程序拦截策略 “不拦截升级/插件类程序”， 即自更新/插件类型程序均不拦截（此类程序不加入白名单列表），需满足以下条件：1.父进程在白名单； 2.父进程不属于：explorer.exe、cmd.exe、浏览器、迅雷、网盘、IM； 3.自身非安装包。 “不拦截指定签名的程序”，即可配置签名，程序签名与配置签名相符则自动放行。 “不拦截指定路径的程序”，即可配置指定路径，该路径下面的所有程序均不拦截（此类程序不加入白名单列表）。 白名单列表和禁用列表 在“白名单列表”中，管理员可以添加特定的应用程序，此类应用程序不会被拦截。 如果想禁用部分在白名单中已放行的应用，管理员可在“禁用列表”中添加应用信息。 注：绑定白名单，扫描完成后，桌面内能够运行的程序有以下几种 扫描前在扫描范围内已经安装的应用。 白名单列表内的应用。 放行通过的应用以及它释放的程序。 签名为天翼云的相关应用。

本节介绍天翼AI云电脑（政企版）的产品优势。 统一管理，维护便捷 无需设立专门的前端维护人员，桌面维护全部在管理台进行可视化操作，一键完成开通桌面、重装系统、镜像升级等操作，并通过自动化批量方式，实现快速大规模的部署。 强化安全，自主可控 网络访问使用VPC、安全组、ACL、主机防火墙进行网络隔离及访问控制，通过防火墙实施安全审计与监控。 规格丰富，配置灵活 提供灵活多样的AI云电脑规格，支持资源包方式开通使用，灵活选择系统版本，网络可配置，并可使用池化桌面提高桌面利用率。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端AI云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

参数 是否必填 参数类型 说明 示例 下级对象 SRID 是 String 静态路由ID ipVersion 是 String 本参数表示包周期类型。 取值范围： IPV4 IPV6 DUALSTACK dstCidr 否 Array of Strings 目的IPV4地址列表(全量传入) dstCidrV6 否 Array of Strings 目的IPV6地址列表(全量传入) nextHop 否 Array of Objects 下一跳及优先级列表(全量传入) NextHop nextHopV6 否 Array of Objects 下一跳及优先级列表(全量传入) NextHop regionID 是 String 资源池ID

为加强HBlock的安全性，可通过配置防火墙权限，限制iSCSI端口（如iSCSI端口为3260）的访问来源 IP。请参考以下步骤操作: 1. 开启防火墙：systemctl start firewalld。 2. 配置允许 IP 对于IPv4地址：firewallcmd permanent addrichrule"rule familyipv4 source address IP port protocoltcp port3260 accept"。 对于IPv6地址：firewallcmd permanent addrichrule"rule familyipv6 source address IP port protocoltcp port3260 accept"。 3. 重启防火墙：firewallcmd reload。 4. 开机自动启动：systemctl enable firewalld.service。

巡检项列表 检查项 描述 级别 PrivilegeEscalationAllowed 允许特权升级 紧急 CanImpersonateUser role/clusterrole 有伪装成其他用户权限 警告 CanDeleteResources role/clusterrole 有删除 kubernetes 资源权限 警告 CanModifyWorkloads role/clusterrole 有修改 kubernetes 资源权限 警告 NoCPULimits 资源没有设置 CPU 使用限制 警告 NoCPURequests 资源没有设置预留 CPU 警告 HighRiskCapabilities 开启了高危功能，例如 ALL/SYSADMIN/NETADMIN 紧急 HostIPCAllowed 开启了主机 IPC 紧急 HostNetworkAllowed 开启了主机网络 紧急 HostPIDAllowed 开启了主机PID 紧急 HostPortAllowed 开启了主机端口 紧急 ImagePullPolicyNotAlways 镜像拉取策略不是 always 警告 ImageTagIsLatest 镜像标签是 latest 警告 ImageTagMiss 镜像没有标签 紧急 InsecureCapabilities 开启了不安全的功能，例如 KILL/SYSCHROOT/CHOWN 警告 NoLivenessProbe 没有设置存活状态检查 警告 NoMemoryLimits 资源没有设置内存使用限制 警告 NoMemoryRequests 资源没有设置预留内存 警告 NoPriorityClassName 没有设置资源调度优先级 通知 PrivilegedAllowed 以特权模式运行资源 紧急 NoReadinessProbe 没有设置就绪状态检查 警告 NotReadOnlyRootFilesystem 没有设置根文件系统为只读 警告 NotRunAsNonRoot 没有设置禁止以 root 用户启动进程 警告 CertificateExpiredPeriod 将检查 ApiServer 证书的到期日期少于30天 紧急 EventAudit 事件检查 警告 NodeStatus 节点状态检查 警告 DockerStatus docker 状态检查 警告 KubeletStatus kubelet 状态检查 警告

检查项 描述 级别 PrivilegeEscalationAllowed 允许特权升级 紧急 CanImpersonateUser role/clusterrole 有伪装成其他用户权限 警告 CanDeleteResources role/clusterrole 有删除 kubernetes 资源权限 警告 CanModifyWorkloads role/clusterrole 有修改 kubernetes 资源权限 警告 NoCPULimits 资源没有设置 CPU 使用限制 警告 NoCPURequests 资源没有设置预留 CPU 警告 HighRiskCapabilities 开启了高危功能，例如 ALL/SYSADMIN/NETADMIN 紧急 HostIPCAllowed 开启了主机 IPC 紧急 HostNetworkAllowed 开启了主机网络 紧急 HostPIDAllowed 开启了主机PID 紧急 HostPortAllowed 开启了主机端口 紧急 ImagePullPolicyNotAlways 镜像拉取策略不是 always 警告 ImageTagIsLatest 镜像标签是 latest 警告 ImageTagMiss 镜像没有标签 紧急 InsecureCapabilities 开启了不安全的功能，例如 KILL/SYSCHROOT/CHOWN 警告 NoLivenessProbe 没有设置存活状态检查 警告 NoMemoryLimits 资源没有设置内存使用限制 警告 NoMemoryRequests 资源没有设置预留内存 警告 NoPriorityClassName 没有设置资源调度优先级 通知 PrivilegedAllowed 以特权模式运行资源 紧急 NoReadinessProbe 没有设置就绪状态检查 警告 NotReadOnlyRootFilesystem 没有设置根文件系统为只读 警告 NotRunAsNonRoot 没有设置禁止以 root 用户启动进程 警告 CertificateExpiredPeriod 将检查 ApiServer 证书的到期日期少于30天 紧急 EventAudit 事件检查 警告 NodeStatus 节点状态检查 警告 DockerStatus docker 状态检查 警告 KubeletStatus kubelet 状态检查 警告

本节介绍如何开启NAT网关流量防护。 云防火墙通过防护NAT网关所在的VPC，实现对NAT网关流量的防护，并支持对私网IP进行细粒度访问控制，防止内网主机非法外联。 支持防护SNAT和DNAT两种场景。 SNAT组网图 DNAT组网图 约束条件 仅“专业版”支持NAT网关流量防护。 依赖企业路由器（Enterprise Router, ER）服务引流。 云防火墙当前默认支持标准私网网段。 如要实现DNAT网关向CFW集群东西向引流并配置DNAT规则，需提工单联系服务运维人员支撑防火墙升级，避免因旧版本不支持DNAT可能引起的流量受损风险。 开启NAT网关流量防护 需完成创建防火墙，具体配置请参见“创建VPC边界防火墙”。 步骤一：将VPC1和VPCNAT接入企业路由器中 1. 添加VPC连接。 操作步骤请参见《企业路由器用户指南> 在企业路由器中添加VPC连接》。 说明 连接需要添加两条，“连接资源”分别选择VPC1和VPCNAT。 2. 创建两个路由表。 1. 在左侧导航栏中，单击左上方的，选择“网络> 企业路由器”，单击“管理路由表”，进入“路由表”页面。 2. 创建两个路由表，作为关联路由表 和传播路由表分别用于连接需防护的VPC和连接防火墙。 单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见下表。 参数名称 参数说明 名称 输入路由表的名称。 命名规则如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 描述 您可以根据需要在文本框中输入对该路由表的描述信息。 标签 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 3. 设置关联路由表。 1. 设置关联功能，添加VPC1和VPCNAT的连接：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在连接下拉列表中，选择VPC连接。 说明 关联需要增加两条，“连接”分别选择VPC1和VPCNAT的连接。 2. 添加静态路由，指向防火墙：单击“路由”页签，单击“创建路由”，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0：VPC的所有流量都会经过云防火墙防护 网段：该网段的流量会经过云防火墙防护 黑洞路由 建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 描述 （可选）路由的描述信息。 4. 设置传播路由表。 1. 设置传播功能，添加VPC1的传播：在路由表设置页面，选择传播路由表，单击“传播”页签，单击“创建传播”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在传播下拉列表中，选择VPC1的连接。 2. 添加静态路由，指向VPCNAT：单击“路由”页签，单击“创建路由”，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址，设置为：0.0.0.0/0。 黑洞路由 建议保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择VPCNAT的连接。

接口功能介绍 删除IPv6带宽。 接口约束 无。 URI POST /v4/ipv6bandwidth/delete 请求参数 请求体body参数 参数 参数类型 是否必填 说明 示例 ::::: clientToken String 是 保证请求幂等性。从您的客户端生成一个参数值，确保不同请求间该参数值唯一。ClientToken只支持ASCII字符，且不能超过64个字符。 123e4567e89b12d3a456426655440000 regionID String 是 共享带宽的区域id。 81f7728662dd11ec810800155d307d5b bandwidthID String 是 共享带宽id。 bandwidthsjwu65pf9t 响应参数 参数 参数类型 说明 示例 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 接口业务数据 见下表 表 returnObj 参数 参数类型 说明 示例 masterOrderID String 订单id。 55d531d7bf2d47658897c42ffb918423 masterOrderNO String 订单编号, 可以为 null。 20221021191602644224 regionID String 可用区id。 81f7728662dd11ec81080015

回源统计 回源统计支持客户按加速类型、标签、域名、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询回源带宽和回源流量的相关数据。 请求数 请求数支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询请求数，QPS和回源请求数。 命中率 命中率支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询流量命中率和请求命中率的数据。 状态码 状态码支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询状态码的分布情况以及各状态码的占比，以及单独查询2XX、4XX、5XX等的趋势图。占比支持通过占比表和饼图两种方式展示。 回源状态码 回源状态码支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查询状态码的分布情况以及各状态码的占比，以及单独查询2XX、4XX、5XX等的趋势图。占比支持通过占比表和饼图两种方式展示。

策略5：加壳 WebShell 防护 无需依赖 WebShell 的任何特征，无需识别加密 payload 内容，无需分析网络访问行为，Web 动态防御能力可以通过动态环境验证发现 WebShell 的请求不是来源于真实的人工情况，同时 WebShell 请求无法获取 Web 动态防御能力生成的有效访问令牌，该功能可以防御加壳型 WebShell 攻击，自动阻断 WebShell 工具连接行为，包括最新版哥斯拉、冰蝎等 WebShell 工具攻击行为。但需持续关注工具版本的升级。您可参考配置指引：设置规则防护 策略6：多源低频防护 以客户端浏览器指纹作为客户端身份唯一性标识，依靠浏览器指纹进行数据统计及溯源取证分析，可以精准识别出用户是否通过多源低频代理 IP 方式对目标站点进行暴力破解攻击，通过针对指纹拦截、动态拦截等动态响应策略，拦截多源低频攻击，该功能可防御攻击者使用代理地址池和多拨软件不断更换 IP 进行攻击的风险支持检测最新的变种加密webshell攻击，常用的webshell加密后绕过检测，包括混淆上传的木马等。您可参考配置指引：设置人机识别

什么是Redis副本？ Redis副本（Replication）是指在Redis中通过复制数据来实现数据的冗余和高可用性。 在Redis副本中，一个主节点（Master）负责处理读写请求，并将数据复制到多个从节点（Slaves）上。从节点会复制主节点的数据，并与主节点保持同步，以便在主节点故障时可以接替主节点的功能。 实例是否支持跨可用区部署？ Redis标准版主备与集群版主备支持跨可用区部署，如果其中一个可用区故障，另一个可用区的节点不受影响。 备节点会自动升级为主节点。在创建实例时可以选择跨可用区。 Redis如何实现数据高可用？ 分布式缓存Redis版标准版主备和集群版主备实例支持部署高可用实例。 您可选择在单可用区或多可用区中部署实例。当租户选择跨多可用区部署实例时，Redis实例会主动建立和维护Redis同步复制。 在实例主节点故障的情况下，缓存实例会自动将备实例升为主节点，从而达到高可用的目的。如果租户使用缓存实例时，业务中读取数据比例大，可以选择集群版主备实例，缓存实例会自动维护主节点和从节点之间的数据同步复制。

配置说明 注意 系统默认内置多个兜底策略：终端安全评估、账号异地登录、非常用时间登录等，这几个策略默认开启，处置动作为监控观察模式，可从 其中处置动作中，授权访问内网对应等级应用的选项依赖节点升级，若您的配置未生效，可 整体配置区分基础信息、管控对象、策略条件、处置动作几个维度进行配置。 基础信息 配置字段 是否必填 配置说明 策略名称 是 可定义策略名称，以便更好的管理策略。 任务开关 是 即策略状态，开启时才进行策略处置。 策略描述 否 可定义策略的信息，用于管理策略。 管控对象 配置字段 是否必填 配置说明 生效用户范围 是 可选择该策略生效的范围，若有多个策略可同时生效。 例外用户 否 基于策略例外用户优先级高于生效用户，如生效用户范围（配置全部）与例外用户（A组织）有存在重叠，则除了A组织外其他全部用户生效。

开发环境 Maven Apache Maven 2.5及以上版本，可至Maven官方网站下载。 JDK Java Development Kit 1.8及以上版本，可至Oracle官方网站下载。 安装后注意配置JAVA的环境变量。 IntelliJ IDEA 获取并安装IntelliJ IDEA，可至IntelliJ IDEA官方网站下载。 操作步骤 1. 下载Demo包kafkajavademo.zip 下载后解压，有如下文件： 表1 KAFKA Demo文件清单 文件名 路径 说明 ::: JavaKafkaConfigurer.java .srcmainjavajavaDemo 读取Kafka配置文件。 KafkaConsumerDemo.java .srcmainjavajavaDemo 消费消息。 KafkaMultiConsumerDemo.java .srcmainjavajavaDemo 批量消费消息。 KafkaProducerDemo.java .srcmainjavajavaDemo 生产消息。 kafka.properties .srcmainresources kafka配置参数 pom.xml . maven配置文件，包含Kafka客户端引用。 2. 打开IntelliJ IDEA，导入Demo。Demo是一个Maven构建的Java工程，因此需要配置JDK环境，以及IDEA的Maven插件。 3. 修改Kafka配置信息。 修改kafka.properties 修改demo文件中的属性变量

本章节主要介绍 鉴权策略。 安全模式 大数据平台用户完成身份认证后，系统还需要根据实际权限管理配置，选择是否对用户进行鉴权，确保系统用户拥有资源的有限或全部权限。如果系统用户权限不足，需要由系统管理员为用户授予各个组件对应的权限后，才能访问资源。安全模式或者普通模式集群均提供鉴权能力，组件的具体权限项在两种模式中相同。 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源的时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 安全版本的集群所有组件默认统一对及访问进行鉴权，不支持关闭鉴权功能。 普通模式 普通模式的集群不同组件使用各自原生开源的鉴权行为，详细鉴权机制下表所示。 在安装了Ranger服务的普通模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 普通模式组件鉴权一览表 服务 是否鉴权 是否支持开关鉴权 ClickHouse 鉴权 不支持修改 Flume 无鉴权 不支持修改 HBase 无鉴权 支持修改 HDFS 鉴权 支持修改 Hive 无鉴权 不支持修改 Hue 无鉴权 不支持修改 Kafka 无鉴权 不支持修改 Loader 无鉴权 不支持修改 Mapreduce 无鉴权 不支持修改 Oozie 鉴权 不支持修改 Spark2x 无鉴权 不支持修改 Storm 无鉴权 不支持修改 Yarn 无鉴权 支持修改 ZooKeeper 鉴权 支持修改

本文主要介绍节点池检查 检查项内容 当前检查项包括以下内容： 检查节点池状态是否正常 检查节点池弹性伸缩能力是否关闭 解决方案 问题场景一：节点池状态异常 请登录CCE控制台，前往“集群信息>资源>节点管理>节点池”，查看问题节点池状态。若该节点池状态处于伸缩中，请等待节点池伸缩完毕，并参考问题场景二关闭节点池弹性伸缩能力。 问题场景二：节点池弹性伸缩能力未关闭 解决方案一（推荐） 请登录CCE控制台，前往“集群信息>运维>插件管理>autoscaler插件”处，卸载该插件。 、 说明 卸载autoscaler插件前，请单击“升级”按钮，备份当前插件配置，便于重装时还原插件配置。 卸载autoscaler插件前，请进入“运维>节点伸缩页面”，备份当前伸缩策略，便于重装时还原节点伸缩策略，这些策略会随autoscaler插件卸载而清除。 节点伸缩策略：通过编辑按钮获取并备份 解决方案二 若您并不希望卸载autoscaler插件，请登录CCE控制台，前往“集群信息>运维>节点管理>节点池”，单击对应节点池的“编辑”按钮，关闭弹性伸缩功能。 说明 关闭弹性伸缩时，请备份当前节点池弹性伸缩配置，便于开启时还原配置。

网卡多队列支持列表 网卡多队列的支持情况和实例规格、虚拟化类型、镜像的操作系统有关，只有同时满足这些要求，弹性云主机才能开启网卡多队列功能。 支持网卡多队列的实例规格请参见“实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）”。 说明 网卡多队列数为大于1的值，表示支持网卡多队列。 虚拟化类型必须为KVM。 表所列的Linux公共镜像，支持网卡多队列。 Windows操作系统弹性云主机的驱动pvdriver有一套动态调整网卡队列数的策略，会根据vCPU数计算队列数并进行动态调整，因此无需对windows网卡多队列数进行设置。 Windows 2008公共镜像已下线，可通过私有镜像支持。 Linux操作系统弹性云主机建议将操作系统内核版本升级至2.6.35及以上，否则不支持网卡多队列。 建议您使用命令uname r查询内核版本，如果低于2.6.35请联系技术支持升级内核。 Windows弹性云主机网卡多队列支持列表 镜像 是否支持多队列 是否默认开启多队列 ::: Windows Server 2008 R2 Standard/Enterprise/DataCenter 64bit 是 是 Windows Server 2008 Enterprise SP2 64bit 是 是 Windows Server 2008 Web R2 64 bit 是 是 Windows Server 2008 R2 Enterprise 64bitWithGPUdriver 是 是 Windows Server 2012 R2 Standard 64bitWithGPUdriver 是 是 Windows Server 2012 R2 Standard/DataCenter 64 bit 是 是 Windows Server 2016 Standard/DataCenter 64 bit 是 是 Windows Server 2019 DataCenter 64 bit 是 是 Linux弹性云主机网卡多队列支持列表 镜像 是否支持多队列 是否默认开启多队列 ::: Ubuntu 14.04/16.04/18.04/20.04 server 64bit 是 是 OpenSUSE 42.2/15. 64bit 是 是 SUSE Enterprise 12 SP1/SP2 64bit 是 是 CentOS 6.8/6.9/7./8.64bit 是 是 Debian 8.0.0/8.8.0/8.9.0/9.0.0/10.0.0/10.2.0 64bit 是 是 Fedora 24/25/30 64bit 是 是 EulerOS 2.2/2.3/2.5 64bit 是 是

参数 参数类型 说明 示例 下级对象 vpcID String 专有网络vpc id vpc077343 name String 专有网络vpc名称 vpcsec78744 description String 专有网络vpc说明 说明vpc的用途等 CIDR String 子网 192.168.0.0/16 ipv6Enabled Boolean 是否启用ipv6 false ipv6CIDRS Array of Strings ipv6 子网列表 ["2408:4002:10c4:4e03::/64", "2408:4002:10c4:4e04::/64"] secondaryCIDRs Array of Strings 附加网段 ["2408:4002:10c4:4e03::/64", "2408:4002:10c4:4e04::/64"] subnetIDs Array of Strings 子网 id 列表 ["subnet1a2b3c4d", "subnet5e6f7g8h"] natGatewayIDs Array of Strings 网关 id 列表 ["natgateway1", "natgateway2"]

采集Pod所有labels和annotations 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“工作负载”，并切换至“monitoring”命名空间，在“无状态负载”页签单击进入kubestatemetrics负载，选择“容器管理”页签，在右侧单击“编辑”按钮，进入“升级工作负载”页面。 步骤 3 在容器配置的“生命周期”中，编辑启动命令。 采集labels时，在原有的kubestatemetrics的启动参数最后添加： metriclabelsallowlistpods[],nodes[node,failuredomain.beta.kubernetes.io/zone,topology.kubernetes.io/zone] 如需采集annotations时，则在启动参数中以相同方法添加参数： metricannotationsallowlistpods[],nodes[node,failuredomain.beta.kubernetes.io/zone,topology.kubernetes.io/zone] 编辑启动命令时，请勿修改其他原有的启动参数，否则可能导致组件异常。 步骤 4 kubestatemetrics将开始采集Pod和node的labels/annotations指标，查询kubepodlabels/kubepodannotations是否在普罗的采集任务中。 kubectl get servicemonitor kubestatemetrics nmonitoring oyaml grep kubepodlabels 更多kubestatemetrics的启动参数请参见kubestatemetrics/cliarguments。

参数 说明 客户信息 当时系统使用区域和可用区。 授权类型 系统默认内置“正式版”。 状态 “已激活”状态为授权许可正常使用状态。 l 单击“更新许可证”，根据系统提示，下载许可申请文件，并联系供应商申请授权许可。导入供应商已授权的许可文件，更新许可证。 l 单击“备份许可证”，下载当前系统许可证到本地保存。 说明 当资产数、用户数、并发数需求扩大，可更新授权许可证升级系统规格，对应需调整云堡垒机CPU、内存、带宽配置。 产品ID 当前系统产品ID。 授权模块 系统支持功能模块，分标准版和 专业版 。 l标准版仅包含“基础模块”。 l专业版包含“基础模块”、“自动化运维”、“数据库审计”。 − 自动化运维包括“帐户同步策略”模块、“配置备份策略”模块、“脚本管理”模块、“快速运维”模块、“运维任务”模块。 − 数据库审计支持添加数据库，通过调用本地数据库工具的方式连接到数据库，审计数据库日志记录和操作命令。 授权资源数 系统最多可添加资源数（包含主机资源和应用发布资源总数）。 授权资源并发连接数 系统不同用户可同时登录资源的协议连接数（包含主机资源和应用发布资源），即连接协议用户数与登录资源数的乘积。 过期时间 系统授权许可到期时间。

规格名称 计算 磁盘类型 网络 网络增强计算型c8ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强内存型m8ne 1.CPU/内存配比：1:8 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强计算型c7ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2148 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3000万PPS 4.最大内网带宽：32Gbps

迁移时间的评估 影响迁移速度的因素有很多，因此没有通用方式能够评估迁移时间。 DTS任务是否可以修改迁移/同步对象？ 数据迁移任务：已创建成功但未启动的状态下，可以修改迁移对象，任务启动后，不再支持修改对象。具体操作请参见迁移对象管理。 数据同步任务：已创建成功但未启动的状态下，可以修改同步对象，任务启动后，不再支持修改对象。具体操作请参见同步对象管理。 DTS是否支持同步同一实例下的不同库？ DTS实时同步任务具有对象名映射功能，通过修改目标数据库对象名称，使数据库对象在源数据库和目标数据库中的命名不同，从而实现同一实例不同库之间的同步。 修改数据同步对象的操作请参见同步对象管理章节的对象名映射部分的内容。 DTS的任务状态会受到源或目标数据库哪些操作的影响？ 以天翼云关系数据库MySQL版举例说明，以下操作可能会影响DTS任务状态： 数据库实例异常：DTS会自动重试建立连接。若重试不成功，待数据库实例正常后，可重启任务，继续迁移。 数据库实例升级：数据库内核升级会重启实例导致DTS连接短暂中断。在此期间，DTS会自动重试。若重试仍无法恢复连接，待数据库实例状态正常后，可重启任务，继续迁移。 数据库实例重启：重启数据库实例将导致DTS连接暂时中断，在此期间，DTS会自动重试。若重试仍无法恢复连接，待数据库实例状态正常后，可重启任务，继续迁移。 数据库实例规格变更：规格变更会重启数据库导致DTS连接暂时中断，在此期间，DTS会自动重试。若重试仍无法恢复连接，待数据库实例状态正常后，可重启任务，继续迁移。 会话连接数限制：DTS任务需要一定数量的源和目标端会话数，当数据库连接数不足时，可能会导致DTS任务失败，用户可在调整数据库连接数后，可重启任务，继续迁移。 数据库实例用户密码修改：修改数据库用户密码可能会导致DTS连接失败，可在暂停任务后编辑任务的数据库密码为正确密码，重启任务，继续迁移。 数据库实例用户权限修改：修改数据库用户权限可能会导致DTS权限不足，导致任务失败。重新为迁移用户赋权后，重启任务，继续迁移。 源库日志清理：当源库binlog日志被清理时，DTS无法从源库获取到当前同步位点后的日志，导致任务失败（例如增量阶段失败）。用户可以重新创建同步任务在新的日志位点上进行同步。 数据库参数修改：DTS任务在启动前的预检查阶段会对源数据库和目标数据库的必要参数进行检查，在预检查完成后到任务结束前，不建议对数据库参数进行修改，避免因为修改参数导致任务失败。如果参数修改导致任务失败，用户可以尝试在恢复参数后，重启任务，继续迁移。 网络抖动：网络抖动造成DTS无法连接数据库，DTS会自动重试建立连接，若重试不成功，DTS任务状态会变为异常。待网络正常后，可重启任务，继续迁移。

轻量型云主机提供以下相关API接口。 产品/功能 类型 描述 API（公测中） 创建轻量型云主机 该接口提供用户创建一台包年包月的轻量型云主机。 API（公测中） 开启一台轻量型云主机 该接口提供用户开启一台轻量型云主机功能。 API（公测中） 续订一台包周期的轻量型云主机 该接口提供用户续订一台包年或者包月的轻量型云主机功能。 API（公测中） 查询轻量型云主机列表 该接口提供用户多台轻量型云主机信息查询功能，用户可以根据此接口的返回值得到多轻量型台云主机信息。 API（公测中） 关闭一台轻量型云主机 该接口提供用户关闭一台轻量型云主机功能。 API（公测中） 查询轻量型主机详细信息 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 API（公测中） 查询一台轻量型云主机的Web管理终端地址 该接口提供用户查询一台轻量型云主机的Web管理终端地址。 API（公测中） 查询轻量型云主机的规格套餐资源 该接口提供用户可用规格列表查询功能，可返回轻量型云主机规格的详细信息，用户可以根据此接口的返回值了解自己可使用的云主机规格有哪些。 API（公测中） 更新一台轻量型云主机密码 该接口提供用户更新轻量型云主机的密码功能，此接口为同步接口。 API（公测中） 轻量型云主机规格套餐升级 该接口提供用户升级一台轻量型云主机规格套餐。 API（公测中） 释放轻量型云主机 该接口提供用户退订一台轻量型云主机功能。 API（公测中） 重启一台轻量型云主机 该接口提供用户重启一台轻量型云主机功能。 API（公测中） 重装一台轻量型云主机 该接口提供用户重装一台轻量型云主机功能，通过填写相应云主机ID、镜像ID对轻量云主机进行重装。 API（公测中） 轻量型云主机新建云硬盘 该接口提供用户轻量型云主机新建云硬盘的能力。 API（公测中） 轻量型云主机退订数据盘 该接口提供用户退订一台轻量型云主机数据盘功能。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

参数 描述 pushgateway PUSHGATEWAY 需要删除Pushgateway监控配置的地址和接口，格式为 IPv4 : port 、[ IPv6 ]: port 或者 domainname : port 。 pushgatewaylabels LABEL Pushgateway对应的标签值，取值是label项。一次可以删除多个labels值，以英文逗号（,）分开。 取值： key 值。 collectmetric COLLECTMETRIC 指定删除的监控指标。 取值为：server、fileSystem、interface、load、disk、tcp、os。 默认删除上述所有监控指标。 collectmetricitems ITEM 指定监控指标下的要删除的具体items配置项。一次删除多个items配置项，以英文逗号（,）分开。 n SERVERID 或 server SERVERID 指定要删除Pushgateway监控配置的HBlock服务器ID。一次可以删除多个HBlock服务器的Pushgateway监控配置，以英文逗号（,）分开。 默认删除所有HBlock服务器的Pushgateway监控配置。

本文提供了包括IPv4和IPv6不同组网环境下VPC对等连接配置的示例供您参考,帮助您了解如何在不同的场景下配置对等连接。 由于同资源池不同VPC之间默认内网隔离，若需要使它们之间内网互通可使用对等连接将两个VPC内网连通。若需要连接跨地域的VPC，您可以考虑使用云间高速服务。请结合您的实际需求，选择适当的网络连接方式。 以下是针对在云环境下建立对等连接时可能遇到的网络地址冲突问题的三种情况，以及相应的对等连接配置示例。 情况 配置示例 VPC网段和子网网段均不重叠 通过对等连接实现两个VPC全地址段互通。具体请参考指向整个VPC网段的对等连接配置。 VPC网段重叠且部分子网网段重叠 通过对等连接实现两个VPC中指定子网互通，对等连接两端VPC中需要互通的子网网段不用重叠。具体请参考指向VPC子网的对等连接配置。 通过对等连接实现两个VPC内指定弹性云主机互通，对等连接互通的弹性云主机实例的私有IP地址不能相同。具体请参考指向VPC内云主机的对等连接配置。 VPC网段和全部子网网段均重叠 无法通过创建对等连接来实现VPC之间的通信。具体请参考无效的VPC对等连接配置。

本文提供了包括IPv4和IPv6不同组网环境下VPC对等连接配置的示例供您参考,帮助您了解如何在不同的场景下配置对等连接。 由于同资源池不同VPC之间默认内网隔离，若需要使它们之间内网互通可使用对等连接将两个VPC内网连通。若需要连接跨地域的VPC，您可以考虑使用云间高速服务。请结合您的实际需求，选择适当的网络连接方式。 以下是针对在云环境下建立对等连接时可能遇到的网络地址冲突问题的三种情况，以及相应的对等连接配置示例。 情况 配置示例 VPC网段和子网网段均不重叠 通过对等连接实现两个VPC全地址段互通。具体请参考指向整个VPC网段的对等连接配置。 VPC网段重叠且部分子网网段重叠 通过对等连接实现两个VPC中指定子网互通，对等连接两端VPC中需要互通的子网网段不用重叠。具体请参考指向VPC子网的对等连接配置。 通过对等连接实现两个VPC内指定弹性云主机互通，对等连接互通的弹性云主机实例的私有IP地址不能相同。具体请参考指向VPC内云主机的对等连接配置。 VPC网段和全部子网网段均重叠 无法通过创建对等连接来实现VPC之间的通信。具体请参考无效的VPC对等连接配置。

本节主要介绍重置管理员密码 文档数据库服务支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 如果您在创建实例时，选择创建后设置密码，在连接实例前，您需要先重置管理员密码，再通过该密码连接实例。 使用须知 以下情况不可重置密码： 租户被冻结 创建中 重启中 节点扩容中 切换SSL中 修改端口号中 规格变更中 删除节点中 内核版本升级中 主备切换中 可用区迁移中 只读节点扩容中 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高帐号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》中敏感操作的内容。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，选择“更多 > 重置密码”。 重置密码 您也可以在“实例管理”页面，选择指定的实例，单击实例名称。在“基本信息”页面“数据库信息 > 管理员账户名”处，单击“重置密码”。 重置密码 步骤 5 输入新管理员密码及确认密码，单击“确定”。 重置密码不会断开已经鉴权的连接，但在登录数据库时，需要输入更新后的新密码。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@

操作系统 相关配置项 参考链接 Windows 设置网卡属性为DHCP 开启远程桌面连接功能 安装Guest OS driver，包括PV driver和UVP VMtools驱动 （可选）安装CloudbaseInit工具 （可选）开启网卡多队列 （可选）配置IPv6地址 Linux 清理网络规则文件 设置网卡属性为DHCP 安装原生的XEN和KVM驱动 修改grub文件的磁盘标识方式为UUID 修改fstab文件的磁盘标识方式为UUID 清除“/etc/fstab”中非系统盘的自动挂载信息 （可选）安装CloudInit工具 （可选）开启网卡多队列 （可选）配置IPv6地址

版本 发布日期 说明 4.0 2026年03月24日 1. 支持免费版本。 2. 新增调整HBlock服务占用服务器内存参数功能。 3. 上云卷新增挂起卷功能。 4. 支持通过API设置本地卷的扩展属性。 5. 增加设置鉴权方式。 3.10 2025年09月25日 1. 支持target访问权限，实现客户端和target端权限管理。 2. 支持备份，基于快照生成独立于源卷的数据备份文件。 3. 支持设置QoS规则，从带宽和IOPS维度管控流量。 3.9 2025年04月21日 1. 支持快照功能，实现数据的快速备份与恢复。 2. 支持克隆卷功能，用于数据复制、测试验证等场景。 3.8 2025年02月14日 1. API签名方法变更，提升安全性。 2. 存储卷和缓存卷支持将数据上传至兼容 S3 的对象存储。 3. 支持设置基础服务的数据存储目录。 4. Target增加回收策略，支持无卷关联后自动删除。 5. 针对智算、虚拟化以及高可用敏感度等场景，支持一键调整系统参数。 6. 支持设置折叠副本数，允许数据副本/分片放在同一个故障域中。 3.7 2024年08月08日 1. 支持设置集群拓扑。 2. 支持创建和管理多存储池。 3. 支持机房和机架级别故障域。 4. 支持设置卷的高速缓存池。 5. 支持基础服务迁移。 3.6 2024年06月03日 1. 支持存储卷和缓存卷，将数据从后端上传到天翼云对象存储（经典版）I型。 2. 硬件及HBlock监控数据支持对接到Prometheus。 3. 支持HBlock告警信息对接到智能运维平台。 4. 优化读写性能。 5. 增加对龙芯服务器的支持。 3.5 2024年03月04日 1. 支持服务器、数据目录级别的故障域，支持磁盘级别的数据服务。 2. 支持指定基础服务的安装节点。 3. 支持数据目录配额，设置HBlock可写入的数据量上限。 4. Target可被多个客户端发现并连接。 5. 设置卷的最小写入副本数，提高数据写入安全性。 6. 扩大纠删码EC N+M支持范围，满足N+M<128。 3.4 2023年07月12日 1. 卷连接支持一主多备，提高业务可用性。 2. 支持IPv6环境。 3. 控制台提供Dashboard一页式概览。 4. 支持通过命令行查询CHAP密码。 3.3 2022年12月23日 支持安全移除服务器。 3.2 2022年09月26日 1. 监控项增加，扩大覆盖范围。 2. 增加对告警、日志管理的支持。 3. 事件中增加对系统事件的支持。 3.1 2022年06月14日 1. 单机版支持添加多个数据目录。 2. 集群版支持创建Target时指定对应的服务器，支持Target迁移。 3. 支持用户事件的记录和查询。 3.0 2022年01月18日 1. 命令行变更为非交互式。 2. 支持WEB、API调用方式。 3. 卷操作：支持设置卷的高可用类型和卷的写策略。 2.1 2021年08月27日 1. 增加对ARM服务器的支持。 2. 软件许可证：查看许可证时，可以显示允许的容量。 3. 卷操作：支持对卷进行主备切换，即卷对应的Active Target和Standby Target切换。 2.0 2021年05月28日 1. 支持集群版部署。 2. 支持多副本和纠删码数据冗余。

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

本节介绍取消Kafka消费组和Topic的订阅关系。 消费者订阅Topic消费消息后，在消费组详情页可以查看消费进度。如果消费者不再消费某个Topic，您可以取消消费组和此Topic的订阅关系，避免由于此Topic的消息堆积，导致的告警误报。 约束与限制 已创建的1.1.0版本的Kafka实例可能不支持取消订阅功能，您可以通过升级实例的内核版本来解决此问题。 取消消费组和Topic的订阅关系会删除消费组对该Topic的消费位点信息，删除后无法恢复，请谨慎操作。 取消Kafka消费组和Topic的订阅关系 1. 登录Kafka控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 单击Kafka实例的名称，进入实例详情页面。 4. 在左侧导航栏选择“实例管理 > 消费组管理”，进入消费组列表页面。 5. 单击待取消订阅关系的消费组名称，进入消费组详情页。 6. 在“消费进度”页签中，勾选待取消订阅关系的Topic，每次最多勾选50个，单击信息栏左上侧的“取消订阅”。 7. 在“取消订阅”对话框中，单击“确定”。 取消订阅成功后，在“消费进度”页签，不再显示取消订阅的Topic。

场景二：不同业务要求的数据隔离，扩展数据集群多租户的能力 大规模数据库集群往往同时包含很多业务的数据，不同业务有不同的数据表，为了对不同业务进行资源隔离，可以通过创建多租户来实现。将不同业务用户分配给不同租户，以便减少业务之间资源竞争。但随着业务规模不断扩大，集群系统中的业务数目越来越多，通过划分多租户来管理越来越难以控制资源竞争。由于每个表都会分布在数据库集群的所有DN节点上，因此每次数据表操作都可能会涉及所有DN节点，这会导致网络压力增大和系统资源消耗，单纯通过扩大集群规模也很难解决。所以可通过划分多个逻辑集群解决业务数量扩大问题，如上图所示。 通过划分独立的逻辑集群，将新增的业务分配到独立的逻辑集群上，这样新增业务对原有业务的影响会很小。而原有逻辑集群中的业务规模如果扩大，也可以通过对原有逻辑集群扩容来解决。 说明 逻辑集群不适合将多个独立的数据库系统合并在一起管理，独立的数据库系统往往对独立运维要求很高，需要能够单独管理、监控、备份和升级，同时集群之间要求故障隔离，逻辑集群无法做到独立运维和完全的故障隔离。