本节介绍了空间分析的相关内容。 操作场景 GaussDB支持查看实例组件的数据盘使用量、数据盘使用率、xlog大小和数据库表的数据。 约束限制 GaussDB实例的数据库引擎版本需要大于等于V2.03.208.0。 注意事项 全部库表只支持单库查询。 系统用户所属的表不会被统计。 至少拥有一张表的Schema才会被统计。 形态变更、分片扩容过程中涉及数据迁移与重分布，建议待操作结束后再使用该功能。 预计可用天数值为预估值，实际使用天数由业务实际使用情况决定。 查看实例空间概况 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > 空间分析”，进入“空间分析”页面。 步骤 6 在“实例数据盘空间概况”模块可以查看实例数据盘空间的使用情况。 表 指标说明 指标名称 指标说明 使用量 / 总量 该指标用于统计测量对象的节点的数据磁盘已使用量和总量。 空间使用日均增长量 该值计算方式为：实例近7天的磁盘使用量差值 / 7。 预计可用天数 该值为预估值，实际使用天数由业务实际使用情况决定。该值计算方式为：(实例磁盘总量 实例磁盘使用量）/ 空间使用日均增长量。 步骤 7 选择实例组件、节点和时间，查看对应组件、节点的指标数据。 表 指标说明 指标名称 指标说明 数据盘使用量 该指标用于统计测量对象的节点的数据磁盘使用值，该值为实时值。 数据盘使用率 该指标用于统计测量对象的节点的数据磁盘使用率，该值为实时值。 xlog大小 该指标用于统计CN和DN数据目录下xlog大小，该值为实时值。 结束

用于上架企业常用软件,形成企业的软件仓库,员工通过客户端即可自行下载企业软件。 背景说明 管理员在软件仓库上架企业内常用软件，员工即可在客户端软件仓库自行下载，实现软件高效管理与便捷使用。 注意 客户端版本：支持Windows客户端，需为2.26.10及以上客户端。 套餐版本：已订购终端管理基础版以上套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件仓库】，查看软件仓库相关内容。 3. 可根据业务需求进行相关配置。 预定义软件库 内置多种类型的软件库，方便管理员直接上架互联网常见软件。 上架软件：此软件对范围内用户或设备可见。 下架软件：此软件不再对任何用户或设备可见。 自定义软件库 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 软件来源 （1）文件上传 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 （2）在线链接 输入安装包下载链接，而非下载页地址。 软件版本号 参考格式1.1.1，版本号用于软件更新，请准确填写。 上架此版本 默认关闭，即所有员工对此软件不可见。 可以开启，即范围内员工对此软件可见。 运行环境 上架时，仅上架至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 通过名称校验：请输入准确的软件名称，否则无法判断软件是否安装成功。 通过发布者校验：请输入软件的发布者信息，以辅助验证安装结果。

本节主要介绍为企业项目迁入资源 当资源需要按照企业业务进行分组管理或当资源分组发生变化时，可以对资源进行迁入或迁出操作，实现资源管理权限的重新分配。 企业项目管理支持跨资源节点将资源迁入到同一企业项目授权管理。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”，在企业管理控制台左侧导航菜单中，单击“项目管理”。 步骤 3 在企业项目管理页中的项目列表，单击企业项目名称，在企业项目详情页中，单击“资源”页签。 步骤 4 在“资源”页签，单击“迁入”，弹出迁入资源对话框。 系统显示“迁入资源”页面。 步骤 5 选择“迁入方式”。 单资源迁入：将每个资源作为独立资源迁入，并且可以同时迁入多个资源。 如果是除ECS外的其他资源时，那么必须选择此项。 如果资源是ECS，可以选择此项，表示只迁入ECS，不迁入ECS的关联资源，例如该ECS绑定的云硬盘和弹性IP。 ECS关联迁入：只需选择ECS资源，其关联的资源将自动同时迁入。 仅当资源是ECS，才可以选择此项，目前仅支持ECS及其关联资源云硬盘、弹性IP同时迁入。 步骤 6 在资源列表上方的筛选框中对“服务”、“区域”和“企业项目”进行筛选，或者在搜索框中直接输入资源名称进行精确搜索。 步骤 7 单击列表中资源类型列的，对“资源类型”进行筛选。 下方展示符合条件的资源。 迁入方式为“ECS关联迁入”时，不支持对“服务”和“资源类型”进行筛选。 步骤 8 勾选待迁入资源，单击“确定”。 资源迁入完成，在当前企业项目的资源列表中即可查看迁入的资源。

本文向您介绍,如何自定义安全能力响应的拦截页面。 功能介绍 目前触发安全能力中拦截策略会给请求响应默认的拦截页面。若用户有自定义拦截页面的需求，可以通过本节功能进行配置。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买高级版及以上版本，请参见安全与加速服务版本差异比对。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】【Web应用防火墙】【Bot防护】菜单，并在左侧域名列表选择您要配置拦截页面的域名。 3. 点击右上角【自定义拦截页面】，即可进行配置。 注意 配置中或已停用的域名不支持变更配置。 配置说明 添加自定义拦截页面 每个域名最多支持设置5条自定义拦截页面。 配置项 配置项说明 功能开关 自定义拦截页面的功能开关。开启后当前域名将按照您配置的拦截页面做响应，若关闭则响应默认的拦截页面。 页面名称 配置拦截页面的名称，相同域名下的拦截页面名称不可重复。 关联防护功能 即自定义拦截页面需要与哪些防护功能进行关联。 请求命中所选的防护功能时，将返回自定义拦截页面。目前仅部分防护策略支持配置自定义拦截页面，详见控制台。 响应码 支持自定义响应码，响应码支持填写200600之间的正整数。 页面类型 支持HTML、JSON与自定义 contenttype头部值 当页面类型选择【自定义】时，需要自定义填写contenttype头部值 页面响应内容 配置页面响应内容，您可以参考页面提供的示例进行配置。 目前有9类标签暂时限制输入，分别如下： a href、img src、script、iframe、frameset、embed、object、applet、layer

本章节介绍离群摘除功能的使用 概述 在微服务场景中，当服务提供者的实例出现异常时，服务消费者无法感知到提供者出现异常，此时就可能出现异常调用。通过配置离群摘除功能可以实时监测下游实例的可用性，摘除异常实例，提升业务的可用性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 Dubbo 2.5.3+ 支持Apache Dubbo 不支持Alibaba Dubbo Jdk版本 1.8+ 开通离群摘除 1. 登录微服务治理中心控制台。 2. 在左侧导航栏选择 微服务治理中心 >应用治理。 3. 在应用治理页面单击目标应用卡片。 4. 在应用页面左侧导航栏选择流量治理 离群实例摘除，可查看离群实例摘除规则列表。 4. 在创建离群实例摘除页面配置相关参数，并单击确认。 离群摘除规则参数说明： 参数 说明 策略名称 离群摘除规则的名称。 被调用服务所用框架 Spring Cloud或Dubbo。 选择生效应用 选择生效应用后，该应用调用的异常应用实例会被摘除。 错误率下限 被调用的应用中某个应用实例的错误率高于设置的域值后，将摘除该实例。 默认值为50%。例如该实例在统计时间窗口内被调用10次，有6次调用失败，错误率为60%，超过了配置的错误率域值（50%），则从应用中移除该实例。 异常类型 目前只支持网络异常+业务异常（HTTP 5xx）。 QPS下限 QPS按照统计时间窗口进行计算，默认为10秒。 摘除实例比例上限 摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。 恢复检测单位时间 摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。 未恢复累计次数上限 持续对异常实例进行检测，检测间隔随检测次数按恢复检测单位时间线性增加，当达到设置的检测次数上限后，会按最长时间间隔持续检测异常实例是否恢复。 默认状态 默认是否开启离群摘除规则。

本节介绍了云容器引擎的最佳实践:部署多个Nginx Ingress Controller。 背景信息 Nginx Ingress Controller因其开源特性和广泛应用而受到业界的青睐。在处理大型集群环境时，用户往往希望在同一集群内部署多个Nginx Ingress Controller实例，以便对不同流量进行有效管理。例如，某些服务可能需要通过公共网络对外提供服务，而另一些服务则仅供内部使用，不允许通过互联网访问。为了适应这种需求，可以通过设置两组独立的Nginx Ingress Controller，并分别与不同的ELB实例绑定，从而实现流量的精确控制和隔离。这种方法不仅提升了服务的安全性，还增强了流量管理的灵活性。 前提条件 已创建Kubernetes集群 已创建ELB实例，具体操作请参考创建负载均衡 部署新的Nginx Ingress Controller 在开通Kubernetes集群的时候，您可以选择为集群安装Ingress Controller组件，并为Ingress Controller绑定公网ELB实例。您可以通过以下步骤在Kubernetes集群再部署一套完全独立的Nginx Ingress Controller服务。 1. 获取Nginx Ingress Controller模板包 前往社区模板发布页面，选择合适版本的HelmChart包并下载，本文以ingressnginx4.7.5.tgz为例。 2. 上传模板包 登录云容器引擎控制台，进入“模板市场”，点击“我的模板”>“上传模板”。然后选择命名空间，点击“上传文件”，选择要上传的模板包，点击提交。 3. 发布模板实例 上传完模板包之后，在“我的模板”中选择刚上传的模板（ingressnginx），然后选择版本（4.7.5），然后点击发布。 填写“实例名称”，选择“集群名称”和“命名空间”。 在发布yaml文本中导入以下配置，根据说明填写相关参数（参数说明见下表“YAML参数说明”），其他未指定的参数会使用默认配置。 plaintext controller: image: registry: "registryvpccrsxxx.cnspinternal.ctyun.cn"

创建接入集群，获取接入命令 1、在分布式容器云平台控制台左侧导航栏中选择【分布式容器云】>【接入集群】，进入接入集群列表页。 2、点击【创建接入集群】，在弹窗中填写待接入集群的相关信息。 3、点击【确定】提交创建请求。 4、提交后，即可在列表中查看该接入集群，集群状态为"等待接入中"，还需要在待接入的集群中执行接入命令。 在待接入集群中执行接入命令 1、在分布式容器云平台控制台左侧导航栏中选择【分布式容器云】>【接入集群】，进入接入集群详情页。 2、选择指定管控实例，点击接入集群名称进入接入集群详情页。 3、点击左侧【集群接入】子菜单，查看集群接入命令并复制，对于待接入集群类型为本地IDC或第三方云厂商集群，请复制公网接入命令。 4、使用putty，xshell或webconsole等命令行工具登录至待接入集群的master节点，确保集群中已存在打上了"ccseonenodetype""edge"标签的x86节点。 粘贴上述复制的接入命令，回车执行接入命令。 5、等待相关容器启动完成，可通过执行kubectl logs f n kubesystem ccseoneclusterinstallerXXXXXXXXXXXX查看接入进度。 接入过程一般约为3~5分钟。 接入集群状态变为"就绪"时，说明该集群已经被成功接入CCSE ONE管控实例中。

蓝绿发布原理 以Deployment为例，假设在集群中已经部署了两个不同版本的Deployment，这些Pod都拥有一些共同的标签，但其中有一个标签的值是不同的，这个值用于区分它们的版本。Service在选择后端Pod时，会依据这些标签。如果想要更改Service后端对应的Pod，即实现服务从一个版本切换到另一个版本，我们只需修改Service的selector中那个用于区分版本的标签的值。这样，Service就会自动将流量转发到新版本的Pod上，从而实现了版本的平滑切换。示意图如下： 示例说明 前提条件 已上传测试镜像至容器镜像服务，镜像包含v1和v2两个版本。 资源创建方式 本文提供以下两种方式使用YAML部署Deployment和Service： 方式1：在无状态工作负载页面，单击上方的“新增YAML”，再将本文示例的YAML文件内容输入编辑窗中。 方式2：将本文的示例YAML保存为文件，再使用kubectl指定YAML文件进行创建。例如：kubectl create f xxx.yaml。 步骤1：部署两个版本的服务 在集群中部署两个版本的服务。 1、创建第一个版本的Deployment，名称以appv1为例。YAML示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: appv1 spec: replicas: 2 selector: matchLabels: app: myapp version: v1 template: metadata: labels: app: myapp version: v1 spec: containers: image: {repositoryurl}/myapp:v1 name: container resources: limits: cpu: 100m memory: 200Mi requests: cpu: 100m memory: 200Mi 2、创建第二个版本的Deployment，名称以appv2为例。YAML示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: appv2 spec: replicas: 2 selector: matchLabels: app: myapp version: v2 template: metadata: labels: app: myapp version: v2 spec: containers: image: {repositoryurl}/myapp:v2 name: container resources: limits: cpu: 100m memory: 200Mi requests: cpu: 100m memory: 200Mi 您可以登录云容器引擎控制台查看部署情况。

JWT 是一种轻量级的身份验证和鉴权机制，广泛应用于Web开发、API安全、单点登录等场景。服务网格支持配置JWT策略并应用到数据面实现请求身份认证，保护后端服务安全。 JWT策略配置说明 配置项 说明 安全策略名称 策略名称，如testjwt Issuer JWT的颁发者，如果请求带的JWT中的iss字段和此字段不一致，则该JWT会被拒绝 JWKS来源 用于验证JWT的密钥来源 jwks 用于验证JWT的密钥，当JWKS来源是jwks时填写 jwksUri 用于验证JWT的密钥URI，当JWKS来源是jwksUri时填写 Audience JWT颁发给的目标实体 JWTToken位置 获取JWT的位置，支持从请求头或者请求Query参数中获取 JWT透传 是否向后端透传JWT信息 将Payload通过Header透传 将JWT的Payload信息通过base64编码后添加到Header透传到后端 JWT策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关 请求匹配规则 对于JWT策略、OIDC策略和自定义授权服务策略，支持基于请求特征匹配决定是否执行当前策略，支持的匹配项及说明如下 匹配项 说明 HTTP域名(Host) 匹配一组请求的域名 HTTP路径(Path) 匹配一组请求路径 HTTP方法(Method) 匹配一组请求的HTTP Method 端口(Port) 匹配一组请求的目标服务端口 说明 域名和路径匹配支持以下匹配模式 1. 精确匹配：如abc匹配abc字符串 2. 前缀匹配：abc匹配abc、abcd、abce等 3. 后缀匹配：abc匹配abc、xabc、zabc等 4. 存在匹配：匹配所有非空值 请求匹配支持黑白名单模式 1. 黑名单模式：选中请求必须执行认证策略 2. 白名单模式：选中请求跳过认证策略，其他请求需要执行策略

本文帮助您了解对象存储查看资源包详情的相关步骤。 如果您已购买资源包，您可以在ZOS管理控制台上查看已购买资源包的使用详情。 查看方法 1.点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2.在管理控制台上方点击图标，选择所需的资源池节点。 3.在系统首页，选择“存储>对象存储”。 4.在ZOS管理控制台点击右上角“资源包管理”。 5.在资源包管理页面，可以根据存储容量包、公网流出流量包、请求次数包三个类别查看不同的资源包信息。由于计费订单是每小时产生的，所以用量和余量的数据更新的时间节点是前一小时账单出来后，非实时数据。 当前用量：展示当前二级分类下，已订购的所有资源包的累计抵扣量。 当前余量：展示当前二级分类下，已订购的所有资源包的剩余量之和。 本月将过期数量：展示当前二级分类下，从当前时间段到月底会过期的资源包数量。 本月将过期总量 ：展示当前二级分类下，从当前时间段到月底会过期的资源包的规格之和。 在每个资源包类型下，还可查看已购买资源包的详细信息，包括资源包类型、存储类型、资源包规格、剩余量、生效时间和到期时间，也可以进行续订或退订操作。 说明 当前余量是针对二级分类下已订购的所有资源包的剩余量累加后再四舍五入保留两位小数进行展示，而列表的剩余量是针对单条资源包剩余量四舍五入后进行展示，故列表展示的剩余量之和和二级分类下的当前余量的最后一位小数可能会有误差。 资源清空后，不再对存储容量包进行抵扣，存储容量包的当前用量和剩余量展示为最后一次抵扣后的数值。在上传资源后，会根据使用量进行刷新。

本实践介绍使用FIO工具测试云硬盘性能的方法。 实践概述 天翼云提供的云硬盘根据磁盘类型的不同拥有不同的性能和价格，详细信息请参见磁盘类型及性能介绍。 FIO 是对磁盘性能进行压力测试和验证的常用工具，本实践将使用FIO工具，介绍云硬盘性能测试的方法。 操作前准备 本节主要介绍在进行具体操作之前用户需要做的准备工作，包括测试前检查、工具安装和FIO参数介绍。 本文以 “CentOS Stream 8 64位” 操作系统为例，介绍使用 FIO 工具进行性能测试的相关操作。由于不同操作系统在系统配置、内核版本及工具支持方面可能存在差异，因此格式化或配置步骤可能有所不同。本文内容仅供参考，具体操作请以对应操作系统的官方产品文档为准，以确保测试过程的准确性与稳定性。 测试前检查 进行测试前，请首先完成云硬盘的挂载和初始化，操作请参考挂载云硬盘和初始化云硬盘。 注意 测试磁盘性能时，建议直接测试裸数据盘（如 /dev/vdb），但有可能会破坏磁盘上的文件系统结构，请在测试前提前做好数据备份。 强烈建议您不要将系统盘或者含有重要数据的数据盘作为测试对象。建议您在空白的数据盘上测试性能，避免造成数据丢失。 登录到测试云主机，执行以下命令，查询待测试的磁盘分区是否已经4KiB对齐。 plaintext sudo fdisk lu 若返回结果中待测试磁盘的Start值能被8整除即是4KiB对齐。下图中的回显表示该磁盘分区已4KiB对齐。 如Start值不能被8整除，则表示未4KiB对齐，那么请删除原有分区后再继续测试，重新按照4KiB对齐选择初始磁柱编号。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

通过控制台进行工作负载DNS配置 Kubernetes为应用提供了与DNS相关的配置选项，通过对应用进行DNS配置，能够在某些场景下有效地减少冗余的DNS查询，提升业务并发量。以下步骤以nginx应用为例，介绍如何通过控制台为工作负载添加DNS配置。 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 2 设置工作负载基本参数，详情请参见“创建无状态负载(Deployment)”。 步骤 3 在“高级配置”中，选择“DNS配置”页签，并按需填写以下参数。 DNS策略：控制台中提供的DNS策略与YAML中的dnsPolicy字段对应。 追加域名解析配置：即dnsPolicy字段设置为ClusterFirst，此时容器中既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。 替换域名解析配置：即dnsPolicy字段设置为None，此时必须填写“IP地址”和“搜索域”参数。容器将仅使用自定义的IP地址和搜索域配置进行域名解析。 继承Pod所在节点域名解析配置：即dnsPolicy字段设置为Default，此时容器将使用Pod所在节点的域名解析配置，无法解析集群内部域名。 可选对象：即dnsConfig字段中的options参数。每个对象可以具有name属性（必需）和value属性（可选），填写完成后需单击“确认添加”。 timeout：超时时间 (s)。 ndots：域名中必须出现的"."的个数。如果域名中的"."的个数不小于ndots，则该域名为一个全限定域名，操作系统会直接查询；如果域名中的"."的个数小于ndots，操作系统会在搜索域中进行查询。 IP地址：即dnsConfig字段中的nameservers参数，您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址。 搜索域：即dnsConfig字段中的searches参数，表示域名查询时的DNS搜索域列表，此属性是可选的。指定后，提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中，并删除重复的域名。 步骤 4 单击“创建工作负载”。

本页介绍天翼云TeleDB数据库实例运行快照。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择实例运行快照 页签。 2. 快照设置 1. 单击快照设置 ，弹出实例运行快照策略设置 对话框。 2. 在实例运行快照策略设置 对话框中，打开运行快照开启状态，输入快照开启时间和快照间隔时间，单击确定 完成设置。 3. 手动快照 单击手动快照 可立即执行快照。 4. 查询快照列表 可通过设置起始时间和结束时间，单击查询筛选已产生的快照列表。 5. 查看快照详情 单击对应快照记录的详情，可查看该快照的详细信息。 具体内容包括： 数据库状态：节点名称、IP、端口、角色、日志同步状态、运行状态。 数据库核心配置：synchronouscommit、maxpoolsize、autovaccum、maxconnection、workmem、walkeepsegments、vacuumdelta、sharedbuffers的参数值。 数据库连接分析：包括CN和DN的连接情况，如avgconn、avgconnactive、avgconnidle、avgconnlock等。 DataNode节点请求量统计：统计DN节点的增删改查请求量。 数据库检查点：节点的检查点情况，如checkpointstimed、checkpointsreq等。 存储情况分节点统计：节点的存储情况，如totalsize、totaltups。 慢查询TOP 50：慢查询的TOP 50情况。 错误日志情况：包括错误信息、级别。 buffer命中率分析：包括平均、最大和最小情况。 锁分析（最多展示等待时间最长50条）。 节点CPU/内存利用率概况：节点CPU/内存利用率。 死锁详情：最多展示最近的50条。 回滚详情：最多展示最近的50条。 二阶段残留事务详情：二阶段残留事务详细信息。 6. 快照对比 1. 单击对应快照记录的快照对比，弹出快照对比对话框。 2. 在快照对比对话框，选择要对比的快照，单击确定可查看快照对比信息。

功能介绍 对于某些行业客户，在大模型训练时会涉及到保密数据的处理问题，比如需要避免用户下载到本地造成数据泄漏。针对这一问题，平台推出了特色的数据保密功能，以应对用户下载或拷贝保密数据的行为。 平台主要从数据集限制+操作审计两方面进行限制： 数据集限制：保密数据相关的实现依赖平台数据集功能，将需要保密的数据集打上保密标签，对此数据集进行限制。 容器外，根据用户身份严格限制平台的数据操作权限； 容器内，创造断外网的沙箱环境防止下载到本地，并严格限制读写，任务执行者仅可写入到管理员可控的安全存储中。 云审计：将用户的所有命令操作记录到云审计，并对可能涉及拷贝的敏感操作进行标识，给到客户主管人审核确认。 前置条件 1. 存储准备：已在天翼云开通对象存储或HPFS，并在本平台完成委托授权。 2. 其他限制：您是管理员用户（包括主账号、IAM管理员、工作空间管理员）。 操作说明 1. 创建仅管理员可控的安全存储 保密数据集可工作的一个重要前提是限制写操作仅写入到保密输出路径中，这就要求输出路径是智算平台管理员完全可控的存储。 管理员（需有存储控制台相应权限）首先登录存储控制台，根据所使用的存储类型（ZOS或HPFS），创建保密数据集与保密输出路径。保密数据集是指您含有保密信息的数据集；保密输出路径是指当用户使用保密数据时，您指定的写入路径，建议您创建一个空文件夹专用于输出，并对不同的任务创建不同的输出路径。 注意：主账号天然是各产品的管理员，拥有所有权限。但对于子账号，在本平台拥有管理员权限不代表在存储控制台拥有管理员权限，子账号如需存储控制台权限，需要主账号进入IAM授予相应的权限。建议您只给信任的用户授予存储控制台的操作权限，否则可能造成数据泄漏等事故。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量全站加速流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

定位业务异常问题难度大、效率低,一直是应用性能监控的性能瓶颈。应用性能监控通过结合调用链路和日志分析,可以快速、准确地定位业务异常问题,提升微服务框架下的开发诊断效率。 背景信息 在使用调用链路和日志分析定位业务异常问题前，需要先了解Metrics、Tracing和Logging三个概念。Metrics：应用的关键性能指标，如应用提供服务请求量、应用提供服务平均响应时间、应用依赖服务请求量等。 Tracing：调用链路，应用的任何接口调用、请求响应等动作都会绑定到完整的链路。 Logging：业务日志，应用的任何接口调用、请求响应等动作都会输出完整的业务日志。 当应用出现业务异常问题时，应用指标统计图会出现明显波动，您可据此粗略地分析异常问题；通过完整的调用链路和业务日志分析，可以精准定位业务异常问题。 开启日志设置 开启日志设置的操作步骤如下： 1. 登录APM控制台，在左侧导航栏选择应用监控 > 应用列表。 2. 在应用列表页面单击目标应用名称。 3. 在导航栏中单击应用设置，并在右侧页面单击日志开启设置页签。 4. 在日志开启设置区域开启关联业务日志与TraceId，并设置日志项目、日志单元、日志规则，如下图所示。 从应用指标的角度排查业务异常问题 在左侧导航栏单击应用总览，在顶部选择概览，然后在右上角选择或自定义设置目标时间段。 概览页面展示目标应用的关键指标，如应用提供服务请求量、应用提供服务平均响应时间、应用依赖服务请求量等。 1. 在调用链路列表面板选择状态异常的调用链路记录。 2. 单击该调用链路记录TraceId列下的TraceId值。 3. 单击查看日志，即可查看日志并定位业务异常原因

本文主要介绍如何创建辅助弹性网卡。 操作场景 当云主机实例所需挂载的网卡超出弹性网卡的上限时，您可以参考本章节创建辅助弹性网卡，为云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 约束与限制 辅助弹性网卡与所属的弹性网卡必须在同一个虚拟私有云，可以属于不同子网以及安全组。 使用辅助弹性网卡时，您需要在云主机实例的网卡上创建VLAN子接口并配置对应规则。 创建辅助弹性网卡 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在页面右上角，单击“创建辅助弹性网卡”。 5. 配置辅助弹性网卡参数，如下表所示。 表 参数说明 参数 参数说明 取值样例 所属弹性网卡 辅助弹性网卡所挂载的弹性网卡。您可以通过下拉列表框选择支持挂载辅助弹性网卡的弹性网卡。 (172.16.0.145) 所属VPC 辅助弹性网卡归属的VPC，无需填写。 vpcA 所属子网 选择辅助弹性网卡归属的子网。 subnetA01 描述 辅助弹性网卡的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。 创建数量 待创建的辅助弹性网卡的数量，取值范围为1~20。 1 私有IP地址 选择是否为辅助弹性网卡分配私有IPv4地址，私有IP地址仅支持内网请求。当前版本不支持去勾选。 IPv4地址 选择私有IP地址的分配方式： 自动分配IP地址：系统自动分配IP地址。 手动指定IP地址：系统按指定的IP地址进行分配。若选择“手动指定IP地址”，则填写IPv4的私有IP地址。 自动分配IP地址 安全组 选择辅助弹性网卡所属安全组。 sg001 6. 单击“确定”，完成创建。 注意 辅助网卡创建完成后不能直接使用，您还需要配置辅助弹性网卡，在云主机实例的网卡上创建VLAN子接口并配置对应规则。

在快照页面创建标准快照 1. 登录管理控制台。 2. 单击页面左上角“”，选择“存储 > 云硬盘”。进入云硬盘页面。 3. 在左侧导航栏，选择“云硬盘 > 快照”。在“快照”页面，单击“创建快照”。根据界面提示，配置快照基本信息，如下表所示。 4. 参数 参数说明 取值样例 区域 选择区域后，会显示对应区域的云硬盘列表，供您创建快照时选择。 选择磁盘 在展示的云硬盘列表中选择需要创建快照的云硬盘。 快照名称 最大支持64个字符。 snapshot01Createdfromevstest 快照描述 最大支持255个字符。 快照类型 快照所属的类型。目前支持的快照类型为：标准快照。 标准快照 快照极速可用 启用快照极速可用功能后，支持使用创建中的快照立即回滚数据至原云硬盘或使用该快照创建新的云硬盘，且恢复数据/创建云硬盘的速度较快。更多信息请参见6.2.4 开启/关闭云硬盘快照极速可用功能。 开启 高级配置>标签 可选参数。 您可以在创建标准快照时为快照绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 标签由标签“键”和标签“值”组成。 键：标签的键可以包含任意语种字母、数字、空格和 . : + @，但首尾不能含有空格，不能以sys开头。最大长度不超过128个字符 值：标签的值可以包含任意语种字母、数字、空格和 . : / + @。最大长度不超过255个字符。 企业项目 创建快照时，可以为快照添加已有的企业项目或创建新的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 5. 单击“立即创建”。 6. 确认快照相关信息，并勾选需要知晓的信息。单击页面右下角的“提交”。 7. 返回“快照”主页面，在快照列表中可以查看快照的创建进度。当快照状态为“可用”时，表示创建成功。

HTTP触发器为函数提供了基于HTTP协议的访问方式，主要适用于web服务、API暴露等场景，同时也提供了丰富的配置以满足各种访问形式。 使用限制 根据相关规章制度，HTTP触发器的域名需要您提供，需要提前创建自定义域名，详情请查看配置自定义域名。 函数计算会基于您提供的自定义域名创建子域名作为函数访问端点URL，因此也需要您给子域名配置CNAME记录。 一个函数的一个版本或别名下，只能创建一个HTTP触发器。 通过内网URL访问函数时，需要提前创建VPCE，服务选择函数计算，操作详情请查看配置终端节点。 操作步骤 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的配置选项卡。 3. 在配置 选项卡中，选择左边的触发器选项卡。 4. 点击创建触发器 ，在弹出的右抽屉中选择HTTP触发器，配置参数解释如下表。 参数 操作 示例 触发器类型 选择HTTP触发器。 HTTP触发器 名称 填写自定义的触发器名称。 xxx 版本或别名 默认值为LATEST，支持选择任意函数版本或函数别名。 LATEST 请求方法 触发器支持的HTTP请求方法选择，可多选，不填则默认支持全部方法。 禁用公网访问URL 触发器是否启用公网访问的URL。 内网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于内网环境访问，需要提前创建VPCE。 公网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于公网环境访问。 认证方式 无需认证：请求没有认证限制，任何人都能访问。 JWT认证：请求启用JWT认证，访问时需要带上JWT TOKEN，函数网关会自动校验请求的合法性。

本文为您介绍如何使用IPsec VPN,在本地数据中心IDC与VPC之间建立IPsec连接。 场景示例 以下图组网场景为例，某公司在天翼云创建了VPC，子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24，本地网关设备的公网IP为121.XX.XX.113。公司因业务发展，需要将本地数据中心与云上VPC互通。您可以通过IPsec VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。 环境要求 本地数据中心的VPN网关设备必须配置公网IP地址。 本地数据中心的VPN网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和天翼云VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 使用流程 1. 创建VPN网关 创建VPN网关并开启IPsec VPN功能，一个VPN网关可以建立多条IPsec连接。 2. 创建用户网关 通过创建用户网关，您可以将本地数据中心VPN网关设备的信息注册到天翼云上。 3. 创建IPsec连接 IPsec连接是指VPN网关和本地数据中心VPN网关设备建立连接后的VPN隧道。只有在建立IPsec隧道后，本地数据中心才能使用VPN网关进行加密通信。 4. 配置VPN网关路由（可选）。 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 5. 配置本地网关设备 您需要在本地数据中心的网关设备中添加VPN配置。 6. 测试连通性 登录到天翼云VPC内一台弹性云主机实例，通过ping命令，ping本地数据中心内一台服务器的私网IP地址（未禁用ping探测），验证通信是否正常。

本文为您介绍华为路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cthuawei IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录华为路由器命令行。 2. 配置IKE安全提议。 ike proposal 10 sa duration 86400 authenticationalgorithm sha1 encryptionalgorithm aes128 dh group5 authenticationmethod preshare 3. 配置IKE对等体、预共享密钥和对端ID等信息。 ike peer ctyun presharedkey simple cthuawei ikeproposal 10 localaddress 123...23 remoteaddress 121...152 exchangemode main 4. 配置ACL，定义要保护的数据流。 acl 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 5. 配置IPsec安全提议。 ipsec proposal ctyun esp authenticationalgorithm sha1 esp encryptionalgorithm aes128 6. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp security acl 3402 ikepeer ctyun proposal ctyun 7. 在GigabitEthernet1/0/1接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0/1 ipsec policy ctyun 8. 配置静态路由。 ip routestatic 192.168.3.0 255.255.255.0 123...1 9. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

您可以登录函数计算控制台，在左侧导航栏选择函数 进入函数详情页，然后切换到监控>实例指标 页签，查看实例指标情况。 实例指标项如下表所示。 指标类型 指标名称 单位 描述 并发请求数 最大并发请求数（FunctionMaxConcurrentRequests） 个 函数实例中并发执行的请求个数。按1分钟或1小时粒度统计求最大值。 并发请求数 平均并发请求数（FunctionAvgConcurrentRequests） 个 函数实例中并发执行的请求个数。按1分钟或1小时粒度统计求平均值。 vCPU使用情况（实例级别指标） 最大vCPU（FunctionMaxvCPUCores） vCPU 函数实际使用的vCPU数，其中1代表1vCPU，按1分钟或1小时粒度统计多个实例求最大值。 vCPU使用情况（实例级别指标） 平均vCPU（FunctionAvgvCPUCores） vCPU 函数实际使用的vCPU数，其中1代表1vCPU，按1分钟或1小时粒度统计多个实例求平均值。 vCPU利用率（实例级别指标） 最大利用率（FunctionMaxvCPUUtilization） % 函数实际使用的vCPU核数占vCPU配额的比例。按1分钟或1小时粒度统计多个实例求最大值。 vCPU利用率（实例级别指标） 平均利用率（FunctionAvgvCPUUtilization） % 函数实际使用的vCPU核数占vCPU配额的比例。按1分钟或1小时粒度统计多个实例求平均值。 网络流量（实例级别指标） 入网流量（FunctionRXBytesPerSec） Mbps 函数单位时间的入网流量。 网络流量（实例级别指标） 出网流量（FunctionTXBytesPerSec） Mbps 函数单位时间的出网流量。 内存使用情况（实例级别指标） 最大使用内存（FunctionMaxMemoryUsageMB） MB 函数实例实际使用的内存。按1分钟或1小时粒度统计求最大值。 内存使用情况（实例级别指标） 平均使用内存（FunctionAvgMemoryUsageMB） MB 函数实例实际使用的内存。按1分钟或1小时粒度统计求平均值。 内存使用率（实例级别指标） 最大使用率（FunctionMaxMemoryUtilization） % 函数实例实际使用的内存占内存配额的比例。按1分钟或1小时粒度统计多个实例求最大值。 内存使用率（实例级别指标） 平均使用率（FunctionAvgMemoryUtilization） % 函数实例实际使用的内存占内存配额的比例。按1分钟或1小时粒度统计多个实例求平均值。

函数计算权限管理通过天翼云的访问控制IAM实现。使用访问控制IAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为IAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。 策略类型 在访问控制中，权限策略是用语法和结构描述的一组权限的集合，可以精确地描述被授权的Resource（资源集）、Action（操作集）以及授权条件。函数计算包含以下权限策略： 系统策略：统一由天翼云创建，您只能使用不能修改，策略的版本更新由天翼云维护。 自定义策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护。 系统策略 当您首次使用IAM用户登录函数计算控制台时，不仅需要通过天翼云账号给您的IAM用户添加访问函数计算的系统权限策略，也需要给IAM用户添加访问其他云服务的系统权限策略。成功授权后，您的IAM用户才可以正常访问函数计算服务及其他云产品服务。 系统策略包含以下类型： 权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。 自定义策略 除了函数计算默认提供的系统策略外，您也可以通过自定义策略进行更细粒度的权限管理。 Action Resource 描述 cf:inst:ListFunctions ctrn:cf:{region}:{uid}:functions/ 函数列表 cf:inst:GetFunction ctrn:cf:{region}:{uid}:functions/{functionName} 查询函数 cf:inst:CreateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 创建函数 cf:inst:DeleteFunction ctrn:cf:{region}:{uid}:functions/{functionName} 删除函数 cf:inst:UpdateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 更新函数 cf:inst:InvokeFunction ctrn:cf:{region}:{uid}:functions/{functionName} 调用函数 您可以通过以上自定义的权限策略设置具有调用华东1（杭州）地域下demo函数的权限，具体策略如下所示： json { "Version": "1", "Statement": [ { "Action": [ "fc:InvokeFunction" ], "Resource": "ctrn:cf:{region}:{uid}:functions/demo", "Effect": "Allow" } ] }

云原生网关触发器 云原生网关触发器能够让您网关的流量转向云工作流，能够支持更丰富的请求配置，如请求方法、请求头、请求参数等 前提条件 已创建工作流。 已创建云原生网关。 已创建函数计算服务的终端节点（VPCE）。 创建步骤请查看创建VPCE，其中”虚拟私有云“选择云原生网关所属的VPC，”服务“选择函数计算服务cn.ctyun.cnhuadong1.faas 函数计算服务在各资源池的名称（cn.ctyun.cnhuadong1.faas ）可能有差别，选择后缀为faas的即可，上述示例是在华东一资源池的名称 触发消息格式 通过云原生网关请求访问工作流时，仅会把请求中的body部分作为工作流的输入，数据类型必须为JSON格式。而header和queryparams等其余请求信息会被丢弃。 操作步骤 1. 登录工作流控制台，点击目标工作流，进入工作流详情详情。 2. 在配置选项卡中，选择左边的 工作流调度 选项卡。 3. 点击 创建工作流调度 ，在弹出的右抽屉中选择 云原生网关触发器，配置参数解释如下表。 配置项 操作说明 示例 触发器类型 选择云原生触发器。 云原生触发器 名称 填写自定义的触发器名称。 cgwtrigger 网关实例 选择已创建的云原生网关实例。 域名 选择网关实例已关联的域名。 mydomain.com 匹配路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。末尾使用''代表使用前缀匹配。 /my/path 请求方法 匹配请求中的HTTP方法，可多选，不选则匹配所有HTTP方法 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 0 请求头 匹配请求中的HTTP header。 请求参数 匹配请求中的HTTP query参数。 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用

云原生网关触发器能够让您网关的流量导去函数计算后端，能够支持更丰富的请求配置，如请求方法、请求头、请求参数等 前提条件 已创建函数。 已创建云原生网关。 已创建函数计算服务的终端节点（VPCE）。 创建步骤请查看创建VPCE，其中”虚拟私有云“选择云原生网关所属的VPC，”服务“选择函数计算服务cn.ctyun.cnhuadong1.faas 注意 函数计算服务在各资源池的名称（cn.ctyun.cnhuadong1.faas ）可能有差别，选择后缀为faas的即可，上述示例是在华东一资源池的名称 操作步骤 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的配置选项卡。 3. 在配置选项卡中，选择左边的触发器选项卡。 4. 点击创建触发器 ，在弹出的右抽屉中选择云原生网关触发器，配置参数解释如下 配置项 操作 示例 触发器类型 选择云原生触发器。 云原生触发器 名称 填写自定义的触发器名称。 cgwtrigger 版本或别名 默认值为LATEST，支持选择任意函数版本或函数别名。 LATEST 网关实例 选择已创建的云原生网关实例。 域名 选择网关实例已关联的域名。 mydomain.com 匹配路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。末尾使用''代表使用前缀匹配。 /my/path 请求方法 匹配请求中的HTTP方法，可多选，不选则匹配所有HTTP方法 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 0 请求头 匹配请求中的HTTP header。 请求参数 匹配请求中的HTTP query参数。 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用

本节介绍了如何查看云数据库TaurusDB实例的监控指标。 操作场景 云监控服务可以对TaurusDB的运行状态进行日常监控。您可以通过管理控制台，直观地查看TaurusDB的各项监控指标。通过监控数据库运行时的系统资源利用率，您可以识别出什么时间段资源占用率最高，然后到错误日志或慢日志中分析可能存在问题的SQL语句，从而优化数据库性能。 前提条件 TaurusDB常运行。 故障、删除状态的TaurusDB，无法在云监控中查看其监控指标。当TaurusDB再次启动或恢复后，即可正常查看。 说明 故障24小时的TaurusDB，云监控将默认该TaurusDB不存在，并在监控列表中删除，不再对其进行监控，但告警规则需要用户手动清理。 TaurusDB已正常运行一段时间（约10分钟）。 对于新创建的TaurusDB，需要等待一段时间，才能查看上报的监控数据和监控视图。 查看节点监控指标 步骤 1 登录管理控制台。 步骤 2 在页面左上角单击，选择“管理与部署 > 云监控服务”，进入“云监控服务”信息页面。 步骤 3 在左侧导航栏选择“云服务监控 > 云数据库TaurusDB”。 步骤 4 选择目标实例，单击实例名称左侧的，选中一个目标节点，单击操作列的“查看监控指标”，查看此节点的监控指标。 您还可以通过如下方式跳转到云监控服务页面查看监控指标： 在TaurusDB的“实例管理”页面，单击目标实例名称进入基本信息页面，在页面右上角，单击“查看监控指标”，跳转到云监控服务页面，查看监控指标。 在TaurusDB的“基本信息”页面底部，节点信息对应的操作列下，单击“查看监控指标”，跳转到云监控服务页面，查看监控指标。 步骤 5 在Cloud Eye页面，可以查看实例监控信息。 Cloud Eye支持的性能指标监控时间窗包括：近1小时、近3小时、近12小时、近24小时、近7天。

本节介绍了如何绑定和解绑云数据库TaurusDB实例的弹性公网IP。 操作场景 TaurusDB数据库实例创建成功后（默认未绑定“读写公网地址”），您可根据业务需要，绑定“读写公网地址”。 TaurusDB服务支持用户绑定弹性IP，用于在公共网络访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是3306，那么需确保安全组开通了3306端口的访问。 绑定弹性IP时无可选的EIP，原因可能是该EIP已被其他应用绑定，TaurusDB绑定的EIP需要是未绑定状态才可以绑定，请重新购买弹性IP。 前提条件 用户需要在VPC申请一个“读写公网地址”。 对于已绑定“读写公网地址”的实例，需解绑后，才可重新绑定其他“读写公网地址”。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的TaurusDB在同一区域的弹性云主机上。 绑定弹性IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在网络信息模块，单击“读写公网地址”后面的“绑定”。 步骤 6 在弹出框的弹性公网IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，跳转到网络控制台创建弹性IP，创建完成后请返回实例的基本信息页面绑定弹性IP。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。 步骤 7 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性IP。

本文主要介绍如何通过Microsoft SQL Server Management Studio客户端连接SQL Server实例。 前提条件 ● 成功创建SQL Server实例。 ● 实例状态为“运行中”。 ● 弹性云主机上已安装Microsoft SQL Server Management Studio客户端。 ● 出于安全考虑，建议连接SQL Server所使用的弹性云主机与SQL Server实例处于相同的虚拟私有云（VPC）。 SQL Server提供使用内网、公网两种连接方式，详见下表： 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。当部署应用的弹性云主机，与SQL Server实例处于同一区域的同一VPC内时，建议使用内网IP连接弹性云主机与SQL Server实例。 安全性高，可较好地实现SQL Server的性能。推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问SQL Server实例时，使用公网访问。建议单独绑定弹性公网IP，实现弹性云主机（或公网主机）与SQL Server实例间的连接。 安全性较低。为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的SQL Server实例在同一VPC内，使用内网连接。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表的【连接地址】列可以查看到目标实例的内网IP。在实例列表的【弹性IP】列可以查看到目标实例的弹性IP（如未绑定弹性IP，则显示为空）。 4. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面，可以查看到实例的端口，以及实例的内网IP。 5. 打开本地安装的Microsoft SQL Server Management Studio客户端。 6. 单击【连接】按钮，选择【数据库引擎】。 7. 在【连接到服务器】弹框中，输入数据库实例的登录信息，包括服务器名称、身份验证方式、账号名称、账号密码。 8. 点击【连接】，即可成功连接到数据库实例。

总览页面介绍 登录FunctionGraph控制台，在左侧导航栏选择“总览”，进入“总览”页面。 可以查看函数数量/配额信息、代码存储/存储配额、函数月度调用次数/月度资源用量。 可以查看租户层面的监控信息（调用次数、调用数TOP10、错误次数、错误数TOP10、运行时间、被拒绝次数）。 运行监控指标说明如下表所示。 监控指标说明表 指标 单位 说明 调用次数 次 函数总的调用请求数，包含了错误和被拒绝的调用。异步调用在该请求实际被系统执行时才开始计数。 调用数TOP10 展示指定时间范围内（最近1天/最近3天/自定义）的函数调用数TOP10。 运行时间 毫秒 最大运行时间为某统计粒度（周期）下，即某一时间段内所有函数单次执行最大的运行时间。最小运行时间为某统计粒度（周期）下，即某一时间段内所有函数单次执行最小的运行时间。平均运行时间为某统计粒度（周期）下，即某一时间段内所有函数单次执行平均的运行时间。 错误数TOP10 展示指定时间范围内（最近1天/最近3天/自定义）的函数错误数TOP10。 错误次数 次 指发生异常请求的函数不能正确执行完并且返回200，都计入错误次数。函数自身的语法错误或自身执行错误也会计入该指标。 被拒绝次数 次 由于并发请求太多，系统流控而被拒绝的请求次数。 可以查看函数流指标：调用次数、运行时间、错误次数、运行中 指标 单位 说明 调用次数 次 函数流总的调用请求数，包含了正确、错误和运行中的调用。异步函数流在请求被系统执行时才开始计数。 运行时间 毫秒 时间段内单次函数流执行平均的运行时间。 错误次数 次 指发生异常请求的函数流不能正确执行完，会计入错误次数。 运行中 个 正在运行中的函数流的数量。

本章介绍函数工作流如何使用开源Kafka（OPENSOURCEKAFKA）触发器。 使用开源Kafka触发器后，FunctionGraph会定期轮询开源Kafka指定Topic下的新消息，FunctionGraph将轮询得到的消息作为参数传递来调用函数。 前提条件 进行操作之前，需要做好以下准备。 已经创建函数。 创建Kafka触发器，必须开启函数工作流VPC访问，请参见配置网络。 创建开源Kafka触发器 1、登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、选择“设置 > 触发器”，单击“创建触发器”，弹出“创建触发器”对话框。 4、设置以下信息。 触发器类型：选择“开源Kafka（OPENSOURCEKAFKA）”。 连接地址：搭建kafka的broker地址列表，以逗号分隔。 主题：用户自建的topic。 批处理大小：单次函数拉取最大数据量。 5、单击“确定”，完成开源kafka触发器的创建。 说明 函数网络配置需要和创建kafka的ecs节点网络配置一样，包括vpc和子网。 激活kafka触发器 开源Kafka触发器创建完成后默认是停用状态，需要在触发器界面上单击“启动”。 说明 如果启动失败可以联系技术支持工程师。 配置Kafka事件触发函数 1、返回函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、在函数详情页，选择函数版本。 4、在“代码”页签下，单击“测试”，弹出“配置测试事件”对话框。 5、填写如下所示测试信息后，单击“保存”。 表 测试信息 参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择"kafkaeventtemplate"模板，使用系统内置Kafka事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如kafka123test。 测试事件 自动加载系统内置kafka事件模板，本例不做修改。 6、单击“测试”，可以得到函数运行结果，函数会返回输入kafka消息数据。