本节介绍了监控节点的用户指南。 监控节点 云容器引擎集群集成了Prometheus监控服务，可查看对应节点实例的基本监控信息。本文介绍如何查看Kubernetes集群下节点的监控信息。 操作步骤 登录云容器引擎控制台在左侧导航栏选择 集群 。 在集群列表 页面，单击目标集群名称，然后在左侧导航栏，选择 节点管理 > 节点 。 在节点 页面，单击目标节点右侧左操作 列的 监控 。

操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在虚拟私有云列表，找到您要修改扩展网段的VPC，点击“编辑网段”，在编辑网段页面，根据您的业务需求编辑扩展网段。

本文向您介绍息壤智算集群解锁节点,帮助您了解息壤智算集群的基本情况。 在指定息壤智算集群详情中，解锁集群中的节点，将节点重新置为可接受新调度任务的状态。 使用前提 节点已绑定集群，状态为“已绑定锁定” 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。选择具体集群进入集群详情页。 2. 在具体状态为“已绑定锁定”的节点操作栏点击【解锁】。

本节介绍了云硬盘续费的流程。 对于包周期的云硬盘，在到期之后，可以进行续费操作。 1、登录天翼云控制中心； 2、在系统首页，单击【存储 > 云硬盘】； 3、在【云硬盘列表】界面，选择需要续订的云硬盘单击“续费”； 4、进入【手动续订】页面，选择续订周期，点击确认提交，续订成功。。

本节介绍了云硬盘退订的流程。 1、登录控制中心； 2、在系统首页，单击【存储> 云硬盘】； 3、在【云硬盘列表】界面，在操作一栏单击“退订”； 4、在退订申请页面，确认退订信息，选择退订原因，点击【退订】按钮，完成退订。

本章节主要介绍翼MR Manager的配置同步历史特性。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，点击菜单“运维与配置 > 配置同步历史”，进入配置同步历史页面。如图所示： 说明 1. 页面上方为查询区域。 2. 展示所有配置同步操作的历史、配置同步操作人，以及配置同步详情。

本章节主要介绍如何进行运维历史数据的展示设置。 操作场景 设置运维历史展示的最长时间范围、最大数量。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 运维历史”。点击“数据展示设置”按钮，打开“数据显示设置”弹窗。 5. 可设置展示的最长时间范围、最大数量，如图所示：

本章节主要介绍翼MR Manager的查看主机告警历史的操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“主机”，进入主机列表页面。 5. 单击指定主机的主机IP或主机名称进入到主机详情页面。 6. 单击“告警历史”tab，即可查看该主机的所有告警信息。如图所示：

本节介绍了如何查看云数据库GaussDB 的参数模板应用记录。 操作场景 参数模板编辑修改后，您可根据业务需要将其应用到对应实例中，云数据库GaussDB 支持查看参数模板所应用到实例的记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“参数模板管理”页面，“系统默认”页签或“自定义”页签，选择目标参数模板，单击操作列的“应用记录”，查看应用记录。 步骤 3 您可查看参数模板所应用到的实例名称/ID、应用状态、应用时间、失败原因。

介绍分布式消息服务Kafka修改用户的功能操作内容。 场景描述 当前主要支持重置用户密码：当用户忘记密码或需要更改密码时，可以通过修改用户密码来实现。这有助于保护用户账户的安全性，防止未经授权的访问和操作。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击“修改”。 （5）点击“修改”后，在弹窗中可以修改密码和对应描述。

本页对天翼云TeleDB数据库的安装进行简单介绍。 为方便特定需求的快速部署，TelePG从1.5.3版本开始支持独立部署功能，该功能支持最小化部署PG，不依赖PaaS平台。 独立部署模式将登录、用户、租户、菜单、权限等功能（与PaaS类似）集于同一平台，所以独立部署模式需要全新部署，不可从1.5.3或以下版本升级过来。一旦部署独立部署模式后，生成的相关实例数据也需要在该模式下运行，不可切换至依赖PaaS的模式。

本节主要介绍查看迁移日志 迁移日志记录了数据迁移过程中的信息，包含告警、错误和提示等类型的信息。迁移过程中，可以通过查看迁移日志信息，帮助您分析系统中存在的问题。 前提条件 已登录数据复制服务控制台。 已成功创建迁移任务。 操作步骤 步骤 1 在“实时迁移管理”界面，选中指定迁移任务，单击任务名称。 步骤 2 在“迁移日志”页签，查看当前迁移任务的日志，可以根据“级别”筛选查看内容。 您可查看到日志对应的时间，级别和描述。

本文主要介绍如何查看私网NAT网关 操作场景 私网NAT网关创建后，可以查看已经创建的私网NAT网关的详情。 前提条件 私网NAT网关创建成功。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在私网NAT网关页面，单击需要查看详情的私网NAT网关名称。 系统跳转至目标私网NAT网关详情页面，即可查看目标私网NAT网关的详情。

关闭SSL加密 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在““基本信息”页面，在“SSL”处单击 。 步骤 6 在弹出框中，单击“确定”，关闭SSL加密。 步骤 7 稍后可在“基本信息”页面，查看到SSL已关闭。 结束

本章节向您主要介绍如何查看已创建的VPN连接。 操作场景 用户申请VPN连接后，可以查看已创建的VPN连接。 操作步骤 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在系统首页，单击“网络 > 虚拟专用网络”。 4. 在左侧导航栏选择“虚拟专用网络> VPN连接”。 5. 在“VPN连接”页面的VPN列表中，查看VPN连接信息，也可以在VPN连接所在行，单击“操作”列的“策略详情”，查看该VPN连接对应的IKE策略和IPsec策略详情。

本文主要介绍了消息管理页面的功能和使用。 当前支持的消息接收方式包括：邮箱、短信。用户可以开启或关闭消息接收。 操作步骤 1、登录消息中心。 2、点击消息中心左侧导航，选择“消息管理“ 3、配置消息接收方式。 勾选邮箱、短信，可以选择该类消息的接收方式。 点击修改，可以选择该类消息的接收人。 勾选多个消息类型，可进行批量添加或删除消息接收人。

产品功能 功能介绍 功能描述 基础版 企业版 旗舰版 资产清点 资产清点 自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 X √ √ 风险发现 安全补丁 对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 X √ √ 风险发现 漏洞检测() 精准本地分析漏洞，包含精准 POC探测和版本漏洞探测；支持 CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 √ √ √ 风险发现 弱密码检查 弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 √ √ √ 风险发现 应用风险() 检测Linux关键攻击路径上常用应用的配置型风险。 X X √ 风险发现 系统风险() 检测Linux上由于系统配置的产生的安全风险。 X X √ 风险发现 账号风险() 检测Linux系统中的由于账号的配置产生的安全风险。 X X √ 入侵检测 暴力破解 实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力。 √ √ √ 入侵检测 异常登录 实时异常登录监控，发现异常IP、区域、时间等的异常登录。 √ √ √ 入侵检测 反弹shell 实时监控主机上反向连接的行为，并提供详细的攻击记录。 X √ √ 入侵检测 后门检测 精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 √ √ √ 入侵检测 本地提权() 支持实时进程提权监测，支持进程提权过程详细记录。 X √ √ 入侵检测 Web后门 多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 √ √ √ 入侵检测 可疑操作() 实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则。 X √ √ 入侵检测 Web命令执行 能够发现Web RCE和进程异常的执行事件。 X √ √ 病毒查杀 病毒查杀 结合多个病毒检测引擎，能够实时准确地发现主机上的病毒进程，并提供多⻆度分析结果，以及相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。 X √ √ 合规基线 系统基线 对各版本的Linux系统、Windows 系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 X √ √ 合规基线 应用基线 支持对常用应用的等保、CIS基线的检测。 √ √ √ 合规基线 数据库基线 支持对主流数据库的等保、CIS基线的检测。 √ √ √ 合规基线 自定义基线 支持自定义基线，对于不同的检查基准，灵活制定不同检查强度的标准。 X √ √ 快速任务 快速任务 提供一些特定的安全任务，方便用户在日常安全工作中快速执行。 X X √ 其他功能 主机管理 提供对所有安全服务器的管理功能，可设置主机分组，标签，运维管理信息，方便用户管理主机。 √ √ √ 其他功能 报表系统 提供各类实用美观的安全报表，供汇报时使用，可支持Html，Word格式。 X X √ 其他功能 通知系统 可灵活配置接收的通知类型、通知方式及通知人。 √ √ √

插件简介 storagedriver插件是用于对接块存储、极速文件存储等Iaas存储服务的FlexVolume驱动。 storagedriver是一款云存储驱动插件，北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口，提供容器使用云硬盘、极速文件存储等IAAS存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件，kubernetes 1.13 及以下版本的集群在创建时默认安装。 说明： v1.15.11r1是Flexvolume fuxi（即storagedriver）和CSI（即Everest（系统资源插件，必装）插件）兼容接管的过渡版本，在v1.17集群中已经去除了对Flexvolume fuxi的支持，请您将Flexvolume fuxi的使用切换CSI Everest上。 CSI Everest兼容接管Flexvolume fuxi后，原有功能保持不变，但请注意不要新建fuxi Flexvolume的存储，否则将导致部分存储功能异常。 当存储功能有升级或者BUG修复时，用户无需升级集群或新建集群来升级存储功能，仅需安装或升级storagedriver插件。 约束与限制 本插件仅支持在v1.13 及以下版本的集群中安装，v1.15及以上版本集群创建时默认必装Everest（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 在云容器引擎CCE中，kubernetes 1.11及以上版本的新建集群，将会默认安装storagedriver插件。 未安装storagedriver插件的集群，可参考如下步骤进行安装： 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件市场”页签下，单击storagedriver插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级storagedriver插件时，会替换原先节点上的旧版本的storagedriver插件，安装最新版本的storagedriver插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“升级”即可升级storagedriver插件。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

“日审总览”页面呈现统计周期内当前工作空间中整体日志审计状况。 查看日审总览 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 日审总览”，进入日审总览页面。 5. 在日审总览页面查看整体日志审计状况，具体展示信息如下： 参数模块 参数说明 统计周期 日志审计的统计周期，可以在右上角设置显示周期。可以选择周期范围： 昨天 上一周 上一月 自定义：自定义日志审计报告的开始日期和结束日期。 日志存储 展示统计周期内日志总览和日志流速情况，包含以下信息： 总览 日志源数及其较上期变化 当前日志存储量及其较上期变化 日志记录总条数及其较上期变化 日志流速 日志平均每秒流入速率 日志平均每秒流入吞吐 日志平均日记录数 日志平均日存储量 日志记录数变化趋势 日志源接入流量TOP5 日志源接入数量分布TOP5 主机安全审计 统计周期内，HSS的安全日志和告警日志审计情况，包含以下信息： 活跃主机数及其较上期变化 主机登录源IP数及其较上期变化 主机告警次数及其较上期变化 活跃主机Top5 主机登录源IP分布 Top5 主机告警源IP分布 Top5 主机告警类型Top5分布 主机稀有告警类型Top5分布 公网网络审计 统计周期内，NDR的攻击日志和流量日志、DDoS的攻击日志审计情况，包含以下信息： NDR审计 公网来访流量（源IP） Top5 访问公网流量（源IP） Top5 公网来访范围（源IP） Top5 访问公网范围（源IP） Top5 网络攻击类型Top5 DDoS审计 DDoS攻击次数及其较上期变化 DDoS攻击源IP数及其较上期变化 DDoS攻击次数变化趋势 DDOS攻击来源IP Top5 应用访问审计 统计周期内，WAF的攻击日志和访问日志审计情况（核心审计对象为：应用、网络和域名），包含以下信息： 活跃域名数量及其较上期变化 WAF访问源IP数及其较上期变化 WAF攻击次数及其较上期变化 WAF拦截次数及其较上期变化 WAF访问源IP Top5 WAF攻击源IP Top5 WAF拦截源IP Top5 WAF攻击类型 Top5 活跃域名访问频次Top5 数据库访问审计 统计周期内，DBSS的告警日志审计情况（核心审计对象为：用户、数据库和操作），包含以下信息： 活跃数据库数及其较上期变化 数据库活跃用户数及其较上期变化 数据库告警源IP数及其较上期变化 SQL执行种类数及其较上期变化 活跃数据库IP Top5 数据库活跃用户Top5 SQL执行类型 Top5 数据库用户源IP数 Top5

本章节主要介绍如何运行Kafka作业。 用户可将自己开发的程序提交到MRS中，执行程序并获取结果。本章节教您在Kafka主题中产生和消费消息。 暂不支持通过界面提交Kafka作业，请通过后台功能来提交作业。 通过后台提交作业 先查询ZooKeeper和Kafka的实例地址，再运行Kafka作业。 查询实例地址（3.x版本） 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.请参考访问FusionInsight Manager（MRS 3.x及之后版本），跳转至FusionInsight Manager页面。然后选择“服务 > ZooKeeper > 实例”，查看ZooKeeper角色实例的IP地址。记录ZooKeeper角色实例中任意一个的IP地址即可。 4.选择“服务 > Kafka > 实例”，查看Kafka角色实例的IP地址。记录Kafka角色实例中任意一个的IP地址即可。 查询实例地址（3.x之前版本） a. 登录MRS管理控制台。 b. 选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 c. 在MRS集群详情页面，选择“组件管理 > ZooKeeper > 实例”，查看ZooKeeper角色实例的IP地址。记录ZooKeeper角色实例中任意一个的IP地址即可。 d. 选择“组件管理 > Kafka > 实例”，查看Kafka角色实例的IP地址。记录Kafka角色实例中任意一个的IP地址即可。 运行Kafka作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.在集群信息页面的“节点管理”页签中单击Master2节点名称，进入弹性云主机管理控制台。 2.单击页面右上角的“远程登录”。 3.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 4.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 5.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit MRS集群用户 例如, kinit admin 6.执行如下命令，创建kafka topic。 kafkatopics.sh create zookeeper ZooKeeper角色实例IP:2181/kafkapartitions 2 replicationfactor 2 topic 7.在topic test中产生消息。 首先执行命令kafkaconsoleproducer.sh brokerlist Kafka角色实例IP:9092 topic producer.config /opt/Bigdata/client/Kafka/kafka/config/producer.properties 。 然后输入指定的内容作为生产者产生的消息，输入完成后按回车发送消息。如果需要结束产生消息，使用“Ctrl + C”退出任务。 8.消费topic test中的消息。 kafkaconsoleconsumer.sh topic bootstrapserver Kafka角色实例IP:9092 consumer.config/opt/Bigdata/client/Kafka/kafka/config/consumer.properties 说明 如果集群开启Kerberos认证，则执行如上两个命令时请修改端口号9092为21007，详见

参数 描述 实例名称 实例名称可以重名。实例名称长度最小为4字符，最大为64个字符，如果名称包含中文，则不超过64字节（注意：一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 设置密码 现在设置（默认），如果您选择创建实例时设置，请填写账户对应的密码。 创建后设置，系统不会为您设置初始密码。 注意： 您在登录数据库前，需要先通过重置密码的方式设置密码，否则实例创建成功后，无法登录数据库。 实例创建成功后重置密码，请参见 管理员账户名 数据库的登录名称默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , 特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 如果您提供的密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 实例创建成功后重置密码，请参见 确认密码 必须和主密码相同。 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意： 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 安全组 控制网络出/入及端口的访问，默认添加了关系型数据库实例所属的安全组访问。 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果没有可选的安全组，关系型数据库服务默认为您分配安全组资源。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

本文简述如何配置源站信息。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 注意事项 一个加速域名最多配置60个源站。 配置说明 1.登录边缘安全加速控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置” 4.点击“添加源站”，输入源站地址，在“层级”下拉框中选择“主或备”，即可添加源站。 5.如需对已经添加的源站信息进行修改，可直接在配置项中进行修改。 6.也可以点击对应源站后面的“删除”键删除对应源站。

修改服务保护阈值 健康保护阈值为Nacos服务元数据中的一个属性，当该注册服务下的健康注册实例数 / 该注册服务下的总注册实例数的比值 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表。 5. 找到目标服务所在行，点击“查看”按钮，进入服务详情页面，进一步点击“保护阈值”旁边的编辑按钮，设置具体的值，有效范围0~1之间的小数； 删除服务 您可以在控制台服务管理服务列表页面删除服务，只有当服务中的实例数量为0时才允许删除。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，确认提供者数量为0，点击右侧删除按钮，弹出框点击确定，即可删除服务；

快速微调DeepSeek LLaMAFactory是一个开源项目，旨在为用户提供简便的方式来训练和部署大型语言模型（LLM）。这里，我们以蒸馏小模型DeepSeekR1DistillQwen7B模型为例，讲解如何在天翼云使用LLaMAFactory运行与微调 DeepSeek模型，读者可以根据自己实际需求选择模型和云主机配置。 步骤一：创建GPU云主机 1. 进入创建云主机页面。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“服务列表>弹性云主机”，进入主机列表页。 3. 单击“创建云主机”，进入弹性云主机创建页。 2. 进行基础配置 1. 根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 2. 选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型pi7"、"规格"为"pi7.4xlarge.4" 注意 本案例仅做微调流程演示，选择的机型规格仅支持7B模型的少量数据微调，如果您的数据量较大，请选择显存更高的机型规格。 3. 选择镜像。“镜像类型”选择“镜像市场”，在云镜像市场中选择预置了DeepSeekR1DistillQwen7B模型的DeepSeekLlamaFactoryUbuntu22.04镜像。 3. 网络及高级配置 设置网络，包括"网卡"、"安全组"，同时配备 "弹性IP" 用于下载和访问模型；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 注意 安全组需要放行22端口(用于ssh)和7860端口(用于访问web页面)。 4. 确认并支付

本页为其他云MySQL迁移到RDS for MySQL时如何创建VPC和安全组的介绍。 创建安全组 操作场景 您可以创建安全组并定义安全组中的规则，比如，将VPC中的划分成不同的安全域，以提升访问的安全性。建议您将不同公网访问策略的划分到不同的安全组。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在“安全组”界面，单击“创建安全组”。 5. 在“创建安全组”界面，根据界面提示配置参数。 6. 单击“确定”。 创建虚拟私有云VPC 操作步骤 1. 登录控制中心，在系统首页，单击【网络 > 虚拟私有云】。 2. 在【虚拟私有云列表】界面，单击【创建虚拟私有云】。 3. 在【申请虚拟私有云】页面，根据界面提示配置参数。 参数说明如下表： 4. 参数 说明 取值样例 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持的网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet001 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 开启IPv6 开启IPv6功能后，将自动为VPC分配IPv6网段，当VPC下所有子网均关闭IPv6后，才能关闭VPC的IPv6功能。 注：如果需要通过IPv6与公网互通，请购买IPv6带宽或共享带宽，并将需要通公网的IPv6地址绑定到IPv6带宽或共享带宽。 5. 单击【立即创建】。

进入弹性伸缩配置界面 弹性伸缩功能可以创建集群时，在高级配置参数中进行配置，也可以集群创建成功后通过管理控制台对集群内的Task节点组配置相关规则。 创建集群时配置弹性伸缩 1.登录MRS管理控制台。 2.在创建包含有Task类型节点组件的集群时，参考创建自定义集群配置集群软件配置和硬件配置信息后，在“高级配置”页签的弹性伸缩栏，打开对应Task节点类型后的开关按钮，即可进行弹性伸缩规则及资源计划的配置或修改。 您可以参考以下场景进行配置： 场景1：单独配置弹性伸缩规则 场景2：单独使用资源计划 场景3：弹性伸缩规则与资源计划叠加使用 为已有集群配置弹性伸缩 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称。进入集群详情页面。 3.在“节点管理”页签Task类型节点组的“操作”列单击“弹性伸缩”，即可进入“弹性伸缩”页面。 说明 弹性伸缩仅用于Task节点组，当集群内没有Task节点时，先单击“配置Task节点”增加Task节点后再继续配置。 对于MRS 3.x及之后版本，“配置Task节点”仅适用于分析集群、流试集群和混合集群。MRS 3.x及之后版本的自定义集群请参考 节点管理章节 扩容集群中的添加Task节点添加task类型的节点。 4.打开弹性伸缩开关按钮，即可进行弹性伸缩规则及资源计划的配置或修改。 您可以参考以下场景进行配置： 场景1：单独配置弹性伸缩规则 场景2：单独使用资源计划 场景3：弹性伸缩规则与资源计划叠加使用

开启应用防护 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 操作步骤 1、 登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护 > 防护设置”，进入“防护设置”页面。 4、单击“添加防护服务器”，在弹窗中选择需要防护的服务器和策略。 注意 防护策略可自定义创建，未创建选择默认策略即可。 选择目标服务器和策略 5、单击“添加并开启防护”，服务器防护流程创建成功。 6、回到“防护设置”页面，单击“微服务RASP防护”的状态，查看防护流程进度。 查看开启防护流程 7、在弹窗中查看防护的流程，等待安装软件流程自动执行安装过程，待进度条下方状态为“软件安装已完成”表示自动安装完成。 软件安装完成 8、登录主机，进入spring boot的启动路径，复制“配置启动参数”流程中微服务启动脚本粘贴到命令框，执行操作如图所示操作。 配置启动参数 9、启动参数配置完成后，执行流程第三步：重启微服务，重启微服务RASP后才能正常进行检测防护。 10、重启后在“防护设置”页面查看目标服务器“微服务防护状态”为“已生效”表示目标服务器已正常开启微服务RASP防护。

导入检查项 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查项”页签，进入检查项管理页面。 5. 在下方检查项列表左上角，单击的“导入”。 6. 在弹出的对话框中单击“下载模板”，根据模板填写检查项信息。 7. 填写完成后，在弹出的对话框中单击“添加文件”，上传已填写的信息表格。 说明 支持导入.xlsx格式的文件。 一次仅支持导入一个文件，且单次导入数据条不超过100条。 8. 上传完成后，单击“导入”。 9. 导入完成后，在检查项页面可查看已导入的检查项信息，可通过检查项名称过滤筛选。 导出检查项 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查项”页签，进入检查项管理页面。 5. 在检查项列表中勾选需要导出的检查项，并单击检查项列表左上角的“导出”。 6. 在弹出的对话框中，选择导出格式并自定义勾选需要导出的列。 7. 单击“导出”。

在镜像详情中添加授权 在镜像详情中为IAM用户添加授权，授权完成后，该帐号下IAM用户享有读取/编辑/管理该镜像的权限。 步骤 1 登录容器镜像服务控制台。 步骤 2 在左侧导航栏选择“我的镜像”，单击右侧待编辑镜像的名称。 步骤 3 在镜像详情页面选择“权限管理”页签。 步骤 4 单击“添加授权”，选择IAM用户名称，添加“读取/编辑/管理”的权限，添加后，该IAM用户享有对应权限。 图 在镜像详情中添加授权 在镜像详情中修改/删除授权 您还可以在镜像详情中修改用户权限及删除用户权限。 修改授权：在“权限管理”页签下用户所在行单击“修改”，在“权限”所在列选择新的权限，然后单击“保存”。 图12 在镜像详情中修改授权 删除授权：在“权限管理”页签下用户所在行单击“删除”。在弹出的对话框中根据提示输入“DELETE”，然后单击“确定”。 图在镜像详情中删除授权 在组织中添加授权 IAM用户创建后，需要管理员在组织中为用户添加授权，使IAM用户对组织内所有镜像享有读取/编辑/管理的权限。 只有具备“管理”权限的帐号和IAM用户才能添加授权。 步骤 1 登录容器镜像服务控制台。 步骤 2 在左侧菜单栏选择“组织管理”，单击右侧组织名称后的“详情”。 步骤 3 在“用户”页签下单击“添加授权”，在弹出的窗口中为IAM用户选择权限，然后单击“确定”。 图 在组织中添加授权

前提条件 已通过管理控制台扩容云硬盘容量，并已挂载至云主机，请参见扩容“正在使用”状态的云硬盘容量或者扩容“可用”状态的云硬盘容量。 已登录云主机。 系统盘（将扩容部分的容量增加到C盘） 系统盘原有容量为50GB，通过管理控制台将系统盘扩容22GB后，登录云主机将22GB新增容量增加到C盘中。操作完成后，C盘有72GB的空间可用作系统盘。 步骤 1 在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 步骤 2 在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面，如下图所示。 图 磁盘管理（系统盘） 说明 若此时无法看到扩容部分的容量，请选中“磁盘管理”，右键单击“刷新”后即可。 步骤 3 在“磁盘管理”界面，选择需要扩大分区的磁盘，磁盘显示扩容前的容量大小。 步骤 4 在所选磁盘上右键单击，选择“扩展卷”，如下图所示。 图 选择扩展卷 步骤 5 在弹出的“扩展卷向导”界面中选择“下一步”，如下图所示。 图 扩展卷向导 步骤 6 在弹出的“扩展卷向导”界面中的“选择空间量(MB)(E)：”行中输入需要扩容的磁盘容量，单击“下一步”，如下图所示。 图 选择空间量 步骤 7 单击“完成”，关闭向导。 扩容成功后显示磁盘的容量将大于扩容前磁盘的容量，如下图所示。 图 扩容成功