本文为您介绍BOT防护功能说明，以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 配置内容安全网关代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”即可。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

本节介绍如何续订私有证书。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 在待续费证书的“操作”列单击“证书续订”。 4. 在跳转的页面中确认续订证书的信息，选择证书有效期。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请私有（内网）证书。

本小节介绍证书管理服务产品续订。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订操作步骤 1. 进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2. 在待续费证书的“操作”列单击“证书续订”。 3. 在跳转的页面中确认续订证书的信息，选择证书有效期。 4. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请SSL证书。

本文介绍开通媒体存储的具体步骤。 订购须知 天翼云门户目前仅支持媒体存储中标准型对象存储能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 存储区域：目前支持海南资源池2区。 开通流程 说明 预付费客户订购媒体存储，需具备已通过实名认证的天翼云账号且确保现金余额+可用信用额度+通用代金券不低于100元。 1. 登录天翼云官网。 2. 进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，勾选“我已阅读，理解并接受 《天翼云媒体存储系统服务协议》”，点击“立即开通”。 4. 在跳转的订单页面完成支付，订单状态为【已完成】，即成功开通媒体存储。 5. 访问媒体存储控制中心：进入媒体存储产品详情页，点选“管理控制台”。 6. 进入控制台页面后，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 注意 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 7. 区域新增完成后，点选【对象存储】菜单，即可开始使用对象存储服务。具体可参考：控制台使用指南对象存储。

桶策略和ACL的关系 桶ACL可以授权用户对桶及桶内对象进行读写和权限控制操作，而桶策略可以授权用户操作桶的更多高级设置。 对象ACL则是授权用户对桶内对象进行具体的读写操作。 如何选择？ 以下情况推荐使用桶策略： 不同的用户需要使用不同的权限时。 用户需要使用桶的高级配置功能时。 以下情况推荐使用ACL： 需要对单独对象进行额外的授权时。 需要开放某个对象给所有匿名用户访问时。 仅对桶或对象需要基础的读写权限时。 映射关系 桶ACL用于桶基本的读写权限设置，而桶策略用于授权更精细化的访问权限，包括资源与动作。桶ACL是基本的桶策略，可以被桶策略替代管理桶的访问权限。 桶策略动作的映射关系如下表： ACL权限 选项 对应桶策略高级设置中的动作 桶访问权限 读取权限 HeadBucket ListBucket ListBucketVersions ListBucketMultipartUploads 桶访问权限 写入权限 PutObject DeleteObject DeleteObjectVersion ACL访问权限 读取权限 GetBucketAcl ACL访问权限 写入权限 PutBucketAcl 对象ACL和桶策略的映射关系如下表： 对象ACL权限 选项 对应桶策略高级设置中的动作 对象访问权限 读取权限 GetObject GetObjectVersion ACL访问权限 读取权限 GetObjectAcl GetObjectVersionAcl ACL访问权限 写入权限 PutObjectAcl PutObjectVersionAcl 相关概念 账号/天翼云用户：指开通了天翼云的用户，该用户拥有对其资源的完全控制权限。 匿名用户：指未开通天翼云的用户或来自互联网的所有访客。

本章节主要介绍跨源连接相关问题中有关跨源连接运维报错的问题。 新建跨源连接，显示已激活，但使用时报communication link failure错误 原因 网络连通性问题，建议用户检查安全组选择是否正确，检查安全组网络（vpc）配置。 解决方法： 示列：创建RDS跨源，使用时报“communication link failure”错误。 a. 将原有跨源连接删除重新创建。再次创建时，必须确保所选“安全组”、“虚拟私有云”、“子网””和“目的地址”与RDS中的设置完全一致。 说明 请选择正确的“服务类型”，本示例中为“RDS”。 b.检查安全组网络（vpc）配置。 若按照步骤1重建跨源连接后还是报错“communication link failure”，则检查vpc配置。 跨源访问MRS HBase，连接超时，日志未打印错误 用户在跨源连接中没有添加集群主机信息，导致KRB认证失败，故连接超时，日志也未打印错误。建议配置主机信息后重试。 在“增强型跨源”页面，单击该连接“操作”列中的“修改主机信息”，在弹出的对话框中，填写主机信息。格式为：“IP 主机名/域名”，多条信息之间以换行分隔。 详细操作请参考《数据湖探索用户指南》中的“修改主机信息”章节。 DLI跨源连接报错找不到子网 跨源连接创建对等连接失败，报错信息如下： Failed to get subnet 2c2bd2ed72964c649b60ca25b5eee8fe. Response code : 404, message : {"code":"VPC.0202","message":"Query resource by id 2c2bd2ed72964c649b60ca25b5eee8fe fail.the subnet could not be found."} 创建跨源连接之前，需要确认是否勾选了“VPC Administrator”，如果只是勾选了全局的tenant administrator，会提示找不到子网。

名称 描述 说明 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接，域名解析服务会对每个客户端随机选择一个内网/公网IP地址，其解析机制并不能保证负载均衡，同样也存在CN单点问题。因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB）解决集群访问的单点问题。 EIP 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 Ring 安全环，集群内部的故障隔离域，主要作用是故障隔离，环内主机出现故障，故障不会扩散到环外。 如果环内某一单节点故障，所有DN节点在环内都有副本，数据不会丢失。 例如Server1发生故障后，DN1的备节点在Server2上，DN2的备节点在Server3上，DN3的备节点在Server3上，每个Server运行4个主DN，环内的各主机性能仍然保证均衡。 整个集群可以承受的主机故障数量范围为1~安全环的数量。 说明 集群按照安全环节点数量的倍数进行扩容，也就是以环为最小单位进行扩容。

包年/包月注册配置中心到期后会影响注册配置中心正常运行。如果您想继续使用，需要在指定的时间内为注册配置中心续费，否则注册配置中心将被删除，数据丢失且不可恢复。 续费操作仅适用于包年/包月注册配置中心，按需计费云服务器不需要续费，只需要保证账户余额充足即可。 注册配置中心在到期前续费成功，所有资源得以保留，且注册配置中心运行不受影响。 续费相关的功能 包年/包月注册配置中心续费相关的功能如下表所示。 功能 说明 手动续费 包年/包月注册配置中心从购买到被自动删除之前，您可以随时在费用中心为其续费，以延长注册配置中心的使用时间。 自动续费 开通自动续费后，注册配置中心会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。 在一个包年/包月注册配置中心生命周期的不同阶段，您可以根据需要选择一种方式进行续费。 注册配置中心从购买到到期前，处于正常运行阶段，资源状态为“使用中”。 到期后，资源状态变为“已过期”。 到期未续费时，注册配置中心首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除。 在注册配置中心到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至注册配置中心到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

启动本地服务中心 1、进入本地开发工具，根据具体环境下的操作系统、CPU架构，下载对应版本的本地开发工具压缩包到本地并解压缩到安装目录。 2、启动CSE。 Linux/Unix系统，进入安装根目录，执行如下命令： nohup sh start.sh >/dev/null 2>&1 & Windows系统，进入安装根目录，双击cse.exe文件启动。 3、停止CSE。 Linux/Unix系统，进入安装根目录，执行如下命令： sh stop.sh Windows系统，关闭命令行窗口。 mesher性能损耗是多少？ 服务网格技术实际利用了网络流量劫持的方式来管理服务间流量，除了mesher本身内部的逻辑处理会耗时之外，还会引起额外的用户态和内核态间转换（CPU会有额外消耗），而前者相对于后者性能影响极小，因此性能损耗基本取决于网络中传输的payload大小。以http协议举例，影响传输速度的就是header、body等内容的大小。mesher一次端到端调用中的延迟为1ms，一个典型的用户测试过自己真实的业务调用，加上mesher后，延迟高了4ms，在用户可接受范围内。 连接服务中心提示“Version validate failed”如何解决？ 原因是使用了新版本的SDK，却连接服务中心老版本的SDK。此时应检查服务中心的版本。可以从官网下载最新版本的服务中心，或者从ServiceComb官网下载最新版本的服务中心。 连接服务中心提示“Not enough quota”如何解决? 原因是没有足够的额度增加服务实例。此时应登录云控制台，在微服务引擎页面，可以看到实例个数的额度。如果发现页面有额度，需要检查下代码配置的服务中心地址和区域信息。

限制项 默认限制 能否修改 API分组数量 每个用户最多创建50个API分组。 √ API数量 每个用户最多创建200个API。 √ 后端策略数量 每个用户最多创建5个后端策略。 √ 应用数量 每个用户最多创建50个应用。应用配额包括用户自行创建的应用和API市场购买API生成的应用。 √ 流控策略数量 每个用户最多创建30个流控策略。 用户流量限制不超过API流量限制。 应用流量限制不超过用户流量限制。 源IP流量限制不超过API流量限制。 √ 环境数量 每个用户最多创建10个环境。 √ 签名密钥数量 每个用户最多创建30个签名密钥。 √ 访问控制策略数量 每个用户最多可以创建100个访问控制策略。 √ VPC通道数量 每个用户最多创建30个VPC通道。 √ 变量数量 每个分组在任意一个环境中，最多创建50个变量。 √ 独立域名数量 每个分组最多可以绑定5个独立域名。 √ 云服务器数量 每个VPC通道最多添加200个云服务器。 √ 参数数量 每个API最多创建50个参数。 √ 发布历史数量 同一个API在每个环境中最多记录10条最新的发布历史。 √ 每个API的访问频率 不超过200次/秒。 √ 特殊应用 每个流控策略最多可创建30个特殊应用。 √ 特殊租户 每个流控策略最多可创建30个特殊租户。 √ 子域名访问次数 每个子域名每天最多可以访问1000次。 x 调用请求包的大小 API每次最大可以调用12M的请求包 x TLS协议 支持TLS1.1和TLS1.2，推荐使用TLS1.2。 x 实名认证 未实名认证的用户，无法进行任何的创建操作。 x

本文向您介绍通过企业版VPN实现数据中心和VPC互通的入门指引。 场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如下图所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响；连接1恢复正常后，VPN仍使用连接2进行数据交互。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网下图所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 约束与限制 对端网关需要支持标准IKE和IPsec协议。 本地数据中心和VPC间互通的子网需要没有重叠，且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。 如果VPC使用云专线服务和其他VPC互通，则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。

本章节向您主要介绍什么是VPN连接、VPN连接的组成部分以及如何访问VPN连接服务。 产品概述 虚拟专用网络（Virtual Private Network，以下简称VPN），用于在企业用户本地网络、数据中心与天翼云云上网络之间搭建安全、可靠、高性价比的加密连接通道。 VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口，与用户数据中心的对端网关对应。 VPN连接通过加密技术，将VPN网关与对端网关相关联，使数据中心与VPC通信，更快速、更安全地构建混合云环境。 组成部分 VPN网关 ：虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 对端网关 ：用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象，用于记录用户数据中心实体设备的配置信息。 VPN连接 ：VPN网关和对端网关之间的安全通道，使用IPsec协议对传输数据进行加密。 访问方式 VPN服务提供了Web化的服务管理平台，即管理控制台。用户可以登录管理控制台访问VPN服务。 如果用户已注册帐户，可直接登录管理控制台，在主页选择“网络 > VPN”。 如果未注册，可先注册天翼云账号后，再使用VPN服务。 约束与限制 VPN服务仅支持VPN网关与对端网关间通过IPSec协议建立安全通道，从而进行点对点通信，不支持SSL VPN能力。 VPN仅支持建立非跨境连接，不支持建立跨境连接。

本章节会介绍SQL Server的只读实例功能特点 产品简介 目前，云数据库Microsoft SQL Server仅2017企业版及以上版本的实例支持新增只读实例。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个节点的架构（没有备节点），采用SQL Server的原生复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响，只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 备份设置：不支持自动备份设置以及手动备份。 实例恢复：不支持通过备份文件或任意时间点创建只读实例，不支持通过备份集覆盖只读实例。 数据迁移：不支持将数据迁移至只读实例。

本章节会介绍关系型数据库如何将按需计费转为包周期计费 操作场景 关系型数据库服务支持单个按需实例转为包周期（包年/包月）实例。由于按需资源费用较高，需要长期使用资源的按需用户可以选择对按需资源进行转包周期，继续使用这些资源的同时，享受包周期的优惠资费。 说明 运行状态为冻结、创建失败、规格变更中、扩容中的实例不支持按需实例转包周期。 专属云RDS目前仅支持按需计费。 操作步骤 步骤1：登录管理控制台。 步骤2：单击管理控制台左上角的，选择区域和项目。 步骤3：选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4：在“实例管理”页面，选择目标实例，单击“操作”列的“转包周期”，进入“按需转包周期”页面。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“计费信息”模块的“计费模式”处，单击“转包周期”，进入“按需转包周期”页面。 步骤5：选择续费规格，以月为单位，最小包周期时长为一个月，如果订单确认无误，单击“提交”，进入“支付”页面。 步骤6：选择支付方式，单击“确认付款”。 按需转包周期创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 在实例列表的右上角，单击刷新列表，可查看到按需转包周期完成后，实例状态显示为“正常”。“计费模式”显示为“包年/包月”。

本文主要介绍 CCE发布Kubernetes 1.19版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.19版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.19版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.19.10 Kubernetes 1.19版本弃用部分常用的APIVersion。建议您在升级集群前对本文档中所列举的弃用APIVersion进行相应升级。 CCE集群 Docker CentOS：18.09.0.100 Ubuntu：18.09.9 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 社区1.19 ReleaseNotes 增加对vSphere intree卷迁移至vSphere CSI驱动的支持。intree vSphere Volume插件将不再使用，并在将来的版本中删除。 apiextensions.k8s.io/v1beta1已弃用，推荐使用apiextensions.k8s.io/v1。 apiregistration.k8s.io/v1beta1已弃用，推荐使用apiregistration.k8s.io/v1。 authentication.k8s.io/v1beta1、authorization.k8s.io/v1beta1已弃用，1.22将移除，推荐使用authentication.k8s.io/v1、authorization.k8s.io/v1。 autoscaling/v2beta1已弃用，推荐使用autoscaling/v2beta2。 coordination.k8s.io/v1beta1在1.19中已弃用，1.22将移除，推荐使用v1。 Kubeapiserver: componentstatus API已弃用。 Kubeadm：kubeadm config view命令已被弃用，并将在未来版本中删除，请使用kubectl get cm o yaml n kubesystem kubeadmconfig来直接获取kubeadm配置。 Kubeadm：弃用kubeadm alpha kubelet config enabledynamic命令。 Kubeadm：kubeadm alpha certs renew命令useapi参数已弃用。 Kubernetes不再支持构建hyperkube镜像。 Remove export flag from kubectl get command kubectl get中移除 export参数。 alpha特性“ResourceLimitsPriorityFunction”已完全删除。 storage.k8s.io/v1beta1已弃用，推荐使用storage.k8s.io/v1。

配置 说明 是否迁移数据库账号和权限 请根据实际情况选择是否迁移源库的账号和权限。若选择“是”： 会对源库账号的授权信息和目标库登录用户的授权信息进行检查；如果目标库登录用户不包含源库账号所需的授权信息，则该源库账号的权限不进行迁移。 如果源库和目标库存在相同的账号信息，则在目标端会跳过该账号和权限的迁移。 账号迁移在所有表，视图，函数等结构迁移完成之后再迁移。 是否将目标库实例属性设置为只读 请根据实际情况选择是否将目标库实例属性设置为只读，仅当目标库为云实例时可设置。若选择“是”，则DTS任务运行时，目标库实例只允许DTS进行写操作，其它均不可写。 是否限制全量迁移速率 请根据实际情况选择是否设置全量限速。若选择“限速”，则可以按每秒全量迁移的行数RPS、每秒全量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 是否限制增量迁移速率 请根据实际情况选择是否设置增量限速。若选择“限速”，则可以按每秒增量迁移的行数RPS、每秒增量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 大小写策略 请根据实际情况选择大小写策略。大小写策略适用于当前配置页面上未选择或修改的级别数据，如选择了整库则针对表名和列名做转换， 如果选择了表，则对列名做转换。 选择"源和目标保持一致"时，目标库将和源库保存一致。 选择“转换为小写”时，目标库的对象名将转换为小写。

配置 说明 是否迁移数据库账号和权限 请根据实际情况选择是否迁移源库的账号和权限。若选择“是”： 会对源库账号的授权信息和目标库登录用户的授权信息进行检查；如果目标库登录用户不包含源库账号所需的授权信息，则该源库账号的权限不进行迁移。 如果源库和目标库存在相同的账号信息，则在目标端会跳过该账号和权限的迁移。 账号迁移在所有表，视图，函数等结构迁移完成之后再迁移。 是否将目标库实例属性设置为只读 请根据实际情况选择是否将目标库实例属性设置为只读，仅当目标库为云实例时可设置。若选择“是”，则DTS任务运行时，目标库实例只允许DTS进行写操作，其它均不可写。 是否限制全量迁移速率 请根据实际情况选择是否设置全量限速。若选择“限速”，则可以按每秒全量迁移的行数RPS、每秒全量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 是否限制增量迁移速率 请根据实际情况选择是否设置增量限速。若选择“限速”，则可以按每秒增量迁移的行数RPS、每秒增量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 大小写策略 请根据实际情况选择大小写策略。大小写策略适用于当前配置页面上未选择或修改的级别数据，如选择了整库则针对表名和列名做转换， 如果选择了表，则对列名做转换。 选择"源和目标保持一致"时，目标库将和源库保存一致。 选择“转换为小写”时，目标库的对象名将转换为小写。

本文对创建镜像会话的操作步骤进行说明。 使用场景 通过创建镜像会话，可以将网络流量从一个网卡复制到另一个网卡，从而实现实时的网络监控和分析。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成筛选条件的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，点击右上角的“创建镜像会话”按钮。 6. 根据界面提示，配置名称、描述、VNI参数，然后单击“下一步”，具体配置参数如下： 参数 说明 名称 输入镜像会话的名称输入范围232位，支持大小写英文字母和数字，以英文字母开头。 描述 输入镜像会话的描述信息 VNI 指定一个VNI来区分不同的镜像流量，取值范围为1~16777215。支持自定义VNI的值。 1、对于地域资源池来说，同一用户同一资源池内不允许重复。 2、对于可用区资源池来说，同一用户同一资源池内允许重复。 7. 在关联筛选条件页面，列表展示所有筛选规则，选择一个筛选条件，然后单击“下一步”。 8. 在关联镜像源页面，列表展示所有网卡，选择需要镜像流量的网卡，然后单击“下一步”。 9. 在关联镜像目的页面，选择目标网卡作为镜像目的，单击“下一步”。 10. 对创建的信息进行确认，确认无误后点击“创建”。 11. 配置完成后，单击“返回”或静待几秒后即可回到镜像会话展示界面。 说明 同一个网卡不能即作为镜像源又作为镜像目的。

本节介绍云容器引擎的最佳实践： 应用高可用部署推荐。 基本原则 可参考如下几点，实现容器应用高可用部署： 1. 集群控制节点高可用，控制节点数大于等于3； 2. 集群需有多个属于不同可用区的节点，业务根据自身需求合理配置调度策略，以实现多可用区部署及资源均匀分配； 3. 创建多个在不同可用区的节点池，通过节点池做节点伸缩； 4. 工作负载实例数需大于等于2； 5. 配置工作负载的亲和性规则，让Pod尽量分布在不同可用区、不同节点上。 操作步骤 假设集群3个控制节点和3个工作节点，工作节点可用区分布如下所示： $ kubectl get node L topology.kubernetes.io/zone grep v master NAME STATUS ROLES AGE VERSION ZONE ccseagent1b54ffbc17 Ready 40m v1.25.6 cnxinan11A ccseagent59ab9e7689 Ready 38m v1.25.6 cnxinan12A ccseagenta7527e3e80 Ready 36m v1.25.6 cnxinan13A 创建工作负载，如下所示，定义两条podAntiAffinity反亲和性规则： 工作负载多实例配置可用区反亲和，参数设置如下： 权重weight：权重值越高会被优先调度，本示例设置为50； 拓扑域topologyKey：为节点标签，用于指定调度时的作用域，下述示例为topology.kubernetes.io/zone，该标签用于识别节点在哪个可用区。 标签选择labelSelector：选择Pod的标签，与工作负载本身反亲和。 工作负载多实例配置节点反亲和，参数设置如下： 权重weight：设置为50； 拓扑域topologyKey：为标签kubernetes.io/hostname，该标签值为节点名； 标签选择labelSelector：即工作负载多个实例Pod的标签，实例间反亲和。 kind: Deployment apiVersion: apps/v1 metadata: name: demo namespace: default spec: replicas: 2 selector: matchLabels: app: demo template: metadata: labels: app: demo spec: containers: name: container0 image: nginx:latest resources: limits: cpu: 300m memory: 512Mi requests: cpu: 400m memory: 512Mi affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: weight: 50 podAffinityTerm: labelSelector:

本节介绍了：使用 cubeopenkruise 使用应用原地升级的用户指南。 使用 cubeopenkruise 使用应用原地升级 OpenKruise是基于Kubernetes的一个标准扩展组件，可以配合原生Kubernetes使用，高效管理应用容器、Sidecar及镜像分发等功能。本文介绍如何使用OpenKruise部署云原生应用。 前提条件 已安装Kubernetes托管版集群，且集群版本不低于1.23。 背景信息 OpenKruise包含了多种自定义Workload，用于无状态应用、有状态应用、Sidecar容器、Daemon应用等部署管理，提供了原地升级等扩展策略。 使用说明 OpenKruise包含CloneSet、Advanced StatefulSet、Advanced DaemonSet等控制器。常用控制器说明如下： 控制器 功能 CloneSet 管理无状态应用，对标Kubernetes原生Deployment。关于CloneSet的详细介绍，请参见Cloneset。资源（YAML）的字段与Deployment不完全兼容，但功能上全覆盖，并提供比Deployment更丰富的策略。 Advanced StatefulSet 管理有状态应用，对标Kubernetes原生StatefulSet。关于Advanced StatefulSet的详细介绍，请参见Advanced StatefulSet。资源（YAML）字段与原生StatefulSet完全兼容，只需要把apiVersion改为apps.kruise.io/v1alpha1，另外提供了optional字段来扩展发布策略（原地升级、并行发布等） Advanced DaemonSet 管理Daemon应用，对标Kubernetes原生DaemonSet。关于Advanced DaemonSet的详细介绍，请参见Advanced DaemonSet。资源（YAML）字段与原生DaemonSet完全兼容，只需要把apiVersion改为apps.kruise.io/v1alpha1，另外提供了optional字段来扩展发布策略（热升级、灰度、按Node标签灰度等 SidecarSet 独立管理Sidecar容器和注入。关于SidecarSet的详细介绍，请参见SidecarSet。在独立CR中定义Sidecar容器和Label Selector，OpenKruise会在所有符合Selector条件的Pod创建时注入定义好的Sidecar容器，并支持对已注入Sidecar容器做原地升级 UnitedDeployment 管理不同区域下的多个Sub Workload，关于UnitedDeployment的详细介绍，请参见UnitedDeployment。目前支持将CloneSet、StatefulSet、Advanced StatefulSet作为Sub Workload，您可以用一个UnitedDeployment来定义不同区域中的Sub Workload部署Replicas。

本文主要介绍通过Helm v2客户端部署应用。 云容器引擎各region将逐步切换至Helm v3。模板管理不再支持Helm v2版本的模板，若您在短期内不能切换至Helm v3，可通过Helm v2 客户端在后台管理v2版本的模板。 前提条件 在CCE中创建的Kubernetes集群已对接kubectl，具体请参见使用kubectl连接集群。 注意事项 CCE当前会尝试转换v2模板实例到v3模板实例。若在后台操作Helm v2模板实例，删除实例后，发现CCE 模板管理页面仍有实例信息，单击删除即可。 安装Helm v2 本文以Helm v2.17.0为例进行演示。 如需选择其他合适的版本，请访问 步骤 1 在连接集群的虚拟机上下载Helm客户端。 wget 步骤 2 解压Helm包。 tar xzvf helmv2.17.0linuxamd64.tar.gz 步骤 3 将helm拷贝到系统path路径下，以下为/usr/local/bin/helm。 mv linuxamd64/helm /usr/local/bin/helm 步骤 4 因为Kubernetes APIServer开启了RBAC访问控制，所以需创建tiller使用的service account:tiller并给其分配clusteradmin这个集群内置的ClusterRole。按如下创建tiller的资源帐户。 vim tillerrbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: tiller namespace: kubesystem apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: tiller roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: clusteradmin subjects: kind: ServiceAccount name: tiller namespace: kubesystem 步骤 5 部署tiller资源帐户。 kubectl apply f tillerrbac.yaml 步骤 6 初始化Helm, 部署tiller的Pod。 helm init serviceaccount tiller skiprefresh 步骤 7 查看状态。 kubectl get pod n kubesystem l apphelm 回显如下 NAME READY STATUS RESTARTS AGE tillerdeploy7b56c8dfb7fxk5g 1/1 Running 1 23h 步骤 8 查看helm版本。

本文为您介绍云搜索实例内用户的创建和权限配置功能。 原理介绍 系统默认有admin用户，在admin用户下，可以创建不同用户。 账号密码提供了身份认证（authc），通过角色的映射实现了授权（authz），两者共同实现了多用户下的安全控制。 功能介绍 Elasticsearch和OpenSearch的此项功能类似，下面以OpenSearch Dashboards为例说明。 在OpenSearch Dashboards的左边栏Security菜单中，用户可以实现集群、索引、文档、字段等不同粒度的访问权限管控，并且提供灵活的用户删除、用户和角色的绑定和解绑。 下面，我们就以创建新用户并赋予它一个具备一定的访问权限的角色为例。 注意 必须登录admin账号创建其他用户。 1、创建Internal users 点击左边栏Security后，选择右上角Create internal user来创建用户。在页面中，我们输入用户名密码，并点击右下角“Create”创建用户。 用户创建完成后，我们自动返回Internal users界面，可以看到search用户已经创建完成。 2、创建角色 角色通过索引、实例多维度的精细访问控制，实现对实例、索引权限的安全组划分。如果复用已有的默认角色（不可删除），则无需创建，可以跳过此步骤。 下面我们将演示如何自定义角色。 登录左边栏Security界面，选择Roles，并且在右上角点击Create role： 1. 我们分别创建了角色名SearchRole，并且，在Cluster permission中给它赋予了相应的安全组权限。 2. 我们给它设定了索引级别的更细粒度的Index permission。 3. 下面还可以设置Document和Field维度的进一步细粒度的权限控制。 4. 点击右下角的Create ，就可以创建好角色SearchRole。

本页面介绍云数据库ClickHouse如何通过控制台查看正在执行的查询。 提供运行中的SQL详情，支持按用户、SQL关键字和查询ID维度查询并提供提供终止选定SQL的处理，达到临时释放资源的目的： 我们提供了查询监控功能，该功能允许您查看正在运行的查询，并提供以下信息： 信息 描述 用户 显示执行查询的用户。这可以帮助您追踪和监视不同用户的查询活动，并对用户权限进行管理。 请求IP 显示发起查询的客户端的IP地址。通过此信息，您可以了解查询的来源和执行环境。 请求ID 每个查询都有一个唯一的请求ID。此ID可以用于标识和跟踪特定的查询，以便在需要时进行调查和分析。 已执行时间 显示查询已经执行的时间。您可以根据已执行时间来评估查询的性能和执行效率。 读取行数 表示查询期间从数据库中读取的行数。这可以帮助您了解查询的数据访问模式和查询的结果集大小。 使用内存 显示查询期间使用的内存量。通过监控内存使用情况，您可以评估查询的内存消耗，并进行性能优化和资源管理。 SQL语句 显示实际执行的SQL查询语句。这对于理解查询逻辑和分析查询性能非常有用。 通过查询监控，您可以实时了解系统中当前正在执行的查询情况。您可以看到每个查询的用户是谁，请求的IP地址是什么，请求的ID是多少，已执行的时间有多长，读取的行数是多少，使用的内存量是多少，以及具体的SQL语句是什么。 此外，我们还提供了终止查询的功能。您可以选择终止单个查询，或者选择终止所有正在运行的查询。这使您能够对查询进行管理和优化，确保系统的运行效率和资源利用。 通过查询监控功能，您可以更好地了解和控制系统中的查询活动，以提高性能、优化资源使用，并及时处理问题查询。

本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

本文介绍验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值dnsverify。 根据域名随机生成TXT记录值。 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 1.在您的主域名源站根目录下，创建文件名为dnsverify.txt的文件（文件名为固定值），文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准），根据域名随机生成TXT记录值。 2.文件在主域名源站根目录下创建完成后，即可进行访问验证（示例的www.ctcdn.cn的文件验证需要访问 windows验证： linux验证： 3.如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文介绍如何模拟访问测试及前提须知。 在客户控制台成功添加加速域名后，为保障DNS解析顺利切换且不影响客户的现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 前提须知 1. 客户在天翼云控制台新增域名时，需先通过域名归属权验证。详见：验证域名归属权。 2. 通过域名归属权验证后，可前往天翼云控制台，在“添加域名”界面点击验证，验证通过就可以正常操作新增域名。详见：添加加速域名。 3. 客户在控制台【域名管理】中添加的域名源站可正常访问。 操作步骤 1. 在天翼云客户控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景。 4. 验证内容： 成功绑定HOSTS文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在HOSTS文件中绑定的IP一致，表示HOSTS文件配置正确。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例URL，或者必要的核验步骤，验证相关功能的准确性。例如在浏览器中访问一个源站存在的URL，查看对应URL返回的状态码是否200；一般首次访问全站加速节点，如全站加速节点可正常回源获取该文件，则会返回200状态码至客户端。如果返回状态码非200或其他功能验证不符合预期，请提交工单联系天翼云客服处理。

普通IO、高IO、通用型SSD、超高IO、极速型SSD云硬盘采用三副本数据冗余技术,提高数据的可靠性。 什么是三副本数据冗余？ 数据三副本技术是一种在分布式存储系统中使用的数据冗余技术。它的原理是将数据分块后的三个副本保存在集群中不同的节点上，以提高数据的可靠性和容错性。 数据三副本技术的基本原理如下： 数据复制：当数据被写入分布式存储系统时，系统会自动将该数据分块并复制为三个副本。 副本分布：这三个副本将分散存储在不同的物理节点或存储设备上，以减少副本之间的关联性。这样，即使某个存储节点或设备发生故障，其他节点上的副本仍然可用。 容错和数据恢复：如果一个副本不可用或损坏（例如由于存储节点故障或硬件故障），系统可以使用其他副本中的数据来实现容错和数据恢复。系统会自动检测并修复副本中的数据错误或丢失。 三副本技术架构如图： 三副本技术怎样确保数据一致性？ 数据一致性表示当应用写一份数据到存储系统时，存储系统中的3个数据副本必须保持数据一致。且当应用再次读取这些数据时，任意副本上的数据和之前写入的数据都是一致的。 通常从两个角度确保数据一致性： 应用程序写数据时，会向存储系统中写入三份数据副本。只有当三个副本都写入成功后，存储系统才会向应用程序返回写入成功响应。 如果有数据副本无法读取，则存储系统会自动从其他已保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，自动修复损坏的副本，确保数据一致性。

本文简要介绍如何创建前缀列表。 前缀列表是一些网络前缀（即CIDR地址块）的集合，您可以在配置其他资源的网络规则时引用前缀列表。本文介绍如何新建一个前缀列表。 操作场景 您可以创建前缀列表，即CIDR地址块的集合，在配置其他资源（例如安全组）的网络规则时引用前缀列表。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 点击页面右上角“创建前缀列表”按钮，进入创建前缀列表页面。 6. 根据界面提示配置参数，设置前缀列表信息；参数说明如下： 参数 说明 名称 输入前缀列表名称 最大条目数 设置前缀列表的最大条目容量，创建后不可更改。取值范围：1~200 地址族 选择IPv4或者IPv6地址族，创建后不可更改。 如果选择IPv4地址族，在前缀列表条目中只能设置IPv4的CIDR地址块。 如果选择IPv6地址族，在前缀列表条目中只能设置IPv6的CIDR地址块。 前缀列表条目 设置前缀列表的CIDR地址块信息。支持新增多条CIDR地址块和描述信息。 前缀列表条目的约束如下： 1、添加的总条目数量不能超过您设置的 最大条目容量。 2、条目中的CIDR地址块类型根据地址族决定，一个前缀列表不能同时包含IPv4和IPv6的CIDR地址块。 3、条目中的CIDR地址块不能重复。 描述 设置前缀列表的描述信息。 7. 点击“确认”按钮，即可完成前缀列表的创建。

本节介绍云容器引擎的最佳实践：获取容器Core Dump。 应用场景 Core Dump是指当一个程序发生严重错误导致异常终止时，操作系统将该程序当前的内存状态以及其他相关信息保存到一个特殊的文件中，这个文件通常称为 core 文件或核心转储文件。core文件包含了程序在崩溃时的内存映像、CPU 寄存器状态、堆栈信息等，可以用于分析程序异常终止的原因。 在容器环境中，Core Dump的处理与传统的物理机环境略有不同，因为容器本身是在宿主机上运行的，因此需要一些特殊的配置才能捕获容器内发生的核心转储。本节介绍容器中core文件的一般处理流程和相关概念。 将Core Dump文件输出到主机目录 开启节点Core Dump 设置Core Dump文件的输出路径 echo "/tmp/cores/core.%t.%e.%p" > /proc/sys/kernel/corepattern 上述文件路径中： %t：表示coredump的时间。 %e：表示程序文件名。 %p：表示进程ID。 将Core Dump的输出路径修改为/tmp/cores，后续容器中的应用程序Core Dump文件也将输出到容器的/tmp/cores文件，因为在容器中读取的 /proc/sys/kernel/corepattern文件实质上就是主机的 /proc/sys/kernel/corepattern文件。 配置容器Core Dump和验证 通过kubectl或者控制台完成如下配置： apiVersion: v1 kind: Pod metadata: name: corevolume spec: volumes: name: coredumppath hostPath: 通过hostPath将容器Core Dump持久化在主机 path: /home/coredump containers: name: ubuntu image: ubuntu:12.04 command: ["/bin/sleep","3600"] volumeMounts: mountPath: /tmp/cores name: coredumppath 用上述方式创建Pod并进入，触发当前shell终端的段错误。 $ kubectl get pod NAME READY STATUS RESTARTS AGE corevolume 1/1 Running 0 55s $ kubectl exec it corevolume /bin/bash root@corevolume:/ kill s SIGSEGV $$ 在容器实际运行的主机上查看/home/coredump目录会生成core文件。 ls /home/coredump core.1738160312.corevolume.15

本节介绍了云容器引擎的最佳实践：Ingress。 修改自定义端口 1、点击目标容器集群名称，进入集群详情页。 2、在菜单栏【插件】中选择【插件市场】，安装nginxingresscontroller插件。 3、安装插件时指定IngressController插件http及https端口。 4、您也可通过查看插件详情，按需修改端口重新安装插件即可。 配置基础用户名和密码 步骤一：创建用户名和密码 1、使用htpasswd工具创建一个包含用户名和密码的文件auth，例如添加一个名为foo的用户，该用户的密码是123456。 2、输入 cat auth查看文件auth，即可查看htpasswd工具生成的用户名和密码的加密形式。 步骤二：新增secret文件 1、点击目标容器集群名称，进入集群详情页。 2、在菜单栏【配置管理】中选择【保密字典】，点击【新增】。 3、创建一个名为“basicauth”的Secret对象，将auth作为变量名，步骤一htpasswd工具生成的用户名和密码的加密形式作为变量值填入。 4、查看Secret的yaml文件，填入后变量值会自动进行Base64加密。 注：当使用这个Secret对象来进行身份验证时，Ingress控制器会解码这里的Base64字符串，使用其中的用户名和密码来验证用户的身份。如果提供的用户名和密码与这里存储的一致，用户将被允许访问相应的资源。

本节介绍了云容器引擎的最佳实践：会话保持。 不使用会话保持 前提条件 创建一个nginx工作负载，并确保工作负载的实例个数大于1，工作负载不需要其他的额外特殊配置。 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意Session Affinity不需要设置，保持默认值即可。 测试验证 发起服务调用，在集群节点上执行这个命令发起对服务的100次调用 > for i in {1..100};do curl 10.96.116.221:80;done; 上述curl命令中的IP和端口来自如下地方： 观察工作负载日志，查看Pod实例的日志输出。 结论：服务请求会随机的转发到任一个Pod实例。 集群内请求会话保持 1、前提条件 创建一个nginx工作负载，同上。 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意需要展开高级设置，并设置Session Affinity为客户端IP。 2、测试验证 发起服务调用，同上。观察工作负载日志，查看Pod实例的日志输出。 结论：服务请求会全部转发到某一个Pod实例，进行会话保持。 集群外NodePort访问请求会话保持 1、前提条件 创建一个nginx工作负载，同上。创建一个NodePort类型的服务（Service）并关联到上述nginx工作负载，指定一个合法的主机端口，注意需要展开高级设置，并设置Session Affinity为客户端IP。 2、测试验证 发起服务调用；在集群外执行这个命令发起对服务的100次调用 > for i in {1..100};do curl 10.142.232.160:30080;done; 上述curl命令中的IP可以是集群的vip或者集群任意节点IP，端口是服务（Service）中指定的主机端口。 观察工作负载日志，查看Pod实例的日志输出。 结论：集群外的请求会全部转发到某一个Pod实例，进行会话保持。