本文主要介绍调用链 在企业微服务之间调用复杂的场景下，APM Agent会抽样一些请求，拦截对应请求及后续一系列的调用信息。比如在A调用B然后调用C的场景，请求进入A后，APM系统会采用智能采样算法，决定是否对请求进行调用链跟踪。 智能采样算法 APM系统会采用智能采样算法，决定是否对请求进行调用链跟踪。 如果决定要跟踪，那么就会生成一个TraceID，拦截A下面的一些重要方法（一般具有树结构父子关系）的详细信息（称为event），同时APM会将TraceID透传到B，B也会拦截下面的重要方法，同时透传TraceID到C，C也跟B和A类似。每个节点分别上报event信息，通过TraceID形成关联，这样通过TraceID就可以查看整个请求的调用详情。 如果决定不跟踪，那么就不会生成TraceID，B服务由于没有收到TraceID，自身也会产生跟A服务一样的算法，决定是否要进行调用链跟踪。 数据上报后，APM系统除了会存储所有event详情，同时会将每个服务的根event（称为span）信息额外存储起来，用于后续调用链搜索。用户一般是先搜索到span信息，然后根据span信息上附带的TraceID获取到总体调用链详情。 调用链采样策略系统默认是智能采样，url分为错误url、慢url（默认800ms、用户自定义配置）、正常url三种url，每种url调用链数据的采样率单独计算。APM的统计数据是一分钟采集上报一次，第一个采集周期所有url调用链数据都按正常url采样。第二个采集周期时，根据上一个采集周期的统计数据，将url分类为错误url、慢url、正常url三种url。 错误url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 慢url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 正常url的采样率：cpu小于30%每分钟采集20条，cpu大于或等于30%小于60%每分钟采集10条，cpu大于或等于60%每分钟采集5条，每条url至少采集1条。 上述调用链算法优点是，一旦决定产生调用链信息，那么链路是完整的，帮用户做正确决策。对于大量调用的url，可能会采集不到异常请求，可以通过异常监控的指标采集等其他方式来定位系统中的异常。

Sample of statefulset with dynamic pv. Path is templates/examples/filesystemvolumes/statefulset statefulset: enable: false clusterId: cluster1 clusterMode: true Sample of static pv. Path is templates/examples/filesystemvolumes/staticpv staticPv: enable: false clusterId: cluster1 clusterMode: true lunName: lun04 snapshots: Sample of static snapshot. snapshot should preprovisioned before staticSnapshot be enabled. Path is templates/examples/snapshots/staticsnapshot staticSnapshot: enable: false clusterId: cluster1 sourceLunName: lu1 snapshotName: s1 参数描述 参数 描述 是否必填 driverName HBlock CSI驱动名称。 取值：字符串形式，长度范围是1~63，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。禁止出现连续符号。 默认值为stor.csi.k8s.io。 是 driverNamespace HBlock CSI绑定的Kubernetes命名空间。 注意 必须为已经存在的Kubernetes命名空间。 默认值为：default。 是 iscsiOnHost iscsid、multipathd守护进程由宿主机启动，而非CSI POD启动。 取值：true：iscsid、multipathd守护进程由宿主机启动的模式。 是 storConfig HBlock配置信息。 是 clusterID 指定HBlock的标识，在csiconfigMap中唯一。 取值：字符串形式，长度范围是1~256，可以包含字母、数字、和短横线（），字母区分大小写 是 apiEndPointList HBlock的服务器IP地址及API端口号；或者已经关联了HBlock IP和API端口号的Kubernetes service域名。 如果是集群版，填写集群中所有的IP地址及API端口号；如果单机版，只填写一个即可。 是 storProvider HBlock产品名称。 取值：HBlock。 是 csiApiTimeout 指定HBlock创建LUN的等待时间，在等待时间内LUN创建失败，会报错，然后重试。 取值：正整数，默认值为480，单位是秒。 注意 建议使用默认值。 否 userKey 对接HBlock的标识、用户名及密码的字符串的base64编码。 userKey的编码过程，可以参见配置HBlock访问用户名和密码。 是 chap 加密模式配置。 否 decryptFlag 是否启用加密模式，配置为true（启用）或false（不启用）的Base64编码字符串。 取值： dHJ1ZQ：启用加密，true的Base64编码。 ZmFsc2U：不启用加密，false的Base64编码。 默认不启用加密。 否 decryptData 加密的密钥。 说明 启用加密，此参数必填。 取值：源码为16位的字符串。需要对源码进行Base64编码。 decryptData的编码过程可以参见配置加密模式。 条件 example 此字段是各样例的开启，配置完成storConfig、userKey、chap后，用户可以通过开启一个样例开关，来验证HBlock CSI是否已经可以正常启用。 注意 启动样例时，建议只开启一个样例，避免多样例互相冲突。验证完成后，需要将样例开关变为false，避免与正式的实例冲突。 否 2. 应用配置文件，在charts/csidriverstor下执行更新配置命令。 plaintext helm upgrade stor ./

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

section6689cf8181e5b62d)。 XSSD3 包年包月XSSD3 无 无 仅支持数据盘修改磁盘类型，系统盘当前无法变更磁盘类型。 不支持从SATA/SAS云硬盘修改为SSD云硬盘。 HDD云硬盘和SSD云硬盘只支持云硬盘升配，不支持降配；按需计费XSSD云硬盘既支持升配，也支持降配；包年包月XSSD云硬盘只支持升配，不支持降配。 和云主机一起订购的云硬盘不支持修改磁盘类型。 云硬盘变配对云主机的状态没有限制。 云硬盘变配过程中，对云硬盘的操作有如下限制： 不支持取消修改 不支持创建快照 不支持创建备份 不支持扩容 不支持快照回滚 不支持挂载和卸载 不支持修改计费模式（按需和包周期互转） 不支持续订、退订和删除 修改云硬盘类型支持的资源池，请参见功能清单。 计费说明 云硬盘变配后，计费变化情况如下： 按量付费云硬盘在修改类型之后将按照新的云硬盘类型计费。 包年包月云硬盘根据计费周期内的云硬盘价格差重新付费。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择广西南宁23。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在云硬盘列表中选择需要变更磁盘类型的云硬盘，单击所在行操作列“更多>修改磁盘类型”，弹出“修改磁盘类型”窗口。 说明 在以下情况中，“修改磁盘类型”按钮是置灰状态： 源云硬盘的磁盘类型是高IO、超高IO或者极速型SSD。 源云硬盘是系统盘。 源云硬盘是随云主机一起订购的。 源云硬盘为“到期”或“冻结”等不可用状态。 5. 弹出“修改磁盘类型”窗口后，用户可在下拉框中选择“修改后的磁盘类型”，选择此配置项时，请注意云硬盘修改磁盘类型的变配路径。 6. 若源云硬盘为按量付费，则在此窗口中“配置费用”项显示修改类型后的按量费用，点击“确定”按钮后关闭该弹窗。云硬盘修改类型成功后将按照新类型的价格继续计费。 7. 若云硬盘为包年包月，则“配置费用”显示修改类型后需要补交的费用。点击确定按钮后进入订单详情页面。在该页面支付成功后，云硬盘类型将修改成功。 8. 回到云硬盘列表，可通过查看云硬盘类型来判断是否修改成功。

本章节将为您介绍如何退订包年/包月数据盘。 操作场景 系统盘需要与云主机一起退订，本文主要介绍包年/包月的数据盘如何退订，通常包年/包月的数据盘退订有以下几种场景： 退订场景 退订说明 随包年/包月云主机一同购买的非共享数据盘 在云主机控制台退订包年/包月云主机，与其一同订购的云硬盘会随之退订。 单独购买的包年/包月非共享数据盘 在云硬盘控制台退订云硬盘，需要在卸载掉该云硬盘之后再进行退订操作。 单独购买的包年/包月共享数据盘 在云硬盘控制台退订云硬盘，需要在卸载掉所有挂载点之后再进行退订操作。 约束与限制 当云硬盘状态为“未挂载”时，才可以被退订。 在退订云硬盘之前，您需要先删除该云硬盘的所有快照或者将云硬盘释放策略设置为“全部快照随云硬盘释放“。 随云主机一起订购的系统盘不支持单独退订/删除，而数据盘可在云主机界面进行产品拆分后卸载、退订/删除。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 选择“存储 > 云硬盘”，进入云硬盘主页面。 4. 在云硬盘列表中，选择指定云硬盘所在行“操作”列下的“更多 > 退订”。 5. 跳出“删除磁盘”窗口，确认待退订的磁盘信息，单击“确定”按钮。此外，在该窗口中，您可以将云硬盘释放策略设置为“全部快照随云硬盘释放”，此时退订云硬盘的同时会删除该盘的全部快照。 注意 若您订购云硬盘时，勾选了“全部快照随云硬盘释放”，则在退订/删除云硬盘窗口中，“全部快照随云硬盘释放”将默认选中，不可取消勾选。 若您订购云硬盘时，未勾选“全部快照随云硬盘释放”，则在退订/删除云硬盘窗口中，“全部快照随云硬盘释放”支持从“未勾选”修改为“勾选”。 6. 跳转至“退订管理/退订申请”页面，确认产品信息，勾选“退订原因”勾选“我已确认本次退订金额和相关费用”，单击“退订”按钮。 plaintext 7. 弹出“提示”窗口，显示退订申请提交成功，请点击“查看订单”按钮来查看退订进度。 8. 可以看到具体的订单退订详情，已经退订成功。

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

本章节介绍如何使用K8s配置项替换配置文件 概述 当您选择使用Kurbenetes进行容器化部署时，可以使用配置项去保存一些不需要加密的配置信息，如JVM堆内存、JVM属性参数等，在创建或者部署应用时，系统会自动将配置信息直接注入到容器中。 在微服务云应用平台场景下，这种配置管理方式变得更加灵活和强大。微服务云应用平台不仅支持上述的配置注入，还允许您将配置项以文件的形式直接挂载到容器内的指定目录。这意味着，除了能够动态调整应用的运行参数外，您还可以确保这些配置信息以文件的形式存在，这不仅方便了日常的管理和维护工作，也使得在需要时更新配置或进行故障排查变得更为直观和高效，从而显著提升了整体的运维体验和工作效率。 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 常用使用场景 覆盖目录下已经存在的文件 这里以常用的nginx镜像举例，在官方的nginx镜像中，/etc/nginx目录下的nginx.conf文件是需要配置的，并且在不同的环境下，该文件内容也不相同。此时，可以使用将配置项以文件形式挂载到容器指定目录下，覆盖原文件，来实现不同环境使用不同配置的效果。 首先需要创建K8s配置项，左侧导航栏，选择容器应用实例 > Kubernetes配置，进入到配置列表，点击左上角创建配置项。需要注意的是：配置项下的键值对映射，键是文件名称，值为文件内容。 挂载配置项，左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表选择需要覆盖的应用，进入应用详情界面，点击上方新增版本按钮，进入应用配置界面，在配置管理模块下配置文件挂载。 在配置管理中，可以通过挂载文件的方式，向容器中注入配置信息。需要注意的是，在挂载文件路径中，需要填写到文件名称。如下图所示： 参数 描述 配置类型 目前只支持配置项。 挂载类型 挂载到文件。 挂载源 挂载到应用容器文件系统中的配置项的名称。 挂载主目录 设置容器的挂载主目录，必须以斜杠（/）开头。 文件挂载方式 保留原文件：保留原目录下的文件，添加本次挂载文件。注意，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的Key：需要挂载到应用容器文件系统中的配置项指定的Key。挂载文件路径：相对挂载主目录的子路径。

本章主要介绍绑定域名。 在开放API前，您需要为API分组绑定独立域名，API调用者通过独立域名访问分组内的API。您也可以使用系统分配的调试域名访问API分组内的API。 调试域名（子域名）：API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。 独立域名：您自定义的域名。最多可以添加5个独立域名，不限访问次数。API调用者通过访问独立域名来调用您开放的API。 说明 同一实例下的不同分组不能绑定相同的独立域名。 调试域名默认只能在与实例相同VPC内的服务器上解析和访问，如果调试域名要支持公网解析与访问，请在实例上绑定公网入口弹性IP。 当独立域名为泛域名（例如.aaa.com）时，用户可以通过泛域名的所有子域名（例如default.aaa.com，1.aaa.com）访问所绑定分组下的所有API。 前提条件 1. 已有独立域名。 2. 已将独立域名A记录解析到实例的入口地址上。 3. 如果API分组中的API支持HTTPS请求协议，那么在独立域名中需要添加SSL证书，请您提前获取SSL证书的内容和密钥，并创建SSL证书。 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击 分组名称 。 步骤 5 单击“分组信息”页签。 步骤 6 在“域名管理”区域，单击“绑定独立域名”，并在弹窗中配置域名信息。 表 独立域名配置 信息项 描述 域名 填写要绑定的域名。 支持最小TLS版本 选择域名访问所使用的最小TLS版本，TLS1.1或TLS1.2，推荐使用TLS1.2。 该配置仅对HTTPS生效，不影响HTTP或者其他访问方式。 支持http to https自动重定向 支持独立域名开启http to https自动重定向。 步骤 7 单击“确定”，将独立域名与API分组绑定。 如果不再需要此域名时，在域名所在行，单击“解绑域名”。 步骤 8 （可选）如果API分组中的API支持HTTPS请求协议，则需要为独立域名绑定SSL证书。否则跳过此步骤。 1. 在域名所在行单击“选择SSL证书”。 2. 在选择SSL证书弹窗中勾选要绑定的SSL证书，然后单击“确定”，完成SSL证书的绑定。 如果选择的SSL证书上传过CA证书，可以勾选“开启客户端认证”即开启HTTPS双向认证。注意，开启/关闭客户端认证会对现有业务有影响，请谨慎操作。 如果证书列表中无可用的SSL证书，可单击“创建SSL证书”，新增SSL证书。

服务项 基础包 标准包 高级包 交付物 业务系统服务范围内支持的资产数 总资产数2以内 总资产数10以内 总资产数20以内 交付物 根据客户系统开展漏洞扫描，提出整改加固建议 √ √ √ 《系统安全评估报告》 根据客户系统资产开展基线扫描，提出整改加固建议 × √ √ 《基线配置安全评估报告》 基于主机及业务系统漏洞扫描结果，提供整体安全差距分析与改进建议。 × × √ 《等保差距分析评估》 依据合规标准与差距评估结果，制定目标系统差距整改方案，助力通过等保测评。 × × √ 《等保差距整改方案》 完成以上服务项目并验收确认 √ √ √ 《项目验收单》

备案过程中任何问题都可以电话、工单、在线的形式咨询备案专员。 电话：40081098893 工单：天翼云官网（www.ctyun.cn）——右上方“我的”——工单管理——新建工单 在线客服：点击官网智能客服 1、登录天翼云门户www.ctyun.cn，点击备案 2、点击开始备案。 3、选择立即备案，填写单位信息 4、点击“详情”去录入信息 5、如实填写主办单位信息，单位名称要和取得域名的单位名称要保持一致 6、填写单位负责人信息，即单位的法人 7、点击下一步“填写网站/APP信息” 8、注意，如果单位的经营范围（以经营执照上的内容为准）涉及到前置审批，需要额外上传相应的经营许可证，如政府部门颁发的网络游戏许可证、金融许可证等。 9、填写备案的IP，如果IP在此提交备案的账号下，可以选择“使用自有接入服务号”，会直接弹出该IP的信息。如果IP不在此账号下，可以选择“使用他人接入服务号”。 他人接入服务号查询路径：登录IP所属天翼云账号，天翼云官网（ctyun.cn）首页备案我的备案接入服务号管理。 以上方法如无法查询到接入服务号，可以提交工单，工单中写明公网IP地址，由备案客服后台查询告知您接入服务号，多个服务号之间用英文分号分隔。 10、确认备案信息，点击“下一步，上传备案材料” 11、建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，免去传统备案方式的邮寄幕布拍照过程，缩短备案所需时长，方便快捷 2、扫描二维码，进入微信小程序，以下操作均由网站负责人进行，务必使用网站负责人的手机和微信号进行操作 13、弹出如下界面 14、选择授权 15、上传单位负责人（法人）的身份证照片、营业执照的照片（要用高清照片拍摄，否则会提示翻拍导致识别失败），请在识别文字后确认单位名称文字显示是否准确，单位名称中带有标点符号，请注意输入格式 16、网站负责人进行活体验证，需要手机开启摄像头，进行点头，摇头等操作。注意，需要用白色背景拍摄 17、完成图片采集完成后会自动生成 18 位验证码，需将验证码填报至下图指定位置后，点击“确定”按钮，系统会自动将图片对应到相应位置 18、检查图片并提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。 审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行审核；提交管局后，请主体和网站负责人收到验证短信后（发信号码12381），在24 小时内按照短信指引完成，否则会被管局退单；反之，审核拒绝，退回备案信息给备案发起人进行修改。

本文介绍了如何为学校师生创建子账号,并进行子账号、企业项目配置预警配额。 背景分析 科研教育组织场景下需要有多级账号管理并且创建大量师生账号，如果通过天翼云官网创建账号不仅流程繁琐，由于账号过多用量和费用也难以查询和管理。因此通过使用主子账号功能，科研教育管理者可以批量创建子账号并且使用主账号对子账号进行权限、费用、分级等管理。同时，也可以对用户、企业项目进行预警配额设置。 操作说明 1. 登录天翼云账号，进入账号管理中心。 2. 点击右上角，个人信息 3. 点击【统一身份认证】。这里就是主子账号的管理控制台，主账号可以通过创建【企业项目】来隔离子账号之间的资源。 4. 点击【用户】进入到用户管理页面，再点击【创建用户】。 5. 点击【上传用户】后点击下载模板，会提供一个EXCEL表，根据内容填写账号信息后点击上传。这样就可以批量创建多个子账号。 6. 点击【用户组】后点击【创建用户组】，填写用户组名称后点击【确定】。 7. 点击【用户组管理】，将先前的计算机学院学生账号加到这个用户组当中。 8. 点击【企业项目】并点击【创建企业项目】 9. 填入【企业项目名称】，我们可以填写学校学院的名称，也可以是教师的名称。填写完后点击【确定】进行创建。 10. 点击【查看用户组】我们可以对这个企业项目进行权限分配。 11. 在企业项目列表中点击【查看用户组】后再点击【设置用户组】将计算机学院学生用户组加入到这个企业项目中。 12. 在企业项目中的用户组列表里点击【设置策略】，在搜索框中输入bc，将【bc admin】加入到已选策略中，点击【确认】完成配置。您也可以对权限策略做自定义设置，权限说明请参考：CTIAM已上线权限点及说明 13. 现在子账号和企业项目都配置完成了。通过刚才的设置，学校管理员创建了计算机学院学生的账号并创建了计算机学院的项目。 通过计算机学院的企业项目学院学生只访问的到本学院项目下的资源，与其他学院隔离。 而学校管理员可以在主账号上对所有账号进行管理、查看每个学院的用量、每个学生的用量。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本文主要介绍节点类问题。 一、纳管节点时失败，报错“安装节点失败” 问题描述 节点纳管失败报错安装节点失败。 问题原因 登录节点，查看/var/paas/sys/log/baseagent/baseagent.log安装日志，发现如下报错： 查看节点LVM设置，发现/dev/vdb没有创建LVM逻辑卷。 解决方案 手工创建逻辑卷： pvcreate /dev/vdbvgcreate vgpaas /dev/vdb 然后在界面重置节点后节点状态正常。 二、集群可用，但节点状态为“不可用”？ 当集群状态为“可用”，而集群中部分节点状态为“不可用”时，请参照如下方式来排查解决。 节点不可用检测机制说明 Kubernetes 节点发送的心跳确定每个节点的可用性，并在检测到故障时采取行动。检测的机制和间隔时间详细说明请参见心跳。 使用NPD插件排查故障 CCE提供节点故障检测NPD插件，NPD插件从1.16.0版本开始增加了大量检查项，能对节点上各种资源和组件的状态检测，帮助发现节点故障。 强烈建议您安装该插件，如已安装请查看插件版本并升级到1.16.0及以上版本。 安装NPD插件后，当节点出现异常时，控制台上可以查看到指标异常。 您还可以在节点事件中查看到NPD上报的事件，根据事件信息可以定位故障。 故障事件说明 故障事件 说明 OOMKilling 检查oom事件发生并上报。可能原因：用户在ECS侧误操作卸载数据盘。处理建议：排查项一：节点负载过高。 TaskHung 检查taskHung事件发生并上报 KernelOops 检查内核0指针panic错误 ConntrackFull 检查连接跟踪表是否满 FrequentKubeletRestart 检测kubelet频繁重启 FrequentDockerRestart 检测docker频繁重启 FrequentContainerdRestart 检测containerd频繁重启 CRIProblem 检查容器CRI组件状态 KUBELETProblem 检查Kubelet状态 NTPProblem 检查ntp服务状态 PIDProblem 检查Pid是否充足 FDProblem 检查文件句柄数是否充足 MemoryProblem 检查节点整体内存是否充足 CNIProblem 检查容器CNI组件状态 KUBEPROXYProblem 检查Kubeproxy状态 ReadonlyFilesystem 检查系统内核是否有Remount root filesystem readonly错误。可能原因：用户在ECS侧误操作卸载数据盘、节点vdb盘被删除。处理建议： 排查项六：检查磁盘是否异常 排查项九：检查节点中的vdb盘是否被删除 DiskReadonly 检查系统盘、docker盘、kubelet盘是否只读可能原因：用户在ECS侧误操作卸载数据盘、节点vdb盘被删除。处理建议： 排查项六：检查磁盘是否异常 排查项九：检查节点中的vdb盘是否被删除 DiskProblem 检查磁盘使用量与关键逻辑磁盘挂载检查系统盘、docker盘、kubelet盘磁盘使用率，检查docker盘、kubelet盘是否正常挂载在虚拟机上。 PIDPressure 检查PID是否充足。处理建议：PID不足时可调整PID上限。 MemoryPressure 检查容器可分配空间（allocable）内存是否充足 DiskPressure 检查kubelet盘和docker盘的磁盘使用量及inodes使用量。处理建议：扩容数据盘。

本文介绍通过使用Java SDK实现断点续传的最佳实践。 当上传大文件时，经常出现因网络不稳定或程序崩溃导致上传失败的情况。失败后再次重新上传不仅浪费资源，而且当网络不稳定时仍然有上传失败的风险。断点续传上传接口uploadFile能有效地解决此类问题引起的上传效率低下的问题。其原理是将待上传的文件分成若干个分片分别上传，如果出现网络异常或程序崩溃导致文件上传失败时，会将中断对象的断点处记录下来，从而能在失败重传时继续上传未上传完成的部分，节省资源提高效率，还因其能够对分片进行并发上传的机制能加快上传速度。 本文主要介绍通过Java SDK实现断点续传。SDK下载地址：SDK概览。 注意事项 断点续传上传，您必须必须是桶拥有者或拥有上传对象的权限，才能上传对象。 断点续传上传接口传入的文件大小至少要5MB以上，因为最小的分片大小就是5MB。 使用SDK的断点续传接口时，必须开启断点续传选项setEnableCheckpoint为true才能在再次上传同一对象时读取到之前的上传进度。 您可实现ProgressListener接口来实现对上传进度的监控。 示例代码 断点续传 以下为断点续传示例代码。 java public class ResumeUploadDemo { private static String endpoint " private static String accessKeyId "ak";// 主账号或子账号ak private static String accessKeySecret "sk";// 主账号或子账号sk private static String bucketName "bucket";// 上传对象的目标bucket private static String key "xx.xx";// 对象名 private static String uploadFile "xx.xx";// 本地待上传文件路径 public static void main(String[] args) { ClientConfiguration clientConfiguration new ClientConfiguration(); BasicAWSCredentials credentials new BasicAWSCredentials(accessKeyId, accessKeySecret); AWSStaticCredentialsProvider credProvider new AWSStaticCredentialsProvider(credentials); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration( endpoint, Regions.DEFAULTREGION.getName()); AmazonS3 s3Client AmazonS3ClientBuilder.standard() .withCredentials(credProvider) .withClientConfiguration(clientConfiguration) .withEndpointConfiguration(endpointConfiguration) .withPathStyleAccessEnabled(false) .build(); try { // 通过UploadFileRequest设置多个参数。 // 依次填写Bucket名称以及对象名称。 UploadFileRequest uploadFileRequest new UploadFileRequest(bucketName, key); // 指定监听器，当您实现以上接口后，可在这设置您的进度监控实例，从而完成对于上传进度的监控。 uploadFileRequest.setProgressListener(progressListener); // 填写本地文件的完整路径，例如D:localpathexamplefile.txt。如果未指定本地路径，则默认从示例程序所属项目对应本地路径中上传文件。 uploadFileRequest.setUploadFile(uploadFile); // 指定上传并发线程数，默认值为1。 uploadFileRequest.setTaskNum(5); // 指定上传的分片大小，单位为字节。默认值为5 MB。 uploadFileRequest.setPartSize(1024 1024 5); // 开启断点续传，默认关闭。开启后，上传过程中的进度信息会保存在文件中，默认与待上传的本地文件同路径，名称为${uploadFile}.ucp，如果某一分片上传失败，再次上传时会根据文件中记录的点继续上传。上传完成后，该文件会被删除。 uploadFileRequest.setEnableCheckpoint(true); try { UploadFileResult uploadFileResult s3Client.uploadFile(uploadFileRequest); CompleteMultipartUploadResult multipartUploadResult uploadFileResult.getMultipartUploadResult(); System.out.println(multipartUploadResult); } catch (Throwable e) { throw new RuntimeException(e); } } catch (Exception e) { System.err.println("Upload failed: " + e.getMessage()); e.printStackTrace(); } } }

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本页介绍天翼云TeleDB数据库高效的并行计算能力。 TeleDB支持两级并行，从而实现高效的并行计算能力。两级并行分别为多节点之间的并行和节点内的并行。 多节点之间并行执行：分布式事务需要多节点一起完成。多个节点之间是并行的，例如：所有DDL语句，涉及元数据变更，需在所有CN、DN节点上执行。批量INSERT语句、不带分布键的SELECT、UPDATE、DELETE语句，需在所有DN节点上执行。 节点内基于数据页的并行计算：对于大表查询，为充分利用服务器多核处理能力，在节点内同时启动多个进程并行计算，协同完成一个任务。 说明 TeleDB支持设置参数，通过参数来显示表的大小。当表的数据量超过一定阈值时，会启用并行。当需要并行计算的时候，优化器会根据表大小得出并行度，启动多个进程并行执行。如果有更多的资源，执行速度可以根据并行度实现线性扩展。 实际使用中常见的是join关联，和aggregate数据汇聚（也就是group by），下面以hash join和aggreagte为例，介绍TeleDB的并行计算能力。 hash join 仍以TBLA关联TBLB表查询为例，两表大小相当时，优化器会优先选择hash join方式关联，流程如下： 1. 获取TBLB表所有数据。 2. TBLB表的每一行计算哈希值，构建一张哈希表。 3. 访问TBLA表每一行数据。 4. TBLA表每一行计算哈希值。 5. TBLA表每一行哈希值，匹配哈希表，得到匹配结果。 并行hash join 对于大表关联，优化器根据资源估算，可以启动多个进程，并行扫描数据，然后并行hash join，流程如下： 1. 多个进程并行访问TBLB表的一部分数据。 2. 每个进程各自构建一张哈希表。 3. 合并所有进程的哈希表，构建出一张共享哈希表。 4. 多个进程并行访问TBLA表的一部分数据。 5. 多个进程并行计算出TBLA表每一行的哈希值。 6. 多个进程并行匹配共享哈希表，得到匹配结果。 相比没有开启并行hash join的查询，并行hash join的性能提升，主要有并行扫描和并行hash join，而在构建哈希表和哈希表匹配部分的并行计算能力，可以让查询性能随着并行度的提升而提升。 aggregate汇聚计算 例如：TBLA表的简单sum、avg等汇聚计算。 左图为没有开启并行时的执行流程，只需要查询、汇聚两步。 并行aggregate汇聚计算 右图为开启并行后的执行流程，流程如下： 1. 多个进程并行访问TBLA表的一部分数据。 2. 多个进程并行计算aggregate，得到一个中间结果。 3. 所有中间结果进行一次数据重分布，将相同group by汇聚列的数据分布在同一个进程中。 4. 多个进程并行再做一次最终的aggregate，然后汇总，得到汇聚结果。

对于互联网中已经公布和尚未披露的0day漏洞，WAF会及时进行更新并发布在产品控制台，您可登录使用WAF产品进行防护，同时会在概览页最新消息内容中的威胁消息告知漏洞信息： 点击概览页最新消息中的漏洞消息可以进入到消息中心查看漏洞详情： 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 如何查看防护数据报表 域名开启防护总开关后，您可以在安全分析中的WAF攻击报表中选择一个或者多个域名查看选中的域名匹配域名规则攻击内容。详情见WAF安全报表。 WAF攻击报表可以查询连续不间断的两个月的数据，报表内提供了多种攻击数据分析，包括：威胁分布、攻击趋势、攻击地区等多种数据分析图表，可以直观的查看WAF的防护效果。您可以根据图表内容来制定安全防护策略，维持域名的安全。 您也可以查询具体详细的日志内容，可以在日志管理中WAF攻击日志查看详细的攻击记录，可以根据攻击类型、规则id、防护模式等多项组合进行筛选出攻击日志记录，点击查看详情可以查看当前选择的攻击日志的详细内容。详情见WAF攻击日志。 如果您在攻击日志中发现WAF误拦截了正常业务流量数据，产生误报时，可以先通过WAF攻击日志 中，查看详情中 的添加白名单 对受影响的业务URL进行加白配置，先放行该业务请求。然后联系天翼云安全专家（联系方式见服务保障）沟通具体的解决方案。

本节主要介绍创建用户组并授权 管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 创建用户组 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见移除用户组权限。 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“用户组”，单击待添加授权用户组右侧的 “授权”。 步骤 4 用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 步骤 5 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，下表为IAM提供的所有授权范围方案。 表 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 步骤 6 单击“确定”，完成用户组授权。

本章节主要介绍查看质量报告的操作。 您可以查询业务指标、数据质量中数据对象的质量评分，来判断各个对象是否质量达标。 查询业务质量评分 质量评分的满分可设置为5分，10分，100分。默认为5分制，是以表关联的规则为基础进行评分的。而表、业务对象、主题域等不同维度的评分，本质上是基于规则评分在不同维度下的加权平均值进行计算的。 您可以查询主题域分组、主题域、业务对象、表以及表关联的规则评分，具体评分对象的计算公式，详请参见下表。 对象评分计算公式 对象 评分计算公式 规则 创建质量作业时，包含“比率”、“值率”的系统内置规则及用户自定义规则可以生成质量评分报告。 包含“比率”、“值率”的规则可以分为正向规则及反向规则，正向规则即比值越高，代表数据质量越好；反向规则即比值越高，则数据质量越差。 正向规则包含唯一值率、重复值率、合法比率规则，反向规则包含空值率规则。 正向规则评分满足规则的数据行数/数据总行数满分（5，10，100）。 反向规则评分（1满足规则的数据行数/数据总行数）满分（5，10，100）。 当表为空，即总行数为0时，正向规则评分固定为满分，反向评分固定为0分。 表 表评分计算公式：∑(表关联的所有规则评分规则权重)/∑规则权重 业务对象 业务对象下所有表评分的加权求平均值，即：∑业务对象下所有表评分/表的数量。 主题域 主题域下所有业务对象评分的加权求平均值，即：∑主题域下所有业务对象评分/业务对象的数量。 主题域分组 分组下所有主题域评分的加权求平均值，即：∑分组下所有主题域评分/主题域的数量。 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据质量”模块，进入数据质量页面。 详见下图：选择数据质量 2.选择“数据质量监控 > 质量报告”。 3.单击“业务报告”页签，选择主题及截至日期，查询截至日期前7天的数据质量评分，如下图所示。 说明 以评分满分为5分为例。其中45分评价为优秀，34分为良好，23分为中等，12分为及格，01分为不及格。 当天质量评分数据在次日凌晨生成。 质量评分历史趋势中的实线为截至日期前7天质量评分组成的连线，虚线为这7天质量评分的平均分。 若一天多次运行该作业，当天的质量评分为最后一次的得分。 4.单击“表评分”列的评分值链接，展开该表关联的规则评分。 5.单击“规则评分”列的评分值链接，展开该规则关联的字段评分，如下图所示。 表关联规则评分

场景 弹性资源池CU数分配说明 弹性资源池当前最大CU为256CU，添加了两个队列，分别为队列A和队列B。两个队列设置的扩缩容策略如下： l 队列A扩缩容策略：优先级5，时间段：00:009:00，最小CU是32，最大CU是128 l 队列B扩缩容策略：优先级10，时间段：00:009:00，最小CU是64，最大CU是128 到了00:009:00时间段： 1. 弹性资源池优先满足两个队列的最小CU，队列A先分配32CU，队列B分配64CU，剩余CU数为160CU：弹性资源池的最大CU两个队列的最小CU之和2563264160CU。 2. 剩余CU数根据优先级高低来分配，因为队列B的优先级高于队列A，则优先将64CU分配给队列B，剩余的96CU全部分配给队列A。 弹性资源池当前最大CU为96CU，添加了两个队列，分别为队列A和队列B。两个队列设置的扩缩容策略如下： l 队列A扩缩容策略：优先级5，时间段：00:009:00，最小CU是32，最大CU是64 l 队列B扩缩容策略：优先级10，时间段：00:009:00，最小CU是64，最大CU是128 到了00:009:00时间段： 1. 弹性资源池优先满足两个队列的最小CU，队列A先分配32CU，队列B分配64CU，剩余CU数为0CU：弹性资源池的最大CU两个队列的最小CU之和9632640CU。 2. 因为剩余的CU数已经没有，则停止分配。 弹性资源池当前最大CU为128CU，添加了两个队列，分别为队列A和队列B。两个队列设置的扩缩容策略如下： l 队列A扩缩容策略：优先级5，时间段：00:009:00，最小CU是32，最大CU是64 l 队列B扩缩容策略：优先级10，时间段：00:009:00，最小CU是64，最大CU是128 到了00:009:00时间段： 1. 弹性资源池优先满足两个队列的最小CU，队列A先分配32CU，队列B分配64CU，剩余CU数为32CU：弹性资源池的最大CU两个队列的最小CU之和128326432CU。 2. 按照优先级，则优先将剩余的32CU分配给B队列后停止分配。 弹性资源池当前最大CU为128CU，添加了两个队列，分别为队列A和队列B。两个队列设置的扩缩容策略如下： l 队列A扩缩容策略：优先级5，时间段：00:009:00，最小CU是32，最大CU是64 l 队列B扩缩容策略：优先级5，时间段：00:009:00，最小CU是64，最大CU是128 到了00:009:00时间段： 1. 弹性资源池优先满足两个队列的最小CU，队列A先分配32CU，队列B分配64CU，剩余CU数为32CU：弹性资源池的最大CU两个队列的最小CU之和128326432CU。 2. 因为两个队列的优先级相同，则剩余32CU随机分配给两个队列。

参数 默认值 推荐值 说明 acks 1 高可靠：all或者1高吞吐：1 收到Server端确认信号个数，表示producer需要收到多少个这样的确认信号，算消息发送成功。 acks参数代表了数据备份的可用性。常用选项：acks0：表示producer不需要等待任何确认收到的信息，副本将立即加到socket buffer并认为已经发送。没有任何保障可以保证此种情况下server已经成功接收数据，同时重试配置不会发生作用（因为客户端不知道是否失败）回馈的offset会总是设置为1。 acks1：这意味着至少要等待leader已经成功将数据写入本地log，但是并没有等待所有follower是否成功写入。如果follower没有成功备份数据，而此时leader又无法提供服务，则消息会丢失。 acksall或者1：这意味着leader需要等待ISR中所有备份都成功写入日志。只要任何一个备份存活，数据都不会丢失。min.insync.replicas指定必须确认写入才能被认为成功的副本的最小数量。 retries 0 结合实际业务调整 客户端发送消息的重试次数。值大于0时，这些数据发送失败后，客户端会重新发送。 注意，这些重试与客户端接收到发送错误时的重试没有什么不同。允许重试将潜在的改变数据的顺序，如果这两个消息记录都是发送到同一个partition，则第一个消息失败第二个发送成功，则第二条消息会比第一条消息出现要早。针对网络闪断场景，生产者建议配置重试能力，推荐重试次数retries3，重试间隔retry.backoff.ms1000。 request.timeout.ms 30000 结合实际业务调整 设置一个请求最大等待时间，超过这个时间则会抛Timeout异常。超时时间如果设置大一些，如127000（127秒），高并发的场景中，能减少发送失败的情况。 block.on.buffer.full TRUE TRUE TRUE表示当我们内存用尽时，停止接收新消息记录或者抛出错误。默认情况下，这个设置为TRUE。 然而某些阻塞可能不值得期待，因此立即抛出错误更好。如果设置为false，则producer抛出一个异常错误：BufferExhaustedException batch.size 16384 262144 默认的批量处理消息字节数上限。producer将试图批处理消息记录，以减少请求次数。 这将改善client与server之间的性能。不会试图处理大于这个字节数的消息字节数。 发送到brokers的请求将包含多个批量处理，其中会包含对每个partition的一个请求。较小的批量处理数值比较少用，并且可能降低吞吐量（0则会仅用批量处理）。 较大的批量处理数值将会浪费更多内存空间，这样就需要分配特定批量处理数值的内存大小。 buffer.memory 33554432 67108864 producer可以用来缓存数据的内存大小。如果数据产生速度大于向broker发送的速度，producer会阻塞或者抛出异常，以“block.on.buffer.full”来表明。 这项设置将和producer能够使用的总内存相关，但并不是一个硬性的限制，因为不是producer使用的所有内存都是用于缓存。一些额外的内存会用于压缩（如果引入压缩机制），同样还有一些用于维护请求。

本节介绍了升级RDS MySQL实例内核小版本的操作场景、升级方案、注意事项、操作步骤等内容。 操作场景 关系型数据库MySQL版支持自动或手动升级内核小版本，内核小版本的升级涉及性能提升、新功能或问题修复等。 升级方案 根据升级时间不同，升级内核小版本可以分为以下两种方式。 立即升级：您可以根据实际业务情况，在目标实例的“基本信息”页面手动升级内核小版本。 可维护时间段内升级：您可以在您设置的可维护时间段内进行升级，详情参见设置可维护时间段。 如果当前实例的内核版本存在已知潜在风险、重大缺陷，或者已过期、已下线，系统会通过短信、邮件等渠道进行提前通知，并在可维护时间段内下发升级任务。 注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级或者设置可维护时间段升级小版本。 升级数据库内核小版本会重启RDS for MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级内核小版本期间，除了主备切换时的网络闪断外，由于主备之间默认是半同步复制，升级过程中会有两次单条SQL持续最长十秒的更新及写入等待，用户可通过修改主备间的复制模式为异步来规避此场景。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： − 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 − 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 升级内核小版本一般是分钟级完成。 小版本升级过程中禁止event的DDL操作，如create event、drop event和alter event。 如果小版本升级时，界面提示主节点存在DDL操作，可通过如下方式处理： − 将实例STATUS为SLAVESIDEDISABLED状态的event，更改为ENABLED或者DISABLED状态后再进行升级。 − 删除SLAVESIDEDISABLED状态的event后再进行升级。

本节主要介绍智能视图服务的规格与限制。 分类 规格与限制 使用前提 拥有天翼云账号并完成实名认证。 设备接入 互联网接入：设备需能够正常访问互联网。 专线接入：支持设备通过专线接入，如您有专线接入需求，请联系客户经理。 网络传输 网络的传输质量建议符合以下要求：网络时延上限值为400ms，时延抖动上限值为50ms。 为保证服务的使用，建议您本地的上行带宽能达到视频传输的要求，并留有余量。 功能使用 单用户默认可接入2万台设备（设备类型不限）。 控制台录像下载单个文件时长最长2小时。 说明 若以上规格与限制不能满足您的需求，请提交工单。

客户价值 构建稳定合作新范式 双方合作自确立以来，历经两届业务周期关键环节，持续采用高级保障服务体系。合作维度已由高考志愿填报单一应用场景逐步延伸至多领域协同共建，形成规范化、常态化战略合作伙伴关系。 优化产品效能新机制 通过技术改良与流程再造，实现功能型产品运营成本集约化管控，有效突破产品效能转化瓶颈，促使单用户使用收益提升，构建高质量发展新格局。 关键节点保障新基准 在2023年高招集中报考周期中，成功实现百万级并发场景下零服务中断记录，核心系统可用率达到行业新高度，健全三级应急保障体系，全面规避重大技术风险，让报考之路安心无忧。

KMS权限策略 KMS权限策略包含系统策略和自定义策略，如果系统策略不满足授权要求，您可以创建自定义策略，并 为IAM用户授予自定义策略来进行精细的访问控制。目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云 服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 详细介绍请参考IAM关于策略管理的介绍。 KMS支持的授权项 密钥管理 权限 对应API接口 授权项 读写类型 创建密钥 /v1/cmkManage/createKey kms:cmk:create 写 启用密钥 /v1/cmkManage/enableKey kms:cmk:enable 写 禁用密钥 /v1/cmkManage/disableKey kms:cmk:disable 写 计划删除密钥 /v1/cmkManage/scheduleKeyDeletion kms:cmk:delete 写 取消计划删除密钥 /v1/cmkManage/cancelKeyDeletion kms:cmk:undelete 写 更新密钥描述 /v1/keyManage/updateKeyDescription kms:cmk:update 写 查看密钥列表 /v1/keyManage/listAliasKeys kms:cmk:list 读 查看密钥详情 /v1/keyManage/describeKey kms:cmk:describe 读 开启删除保护 /v1/cmkManage/scheduleKeyDeletion kms:cmk:deleteProtect 写 取消删除保护 /v1/cmkManage/cancelKeyDeletion kms:cmk:cancelDeleteProtect 写 获取导入密钥材料参数 /v1/importKey/getParametersForImport kms:cmk:getParameters 写 导入密钥材料 /v1/importKey/importKeyMaterial kms:cmk:importMaterial 写 删除密钥材料 /v1/importKey/deleteKeyMaterial kms:cmk:deleteMaterial 写 设置/更新轮转策略 /v1/versionControl/updateRotationPolicy kms:cmk:updateRotation 写 创建密钥版本 /v1/versionControl/createKeyVersion kms:cmk:createVersion 写 列出主密钥所有密钥版本 /v1/versionControl/listKeyVersions kms:cmk:listVersions 读 查看指定密钥版本信息 /v1/versionControl/describeKeyVersion kms:cmk:describeVersion 读 创建别名 /v1/keyName/createAlias kms:cmk:createAlias 写 删除别名 /v1/keyName/deleteAlias kms:cmk:deleteAlias 写 更新别名（非控制台功能） /v1/keyName/updateAlias kms:cmk:updateAlias 写 列出与指定密钥绑定的别名 /v1/keyName/listAliasByUuid kms:cmk:listAliasByUuid 读 列出所有别名（非控制台功能） /v1/keyName/listAlias kms:cmk:listAlias 读 在线加密 /v1/keyCompute/encrypt kms:cmk:encrypt 写 产品数据密钥（信封加密） /v1/keyCompute/generateDataKey kms:cmk:generateDataKey 写 产生无明文返回值的数据密钥（信封加密） /v1/keyCompute/generateDataKeyWithoutPlaintext kms:cmk:generateDataKeyWithoutPlaintext 写 导出数据密钥 /v1/keyCompute/exportDataKey kms:cmk:exportDataKey 写 产生并导出数据密钥 /v1/keyCompute/generateAndExportDataKey kms:cmk:generateAndExportDataKey 写 解密 /v1/keyCompute/decrypt kms:cmk:decrypt 写 转加密 /v1/cmkManage/reEncrypt kms:cmk:reEncrypt 写 产生数字签名 /v1/asymmetric/asymmetricSign kms:cmk:asymmetricSign 写 验证签名 /v1/asymmetric/asymmetricVerify kms:cmk:asymmetricVerify 写 非对称密钥加密 /v1/asymmetric/asymmetricEncrypt kms:cmk:asymmetricEncrypt 写 非对称密钥解密 /v1/asymmetric/asymmetricDecrypt kms:cmk:asymmetricDecrypt 写 获取非对称密钥公钥 /v1/asymmetric/getPublicKey kms:cmk:getPublicKey 写

KMS权限策略 KMS权限策略包含系统策略和自定义策略，如果系统策略不满足授权要求，您可以创建自定义策略，并 为IAM用户授予自定义策略来进行精细的访问控制。目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云 服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 详细介绍请参考IAM关于策略管理的介绍。 KMS支持的授权项 密钥管理 权限 对应API接口 授权项 读写类型 创建密钥 /v1/cmkManage/createKey kms:cmk:create 写 启用密钥 /v1/cmkManage/enableKey kms:cmk:enable 写 禁用密钥 /v1/cmkManage/disableKey kms:cmk:disable 写 计划删除密钥 /v1/cmkManage/scheduleKeyDeletion kms:cmk:delete 写 取消计划删除密钥 /v1/cmkManage/cancelKeyDeletion kms:cmk:undelete 写 更新密钥描述 /v1/keyManage/updateKeyDescription kms:cmk:update 写 查看密钥列表 /v1/keyManage/listAliasKeys kms:cmk:list 读 查看密钥详情 /v1/keyManage/describeKey kms:cmk:describe 读 开启删除保护 /v1/cmkManage/scheduleKeyDeletion kms:cmk:deleteProtect 写 取消删除保护 /v1/cmkManage/cancelKeyDeletion kms:cmk:cancelDeleteProtect 写 获取导入密钥材料参数 /v1/importKey/getParametersForImport kms:cmk:getParameters 写 导入密钥材料 /v1/importKey/importKeyMaterial kms:cmk:importMaterial 写 删除密钥材料 /v1/importKey/deleteKeyMaterial kms:cmk:deleteMaterial 写 设置/更新轮转策略 /v1/versionControl/updateRotationPolicy kms:cmk:updateRotation 写 创建密钥版本 /v1/versionControl/createKeyVersion kms:cmk:createVersion 写 列出主密钥所有密钥版本 /v1/versionControl/listKeyVersions kms:cmk:listVersions 读 查看指定密钥版本信息 /v1/versionControl/describeKeyVersion kms:cmk:describeVersion 读 创建别名 /v1/keyName/createAlias kms:cmk:createAlias 写 删除别名 /v1/keyName/deleteAlias kms:cmk:deleteAlias 写 更新别名（非控制台功能） /v1/keyName/updateAlias kms:cmk:updateAlias 写 列出与指定密钥绑定的别名 /v1/keyName/listAliasByUuid kms:cmk:listAliasByUuid 读 列出所有别名（非控制台功能） /v1/keyName/listAlias kms:cmk:listAlias 读 在线加密 /v1/keyCompute/encrypt kms:cmk:encrypt 写 产品数据密钥（信封加密） /v1/keyCompute/generateDataKey kms:cmk:generateDataKey 写 产生无明文返回值的数据密钥（信封加密） /v1/keyCompute/generateDataKeyWithoutPlaintext kms:cmk:generateDataKeyWithoutPlaintext 写 导出数据密钥 /v1/keyCompute/exportDataKey kms:cmk:exportDataKey 写 产生并导出数据密钥 /v1/keyCompute/generateAndExportDataKey kms:cmk:generateAndExportDataKey 写 解密 /v1/keyCompute/decrypt kms:cmk:decrypt 写 转加密 /v1/cmkManage/reEncrypt kms:cmk:reEncrypt 写 产生数字签名 /v1/asymmetric/asymmetricSign kms:cmk:asymmetricSign 写 验证签名 /v1/asymmetric/asymmetricVerify kms:cmk:asymmetricVerify 写 非对称密钥加密 /v1/asymmetric/asymmetricEncrypt kms:cmk:asymmetricEncrypt 写 非对称密钥解密 /v1/asymmetric/asymmetricDecrypt kms:cmk:asymmetricDecrypt 写 获取非对称密钥公钥 /v1/asymmetric/getPublicKey kms:cmk:getPublicKey 写

本文简要介绍了如何创建组播域。 操作场景 您需要通过创建组播域来划分一个组播网络范围，仅在此组播域内的组播源和组播成员才能发送和接收组播流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录管理控制台。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在系统首页， 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面 。 4. 在左侧导航栏，选择“组播”。 5. 进入组播操作页，在界面右侧详情区域单击“创建组播域”。 6. 在创建组播域对话框，根据以下信息进行配置，然后单击“确定”创建完成。 配置项 说明 组播域名称 输入组播域的名称。 组播域来源 选择组播域的来源，支持云间和云内两种方式，只可同时选择一项。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 所属vpc 选择组播域关联的VPC。 成员加入方式 选择组播成员加入组播域的方式，支持动态加入和静态加入。成员动态加入和静态加入只可同时选择一项。 成员动态加入时，根据行情接收者 APP 所使用的 IGMP 版本选择IGMP 协议，IGMPv2、IGMPv3至少选择一个。 云间组播域选择IGMPv3协议时，需填写SSM组地址。SSM组地址默认为232.0.0.0/8，可输入范围格式如225.0.0.0/24225.100.100.0/24，多个IP地址间用“;”隔开。 成员静态加入时，需手动填写组播组地址，目前只支持填写单个地址且不可相同。 描述 输入组播域的描述信息。 注意 1、目前成员静态加入方式只支持云服务器的主网卡。系统将以该网卡的主私网IP地址接收组播流量。 2、一个组播组地址可以添加多个网卡。 3、组播接收云服务器所在的安全组需放通组播源的端口和地址。 4、知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。

参数名称 描述 name 报文的名称，可修改。 httpversion 协议类型。 支持HTTP、HTTPS、TCP和UDP。 当请求类型为HTTP和HTTPS时，设置以下参数。 method 支持GET、POST、PATCH、PUT和DELETE。 returntimeout 发送请求，等待服务器响应的超时时间。 如果不设置此参数，默认响应超时时间为5000ms。 URL 发送请求的URL地址，比如“ headers 由关键字/值对组成，请求头部通知服务器有关于客户端请求的信息，“头域”的说明请参见 报文内容 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 说明 请求方式为GET时，不支持报文内容。 当请求类型为TCP时，设置以下参数。 说明 TCP类型的报文暂不支持响应提取功能。 IP 发送请求到被测服务器的IP地址。 port 发送请求到被测服务器的端口号。 connecttimeout 发起连接，服务器无响应的超时时间。 returntimeout 连接建立成功，等待响应返回的超时时间。 连接设置 重复使用连接：请求响应完成后，不断开连接，复用连接发送接收下一次请求响应。 关闭连接：每次完成请求响应完成后，断开连接，下一次重新建立连接。 checkendtype 通过返回结束设置，来判断本次请求的响应内容是否已经接收完成。 返回数据长度：设置返回数据的长度，单位字节。当接收到此长度的响应内容时，数据接收完成。 结束符：设置返回数据的结束标记。当接收到结束符时，数据接收完成 。 说明 结束符建议设置一个唯一的结束标记，如果设置的结束符在响应内容中存在多个，当接收到第一个结束符时，就认为响应内容已经接收完成，这样接收的响应数据就不完整。 body 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 内容格式：请根据被测服务器的业务请求内容，选择“字符串”或“16进制码流”。 说明 16进制码流的内容取值范围为“09”和“af”，且总字符个数为双数。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。

本章节主要介绍如何使用函数流实现流式大文件处理。 背景与价值 Serverless Workflow由于自身可编排、有状态、持久化、可视化监控、异常处理、云服务集成等特性，适用于很多应用场景，比如： 复杂度高需要抽象的业务（订单管理，CRM 等） 业务需要自动中断 / 恢复能力，如多个任务之间需要人工干预的场景（人工审批，部署流水线等） 业务需要手动中断 / 恢复（数据备份 / 恢复等） 需要详细监控任务执行状态的场景 流式处理（日志分析，图片 / 视频处理等）当前大部分 Serverless Workflow 平台更多关注控制流程的编排，忽视了工作流中数据流的编排和高效传输，上述场景创建函数流触发器中，由于数据流相对简单，所以各大平台支持都比较好，但是对于文件转码等存在超大数据流的场景，当前各大平台没有给出很好的解决方案。FunctionGraph函数工作流针对该场景，提出了 Serverless Streaming 的流式处理方案，支持毫秒级响应文件处理。 技术原理 FunctionGraph函数工作流提出 Serverless Streaming 的流式可编排的文件处理解决方案，步骤与步骤之间通过数据流驱动，更易于用户理解。本章通过图片处理的例子解释该方案的实现机制。 如果需要驱动一个工作流执行，工作流系统需要处理两个部分： 控制流：控制工作流的步骤间流转，以及步骤对应的 Serverless 函数的执行。确保步骤与步骤之间有序执行。 数据流：控制整个工作流的数据流转，通常来说上一个步骤的输出是下一个步骤的输入，比如上述图片处理工作流中，图片压缩的结果是打水印步骤的输入数据。 在普通的服务编排中，由于需要精准控制各个服务的执行顺序，所以控制流是工作流的核心部分。然而在文件处理等流式处理场景中，对控制流的要求并不高，以上述图片处理场景举例，可以对大图片进行分块处理，图片压缩和加水印的任务不需要严格的先后顺序，图片压缩处理完一个分块可以直接流转到下一个步骤，而不需要等待图片压缩把所有分块处理完再开始加水印的任务。 基于上述理解，FunctionGraph工作流的 Serverless Streaming 方案架构设计如下图所示： 在 Serverless Streaming 的流程中，弱化控制流中步骤之间的先后执行顺序，允许异步同时执行，步骤与步骤之间的交互通过数据流驱动。其中数据流的控制通过 Stream Bridge 组件来实现。同时函数 SDK 增加流式数据返回接口，用户不需要将整个文件内容返回，而是通过 gRPC Stream 的方式将数据写入到 Stream Bridge，Stream Bridge 用来分发数据流到下一个步骤的函数 Pod 中。

节点选择，当节点拥有gputrue标签时才在节点上创建Pod gpu: true ... 通过节点亲和性规则配置，也可以做到同样的事情，如下所示。 apiVersion: apps/v1 kind: Deployment metadata: name: gpu labels: app: gpu spec: selector: matchLabels: app: gpu replicas: 3 template: metadata: labels: app: gpu spec: containers: image: nginx:alpine name: gpu resources: requests: cpu: 100m memory: 200Mi limits: cpu: 100m memory: 200Mi imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: gpu operator: In values: "true" 看起来这要复杂很多，但这种方式可以得到更强的表达能力，后面会进一步介绍。 这里affinity表示亲和，nodeAffinity表示节点亲和，requiredDuringSchedulingIgnoredDuringExecution非常长，不过可以将这个分作两段来看： 前半段requiredDuringScheduling表示下面定义的规则必须强制满足（require）才会调度Pod到节点上。 后半段IgnoredDuringExecution表示已经在节点上运行的Pod不需要满足下面定义的规则，即去除节点上的某个标签，那些需要节点包含该标签的Pod不会被重新调度。 另外操作符operator的值为In，表示标签值需要在values的列表中，其他operator取值如下。 NotIn：标签的值不在某个列表中 Exists：某个标签存在 DoesNotExist：某个标签不存在 Gt：标签的值大于某个值（字符串比较） Lt：标签的值小于某个值（字符串比较） 需要说明的是并没有nodeAntiAffinity（节点反亲和），因为NotIn和DoesNotExist可以提供相同的功能。 下面来验证这段规则是否生效，假设某集群有如下三个节点。 $ kubectl get node NAME STATUS ROLES AGE VERSION 192.168.0.212 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 192.168.0.94 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 192.168.0.97 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 首先给192.168.0.212这个节点打上gputrue的标签。 $ kubectl label node 192.168.0.212 gputrue node/192.168.0.212 labeled $ kubectl get node L gpu NAME STATUS ROLES AGE VERSION GPU 192.168.0.212 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 true 192.168.0.94 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 192.168.0.97 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 创建这个Deployment，可以发现所有的Pod都部署在了192.168.0.212这个节点上。 $ kubectl create f affinity.yaml deployment.apps/gpu created $ kubectl get pod o wide NAME READY STATUS RESTARTS AGE IP NODE gpu6df65c44cf42xw4 1/1 Running 0 15s 172.16.0.37 192.168.0.212 gpu6df65c44cfjzjvs 1/1 Running 0 15s 172.16.0.36 192.168.0.212 gpu6df65c44cfzv5cl 1/1 Running 0 15s 172.16.0.38 192.168.0.212

本章节主要介绍新建原子指标。 原子指标是对指标统计逻辑、具体算法的一个抽象。为了从根源上解决定义、研发不一致的问题，指标定义明确设计统计逻辑（即计算逻辑），不需要ETL二次或者重复研发，从而提升了研发效率，也保证了统计结果的一致性。 背景信息 原子指标来源于事实表： 原子指标是为了构建应用统计分析所需的衍生指标，而定义的数据组件，因此只可以基于事实逻辑表明细数据表来创建。 衍生指标无来源表，它归属于每个组合成它的原始的原子指标的来源表。 原子指标与衍生指标的关系： 原子指标的计算逻辑修改生效后，会直接更新应用于相关的衍生指标。 原子指标删除英文名，需要校验下游是否有衍生指标使用，如果有，则无法删除。 目前原子指标在被下游使用的情况下，支持变更英文名。 原子指标的更改会影响下游衍生指标。 前提条件 您已创建并发布事实表，且事实表已通过审核，具体操作请参见新建事实表。 新建原子指标并发布 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 2. 在数据架构控制台，单击左侧导航树中的“技术指标”，选择“原子指标”页签进入原子指标页面。 3. 在左侧主题目录中选中一个主题，然后单击“新建”按钮，开始新建原子指标。 4. 在新建原子指标页面，参考配置参数，然后单击“发布”。 下表为新建原子指标参数说明 参数名称 说明 指标名称 只能包含中文、英文字母、数字和下划线，且以中文或英文字母开头。 指标英文名称 只能包含英文字母、数字和下划线，且以英文字母开头。 数据表 在下拉列表中选择一个已发布的事实表，如果表很多，您也可以在下拉列表的输入框中输入表名称搜索事实表。如果您尚未创建事实表，请参见新建事实表并发布进行创建并发布。 所属主题 原子指标所属的主题信息。当“数据表”选择事实表后，将自动显示事实表所属的主题信息，您也可以单击“选择主题”进行选择。 设定表达式 根据实际情况选择所需要的函数和字段，并设定表达式。 描述 描述信息。支持的长度为0~600个字符。 5. 在弹出框中单击“确认提交”，提交审核。 6. （可选）参考步骤3~步骤5，完成其他原子指标的发布。 7. 等待审核人员审核。 审核通过后，原子指标创建完成。

本章节主要介绍批量管理作业。 操作场景 这里以表/文件迁移的作业为例进行介绍，指导用户批量管理CDM作业，提供以下操作： 作业分组管理 批量运行作业 批量删除作业 批量导出作业 批量导入作业 批量导出、导入作业的功能，适用以下场景： CDM集群间作业迁移：例如需要将作业从老版本集群迁移到新版本的集群。 备份作业：例如需要将CDM集群停掉或删除来降低成本时，可以先通过批量导出把作业脚本保存下来，仅在需要的时候再重新创建集群和重新导入作业。 批量创建作业任务：可以先手工创建一个作业，导出作业配置（导出的文件为JSON格式），然后参考该作业配置，在JSON文件中批量复制出更多作业，最后导入CDM以实现批量创建作业。 操作步骤 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理”。 2.单击“表/文件迁移”显示作业列表，提供以下批量操作： 作业分组 CDM支持对分组进行新增、修改、查找、删除。删除分组时，会将组内的所有作业都删除。 创建作业的第三步任务配置中，如果已经将作业分配到了不同的分组中，则这里可以按分组显示作业、按组批量启动作业、按分组导出作业等操作。 批量运行作业 勾选一个或多个作业后，单击“运行”可批量启动作业。 批量删除作业 勾选一个或多个作业后，单击“删除”可批量删除作业。 批量导出作业 单击“导出”，弹出批量导出页面，如下图。 图 批量导出页面 −全部作业和连接：勾选此项表示一次性导出所有作业和连接。 −全部作业：勾选此项表示一次性导出所有作业。 −全部连接：勾选此项表示一次性导出所有连接。 −按作业名导出：勾选此项并选择需要导出的作业，单击确认即可导出所选作业。 −按分组导出：勾选此项并下拉选择需要导出的分组，单击确认即可导出所选分组。 批量导出可将需要导出的作业导出保存为JSON文件，用于备份或导入到别的集群中。 说明 由于安全原因，CDM导出作业时没有导出连接密码，连接密码全部使用“Add password here”替换。 批量导入作业 单击“导入”，选择JSON格式的文件导入或文本导入。 −文件导入：待导入的作业文件必须为JSON格式（大小不超过1M）。如果待导入的作业文件是之前从CDM中导出的，则导入前必须先编辑JSON文件，将“Add password here”替换为对应连接的正确密码，再执行导入操作。 −文本导入：无法正确上传本地JSON文件时可选择该方式。将作业的JSON文本直接粘贴到输入框即可。