创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为TLSECDHEECDSAWITHAES128CBCSHA256，TLSECDHERSAWITHAES128CBCSHA256和TLSECDHERSAWITHAES128GCMSHA256。 本节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka专享实例的方法。 说明： 使用SASL方式连接Kafka实例时，为了客户端能够快速解析实例的Broker，建议在客户端所在主机的“/etc/hosts”文件中配置host和IP的映射关系。 其中，IP地址必须为实例连接地址（Broker地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 前提条件 已配置正确的安全组。 访问开启SASL的Kafka专享实例时，支持VPC内访问。实例需要配置正确的安全组规则，具体安全组配置要求，请参考表32。 已获取连接Kafka专享版实例的地址。 使用VPC内访问，实例端口为9093，实例连接地址获取如下图。 获取VPC内访问Kafka专享实例的连接地址（实例已开启SASL） Kafka专享实例已创建Topic，否则请提前创建Topic。 已下载client.truststore.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“基本信息 > 高级配置 > Kafka SASLSSL”所在行，单击 。下载压缩包后解压，获取压缩包中的客户端证书文件：client.truststore.jks。 已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本，确保Kafka实例版本与命令行工具版本相同。 已在Kafka命令行工具的使用环境中安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中，[kafkatar]表示命令行工具的压缩包名称。 例如： tar zxf kafka2.111.1.0.tgz 修改Kafka命令行工具配置文件。 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN security.protocolSASLSSL ssl.truststore.location/opt/kafka2.111.1.0/config/client.truststore.jks ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka专享实例过程中开启SASLSSL时填入的用户名和密码。 ssl.trustore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中拷贝路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要保持关闭状态，必须设置为空。 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist ${连接地址} topic ${Topic名称} producer.config ../config/producer.properties 参数说明如下： 连接地址：从前提条件获取的连接地址。 Topic名称：Kafka实例下创建的Topic名称。 如下示例，Kafka实例连接地址为“10.xxx.xxx.202:9093,10.xxx.xxx.197:9093,10.xxx.xxx.68:9093”。 执行完命令后，输入需要生产的消息内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

集群内使用ELB地址无法访问Service说明 当LoadBalancer Service设置了服务亲和为节点级别，即externalTrafficPolicy取值为Local时，在使用中可能会碰到从集群内部（节点上或容器中）使用ELB地址访问不通的情况，回显类似如下内容： upstream connect error or disconnect/reset before headers. reset reason: connection failure 这是由于Kubernetes在创建LoadBalancer Service时，kubeproxy会把ELB的访问地址作为ExternalIP添加到iptables或IPVS中。如果客户端从集群内部发起访问ELB地址的请求，该地址会被认为是服务的ExternalIP，被kubeproxy直接转发，而不再经过集群外部的ELB。 当externalTrafficPolicy的取值为Local时，在不同容器网络模型和服务转发模式下，情况会有所不同，详情如下： Server Client 容器隧道集群（IPVS） VPC集群（IPVS） 容器隧道集群（iptables） VPC集群（iptables） :::::: 节点访问类型Service 同节点 OK，Pod容器所在节点通，其他不通 OK，访问Pod容器所在节点通 OK，访问Pod容器所在节点通 OK，访问Pod容器所在节点通 节点访问类型Service 跨节点 OK，Pod容器所在节点通，其他不通 OK，访问Pod容器所在节点通 OK，访问Pod容器所在节点通，访问本节点IP+访问端口通；其他不通 OK，访问Pod容器所在节点通，访问本节点IP+访问端口通；其他不通 节点访问类型Service 同节点容器 OK，Pod容器所在节点通，其他不通 OK，访问Pod容器所在节点不通 OK，访问Pod容器所在节点通 OK，访问Pod容器所在节点不通 节点访问类型Service 跨节点容器 OK，Pod容器所在节点通，其他不通 OK，访问Pod容器所在节点通 OK，访问Pod容器所在节点通 OK，访问Pod容器所在节点通 独享型负载均衡类型Service 同节点 公网通，私网不通 公网通，私网不通 公网通，私网不通 公网通，私网不通 独享型负载均衡类型Service 同节点容器 公网通，私网不通 公网通，私网不通 公网通，私网不通 公网通，私网不通 nginxingress插件的service为Local级别独享型 同节点 公网通，私网不通 公网通，私网不通 公网通，私网不通 公网通，私网不通 nginxingress插件的service为Local级别独享型 同节点容器 公网通，私网不通 公网通，私网不通 公网通，私网不通 公网通，私网不通 （ 推荐 ）在集群内部访问使用Service的ClusterIP或服务域名访问。 将Service的externalTrafficPolicy设置为Cluster，即集群级别服务亲和。不过需要注意这会影响源地址保持。 apiVersion: v1 kind: Service metadata: annotations: kubernetes.io/elb.class: union kubernetes.io/elb.autocreate: '{"type":"public","bandwidthname":"ccebandwidth","bandwidthchargemode":"bandwidth","bandwidthsize":5,"bandwidthsharetype":"PER","eiptype":"5bgp","name":"james"}' labels: app: nginx name: nginx spec: externalTrafficPolicy: Cluster ports: name: service0 port: 80 protocol: TCP targetPort: 80 selector: app: nginx type: LoadBalancer 使用Service的passthrough特性，使用ELB地址访问时绕过kubeproxy，先访问ELB，经过ELB再访问到负载。 说明 独享型负载均衡配置passthrough后，在工作负载同节点和同节点容器内无法通过Service访问。 1.15及以下老版本集群暂不支持该能力。 IPVS网络模式下，对接同一个ELB的Service需保持passthrough设置情况一致。 apiVersion: v1 kind: Service metadata: annotations: kubernetes.io/elb.passthrough: "true" kubernetes.io/elb.class: union kubernetes.io/elb.autocreate: '{"type":"public","bandwidthname":"ccebandwidth","bandwidthchargemode":"bandwidth","bandwidthsize":5,"bandwidthsharetype":"PER","eiptype":"5bgp","name":"james"}' labels: app: nginx name: nginx spec: externalTrafficPolicy: Local ports: name: service0 port: 80 protocol: TCP targetPort: 80 selector: app: nginx type: LoadBalancer

参数 描述 n LUNNAME 或 name LUNNAME 指定修改的卷名称。 w WRITEPOLICY 或 writepolicy WRITEPOLICY 卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 minreplica MINREPLICA 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M 模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。 redundancyoverlap REDUNDANCYOVERLAP 指定卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。 priority SERVERID 指定卷主备分布优先级的服务器ID（仅集群版支持），系统会根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 priority RANDOM 系统随机选择卷的主备IQN（仅集群版支持）。即当卷对应target IQN所在的服务器故障后，系统随机切换卷的主备IQN。 autofailback AUTOFAILBACK 是否根据指定的卷主备分布优先级自动进行主备切换（仅集群版支持），即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 A ACCESSKEY 或 ak ACCESSKEY 修改对象存储服务的OOS AccessKeyID。 注意 如果要修改对象存储服务的AccessKeyID、对象存储服务的SecretAccessKey，必须同时修改。 S SECRETKEY 或 sk SECRETKEY 修改对象存储服务的SecretAccessKey。 注意 如果要修改对象存储服务的AccessKeyID、对象存储服务的SecretAccessKey，必须同时修改。 E ENDPOINT 或 endpoint ENDPOINT 设置对象存储服务的 Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 signversion VERSION 修改上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 region REGION 表示Endpoint资源池所在区域。V4签名时，此项必填。 M CLOUDCOMPRESSION 或 cloudcompression CLOUDCOMPRESSION 修改是否压缩数据上传至对象存储： Enabled（on）：压缩数据上传至对象存储。 Disabled（off）：不压缩数据上传至对象存储。

本文介绍应用加速按需计费。 应用加速（中国内地）的计费项分为三个部分：频道费+端口费+带宽费。 频道费：按照加速域名数量收费。 端口费：按照使用的tcp端口和udp端口总数收费。 带宽费：由于应用加速支持加速的应用非常多（支持加速基于tcp/udp的所有协议的应用），有些应用上行带宽大，有些应用下行带宽大，因此应用加速带宽费按照上行+下行总带宽收费。 应用加速支持按月带宽第四峰值计费、月带宽95峰值计费、月平均日带宽峰值计费和月带宽峰值计费，您可以根据实际业务场景选择合适的计费方式。需提交工单或拨打4008109889电话联系客服进行订购。 应用加速带宽计费 中国内地价格 1.频道标准资费 承诺频道数（个） 承诺频道数享受的标准资费（元/个/月） 月保底频道费（元/月） 月超出频道费（元/月） 月频道费（元/月） [1，5) 2000 承诺频道数x承诺频道数享受的单价 超出频道数x承诺频道数享受的单价 月保底费+超出费用 [5，10) 1800 承诺频道数x承诺频道数享受的单价 超出频道数x承诺频道数享受的单价 月保底费+超出费用 [10，+∞) 1600 承诺频道数x承诺频道数享受的单价 超出频道数x承诺频道数享受的单价 月保底费+超出费用 每个频道免费赠送5个端口。 2.端口标准资费 承诺端口数（个） 承诺端口数享受的标准资费（元/个/月） 月保底端口费（元/月） 月超出端口费（元/月） 月端口费（元/月） [0，20) 200 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 [20，50) 150 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 [50，200) 100 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 [200，+∞) 80 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 3.带宽标准资费 承诺带宽量（Mbps） 承诺带宽量享受的标准资费（元/Mbps/月） 月保底带宽费（元/月） 月超出带宽费（元/月） 月带宽费（元/月） [0，10) 300 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [10，20) 270 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [20，50) 240 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [50，100) 210 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [100，+∞) 180 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 该带宽价格适用于月带宽第四峰值、月带宽95峰值、月平均日带宽峰值和月带宽峰值等计费方式；计费带宽为边缘上行带宽和下行带宽总和。 计费举例： 某客户订购5个保底频道、20个保底端口、10M保底带宽。 假设客户6月的实际使用量为：6个频道、60个端口、15M带宽，则该客户6月超出保底的量为：1个频道、10个端口（6020个保底6个频道免费赠送的30个）、5M带宽。 则该客户6月的计费值如下： 6月保底费：5个频道1800元/个/月+20个端口150元/个/月+10M带宽270元/M/月9000+3000+270014700元。 6月超量费：1个频道1800元/个/月+10个端口150元/个/月+5M带宽270元/M/月1800+1500+13504650元。 6月的总费用 6月保底费+6月超量费14700+465019350元。

以IAM用户的方式访问OOS 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 创建IAM用户详见IAM用户、或用户管理接口。 创建IAM用户后，您可以根据IAM用户进行分组及附加权限，可以参考用户管理。 对子用户启用多因子认证（MFA） 多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。 启用多因子认证可以参考MFA。 STS临时授权访问OOS STS（Security Token Service）是为云计算用户提供临时访问令牌的Web服务。通过STS，可以为第三方应用或用户颁发一个自定义时效的访问凭证。第三方应用或用户可以使用该访问凭证直接调用OOS API，或者使用OOS提供的SDK来访问OOS API。 OOS可以为用户提供临时访问密钥，详见GetSessionToken。 Bucket Policy Bucket Policy用于定义OOS资源的访问权限。通过Bucket Policy，您可以授权另一个账号访问或管理整个Bucket或Bucket内的部分资源，或者对同账号下的不同IAM用户授予访问或管理Bucket资源的不同权限。 配置Bucket Policy时，建议遵循权限最小化原则，降低数据的安全风险： 避免授权整个Bucket 资源授权过大容易导致用户数据被非法访问，所以请避免授权整个Bucket。 不授权匿名访问 允许匿名访问意味着用户只需要知道Endpoint和Bucket名称就可以访问OOS数据，而Endpoint是可以枚举的，Bucket名称也可以从已授权的访问文件URL中提取。由此可见，授权允许匿名访问会带来极大的安全风险。 设置合理的Action 通过控制台Bucket“属性”>“安全策略”配置Bucket Policy，在Action中授权您业务需求中必须的接口权限，给予授权用户最小的权限。 使用HTTPS访问 使用HTTPS访问可以解决网络中间人攻击以及域名劫持等问题，使访问更加安全。 限定源IP 如果访问OOS资源的IP地址是固定的，强烈建议配置Condition中IP Address的ctyun:SourceIp条件键，设置访问IP的白名单/黑名单。 对Bucket设置防盗链 通过对访问来源设置白名单/黑名单的机制，避免OOS资源被其他人盗用。 防盗链通过请求Header中的Referer地址判断访问来源。当浏览器向Web服务器发送请求的时候，请求Header中将包含Referer，用于告知Web服务器该请求的页面链接来源。OOS根据浏览器附带的Referer与用户配置的Referer规则来判断允许或拒绝此请求，如果Referer一致，则OOS将允许该请求的访问；如果Referer不一致，则OOS将拒绝该请求的访问。 示例1：examplebucket的权限为私有，通过Bucket Policy授予名为username1的IAM用户，仅能使用IP地址192.168.143.0/24、Referer为< { "Version":"20121017", "Id":"http referer policy example", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN":"arn:ctyun:iam::accountId:user/username1"}, "Action":"oos:GetObject", "Resource":"arn:ctyun:oos:::examplebucket/1", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] }, "Bool": { "ctyun:SecureTransport": "true" }, "IpAddress" : { "ctyun:SourceIp":"192.168.143.0/24" } } } ] } 示例2：如果examplebucket的权限为公共读写，通过Bucket Policy限制：仅Referer为< { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Deny", "Principal":{ "CTYUN": [""] }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringNotLike":{ "ctyun:Referer":[ " " ] } } } ] }

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

CCE集群补丁版本号 Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.32.5r0 对象桶类型的对象存储支持AK/SK自动更新。 修复部分安全问题。 v1.32.1r0 首次发布CCE v1.32集群 节点安装后执行脚本安装未完成时禁止业务Pod调度。 并行文件系统的对象存储支持AK/SK自动更新。 创建负载均衡类型的Service时，ELB侧的后端类型支持配置为IP类型后端。 支持使用AppArmor限制容器对资源的访问。 支持Streaming Encode，降低LIST请求造成的控制节点内存压力。 ccepause容器镜像支持防误删。 节点本地域名解析加速插件使用的系统标签支持防误删。

本节介绍如何添加自定义IPS特征。 CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 注意 自定义的特征建议具体化，避免太宽泛，否则可能会导致大部分流量匹配到该特征规则，影响流量转发性能。 约束条件 仅“专业版”支持自定义IPS特征。 最多支持添加500条特征。 自定义的IPS特征不受修改基础防御防护模式的影响。 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。 自定义IPS特征 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。 5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。 参数名称 参数说明 名称 需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过255个字符。 风险等级 设置特征的风险等级。 攻击类型 选择特征的攻击类型。 影响软件 选择受影响的软件。 操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 源端口 “源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 目的类型 选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 目的端口 “目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 动作 防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。 内容 特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。 6. 单击“确认”，完成添加IPS特征。

如何检查请求的不均衡？ 可以通过以下方式检查请求的均衡： 1. 基于轮询算法：如果某个主机处理的请求数量明显少于其他云主机，那么可以认为存在请求不均衡的情况。 2. 基于权重算法：如果某个主机的权重值过高或过低，可能会导致请求不均衡。 3. 基于源IP算法：同一个IP发出的请求都会分发到同一个后端，导致流量不均衡。 4. 基于响应时间：如果某个后端的响应时间较长，可能意味着该主机的负载较高或存在性能问题，需要进行调整。 5. 基于健康检查：负载均衡器定期对后端主机进行健康检查，如果某个主机无法正常响应或处于宕机状态，负载均衡器将不再将请求分发给该主机，从而避免请求不均衡。 6. 基于会话保持：如果开启会话保持，负载均衡器会将同一个客户端的请求始终分发到同一个后端主机上，以确保会话的连续性。如果客户端的数量相对较少，并且会话保持的配置不合理，可能会导致请求不均衡的问题。 如何检查弹性负载均衡服务不通或异常中断？ 要检查弹性负载均衡（ELB）服务是否不通或异常中断，可以采取以下步骤： 1. 检查负载均衡器的状态：登录到管理控制台，检查负载均衡器的状态。确保负载均衡器处于运行状态，没有错误或警告信息。 2. 检查访问控制策略组的白名单是否放通了客户端IP或者黑名单中未添加客户端IP 3. 检查负载均衡器的健康检查状态：负载均衡器通常会执行健康检查来确定后端服务的可用性。检查负载均衡器的健康检查状态，确保后端实例通过了健康检查，没有标记为不可用或异常。 4. 检查安全组规则和网络访问控制列表（ACL）：确保负载均衡器的安全组规则和网络ACL允许来自客户端和后端实例的流量通过。如果有必要，可以针对特定的端口和协议进行更详细的配置。 5. 检查后端实例的状态：确保后端实例正在运行，并且没有故障或异常。检查后端实例的状态和日志，确保应用程序或服务正常工作。 6. 检查DNS解析：负载均衡器通常使用域名解析将来自客户端的流量转发到后端实例。检查域名解析是否正确配置，并确保有向负载均衡器发出的请求能够正常解析到正确的IP地址。 7. 监控分析：使用云监控服务来监视负载均衡器的性能和资源使用情况。

应用快、免安装 纯SaaS服务，无需安装任何软硬件，成本低 724小时全天候服务，按需购买，即买即用，无部署无需改变网络结构，无需占用机房或办公空间 资源广布，全网服务 支持多点检测，覆盖全国多地区、三大运营商线路 支持检测挂马、篡改、敏感内容、平稳度、域名解析、黑链等事件，并可以在用户门户上做可视化呈现 支持扫描 WASC 25 种 Web应用漏洞，全面覆盖 OWASP Top 10 Web应用风险 全流程管理，用户友好 多功能体系化产品，发现问题后能联动WAF进行风险处理 无需处理软硬件故障、升级等问题，完全托管，无需亲自运维 可视化看板、报表和态势跟踪全方位辅助业务数据跟踪，更好地进行业务管理 高效率，高专业度 分钟级实时监测能力，最高监测频率可达2min/次 漏洞扫描结果经安全专家验证，进一步保证结果可信

当您创建云主机时，可以使用内网DNS进行解析，不经公网直接访问OBS、SMN等内部服务。 当您创建云主机时： 若关联VPC子网的DNS服务器设置为公共DNS，云主机对云服务的访问需要通过公共DNS在Internet上进行解析。 当云主机访问OBS，SMN等云上服务时，解析过程如下图右侧的的“1～10”所示。 在解析过程中，因需要通过Internet，访问时延大，体验差。 若关联VPC子网的DNS服务器默认设置为内网DNS，云主机对云服务的访问直接通过内网DNS进行解析。 当云主机访问OBS、SMN等云上服务时，内网DNS直接返回这些云服务的内网地址，无需通过Internet，访问时延小，性能高，解析过程如下图左侧的“1~4”所示。 在这种情况下，无需配置即可通过内网DNS进行域名解析。 图访问内部服务

操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余IP列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网IP需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 透明数据加密（Transparent Data Encryption，TDE）权限 rds:instance:tde 仅用于RDS for SQL Server数据库实例。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例Binlog清理策略 rds:binlog:get 无。 合并Binlog文件 rds:binlog:merge 无。 下载Binlog文件 rds:binlog:download 无。 删除Binlog文件 rds:binlog:delete 无。 设置Binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。

入门指引 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。本文档将帮助您学习如何安装容器引擎以及如何使用容器引擎客户端上传镜像到容器镜像仓库。 说明 上传镜像仅适用于管理控制台操作。 图 入门流程图 准备工作 在使用容器镜像服务前，您需要完成天翼云注册并实名认证的准备工作。 本文以一个2048应用为例，讲述根据该应用编写Dockerfile文件构建镜像并上传至容器镜像服务的操作。您可以编写一个Dockerfile文件，以alpine:3.7为基础镜像，来构建一个2048容器镜像。 前提条件 已安装Docker 已获取2048应用，并将该镜像下载至本地。 构建镜像 步骤1： 使用root用户登录虚拟机。 步骤2： 创建2048demo目录。 mkdir 2048demo 步骤3 ：下载2048源码至2048demo目录中。 该应用源码地址为： ，详细命令可参考< t 2048demo:v1：指定镜像的名称和版本。 .：指定Dockerfile所在目录，镜像构建命令会按照Dockerfile的内容构建镜像。 步骤7 ：执行以下命令，可查看到已成功构建的2048demo镜像，版本为v1。 docker images grep 2048demo 查看已构建的2048demo镜像 创建组织 组织用于隔离镜像，并为租户下用户指定不同的权限（读取、编辑、管理）。 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及创建触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、以及共享镜像。 步骤1 ：登录容器镜像服务控制台。 步骤2 ：在左侧菜单栏选择“组织管理”，单击右侧“创建组织”，在弹出的页面中填写“组织名称”，然后单击“确定”。 客户端上传镜像 docker客户端上传镜像，是指使用docker命令将镜像上传到容器镜像服务的镜像仓库。 本章节以2048demo:v1镜像为例，介绍如何上传镜像。上传成功后，在“我的镜像”中显示已上传成功的镜像。 注意 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 上传镜像的Docker客户端版本必须为1.11.2及以上。 步骤1：连接容器镜像服务。 a. 登录容器镜像服务控制台。 b. 在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”，在弹出的页面中单击“生成临时docker login指令”，单击 复制docker login指令。docker login指令末尾的域名即为当前镜像仓库地址，记录该地址。 说明 此处获取的docker login指令有效期为24小时，若需要长期有效的docker login指令，请参见 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 c.在安装Docker的机器中执行上一步复制的docker login指令。 登录成功会显示“login succeeded”。 步骤2：在安装docker的机器给2048demo:v1镜像打标签。 docker tag [镜像名称:版本名称] [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 说明 镜像名称不支持多级目录格式，例如：镜像名称可命名为“2048demo”，不可命名为“2048demo/test”。 样例如下： docker tag 2048demo:v1 {Public image address}/group/2048demo:v1 其中： {Public image address}为容器镜像服务的镜像仓库地址。获取该地址的方式：单击“我的镜像”，单击镜像列表中的镜像名称，在“Pull/Push指南”页签中的“1. 本镜像地址”下可以看到镜像仓库地址。 group为组织名称，如果该组织还没有创建，容器镜像服务会根据组织名称自动创建一个组织。 2048demo:v1 为镜像名称和版本号。 步骤3：上传镜像至镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 样例如下： docker push {Public image address}/group/2048demo:v1 终端显示如下信息，表明push镜像成功。 6d6b9812c8ae: Pushed 695da0025de6: Pushed fe4c16cbf7a4: Pushed v1: digest: sha256:eb7e3bbd8e3040efa71d9c2cacfa12a8e39c6b2ccd15eac12bdc49e0b66cee63 size: 948 返回系统，在“我的镜像”页面，执行刷新操作后可查看到对应的镜像信息。

本节主要介绍OOS的功能特性。 在使用OOS之前，建议您先了解存储桶（Bucket）、对象/文件（Object）、地域（Region）、访问域名（Endpoint）、对象存储网络其他区域及等基本概念，以便更好地使用OOS的功能。OOS主要提供以下功能： 功能名称 功能描述 各区域支持 功能名称 功能描述 对象存储网络区域 港澳台及海外 其他地域 存储类别 OOS提供了标准存储、低频访问型存储两种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 √ √ √ 存储桶管理 OOS提供创建、列举、查看、删除等基本功能，帮助您便捷的进行存储桶管理。 √ √ √ 文件管理 OOS提供上传、下载、复制、移动、删除、分享、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的文件管理需求。 √ √ √ 生命周期管理 OOS可针对某个存储桶下具体前缀或者所有文件设置删除或者转储规则。 √ √ √ 静态网站托管 您可以将静态网站文件上传至OOS存储桶中，并对存储桶赋予匿名用户可读权限，然后将该存储桶配置成静态网站托管模式，以实现在OOS上托管静态网站。 √ √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。 √ √ √ 防盗链 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 √ √ √ 日志 日志功能可以帮助您记录所有object级别的操作记录， 您可以通过控制台日志功能页面“开启”/“不开启”用户日志功能，同时还可以通过设置目标存储桶和路径来指定日志的存储位置。 √ √ √ 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。 √ √ x 清单配置 通过OOS存储桶清单功能可以获取Bucket中指定文件（Object）的大小、存储类型等信息。相对于GET Bucket (List Objects)接口，存储桶清单可以按每天或者每周以CSV的形式输出指定文件的相关信息，且不会影响存储桶的请求速率。在需要列举海量文件的场景中，推荐使用存储桶清单功能。 √ √ x 访问权限控制 OOS支持灵活的授权、鉴权机制，您可以通过以下方式控制OOS资源的访问权限： ACL：通过访问控制列表（ACL）给存储空间和文件授予访问权限，包括公共读写、公共读、私有。 Bucket Policy：通过Bucket Policy功能授权其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 IAM Policy：通过IAM Policy来控制存储空间和文件的访问权限。通过用户、用户组、策略的组合，实现精准的资源权限控制。 STS临时授权：通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证。 √ √ x （IAM Policy和STS暂不支持） 数据位置选择 您可以按需选择存储桶中数据的存储位置，并且支持后期修改。 √ √ x 文件速率和连接数控制 OOS支持单链接限速功能，您可以使用单链接限速功能在上传、下载、拷贝文件时进行流量和并发连接数控制，以保证您其他应用的网络带宽。 √ √ √ 获取文件元数据信息 OOS支持仅获取文件的元数据信息，而不返回数据本身，有效提升响应速度。 √ √ √ 设置HTTP头 OOS支持设置文件的HTTP头，您可以通过设置HTTP头来自定义HTTP请求的策略。例如，缓存策略、文件强制下载策略等。 √ √ √ 图片处理 您可以使用图片处理功能对存放在OOS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 √ √ √ 统计分析 OOS支持查询指定存储桶的使用情况、指定数据域的使用情况。用户可以根据统计分析数据，采取对应的措施。 √ √ x（不支持Bucket维度的统计） 操作跟踪 您可以通过操作跟踪记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中持久存储。 √ √ x API访问 OOS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除存储桶，上传、下载、删除文件等操作。 √ √ √ 控制台访问 OOS提供可视化控制台页面，方便用户使用。 √ √ √ 工具访问 OOS提供迁移工具以及支持第三方工具（S3Browser、S3cmd等），满足不同场景下数据迁移和数据管理需求。 √ √ √ SDK访问 OOS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、JS、Android、IOS、PHP、Go。 √ √ √（不支持PHP和Go）

web应用防火墙支持的加密算法套件描述 在使用过程中，需要Web业务管理员将Web服务的证书及对应的私钥导入到Web应用防火墙中，从而实现客户对Web业务的安全访问。证书加密的方式主要通过加密套件对所传输的信息进行加密，Web应用防火墙支持的加密算法套件及协议如下表： OpenSSL名称 RFC名称 TLS支持的版本 ECDHEECDSAAES128GCMSHA256 TLSECDHEECDSAWITHAES128GCMSHA256 TLS1.2 ECDHEECDSAAES256GCMSHA384 TLSECDHEECDSAWITHAES256GCMSHA384 TLS1.2 ECDHEECDSAAES128SHA256 TLSECDHEECDSAWITHAES128CBCSHA256 TLS1.2 ECDHEECDSAAES256SHA384 TLSECDHEECDSAWITHAES256CBCSHA384 TLS1.2 ECDHERSAAES128GCMSHA256 TLSECDHERSAWITHAES128GCMSHA256 TLS1.2 ECDHERSAAES256GCMSHA384 TLSECDHERSAWITHAES256GCMSHA384 TLS1.2 ECDHERSAAES128SHA256 TLSECDHERSAWITHAES128CBCSHA256 TLS1.2 ECDHERSAAES256SHA384 TLSECDHERSAWITHAES256CBCSHA384 TLS1.2 AES128GCMSHA256 TLSRSAWITHAES128GCMSHA256 TLS1.2 AES256GCMSHA384 TLSRSAWITHAES256GCMSHA384 TLS1.2 AES128SHA256 TLSRSAWITHAES128CBCSHA256 TLS1.2 AES256SHA256 TLSRSAWITHAES256CBCSHA256 TLS1.2 ECDHEECDSAAES128SHA TLSECDHEECDSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHEECDSAAES256SHA TLSECDHEECDSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHERSAAES128SHA TLSECDHERSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHERSAAES256SHA TLSECDHERSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 AES128SHA TLSRSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 AES256SHA TLSRSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 DESCBC3SHA TLSRSAWITH3DESEDECBCSHA TLS1.0 TLS1.1 TLS1.2 TLSAES128GCMSHA256 TLSAES128GCMSHA256 TLS1.3 TLSAES256GCMSHA384 TLSAES256GCMSHA384 TLS1.3 TLSCHACHA20POLY1305SHA256 TLSCHACHA20POLY1305SHA256 TLS1.3 ECDHESM2SM4GCMSM3 ECDHESM4GCMSM3 TLS1.1 ECDHESM2SM4CBCSM3 ECDHESM4CBCSM3 TLS1.1 ECCSM2SM4CBCSM3 ECCSM4CBCSM3 TLS1.1 ECCSM2SM4GCMSM3 ECCSM4GCMSM3 TLS1.1 RSASM4CBCSM3 RSASM4CBCSM3 TLS1.1 RSASM4GCMSM3 RSASM4GCMSM3 TLS1.1 RSASM4CBCSHA256 RSASM4CBCSHA256 TLS1.1 RSASM4GCMSHA256 RSASM4GCMSHA256 TLS1.1 注意 证书主要指HTTPS访问请求所使用的证书，通过使用HTTPS证书能够保证用户请求的安全性。 证书的主要原理是，用户请求通过第三方颁发的可信证书中的公钥对会话进行加密和签名，从而保证用户本身的信息以及用户所访问服务器的安全性，服务器端接收到用户通过公钥加密发送的请求和签名后，再通过私钥进行解密，从而验证用户本身的安全性。 Web应用防火墙通过导入所防护域名的证书和私钥，是需要作为一个中间人对用户的会话进行安全验证，同时还需要将用户请求通过安全的方式发送回服务端从而保证整个访问业务链路的安全。

场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 443 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53

插件名称 插件简介 CoreDNS（系统资源插件，必装） CoreDNS插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 Everest（系统资源插件，必装） Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云硬盘服务、极速文件存储 SFS Turbo等存储服务的能力。 storagedriver（系统资源插件，必装） storagedriver插件是用于对接块存储、文件存储等Iaas存储服务的FlexVolume驱动。 autoscaler 集群自动扩缩容插件autoscaler，是根据pod调度状态及资源使用情况对集群的工作节点进行自动扩容缩容的插件。 metricsserver MetricsServer是集群核心资源监控数据的聚合器。 ccehpacontroller ccehpacontroller插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 prometheus Prometheus是一套开源的系统监控报警框架。在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 gpubeta gpubeta插件是支持在容器中使用GPU显卡的设备管理插件，仅支持Nvidia驱动。

场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 22333 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

错误信息 错误可能原因 解决办法 ERROR 2003 (HY000): Can't connect to MySQL server on 'XXX'(10038或10060或110) 网络连通问题 1. 检查客户端与实例机器间ip、端口是否联通。 2. 若客户是通过弹性云主机访问MySQL实例，云主机与MySQL处于同一个VPC下。 3. 是否存在安全组。 ERROR 2013 (HY000): Lost connection to MySQL server at ‘reading authorization packet’, system error:110 网络连通问题 1. 确认是否存在过高的网络延迟。 2. 确认是否DNS解析失败或解析超时。 ERROR 1045 (28000): Access denied for user ‘XXX’@’XXX’ (using password: YES或NO) 用户名或密码错误 检登录的用户名和密码。 ERROR 2005 (HY000): Unknown MySQL server host ‘XXX’ (110或11004) DNS服务器无法解析地址 检查连接地址或修改DNS服务器地址。 报错 has more than 'maxuserconnections'或has exceeded the 'maxuserconnections' 数据库最大连接数已满 1. 重启数据库实例来释放连接。 2. 修改maxuserconnections为更大的值。 Linux系统连接实例报错 Unknown MySQL server host 可能由于开启了iptables导致域名解析的数据包被丢弃 编辑sysctl.conf文件，根据实际内存情况调整net.nfconntrackmax的参数，保存并退出，执行sysctl p使配置生效。

本节介绍混合集群如何打通云上云下网络。 混合集群概述 本地自建 Kubernetes 集群通过分布式容器云平台注册集群接入，可以为自建Kubernetes集群扩容云上 ECS 节点，同时管理云上、云下计算资源，形成混合集群。 搭建混合集群的网络关键在于打通云上云下网络连通，包括： 1. 云上VPC网络与云下网络互通，即计算节点之间互连互通； 2. 云上容器网络与云下容器网络互通，即容器Pod之间互连互通； 混合集群网络模式 节点网络互通 具体操作步骤如下： 1. 将云下网络通过内网接入天翼云，请参考天翼云提供的专线方案 云上云下网络专线接通方案。 2. 测试云上云下连通性，验证云下节点与云上节点是否互通。 3. 如需要云下网络需要通过内网访问云产品，云下网络需配置云产品的域名解析（.ctyun.cn域名解析转发到云上DNS VPCE IP），云产品包括：CRS镜像仓库、对象存储、日志、监控等。 容器网络互通 在确保云上云下节点网络互通之后，才可配置云下节点上运行的容器网络和云上节点运行的容器网络互通。 场景一：云下Kubernetes集群容器网络模式为Underlay模式，Pod IP集群外可访问 平面网络模式，一般用于集群规模较大(或规划较大)且对网络性能要求较高的场景。常见的开源Underlay模式组件包括： Flannel HostGW模式 Calico 路由反射模式 Cilium BCP路由模式 若云下Kubernetes的容器网络模式是Underlay模式，那么云上节点需要使用Cubecni网络插件。在此模式下，需要满足以下条件： 在混合集群中，用户需要确保满足以下条件： 云下网络插件只运行在云下计算节点。 云上的Cubecni网络插件只运行在云上计算节点，不会被调度到云下计算节点。 1. 配置网络插件 a.分布式容器云平台三方集群节点扩容的云上ECS节点会自动添加节点标签k8s.node.ctyun.cn/cloudtrue，默认云上Cubecni网络插件会根据云上节点标签自动调度到云上ECS节点。 b.请根据节点标签为云下网络插件设置NodeAffinity，或设置相关污点来确保云下网络插件只运行在云下。例如，针对云下Calico网络插件，使用nodeAffinity设置其不会被调度到标签为k8s.node.ctyun.cn/cloudtrue的节点上。其它运行于云下且不被希望调度到云上的网络插件也可以用这种方式设置： shell cat calicods.patch spec: template: spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: k8s.node.ctyun.cn/cloud operator: NotIn values: "true" EOF kubectl n kubesystem patch ds caliconode p "$(cat calicods.patch)" 2. 安装Cubecni插件 a.登录分布式容器云平台控制台，在左侧导航栏选择集群资源 > 集群管理。 b.在集群列表页面，单击目标集群，进入集群页面，在左侧导航栏选择插件 > 插件市场。 c.在插件市场页面，搜索cubecni插件或者cubecnistandalone插件，单击右下方安装。 d.在左侧导航栏选择 工作负载 > 守护进程，查看kubesystem命名空间下cubecni组件的守护进程，在三方集群扩容云上节点前，cubecni不会被调度到任何一个云下节点上。

本文介绍linux虚机内关键文件路径 在 Linux 操作系统中，有许多关键的目录和文件对于系统的正常运行至关重要，擅自修改可能导致系统不稳定甚至无法启动。以下是一些不应随意更改的关键目录和文件： 1. /etc 存放系统的所有配置文件。 · 关键文件 ： o /etc/fstab：定义文件系统的挂载信息，误改可能导致系统无法挂载分区。 o /etc/passwd：存储用户账户信息，错误修改可能导致用户无法登录。 o /etc/shadow：存储用户密码的加密信息，错误修改可能破坏用户认证。 o /etc/hostname：定义主机名，修改后可能影响网络配置。 o /etc/resolv.conf：DNS 配置文件，误改可能导致域名解析失败。 2. /boot 存放系统启动相关文件，包括内核、初始化 RAM 磁盘等。 · 关键文件 ： o /boot/vmlinuz：Linux 内核。 o /boot/initrd 或/boot/initramfs：初始化 RAM 磁盘文件。 o 修改风险 ：误删或修改可能导致系统无法启动。 3. /bin 和 /sbin 存放基本系统命令和管理命令。 · 关键文件 ： o /bin/bash：Shell 程序。 o /bin/ls 、/bin/cp 等：基本命令。 o /sbin/init 或/sbin/systemd：初始化系统的程序。 o 修改风险 ：破坏基本命令可能导致系统管理和用户交互失效。 4. /usr 存放用户空间的应用程序和库文件。 · 关键目录 ： o /usr/bin：用户级命令。 o /usr/sbin：高级系统命令。 o /usr/lib 和/usr/lib64：存储 32 位和 64 位库文件。 o 修改风险 ：影响系统和应用程序的运行。

项目 描述 支持 Linux OS CentOS 7/8/9 64位，CTyunOS 2/4 64位。 硬件 x86服务器、ARM服务器或者龙芯服务器。 最低配置：单核CPU、2GB内存。可根据实际业务需要增加配置。 带宽 客户端到HBlock的带宽：读写带宽能力大于业务读写带宽。 数据目录对应磁盘分区的写带宽能力大于用户实际写入数据的带宽。 上云带宽大于业务写入带宽。 安装目录所在盘 10GB以上，建议配置为RAID 1或者RAID 10。 数据目录 最小配置：5GB，可根据实际业务需要增加配置。 根据存储容量和副本模式配置数据目录对应分区的容量。 对于HBlock使用到的目录，建议设置开机自动挂载，或使用已设置自动挂载的目录或子目录。 网络设定 可以与对象存储进行网络连接（部署本地模式的卷则不需要）。 若HBlock与OOS之间配有专线，须在HBlock服务器 /etc/hosts配置OOS资源池的内网域名解析（请联系我们获取），以确保是通过专线访问OOS，保证访问速度。若您使用互联网，则不需要配置。 网络整体架构如下： HBlock内部各节点之间通过内网互联。 HBlock与上层应用之间通过内网或专线或公网互联。 HBlock与对象存储之间通过专线或公网互联（部署本地模式的卷则不需要）。 图1 单机版网络拓扑图 图2 HBlock集群版网络拓扑图

本节主要介绍应用开发类问题 微服务和普通应用有什么不同？ 微服务是一种架构模式，其核心是将一个单体应用分成多个部分进行开发。所以微服务架构的应用程序，其本质上是一个分布式应用。基于微服务架构构建的应用程序，可以让业务变化更快，整体系统可靠性更高。 如何解决微服务注册失败问题（针对java chassis）？ 微服务部署成功后，需要将微服务注册到服务中心和配置中心，才能使用注册发现和微服务治理能力。如果注册失败，可能由于以下因素导致的： AK/SK未配置或者配置不正确。 服务中心或配置中心地址配置不正确。 网络不通。 域名解析失败。 监听端口被占用。 客户端向CSE发送HTTPS消息时，有校验证书吗？使用的根证书在哪里配置？ 当前CSE不会校验微服务的证书。根证书是调用公共组件psm生成的。 如何进行本地开发和测试？ 服务中心是微服务框架中的重要组件，用于服务元数据以及服务实例元数据的管理和处理注册、发现。服务中心与微服务提供/消费者的逻辑关系下图所示： 前提条件 由于启动本地服务中心将会占用此台机器的30100、30110和30103端口，其分别表示服务中心的后台、配置中心的后台和前台服务端口。请确认以上端口未被使用。 使用本地开发工具前，请确认环境是否满足以下要求： 操作系统：Linux/Unix、Windows 64 bit CPU架构：x86/arm 浏览器：Chrome、Safari、Edge

操作步骤 步骤 1 登录CCE控制台，在总览页面单击“购买Kubernetes集群”，或在左侧导航栏中单击“资源管理 > 集群管理”，单击“购买混合集群”。 步骤 2 参照下表设置集群参数。 创建集群参数配置 参数 参数说明 计费模式 包年/包月：预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。包年/包月集群创建后不能删除。 按需计费：后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 本节以“按需计费”类型为例进行讲解。 区域 不同区域的云服务产品之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 集群名称 新建集群的名称，创建后不可修改。 集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 版本 Kubernetes社区基线版本，建议选择最新的版本。版本升级请参见集群版本升级说明。 若有Beta版本时，您可以选择试用，但不建议您将该版本用于商用场景。 集群管理规模 集群管理规模是指当前集群的控制节点可以管理的最大工作节点规模，您可以选择50节点、200节点、1000节点三种管理规模，请根据您的业务需求选择，该规模在集群创建后不可更改，请慎重选择。 若选择“1000节点”，表示当前集群的控制节点最多可管理1000个工作节点。由于不同管理规模的控制节点规格不同，因此配置费用会有差异。 任何一个集群中均包含“Master Node”和“Worker Node”，每一个Node对应一台云服务器。 Master Node：集群的控制节点，在创建集群时会自动创建控制节点，负责整个集群的管理和调度。 Worker Node：集群的工作节点，即用户购买或纳管的节点。工作负载是由控制节点分配的，当某个工作节点宕机时，控制节点会将工作负载转移到其他工作节点上。 控制节点数 多控制节点模式开启后将创建三个控制节点，在单个控制节点发生故障后集群可以继续使用，不影响业务功能。 多控制节点模式开关在集群创建完成后不可变更。 商用场景建议选择多控制节点模式集群。 虚拟私有云 新建集群所在的虚拟私有云，集群创建后不可更改。 虚拟私有云是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 若没有虚拟私有云可选择，请单击“创建虚拟私有云”进行创建，完成创建后单击刷新按钮。 所在子网 节点虚拟机运行的子网环境，集群创建后不可更改。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 若没有子网可选择，请单击“创建子网”进行创建，完成创建后单击刷新按钮。虚拟私有云、子网、集群的关系请参见集群概述。 请确保子网下的DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 集群创建后子网无法修改，请谨慎选择。 网络模型 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 容器隧道网络下只能添加同一类型的节点，即全部为虚拟机节点或全部为裸金属节点。 基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。 VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面等优势，可以满足大多数应用需求。 VPC 网络 VPC网络模式下每个节点占用一条VPC路由规则，Console界面中可显示当前局点支持的VPC路由规则条数，以及每个节点可供分配的容器IP个数（即可创建的Pod实例数目上限）， VPC路由方式与底层网络深度整合，适用于高性能场景，但每个节点占用一条VPC路由规则，节点数量受限于虚拟私有云VPC的路由配额。 VPC网络集群下的每个节点将会被分配固定大小的IP地址段，由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 容器网段 请根据业务需求选择容器网段，确定容器网段后，容器实例将在规划的网段内分配IP，集群创建后该网段不可更改。 未勾选“自动选择”：请手动选择网段。若与子网网段有冲突时将有红色文字提示，请重新选择。建议使用网段：10.0.0.0/8~18，172.16.0.0/16~18，192.168.0.0/16~18。 不同集群使用相同的容器网段，会导致容器IP 冲突，应用访问异常。 勾选“自动选择”：系统将自动分配与子网网段无冲突的网段。 容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。设置掩码后，选项下方会有当前网段最多支持的实例估算值，请作参考。 服务网段 服务网段为kubernetes service ip网段，集群创建后该网段不可更改。服务网段与已创建的路由不能冲突，如果冲突，请重新选择。 使用默认网段：默认设置为10.247.0.0/16网段。 手动设置网段：请根据业务需求设置合理的网段和掩码，掩码决定集群内可用service ip数量。 认证方式 认证机制主要用于对集群下的资源做权限控制。例如A用户只能对某个命名空间下的应用有读写权限，B用户对集群下的资源只有读权限等。角色权限控制的操作请参见集群管理权限控制。 默认状态下不选定“认证能力增强”，此时默认开启X509认证模式，X509是一种非常通用的证书格式。 若需要对集群进行权限控制，请勾选“认证能力增强”，选择“认证代理”。 单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书，并勾选“我已确认上传的证书合法”。 证书若不合法，集群将无法创建成功。请上传小于1MB的文件，上传格式支持.crt或.cer格式。 集群描述 选填，请输入新建容器集群相应的描述信息。 高级设置 单击“高级设置”后展开详细项目，支持的功能如下（当前可用区中不支持的功能将隐藏）： 服务转发模式： iptables：社区传统的kubeproxy模式，完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题。 ipvs：在社区获得广泛支持的kubeproxy模式，采用增量式更新，吞吐更高，速度更快，并可以保证service更新期间连接保持不断开，适用于大规模场景。 ipvs模式下，ingress和service使用相同的ELB实例时，无法在集群内的节点和容器中访问ingress。 说明 ipvs为大型集群提供了更好的可扩展性和性能。 ipvs支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。 ipvs支持服务器健康检查和连接重试等。 CPU 管理策略： 开启：支持给工作负载实例配置CPU独占，适用于对CPU缓存和调度延迟敏感的工作负载。 关闭：关闭工作负载实例独占CPU核的功能，优点是CPU共享池的可分配核数较多。 购买时长 若选择创建“包年/包月”的集群，请设置购买时长。 步骤 3 单击“下一步：创建节点”，在“创建节点”步骤中，参照如下参数配置节点： 创建节点： 现在添加：创建集群的同时创建节点，当前仅支持虚拟机节点。如果节点创建失败集群会一起回滚。 稍后添加：将不会创建节点，仅创建一个空集群，集群创建完成后可以添加虚拟机或裸金属节点。 计费模式：支持“包年/包月”和“按需计费”两种计费类型。 包年/包月：包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费：按需计费是后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 创建集群时节点的计费方式跟随集群的计费方式，如集群的计费模式选择“按需计费”，则创建过程中节点的计费模式只能为“按需计费”，“包年/包月”同理。创建方式请参考节点管理>购买节点。 包年/包月节点创建后不能删除，如需停止使用，请执行退订操作。 当前区域：节点实例所在的资源池。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 节点类型：选择“虚拟机节点”。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 内存优化型：该类型实例提供内存比例更高的实例，可以用于对内存要求较高、数据量大的工作负载，例如关系数据库、NoSQL等场景。 GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点管理>节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与系统盘一致。 注意 若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 数据盘空间分配：单击后方的“更改配置”可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的DNS服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP：独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启IPv6时，不显示该参数。弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明 CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽：请选择“暂不使用”或“使用已有”。仅在集群开启IPv6时，显示该参数。弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 注意 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置：（可选），单击 展开后可对节点进行如下高级功能配置： 安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 子网IP：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes高级设置：（可选），单击 展开后可对集群进行如下高级功能配置： 最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 自定义镜像仓库：单击“新增自定义镜像仓库地址”输入镜像仓库地址。 添加自定义镜像仓库地址（非SSL镜像源地址）到docker启动参数中，避免拉取个人镜像仓库的镜像失败，格式可为“IP地址:端口或者域名”。安装后执行脚本与自定义镜像仓库不能同时使用。 单容器可用数据空间：该参数用于设置一个容器可用的数据空间大小，设置范围为10G到80G。如果设置的参数超过数据盘中Docker可占用的实际数据空间（由数据盘设置项中的资源分配自定义参数指定，默认为数据盘大小的90%），将以Docker的实际空间大小为主。该参数仅在v1.13.10r0及以上版本的集群中显示。 节点购买数量：此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的 可查看影响能添加节点数的因素（取决于最小值）。如需申请更多配额，请单击。 购买时长：若选择创建“包年/包月”的集群，请设置购买时长。 步骤 4 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 所有插件也可以在集群创建完成后，在左侧导航栏中单击“插件管理”进行安装或卸载，具体请参见插件管理章节。 步骤 5 单击“下一步：配置确认”，阅读“使用说明”并点选“我已知晓上述限制”，确认所设置的服务选型参数、规格和费用等信息。 步骤 6 确认规格和费用后，单击“提交”，集群开始创建。 若选择购买“包年包月”的集群，请单击“去支付”，根据界面提示进行付款操作。 集群创建预计需要约10分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。待集群状态为“正常”，表示集群创建成功。

接口功能介绍 支持直播转码、直播录制、直播截图和直播审核等媒体处理模板参数设置。 使用说明 此接口需与“绑定/解绑媒体处理模板”接口搭配使用，才可实现进行域名的媒体处理配置 接口详情 请求方式：POST 请求路径：/live/mediatemplate/createmediatemplate 请求JSON参数 参数名 类型 名称 是否必填 说明 TemplateType string 模板类型 是 livetran：直播转码 liverecord：直播录制 livesnapshot：直播截图 liveidentify：直播审核 TemplateName string 模板名称 是 1至10个大小写英文字符、数字及““符号 选择直播转码时，此参数值为转码请求uri中的档位参数，如md Description string 模板描述 否 1至255 个字符 Params dict 模板参数 是 见下文说明 转码参数Params 参数名 类型 名称 是否必填 说明 Output list 参数集 是 输出文件的相关参数，目前只支持配置一个 Video dict 视频参数集 否 视频设置补充参数集 Output结构 参数名 类型 名称 是否必填 说明 Format dict 参数内容 是 转码输出流关键参数集 Format结构 参数名 类型 名称 是否必填 说明 Vcodec string 编码方式 是 1:H264 2:H265 OutputFormat string 推荐模板 否 ld：流畅 sd：标清 hd：高清 ud：超清 设置此参数值后，使用默认值，无须再设置具体值。 亦可以选择不设置此参数，进行下面几个参数（从Vbr至SeiContent）的自定义配置。 Vbr string 视频码率 否 若未设置OutputFormat参数，则该参数必填。 取值范围为100~8000。 Width string 视频分辨率宽度 否 若未设置OutputFormat参数，则该参数必填。 取值范围为100~8000，必须为2的倍数。 Height string 视频分辨率高度 否 若未设置OutputFormat参数，则该参数必填。 取值范围为100~8000，必须为2的倍数。 Fr string 视频帧率 否 取值范围为5~60 Abr string 音频码率 否 取值范围为10~500 Asr int 音频采样率 否 取值范围>0 Acodec string 音频编码 否 1：AAC 2：PCM Gop int Gop 否 取值范围为1~20 SeiType int SEI类型 否 取值范围：5、1，默认1（即不新增sei） SeiPattern string SEI模式 否 取值范围：keyframe SeiContent string SEI内容 否 长度限制为4000字节，SEI值不为1时，SeiContent不能为空 推荐模板参数值： Vcodec OutputFormat Acodec Width Height Fr Vbr(bps) Asr(Hz) Abr(bps) H264 ld AAC 480 360 18 500k 22050 48k H264 sd AAC 1280 720 25 1100k 44100 96k H264 hd AAC 1920 1080 30 2000k 44100 128k H264 ud AAC 2560 1440 30 3000k 44100 128k H265 ld AAC 480 360 18 400K 22050 48k H265 sd AAC 1280 720 25 800K 44100 96k H265 hd AAC 1920 1080 30 1400K 44100 128k H265 ud AAC 2560 1440 30 2000k 44100 128k Video结构 参数名 类型 名称 是否必填 说明 Logo list Logo 否 输出文件的相关参数，目前只支持配置一个 Logo结构 参数名 类型 名称 是否必填 说明 Pic string 水印图片地址 否 水印图片地址 OptimalW int 水印宽度 否 水印宽度，占直播原始画面宽度百分比，建议高宽只设置一项，另外一项会自适应缩放，避免变形。 默认原始宽度。最大30% OptimalH int 水印高度 否 水印高度，占直播原始画面高度百分比，建议高宽只设置一项，另外一项会自适应缩放，避免变形。 默认原始高度。最大50% OffsetX int OffsetX 否 显示位置，X轴偏移，单位是百分比，默认0。 OffsetY int OffsetY 否 显示位置，Y轴偏移，单位是百分比，默认0。 录制参数Params 参数名 类型 名称 是否必填 说明 Output list 参数集 是 输出文件的相关参数，目前只支持配置一个 Output[].Format string 输出文件的封装格式 是 hls、flv、mp4、aac四种格式，格式名统一小写 Output[]. SegmentTime string 录制文件分段时长 否 取值范围：5~86400（单位秒） 1.当format为hls时，该字段代表ts文件的切片时长 2.当format为hls时，默认切片时长为10秒，为其它格式时默认分段为6小时 Output[].OssFilePath string 文件存储路径 否 设置录制文件在媒体存储的存放路径，可配置固定值及变量，变量包含: appname：频道名 streamname：流名 taskstarttime：任务开始UTC时间戳 默认： record/ {appname}/ {taskstarttime} Output[]. OssFileName string 文件命名规则 否 设置录制文件的命名规则，可配置固定值及变量，变量包含： appname：频道名 streamname：流名 filestarttime：录制文件开始UTC时间戳 fileendtime：录制文件结束UTC时间戳 默认: {filestarttime} {fileendtime} OssRegion string OSS的Region名称 是 OSS的Region名称 OssBucket string OSS的Bucket名称 是 OSS的Bucket名称 OssEndpoint string OSS的服务地址 是 OSS的服务地址 OssExpiration int OSS的生命周期 是 OSS的生命周期，单位为天，取值范围1~3650 即在对象在创建多少天后将其删除 截图参数Params 参数名 类型 名称 是否必填 说明 Output list 参数集 是 输出文件的相关参数，目前只支持配置一个 Output.Format string 图片格式 是 支持jpg、png格式名统一小写，默认jpg Output.Interval string 截图间隔时长 否 截图间隔时长，单位 秒，默认10秒 Output. SamplingSnapshot int 是否截关键帧 否 0：是； 1：否 Output.OssFilePath string 截图存储路径 否 截图路径, 可配置固定值及变量，变量包含： appname：频道名 streamname：流名 taskstarttime：任务开始UTC时间戳 默认：snapshot/ {appname}/ {streamname} Output.OssFileName string 截图文件命名规则 否 截图命名,可配置固定值及变量，变量包含： appname：频道名； streamname：流名； filestarttime：截图文件开始时间 默认：${filestarttime} OssRegion string OSS存储的Region名称 是 1至255个字符 OssBucket string OSS存储的Bucket名称 是 1至255个字符 OssEndpoint string OSS存储的Endpoint名称 是 1至255个字符 OssExpiration int 存储时长 是 13650，单位为天，即在对象创建多少天后将其删除

本节主要介绍网络及安全问题 数据复制服务有哪些安全保障措施 网络 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 如何处理迁移过程中出现的网络中断 迁移过程中如果出现网络中断，可先观察任务状态，当如下状态的迁移任务出现失败时，可在任务列表上单击“续传”，进行任务续传。 全量迁移 增量迁移 如何通过设置VPC安全组，允许本云VPC访问外部弹性IP 默认情况下，基于安全的考虑，本云VPC与外部网络是隔离的，VPC内是无法访问外部的弹性IP，如其他云数据库的弹性IP、云下数据库的弹性IP等。但数据库迁移场景需要确保本云VPC内的迁移实例或者目标数据库可连通外部的弹性IP，从而实现数据库迁移。 为此，您需要在安全组里设置一个出口规则，出口规则控制的是本云VPC可以访问哪些外部的弹性IP和端口范围，安全组的出入口规则一般需要满足“严进宽出”的要求。 如何处理迁移实例和数据库网络连接异常 数据迁移前请确保完成网络准备和安全规则设置。如果连接异常，请按照本节方法排查网络配置是否正确。 本节将以MySQL到RDS for MySQL的迁移为示例，从三种迁移场景（跨云数据库实时迁移、本地数据库实时迁移、ECS自建数据库实时迁移）进行说明。 跨云数据库实时迁移 1. 网络准备。 源数据库需要开放公网访问。 源数据库的网络设置： 源数据库MySQL实例需要开放外网域名的访问。 具体的操作及注意事项可以参考源数据库所在云提供的相关指导。 目标数据库的网络设置： 目标数据库默认与DRS迁移实例处在同一个VPC内，网络是互通的，不需要进行任何设置。 2. 安全规则准备。 源数据库的安全规则设置： 源数据库MySQL实例需要将目标端DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MySQL实例可以与上述弹性公网IP连通。 在设置网络白名单之前，需要先获取目标端DRS迁移实例的弹性公网IP，具体方法如下：DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法， 在安全允许的情况下 ，可以将源数据库MySQL实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 本地数据库实时迁移 3. 网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库 RDS for MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置 ： 若通过VPN访问，请先开通VPN服务，确保源数据库MySQL和目标端本云云数据库 RDS for MySQL的网络互通。 若通过公网网络访问，本云云数据库 RDS for MySQL实例不需要进行任何设置。 4. 安全规则准备： a. 源数据库的安全规则设置： 若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性公网IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性公网IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 b. 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 ECS自建数据库实时迁移 5. 网络准备： 源数据库所在的region要和目标端本云云数据库 RDS for MySQL实例所在的region保持一致。 源数据库可以与目标端本云云数据库 RDS for MySQL实例在同一个VPC，也可以不在同一个VPC。 当源库和目标库处于同一个VPC时，网络默认是互通的。 当不在同一个VPC的时候，要求源数据库实例和目标端本云云数据库 RDS for MySQL实例所处的子网处于不同网段，此时需要通过建立对等连接实现网络互通。 6. 安全规则准备： 同一VPC场景下，默认网络是连通的，不需要单独设置安全组。 不同VPC场景下，通过建立对等连接就可以实现网络互通，不需要单独设置安全组。 排查iptables设置 以源数据库为本云ECS自建数据库为例，如果在上述的操作后，仍无法连通，此时需要额外排查iptables设置，因为HOSTGUARD服务在DRS发起频繁连接请求失败时，会将请求IP加入黑名单中。 7. 登录弹性云主机。 8. 执行以下命令，排查是否有DENY相关的项目包含DRS实例的IP，一般项目名称为INHIDSMYSQLDDENYDROP 。 iptables list 9. 如果存在，执行以下命令，查询iptables入方向规则列表，获取具体规则编号（linenumbers）。 iptables L INPUT linenumbers 10. 执行以下命令，删除DRS实例的IP相关的入方向规则（注意：必须从后往前删，不然linenumbers会更新，需要重新查询）。 iptables D 规则项目名 具体规则编号 11. 删除相关iptables规则后重新进行测试连接即可。

关注配额限制 云服务和集群资源均有配额限制，以防止意外过度使用资源。 云服务配额：如弹性云服务器、云硬盘、虚拟私有云、弹性负载均衡、容器镜像服务等均有配额限制，当资源配额限制无法满足使用时，可以提交工单申请扩大配额； 集群配额：租户可创建集群数量、单集群管理节点数量、单节点最大Pod数有配额限制，详见使用限制。 监控控制节点指标 采集控制节点指标可以深入了解控制节点性能并提前识别问题，运行状况不佳的控制节点会影响应用可靠性。 云容器引擎通过ccsemonitor插件对接应用性能监控服务APM，以采集集群指标，默认会采集kubeapiserver、kubecontroller、kubescheduler、etcd等核心组件指标。 可在云容器引擎控制台的“运维管理监控”侧查看这些系统组件的监控面板。 运行npd 工作节点故障可能影响容器应用的正常运行。npd（node problem detector）是Kubernetes社区提供的用于检测集群节点异常的插件，借助npd可及时获取节点可能存在的异常并处理。npd插件支持自定义配置，如目标节点、触发阈值、检查周期等。 配置DNS缓存 CoreDNS默认不缓存DNS，当集群内DNS请求量增加时，CoreDNS可能出现如下问题： 延迟增加：CoreDNS要处理更多请求，DNS查询可能变慢，从而影响业务性能； 资源占用率增加：CoreDNS需要占用更多CPU和内存，以满足激增的DNS请求。 可在集群中部署NodeLocal DNSCache插件以减少DNS请求延迟，提升服务发现的稳定性和性能。该插件在每个集群节点上运行DNS缓存代理，所有注入DNS配置的Pod优先使用该DNS缓存代理进行域名解析，以减少CoreDNS服务的压力，提高集群DNS性能。 详见使用NodeLocal DNSCache。

本节主要介绍云存储网关的使用限制。 注意 在部署云存储网关前，需要明确使用单机版还是集群版，因为一旦部署后，不支持通过增减服务器进行模式切换。 说明 该产品通过软件形式部署在用户的环境中，本身不涉及资源池属性。 操作系统 支持 Linux CentOS 7.x，64位操作系统。建议使用最新的CentOS 7.x版本。 硬件 x86服务器。最低配置：单核CPU、2GB内存。可根据实际业务需要增加配置。 网络带宽 客户端到云存储网关的带宽：读写带宽能力大于业务读写带宽。 数据目录对应分区的写带宽能力大于写入带宽，同时还具备相同的读带宽。 云存储网关到OOS具备专线，带宽大于业务写入带宽。 安装目录所在盘 10GB以上，建议配置为RAID 1或者RAID 10。 数据目录所在盘 最小配置：5GB，可根据实际业务需要增加配置。 若作为存储模式存储卷的数据目录使用，需要根据存储容量和副本模式配置数据目录对应分区的容量。若作为缓存模式卷的数据目录使用，需要根据缓存数据量和副本模式配置数据目录对应分区的容量。 网络设定 可以与天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）进行网络连接。 若云存储网关与OOS之间配有专线，须在云存储网关服务器 /etc/hosts配置OOS资源池的内网域名解析（请联系我们获取），以确保是通过专线访问OOS，保证访问速度。若使用互联网，则不需要配置。 网络整体架构图： 云存储网关内部各节点之间通过内网互联。 云存储网关与上层应用之间通过内网或专线或公网互联。 云存储网关与OOS之间通过专线或公网互联。

本文为您介绍Linux系统重启后/etc/hosts自动添加主机名解析的处理方法。 问题描述 重启使用 Linux 系统的云主机后发现 /etc/hosts 文件被全部重写或被添加了主机名和回环地址（例：127.0.0.1、127.0.1.1）的解析，导致域名解析不符合预期或出现问题。 问题原因 云平台 Linux 镜像中的一个核心组件是 cloudinit。作为开源的云初始化程序，cloudinit 主要用于对主机名、初始密码等一些自定义信息进行初始化配置。若 cloudinit 配置中存在对 manageetchosts 的配置，则 cloudinit 会根据具体配置值决定如何调整 /etc/hosts 文件。公共镜像默认不启用 cloudinit 对 /etc/hosts 的修改功能，即 manageetchosts 不做配置或配置为 false（默认值）。若您使用了公共镜像并修改了 cloudinit 配置或使用了私有镜像，则可参考此指导来尝试解决问题。 问题排查思路 /etc/hosts 文件被全部重写可能是因为 cloudinit 配置中将 manageetchosts 配置成了true（若您安装的 cloudinit 版本低于22.3，则还可能是配置成了 template）。此时，cloudinit 会根据/etc/cloud/templates/hosts.tmpl 来重写 /etc/hosts 文件。 而 /etc/hosts 文件被添加主机名解析可能是因为 cloudinit 配置中将 manageetchosts 配置成了 localhost。 解决步骤 1. Cloudinit 配置文件是 /etc/cloud/cloud.cfg，您可能还将自定义配置放于 /etc/cloud/cloud.cfg.d/ 目录下。搜索包含 manageetchosts 配置的文件可使用以下命令： grep rn ‘manageetchosts’ /etc/cloud/ 返回结果示例： 2. 以上述返回结果为例，可以看到在/etc/cloud/cloud.cfg 文件中的第20 行将 manageetchosts 配置成了 localhost，此时您需要修改 cloud.cfg 中的 manageetchosts 配置，即： 原文：manageetchosts: localhost 修改后：

为什么IPsec连接状态为“第二阶段协商成功”，能ping通但业务访问不通或部分端口号访问不通？ 原因： VPC应用的安全组规则或本地数据中心应用的访问控制策略未放行对应的IP地址、协议类型和端口号。 解决方案： 请按照以下操作排查相关配置： 排查VPC应用的安全组规则。确保安全组规则已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。 排查本地数据中心应用的访问控制策略。确保访问控制策略已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。 如果本地数据中心侧有业务策略、域名解析等配置建议一并排查。确保本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号已放行。 如何解决VPN连接无法建立连接的问题？ 1. 检查云上VPN连接中的IKE策略和IPsec策略是否与远端配置一致。 如果第一阶段IKE策略未建立，常见原因为云上IKE策略与数据中心远端的配置不一致。 如果第一阶段IKE策略已经建立，第二阶段的IPsec策略未开启，常见原因为云上IPsec策略与数据中心远端的配置不一致。 2. 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，则您在数据中心或局域网中配置的ACL，应匹配数据中心子网和VPC内子网一一对应的通信规则，如下所示： rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 3. 配置完成后检查IPsec VPN是否可以连接，ping测试两端内网是否正常通信。

本章节主要介绍安装配置物理机监控agent。 操作场景 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。本章节指导您如何为物理机服务器安装及配置Agent插件。 前提条件 物理机服务器可以正常使用。 物理机服务器内DNS Server正常工作，配置方法请参考内网DNS与安全组配置。 操作步骤 1. 添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2. 修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3. 配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此第三步请参见内网DNS与安全组配置。 4. 下载telescope安装包，访问地址参考云监控服务安装Agent（Linux）。 5. 安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装配置云监控服务安装Agent（Linux）。 6. 配置Agent，使用root账号，登录物理机。 7. 执行以下命令，切换至Agent安装路径的bin下。 cd /usr/local/telescope/bin 8. 修改配置文件conf.json。 a. 执行以下命令，打开配置文件conf.json。 vi conf.json b. 修改文件中的参数，具体参数请参见下表。 { "InstanceId":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "ProjectId": "b5b92ee0xxxxxxxxxxxxxxxxcab92396", "AccessKey": "QZ0XGJXFxxxxxxxxT65R", "SecretKey": "lEv2aXAGwxxxxxxxxxxxxxxxxxxxxF8t0Bf18Tn2", "RegionId": "cnhz1" } 公共配置参数 参数 说明 :: InstanceId 物理机ID，可通过登录管理控制台，在物理机列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，请参考下两条。 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的物理机资源ID一致，否则云监控界面将看不到对应物理机资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看物理机资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证>管理访问秘钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 注意 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 >管理访问秘钥”列表中，否则将鉴权失败，云监控界面看不到操作系统监控数据 RegionId 区域ID，例如：物理机资源所属区域为“杭州”，则RegionID为“cnhz1”。 9. 修改云监控指标采集模块的配置文件confces.json。 a. 执行以下命令，打开公共配置文件confces.json。 vi confces.json b. 修改文件中的参数，具体参数请参见下表。 { "Endpoint": " } 指标采集模块参数配置 参数 说明 :: Endpoint 物理机资源所属区域的云监控Endpoint URL，例如：物理机资源所属区域为“杭州”，则URL中使用“ces.cnhz1.ctyun.cn”。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 10. 管理Agent ，查看Agent状态。 11. 登录天翼云物理机服务器，执行以下命令，查看Agent状态。 service telescoped status 当系统返回以下内容，则表示Agent为正常运行状态。 "Telescope process is running well." 启动Agent 执行以下命令，启动Agent。 /usr/local/telescope/telescoped start 重启Agent 执行以下命令，重启Agent。 /usr/local/telescope/telescoped restart 停止Agent 执行以下命令，停止Agent。 service telescoped stop 说明 如果Telescope安装失败，可能会导致无法正常停止Agent，可通过执行以下命令进一步尝试： /usr/local/telescope/telescoped stop 卸载Agent 用户可手动卸载Agent插件，卸载后将不再监控BMS实例监控数据。如需再次使用，请参考安装Agent重新安装。 执行以下命令，即可卸载Agent。 /usr/local/telescope/uninstall.sh 12. 查看监控指标 以上配置完成后，进入控制台界面，选择“管理与部署 > 云监控”，在左侧导航栏选择“主机监控 > 物理机”，列表展示该物理机的名称/ID、主机状态、插件状态等信息。