使用访问密钥创建Secret 步骤 1 获取访问密钥。 步骤 2 对访问密钥进行base64编码（假设上文获取到的ak为“xxx”，sk为“yyy”）。 echo n xxxbase64 echo n yyybase64 记录编码后的AK和SK。 步骤 3 新建一个secret的yaml，如testuser.yaml。 apiVersion: v1 data: access.key: WE5WWVhVNU secret.key: Nnk4emJyZ0 kind: Secret metadata: name: testuser namespace: default labels: secret.kubernetes.io/usedby: csi type: cfe/secureopaque 其中： 参数 描述 access.key base64编码后的ak。 secret.key base64编码后的sk。 name secret的名称 namespace secret的命名空间 secret.kubernetes.io/usedby: csi 带上这个标签才能在控制台上创建OBS PV/PVC时可见。 type 密钥类型，该值必须为cfe/secureopaque使用该类型，用户输入的数据会自动加密。 步骤 4 创建Secret。 kubectl create f testuser.yaml 静态创建对象存储卷时指定挂载Secret 使用访问密钥创建Secret后，在创建PV时只需要关联上Secret，就可以使用Secret中的访问密钥（AK/SK）挂载对象存储卷。 步骤 1 登录OBS控制台，创建对象存储桶，记录桶名称和存储类型，以并行文件系统为例。 步骤 2 新建一个pv的yaml文件，如pvexample.yaml。 apiVersion: v1 kind: PersistentVolume metadata: name: pvobsexample annotations: pv.kubernetes.io/provisionedby: everestcsiprovisioner spec: accessModes: ReadWriteMany capacity: storage: 1Gi csi: nodePublishSecretRef: name: testuser namespace: default driver: obs.csi.everest.io fsType: obsfs volumeAttributes: everest.io/obsvolumetype: STANDARD everest.io/region: cnnorth4 storage.kubernetes.io/csiProvisionerIdentity: everestcsiprovisioner volumeHandle: obsnormalstaticpv persistentVolumeReclaimPolicy: Delete storageClassName: csiobs 参数 描述 nodePublishSecretRef 挂载时指定的密钥，其中 name：指定secret的名字 namespace：指定secret的命令空间 fsType 文件类型，支持“obsfs”与“s3fs”，取值为s3fs时创建是obs对象桶，配套使用s3fs挂载；取值为obsfs时创建的是obs并行文件系统，配套使用obsfs挂载，推荐使用。 volumeHandle 对象存储的桶名称。 步骤 3 创建PV。 kubectl create f pvexample.yaml PV创建完成后，就可以创建PVC关联PV。 步骤 4 新建一个PVC的yaml文件，如pvcexample.yaml。 PVC yaml文件配置示例： apiVersion: v1 kind: PersistentVolumeClaim metadata: annotations: csi.storage.k8s.io/nodepublishsecretname: testuser csi.storage.k8s.io/nodepublishsecretnamespace: default volume.beta.kubernetes.io/storageprovisioner: everestcsiprovisioner everest.io/obsvolumetype: STANDARD csi.storage.k8s.io/fstype: obsfs name: obssecret namespace: default spec: accessModes: ReadWriteMany resources: requests: storage: 1Gi storageClassName: csiobs volumeName: pvobsexample 参数 描述 csi.storage.k8s.io/nodepublishsecretname 指定secret的名字 csi.storage.k8s.io/nodepublishsecretnamespace 指定secret的命令空间 步骤 5 创建PVC。 kubectl create f pvcexample.yaml PVC创建后，就可以创建工作负载挂载PVC使用存储。

本小节介绍通过数据库复制服务进行备份迁移前的准备工作。在正式使用数据库复制服务之前，请先阅读以确保您已完成创建备份迁移任务所需的各项准备工作。 本小节介绍通过数据库复制服务进行备份迁移前的准备工作。在正式使用数据库复制服务之前，请先阅读以确保您已完成创建备份迁移任务所需的各项准备工作。 备份文件准备 请参见《数据库复制服务快速入门》中“备份迁移快速入门”下的“使用须知”章节。 数据库恢复模式设置 仅进行全量备份迁移时，对数据库的恢复模式没有要求。 进行全量+增量备份迁移时，数据库备份文件的恢复模式需要设置为“完整”。具体操作方法如下： 方法一： 通过Microsoft SQL Server Management Studio 数据库管理软件登录到本地数据库中心，选择需要迁移的数据库，单击鼠标右键，选择“属性”，选择“选项 > 恢复模式”，将恢复模式设置为“完整”即可。 图 设置恢复模式 方法二：使用如下SQL命令的方式进行设置。 USE master; ALTER DATABASE databasename SET RECOVERY FULL; 目标数据库磁盘要求 目标数据库的可用磁盘空间至少为待还原数据库总数据量大小的1.5倍。 迁移时间的评估参考 一次完整的备份迁移主要经历以下4个阶段。 图 迁移示意图 表 备份迁移说明 阶段 名称 描述 ① 导出数据库备份文件 该阶段主要耗时为生成数据库备份文件所需的时间，通常取决于源数据库的配置，需要您根据源数据库的配置进行预估。 ② 上传备份文件至OBS桶 OBS对象存储不限速，如果您是通过公网访问OBS对象存储时，上传下载速度受公网带宽限制。例如：公网带宽为10MB/s时，在没有其他因素影响网络的情况下，则上传的速度为10MB/s。 ③ 通过DRS下载备份文件至目标端RDS for SQL Server 一般情况下，下载速度约为：100MB/s或者300GB/h。 ④ 将源数据库的备份文件恢复至目标数据库 从经验值来讲，一般的恢复速度约为5GB/min或者300GB/h。 合计总耗时 总耗时阶段①耗时+阶段②耗时+阶段③耗时+阶段④耗时业务中断时长 业务停机>进行最后一次增量备份>上传OBS>创建DRS任务恢复 下面将以一个示例说明备份迁移的完整过程的耗时，可以帮助您提前预估迁移时间，实际的耗时与用户端的网络，数据库配置等情况有关，需以实际情况为准，表格数据仅供参考。 示例： 表2 备份迁移示例 阶段 名称 备份文件大小（G） 耗时（h） ① 导出数据库备份文件 283 5.5 ② 上传备份文件至OBS通 283 8.95 ③ 通过DRS下载备份文件 283 0.61 ④ 备份文件恢复到目标库 283 2.24 合计总耗时 17.3

您可以通过Prometheus告警规则模板功能来统一管理分布在不同地域的多个Prometheus实例的告警规则。本文介绍如何创建和管理Prometheus告警规则模板。 创建Prometheus告警规则模板 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，点击告警规则模板页面。 3. 在页面左上角点击创建告警规则模板按钮。 4. 在创建告警规则模板页面，根据以下参数说明进行设置。您可以选择通过静态阈值或自定义PromQL创建Prometheus告警规则模板。 静态阈值检查类型 静态阈值检查类型提供了系统预设的告警指标，通过选择已有的告警指标，您可以通过语义化的方式快速创建对应指标项的告警规则。 参数 说明 示例 告警规则模板名称 自定义告警规则模板的名称 测试集群容器CPU使用率告警 告警规则模板描述 输入该模板的备注描述信息，可以用于记录模板的含义、适用场景等。 检测类型 选择静态阈值。 静态阈值 告警分组 选择告警分组，不同的告警分组包含不同的告警指标。 Kubernetes负载 告警指标 选择需要进行监控告警的指标，每个告警分组包含不同的指标。 Pod磁盘使用率 告警条件 基于告警指标预置内容，设置告警事件产生条件，如比较符与阈值。 当Pod磁盘使用率>80时，满足告警条件。 持续时间 当告警条件满足时，直接产生告警事件：任何一个数据点满足阈值，就会产生告警事件。 当告警条件满足持续N分钟时，才产生告警事件：即只有当满足阈值的时间大于等于N分钟时，才产生告警事件。 告警等级 自定义告警等级。告警严重程度从一般,次要,重要,紧急逐级上升。 一般 告警内容 用户收到的告警信息。您可以使用Go template语法在告警内容中自定义告警参数变量。 命名空间：{{$labels.namespace}} / Pod: {{$labels.podname}} / 容器：{{$labels.container}} CPU使用率{{$labels.metricsparamsoptlabelvalue}} {{$labels.metricsparamsvalue}}%, 当前值{{ printf "%.2f" $value }}% 通知策略 不指定通知规则：若勾选该选项，在告警规则创建完成后，您可在通知策略界面新建策略，并通过设置匹配规则与匹配条件（例如告警规则名称）关联对应告警规则。当此告警规则触发并生成告警事件时，系统会将告警信息推送至通知策略中指定的联系人或联系人组。更多相关说明，可参考通知策略文档。 指定某个通知策略：若选择此项，系统会自动在对应的通知策略中添加一条匹配规则，匹配规则内容为告警规则ID（以告警规则名称的方式呈现），以确保当前告警规则产生的告警事件一定可以被选择的通知策略匹配到。 高级设置 标签 设置告警标签，设置的标签可用作通知策略匹配规则的选项。 无

本文帮助您了解对象存储创建桶的操作步骤。 操作场景 您需要先创建一个桶，然后才能在桶中存储数据。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，例如选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限），然后点击“下一步”，继续填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。创建桶的全部配置参数说明可见下表： 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启KMS服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

介绍在CTS事件列表查看云审计事件。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 使用限制 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。 查看审计事件 步骤1、登录管理控制台。 步骤2、单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 步骤3、单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 步骤5、选择完查询条件后，单击“查询”。 步骤6、在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 步骤7、在需要查看的事件左侧，单击展开该记录的详细信息。 步骤8、在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

通过控制台设置 决定工作负载的Pod和哪些工作负载的Pod部署在同一个拓扑域。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 在无状态工作负载或有状态工作负载列表中，单击工作负载名称进入详情页，在“调度策略”页签下，单击 “自定义调度策略”。 步骤 3 在工作负载亲和性设置中，依据工作负载的Pod标签，同时配置命名空间和拓扑域进行业务需求的设置。 说明：工作负载亲和性调度支持必须满足和尽量满足（硬约束Required/软约束Preferred），以及可以设置相应的匹配关系（In, NotIn, Exists, DoesNotExist）： 必须满足：即硬约束，设置必须要满足的条件，对应于requiredDuringSchedulingIgnoredDuringExecution，您可以添加多条必须满足的规则。在规则中还需要设置命名空间和拓扑域。 尽量满足：即软约束，设置尽量满足的条件，对应于preferredDuringSchedulingIgnoredDuringExecution，您可以添加多条尽量满足的规则，无论是满足其中一条或者是都不满足都会进行调度。另外可以为规则设置权重值，权重值越高会被优先调度。 命名空间：即namespaces，默认情况下使用和当前工作负载相同的命名空间，您可以设置其他的已有的命名空间。 拓扑域：即topologyKey，拓扑域通过设置工作节点的标签，包含默认和自定义标签，用于指定调度时作用域。 选择器：对应于matchExpressions，您可以添加多条选择器，多条选择器之间是一种“与”的关系，即需要满足全部选择器才能依据此条规则进行调度。 标签名：对应工作负载的标签，您可以使用默认标签app或者使用自定义标签。 匹配关系：即操作符，可以设置四种匹配关系（In, NotIn, Exists, DoesNotExist）。In和NotIn操作符可以添加单个值或者多个value值（多值使用；进行划分），Exists和DoesNotExist判断某个label是否存在，不需设置value值。 通过kubectl命令行设置 本节以nginx为例，创建工作负载节点的亲和性。 前提条件 已有使用nginx容器的工作负载和节点。 操作步骤 使用默认的命名空间default，拓扑域使用内置的节点标签kubernetes.io/hostname用于表示以节点为区分范围，设置标签app和type，标签值为redis和database。同时设置操作符为In，最后单击“确定”提交。 设置后的工作负载亲和性所得的yaml如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: imagePullSecrets: name: defaultsecret affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: labelSelector: matchExpressions: key: app operator: In values: redis key: type operator: In values: database namespaces: default topologyKey: kubernetes.io/hostname 说明：上例中只有当某个工作负载同时具有app和type两个标签的时候，工作负载nginx才能调度成功，会将工作负载nginx调度到此工作负载的节点上。

本章节介绍应用容灾多活的操作日志功能。 前提条件 已创建应用系统。 查看操作日志 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页。 4. 在左侧导航栏选择运维监控 ，在运维监控菜单下单击操作日志，进入操作日志页面。 5. 操作日志包含下表信息，单击日志行右侧详情按钮，可以查看操作详情。 表 操作分类 操作分类 具体操作 描述 基础配置 新增应用系统 新增应用系统 删除应用系统 删除应用系统 修改应用系统 修改应用系统 新增站点 创建站点 删除站点 删除站点 修改站点 修改站点 启用站点 启用站点 禁用站点 禁用站点 重置站点 重建站点业务数据，在故障站点恢复正常后操作 新增单元 新增单元 删除单元 删除单元 修改单元 修改单元 新增单元组 新增单元组 删除单元组 删除单元组 修改单元组 修改单元组 接入层配置 选择接入层网关 绑定接入层网关 移除接入层网关 解绑接入层网关 新增单元组URI配置 新增业务流量路由 删除单元组URI配置 删除业务流量路由 修改单元组URI配置 修改业务流量路由 数据层配置 新增数据源 新增数据层数据源 删除数据源 删除数据层数据源 修改数据源 修改数据层数据源 新增同步任务 新增数据同步任务 删除同步任务 删除数据同步任务 修改同步任务 修改数据同步任务 启动同步任务 启动数据同步任务 停止同步任务 停止数据同步任务 绑定链路 绑定同步链路与数据传输服务实例 解绑链路 解绑同步链路与数据传输服务实例 启动链路 启动同步链路所绑定任务 停止链路 停止同步链路所绑定任务 消息层配置 新增数据源 新增消息层数据源 删除数据源 删除消息层数据源 修改数据源 修改消息层数据源 新增同步任务 新增消息同步任务 删除同步任务 删除消息同步任务 修改同步任务 修改消息同步任务 启动同步任务 启动消息同步任务 停止同步任务 停止消息同步任务 创建路由任务配置 创建消息路由任务配置 删除路由任务配置 删除消息路由任务配置 创建路由任务 创建路由任务 删除路由任务 删除路由任务 启用路由任务 启用路由任务 停用路由任务 停用路由任务 重置位点 重置目标实例消费位点 容灾切流 基础配置推送 发起基础配置推送 流量切换 发起流量切换 主备切换 发起主备切换 取消步骤 取消切流过程指定步骤 忽略步骤 跳过切流过程指定步骤 重试步骤 重试切流过程指定步骤 表 操作状态 状态 描述 成功 操作成功 失败 操作失败 执行中 操作进行中

本节主要介绍如何查看事件信息。 操作场景 通过查看事件列表，您可以了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面上方，查看事件统计情况。 急需处理事件 ：呈现事件等级为致命或高危，且状态为非关闭的事件总数。 超期事件 ：呈现已超过事件设置的计划关闭时间，且还未关闭的事件总数。 事件状态 ：呈现“打开”、“阻塞”、“关闭”状态的事件总数及对应状态下事件数量。 事件数量 ：当前工作空间内的事件总数，以及各个等级对应的事件数量。 6. 在事件列表中，查看事件详细信息。 页面最多可查看9999条事件信息。 参数 说明 事件名称 事件名称。 事件ID 事件对应的ID。 事件等级 事件严重等级，分为以下等级：提示、低危、中危、高危、致命。 类型 事件类型。 状态 事件状态，分为以下状态：打开、阻塞、关闭。 影响资产 受此事件影响的资产。 验证状态 此事件的验证状态，即事件的准确性。分为以下状态：未知、确认、误报。 责任人 此事件的主要责任人。 创建时间 此事件的创建时间。 首次发生时间 此事件首次发生时间。 最近发生时间 此事件最近一次发生的具体时间。 计划关闭时间 此事件的计划关闭时间。 描述 事件的描述信息。 数据源产品名称 事件来源产品的名称。 标签 事件的标签信息 操作 可对事件进行编辑、关闭等操作。 7. 如需查看某个事件详概览，可单击告警名称，页面右侧将展示事件的概览信息。 在事件概览页面可以查看事件的处置建议、基本信息和关联信息（包括关联的威胁指标、告警、事件、攻击信息等）。 如果需要查看事件详情，可以在事件概览页面右下角单击“事件详情”，进入事件详情页面。 在详情页面除了可以查看概览页面的信息外，还可以查看事件的时间线和攻击信息。例如：事件首次发生时间、检测时间、攻击进程ID等。 在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。 在事件概览/详情页面可以关联或取消关联告警、事件、情报，还可以查看受影响资产相关信息。

本文为您介绍飞塔防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctForti IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录飞塔防火墙命令行。 2. 添加IPsec VPN第一阶段的IKE配置。 config vpn ipsec phase1interface edit "Fotrictyun" set interface "wan" set peertype any set netdevice disable set proposal aes128sha1 set dpd onidle set dhgrp 5 set keylife 86400 set remotegw 121...152 set psksecret ctForti next end 3. 添加IPsec VPN第二阶段的IPsec配置。 config vpn ipsec phase2interface edit "Fotrictyun" set phase1name "Fotrictyun" set proposal aes128sha1 set dhgrp 5 set keylifeseconds 3600 set autonegotiate enable set srcsubnet 192.168.0.0 255.255.255.0 set dstsubnet 192.168.3.0 255.255.255.0 next end 4. 配置防火墙策略。 config firewall address edit "Local192.168.0.0/24" set subnet 192.168.0.0 255.255.255.0 next edit "Remote192.168.3.0/24" set subnet 192.168.3.0 255.255.255.0 next edit "ctyunVPNGateway" set subnet 121...152 255.255.255.255 next end config firewall policy edit 4 set srcintf "lan" set dstintf "toctyun" set action accept set srcaddr "Local192.168.0.0/24" set dstaddr "Remote192.168.3.0/24" set schedule "always" set service "ALL" next edit 5 set srcintf "toctyun" set dstintf "lan" set action accept set srcaddr "Remote192.168.3.0/24" set dstaddr "Local192.168.0.0/24" set schedule "always" set service "ALL" next end 5. 配置访问VPC的静态路由。 config router static edit 3 set dst 192.168.3.0 255.255.255.0 set device "toctyun" next edit 4 set dst 192.168.3.0 255.255.255.0 set distance 254 set blackhole enable next end 6. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

说明：本章节会介绍如何创建参数模板 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“参数模板管理”页面，单击“创建参数模板”。 选择数据库引擎版本，命名并添加对该参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的参数模板类型。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!

本章介绍使用同一VPC内弹性云主机ECS上的SpringBoot集成Lettuce实例的方法。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装java编译环境。 操作步骤 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 步骤 2 登录弹性云主机。 步骤 3 首先使用maven在pom.xml添加如下依赖。 说明 SpringBoot从2.0起默认使用lettuce客户端进行连接。 此次使用的版本：springboot：2.6.6，lettuce：6.1.8。 org.springframework.boot springbootstarterweb org.springframework.boot springbootstarterdataredis 步骤 4 使用SpringBoot集成Lettuce连接实例。 Springboot+Lettuce单连方式连接Redis单机/主备/Proxy集群示例。 a. 在application.properties配置文件中加上redis相关配置。 spring.redis.hosthost spring.redis.database0 spring.redis.passwordpwd spring.redis.portport b. Redis配置类RedisConfiguration。 @Bean public RedisTemplate redisTemplate(LettuceConnectionFactory lettuceConnectionFactory) { RedisTemplate template new RedisTemplate<>(); template.setConnectionFactory(lettuceConnectionFactory); //使用Jackson2JsonRedisSerializer替换默认的JdkSerializationRedisSerializer来序列化和反序列化redis的value值 Jackson2JsonRedisSerializer jackson2JsonRedisSerializer new Jackson2JsonRedisSerializer<>(Object.class); ObjectMapper mapper new ObjectMapper(); mapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY); mapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NONFINAL, JsonTypeInfo.As.PROPERTY); jackson2JsonRedisSerializer.setObjectMapper(mapper); StringRedisSerializer stringRedisSerializer new StringRedisSerializer(); //key采用String的序列化方式 template.setKeySerializer(stringRedisSerializer); // hash的key也采用String的序列化方式 template.setHashKeySerializer(stringRedisSerializer); // value序列化方式采用jackson template.setValueSerializer(jackson2JsonRedisSerializer); // hash的value序列化方式采用jackson template.setHashValueSerializer(jackson2JsonRedisSerializer); template.afterPropertiesSet(); return template; } c. Redis操作类RedisUtil。 / 普通缓存获取 @param key 键 @return 值 / public Object get(String key){ return keynull?null:redisTemplate.opsForValue().get(key); } / 普通缓存放入 @param key 键 @param value 值 @return true成功 false失败 / public boolean set(String key,Object value) { try { redisTemplate.opsForValue().set(key, value); return true; } catch (Exception e) { e.printStackTrace(); return false; } } d. 编写controller类进行测试。 @RestController public class HelloRedis { @Autowired RedisUtil redisUtil; @RequestMapping("/setParams") @ResponseBody public String setParams(String name) { redisUtil.set("name", name); return "success"; } @RequestMapping("/getParams") @ResponseBody public String getParams(String name) { System.out.println("" + name + ""); String retName redisUtil.get(name) + ""; return retName; } } SpringBoot+Lettuce连接池方式连接Redis单机/主备/Proxy集群示例。 e. 在以上maven依赖的基础上添加以下依赖。 org.apache.commons commonspool2 f. 在application.properties配置文件中加上redis相关配置。 spring.redis.hosthost spring.redis.database0 spring.redis.passwordpwd spring.redis.portport

前提条件 已在管理控制台中创建“弹性负载均衡”实例。 1. 登录管理控制台首页，在服务列表中选择“网络 > 弹性负载均衡”。 2. 单击右上角的“创建弹性负载均衡”。 说明： CCE中的负载均衡 ( LoadBalancer )访问类型使用弹性负载均衡 ELB提供网络访问，存在如下产品约束： 自动创建的ELB实例建议不要被其他资源使用，否则会在删除时被占用，导致资源残留。 创建Ingress 您可以在创建工作负载时通过CCE控制台设置访问方式，本节以创建一个nginx工作负载并添加Ingress类型的Service为例进行说明。 步骤 1 创建工作负载，详细步骤请参见创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)。 若创建工作负载时，部署了“节点访问( NodePort )”类型的Service，请直接执行步骤3。 若创建工作负载时，未部署“节点访问( NodePort )”类型的Service，请先执行步骤2。 步骤 2 （可选）若创建工作负载时，未配置“节点访问 ( NodePort )”，请执行如下操作。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。 2. 在Service页签下，单击“添加Service”。选择类型为“节点访问 ( NodePort )”。 − Service 名称：自定义服务名称，可与工作负载名称保持一致。 − 集群名称：选择需要添加Service的集群。 − 命名空间：选择需要添加Service的命名空间。 − 关联工作负载：单击“选择工作负载”，选择需要配置节点访问 ( NodePort )的工作负载名称，单击“确定”。 − 服务亲和： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 − 端口配置： a、协议：请根据业务的协议类型选择。 b、容器端口：容器镜像中工作负载实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 c、访问端口：容器端口映射到节点私有IP上的端口，用私有IP访问工作负载时使用，端口范围为3000032767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 3. 单击“创建”，节点访问方式设置成功。 步骤 3 添加Ingress类型的Service。 1. 单击CCE左侧导航栏的“资源管理 > 网络管理”。 2. 在Ingress页签下，单击“添加Ingress”。 − Ingress 名称：自定义Ingress名称，例如ingressdemo。 − 集群名称：选择需要添加Ingress的集群。 − 命名空间：选择需要添加Ingress的命名空间。 − 负载均衡配置：Ingress使用弹性负载均衡服务（ELB）的负载均衡器提供七层网络访问。 说明： 1. ingress创建后请在CCE页面对所选ELB实例进行配置升级和维护，否则可能导致ingress服务异常。 2. 自动创建的ELB实例尽可能不要被其他ingress或者service使用，否则可能导致资源残留。 负载均衡：负载均衡实例需与当前集群处于相同VPC且为相同公网或私网类型。 请根据业务需求选择“公网”或“私网”。公网支持自动创建和使用已有负载均衡实例两种方式。私网：支持自动创建和使用已有负载均衡实例两种方式。 更改配置：选择“公网 > 自动创建”时，单击规格配置下的“更改配置”，可修改待创建的负载均衡实例的名称、规格、计费模式和带宽。 − 监听器配置：Ingress为负载均衡器配置监听器，监听器对负载均衡器上的请求进行监听，并分发流量。 a、对外协议：支持HTTP和HTTPS。 b、对外端口：开放在负载均衡服务地址的端口，可任意指定。 若选择启用“对接Nginx”后，将默认开启80和443端口，此处“对外端口”参数项将不显示。 c、服务器证书：请选择密钥证书。 须知： 选择HTTPS协议时，才需要创建密钥证书ingresstestsecret.yaml。创建密钥的方法请参见创建密钥。 同一个ELB实例的同一个端口配置HTTPS时，一个监听器只支持配置一个密钥证书。若使用两个不同的密钥证书将两个Ingress添加到同一个ELB下的同一个监听器，ELB侧实际只生效最初的证书。 − 转发策略配置：请求的访问地址与转发规则匹配时（转发规则由域名、URL组成），此请求将被转发到对应的目标Service处理。 说明： 服务负载均衡配置中可更改ELB实例的分配策略类型、会话保持、健康检查等内容，请勿在ELB服务修改相关信息。 − 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 − URL匹配规则： 前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1，/healthz/v2。 精确匹配：表示精准匹配，只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 正则匹配：可设定映射URL规范，例如规范为/[AZaz09.]+/test。只要符合此规则的URL均可访问，例如/abcA9/test，/v1Ab/test。正则匹配规则支持POSIX与Perl两种标准。 − URL：需要注册的访问路径，例如：/healthz。 − 目标Service：请选择已有Service或新建Service。页面列表中仅支持选择“节点访问 ( NodePort )” 类型的Service，该查询结果已自动过滤。 − Service访问端口：可选择目标Service的访问端口。 − 服务负载均衡配置：该配置是基于服务的配置，若有多条路由使用当前服务，这些路由将使用相同的服务负载均衡配置。 健康检查：默认不启用。请根据界面提示进行配置。 − 操作：可单击“删除”按钮删除该配置。 单击“添加转发策略”按钮可添加多条转发策略。 步骤 4 配置完成后，单击“创建”。 创建完成后，在Ingress列表可查看到已创建成功的Ingress。 步骤 5 访问工作负载（例如名称为defaultbackend）的“/healthz”接口。 方式一：负载均衡IP访问（需负载均衡访问的服务不能配置域名） 1. 获取defaultbackend“/healthz”接口的访问地址，访问地址有负载均衡实例、对外端口、映射URL组成，例如：10.154.73.151:80/healthz。 a. 在左侧导航栏选择“资源管理 > 网络管理”。 b. 在“Ingress”页签下，单击Ingress名称，可查看访问地址。 2. 在浏览器中输入“/healthz”接口的访问地址，如： 访问defaultbackend“/healthz”接口 方式二：域名访问 以ingress中已配置域名ingress.com为例。 1. 获取ingressdemo的域名与访问地址的IP、URL与端口。 a. 在左侧导航栏选择“资源管理 > 网络管理”。 b. 在“Ingress”页签下，可查看访问地址。 c. 单击Ingress名称，可查看域名。 2. 在本地主机的C:WindowsSystem32driversetchosts中配置访问地址的IP和域名，如下图： 3. 在浏览器中输入 更新Ingress 您可以在添加完Ingress后，更新此Ingress的端口、域名和路由配置。操作如下： 说明： Ingress创建后请避免在ELB服务的控制台中操作Ingress对接的ELB资源，如需修改请在CCE控制台中对所选ELB实例进行配置升级和维护，否则可能导致Ingress服务异常。 在CCE控制台中更新Ingress时，负载均衡配置中可更改ELB实例的分配策略类型、会话保持、健康检查等内容，请勿在ELB服务修改相关信息。 自动创建的ELB实例尽可能不要被其他Ingress或者Service使用，否则可能导致资源残留。 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在Ingress页签下，选择对应的集群和命名空间，单击待更新Ingress后方的“更新”。 步骤 2 在“更新Ingress”页面，更新如下参数： 监听器配置 对外端口：开放在负载均衡服务地址的端口，可任意指定。 转发策略配置 服务负载均衡配置： 单击展开后，可对如下参数进行设置： − 健康检查：默认开启。请根据界面提示进行配置。 单击“添加转发策略”按钮可添加多条转发策略。 − 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 − URL匹配规则： a、前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1，/healthz/v2。 b、精确匹配：表示精准匹配，只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 c、正则匹配：可设定映射URL规范，例如规范为/[AZaz09.]+/test。只要符合此规则的URL均可访问，例如/abcA9/test，/v1Ab/test。正则匹配规则支持POSIX与Perl两种标准。 − URL：需要注册的访问路径，例如：/healthz。 − 目标Service：请选择已有Service或新建Service。页面列表中仅支持选择“节点访问 ( NodePort )” 类型的Service，该查询结果已自动过滤。Service访问端口：可选择目标Service的访问端口。 − 服务负载均衡配置：该配置是基于服务的配置，若有多条路由使用当前服务，这些路由将使用相同的服务负载均衡配置。详细配置请参见服务负载均衡配置.docx

本章节介绍关系型数据库支持哪些监控指标。 声明：RDS实例中的Agent只用于监控实例运行的指标、状态，不会收集除监控指标外的其它数据。 功能说明 本节定义了关系型数据库上报云监控的监控指标的命名空间，监控指标列表和维度定义。用户可以通过云监控提供的API接口来检索关系型数据库产生的监控指标和告警信息。 实例监控指标 Microsoft SQL Server实例性能监控指标，如下表所示。 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） rds001cpuutil CPU使用率 该指标用于统计测量对象的CPU利用率。 0～100% Microsoft SQL Server实例 1分钟 rds003iops IOPS 该指标用于统计当前实例，单位时间内系统处理的I/O请求数量（平均值）。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds039diskutil 磁盘利用率 该指标用于统计测量对象的磁盘利用率。 0～100% Microsoft SQL Server实例 1分钟 rds002memutil 内存使用率 该指标用于统计测量对象的内存利用率。 0～100% Microsoft SQL Server实例 1分钟 rds004bytesin 网络输入吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输入的流量。 ≥0bytes/s Microsoft SQL Server实例 1分钟 rds005bytesout 网络输出吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输出的流量。 ≥0bytes/s Microsoft SQL Server实例 1分钟 rds049diskreadthroughput 硬盘读吞吐量 该指标用于统计每秒从磁盘读取的字节数。 ≥0bytes/s Microsoft SQL Server实例 1分钟 rds050diskwritethroughput 硬盘写吞吐量 该指标用于统计每秒写入磁盘的字节数。 ≥0bytes/s Microsoft SQL Server实例 1分钟 rds047disktotalsize 磁盘总大小 该指标用于统计测量对象的磁盘总大小。 40GB～4000GB Microsoft SQL Server实例 1分钟 rds048diskusedsize 磁盘使用量 该指标用于统计测量对象的磁盘使用大小。 0GB～4000GB Microsoft SQL Server实例 1分钟 rds053avgdiskqueuelength 磁盘平均队列长度 该指标用于统计等待写入测量对象的进程个数。 ≥0 Microsoft SQL Server实例 1分钟 rds054dbconnectionsinuse 使用中的数据库连接数 用户连接到数据库的连接数量。 ≥0 counts Microsoft SQL Server实例 1分钟 rds055transactionspersec 平均每秒事务数 该指标用于统计数据库每秒启动的事务数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds056batchpersec 平均每秒batch数 该指标用于统计每秒收到的TransactSQL命令批数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds057loginspersec 每秒登录次数 该指标用于统计每秒启动的登录总数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds058logoutspersec 每秒登出次数 该指标用于统计每秒启动的注销操作总数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds059cachehitratio 缓存命中率 该指标用于统计在缓冲区高速缓存中找到而不需要从磁盘中读取的页的百分比。 0~100% Microsoft SQL Server实例 1分钟 rds060sqlcompilationspersec 平均每秒SQL编译数 该指标用于统计每秒SQL的编译数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds061sqlrecompilationspersec 平均每秒SQL重编译数 该指标用于统计每秒语句重新编译的次数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds062fullscanspersec 每秒全表扫描数 该指标用于统计每秒不受限制的完全扫描数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds063errorspersec 每秒用户错误数 该指标用于统计每秒用户错误数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds064latchwaitspersec 每秒闩锁等待数 该指标用于统计每秒未能立即授予的闩锁请求数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds065lockwaitspersec 每秒锁等待次数 该指标用于统计每秒要求调用者等待的锁请求数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds066lockrequestspersec 每秒锁请求次数 该指标用于统计锁管理器每秒请求的新锁和锁转换数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds067timeoutspersec 每秒锁超时次数 该指标用于统计每秒超时的锁请求数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds068avglockwaittime 平均锁等待延迟 该指标用于统计每个导致等待的锁请求的平均等待时间（毫秒）。 ≥0ms Microsoft SQL Server实例 1分钟 rds069deadlockspersec 每秒死锁次数 该指标用于统计每秒导致死锁的锁请求数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds070checkpointpagespersec 每秒检查点写入Page数 该指标用于统计刷新所有脏页的检查点或其他操作每秒刷新到磁盘的页数。 ≥0counts/s Microsoft SQL Server实例 1分钟 rds077replicationdelay 数据同步延迟 该指标用于统计主备实例复制延迟，由于SQL Server实例复制延迟都是库级别，每个库各自都在做同步，所以实例级别复制延迟为复制延迟最大的库的值（单机不涉及都为0s）。 ≥0s Microsoft SQL Server实例 1分钟 mssqlmemgrantpending 待内存授权进程数 该指标用于统计等待接受内存授权进行使用的进程总数，指示内存压力情况。 ≥0counts Microsoft SQL Server实例 1分钟 mssqllazywritepersec 每秒惰性写入缓存数 该指标用于统计每秒钟被惰性编辑器（Lazy writer）写入的缓冲数。 ≥0counts/s Microsoft SQL Server实例 1分钟 mssqlpagelifeexpectancy 无引用页缓冲池停留时间 该指标用于统计页面不被引用后，在缓冲池中停留的秒数。 ≥0s Microsoft SQL Server实例 1分钟 mssqlpagereadspersec 每秒页读取次数 该指标用于统计每秒读取页的个数。 ≥0counts/s Microsoft SQL Server实例 1分钟 mssqltempdbdisksize 临时表空间大小 当前临时表空间占用磁盘大小。 ≥0MB Microsoft SQL Server实例 1分钟

本章介绍如何查看全部检测结果。 您可以在“全部结果”页面，获取安全状态的全视图，助您及时确定检测结果的优先级，统筹分析安全趋势。 “全部结果”支持以下特性： 支持呈现威胁告警、漏洞、风险、合规检查、违法违规、时讯舆情等领域信息。 支持实时接收安全产品检测数据，实时更新结果列表。 支持按时间范围、过滤场景等筛选结果。默认呈现近7天内检测结果。 支持查看检测结果详情，以及JSON格式的结果详情。 支持自定义结果列表呈现的属性。 支持标识检测结果的处理状态。 约束限制 按过滤场景筛选检测结果，最多可呈现10000条结果。 仅可呈现近180天的检测结果。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检查结果”，进入全部结果管理页面。 4. 筛选查看检测结果。 在场景列框选择过滤场景，单击搜索按钮，即可查看到目标场景下检测结果。 当过滤后的结果仍较多时，可补充过滤条件和选择时间范围，快速查找结果。 在筛选框补充过滤条件，添加一项或多项过滤条件，并配置相应条件属性，单击搜索按钮，快速查找指定条件属性的结果。 在时间过滤框中，选择检测结果发现的时间范围，单击“确认”，快速查找指定时间范围内的结果。 5. 查看检测结果列表。筛选后的列表，可查看满足条件的检测结果列表，以及结果统计信息。 6. 查看检测结果详情。 1. 单击列表中结果的“标题”，右侧滑出结果详情窗口。 2. 查看与该结果相关的“基本信息”、“描述”、“资源信息”、“攻击信息”、受影响的用户等信息。 参数 参数说明 基本信息 检测结果的基本信息，包括标题、严重等级、状态、发现时间、业务领域、公司名称、产品名称、类型等信息。 描述 检测结果的简要介绍。 资源信息 受影响的资源信息，包括资源名称、资源ID、资源类型、资源区域等信息。 环境信息 受影响的用户信息，包括租户ID、项目ID、用户所在区域等信息。 攻击信息 攻击来源信息，包括攻击源IP、攻击目标IP、攻击源端口、攻击目标端口等信息。 相关检测结果 相关联检测结果的信息，包括相关联资源名称、结果来源等信息。 漏洞信息 漏洞结果信息，包括漏洞ID、CVSS分数、CVSS版本、提供方等信息。 漏洞影响范围 漏洞影响范围信息，包括影响版本、安全版本等信息。 合规检查信息 合规检查基本信息，包括检查项、检查结果等信息。 涉及CVE 漏洞结果CVE编号。 参考链接/链接 结果相关参考链接。 修复建议/处置建议 结果修复或处置建议说明。 3. 单击“查看JSON”，查看JSON格式检测结果详情。

您可以通过如下两种方法准备模板包： 自定义模板包 步骤 1 根据需求自定义设置模板包内容。 制作模板包的方法，请参见 使用Kubernetes官方模板包 步骤 1 访问 模板包规范 以下以redis为例，在准备redis模板包时根据模板包规范制作模板包。 命名要求 模板包命名格式为：工作负载名称主版本号.次版本号.修订号.tgz，如redis0.4.2.tgz。 说明：模板包的版本号需遵循[]( " ")语义化版本规则。 主版本号、次版本号为必选，修订号为可选。 版本号的长度不能超过64个字符。 主版本号、次版本号的数值为整数，均需要≥0，且≤99。 修订号由数字、大小写英文字母即连接符组成，即[09AZaz]。 目录结构 模板包的目录结构如下所示： redis/ templates/ values.yaml README.md Chart.yaml .helmignore 目录说明如下表所示，带的为必选项： 表模板包目录说明 参数 参数说明 templates 用于存放所有的template（模板）文件。 values.yaml 用于描述template文件所需的配置参数。 须知 定义template文件配置参数时，请注意此处定义的“镜像地址”务必和容器镜像仓库中对应的镜像地址保持一致。否则创建工作负载会异常，提示镜像拉取失败。 镜像地址获取方法如下：在CCE控制台，单击左侧导航栏的“镜像仓库”，进入容器镜像服务控制台。在“我的镜像 > 自有镜像”中，单击已上传镜像的名称，在“镜像版本 ”页签的“下载指令”栏中即可获取镜像地址，单击按钮即可复制该指令。 README.md 一个markdown文件，包括： 描述Chart提供的工作负载或服务。 运行Chart的前提。 解释values.yaml文件中的配置。 安装和配置Chart的相关信息。 Chart.yaml 模板的基本信息说明。 .helmignore 设定在工作负载安装时不需要读取templates的某些文件或数据。

本文通过图文说明新增证书的操作步骤及注意事项等。 功能介绍 HTTPS为CDN的网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。HTTPS功能的具体介绍，详情请见：HTTPS配置。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录CDN控制台。 2. 在【证书管理】【证书列表】页面，找到左上角的【添加自有证书】按键。 3. 单击【添加自有证书】。 4. 选择证书类型，输入证书备注名、证书公钥和证书私钥等信息，填写完成后，单击【确定提交】。 注意 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 参数说明 证书类型 参数 说明 国际标准证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国际标准证书 证书公钥 指国际标准证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国际标准证书 证书私钥 指国际标准证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国密证书 签名证书公钥 指国密签名证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 签名证书私钥 指国密签名证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 加密证书公钥 指国密加密证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 加密证书私钥 指国密加密证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。

本文介绍如何配置CNAME。 要启用CDN安全加速服务，需要您将加速域名的DNS解析指向我们提供的CNAME，这样访问加速域名的请求才能转发到CDN节点上，达到加速效果。 1.在控制台【域名管理】的域名列表中复制加速域名对应的CNAME； 图 复制CNAME页 2.前往您的域名解析(DNS)服务商(如阿里云解析（原万网）、腾讯云解析（原DNSPod）、新网等)，添加该CNAME记录。下面以您的域名在新网为例，其他域名解析服务商请联系对应厂商技术支持处理。 3.登录新网的域名解析控制台，进入对应域名的域名解析页； 4.选择【添加新的别名】； 图 添加别名页 【记录类型】选择为 CNAME； 【主机记录】即域名的前缀。例如，要添加 example.ctyun.cn1，前缀就是example ； 【记录值】填写为您复制的CNAME值； 解析线路和TTL 默认值即可。 5.确认填写信息无误后，单击【提交】； 6.验证CDN服务是否生效； 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效； 您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，CDN功能也已生效。 图 检查域名指向页 注意: 1.配置CNAME完毕，CNAME配置生效后，安全加速服务生效 2.CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间； 3.添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录; 解析记录互斥规则： 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许) 1.X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录； 2.无限制： 在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录； 3.可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

本文为您介绍如何通过密钥管理控制台查看已创建的用户主密钥详细信息。 成功创建了用户主密钥之后，您可以通过控制台查看密钥列表以及密钥详情信息。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择密钥所在的区域。 3. 在左侧导航栏，单击 密钥管理服务 ，进入 密钥列表 。 4. 在密钥列表中，查看密钥信息。密钥列表参数说明如下表所示。 参数 说明 密钥ID 创建密钥时自动生成的密钥ID。可点击进入密钥详情。 别名 密钥的别名。 密钥状态 密钥的状态，包含： 启用中 已禁用 待删除 待导入 密钥类型 创建密钥时选择的算法类型，包含： 对称密钥：AES256、CtyunSM4（企业版支持） 非对称密钥：RSA2048、CtyunSM2（企业版支持） 密钥用途 创建密钥时选择的用途，包含： Encrypt/Decrypt Sign/Verify，仅非对称密钥支持 保护级别 创建密钥时选择的保护级别，包含： Software Hsm 创建时间 创建该密钥的时间。 操作 用户可以对密钥进行启用/禁用、计划删除密钥/取消计划删除密钥、编辑标签操作。 5. 在密钥列表点击 密钥ID ，进入 密钥详情页 。 在密钥详情区域可查看当前密钥的详细信息。 密钥详情参数说明如下表所示： 参数 说明 密钥类型 创建密钥时选择的算法类型，包含： 对称密钥：AES256、CtyunSM4（企业版支持） 非对称密钥：RSA2048、CtyunSM2（企业版支持） 密钥用途 创建密钥时选择的用途，包含： Encrypt/Decrypt Sign/Verify，仅非对称密钥支持 创建者 即Userid。 密钥状态 密钥的状态，包含： 启用中 已禁用 待删除 待导入 保护级别 创建密钥时选择的保护级别，包含： Software Hsm 创建时间 创建该密钥的时间。 删除保护 状态： 未开启 启用中 说明 开启删除保护状态的密钥，将无法直接删除该密钥，从而避免误删除密钥。若确认要将密钥删除，需要将删除保护关闭。 描述 描述信息，可修改。 在密钥详情页 的别名管理 区域，可为密钥创建别名，同时可删除不需要的别名。详情请参见别名管理。 在密钥详情页 的密钥版本 区域，可为对称密钥设置 轮转策略 ，为非对称密钥手动 更新密钥版本 ，同时可查看当前密钥的版本列表。详情请参见密钥版本管理。 对称密钥，设置轮转策略： 非对称密钥，创建密钥版本： 在密钥详情页 的云产品关联区域，可查看当前密钥绑定的天翼云云上产品。

本实践介绍了使用CDN加速访问对象存储ZOS的操作场景、前提条件与操作步骤。 操作场景 文件、图片、视频等静态资源一般只存储在对象存储ZOS的一个地域。不同地域的用户通过URL访问这些静态资源，响应速度存在差异；在互联网上频繁访问，会消耗大量的公网流出流量。 CDN加速能将源站内容分发至最接近用户的节点，大部分网站的静态文件会被CDN边缘节点缓存，使用户可就近、快速获取所需内容。 使用CDN加速访问对象存储ZOS，可以提升访问资源的响应速度，降低流量费用。 前提条件 已开通对象存储服务。 已开通CDN加速，请参见CDN加速购买指南产品开通。 如果要访问的桶在中国内地，确保域名已备案且备案信息有效。 注意 CDN从ZOS源站获取数据时，支持CDN回源流量的资源池采用CDN回源流量计费，不支持CDN回源流量的资源池采用公网流出流量计费。支持CDN回源流量的资源池有：西南1、福州25、杭州7、华北2、合肥2、华东1、武汉41、长沙42、华南2、呼和浩特3。 操作步骤 第一步：添加加速域名 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台首页，选择“CDN与视频>CDN加速服务”。 3. 在CDN控制台，点击“域名管理>域名列表”。 4. 在域名列表点击右上角“添加域名”。 5. 填写配置信息。配置详情，请参见CDN加速快速入门添加加速域名。在“回源配置>源站>新增源站”中，按以下说明配置各项参数。 参数 说明 源站类型 选择对象存储源站 源站 源站地址，即对象存储桶的访问地址。例如，bucketname.jiangsu10.zos.ctyun.cn。 层级 支持主或备。 权重 回该源站的权重值。 6. 若对象存储桶的读写权限为私有，即除桶ACL授权外的其他用户无桶的访问权限，请参见CDN加速用户指南域名管理回源配置私有Bucket回源进行回源配置。 7. 完成添加加速域名的信息配置后，点击“提交”。配置生效时间约510分钟。 第二步：配置CNAME 1. 域名添加成功后，在“域名管理>域名列表”页面，复制分配到的CNAME值。 2. 前往您的域名解析服务商处，添加CNAME记录。验证CDN加速服务是否生效。详情请参见：CDN加速快速入门配置CNAME。 第三步：访问对象存储ZOS 使用CDN加速域名访问ZOS中的对象。由于“指定源站回源HOST”为ZOS的桶域名，使用CDN加速域名访问对象存储的URL无需携带桶名，即

本文介绍硬件连接器相关的管理功能。 功能介绍 当硬件连接器接通连接网线，接通公网后，即可通过控制台进行网络配置的管理，实现远程、集中配置下发。 操作说明 1. 登录边缘安全加速平台控制台，在首页产品能力选择零信任进入工作台。 2. 在左侧导航栏选择AOne零信任网络连接器管理。 3. 进入连接器实例页面，选择对应的硬件连接器，在操作栏可进行恢复出厂、网络管理设置。 4. 在网络管理页面，通过顶部卡片切换，可进入接口配置、路由配置页面。 网络配置接口配置 物理网卡 展示硬件连接器上报的物理网卡信息，包括状态、协商速率、MAC地址、接收报文字节/包数、发送报文字节/包数。 点击刷新按钮，将获取最新的物理网卡信息。 逻辑接口 系统初始配置会创建3个逻辑接口，接口名称分别为lan、wan、wan6。 wan和wan6默认将绑定物理网卡eth0；剩余的物理网卡作为bridge绑定到lan口。 lan接口编辑 配置项 说明 接口名称 lan为系统默认生成的接口名称，不允许修改 角色 lan口的角色为LAN，即作为连接内网的接口，不允许修改 网卡 系统将未被绑定的接口作为bridge关联到lan口，不允许修改 禁用接口 勾选禁用接口，即临时停止收发数据，不再处理流量。通用用于调试、安全或网络架构调整等场景 协议 支持静态IP IPv4地址 配置接口的IPv4地址，默认为192.168.1.1 IPv4掩码 配置接口的IPv4掩码，默认为255.255.255.0 IPv6 如果需要设置IPv6地址，可开启。默认为关闭 IPv6地址 开启IPv6开启后，需配置IPv6地址及前缀长度，如：2001:DB8:130F::9C0::/64。前缀长度不能大于64 IPv6路由前缀 如要开启DHCP Server IPv6地址分配，需配置IPv6路由前缀，如：2001:DB8:130F::9C0::/64。前缀长度不能大于64 DHCP Server 角色为LAN的接口支持开启DHCP Server，即为下联的终端自动分配IP地址及DNS DHCP Server协议 支持勾选IPv4、IPv6，可多选。如果勾选IPv6需开启IPv6并配置IPv6地址、IPv6路由前缀 起始分配基址 当DHCP Server勾选IPv4时，需配置起始分配基址 最大地址分配数 当DHCP Server勾选IPv4时，需配置最大地址分配 注意 最大地址分配数应该小于IPv4网段内可用的IP数 租约时间 当DHCP Server开启时，需配置租约时间 DNS服务器（v4） 当DHCP Server勾选IPv4时，可配置DNS服务器。配置后，DNS服务器地址将下发给终端设备。如：8.8.8.8 DNS服务器（v4） 当DHCP Server勾选IPv6时，可配置DNS服务器。配置后，DNS服务器地址将下发给终端设备。如：240c::6666 备注 自定义添加说明

本文帮助您了解对象存储跨域访问设置的相关概念与配置流程。 跨域访问简介 跨域资源共享（CrossOrigin Resource Sharing，CORS）是HTML5提供的标准跨域解决方案。跨域访问，也叫JavaScript跨域访问，是浏览器出于安全考虑而设置的一个限制即同源策略（Same Origin Policy，SOP）。当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域，不同域之间的网站脚本和内容是无法进行交互的。 典型应用场景 只有在浏览器访问的情况下才会涉及CORS的使用，在使用客户端访问的时候无需担心出现跨域问题。ZOS提供HTML5协议中的跨域资源共享设置，帮助您实现跨域访问。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“权限管理”页面，找到“跨域设置”，点击“设置”按钮。 6. 在跨域设置页面点击“创建策略”。 7. 根据跨域规则参数配置说明完成跨域规则创建，并点击“确定”，完成创建。 跨域规则创建参数说明 参数 说明 :: 来源 指定允许的跨域请求的来源。配置规则如下：允许多条匹配规则，多条规则需换行填写。每行的域名或IP必须以 https:// 开头且不能以/结尾，支持通配符星号（ ），每行允许使用最多一个星号（ ），不支持输入空格和中文字符。若域名使用的不是默认端口，还需要携带端口号。例如： 域名配置示例如下： 匹配指定域名时，填写完整域名。例如： 匹配泛二级域名，可使用通配符星号（ ）。例如： .ctyun.cn。 匹配所有域名，可直接填写通配符星号（ ）。 允许Methods 指定允许的跨域请求方法。 允许Headers 指定允许跨域请求的响应头。配置规则如下：允许多条匹配规则，多条规则需换行填写。每条匹配规则最多使用一个星号（ ）通配符，不支持输入空格。建议没有特殊需求的情况下设置为星号（ ）。 暴露Headers 指定允许用户从应用程序中访问的响应头。例如一个Javascript的XMLHttpRequest对象。允许多条匹配规则，多条规则需换行填写。不支持使用星号（ ）通配符和输入空格。 暴露Headers配置值： ETag ContentType ContentLength CacheControl ContentDisposition ContentEncoding ContentLanguage Expires 缓存时间 指定浏览器对特定资源的预取（OPTIONS）请求返回结果的缓存时间。 说明 通过桶“概览”页面基础设置中的“跨域访问”，也可跳转至“权限管理”页面。

本章节向您介绍如何修改子网信息。 操作场景 本章节指导用户修改子网名称、DNS服务器地址、NTP服务器地址等。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在左侧导航栏，选择“虚拟私有云 > 子网”进入子网列表页面。 5. 在子网列表中，单击待修改的子网名称超链接，进入子网详情页面。 6. 在子网的“基本信息”页签中，单击待修改参数右侧的“修改”按钮，根据界面提示修改参数。 下表是子网参数说明表。 参数 说明 取值样例 名称 子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 subnet DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。最多支持2个IP地址，多个IP地址以英文逗号隔开。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务 100.125.x.x 域名 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 test.com IPv4 DHCP租约时间 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 NTP服务器地址 NTP时间服务器IP地址，非必填项。 您可以根据需要为子网新增NTP服务器IP地址，该地址不会影响默认NTP服务器地址。该地址为空，表示不新增NTP服务器IP地址。 最多允许输入4个格式正确且不重复的IP地址，多个IP地址请用半角逗号隔开。新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 描述 子网的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本文向您介绍如何进行Llama2模型文本生成任务。 前提条件 大模型学习机预装了Llama 27bchat模型与stablediffuisonbasev2.1模型，以及配套的开源服务框架textgenerationwebui与stablediffuisonwebui，使您不需单独进行下载模型与配置环境。 云主机开通与如何登录网页页面参见部署文档。 以下将向您介绍如何进行Llama 2模型文本生成任务： 注意 框架默认角色名称为"You", 但主流大模型默认角色名称一般为"User", 可能会导致模型效果显著变差。 修改角色名称的方式有: 1. 在网页Parameters > Chat > User标签下修改Name字段为"User"，此方法刷新页面后就会失效。 2. 修改配置文件/root/textgenerationwebui/modules/shared.py中的'name1': 'User', 并重启llama服务， 此方法永久生效。 1. 大语言模型加载 说明 以下内容基于开源框架textgenerationwebui。 1.1 基础模型加载 大语言模型体积较大，需要占用较多的内存/显存资源，因此在刚启动服务时并未进行加载，需要手动选择模型进行加载。 在页面上切换到Model标签页，左侧下拉菜单展开后会显示所有存放于云主机/root/textgenerationwebui/models目录下的模型。学习机初始预装了Llama27bchat模型(huggingface格式)，您也可随时下载其他大模型并放入models目录下进行加载。 默认Model loader：Transformers能够支持huggingface的主流大模型，在自行加载其他模型时您需要确认模型格式是否匹配。 右下角将出现模型加载样式，直至加载成功。耗时可能较长，期间不要退出页面。 注意 在加载预装的Llama27b模型时，如果您使用的是GPU学习机，模型将默认以fp16半精度进行加载，消耗13.1G显存；如果您使用的是CPU学习机，模型将以fp32单精度进行加载，消耗26G内存。 因此，如果您的机型是内存为32G或显存为16G的型号，则会因为资源不足导致无法直接加载Llama27b模型。 解决办法： (1) 参考 27b模型前先将图像生成服务关停。 (2) GPU学习机能够支持对模型进行量化，降低模型精度的同时缩减模型大小。您可以在Model页下方找到loadin8bit的开关并进行勾选，此时Llama27b模型将消耗7G内存，可以和图像生成服务中的StableDiffusion模型共存。且8bit精度对大语言模型的生成来说影响不会特别大。 注意 由于huggingface.io网站访问受限，Model标签页的Download按钮无法直接下载模型。

针对弹性云主机退订操作,为您进行说明,请在退订前务必阅读以下内容。 退订规则说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订，非七天无理由退订，不可退订，以及其他退订。 七天无理由全额退订，用户使用新购资源（含该笔新购资源订单的续订资源）七天内（含第七天），可随时通过系统完成全额退订。 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 ； 七天无理由退订标准（含退订次数）将根据业务发展适时调整，具体结果以退订时官网展示和系统显示为准； 促销活动中说明“不支持七天无理由退订”的云服务，无法申请七天无理由退订； 当同时退订多个资源时，且超过3次免费退订次数，系统按照单资源实付金额从高到低依次退订，免费次数优先覆盖高价值资源。 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。 非七天无理由退订，指使用时长已超过七天以上的用户新购资源（含续订资源），属于非七天无理由退订。非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，但符合下文“其他退订”情形的除外。 不可退订，指天翼云部分资源因技术属性、营销政策、活动优惠、特定使用群体、商务协议等各类原因，此类资源暂不支持退订。不支持退订的场景范围如下： 按需套餐包产品； 含硬件类产品和人工服务类产品； 未完工的订单； 云服务参加特殊赠送活动，明确不可退订的（如促销套餐、促销优惠券、促销优惠券礼包、优惠券计划、抽奖活动、推荐送活动等）具体以特殊赠送活动规则为准； 明确不允许退订的产品或服务。 其他退订。指因天翼云原因导致的，如创建资源失败或系统BUG，产品迭代等情况导致的用户退订。其他退订不限制退订次数，无需用户承担退订费用。

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 l 键：subnetkey1l 值：subnet01

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。 该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 键：subnetkey1 值：subnet01

本文主要介绍如何搭建后端服务。 在ECS实例上部署Nginx，编辑HTML页面，使访问ECS01时返回一个标题为“Welcome to ELB test page one!”的页面，访问ECS02时返回一个标题为“Welcome to ELB test page two!”的页面。 1. 登录弹性云主机。 2. 安装nginx。 a) 使用wget命令，下载对应当前操作系统版本的Nginx安装包。此处以CentOS 7.6版本的操作系统为例。 wget b) 执行以下命令，建立Nginx的yum仓库。此处以CentOS 7.6版本的操作系统为例。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm c) 执行以下命令，安装Nginx。 yum y install nginx d) 执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx e) 在任意终端使用浏览器访问“ 3. 修改ECS实例ECS01的html页面。 Nginx的默认根目录是“/usr/share/nginx/html”，修改“index.html”页面，用来标识到ECS01的访问。 a) 执行以下命令打开文件“index.html”。 vim /usr/share/nginx/html/index.html b) 按i键进入编辑模式。 c) 修改打开的“index.html”文件。 修改文件内容，涉及内容修改部分如下所示： ... Welcome to ELB test page one! This page is used to test the ELB ! ELB01 ELB test (page one)! ELB test (page one)! ELB test (page one)! d) 按Esc键退出编辑模式，并输入:wq保存后退出。 4. 修改ECS实例ECS02的html页面。 Nginx的默认根目录是“/usr/share/nginx/html”，修改“index.html”页面，用来标识到ECS02的访问。 a) 执行以下命令打开文件“index.html”。 vim /usr/share/nginx/html/index.html b) 按i键进入编辑模式。 c) 修改打开的“index.html”文件。 修改文件内容，涉及内容修改部分如下所示： ... Welcome to ELB test page two! This page is used to test the ELB ! ELB02 ELB test (page two)! ELB test (page two)! ELB test (page two)! d) 按Esc键退出编辑模式，并输入:wq保存后退出。 5. 使用浏览器分别访问“ 如果页面显示修改后的html页面，说明nginx部署成功。

功能 kI1s型弹性云主机的IOPS(Input/Output Operations Per Second)性能和单盘指标如下表所示。 表 ki1s型弹性云主机IOPS性能 规格名称 4KB随机读最大IOPS ki1s.2xlarge.4 750000 ki1s.4xlarge.4 1500000 ki1s.6xlarge.4 2250000 ki1s.8xlarge.4 3000000 ki1s.12xlarge.4 4500000 ki1s.16xlarge.4 6000000 表 ki1s型弹性云主机NVMe单盘指标 指标 性能 磁盘容量 3.2T 读IOPS（4KB随机读） 750000 写IOPS（4KB随机写） 200000 读吞吐量 2.9 GiB/s 写吞吐量 1.9 GiB/s 访问时延 微秒级 使用须知 鲲鹏超高IO型弹性云主机所在的物理机发生故障时，不支持弹性云主机的热迁移恢复。 −部分宿主机硬件故障或亚健康等场景，需要用户配合关闭ECS完成宿主机硬件维修动作。 −因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。鲲鹏超高IO型弹性云主机不支持规格变更。 鲲鹏超高IO型弹性云主机不支持本地盘的快照和备份。 可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： −系统盘只能部署在云硬盘上，不可以部署在本地盘上。 −数据盘可以部署在云硬盘和本地盘上。 −最多可以挂载60块盘（包括VBD盘+SCSI盘+本地盘）。其中，SCSI盘最多只能挂载30块，VBD盘最多只能挂载22块（含系统盘）。 −建议您在应用中使用wwn号进行本地盘的相关操作，不要直接使用盘符，因为Linux操作系统会有低概率盘符漂移的可能。以挂载本地盘为例： 假设本地盘的wwn号为wwn0x50014ee2b14249f6，则执行的命令为：mount /dev/disk/byid/wwn0x50014ee2b14249f6 说明： 如何查看本地盘wwn号？ 1.登录弹性云主机操作系统。 2.执行以下命令，查看wwn号。 ll /dev/disk/byid 鲲鹏超高IO型弹性云主机的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，我们强烈建议您使用云盘搭建您的弹性云主机。 删除鲲鹏超高IO型弹性云主机后，本地NVMe SSD盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云主机略长。 由于本地盘数据的可靠性取决于物理服务器和硬盘的可靠性，存在单点故障风险，建议您在应用层做好数据冗余，以保证数据的可用性，需要长期保存的业务数据建议使用云硬盘存储。 鲲鹏超高IO型弹性云主机的本地盘设备名为/dev/nvme0n1、/dev/nvme0n2等。 对于鲲鹏超高IO型弹性云主机，关机后其基础资源（包括vCPU、内存、镜像）会继续收费。如需停止计费，需删除弹性云主机。

配置日志 函数计算支持与日志服务进行集成，函数配置日志后，函数计算会自动收集日志，并把日志投递到指定的日志库。您可以在函数计算控制台查看单请求日志、实例日志、函数日志，也可以在日志服务控制台利用日志分析能力对日志进行自定义检索。 背景信息 云日志服务是天翼云提供的日志数据的一站式服务。通过云日志服务存储函数日志，需要在函数中配置日志项目和日志库，函数日志会打印到配置的日志库中。 计费说明 函数计算不会为配置日志功能收取额外的费用，日志投递到日志服务，日志服务会收取相关费用。更多信息，请参见云日志计费概述。 配置日志功能 前提条件 函数计算 创建函数 可选：天翼云日志服务 创建日志项目和日志库 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数。 2. 然后在函数页面，单击目标函数。 3. 在函数详情页面，选择配置 > 日志 ，单击编辑 ，在日志 面板设置以下配置项，然后单击部署 。 配置项 是否必填 说明 日志功能 是 是否启用日志服务，取值说明如下：启用 ：启用后，函数计算会将日志导入到您的日志项目。您可以在函数计算控制台、日志服务控制台查询与检索日志，追踪并定位问题。禁用：不启用日志功能，无法持久化函数日志，无法对问题进行追踪和定位。 配置方式 是 选择自动配置 或自定义配置 。如果选择自定义配置 ，日志项目 和日志库必填。 日志项目 是 指定存储函数调用日志的目标日志项目。 日志库 是 指定存储函数调用日志的目标日志库。 日志分割规则 否 函数计算将按日志分割规则进行切分，切分成多个日志段，并逐条写入日志服务。配置说明如下：默认 ：启用后，将按照日期格式(yyyyMMdd)分割长日志内容，具体来说，如果您的日志中包含多个以特定日期格式（例如 “20240910”）开头的行，当前日期以及下一个日期前的所有内容将作为一条独立日志写入云日志。自定义：选中自定义后，需要配置容器标准输出和文件日志，采集策略：增量/全量：函数计算将按日志分割规则进行切分，切分成多个日志段，并逐条写入日志服务。切割模式支持当行全文，多行全文，json 模式 说明 如果您在创建函数时启用日志功能，函数计算控制台会自动创建以ctyunfcfunction开头的日志项目和该日志项目下的默认日志库functionlog。该日志项目每个地域仅创建一个，不会重复创建，如系统查询到该地域下曾经自动创建过日志项目，将直接使用。 如果您在创建函数时未启用日志功能，更新函数时需要手动选择自定义日志项目和日志库。 控制台会自动启用日志分割规则，并创建查询日志需要的全部索引。

本节介绍了如何设置云数据库TaurusDB实例的自动备份策略。 操作场景 创建TaurusDB数据库实例时，系统默认开启自动备份策略，暂不支持关闭。实例创建成功后，您可根据业务需要设置自动备份策略。TaurusDB按照用户设置的自动备份策略对数据库进行备份。 TaurusDB的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段启动自动备份。 开启自动备份策略后，会自动触发一次全量备份。之后仍然会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，会将数据从实例上拷贝并上传到OBS备份空间，按照策略中的保留天数进行存放，备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟会自动生成增量备份，用户不需要设置。生成的增量备份可以用来将库表数据恢复到指定时间点。 查看或修改自动备份策略 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏，单击“备份恢复”，单击“修改备份策略”。您可以查看到已设置的备份策略，如需修改备份策略，请调整以下参数的值。 保留天数：保留天数是指自动备份可保留的时间，默认为7天，可选择范围为1～732天。对于系统中最近一个全量备份文件，如果在新的全量备份未超过保留天数前系统会一直保留，直至新的全量备份超过保留天数后才会删除。 增加保留天数，可提升数据可靠性，请根据需要设置。 减少保留天数，会针对已有的备份文件生效，即超出备份保留天数的已有备份文件（包括全量备份和增量备份）会被自动删除，但手动备份不会自动删除，请您谨慎选择。 备份时间段：默认为24小时中，间隔一小时的随机的一个时间段 ，例如01:00～02:00，12:00～13:00等。 说明 建议根据业务情况，选择业务低峰时段。备份时间段以UTC时区保存。如果碰到夏令时/冬令时切换，备份时间段会因时区变化而改变。备份时间段内如果有其他任务长时间运行，可能会导致自动全备重试多次依然发起不了，最终跳过本次全备任务。 备份周期：默认全选，可修改，且至少选择一周中的1天。 若实例的备份策略被开启，则会立即触发一个全量的自动备份。 步骤 6 单击“确定”，确认修改。

创建迁移任务 1. 登录分布式消息服务Kafka控制台。 2. 在左侧导航栏，单击集群迁移 ，然后单击迁移上云。 3. 在迁移上云 页签，单击创建任务。 4. 在创建迁移上云任务面板，填写任务名称，选择目标实例，然后单击下一步 5. 填写接入点，选择安全协议，任务数，配置信息等，具体请看参数说明。 6. 填写完参数后，单击创建 ，完成任务的创建，在任务列表能看到一条任务，状态为等待迁移，后台调度到此任务时，会将任务状态改为迁移中。 7. 其他操作 查看任务详情：单击详情。在任务详情页面，查看迁移上云任务的基础信息、源服务、目标服务和运行环境配置信息。 查看同步进度：单击同步进度，选择查看的Topic，可以看到对应Topic的分区id，最早点位，最新点位和当前点位信息。 启停任务：单击停止，然后在提示对话框，单击确认可停止任务。 参数说明： 参数 说明 示例 接入点 源实例的接入点信息 192.168.XX.XX:9092 安全协议 选择源实例的安全协议。支持PLAINTEXT和SASLPLAINTEXT。 PLAINTEXT：源实例的接入点需为免密接入点 SASLPLAINTEXT：源实例的接入点需为鉴权接入点 SASL 用户名：填写SASL用户名，需为超级用户，防止权限不足导致迁移失败 SASL 密码：填写SASL密码 SaslMechanism：SASL认证机制。可选择PLAIN、SCRAMSHA256和SCRAMSHA512。 PLAINTEXT 任务数 选择同步数据的任务数。取值说明如下：1、6、12 1 迁移完成后自动停止任务 迁移任务会自动检测是否完成迁移 是：在检测到消息数据完成同步后停止任务 否：不停止任务，您可以手动停止任务 否 同步topic acls 迁移数据时是否同步Topic ACLS。单击配置运行环境显示该参数。默认选择否。 是：迁移数据时会将源实例的Topic ACLS信息同步到目标实例。若源实例是自建实例，需要您在目标实例重新创建SASL用户。 否：迁移数据时不会将源实例的Topic ACLS信息同步到目标实例。 否 同步消费组 迁移数据时是否将源实例的消费组和对应的点位信息同步创建在目标实例。单击配置运行环境显示该参数。默认选择是。 否 Topic 要迁移的topic信息，选填，多个用半角逗号分开，不填则迁移所有topic topic1,topic2 Groups 要迁移的group信息，选填，多个用半角逗号分开，不填则迁移所有group group1,group2 副本数是否和源集群保持一致 迁移到目标集群的topic的副本数是否和源集群保持一致，默认否 是：副本数是否和源集群保持一致，如原集群topic副本数为1，迁移后的topic副本数也为1 否：迁移后topic的副本数为3 否

通过设置命名空间级别的资源配额，实现多团队或多用户在共享集群资源的情况下限制团队、用户可以使用的资源总量，包括限制命名空间下创建某一类型对象的数量以及对象消耗计算资源（CPU、内存）的总量。 前提条件 您已成功创建一个Kubernetes集群，参见购买混合集群。 您已成功创建一个命名空间，参见创建命名空间。 背景信息 默认情况下，运行中的Pod可以无限制的使用Node节点上的CPU和内存，这意味着任意一个Pod都可以无节制地使用集群的计算资源，某个命名空间的Pod可能会耗尽集群的所有资源。 kubernetes在一个物理集群上提供了多个虚拟集群，这些虚拟集群被称为命名空间。命名空间可用于多种工作用途，满足多用户的使用需求，通过为每个命名空间配置资源额度可以有效限制资源滥用，从而保证集群的可靠性。 您可为命名空间配置包括CPU、内存、Pod数量等资源的额度，更多信息请参见Resource Quotas。 其中，不同的集群规模对应的Pod数量推荐值如下： 维度 集群规模 Pod数量推荐值 规格 50节点 2500 Pod实例 规格 200节点 1W Pod实例 规格 1000节点 3W Pod实例 规格 2000节点 5W Pod实例 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 单击对应命名空间后的“配额管理”，单击“编辑配额”。 系统级别的命名空间kubesystem、kubepublic默认不支持设置资源配额。 步骤 4 设置资源配额，单击“确定”。 CPU（Core）：限制命名空间下工作负载实例（Pod）能申请CPU资源的最大值。单位为“核”。 内存（MiB）：限制命名空间下工作负载实例能申请内存资源的最大值。单位为MiB。 有状态工作负载（StatefulSet）：限制命名空间下能创建有状态负载的最大数量。 无状态工作负载（Deployment）：限制命名空间下能创建无状态负载的最大数量。 普通任务（Job）：限制命名空间下能创建普通任务的最大数量。 定时任务（CronJob）：限制命名空间下能创建定时任务的最大数量。 实例（Pod）：限制命名空间下能创建实例的最大数量。 服务（Service）：限制命名空间下能创建服务的最大数量。 须知： 命名空间设置了CPU或内存资源配额后，创建工作负载时，必须指定CPU或内存的请求值（request）和约束值（limit），否则CCE将拒绝创建实例。若设置资源配额值为0，则不限制该资源的使用。 配额累计使用量包含CCE系统默认创建的资源，如default命名空间下系统默认创建的kubernetes服务（该服务可通过后端kubectl工具查看）等，故建议命名空间下的资源配额略大于实际期望值以去除系统默认创建资源的影响。