约束与限制 如果IP经过NAT，则只能获取到NAT转化后的IP地址，无法获取到NAT转化前的IP地址。 如果客户端为容器，只能获取到容器所在主机的IP地址，无法获取容器的IP。 四层监听器（TCP/UDP）开启“获取客户端IP”功能之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。 独享型负载均衡的四层监听器（TCP/UDP）默认开启源地址透传功能，无需手动开启，且不支持关闭。 说明 如果客户端经过WAF+ELB访问服务器，则还可以通过WAF直接获取客户端真实IP。 七层服务 针对七层服务（HTTP/HTTPS协议），需要对应用服务器进行配置，然后使用XForwardedFor的方式获取来访者的真实IP地址。 实的来访者IP会被负载均衡放在HTTP头部的XForwardedFor字段，格式如下： XForwardedFor: 来访者真实IP, 代理服务器1IP, 代理服务器2IP, ... 当使用此方式获取来访者真实IP时，获取的第一个地址就是来访者真实IP。 配置Apache服务器 1. 安装Apache 2.4。 例如在CentOS 7.5环境下，可以执行如下命令执行安装： yum install httpd 2. 修改Apache的配置文件/etc/httpd/conf/httpd.conf，在最末尾添加以下配置信息。 LoadModule remoteipmodule modules/modremoteip.so RemoteIPHeader XForwardedFor RemoteIPInternalProxy 100.125.0.0/16 图 修改Apache的配置文件示例图 说明 将代理服务器的网段添加到 RemoteIPInternalProxy 。 共享型负载均衡需要添加的IP地址段为 100.125.0.0/16（100.125.0.0/16 是负载均衡服务保留地址，其他用户无法分配到该网段内，不会存在安全风险）和高防IP地址段。多个IP地址段用逗号分隔。 独享型负载均衡需要添加ELB实例关联的VPC子网网段。 3. 修改Apache的配置文件/etc/httpd/conf/httpd.conf，将日志输出格式修改为如下所示（%a代表源IP地址）： LogFormat "%a %l %u %t "%r" %>s %b "%{Referer}i" "%{UserAgent}i"" combined 4. 重启Apache。 systemctl restart httpd 5. 查看httpd的访问日志，您可以获取真实的来访者IP。

说明：本章节会介绍通过内网连接MySQL实例的流程 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云服务器上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图：通过内网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本文介绍如何在容器安全卫士响应中心页面查看已处理的告警信息，并支持对已暂停的容器进行恢复、对已隔离的Pod进行解除隔离等操作。 响应中心展示“已隔离”、“已暂停”、“已重启”的容器，“已阻断”的镜像和已加入白名单的告警。 隔离Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在隔离Pod列表，可以对已隔离的Pod进行恢复。 暂停容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在暂停容器列表，可以对已暂停的容器进行恢复。 重启Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在重启Pod列表，可以查看重启过的Pod。 镜像阻断列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在镜像阻断列表，可以对已阻断的镜像解除阻断。

本文介绍如何通过pgAdmin客户端来连接实例。 您可通过pgAdmin客户端来连接实例，进行可视化操作。 操作步骤 注意 需要使用pgAdmin 4及以上版本。 本章节演示使用的为pgAdmin4 6.5版本，不同版本间可能存在差异。 1.启动pgAdmin客户端。 2.在Server处点击鼠标右键，Create>Server打开创建连接的窗口。 3.弹出框的General选项卡填写连接的一些描述信息，比如名字等；Connection选项卡填写连接的网络信息，也就是RDSPostgreSQL实例的信息。 Connection选项卡关键参数解释： Host name/address：内网方式连接时，输入实例的vip/ipv4连接地址中的ip地址；公网方式连接时，输入目标实例绑定的弹性ip地址。 Port：数据库端口，默认为6543。 Username：用户名，默认为root。 Password：Username对应的密码。 4.保存配置，若连接信息无误，那双击新建的server即可连接上实例。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

本章节介绍发布单相关功能 概述 发布单主要用于发布同环境下多个应用实例，并指定应用实例间发布顺序。 发布单列表 发布单主要展示该环境下历史发布单信息。在左侧导航栏单击应用运维容器应用实例应用发布发布单进入发布单列表页面。发布单列表页面分成发布单统计和发布单列表两块内容。 发布单统计 发布单统计用于统计当前环境下发布单信息，展示发布单总计、发布成功总计、发布失败总计、发布中总计、待审核总计、审核不通过总计、待发布总计、已取消总计。 发布单列表 发布单列表包括发布单名称、部署单元、应用数量、状态、执行人、执行时间、操作列。根据状态的不同，操作列存在不同。 创建发布单 1. 在发布单列表页面，单击创建发布单按钮，进入发布单配置页面 2. 填写基本信息 配置项 描述 发布单名称 发布单名称。 部署单元 展示当前环境下的所有部署单元。 发布类型 支持普通发布和金丝雀发布。金丝雀发布支持按流量发布和按泳道发布。具体参考应用总览。 发布批次 选择发布分批次数。仅普通发布才有该选项。 首批灰度数量 首批发布的应用实例数量。右侧会显示应用当前实例数，为保证应用稳定性，灰度实例数不能超过应用实例总数的50%。仅金丝雀发布才有该选项。说明： 灰度分组发布后，必须手动开始剩余分批发布。 剩余分批次数 首批灰度发布后，剩余的应用实例按照该处设置的批次完成分批发布。 分批方式 说明： 当普通发布的发布批次大于1或者金丝雀发布的剩余分批次数大于1时，需配置分批间处理方式。 支持手动和自动。手动：手动触发下一个批次的发布。自动：根据间隔自动分配分批发布。间隔为剩余批次间的发布时间间隔，单位：分钟。 应用实例列表 您可以在待选应用实例列表中单击选择需要的应用实例，单击>图标将应用实例添加到已选应用实例列表中。若应用实例存在多个版本，需要选择要发布的版本。默认选择最新的版本。 3. 高级配置 高级配置用于设置应用实例间依赖关系。当选择了 2 个及以上应用实例时，可能需要填写应用实例之间的依赖关系。若应用实例之间不存在依赖关系，则直接跳过。 注意 应用实例之间不可循环依赖，即不可出现应用实例 A 依赖于应用实例 B，同时应用实例 B 又依赖于应用实例 A 这种情况。 4. 在预览页面确认信息无误后，单击创建。系统会自动跳转到发布单列表页面，单击发布单名称进入发布单详情页面，等待初始化完成后点击发布即可开始发布。

本章介绍天翼云关系型数据库如何弹性变更配置。 选择需要变更的实例，点击“更多”，选择“规格变更”进行变更操作

本文介绍弹性云主机实例出现了异地登录怎么办 如果出现异地登录，解决办法如下： 1. 确认异地登录的时间点，是否是自己或者其他管理员登录。 2. 如果不是合法管理员登录，可执行以下操作： 立即重置密码。 排查是否被病毒攻击。 使用安全组功能设置只允许特定的 IP 登录。

本节介绍网络的用户指南:ELB Ingress Controller。 ELB Ingress Controller基于天翼云弹性负载均衡ELB实现，用于将Kubernetes集群中的Service服务通过七层弹性负载均衡暴露给外部访问，用户可以通过不同域名、不同路径访问到对应的服务。 用户通过控制台或API创建elb类型的Ingress资源（注解kubernetes.io/ingress.class，值为elb），在Ingress资源中指定要使用的ELB实例、访问域名、访问路径、SSL证书及后端服务等。用户也可指定ELB规格，由ELB Ingress Controller新建ELB，新建的ELB为按需计费模式。 ELB Ingress Controller监听到Ingress资源变化时，会根据Ingress定义的转发规则，对指定的ELB配置对应的HTTP/HTTPS转发策略及其后端主机组。如果Service服务的外部流量策略为Local，则Controller只会将Service后端Pod所在节点作为该转发策略的后端主机组。 通过ELB实例访问服务时，流量根据ELB中配置的转发策略转发到对应的后端Service，然后再经由Service网络转发到对应的后端Pod。 注意 ELB Ingress Controller目前仅支持为NodePort/LoadBalancer类型的Service暴露到ELB，因ClusterIP类型的Service只限于集群内访问，暂不支持通过ELB直接暴露服务。

本文介绍Kubernetes 1.31版本的变更说明。 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.31集群版本特性。 新增特性及特性增强 StatefulSet起始序号（GA） 在Kubernetes 1.31中，StatefulSetStartOrdinal特性进阶至GA。默认情况下，StatefulSet中Pod的序号是从0开始，该特性引入后允许用户自定义Pod的起始序号。 弹性索引Job（GA） 在Kubernetes 1.31中，ElasticIndexedJob特性进阶至GA。该特性允许用户在索引Job创建后修改其.spec.completions和.spec.parallelism字段，使之具备弹性伸缩能力。 Pod失效策略（GA） 在Kubernetes 1.31中，JobPodFailurePolicy特性进阶至GA。该特性允许用户根据Pod失效的原因来分别指定处理方式（重试或者忽略），以优化避免不必要的Pod重启带来的运行成本。 Pod干扰状况（GA） 在Kubernetes 1.31中，PodDisruptionConditions特性进阶至GA。该特性在Pod的Condition中新增了DisruptionTarget类型，表示Pod失效的原因，例如被高优先级的Pod抢占、因节点删除而被清理、被kubelet终止等。若Pod是Job或者CronJob控制器创建的，可以与Pod失效策略一起使用，通过该Condition定义失效时的行为。 定制资源的可选择字段（Beta） 在Kubernetes 1.31中，CustomResourceFieldSelectors特性进阶至Beta。该特性支持对CRD配置selectableFields，并支持使用Field Selectors过滤List、Watch和DeleteCollection请求，方便用户定位或管理符合特定条件的CRD资源。 Job成功策略（Beta） 在Kubernetes 1.31中，JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 podAffinity中的matchLabelKeys（Beta） 在Kubernetes 1.31中，MatchLabelKeysInPodAffinity特性进阶至Beta。该特性在podAffinity和podAntiAffinity中引入了更为精细的配置字段matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。 ServiceAccountTokenNodeBinding（Beta） 在Kubernetes 1.31中，ServiceAccountTokenNodeBinding特性进阶至Beta。该特性支持创建绑定到节点的ServiceAccount Token：在Token中包含节点信息的声明，并在使用Token时验证节点的存在，若节点被删除，则Token将会失效。

本文描述在文件系统创建之后如何配置监控告警。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 弹性文件服务开通后，自动接入云监控内，无需开通。参考以下文档： 监控指标 查看监控数据 创建告警规则 开启一键告警 示例一：配置容量使用率告警

本文为您介绍查询弹性云主机使用的密钥对的操作。 问题描述 当用户创建了多个密钥对时，可能会混淆登录云主机使用的密钥对，因此需要查询弹性云主机使用的密钥对是哪个。 操作步骤 1. 打开天翼云官网，登录并点击“控制中心”，进入云主机控制台。 2. 选择区域，进入云主机列表页。 图1 区域选择 3. 在云主机列表页中，选择需要查看密钥对的云主机，点击“实例名称”一列，进入云主机详情页即可查看该云主机所使用的密钥对。 图2 云主机详情页

本文介绍非天翼云用户数据如何迁移至云上弹性文件服务。 应用场景 在第三方云厂商存储大量数据的用户，如果想要将数据迁移至天翼云弹性文件服务，若使用传统的方法，需要先将存储在第三方云厂商上的数据下载到本地，再手动将数据上传到弹性文件服务，整个过程耗时又耗力，容易存在漏传、误传等问题。 本文推荐您配置一个弹性云主机实例挂载文件系统作为数据传输的中转节点，然后通过迁移工具迁移数据至天翼云弹性文件服务，迁移工具可以选择SFTP客户端。仅需简单配置，即可把数据从第三方云厂商轻松、平滑地迁移至SFS。 工具介绍 本实践以FileZilla作为SFTP客户端作为指导示例。 迁移工具 特点 应用场景 SFTP客户端 支持众多操作系统平台，提供图形化操作界面。 少量文件需要一次性上传至NFS文件系统。 将NFS文件系统内的数据下载到本地。 前提条件 具备一个NFS协议弹性文件系统，且务必确认文件系统容量高于待迁移的数据总量。若此时未购买弹性文件服务，则需新购。 具备一台与文件系统在同一VPC网络下的Linux弹性云主机，上传下载文件数据需要占用弹性云主机公网带宽，因此需要为弹性云主机配置弹性IP。 准备工作 下载安装迁移客户端工具，根据页面提示安装即可。 文件系统为接收数据的目标文件系统，应根据实际需求选择容量规格，具体操作参考创建文件系统。 本次操作实践中，需要创建弹性云主机作为非天翼云数据迁移至天翼云弹性文件服务的中转节点。建议配置如下： 说明 本操作中的云主机仅作为数据迁移的“中转站”，而非用于业务实际使用，为节省成本，建议订购按量付费的弹性云主机和弹性IP进行数据中转，计费说明参见 高规格高带宽的云主机迁移速率更快，相应的费用也略高，请根据实际情况酌情选择。整体迁移速率同时受文件系统性能影响，详见 参数 说明 付费方式 按量付费。 规格 通用型。高规格的云主机迁移速率较快，例如4C8G的迁移速率大于1C1G的迁移速率，根据实际情况选择即可。 镜像 CentOS 7.8 弹性IP 自动分配 IP版本 IPv4 带宽 5M。高带宽的迁移速率较快，例如10M的迁移速率大于5M的迁移速率，根据实际情况选择即可。 登录方式 密码>立即创建

本节主要介绍什么是参数模板 您可以使用数据库参数模板中的参数管理数据库引擎配置。数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 参数模板类型 创建数据库实例时可以指定数据库参数模板为默认参数模板或已有参数模板。实例创建成功后也可以变更实例关联的参数模板。 默认参数模板 默认组包含针对运行的数据库实例进行优化的引擎默认值和数据库服务系统默认值。 自定义参数模板 如果希望数据库实例以客户自定义的引擎配置值运行，可轻松地创建一个新数据库参数模板，修改所需参数并应用到数据库实例，用以使用新数据库参数模板。 数据库参数模板与实例建立关联后，如果修改了参数模板中的参数，那么使用该参数模板的所有实例，都将获得该参数模板中对应参数的更新。 参数模板使用场景 如果您想使用自定义的数据库参数模板，只需提前创建一个新的数据库参数模板，创建实例时选择该参数模板即可。如何创建参数模板，请参见创建参数模板。 如果您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该参数模板中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 参数模板注意事项 系统提供的默认参数模板不允许修改，只可单击参数模板名称进行查看。如果出现参数设置不合理导致数据库无法启动，可参考默认参数模板重新配置。 对于某些运行参数修改，您需在实例列表中，查看实例状态，如果显示“参数模板变更，等待重启”，则需重启关联的实例使之生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。

本文主要介绍使用RedisShake工具迁移自建Redis Cluster集群 RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。DCS Cluster集群与Redis Cluster集群设计一致，数据可平滑迁移。 本文以Linux系统环境为例，介绍如何使用RedisShake工具进行Cluster集群数据迁移。 约束与限制 使用RedisShake工具将自建的Redis Cluster在线迁移到DCS Cluster集群，需要源Redis与目标Redis网络连通，或者通过一台中转云主机连通两端的Cluster集群实例。 前提条件 如果您还没有目标Redis，请先创建目标Redis，具体操作请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据迁移后会被覆盖，源Redis没有、目标Redis有的数据会保留。 已创建弹性云主机ECS。 ECS请选择与DCS Cluster集群实例相同虚拟私有云、子网和安全组，并且需要绑定弹性公网IP。 自建的源Redis Cluster集群如果是在本地或者其他云厂商的服务器上自建，需要允许被公网访问。 获取源Redis和目标Redis节点信息 1. 分别连接源端和目标端Redis。连接Redis的方法请参考使用rediscli连接Redis实例。 2. 在线迁移Cluster集群时需要将Cluster集群各个节点数据分别迁移。执行如下命令分别查询源端和目标Cluster集群的所有节点的IP地址与端口： rediscli h {redisaddress} p {redisport} a {redispassword} cluster nodes {redisaddress}为Redis的连接地址，{redisport}为Redis的端口，{redispassword}为Redis的连接密码。 在命令返回的结果中，获取所有master节点的IP端口。

本章节主要介绍如何创建、修改和删除实例的内网域名。 注意 仅II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 该功能提供关系数据库MySQL版实例的内网访问地址 ，用于同一VPC或内网环境下的应用（如ECS、容器服务等）安全、低延迟地连接数据库，避免公网暴露风险。 约束限制 修改内网域名，将导致数据库连接中断，请修改对应的应用程序连接地址。 内网域名的名称唯一，默认内网域名格式为：实例ID.rds.mysql.域名。 当您在切换VPC时，由于切换VPC会引起连接地址的变更，此时不允许内网域名的设置。 设置内网域名 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，找到IPv4地址，单击内网域名 参数旁的设置。 5. 按照提示，先前往内网DNS控制台创建一个域名，并关联本实例的VPC。 6. 回到MySQL控制台，即可在域名中选择以上步骤中创建的域名。 7. 在实例内网域名中，填写您想定义为该实例的内网域名。 8. 单击确定。 9. 确定后，需要更改主机DNS使内网DNS配置生效，具体的步骤可参考更改主机DNS使内网DNS配置生效。 10. 配置后即可访问。 注意 域名（主域名）和实例内网域名不同，域名是于DNS控制台创建的主域名，MySQL控制台的内网域名是针对该实例的一个内网域名，以主域名为后缀创建。 一个主域名可以绑定多个VPC，一个VPC内可能有多个实例；一个主域名可以应用于多个实例，但一个实例内网域名只能绑定一个实例。 您在DNS网络控制台最多可以创建10个域名，相关限制可参考内网DNS官网文档。

本节介绍了用户指南;存储基础知识。 数据卷（Volume） Container 中的文件在磁盘上采用临时存储机制，这给 Container 中运行的重要应用程序带来以下影响： 容器崩溃时文件丢失： kubelet 虽然会重新启动容器，但容器会以干净的状态重启，原有文件数据不可恢复。 多容器文件共享困难：在同一 Pod 中运行多个容器并需要共享文件时，临时存储无法提供稳定的的共享存储空间。 Kubernetes 卷（Volume）能够有效解决上述问题： 卷提供持久化存储：卷通过将容器文件挂载到持久化存储介质（如网络存储或本地磁盘），确保容器重启后数据仍然保留。 多容器共享相同的卷：同一 Pod 中的多个容器可挂载相同的卷，实现高效的文件共享与通信，避免数据复制和同步的开销。 数据卷（Volume）是 Pod 与外部存储设备之间的数据传输通道，同时也是 Pod 内部容器之间、Pod 之间以及 Pod 与外部环境实现数据共享的机制。 Kubernetes 支持多种类型的 Volume。通常，与 Kubernetes 代码一同发布和迭代的内置存储卷插件属于 InTree 类型；而由存储服务商基于 CSI 或 FlexVolume 接口扩展的、独立于 Kubernetes 代码的存储卷插件则称为 OutOfTree 类型。目前，CSI 是更受推荐的扩展接口。

本节介绍了备份恢复相关问题。 TaurusDB能够保存多长时间的备份 云数据库TaurusDB实例的自动备份有效期根据用户设置的备份天数而定。详情请参见设置自动备份策略。 手动备份没有时间限制，用户可根据需要进行手动删除。详情请参见创建手动备份。 备份存储在对象存储服务上，不占用您创建的数据库空间。 如何清理云数据库TaurusDB的备份空间 TaurusDB的备份空间中存放的是自动备份、手动备份文件。 清理自动备份（全量备份+增量备份） 自动备份文件不支持手动删除，可通过修改备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 清理手动备份（全量备份） 手动备份文件支持手动删除，具体请参见删除手动备份。 如何将TaurusDB数据库备份到弹性云主机上 您可以通过导出SQL语句的方式将数据库备份到弹性云主机上。弹性云主机不限制存放哪些数据，但是数据必须符合国家法律法规。您可以在弹性云主机上存放数据库备份，但不建议将弹性云主机作为数据库备份空间使用。 强烈推荐使用云数据库TaurusDB将备份数据存放到专业的对象存储服务上，以获得更高的数据可靠性和服务保障。

操作场景 本节为您介绍如何通过TeleCloudShell远程登录到Linux弹性云主机上。 约束与限制 云主机处于“运行中”状态。 在云主机所在安全组入方向配置以下相关安全组规则：（安全组规则设置可参考：添加安全组规则）。 授权策略 优先级 协议类型 端口范围 授权对象 允许 1 TCP 22（默许） 通过公网连接：添加182.43.5.0/24。 通过私网连接：添加198.19.128.0/20。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 选择“计算 > 弹性云主机”。 4. 选择要登录的Linux弹性云主机，单击“操作”列的“远程登录”，弹出可选登录方式的远程登录窗口。 5. 单击通过TeleCloudShell远程登录的“立即登录”。 6. 在TeleCloudShell登录页面，完成云主机连接信息的配置，点击“确定”。 说明 1. 默认情况下，TeleCloudShell在连接Linux云主机时，会默认使用SSH默认端口（22），您也可在登录界面修改目标实例的连接端口，但需要注意与设置云主机安全组时的端口对应。 2. 连接Linux云主机支持密码认证和SSH密钥认证。若您选择密码认证，则需根据界面输入用户名（默认root）和密码；若您选择SSH密钥认证，则需要上传您的私钥文件，如果私钥文件设置了口令，还需输入私钥口令。 3. 支持通过弹性云主机的公网IP和私网IP进行连接。 4. 通过TeleCloudShell连接Linux弹性云主机时，底层使用SSH协议进行连接。 7. 登录成功界面如图所示。

参数 描述 管理员账户名 管理员账户名默认为rwuser。 管理员密码 用户设置的密码。 长度为8～32个字符。 必须是大写字母、小写字母、数字、特殊字符的组合，其中可输入~!@%^+?特殊字符。 系统会进行弱密码校验，安全起见，请输入高强度密码。 请妥善管理您的密码，因为系统将无法获取您的密码信息。 确认密码 必须和管理员密码一致。 参数模板 数据库参数模板就像是数据库接口配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。 实例创建成功后，您可以根据业务需要调整参数，具体操作请参见 企业项目 该参数针对企业用户使用。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 请在下拉框中选择所在的企业项目。 SSL安全连接 SSL证书是一种遵守SSL协议的服务器数字证书，能在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 您可以启用SSL安全连接，提高数据安全性，实例创建成功后，通过SSL的方式连接实例。 开启SSL安全连接之后，支持选择默认证书和通过CCM服务签发的证书。 默认证书由系统自动提供，无需设置，待实例创建成功后，您可以参见

本文主要介绍分布式消息服务RabbitMQ的入门指引。 本文将为您介绍分布式消息服务RabbitMQ入门的基本流程，主要包括控制台创建RabbitMQ实例、使用弹性云主机连接实例的操作，帮助您快速上手RabbitMQ。 操作流程 图1 RabbitMQ使用流程 环境准备 RabbitMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RabbitMQ实例 在创建实例时，您可以选择是否开启SSL访问，开启后，数据加密传输，安全性更高。同时，SSL开关只能在创建实例时设置，实例创建成功后，不支持修改。 连接实例 客户端连接实例，根据实例是否开启SSL开关，存在以下两种场景：不使用SSL证书连接和使用SSL证书连接。 配置必须的监控告警 配置RabbitMQ实例监控告警策略，监控实际业务运行状态。 说明 关于RabbitMQ的相关概念，请参考

资源规划说明 本实践将指导用户在CTyunOS 2.0.1操作系统上的云主机实例上部署WordPress，均在华东1资源池操作。 资源规划总体说明 资源类型 资源数量 说明 弹性云主机 1 名称：根据实际情况进行填写。 镜像：根据实际情况进行选择，本示例为：CTyunOS 2.0.1。 系统盘：通用型SSD盘40GB。 磁盘模式：VBD。 数据盘：本示例未选购数据盘，请您根据实际业务需求选购数据盘。 网络： 1. 虚拟私有云：选择您的虚拟私有云，本示例为vpctest。 2. 子网：选择子网，本示例为subnettest。 安全组：请根据实际情况选择，安全组名称为sgstest 私有IP地址：192.168.1.100。 虚拟私有云 1 VPC名称：请根据实际情况填写，本示例为vpctest。 IPv4网段：请根据实际情况填写，本示例为192.168.0.0/16。 子网名称：请根据实际情况填写，本示例为subnettest。 子网IPv4网段：请根据实际情况填写，本示例为192.168.1.0/24。 弹性IP 1 计费模式：请根据情况选择计费模式，本示例为按需计费。 EIP地址：EIP地址系统随机分配，本示例为121.X.X.2。 安全组 1 安全组名称：sgstest。 关系型数据库MySQL版 1 创建内网数据库实例。 实例名称：mysqltest。 网络：选择已创建的虚拟私有云和子网，vpctest和subnettest。 安全组：选择已创建的安全组，名称 sgstest。 IPv4地址：192.168.1.11。

本文主要介绍工作负载升级配置。 在实际应用中，升级是一个常见的场景，Deployment、StatefulSet和DaemonSet都能够很方便的支撑应用升级。 设置不同的升级策略，有如下两种。 RollingUpdate：滚动升级，即逐步创建新Pod再删除旧Pod，为默认策略。 Recreate：替换升级，即先把当前Pod删掉再重新创建Pod。 升级参数说明 最大浪涌（maxSurge） 与spec.replicas相比，可以有多少个Pod存在，默认值是25%，比如spec.replicas为 4，那升级过程中就不能超过5个Pod存在，即按1个的步伐升级，实际升级过程中会换算成数字，且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment支持配置。 最大无效实例数（maxUnavailable） 与spec.replicas相比，可以有多少个Pod失效，也就是删除的比例，默认值是25%，比如spec.replicas为4，那升级过程中就至少有3个Pod存在，即删除Pod的步伐是1。同样这个值也可以设置成数字。 仅Deployment支持配置。 实例可用最短时间（minReadySeconds） 指定新创建的Pod 在没有任意容器崩溃情况下的最小就绪时间， 只有超出这个时间 Pod 才被视为可用。默认值为 0（Pod 在准备就绪后立即将被视为可用）。 最大保留版本数（revisionHistoryLimit） 用来设定出于回滚目的所要保留的旧 ReplicaSet 数量。 这些旧 ReplicaSet 会消耗 etcd 中的资源，并占用 kubectl get rs 的输出。 每个 Deployment 修订版本的配置都存储在其 ReplicaSets 中；因此，一旦删除了旧的 ReplicaSet， 将失去回滚到 Deployment 的对应修订版本的能力。 默认情况下，系统保留 10 个旧 ReplicaSet，但其理想值取决于新 Deployment 的频率和稳定性。 升级最大时长（progressDeadlineSeconds） 指定系统在报告Deployment 进展失败 之前等待 Deployment 取得进展的秒数。 这类报告会在资源状态中体现为 TypeProgressing、StatusFalse、 ReasonProgressDeadlineExceeded。Deployment 控制器将持续重试 Deployment。 将来，一旦实现了自动回滚，Deployment 控制器将在探测到这样的条件时立即回滚 Deployment。 如果指定，则此字段值需要大于.spec.minReadySeconds 取值。 缩容时间窗（terminationGracePeriodSeconds）： 优雅删除时间，默认为30秒，删除Pod时发送SIGTERM终止信号，然后等待容器中的应用程序终止执行，如果在terminationGracePeriodSeconds时间内未能终止，则发送SIGKILL的系统信号强行终止。

DCS在使用时与其他服务配合使用，本节简单介绍虚拟私有云、弹性云主机、统一身份认证服务、云监控服务、云审计服务以及对象存储服务。 DCS缓存服务与其他服务的关系 虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务。 分布式缓存服务运行于虚拟私有云，由虚拟私有云协助管理IP和带宽。虚拟私有云还具备安全组访问控制功能，通过绑定安全组并设置访问规则，可以增强访问分布式缓存服务的安全性。 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）是一种可随时自助获取、可弹性伸缩的云服务器，帮助用户打造可靠、安全、灵活、高效的应用环境。 成功申请分布式缓存服务后，您可以通过弹性云主机创建的弹性云主机，连接和使用分布式缓存实例。 统一身份认证服务 统一身份认证（Identity and Access Management，简称IAM）是系统的身份管理服务，包括用户身份认证、权限分配、访问控制等功能。 通过统一身份认证服务，实现对分布式缓存服务的访问控制。 云监控服务 云监控服务（Cloud Eye）是云上提供的安全、可扩展的统一监控方案，通过云监控服务集中监控DCS的各种指标，基于云监控服务实现告警和事件通知。

本文汇总了使用并行文件服务HPFS产品时常见的计费类问题。 支持何种付费模式？ 并行文件服务HPFS仅支持按需计费的模式，按照购买时配置容量结算费用，先使用，后付费，适用于业务用量经常有变化的场景。 按量付费是一种先使用、后付费的计费模式，您可在费用中心查询出账明细。 以按需计费创建并行文件系统后就开始计费吗？ 是的，按需计费购买并行文件系统后，即按购买容量大小开始计费。 您可以参考按量付费的计费公式来预估您的费用：费用 每GB单价 文件系统大小 使用时长，以小时为单位统计。 如何查看账户是否欠费？ 欠费可能导致您账户的多种服务无法正常进行，您可在【管理中心】查看账户余额、欠费金额等信息。 HPFS欠费说明，请参见HPFS 欠费说明。 关联的云服务弹性云主机实例怎么计费？ 当创建文件系统后，您可以使用云主机来挂载该文件系统，以实现多个云主机共享使用文件系统的目的。 弹性云主机的计费请参见弹性云主机的计费项和计费说明。 关联的云服务VPC怎么计费？ 当创建文件系统前，您需要在准备使用并行文件系统的地域，提前创建虚拟私有云VPC。 您的VPC实例是免费提供的，请参见虚拟私有云VPC的计费说明。

本章会按照数据库实例规格大小介绍收费模式。 基于云计算平台，稳定可靠、可弹性伸缩、即开即用的在线数据库服务。资费包括主备实例、主实例、只读实例、存储和备份租用费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 计费项 服务费计价因子 标准资费（元/小时） ::: MYSQL 单机版 1 个 GB 内存 0.05 MYSQL 只读版 1 个 GB 内存 0.05 MYSQL 主备版 1 个 GB 内存 0.09 PGSQL 单机版 1 个 GB 内存 0.05 PGSQL 只读版 1 个 GB 内存 0.05 PGSQL 主备版 1 个 GB 内存 0.09 备注： 1. 服务费总价 服务费单价内存 2. 存储价格及备份空间价格参照已发文云硬盘及备份空间价格执行。

名称 描述 AccessControlPolicy 响应的容器。 类型：容器。 子节点：Owner、AccessControlList。 Owner 存储Bucket所属账户信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：ID、DisplayName。 ID Bucket所属账户的ID信息。 类型：字符串。 父节点：Owner。 AccessControlList 存储ACL信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：Grant。 Grant 存储Permission和Grantee的容器。 类型：容器。 父节点：AccessControlList。 子节点：Grantee。 Grantee 用来存储Display和拥有ID的用户被承认的许可的容器。 Permission 对一个Bucket认可的许可信息。 类型：字符串。 父节点：Grant。 有效值：READ（公共读）、FULLCONTROL（公共读写）、空（私有）。

本文主要介绍 iptables与IPVS如何选择。 kubeproxy是Kubernetes集群的关键组件，负责Service和其后端容器Pod之间进行负载均衡转发。 CCE当前支持iptables和IPVS两种转发模式，各有优缺点。 IPVS: 吞吐更高，速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。 iptables: 社区传统的kubeproxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。 约束与限制 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 iptables iptables 是一个 Linux 内核功能，提供了大量的数据包处理和过滤方面的能力。它可以在核心数据包处理管线上用 Hook 挂接一系列的规则。iptables 模式中 kubeproxy 在 NAT prerouting Hook 中实现它的 NAT 和负载均衡功能。 kubeproxy 的用法是一种 O(n) 算法，其中的 n 随集群规模同步增长，这里的集群规模，更明确的说就是服务和后端 Pod 的数量。 IPVS IPVS(IP Virtual Server)是在Netfilter上层构建的，并作为Linux内核的一部分，实现传输层负载均衡。IPVS可以将基于TCP和UDP服务的请求定向到真实服务器，并使真实服务器的服务在单个IP地址上显示为虚拟服务。 IPVS 模式下，kubeproxy 使用 IPVS 负载均衡代替了 iptables。这种模式同样有效，IPVS 的设计就是用来为大量服务进行负载均衡的，它有一套优化过的 API，使用优化的查找算法，而不是简单的从列表中查找规则。 kubeproxy 在 IPVS 模式下，其连接过程的复杂度为 O(1)。换句话说，多数情况下，他的连接处理效率是和集群规模无关的。 IPVS 包含了多种不同的负载均衡算法，例如轮询、最短期望延迟、最少连接以及各种哈希方法等。而 iptables 就只有一种随机平等的选择算法。 IPVS相较于iptables的优势大致如下： 1. 为大型集群提供了更好的可扩展性和性能 2. 支持比iptables更好的负载均衡算法 3. 支持服务器健康检查和连接重试等功能

特殊权限说明 说明 仅V3.6.0及以上版本的日志审计实例支持下表中的三个权限。 权限 定义 拥有的菜单 超级管理员 维护系统稳定运行 所有菜单 审计管理员 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 安全管理员 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置 依赖策略说明 如需让账号拥有在日志审计（原生版）控制台下单、管理云主机、弹性网络等权限，还需配置如下策略： 策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

容器镜像服务（Software Repository for Container）是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 您可以使用控制台或CLI上传、下载和管理容器镜像，并对接云容器引擎完成容器应用部署。

本文主要介绍登录容器。 操作场景 如果在使用容器的过程中遇到非预期的问题，您可登录容器进行调试。 使用kubectl命令登录容器 步骤 1 使用kubectl连接集群，详情请参见通过kubectl连接集群。 步骤 2 执行以下命令，查看已创建的Pod。 kubectl get pod 示例输出如下： NAME READY STATUS RESTARTS AGE nginx59d89cb66fmhljr 1/1 Running 0 11m 步骤 3 查询该Pod中的容器名称。 kubectl get po nginx59d89cb66fmhljr o jsonpath'{range .spec.containers[]}{.name}{end}{"n"}' 示例输出如下： container1 步骤 4 执行以下命令，登录到nginx59d89cb66fmhljr这个Pod中名为container1的容器。 kubectl exec it nginx59d89cb66fmhljr c container1 /bin/sh 步骤 5 如需退出容器，可执行exit命令。

本节介绍云容器引擎的最佳实践:获取容器Core Dump。 应用场景 Core Dump是指当一个程序发生严重错误导致异常终止时，操作系统将该程序当前的内存状态以及其他相关信息保存到一个特殊的文件中，这个文件通常称为 core 文件或核心转储文件。core文件包含了程序在崩溃时的内存映像、CPU 寄存器状态、堆栈信息等，可以用于分析程序异常终止的原因。 在容器环境中，Core Dump的处理与传统的物理机环境略有不同，因为容器本身是在宿主机上运行的，因此需要一些特殊的配置才能捕获容器内发生的核心转储。本节介绍容器中core文件的一般处理流程和相关概念。 将Core Dump文件输出到主机目录 开启节点Core Dump 设置Core Dump文件的输出路径 echo "/tmp/cores/core.%t.%e.%p" > /proc/sys/kernel/corepattern 上述文件路径中： %t：表示coredump的时间。 %e：表示程序文件名。 %p：表示进程ID。 将Core Dump的输出路径修改为/tmp/cores，后续容器中的应用程序Core Dump文件也将输出到容器的/tmp/cores文件，因为在容器中读取的 /proc/sys/kernel/corepattern文件实质上就是主机的 /proc/sys/kernel/corepattern文件。 配置容器Core Dump和验证 通过kubectl或者控制台完成如下配置： apiVersion: v1 kind: Pod metadata: name: corevolume spec: volumes: name: coredumppath hostPath: 通过hostPath将容器Core Dump持久化在主机 path: /home/coredump containers: name: ubuntu image: ubuntu:12.04 command: ["/bin/sleep","3600"] volumeMounts: mountPath: /tmp/cores name: coredumppath 用上述方式创建Pod并进入，触发当前shell终端的段错误。 $ kubectl get pod NAME READY STATUS RESTARTS AGE corevolume 1/1 Running 0 55s $ kubectl exec it corevolume /bin/bash root@corevolume:/ kill s SIGSEGV $$ 在容器实际运行的主机上查看/home/coredump目录会生成core文件。 ls /home/coredump core.1738160312.corevolume.15