本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本章节主要介绍添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务（ELB）的负载均衡器提供网络访问，因此在添加网关前，请提前创建负载均衡。 创建负载均衡时，需要确保所属VPC与集群的VPC一致。 操作步骤 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网关管理”，单击“添加网关”。 步骤 3 配置网关参数。 网关名称 请输入网关的名称。由小写字母、数字和中划线（）组成，且必须以小写字母开头，小写字母或数字结尾，长度范围为4~59个字符。 集群选择 选择网关所属的集群。 负载均衡配置 服务网关使用弹性负载均衡服务（ELB）的负载均衡器提供网络访问，支持共享型和独享型规格，且支持公网和私网。 负载均衡实例需与当前集群处于相同VPC。 监听器配置 服务网关为负载均衡器配置监听器，监听器对负载均衡器上的请求进行监听，并分发流量。 对外协议 请根据业务的协议类型选择。支持HTTP、GRPC、TCP、TLS及HTTPS五种协议类型的选择。 对外端口 开放在负载均衡服务地址的端口，可任意指定。 TLS终止 配置TLS协议时，可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书，以支持TLS数据传输加密认证；关闭TLS终止时，网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时，需要绑定证书，以支持TLS数据传输加密认证。 配置HTTPS协议时，需要绑定密钥证书。 TLS最低版本/TLS最高版本 配置TLS协议并开启TLS终止时，提供TLS最低版本/TLS最高版本的选择。 步骤 4（可选）配置路由参数。 请求的访问地址与转发规则匹配（转发规则由域名+URL组成，域名置空时，默认为ELB IP地址）时，此请求将被转发到对应的目标服务处理。单击图标，弹出“添加路由”对话框。 域名 请填写组件对外发布域名。不填时访问地址默认为负载均衡实例IP地址。如果您开启了TLS终止，则必须填写证书内认证域名，以完成SNI域名校验。 URL匹配规则 前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1、/healthz/v2。 完全匹配：只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 URL 服务支持的映射URL，例如/example。 命名空间 服务网关所在的命名空间。 目标服务 添加网关的服务，直接在下拉框中选择。 配置诊断失败的服务无法选择，需要先根据 手动修复项或 自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 重写HTTP URI和Host/Authority头，于转发前执行。默认关闭。 步骤 5 配置完成后，单击“确定”。 网关添加完成后，可前往“服务管理”页面，获取服务外网访问地址。

参数名称 参数说明 取值样例 路径 需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin 类型 敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。 敏感信息过滤 内容 防护“类型”对应的防护内容，支持多选。 身份证号码 规则描述 可选参数，设置该规则的备注信息。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

本节主要介绍新建组件 1、登录ServiceStage，选择“应用管理 > 应用列表”。 2、选择上一步创建的应用，在“操作”栏单击“新增组件”。 3、“配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 4、“选择运行时”选择“Java8”，单击“下一步”。 5、“选择框架/服务网格”选择“Java Chassis”，单击“下一步”。 6、设置组件信息： “组件名称”：输入名称，如“javatest”。 “源码/软件包”选择“源码仓库”。选择“GitHub”。然后选择“授权信息”、“用户名/组织”、“仓库名称（ServiceCombSpringMVC）”及“master分支”。 7、打开“开启构建”开关并设置。 “组织”：选择创建组织时创建的组织名称。 “选择集群”：选择创建环境时选择的CCE集群 8、单击“立即创建”，创建静态组件。

本章节主要介绍应用容灾多活产品类问题。 应用容灾多活解决什么问题？ 应用容灾多活是为应用提供高可用解决方案的产品，提供应用流量调度、数据同步、演练容灾一站式管理，助力企业云上业务实现多活高可用建设。 应用容灾多活支持哪些容灾架构？ 应用容灾多活目前支持应用双活和数据双活两种基本架构，客户可以根据自身业务的发展状况、业务规模、物理架构、容灾诉求和投入成本等，灵活选择合适的容灾架构。 应用容灾多活与其他云产品的关系？ 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期。 应用容灾多活与云应用平台冲突吗？ 应用容灾多活与现有云产品均不存在功能冲突，通过深度集成云上业务使用的核心产品，对应用进行分层抽象，帮助业务屏蔽组件管理差异，自动编排有序的容灾流程。 应用容灾多活要求用户使用全套天翼云产品吗？ 不一定。容灾多活产品构建的容灾架构，对应用进行分层管理，通过控制面和数据面的管控编排与容灾逻辑织入，实现应用多活的容灾调度。 应用容灾多活提供控制面能力，根据组件化的程度，用户可以选择以下数据面策略： 流量入口使用多活配套网关，应用层相关组件自建。 流量入口使用多活配套网关，数据层使用多活支持的天翼云数据库产品与同步服务，应用层相关组件自建。 流量入口、微服务、数据库、消息等使用多活支持的天翼云产品与服务，其他组件可参考接入示例自建，或提交工单确认是否支持。

说明：本章会介绍关系型数据库的两种规格实例，分别是通用增强型和通用增强II型 通用增强型和通用增强II型实例性能强劲稳定，搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能，满足不同场景需求。 · l通用增强型实例是新推出的一系列性能更高、计算能力更稳定的实例规格，搭载英特尔® 至强® 可扩展处理器，配套高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 · l通用增强II型实例搭载第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。 表11 性能规格 规格 vCPU(个) 内存(GB) 支持的数据库引擎 通用增强型 1 2 l MySQL l PostgreSQL 通用增强型 1 4 l MySQL l PostgreSQL 通用增强型 2 4 l MySQL l PostgreSQL 通用增强型 2 8 l MySQL l PostgreSQL 通用增强型 2 16 l MySQL l PostgreSQL 通用增强型 4 8 l MySQL l PostgreSQL 通用增强型 4 16 l MySQL l PostgreSQL 通用增强型 4 32 l MySQL l PostgreSQL 通用增强型 8 16 MySQL 通用增强型 8 32 l MySQL l PostgreSQL 通用增强型 8 64 l MySQL l PostgreSQL 通用增强型 16 64 l MySQL 通用增强II型 2 4 l MySQL l PostgreSQL 通用增强II型 2 8 l MySQL l PostgreSQL 通用增强II型 2 16 l MySQL l PostgreSQL 通用增强II型 4 8 l MySQL l PostgreSQL 通用增强II型 4 16 l MySQL l PostgreSQL 通用增强II型 4 32 l MySQL l PostgreSQL 通用增强II型 8 16 l MySQL l PostgreSQL 通用增强II型 8 32 l MySQL l PostgreSQL 通用增强II型 8 64 l MySQL l PostgreSQL 通用增强II型 16 32 l MySQL l PostgreSQL 通用增强II型 16 64 l MySQL l PostgreSQL 通用增强II型 16 128 l MySQL l PostgreSQL 通用增强II型 32 64 l MySQL l PostgreSQL 通用增强II型 32 128 l MySQL l PostgreSQL 通用增强II型 64 128 l MySQL l PostgreSQL 通用增强II型 64 256 l MySQL l PostgreSQL 通用增强II型 64 512 l MySQL l PostgreSQL 通用型 1 2 MySQL 通用型 1 4 MySQL 通用型 2 4 MySQL 通用型 2 8 MySQL 通用型 4 8 MySQL 通用型 4 16 MySQL 通用型 8 16 MySQL 通用型 8 32 MySQL 数据库实例规格请以实际环境为准。

如何查看应用组件部署失败的原因？ 问题描述 应用组件部署完成后，状态显示为“未就绪”，表示应用组件部署失败。 解决方法 步骤 1 登录ServiceStage控制台，选择“应用管理 > 应用列表”。 步骤 2 单击应用名称，进入应用“概览”页。 步骤 3 在“组件列表”，单击部署失败的组件名称，进入组件“概览”页。 步骤 4 选择状态异常的组件版本，单击组件名称，进入组件实例“概览”页。 步骤 5 单击“实例列表”，单击实例名称前的，再单击“事件”。 步骤 6 在事件列表中，查看事件描述信息，判断应用组件部署失败的原因。 实例长期处于创建中怎么办？ 应用组件部署以后，如果服务实例状态长期处于“未就绪”状态时，可以进入服务实例列表，展开实例详细信息，在“事件”页签查看详细信息，显示内存不足，如下图所示。 可以通过新增节点解决该问题。 如何解决Docker运行node应用程序时的依赖问题？ 问题描述 在微服务docker里面运行一个node程序，这个程序依赖一个nodegyp，怎么在程序运行之前安装好这些依赖。 解决办法 可以定制自己的Dockerfile，在Dockerfile里面添加nodegyp依赖。 定制Tomcat Context path 在创建和部署Tomcat应用时需要设置Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 选择开启“公网访问”，应用访问地址为：http:// {应用公网域名}: {应用访问端口号}。例如， 未开启“公网访问”，应用访问地址为：http:// {VPC内网访问地址}: {应用访问端口号}。例如， 在部署组件的组件配置过程中，可在设置“Tomcat 配置”时根据具体业务实际自定义应用路径： 1. 勾选“配置参数”。 2. 单击“使用示例模板”，根据业务要求编辑模板文件。 3. 参考如下示例修改Context path的内容，例如修改为"apppath" ，自定义应用路径。则应用访问地址被修改为

section38ff7c65feba06a8)，通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示源站保护配置成功。 开启ELB访问控制 如果您的源站服务器直接部署在天翼云ELB上，请参考以下操作步骤设置访问控制（白名单）策略，只放行WAF回源IP段。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 单击页面左上方的，选择“网络 > 弹性负载均衡 ELB”。 步骤 4 在目标ELB所在行的“监听器”列中，单击监听器名称，进入监听器的详情页面。 步骤 5 在目标监听器所在行的“访问控制”列，单击“设置”。 步骤 6 在弹出的对话框中，“访问控制”选择“白名单”。 1. 单击“创建IP地址组”，将在获取WAF回源IP地址中获取到的独享引擎实例的回源IP地址添加到“IP地址组”。 2. 在“IP地址组”的下拉框中选择创建的IP地址组。 访问控制页面： 步骤 7 单击“确定”，白名单访问控制策略添加完成。 您可以参考[如何判断源站存在泄露风险](

步骤2：域名接入WAF 此步骤需要进入WAF控制台，添加加速域名并配置 CNAME，操作详情请参考： 操作指导WAF接入。 步骤3：域名管理 对资源文件的回源地址进行管理以及配合源站实际业务场景进行更高级的配置，包括源站配置、缓存配置等，操作详情请参考：操作指导域名管理。 步骤4：配置防护策略 如上图所示，域名接入WAF后，您可根据网站业务需求选择合适的防护策略。 安全基础配置 选择适合您的网站防护模式，默认为告警模式；漏洞防护配置一般情况下建议选择敏感防护规则集，适用于常规网站，且允许少量误报的业务场景。更多配置详情请参考：设置规则防护。 高级防护 提供WAF的高级防护功能，包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等，高级防护功能默认为关闭状态，您可以根据业务需要选择开启响应的防护功能。配置详情请参考：安全防护配置。 账户安全防护 账户安全防护提供对网站账户的防护，包括撞库防护、暴力破解防护。配置详情请参考：安全防护配置账户安全防护。 访问控制 访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行， 保证客户网站不受未知访问的攻击 。配置详情请参考：安全防护配置访问控制。 合规检测 合规检测功能可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合要求的请求项进行拦截或告警。配置详情请参考：安全防护配置合规检测策略。 域名规则配置 使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护， 您可以查看对应的防护规则 ，根据您的业务需求选择开启或关闭规则。 CC配置 CC防护根据访问者的URL，频率、行为等访问特征，迅速智能得识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。配置详情请参考：安全防护配置CC配置。

应用托管到云应用引擎 CAE（Cloud App Engine）后，CAE 对应用所运行设备的 CPU、负载、内存、网络和磁盘进行数据采集与分析，并以动态图的方式展示，方便您实时、直观地了解应用所运行设备的状态。所有监控均以应用为单位进行数据统计和处理。 CAE 基础监控指标 监控项 单位 统计值 应用 cpu % 平均值 最大值 最小值 应用平均负载 无 平均值 最大值 最小值 应用内存使用率 % 平均值 最大值 最小值 应用内存使用量 字节数 平均值 最大值 最小值 应用磁盘使用率 % 平均值 最大值 最小值 应用磁盘使用量 字节数 平均值 最大值 最小值 网络流入流出速率 字节数/秒 平均值 最大值 最小值 网络数据包 包数量/秒 平均值 最大值 最小值 磁盘 IOPS 次数/秒 平均值 最大值 最小值 磁盘吞吐率 字节数/秒 平均值 最大值 最小值 注意事项 由于从数据采集到分析存在一定延时，时延约2分钟，因此 CAE 无法提供百分之百的实时监控视图。 如果托管在 CAE 上的应用由于升级或扩缩容导致实例发生变更，将会导致监控数据产生断点，不能保持连续。

本节介绍了ETCD备份保存到对象存储的用户指南。 进入云容器引擎的集群，在左侧菜单点击“插件”>“插件市场”，搜索“ccsebackup”插件，点击“安装”。 在弹出界面的参数设置部分，有以下这样的一段配置 本插件支持将备份包保存到对象存储或本地。默认地会使用本地存储，且将保存到“/home/docker/backup”目录下，如需要更替备份目录，可直接修改该字段的内容。 另外如果想把备份包存储到对象存储，则将上述配置修改，oss.provider需要改成 s3，另外OSS相关参数也需要填上，类似下面形式： oss: provider: "s3" accesskeyId: "yourossak" accesskeySecret: "yourosssk" bucket: "yourossbucket" endpoint: "yourossendpoint" local: path: "" 配置完成后，点击“安装”，界面会自动切换到“插件实例”，稍等片刻后，待插件安装完毕，即可开始使用。

本节介绍了云容器引擎的计费类常见问题。 容器计费项和计费方式是什么？ 支持包年包月和按需计费2种方式，详情可查：点这里 容器如何定价？ 收费项包括：集群管理费、IaaS资源费等, 详情可查：点这里 容器创建的节点是否支持按需转包周期？ 目前不支持按需与包周期互转。 如何为购买的容器实例续费？ 为防止资源到期或者浪费，已经购买包月实例的用户，可执行续费操作，延长容器实例的有效期，也可以设置到期自动续费的相关操作。 开通的容器实例资源何时生效？ 天翼云容器资源在客户支付成功之后，系统经过初始化完成后即可生效使用。 包周期集群到期可以直接删除吗？ 按天翼云规则，到期实例有15天冻结期，期间用户可以发起续订，集群实例会恢复。超过15天冻结期，实例会注销。 如何退订我的容器集群？ 进入控制台，从集群管理列表，可以发起退订。详细可查看：删除集群

本页主要介绍云容器引擎产品的Kubernetes版本与资源API版本对应表。 一、工作负载 (apps / batch) 资源 1.19 1.21 1.23 1.25 1.27 1.29 1.31 Deployment apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 StatefulSet apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 DaemonSet apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 ReplicaSet apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 Job batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 CronJob batch/v1beta1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 二、核心基础资源 (core/v1) 资源 1.19 1.21 1.23 1.25 1.27 1.29 1.31 Pod v1 v1 v1 v1 v1 v1 v1 Service v1 v1 v1 v1 v1 v1 v1 ConfigMap v1 v1 v1 v1 v1 v1 v1 Secret v1 v1 v1 v1 v1 v1 v1 Node v1 v1 v1 v1 v1 v1 v1 Namespace v1 v1 v1 v1 v1 v1 v1 ServiceAccount v1 v1 v1 v1 v1 v1 v1 ResourceQuota v1 v1 v1 v1 v1 v1 v1 Event v1 v1 v1 v1 v1 v1 v1

本页主要介绍云容器引擎产品的Kubernetes版本与资源API版本对应表。 一、工作负载 (apps / batch) 资源 1.19 1.21 1.23 1.25 1.27 1.29 1.31 Deployment apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 StatefulSet apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 DaemonSet apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 ReplicaSet apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 apps/v1 Job batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 CronJob batch/v1beta1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 batch/v1 二、核心基础资源 (core/v1) 资源 1.19 1.21 1.23 1.25 1.27 1.29 1.31 Pod v1 v1 v1 v1 v1 v1 v1 Service v1 v1 v1 v1 v1 v1 v1 ConfigMap v1 v1 v1 v1 v1 v1 v1 Secret v1 v1 v1 v1 v1 v1 v1 Node v1 v1 v1 v1 v1 v1 v1 Namespace v1 v1 v1 v1 v1 v1 v1 ServiceAccount v1 v1 v1 v1 v1 v1 v1 ResourceQuota v1 v1 v1 v1 v1 v1 v1 Event v1 v1 v1 v1 v1 v1 v1

本节介绍了云容器引擎的计费类常见问题。 容器计费项和计费方式是什么？ 支持包年包月和按需计费2种方式，详情可查：点这里 容器如何定价？ 收费项包括：集群管理费、IaaS资源费等, 详情可查：点这里 容器创建的节点是否支持按需转包周期？ 目前不支持按需与包周期互转。 如何为购买的容器实例续费？ 为防止资源到期或者浪费，已经购买包月实例的用户，可执行续费操作，延长容器实例的有效期，也可以设置到期自动续费的相关操作。 开通的容器实例资源何时生效？ 天翼云容器资源在客户支付成功之后，系统经过初始化完成后即可生效使用。 包周期集群到期可以直接删除吗？ 按天翼云规则，到期实例有15天冻结期，期间用户可以发起续订，集群实例会恢复。超过15天冻结期，实例会注销。 如何退订我的容器集群？ 进入控制台，从集群管理列表，可以发起退订。详细可查看：删除集群

本文介绍如何应用迁移。 在该页面可以设置迁移事件窗、并根据节点名称、标签进行应用调度，设置节点、应用间的亲和度与反亲和度，并对设置的调度策略进行统一的管理。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【工作负载】>【无状态】或【有状态】,进入应用管理列表； 2.点击应用，进入应用详情页面，点击选项【迁移】，进入应用迁移页面； 3.迁移时间窗设置：在该页面可以设置迁移时间窗，点击，选择是，开启迁移时间窗，在文本框输入事件，点击√，完成迁移时间窗的设置； 4.点击【添加调度策略】将显示可添加的节点调度及亲和策略种类，用户可按需选择调度策略，点击【添加】，进入策略添加页面>完成勾选，点击【确认】下滑至最后，点击【提交】，完成调度设置，具体调度策略说明可参考设置应用调度策略； 5.用户可在调度策略列表中查看当前已有的调度策略，并对策略执行删除操作。

Milvus产品使用手册 一、 产品概述 1.1 产品介绍 Milvus 作为一款开源的高性能向量数据库，具有出色的向量检索性能、高扩展性和易用性，在人工智能、机器学习、计算机视觉、自然语言处理等领域展现出了巨大的应用潜力。目标市场可以根据应用领域细分为自然语言处理、计算机视觉、推荐系统等多个市场。其客户群体主要包括互联网、电商、金融、医疗、安防等行业的企业，以及科研机构和高校等。 1.2 产品核心能力 Milvus 的核心能力是作为一个高性能、高扩展性的云原生向量数据库，专门为处理大规模非结构化数据和支持人工智能应用而设计。 它的能力主要围绕高效的向量相似性搜索展开，具体体现在以下几个方面： 1. 高效的向量搜索与检索 (1) 大规模相似性搜索（ANN）: 能够从数十亿甚至千亿级的高维向量数据集中，快速、准确地找到与查询向量最相似的 K 个向量（K近邻搜索）。 (2) 异构计算支持 (Knowhere): Milvus 的核心向量执行引擎Knowhere 能够集成并优化各种流行的向量相似性搜索库（如 Faiss, Hnswlib, Annoy），并能控制在 CPU 或 GPU 上执行索引构建和搜索请求，以充分利用硬件能力。 (3) 多样化的搜索模式: 除了基础的 ANN 搜索，还支持过滤搜索（基于标量字段的条件过滤）、范围搜索和混合搜索（结合向量和标量数据），极大地满足了复杂的业务检索需求。 2. 高性能与底层优化 (1) C++ 搜索引擎: 使用 C++ 语言实现核心搜索引擎组件，以实现高性能、底层优化和高效的资源管理。 (2) 硬件感知优化: 集成了汇编级向量操作、多线程并行化和调度等优化，最大限度地利用硬件性能。 (3) 面向列的存储 (ColumnOriented): 采用面向列的数据库系统，在执行查询时只读取涉及的特定字段，大大减少了数据访问量，并有利于向量化操作。 3. 灵活的功能与应用支撑 (1) 多模态检索: 结合 AI 推理和 Embedding 模型，高效索引和检索图片、视频、文本、声纹等多种非结构化数据。 (2) 数据导入与管理: 支持高通量数据导入，并提供数据分片、分区键、可调一致性模型等管理功能。

本节介绍了生成ASP报告的相关内容。 操作场景 GaussDB支持生成ASP数据，用户可以在管理控制台采集和下载ASP报告。 约束限制 GaussDB实例的数据库引擎版本需要大于等于V2.03.300，内核版本大于等于503.2。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏中单击“诊断优化 > 性能报告 > ASP报告”，显示ASP报告页面。 步骤 6 选择采集时间，单击“生成ASP报告”。 步骤 7 稍后刷新实例，查看采集结果。 如果采集状态为“采集成功”，单击“下载ASP报告”即可获取当前时间段的ASP报告。 如果采集状态为“采集失败”，请联系运维人员协助解决。 结束

本页面介绍云数据库ClickHouse的功能约束。 对象命名规范要求 数据库名称（Database Name）和表名称（Table Name） 必须由字母、数字和下划线（）组成。 必须以字母或下划线开头。 不得超过64个字符。 列名称（Column Name） 必须由字母、数字和下划线（）组成。 必须以字母或下划线开头。 不得超过64个字符。 别名（Alias） 必须由字母、数字和下划线（）组成。 必须以字母或下划线开头。 不得超过256个字符。 函数名称（Function Name） 必须由字母、数字和下划线（）组成。 必须以字母或下划线开头。 不得超过256个字符。 使用限制 为确保高可用性，建议使用复制表引擎来配置高可用集群。 在执行DDL操作时，请在所有Server上使用"ON CLUSTER default"语句，以确保操作在整个默认集群中生效。 购买限制 单副本集群与双副本集群的最小节点数均为2，最大节点数均为48。 单副本集群节点数递增步长为1，双副本集群节点数递增步长为2。

本节介绍了会话统计的相关内容。 操作场景 GaussDB支持查看用户、访问来源、数据库维度的活跃数和总数。 约束限制 GaussDB实例的数据库引擎版本需要大于等于V2.03.100，内核版本大于等于503.0。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏中单击“会话管理 > 会话统计”，显示实时会话统计信息。 表 实时会话统计指标说明 指标名称 指标说明 用户 访问数据库的会话用户名。 访问来源 访问数据库的来源。 数据库 会话访问的数据库。 活跃数 活跃会话数量。 总数 总会话数量。 结束

本节介绍了生成ASP报告的相关内容。 操作场景 GaussDB支持生成ASP数据，用户可以在管理控制台采集和下载ASP报告。 约束限制 GaussDB实例的数据库引擎版本需要大于等于V2.03.300，内核版本大于等于503.2。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏中单击“诊断优化 > 性能报告 > ASP报告”，显示ASP报告页面。 步骤 6 选择采集时间，单击“生成ASP报告”。 步骤 7 稍后刷新实例，查看采集结果。 如果采集状态为“采集成功”，单击“下载ASP报告”即可获取当前时间段的ASP报告。 如果采集状态为“采集失败”，请联系运维人员协助解决。 结束

本节介绍了会话统计的相关内容。 操作场景 GaussDB支持查看用户、访问来源、数据库维度的活跃数和总数。 约束限制 GaussDB实例的数据库引擎版本需要大于等于V2.03.100，内核版本大于等于503.0。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏中单击“会话管理 > 会话统计”，显示实时会话统计信息。 表 实时会话统计指标说明 指标名称 指标说明 用户 访问数据库的会话用户名。 访问来源 访问数据库的来源。 数据库 会话访问的数据库。 活跃数 活跃会话数量。 总数 总会话数量。 结束

名称 二级子节点 三级子节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 pageNum Integer 当前页 pageSize Integer 页大小 total Integer 总记录数 pageTotal Integer 总页数 list Array 实例列表 createTime Long 创建时间 prodDbEngine String 数据库实例引擎 prodInstId Long 实例id prodInstName String 实例名称 prodRunningStatus Integer 实例当前的运行状态 0:运行中 1>重启中 2:备份中 3:恢复中 4:修改参数中 5:使用参数分组 6:扩展处理 7:扩展完成 8:修改端口中 9:切换主备中 alive Integer 实例是否存活, 0:存活，1：异常 优先级依次递减prodOrderStatus > prodRunningStatus > alive， 前面为0的情况下才会取下一个状态位 prodOrderStatus Integer 订单状态，0：正常，1：冻结，2：删除，3：操作中，4：失败 prodType Integer 实例部署方式0：单机部署,1：主备部署 readPort Integer 读端口 vip String 虚拟ip地址 writePort String 写端口

分布式缓存Redis管理控制台支持用户自定义实例参数模板信息，您可以根据业务需求创建不同参数配置的自定义参数模板，并应用到目标实例。 目前已提供以下系统默认模板，您可在系统模板的基础上自定义参数模板内容： DefaultRedisOriginal4Template：适用于Redis 4.0。 DefaultRedisOriginal5Template：适用于Redis 5.0。 DefaultRedisOriginal67Template：适用于Redis 6.0 和 Redis 7.0。 操作步骤 1. 登录 Redis管理控制台。 2. 选择左侧菜单栏的“参数模板”，进入“参数模板”页面 3. 在“参数模板”>"系统默认"页面，根据引擎版本选择系统默认模板并创建为自定义模板，即可打开参数配置界面。 4. 配置好参数后，点击保存按钮，生成自定义模板参数。 5. 在“参数模板”>"自定义"页面，可查询自定义模板，如需将自定义模板应用到目标实例，可单击“应用”，选择目标实例，并保存。 模板中的配置参数说明见参数配置

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

本章节介绍数据库治理的基本详情 概述 数据库治理针对开发运维人员访问、使用数据库时的常见场景，提供SQL访问审计、数据库稳定性治理、数据流量治理三个方面的能力。MSE提供了SQL监控统计、SQL流量防护、连接池治理、数据库灰度、数据库读写路由等功能，可以从数据库服务维度进行开发提效和性能优化。 基本详情 基本详情页提供应用SQL访问流量和应用资源的实时统计数据。根据数据库相关的应用实时指标，可以及时发现由数据库访问引起的应用性能下降问题，并定位高并发或高RT的SQL以及异常的数据库连接，从而支撑后续SQL语句优化、SQL接口流量防护和连接池配置等系统调优操作。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择数据库治理，在基本详情页签下可以查看应用的SQL流量概览、应用事件、Top SQL洞察和Druid连接池统计数据。 SQL流量概览 可以查看应用在一定时间内SQL流量的通过QPS、限流QPS、异常QPS指标、RT、并发数据。 应用事件 可以查看SQL请求触发的应用防护事件。 Top SQL洞察 可以查看相对高RT的SQL语句及其QPS、RT和并发数据，快速定位SQL对应用业务的具体影响。并且可以通过单击操作下方的SQL防护，管理和配置SQL接口的流量控制和并发隔离规则。

分布式缓存Redis缓存实例创建后，支持在控制台上升级实例的Redis小版本。目前仅部分Redis内核支持部分小版本升级。 前提条件 1. Redis缓存实例处于“运行中”状态。 影响须知 实例小版本升级不会更改实例的规格，仅升级Redis内核的小版本。 实例小版本执行升级时会出现1~2次30秒内的连接闪断。 实例小版本执行升级一般需要几分钟，升级期间控制台其他功能不可用，建议在业务低峰期操作。 升级完成后，实例的实例ID、连接地址、数据、白名单配置以及已创建的账号密码配置等均不会改变。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 在实例详情页面，点击“小版本升级”按钮，选择需要升级的版本，点击保存，提交升级任务。 说明： 如果没有小版本升级按钮，表明该实例引擎没有可升级的小版本。 5. 升级一般需要几分钟完成。

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面的实例列表中，选择需要删除的实例，在“操作”列，选择“更多 > 删除实例”。 步骤 5 在“删除实例”弹框，单击“是”，稍后刷新“实例管理”页面，查看删除结果。 重启实例 操作场景 通常是出于维护目的，您可能需要重启数据库实例。例如：对于某些运行参数修改，需要重启实例使之生效。 使用限制 如果数据库实例处于“异常”状态，可能会重启失败。 为了缩短重启时间，建议您在重启过程中尽可能减少数据库活动，以减少中转事务的回滚活动。 注意 重启数据库实例会重新启动数据库引擎服务，将导致短暂中断，在此期间，数据库实例状态将显示为“重启中”。 重启过程中，实例将不可用。重启后实例会自动释放内存中buffer pool的数据，请注意对业务的热点数据进行预热，避免业务高峰期出现阻塞。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击“更多 > 重启实例”。 您也可以在“实例管理”页面，单击目标实例实例名称，在实例的“基本信息”页面右上方，单击“重启实例”。 重启实例时，如果该实例下有只读节点，那么对应的只读节点也会被同步重启。 步骤 5 在“重启实例”弹窗框，选择重启时间，目前支持“立即重启”和“可维护时间段重启”。 1. 选择“立即重启”，直接单击“是”重启实例。 2. 选择“可维护时间段重启”，可以单击“修改”对重启时间段进行修改，然后单击“是”，实例将会在可维护时间段重启实例。 修改可维护时间段，不影响原有可维护时间段内定时任务的执行时间。 可维护时间段内预约的定时重启任务将于下一个时间窗执行。 重启节点

本节介绍了云容器引擎的最佳实践:使用存储子目录为工作负载提供存储。 当需要将存储的特定子目录直接挂载至工作负载以实现高效数据存储时，云容器引擎提供了多种实现方式以支持该能力。 需求场景 当用户创建大容量文件存储时，为充分利用现有资源，可将不同子目录分配给多个工作负载使用。 若需实现数据层面的权限控制，可限制容器仅访问指定子目录。 对于习惯开源NFS使用方式的用户，可在已有文件存储基础上，通过为不同子目录创建独立的PVC并分配给对应工作负载，实现资源隔离。 每个工作负载拥有不同的子目录的方式便于管理，且可通过Pod名称区分子目录，提升运维效率。 方案选择 有以下两种方案： （1）复用现有存储：用户已有的存储对应一个PVC，无需额外创建PVC，可将同一PVC下的不同子目录分配给多个工作负载使用。 （2）动态分配子目录：用户使用海量文件存储时，每次可为不同工作负载动态分配一个子目录作为独立PVC。（注：此功能仅海量文件存储支持，其他存储产品不适用于子目录挂载场景。） 方案一：子目录挂载（多个子目录共享同一PVC） 在工作负载的数据存储配置界面，设置挂载路径为 /test，即存储卷将挂载至容器内的 /test 目录。子路径可选择 subPath 或 subPathExpr 模式。 subPath：简单直接，工作负载的所有副本均使用存储卷的同一子目录。 subPathExpr：支持通过环境变量动态调整子目录路径，实现同一工作负载中不同副本使用独立子目录。 若选择 subPath，直接填写子目录名称即可；若目录不存在，K8S会自动创建。若选择 subPathExpr，需按以下方式配置： 在第二个绿色箭头所指的框中，根据实际需求填写路径表达式。例如可使用 $(PODNAMESPACE)/$(PODNAME) 或 $(PODNAME)，也支持自定义格式。此处以 $(PODNAMESPACE)/$(PODNAME) 为例，需确保相关变量已在环境变量中预先定义。 根据以上示例，红框处需正确填写变量名，绿框处需选择变量值的来源。即从Pod的metadata.name字段获取PODNAME变量值，从metadata.namespace字段获取PODNAMESPACE变量值，并组合为存储的子目录路径。 例如：一个两副本的无状态工作负载位于命名空间cstor下，Pod名称分别为podA和podB。按此配置后，一个副本会将PVC对应存储下的cstor/podA子目录挂载至容器内的/test路径，另一副本则挂载cstor/podB子目录至相同路径。 若通过工作负载的YAML文件实现，相关字段配置如下： plaintext volumeMounts: name: workdir1 mountPath: /logs subPathExpr: $(PODNAMESPACE)/$(PODNAME) yaml的env的设置如下： plaintext spec: containers: name: container1 env: name: PODNAME valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name name: PODNAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace

本章节介绍数据库治理中的SQL详情 概述 SQL详情页提供SQL接口维度的监控能力以及防护配置能力。通过SQL流量监控能力，可以及时定位异常SQL，并针对异常的SQL采用流量防护提供的接口流控和并发隔离能力，避免异常SQL挤占应用的资源。 使用限制 JDBC驱动支持的版本如下： 组件 支持驱动版本 MySQL JDBC 5.x/8.x 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择数据库治理，在SQL详情页签下可以查看应用的不同SQL的QPS、RT和并发等详细数据。 5. 单击节点详情可以查看分节点流量。 6. 在接口概览页签，单击新增防护规则，在新增规则对话框内选择接口流控或并发隔离页签进行防护规则配置。 接口流控：流控规则会控制流量在阈值之内，拒绝阈值外的请求，可以避免异常SQL请求占用过多服务资源，保证高优先级的请求正常处理。详情请参考流量防护配置流控规则。 并发隔离：隔离规则会控制流量保持在稳态，在请求堆积的情况下保证已有请求的可用资源。详情请参考流量防护配置隔离规则。

日志和监控 提供调用函数的监控指标和运行日志的采集和展示，实时的图形化监控指标展示，在线查询日志，方便用户查看函数运行状态和定位问题。 初始化功能 引入initializer接口： 分离初始化逻辑和请求处理逻辑，程序逻辑更清晰，让用户更易写出结构良好，性能更优的代码。 用户函数代码更新时，系统能够保证用户函数的平滑升级，规避应用层初始化冷启动带来的性能损耗。新的函数实例启动后能够自动执行用户的初始化逻辑，在初始化完成后再处理请求。 在应用负载上升，需要增加更多函数实例时，系统能够识别函数应用层初始化的开销，更精准的计算资源伸缩的时机和所需的资源量，让请求延时更加平稳。 函数流 函数流是用来编排FunctionGraph函数的工具，可以将多个函数编排成一个协调多个分布式函数任务执行的工作流。 用户通过在可视化的编排页面，将事件触发器、函数和流程控制器通过连线关联在一个流程图中，每个节点的输出作为连线下一个节点的输入。编排好的流程会按照流程图中设定好的顺序依次执行，执行成功后支持查看工作流的运行记录，方便您轻松地诊断和调试。 函数流功能特性和优势： 功能特性 函数可视化编排 函数流执行引擎 错误处理 可视化监控 优势 使用更少代码快速构建应用程序函数流允许用户将函数组合编排成一个完整的应用程序，而无需进行代码编写。可以实现快速构建，快速上线。当业务调整时，可以快速调整流程，完成快速上线，无需编写任何代码。 完善的错误处理机制。支持对流程中发生的错误进行捕获和重试，用户可以进行灵活的异常处理。 可视化的编排和监控体验。通过拖拽进行流程编排，学习成本低，可以快速上手。监控页面使用流程可视化的查看方式，可以做到快速识别问题位置。 HTTP函数 HTTP函数专注于优化 Web 服务场景，用户可以直接发送 HTTP 请求到 URL 触发函数执行。在函数创建编辑界面增加类型。HTTP函数只允许创建APIG/APIC的触发器类型，其他触发器不支持。 自定义镜像 支持用户直接打包上传容器镜像，由平台加载并启动运行，调用方式与HTTP函数类似。与原本上传代码方式相比，用户可以使用自定义的代码包，不仅灵活也简化了用户的迁移成本。