号。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建新帐号。创建和管理帐号，请参考帐号管理。 2. 您可以使用关联了admin角色权限的帐号创建自定义角色，根据业务需求把合适的微服务引擎访问和操作权限赋予该角色。 − 系统默认内置两种角色：管理员（admin）、开发者（developer）。不能编辑、删除内置角色。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建自定义角色。创建和管理角色，请参考角色管理。 − 角色权限说明，请参见下表。 表 角色权限说明 角色 权限说明 admin 具有该微服务引擎下所有微服务、帐号和角色的所有操作权限。 developer 具有该微服务引擎下所有微服务的所有操作权限。 自定义角色 根据实际业务需求创建角色，给角色分配相应微服务的操作权限。

操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。 访问通道、容器端口与访问端口映射如下图所示。 图集群内访问 工作负载创建时设置 您可以在创建工作负载时通过CCE控制台设置Service访问方式，如下： 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“集群内访问 ( ClusterIP )”。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 2 单击“下一步”进入“高级设置”页面，直接单击“创建”。 步骤 3 单击“查看工作负载详情”，在“访问方式”页签下获取访问地址，例如10.247.74.100:8080。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 4 设置集群内访问参数。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 5 单击“创建”。工作负载已添加“集群内访问 ( ClusterIP )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 登录工作负载所在集群的任意节点。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。您可以通过IP或者域名的方式来验证。 方式一：通过IP 地址验证。 curl 10.247.74.100:8080 其中10.247.74.100:8080为步骤3中获取的访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 方式二：进入容器，在容器内通过域名验证。 curl nginx.default.svc.cluster.local:8080 其中nginx.default.svc.cluster.local为步骤3中获取的域名访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在“更新Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 3 更新集群内访问参数。 Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 4 单击“更新”，工作负载已更新Service。

本小节介绍服务器安全卫士的相关术语。 Agent 指服务器安全监测与防护代理软件，运行在客户服务器操作系统，该安全代理具备严格的权限和运行负载控制，保护服务器的同时对业务运行不产生影响。 弱口令 容易被别人猜测（包括信息泄露导致）或被破解工具破解的口令均为弱口令。 软件漏洞 应用软件、中间件软件或操作系统软件在设计、实现上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个服务器，窃取服务器中的重要资料和信息，甚至破坏系统服务。 Web后门 Web后门是一段网页代码，主要以ASP、PHP、JAVA代码为主。由于这些代码都运行在Web服务器端，攻击者通过插入这段精心设计的代码，在Web服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权。 POC POC（Proof of Concept）的中文意思是“观点证明”。漏洞报告中的POC是指一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。 CVSS CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。 Rootkit Rootkit是一种特殊的恶意软件，它的功能是在目标服务器上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

本文主要介绍如何将实例移入伸缩组。 伸缩组处于“已启用” 状态时，您可以手动将云主机移入指定伸缩组。手动移入的云主机将加入到伸缩组关联的负载均衡服务器组。将云主机成功移入指定伸缩组必须满足如下条件： 云主机不能存在于其它伸缩组中。 被移入的云主机所在的 VPC 必须和伸缩组所在的 VPC 相同。 移入的云主机必须是运行中状态。 移入后实例数不能大于伸缩组的最大实例数。 将云主机移入伸缩组的步骤如下。 1. 登录天翼云控制中心，切换到需要修改伸缩策略的节点，选择【弹性伸缩服务】。 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】。 3. 在【伸缩组详情页】，单击【伸缩实例】标签，进入【伸缩实例标签页】。 4. 在【伸缩实例】页签，单击【移入伸缩组】。 5. 选择待移入的实例名称，单击【确认】按钮。

本文带您了解如何查看监控面板。 操作场景 监控面板可以根据您的需要自定义呈现要查看的监控数据，将您所关注的主要监测指标集中展示在一张监控面板中，帮助您打造一个多维度、个性化的监控平台。 同时监控面板还支持在一个监控项内对不同服务、不同维度的数据进行对比查看，帮助你实现不同云服务间性能数据对比查看的需求。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控面板”，即可进入监控面板界面并查看。 说明 单击“添加图表”配置指标/实例/图表类型等，可以添加监控视图至选择的监控面板。 添加监控视图之前，需要先创建监控面板。

设备子类 设备型号 web服务 apache、jboss、tomcat、IIS、其他等 web中间件 weblogic、websphere等 数据库 oracle、DB2、sql server、mysql、postgresql、sybase、redis、mongodb、memcache、hbase、informix、domino、达梦、elasticsearch、hadoop、hive、Teradata、Impala、gbase等 FTP VSFTP、servu DNS bind、牙木 防病毒 McAfee防病毒系统、趋势防病毒系统、天融信防病毒网关、天融信防病毒等 其他 bash、wget、curl、snmp、rsync、nfs等 网管系统 HP OpenView NNM、IBM NetCool、CiscoWorks、网神网管系统等

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

本小节介绍SSL VPN的内网域名解析设置。 SSL VPN支持需要通过内部域名才能访问的资源应用。内网存在此类应用时，一般有一台或多台内网DNS服务器，给内网电脑提供内网域名解析服务。通过SSL VPN需要访问此类应用时，可以通过“内网域名解析”配置来实现。 1. 选择“系统设置 > SSL VPN选项 > 系统选项”，选择“内网域名解析”选项卡，在首选DNS和备选DNS处设置客户的内网DNS服务器地址，如下图内网DNS为172.29.12.11和172.29.10.11。 2. 在此页面“内网DNS规则设置”处，将定义资源的域名全部添加在此处，如oa.ctyun.com.cn。 注意 此处添加的规则最多支持100条。 不支持中文域名解析。 添加内网DNS规则后，对应域名的解析请求，会优先走内网DNS解析，未通过VPN发布的域名，请不要在此添加任何规则。

信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式优势如下： 相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密 使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。 信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。 信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 信任和可信证明 由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。 信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 性能、成本 由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。 信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。

Windows操作系统使用WinMTR工具介绍 1. 登录Windows云主机，WinMTR需要访问公网下载，因此请确认云主机可访问公网。 2. 请您通过浏览器寻找正规途径搜索并下载WinMTR软件包。此软件无需安装，解压即可运行。 3. 双击WinMTR.exe，运行WinMTR。 4. 在WinMTR窗口的Host处，输入目的地址，可以为IP地址或者域名。完成后单击“Start”。 5. 根据链路情况不同，运行时间不同，如果一段时间未运行完成可单击“Stop”以结束测试。结果如下图所示。 测试结果的主要信息如下： 1. 第一列Hostname：到目的地址经过的每个节点IP或域名。 2. 第二列Nr：经过的节点数量。 3. 第三列Loss%：对应节点的丢包率。 4. 第四列Sent：已发送的数据包数量。 5. 第五列Recv：已接收到的响应数量。 6. 第六列Best：最短响应时间。 7. 第七列Avrg：平均响应时间。 8. 第八列Worst：最长响应时间。 9. 第九列Last：最近一次响应时间。 Linux操作系统MTR介绍和使用 1. 您可以执行以下命令进行安装MTR，安装前请确保您的云主机可访问公网。如果已安装可跳过此步骤。 1. CentOS 操作系统执行以下命令安装： plaintext yum install mtr 2. Ubuntu 操作系统执行以下命令安装： plaintext sudo aptget install mtr 2. MTR相关参数说明，请根据您的实际情况选择参数使用： h/help：显示帮助菜单。 v/version：显示MTR版本信息。 r/report：结果以报告形式输出。 p/split：与 report相对，分别列出每次追踪的结果。 c/reportcycles：指定每次探测发送的数据包数量，默认值是10。 s/psize：设置数据包的大小。 n/nodns：不对IP地址做域名解析。 a/address：用户设置发送数据包的IP地址，主要用户单一主机多个IP地址的场景。 4：IPv4。 6：IPv6。 3. 以本机到目的地址www.ctyun.cn为例，执行以下命令，以报告形式输出MTR的诊断结果。 plaintext mtr www.ctyun.cn report 回显信息如下： 主要输出的信息如下： 1. 第一列HOST：到目的地址经过的每个节点IP或域名。 2. 第二列Loss%：对应节点的丢包率。 3. 第三列Snt：已发送的数据包数量。 4. 第四列Last：最近一次响应时间。 5. 第五列Avg：平均响应时间。 6. 第六列Best：最短响应时间。 7. 第七列Wrst：最长响应时间。 8. 第八列StDev：标准偏差。偏差值越高，说明各个数据包在该节点的响应时间相差越大。

本文介绍如何购买云防火墙（原生版）C100实例。 前提条件 已注册天翼云账号并完成实名认证。 进入购买页面 方式一：通过产品页进入购买页面 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“立即开通”，进入云防火墙（原生版）订购页面。 方式二：通过控制中心进入购买页面 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。 购买步骤 1. 进入云防火墙（原生版）订购页面。 2. 配置基本信息。 参数名称 参数说明 区域 选择购买云防火墙（原生版）的区域。 商品类型 此处选择C100。 版本选择 支持高级版、企业版。不同版本差异请参见产品规格。 云防火墙名称 系统会自动为您生成一个名称，您也可以自定义。 名称只能由数字、字母、“”组成，不能以数字和“”开头、以“”结尾，且长度为2~63字符。 可防护公网IP数 可以单击加减号调整防护公网IP数，步长为1；也可以在其中直接输入；也可以拖动设置。 高级版可防护公网IP数的范围是20个 ~ 1000个。 企业版可防护公网IP数的范围是50个 ~ 1000个。 说明 建议不少于选中VPC中防护的公网IP数量。 公网流量处理能力 公网流量处理能力是指云防火墙可防护的互联网边界流量峰值。 可以单击加减号调整公网流量处理能力，步长为5；也可以在其中直接输入；也可以拖动设置。 高级版公网流量处理能力的范围是10Mbps ~ 2000Mbps。 企业版公网流量处理能力的范围是50Mbps ~ 2000Mbps。 说明 建议与您业务的公网带宽保持一致，且不少于选中VPC中防护的公网IP带宽之和。 VPC边界防火墙配额数 仅企业版支持VPC边界防火墙。 在您的VPC下开启每种防护场景将消耗一个配额，已支持的防护场景包括：云专线、云间高速、对等连接等。 可以单击加减号调整VPC边界防火墙配额数，步长为1；也可以在其中直接输入；也可以拖动设置。 VPC边界防火墙配额数的范围是2个 ~ 150个。 VPC边界流量处理能力 仅企业版支持VPC边界防火墙。 VPC边界流量处理能力是指可防护的VPC边界流量峰值，包含已开启的各类防护场景下的跨VPC边界流量之和。 可以单击加减号调整VPC边界流量处理能力，步长为10；也可以在其中直接输入；也可以拖动设置。 VPC边界流量处理能力的范围是200Mbps ~ 5000Mbps。 3. 选择“购买时长”，可拖动时间轴设置购买时长。 4. 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 参数配置完成后，单击“立即购买”。 6. 确认配置参数和配置费用后，阅读《天翼云云防火墙（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》“，点击“立即购买”。 7. 进入“付款”页面，完成付款。

本文主要介绍保护Failover Cluster模式下的SQL Server。 当前云主机备份只支持单个虚拟机的一致性备份，对于集群数据库暂不支持，完整支持将在后续版本中推出。 在Failover Cluster模式下，SQL Server服务只在主节点上是启动的，故在创建云主机备份时，只需要将主节点加入策略进行备份。在主备发生切换后，及时调整策略，确保始终对主节点进行备份。在恢复时，请先停止所有备节点，然后还原主节点。

1. 首先需要在弹性云主机上搭建FTP站点。具体操作参见弹性云主机－搭建FTP。 2. 以CentOS 7.6操作系统为例，执行以下命令安装ftp。 yum y install ftp 3. 执行以下命令连接云主机。 ftp 云主机弹性公网IP 　　并根据提示，输入FTP服务的用户名和密码。 4. 上传文件 　　执行以下命令，将本地文件上传至云主机中。 put 本地主机文件地址

软件许可证模式 描述 订阅模式 控制产品提供的本地卷的存储容量以及有效时长，按照容量和时长收费，到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。适用于短期内有数据存储服务要求的业务。 永久许可模式 控制产品提供的本地卷的存储容量以及维保时间，按照容量和维保收费，到期后软件可以正常使用，但是不再提供售后支持。适用于需要长期进行数据存储的业务。