本节为您介绍如何对已购物理机进行续订/释放操作。 物理机续订操作 操作场景 当您需要延长物理机使用周期时，可对其进行续订。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 勾选目标物理机首列选框，在物理机列表页面上方单击“续订“。如下图所示： 5. 在续订弹窗中核对物理机信息无误，在“续订时长”下拉选择续订周期，单击“确定”开始续订。 6. 在“订单详情”页面确认订单信息，单击“立即支付”付款后完成续订。 物理机释放操作 操作场景 如果您的业务使用中止或结束，不再需要物理机，请释放该物理机避免继续产生费用。 说明 包年/包月购买的物理机，只能通过“退订”来释放。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 找到目标物理机所在行的“操作”列，将鼠标移动“更多 > 退订”。 5. 在退订物理机弹窗中核对物理机信息无误，单击“确定”进行物理机释放。 说明 在申请退订前，请做好主机数据备份工作。

操作步骤 以CentOS 7操作系统为例，介绍如何修改“fstab”文件中的磁盘标识方式为UUID。 1. 使用root用户登录物理机。 2. 执行blkid命令，列出当前系统中所有已挂载文件系统的类型以及对应设备的UUID。 $ blkid /dev/sda2: UUID"4eb402944c6f4384bbb6b8795bbb1130" TYPE"xfs" /dev/sda1: UUID"2de37c6b264843b4a4f540162154e135" TYPE"swap" 3. 执行lsblk命令，查看磁盘设备的信息，找到对应的设备名称和UUID。 $ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 50G 0 disk ├─sda1 8:1 0 1G 0 part [SWAP] └─sda2 8:2 0 49G 0 part / 4. 执行vi /etc/fstab命令，打开“/etc/fstab”文件，按“i”进入编辑模式，将“/etc/fstab”中的磁盘标识方式修改为UUID的形式，将设备名称替换为对应的 UUID。 UUID4eb402944c6f4384bbb6b8795bbb1130 / xfs defaults 0 0 UUID2de37c6b264843b4a4f540162154e135 swap swap defaults 0 0 5. 修改完成后，按“Esc”，输入:wq保存并退出文件。 云硬盘设备名称与操作系统内块设备名称是否一致？ 本地系统盘场景 对于本地系统盘场景，物理机详情页面显示的云硬盘设备名称与操作系统内部的设备名称可能不一致。这是因为操作系统在启动时会根据硬件配置和加载顺序分配设备名称。 建议在本地系统盘场景下，不依赖于设备名称进行操作。相反，您可以使用云硬盘的唯一标识符（例如UUID或WWN）来操作云硬盘。这样可以避免设备名称变化对业务造成影响。

实例管理界面编辑管控规则： 1. 用户以超级管理员身份登录DMS系统。 2. 在左侧菜单栏依次点击 数据资产 > 实例管理。 3. 在实例列表界面点击更多 ，点击管控规则 ，在弹窗中下拉选择要与当前实例绑定的规则集，然后输入托管的数据库账号和密码，连接测试通过后，点击确定按钮。 编辑管控规则集 在管控规则集列表界面点击编辑按钮会弹出规则集编辑界面，在此界面可以更改当前规则集的名称和备注。 配置管控规则集 在SQL风险界面点击编辑按钮，即可进入规则集配置界面。规则集包含风险识别规则和风险审批规则两种类型。用户可以在该界面可以根据DDL、DML、导出数据三种操作类型来调整规则集的默认配置、审批模板或者新增风险识别规则。例如用户在查询窗口执行删除表操作，风险识别到当前操作为DDL类型且为高风险，则会阻断该操作在查询窗口继续执行，需要用户提交SQL变更工单经过指定审批后才可以执行删除表操作。值得注意的是若匹配到的操作类型的风险等级对应的审批模板为免审批，则DMS不会阻断该行为。 编辑规则 选中某条风险识别规则，点击编辑按钮，在弹窗中编辑规则的名称、风险等级、以及具体的规则定义。规则定义由规则条件和规则条件组组成，每种操作类型的风险管控因子组成。 说明 风险审批规则只支持编辑审批模板。

天翼云SDWAN为您提供优质的服务体验,本文带您了解产品优势。 灵活接入 支持天翼云自研硬件终端设备、软件vCPE、VPN客户端、政企融合网关、品牌厂商终端等多种接入形态，可根据客户场景灵活适配、即插即用，充分满足小微门店、中大型企业等多元化部署需求。 支持通过各运营商互联网（包括PPPoE拨号方式或配置固定IP方式）、4G/5G无线网络、专线等多种方式实现多链路上联至SDWAN网络接入点 ，满足各类接入需求。 支持同时配置POP组网和IPSec直连组网网络架构，实现混合组网。 成本低廉 利用互联网宽带接入降低成本，同时通过有效利用所有可用网络连接提高链路利用率，满足企业业务需求。 SDWAN网络在客户侧通常采用互联网宽带接入，相比物理专线/专网产品，互联网链路更加便宜，可大幅度降低带宽成本。 SDWAN技术还可以帮助企业有效地利用所有可用的网络连接来满足其业务需求，充分提高链路利用率。 安全传输 通过IPSec VPN加密隧道传输、ACL管理等多项安全措施，保障SDWAN广域网数据传输的安全性和设备接入的安全性。 SDWAN广域网数据通过IPSec VPN加密隧道进行传输，同时支持国产密码算法和商用密码，在链路质量层进行多重安全加固，保障数据传输的安全性； 支持ACL管理，通过配置五元组白名单/黑名单策略，实现对接入流量的管控； 支持容器化部署安全防护能力，可灵活扩容防火墙、入侵检测、访问控制等安全模组，实现安全能力按需加载、弹性扩展。

本节介绍了云数据库TaurusDB的数据库连接相关的问题与处理方法。 外部服务器能否访问TaurusDB数据库 对于开通公网访问功能的TaurusDB实例，可以通过外网进行访问。 具体请参见： 通过公网连接TaurusDB实例 未开通公网访问的实例 在虚拟私有云中开通虚拟专用网络（Virtual Private Network，简称VPN），通过虚拟专用网络连接TaurusDB。 将TaurusDB与弹性云主机创建在同一个虚拟专用网络下，通过弹性云主机来访问TaurusDB。 具体请参见： 通过内网连接TaurusDB实例 ECS无法连接到TaurusDB实例的原因 遇到该问题，参考以下步骤排查解决。 步骤 1 先确认弹性云主机和TaurusDB实例是否在同一个虚拟私有云下。 如果在，执行步骤2。 如果不在，需要重新创建弹性云主机实例，使之和TaurusDB实例在同一个虚拟私有云下。 步骤 2 查看弹性云主机实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求。 请参见“创建实例”中的“安全组”的描述，然后执行步骤3。 如果没有，从弹性云主机的实例详情页面，进入虚拟私有云页面，选择“安全组”，添加安全组。 步骤 2 在弹性云主机上，测试是否可以正常连接到TaurusDB实例地址的端口。 TaurusDB主备版实例的默认端口为3306。 telnet { 端口号 } 如果可以通信，说明网络是正常的。 如果端口不通，请联系售后技术支持协助排查

本文为您介绍轻量型云主机对网络的支持情况。 虚拟私有云( VPC) 轻量型云主机使用虚拟私有云 (VPC) 来进行网络隔离和管理。每个 VPC 包括私网网段、路由表和至少一个子网。 私网网段 ：在创建 VPC 时，用户无法自行指定私网网段，轻量型云主机默认自动创建10.0.0.0/8私网网段，您可以在这个范围内创建子网。 子网 ：云资源（例如云主机、云数据库等）必须部署在子网内。 路由表 ：在创建虚拟私有云VPC时，系统会自动生成默认路由表，新创建的子网会关联到该默认路由表下。默认路由表确保同一个 VPC 下的所有子网之间可以互通。 防火墙 防火墙在轻量型云主机的网络安全中起着关键作用。轻量型云主机的防火墙相当于云主机中的安全组，提供同等的安全防护作用。通过配置防火墙规则，您可以控制轻量型云主机对网络的入站和出站访问，从而增强网络安全。 弹性IP 弹性 IP（Elastic IP Address，简称EIP）是可以独立申请的公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。轻量型云主机订购时默认分配公网IP，并绑定独享带宽。

本节主要介绍CSI插件常见问题。 在创建Pod时，由于iSCSI driver问题出现报错FailedMount，如何处理？ 可能有以下两个原因： 报错信息为：MountVolume.Setup failed for volume “xxxx”: Kubernetes.io/csi: mounter.SetupAt failed: rpc error: code Internal desc iscsiadm error: iscsiadm: Could not login to [iface: default, target: xxxx, portal: 192.168.0.1,3260].iscsiadm: initiator repoeted error (12 iSCSI driver not found. Please make sure it is loaded, and retry the operation)iscsiadm: Could not login to all portalsLogging in to [iface: default, target: xxxx, portal: 192.168.0.1,3260] (multiple) (exit status 12) 出现此报错的原因是Kubernetes的node节点上已安装了iscsiinitiatorutils。CSI插件会自动部署iscsiinitiatorutils，用于挂载HBlock 的卷，node节点上无需重复安装，如已安装，需要卸载node节点上的iscsiinitiatorutils。建议卸载之后重启节点。 报错信息为：MountVolume.Setup failed for volume “xxxx”: rpc error: code Internal desc exit status 1 出现此报错的可能原因node采用了Multipath的方式来连接到HBlock集群中的两个Target，但是node节点之前安装过MPIO，因此需要卸载节点上的MPIO（如devicemappermultipath devicemappermultipathlibs）。建议卸载之后重启节点。 HBlock集群模式下，在动态创建PV的场景中，创建出来的LUN对应多少个Target IQN？ 动态PV对应的是根据需求在HBlock中动态创建LUN的场景，在集群模式下，如果设置了highAvailability: "ActiveStandby"，LUN关联对应Target下的所有IQN，如果highAvailability设置为Disabled，LUN关联对应Target下的一个IQN。

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、本地存储、并行文件，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 对应StorageClass yaml中provisioner，值为local.csi.cstor.com。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 参数 本地存储类型：参数键为type；该场景下选择lvm。 存储池：参数键为baseStor，选择上一步创建的存储池。 挂在类型：参数键为csi.storage.k8s.io/fstype，支持参数值包括ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

您可以根据需要查看并行文件的监控信息，本文帮助您了解HPFS的监控指标。 监控指标说明 监控指标为实时数值，采集周期为1分钟。 可以选择系统提供的固定时长或自定义时间段来查看云服务的监控周期内的走势图。 容量监控指标 指标名称 监控项 单位 说明 fscapacitytotal 总容量 MB 文件系统总容量 fscapacityused 已使用容量 MB 文件系统已使用容量 fscapacityusage 已使用率 % 文件系统已使用容量占总容量的比率 性能监控指标 指标名称 监控项 单位 说明 fsreadbw 读带宽 KB/s 文件系统在周期内的读数据量 fswritebw 写带宽 KB/s 文件系统在周期内的写数据量 fsreadiops 读IOPS 次 文件系统在周期内每秒平均读IOPS次数 fswriteiops 写IOPS 次 文件系统在周期内每秒平均写IOPS次数 文件数量监控指标 文件数量监控指标当前仅支持部分资源池使用，其余资源池正逐步升级中。 指标名称 监控项 单位 说明 fsinodetotal 总文件数 个 文件系统总文件数（目录+文件） fsinodeused 已使用文件数 个 文件系统已使用文件数 fsinodeavail 可用文件数 个 文件系统可用文件数 fsinodeusage 文件数已使用率 % 文件系统已用文件数占总文件数的比率

使用proxyprotocol方式须知 选择proxyprotocol方式时，还需要选择协议版本号，v1版本仅支持TCP协议，v2版本同时支持TCP和UDP协议。 Nginx PP方式获取客户端IP，以Nginx为例，只需把参数proxyprotocol加到server块的listen指令中，示例如下： http { ... server { listen 80 proxyprotocol; listen 443 ssl proxyprotocol; ... } } Apache Apache服务支持proxyprotocol协议必须要求httpd版本大于等于httpd 2.4.31。 1. 确保httpd服务正常安装且版本大于等于httpd 2.4.31，可用：/usr/local/httpd/bin/apachectl v 名称查看版本号。 2. 打开Apache的主配置文件httpd.conf。 apache /usr/local/httpd/conf/httpd.conf 3. 在配置文件中启用modremoteip模块。 apache LoadModule remoteipmodule modules/modremoteip.so 4. 在httpd.conf配置文件里的VirtualHost下添加“RemoteIPProxyProtocol On”开启proxyprotocol协议支持。 apache RemoteIPProxyProtocol On 5. 重启Apache服务，完成开启Apache proxyprotocal协议配置。 HAProxy HAProxy是一个使用C语言编写的自由及开放源代码软件，基于TCP和HTTP提供高可用性、负载均衡，其不能像Apache服务一样配置一个http服务源站，只能作为负载均衡器作为代理转发作用，故其后端需要对应至少一个应用服务源站。此示例中使用Apache来模拟一个http源站。请求链路为：客户请求>IP应用加速网关>HAProxy负载均衡>Apache http源站服务，HAProxy有如下两种配置方式以实现传递用户真实IP回源。

配置识别模板的操作方法 您可以通过自定义模板来支持修改模板的内容。自定义模板支持修改模板内容，若您需要修改模板的内容，请按照编辑分类分级模板操作。 模板的规则分类支持修改，如果您需要修改规则分类，请按照修改模板规则分类操作。 约束限制 内置模板不支持编辑修改。 编辑识别模板 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 单击目标模板的“详情”进入模板详情界面。 鼠标移动至“分类名称”时： 单击创建新的分类名称。 单击编辑分类名称。 单击删除分类名称。 单击左侧“分类名称”，在右侧查看相关分类规则，支持多选。 右侧分类规则列表左上角单击“添加规则”，具体参见新建自定义规则章节。 单击“批量删除”，删除右侧勾选的规则。 单击“状态”列可以选择打开或者关闭此条规则。 单击“操作”列“查看详情”，可以编辑规则内容。 单击“操作”列“删除”，删除规则。

DRDS支持使用reload命令来动态重新加载元数据，避免数据丢失的同时，无需重启数据库进程或整个集群，可有效降低对在线服务的影响。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 背景信息 DBProxy通过ZooKeeper广播机制同步库表、参数、关联MySQL元数据信息，在网络异常或节点高负载、异地容灾场景下，DBProxy内存可能未完全加载元数据。此时，可通过动态加载元数据能力来为DBProxy重新读取并应用其参数配置或元数据，无需重启DBProxy进程，动态更新集群配置或元数据信息，最大限度地减少对在线服务的影响，避免因重启操作导致服务中断。 使用说明 支持动态加载的DRDS 元数据和对应的命令如下： 加载metadata 支持加载schema（库）、table（表）、sequence（序列）、index（切片索引）元数据 命令如下： plaintext reload metadata [where schema? [and table ?] where table in ('schema1'.'table1',...)] 参数 说明 schema 加载指定schema中所有表或指定表的元数据信息，其中zk function tablerule元数据全量加载，不区分库表。 table 表名。 使用示例： 加载更新序列（sequence） 注意 为保证序列全局唯一递增，reload后的新序列会增加一段余量，余量 2 max(1000, increment) ，即新序列起始值 集群节点序列最大值 + 余量。 命令如下： plaintext reload sequence [where schema? [and sequence?] where sequence in ('schema1'.'sequence',...)] 参数 说明 schema 库名。 sequence 序列名。 使用示例：

本章节主要介绍存储过程管理 新建存储过程 存储过程是一组为了完成特定功能的SQL语句的集合，它经编译后存储在数据库中，用户可以通过存储过程的名称并给出参数来执行。 存储过程对完成特定功能的SQL语句集或者处理复杂的业务均较为实用，例如您可通过存储过程快速完成循环插入对象等操作。 前提条件 具有CREATE PROCEDURE权限的用户可创建存储过程。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部导航栏选择“库管理”， 7、在页面右上方“当前所在库”右侧单击“切换库”，切换目标数据库。 8、在对象列表页签下选择“存储过程”，单击页面左上侧“新建存储过程”。 9、在新建存储过程页面，单击设置模板参数，在设置模板参数弹窗中填写参数信息，单击“确定”。 10、在新建存储过程页面，单击“执行”。 11、在弹窗中设置存储过程的入口参数值，单击“开始执行”。 12、执行存储过程后，您可在页面下部消息及结果集栏中查看执行情况。

介绍RabbitMQ实例的扩容方案。 背景信息 当需要处理大量消息时，RabbitMQ实例的扩容是一种常见的解决方案。扩容可以增加RabbitMQ集群的吞吐量、存储能力和高可用性。分布式消息服务RabbitMQ提供三类扩容方案，分别为节点、规格和磁盘扩容，更好满足用户不同场景下的扩容需求。 节点扩容：指向RabbitMQ集群中添加更多的节点以增加系统的吞吐量和可靠性。通过扩容，可以将消息的发送和消费负载分摊到更多的节点上，从而提高系统的并发处理能力。 规格扩容：指通过增加RabbitMQ的资源配置来提升系统的处理能力和性能。 磁盘扩容：指增加磁盘的存储容量，以满足更多消息的存储需求。 操作步骤 以下操作适用于华东1、上海36节点。 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）当前页面会列出所购买的RabbitMQ实例。选择需要扩容的实例，点击更多磁盘扩容/规格扩容/节点扩容. 扩容说明 磁盘扩容：增加实例磁盘空间。选择需要的磁盘空间后点击确定下单扩容。 规格扩容：将实例的规格升配，选择需要的规格点击确定下单扩容。 节点扩容：在3/5/7/9四种节点数目中增加节点数量。选择需要的节点数点击确定下单扩容。

Batch Batch 的基本思路是：把消息缓存在内存中，并进行打包发送。Kafka 通过 Batch 来提高吞吐，但同时也会增加延迟，生产时应该对两者予以权衡。 在构建 Producer 时，需要考虑以下两个参数： batch.size : 发往每个分区（Partition）的消息缓存量（消息内容的字节数之和，不是条数）达到这个数值时，就会触发一次网络请求，然后客户端把消息真正发往服务器； linger.ms : 每条消息待在缓存中的最长时间。若超过这个时间，就会忽略 batch.size 的限制，然后客户端立即把消息发往服务器。 由此可见，Kafka 客户端什么时候把消息真正发往服务器，是通过上面两个参数共同决定的。batch.size 有助于提高吞吐，linger.ms有助于控制延迟。您可以根据具体业务需求进行调整。 OOM 结合 Kafka 的 Batch 设计思路，Kafka 会缓存消息并打包发送，如果缓存太多，则有可能造成 OOM（Out of Memory）。 buffer.memory : 所有缓存消息的总体大小超过这个数值后，就会触发把消息发往服务器。此时会忽略 batch.size 和 linger.ms 的限制。 buffer.memory 的默认数值是 32 MB，对于单个 Producer 来说，可以保证足够的性能。需要注意的是，如果你在同一个 JVM 中启动多个 Producer，那么每个 Producer 都有可能占用 32 MB 缓存空间，此时便有可能触发 OOM。 在生产时，一般没有必要启动多个 Producer；如果特殊情况需要，则需要考虑buffer.memory的大小，避免触发 OOM。

在创建天翼云分布式缓存Redis实例之前，您需要做一些准备工作。首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管Redis实例。接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证Redis实例的安全性。 每个分布式缓存Redis实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理Redis实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 所需依赖资源准备 购买分布式缓存Redis实例前需要准备以下依赖资源 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置Redis实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式缓存Redis服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网

本节主要介绍图片处理相关问题。 OOS可以处理的图片格式有哪些？ OOS图片处理支持处理的源文件格式包括jpg、png、bmp、webp，生成后的图片支持的格式包括jpg、png、bmp、webp格式 (注意gif默认保存成jpg)。详见规则说明。 OOS在处理图片时有哪些限制？ 源文件的大小不能超过20MiB。对缩略后的图片的大小有限制，目标缩略图的宽与高的乘积不能超过4096 4096，而且单边的长度不能超过4096 4。管道目前限制在4个。不支持处理分片上传的图片。 什么是长边和短边？ 关于“长边”和“短边”的定义需要特别注意，它们表达的是在缩放中相对比例的长或短。“长边”是指原尺寸与目标尺寸的比值大的那条边；“短边”同理。如原图400 200，缩放为800 100，（400/8000.5，200/1002，0.5 < 2），所以在这个缩放中200那条是长边，400是短边。 什么是管道？ 如果对图片有多次处理任务（比如先做缩略，再加上水印）可以用管道来实现，执行顺序按管道指定顺序执行，目前最多支持四级管道。详见管道。 图像支持哪些处理接口？ 支持的接口有：单边固定缩略、指定宽高缩略、强制宽高缩略、自动剪裁、按比例缩放、高级剪裁、格式转换、获取基本信息和exif信息。详见图像处理接口。

配置项 说明 对象组 指定规则所匹配的对象组。支持“包含任一对象则满足”或“包含所有对象才满足”。 说明 对象组、数据级别、敏感数据类型间是“或”的关系，与其他规则配置是“与”的关系。 数据级别 多选项，可选一级、二级、三级、四级、五级。 敏感数据类型 多选项，可选内置类型或后续新增的类型。 支持“包含任一类型则满足”或“包含所有类型才满足”。 操作类型 指定SQL语句的操作类型，如Select、Update、Delete等。可根据DDLDMLDCL来选择。 SQL模板ID 可填多值，多个值间以逗号“,”分隔。在审计日志详情中可查看。 SQL关键字 SQL关键字：支持以正则表达式方式匹配报文。单击<正则验证>输入表达式和校验内容，单击<提交>，验证输入内容与SQL关键字中的正则表达式是否匹配。可单击“添加条件”可添加多个关键字。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)。条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个SQL关键字条件，且两个关键字都要满足才能告警。 SQL长度 取值范围1B~64KB。 WHERE子句 是否包含WHERE，支持三个选项：不判断、有WHERE子句、没有WHERE子句。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname; FROM tablename; WHERE columnname operator value;

本文为您介绍天翼云云搜索服务的跨集群复制能力及使用方法。 功能简介 跨集群复制（CrossCluster Replication, CCR）是搜索引擎的一项重要功能，旨在实现不同集群间的实时数据同步和复制。这一功能对于构建全球分布式系统、提高数据高可用性、支持灾备恢复、以及优化跨地域数据访问具有显著意义。 天翼云云搜索服务在OpenSearch和Elasticsearch都实现了跨集群复制功能。 核心原理 跨集群复制通过在不同的搜索集群之间建立主从索引关系来实现数据同步。一个集群中的索引被设为主索引（Leader Index），负责处理数据的写入操作。其他集群中的从索引（Follower Index）则持续地从主索引中拉取数据更新，确保各个集群的数据保持一致。 这种主从架构确保了写入操作的集中管理，减少了数据冲突的风险，并维护了数据的一致性。 应用场景与优势 分布式系统 在更大范围内部署应用时，CCR 允许数据在不同地理位置的集群之间同步。通过在用户所在地附近的集群中设置从索引，可以显著降低访问延迟，提高查询性能。例如，上海的主集群可以通过 CCR 将数据复制到北京的从集群，从而优化这些地区用户的体验。 灾备恢复 CCR 是构建高可用性和灾备系统的关键。主集群若发生故障，其他地理位置的从集群可以迅速接管，保障业务连续性。这种多集群架构能够有效防范单点故障，提高系统的可靠性。

二、系统变量参数在脚本中的使⽤⽅法 系统变量参数由平台预定义，无需 在“脚本参数”中手动添加。在编写脚本时，您可以直接通过 ${变量名} 的占位符格式引用它们。 Shell 示例 ：假设您需要在脚本中调用一个API，可以直接使用 ${HostIP} 和 ${HostPort} 来动态指定目标地址： shell curl X POST d "paramvalue" 三、⽤户⾃定义参数在脚本中的使⽤⽅法 对于用户自定义的参数，您必须先在页面的“脚本参数”栏中完成定义，才能在脚本内容中通过 ${参数Key} 的格式进行调用。执行脚本时，系统会将占位符替换为您所配置的具体值。 1. 请求参数 (输入) ： 例如，定义一个键（Key）为 restartHostCmd 的字符串类型参数。在脚本中引用该参数后，执行时只需为其指定具体命令（如 reboot）即可。 shell /bin/bash c "${restartHostCmd}" 2. 返回参数 (输出) ： 返回参数用于判断脚本执行结果是否成功。您需要在脚本中对该参数进行赋值，平台会捕获其最终值，并与您设定的成功条件进行比对。 Shell 示例 ：假设定义了一个整型返回参数 retCode，可在脚本末尾对其赋值： shell echo "retCode${retCode}" 此后，您即可将 retCode 是否等于 0 设定为该脚本的成功标准。 脚本编写示例 一、功能描述 本示例脚本用于监控远程主机上的指定守护进程状态。若进程未运行，则启动该进程；若进程正在运行，则将其重启。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 php require '/path/to/autoload.php'; use AwsStsStsClient; use AwsExceptionAwsException; use AwsCredentialsCredentials; ​ const endpoint ' '; // e.g. or const accesskey ' '; const secretkey ' '; ​ $credentials new Credentials(accesskey, secretkey); ​ $this>stsClient new StsClient([ 'region' > 'ctyun', // region固定填ctyun 'version' > '20110615', // sts接口版本号，固定填20110615 'credentials' > $credentials, 'endpoint' > endpoint, ]); 获取临时token php public function AssumeRole() { $bucket ' '; $arn ' '; ​ $roleSessionName ' '; $roleArn "arn:aws:iam:::role/$arn"; $policy "{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::$bucket","arn:aws:s3:::$bucket/"]}}"; ​ try { $res $this>stsClient>assumeRole([ 'Policy' > $policy, 'RoleArn' > $roleArn, 'RoleSessionName' > $roleSessionName, ]); vardump($res>get('Credentials')); } catch (AwsStsExceptionStsException $e) { echo "Exception: $e"; } } 参数说明： 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

本文为您介绍如何在Serverless集群中部署Jenkins并完成应用构建和部署。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 确保目标集群的安全组已经开放相关端口号。 确保kubectl工具已经连接目标集群。 操作步骤 1. 首先需要配置Jenkins Helm 仓库。 helm repo add jenkins helm repo update 2. 安装Jenkins。 1. 创建cicd命名空间。 kubectl create ns cicd 2. 创建存储卷，用于保存jenkins中的数据。 当您使用CSI插件来创建存储卷时，创建具体操作，请参见CSI插件安装。 3. 在cicd命名空间下部署jenkins应用。 helm n cicd install jenkins jenkins/jenkins set persistence.existingClaimpvccsi set controller.adminPassword"adminpwd" set controller.serviceType"LoadBalancer" persistence.existingClaimpvcnas：必选项，在cicd命名空间下创建的存储卷的PVC名称为pvccsi。 controller.adminPassword"admin"：可选项，默认将生成随机密码。 controller.serviceType"LoadBalancer"：可选项，默认为ClusterIP类型。 4. 上面步骤会创建1个jenkins的pod，查看jenkins的pod是否正常。 kubectl n cicd get po 5. 使用浏览器访问jenkins服务，输入账号密码进行登录。 3.创建流水线任务。 1. 登录Jenkins，在左侧菜单栏单击New Item。 2. 在Enter an item name区域，输入名称mypipeline，选择Pipeline类型，然后单击OK。 3. 在页面顶部单击Pipeline页签，选择Hello World模板，然后单击Save。 4. 点击Build Now执行构建。 5. 可以点击Build History，然后单击1

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

本章节为媒体存储防盗链概述。 使用场景 媒体存储支持防盗链配置，可通过是否允许空Referer或黑白名单进行防盗链校验。 如用户根据Referer进行防盗链配置，媒体存储会根据浏览器访问请求附带的Referer与用户配置的规则来判断允许或拒绝此请求，如果校验一致，则将允许该请求的访问；如果不一致，则将拒绝该请求的访问。 如用户根据黑白名单进行配置，媒体存储会对访问来源地址进行校验，如与白名单匹配成功则允许请求访问，否则阻止请求访问。设置黑名单后，与黑名单匹配成功则拒绝请求访问。 使用说明 媒体存储支持是否允许空Referer或黑白名单配置。 Referer规则 Referer可以设置多个，最多十个。 白名单/黑名单Referer输入的字节数不能超过1024个字符。 Referer支持通配符，如：.ctyun.com 。 如果请求时Referer头域包含了HTTP或HTTPS，那么Referer设置也要包含HTTP或HTTPS，否则设置不生效。 可以设置是否允许空Referer： 允许：空Referer表示HTTP或HTTPS请求中，不带Referer字段或Referer字段为空。 拒绝：只有HTTP或HTTPS Header中包含Referer字段的请求才能访问。 白名单和黑名单 黑名单：来自Referer里填写的地址均会被拒绝。 白名单：来自Referer里填写的地址均允许访问。 目前媒体存储暂时只支持设置白名单或者黑名单，不支持同时设置。 使用方式 操作途径 使用方式 控制台 可参考：防盗链。

本章节介绍媒体存储创建存储桶操作。 使用场景 在上传对象（Object）之前，需要创建一个用于存储对象的存储桶（Bucket）。 前提条件 创建桶之前需要具备以下前提条件： 已注册天翼云账号。 已开通媒体存储对象存储并创建存储区域。 约束与限制 桶创建成功后，不能修改名称和所属区域。创建时，请设置合适的桶名和区域。 每个主账号默认在一个资源池下可创建1000个存储桶。 在同一资源池下，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 存储桶具体命名规则如下： 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 使用方式 媒体存储支持通过控制台、API、SDK方式创建桶。 操作途径 使用方式 控制台 可参考：新建Bucket。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：创建桶。 访问方式 桶创建成功后，可以使用桶访问域名来访问桶。用户可以根据访问域名结构自行拼接，也可以通过在媒体存储管理控制台获取。具体可参考：基础信息查看 。 存储桶访问域名的结构和示例如下： 【访问结构】BucketName.Endpoint 【访问示例】bucketname.jxoss.ctyunxs.1cn

驳回理由 错误原因 解决方案 不支持此短信内容 短信模板不符合 请参见 请细化变量使用场景 如果短信内容中包含变量，则需要明确说明变量的含义和范围。如果审核人员无法判断变量内的内容，会通过提交审核的短信模板内容来判断变量的含义。如果审核人员全文联系起来仍旧无法判断变量含义，会对短信内容进行驳回。 如果短信模板中包含变量，需要为变量定义一个有意义、便于判断含义的名称，如订单号变量命名为${OrderNumber}。如果个人用户申请短信通知类模板，则必须设置正确的变量含义。优化短信内容，使短信内容简洁、目的清晰。 请提供使用场景 审核人员对于不清晰的短信内容、签名会需要您提供相应的使用场景，以此判断内容是否合规。 请在备注中描述短信签名或模板的使用场景。 子公司发布母公司产品需要获取母公司授权 如果发布是母公司的产品还是需要母公司进行授权，根据《中华人民共和国公司法》第十四条“子公司具有法人资格，依法独立承担民事责任。”因此母公司、全资子公司、控股子公司在法律上是相对独立的不同机构。子公司发布的是子公司的产品内容不需要通过授权。 请参见

检查是否与分片回源设置有关 通常情况下，针对较大文件，开启分片回源功能有助于提升回源效率，降低因回源链路网络拥塞造成的下载速度慢等问题。开启分片回源后，CDN节点将按照固定的分片大小以Range请求方式回源。但如果源站文件实际较小，例如大多小于10MB，则开启分片回源反而会降低回源效率，造成多次回源，命中率下降。 注意 请在新增域名时明确是否开启分片回源，以及开启分片回源的具体分片大小；一旦域名CNAME至我司产生流量后，建议不要轻易变更分片回源功能的分片大小，否则过渡期间可能会产生较高回源，命中率下降；如确实有调整需求，请提交工单联系天翼云客服处理，详情请见： 源站是否设置了多副本缓存 多副本缓存是指源站响应头中包含vary头，且值为AcceptEncoding或UserAgent等时，以值为AcceptEncoding为例，意味着源站针对AcceptEncoding请求头值不同时，会给出不同的响应体，因此要求CDN节点缓存成不同份文件，即多副本的方式来缓存。这样会导致同个URL请求，CDN节点将回源多次，造成命中率降低。 是否存在频繁刷新 在CDN控制台上操作刷新文件或目录时，会造成所有CDN节点回源，也会导致命中率下降。

支持配置撞库防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置撞库防护策略，防范攻击者通过撞库盗取用户的信息。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 撞库的防护原理 边缘云WAF针对撞库的防护方式主要是以下三种： 频率限速：由于猜解需要不断访问登录接口，因此可以通过异常速率来限制撞库； 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施； 用户敏感信息脆弱性分析：通过脆弱性算法分析当前密码的暴露风险层级与易猜解程度，对暴露较多区块的密码以及极易猜解的密码引导到客户配置的处理方式上。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持撞库防护相关功能。

配置多个源站时Web应用防火墙（边缘云版）采用什么负载均衡策略？ Web应用防火墙（边缘云版）接入网站时，支持客户配置多个源站地址。多源站场景下，Web应用防火墙（边缘云版）默认使用多层级主备的负载均衡策略，支持设置源站的主备优先级和权重。如果您需要使用一致性哈希等其他负载均衡策略可通过提交工单，由天翼云客服人工配置。 Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。若您需要使用智能负载均衡功能，需要先开通智能负载均衡服务。 Web应用防火墙（边缘云版）是否会解密HTTPS流量并记录请求内容？ Web应用防火墙（边缘云版）在防护HTTPS业务时，需要您上传网站对应的HTTPS证书用于解密HTTPS流量，通过检测解密后的流量来判断请求是否符合攻击特征。Web应用防火墙（边缘云版）使用您上传的HTTPS证书解密业务流量只是用于实时监测，Web应用防火墙（边缘云版）只会记录带有攻击特征的一部分请求信息，用于Web应用防火墙（边缘云版）控制台报表展示和攻击日志查询等功能。

注意事项 如果您对CDN服务有突发带宽使用需求，您需提前至少3个工作日（重大节日的突发，包括但不限于春晚，双十一等，需要提前至少1个月）联系天翼云申请突发带宽用量。若申请成功，在双方约定的突发量级内，可确保您的服务不受影响；若申请不成功或未申请的，天翼云有权采取限流等措施来保障全网用户的稳定性，由此导致的可用性问题，天翼云不承担责任 。符合以下情况之一的都属于“突发带宽”： a.带宽计费客户：本自然月（日）带宽增量超过100Gbp，或本自然月（日）的带宽增量超出上月（日）计费带宽的30%（另有约定的，从其约定）； b.流量计费客户：本自然月带宽峰值超过10Gbps。 带宽利用率 实际使用流量值(GB) /（带宽峰值Mbps x 10.54）；1Mbps带宽每日100%利用率产生的流量约为10.54GB。 CDN加速统计出来应用于生成计费账单的流量会比日志中统计的流量多。因为CDN日志中记录的流量数据是应用层日志统计出来的流量，但是在实际网络请求中产生的网络流量由于存在TCP/IP包头消耗和TCP重传消耗，要比应用层统计到的流量数据高出7%~15%，因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 CDN流量和带宽计费均按照1000进制，例如，1Gbps1000Mbps，1GB1000MB。

日志数据可分为结构化数据和非结构化数据。结构化数据指能够用数字或统一的数据模型加以描述的数据，具有严格的长度和格式。非结构化数据指不便于用数据库二维逻辑表来表现的数据，数据结构不规则或不完整，没有预定义的数据模型。 日志结构化是以日志流为单位，通过不同的日志提取方式将日志流中的日志进行结构化，提取出有固定格式或者相似程度较高的日志，过滤掉不相关的日志。 注意事项 日志结构化是以日志流为单位，请先创建一个日志流。 日志流中的大部分日志需有一定的规则，否则结构化是无意义的。 结构化配置修改后，对新写入的日志数据生效，历史日志数据不会生效。 创建结构化配置 通过对日志流添加提取规则将日志流中的原始日志按一定的规律进行提取，并将提取后的日志整合到一起。 下面详细介绍原始日志结构化的操作步骤： 1. 登录LTS控制台，在左侧导航栏中选择“日志管理”。 2. 结构化日志以日志流为单位，请在“日志管理”页面选择目标日志组和日志流。 3. 在日志流详情页面，单击右上角，在弹出页面中，选择“云端结构化解析”，进入日志结构化配置页面，选择对应的日志提取方法进行配置。 正则分析 [JSON](