本文介绍了iptables配置和使用。 CentOS7系统默认的防火墙是Firewalld。但是，仍有大量用户习惯于在CentOS7系统中使用iptables。本文以CentOS7.9为例，说明在CentOS7系统中如何安装并使用iptables。 禁止firewalld开机启动 为了防止与iptables产生冲突，您需要先禁用Firewalld开机自启 1.连接Centos7.9实例，关于如何连接实例可参考登录Linux弹性云主机 2.执行如下命令查看服务状态 bash systemctl status firewalld 3.当服务处于active状态，运行以下命令关闭Firewalld服务。 bash systemctl disable firewalld now 安装iptables 执行如下命令，安装iptables： bash yum install y iptablesservices 启动iptables并开启开机自启： bash systemctl enable iptables.service now 验证iptables是否启动成功 bash systemctl status iptables.service 查看并修改iptables默认规则 执行 iptables L命令，查看iptables默认规则，发现在默认规则下，INTPUT链允许来自任何主机的访问，可以参考如下步骤修改默认规则。 1.如果之前已经设置过规则，建议执行如下命令，备份原有的iptables文件，避免之前设置的规则丢失。 bash cp a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 2.执行如下命令，清空所有规则。 bash iptables F 3.根据业务需求添加规则，放行或者禁用端口。示例：依次执行如下命令，放行80端口和22端口。 bash iptables I INPUT p tcp dport 80 m state state NEW j ACCEPT iptables I INPUT p tcp dport 22 m state state NEW j ACCEPT 示例：依次执行如下命令，添加规则，使INPUT链拒绝所有请求，即ECS实例会拒绝所有请求。如果是线上业务请勿直接操作，会直接中断业务。 bash iptables P INPUT DROP 4.执行如下命令，确认新规则生效。 bash iptables L 5.执行如下命令，保存添加的规则。 bash iptablessave > /etc/sysconfig/iptables 6.批量导入规则 bash iptablesrestore < 文件名称

下载Linux gsql客户端并连接集群 1. 下载客户端下载Linux gsql客户端，并使用SSH文件传输工具（例如WinSCP工具），将客户端工具上传到一个待安装Linux gsql的Linux主机上。 执行上传Linux gsql操作的用户需要对客户端主机的目标存放目录有完全控制权限。 2. 使用SSH会话工具，远程登录客户端主机。 弹性云主机的登录方法请参见《弹性云主机用户指南》中的“实例 > 登录Linux弹性云主机 > SSH密码方式登录”章节。 3. （可选）如果要使用SSL方式连接集群，请参考 使用SSL进行安全的TCP/IP连接章节，在客户端主机配置SSL认证相关的参数。 说明 SSL连接方式的安全性高于非SSL方式，建议在客户端使用SSL连接方式。 4. 执行以下命令解压客户端工具。 cd unzip dwsclient8.1.xredhatx64.zip 其中： ：请替换为实际的客户端存放路径。 dwsclient 8.1.x redhatx64.zip：这是“RedHat x64”对应的客户端工具包名称，请替换为实际下载的包名。 5. 执行以下命令配置客户端。 source gsqlenv.sh 提示以下信息表示客户端已配置成功： All things done. 6. 执行以下命令，使用gsql客户端连接DWS 集群中的数据库。 gsql d h U p r 参数说明如下： “数据库名称”：输入所要连接的数据库名称。首次使用客户端连接集群时，请指定为集群的默认数据库“gaussdb”。 “集群地址”：请参见 获取集群连接地址进行获取。如果通过公网地址连接，请指定为集群“公网访问地址”或“公网访问域名”，如果通过内网地址连接，请指定为集群“内网访问地址”或“内网访问域名”。 “数据库用户”：输入集群数据库的用户名。首次使用客户端连接集群时，请指定为创建集群时设置的默认管理员用户，例如“dbadmin”。 “数据库端口”：输入创建集群时设置的“数据库端口”。 例如，执行以下命令连接DWS 集群的默认数据库gaussdb： gsql d gaussdb h 10.168.0.74 U dbadmin p 8000 W password r 显示如下信息表示gsql工具已经连接成功： gaussdb>

本节介绍该产品服务等级协议。 产品服务等级协议，详情参见《天翼云云容器引擎服务等级协议》。

本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

名称 描述 CORSConfiguration 最多包含100个CORSRules元素的容器。 类型：容器 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点: AllowedOrigin、 AllowedMethod、MaxAgeSeconds、ExposeHeader、ID。 父节点: CORSConfiguration。 ID 规则的唯一标示。最长255个字符。 类型：字符串。 父节点: CORSRule。 AllowedMethod 用户允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举。 取值：GET、PUT、HEAD、POST、DELETE。 父节点：CORSRule。 AllowedOrigin 用户允许跨域的源。最多包含一个 通配符。比如： 用户也可以只指定 表示允许所有源跨域访问。 类型：字符串。 父节点: CORSRule。 AllowedHeader 通过AccessControlRequestHeaders请求头，指定预检OPTIONS请求中允许的请求头。AccessControlRequestHeaders中的每个请求头名称，必须在规则中有匹配的相应条目。OOS将仅发送允许的响应头。规则中的每个 AllowedHeader 字符串可以最多包含一个 通配符字符。例如：xamz。 类型：字符串。 父节点：CORSRule。 MaxAgeSeconds 指定浏览器为预检请求缓存响应的时间 (以秒为单位)。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 父节点：CORSRule。 ExposeHeader 指定客户应用程序 (例如，JavaScript XMLHttpRequest文件) 能够访问的响应头。 类型：字符串。 父节点: CORSRule。

创建桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何创建桶（Bucket）。 接口定义 plaintext (void)listBuckets:(AWSRequest )request completionHandler:(void (^)(AWSS3ListBucketsOutput response, NSError error))completionHandler 参数说明 参数名 类型 说明 bucket NSString bucket名称 createBucketConfiguration AWSS3CreateBucketConfiguration 如果非NULL，则是用于授权签名的AWS区域 ACL AWSS3BucketCannedACL 设定的权限 代码示例 plaintext (void) createBucketWithName:(NSString) bucketName { AWSS3CreateBucketRequest request [[AWSS3CreateBucketRequest alloc] init]; request.bucket bucketName; [self.s3 createBucket:request completionHandler:^(AWSS3CreateBucketOutput Nullable response, NSError Nullable error) { if (error ! nil) { NSLog(@"error: %@", error); return; } }]; } 删除桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何删除桶（Bucket）。 注意：待删除的bucket必须是空的，否则会报错。 接口定义 plaintext (void)deleteBucket:(AWSS3DeleteBucketRequest )request completionHandler:(void (^)(NSError error))completionHandler 参数说明 参数名 类型 说明 bucket NSString 要删除的bucket名 代码示例 plaintext (void) deleteBucketWithName:(NSString) bucketName { AWSS3DeleteBucketRequest request [[AWSS3DeleteBucketRequest alloc] init]; request.bucket bucketName; [self.s3 deleteBucket:request completionHandler:^(NSError Nullable error) { if (error ! nil) { NSLog(@"error: %@", error); return; } }]; } 判断桶是否存在 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何判断桶（Bucket）是否存在。

创建桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何创建桶（Bucket）。 接口定义 plaintext // 简化接口 public Bucket createBucket(String bucketName) // 完整接口 public Bucket createBucket(CreateBucketRequest createBucketRequest) 参数说明 参数名 类型 说明 bucketName String bucket名称 region String 如果非NULL，则是用于授权签名的AWS区域 cannedAcl CannedAccessControlList 设定的权限 代码示例 plaintext public void CreateBuckets(String bucketName, OnS3ResponseListener listener) { GlobalThreadPool.getInstance().execute(() > { try { Bucket bucket sS3Client.createBucket(bucketName); ​ Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onResponse(bucket)); } catch (Exception e) { Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onError()); } }); } 获取桶列表 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何获取桶（Bucket）列表。 接口定义 plaintext public List listBuckets() 代码示例 plaintext public void ListBuckets(OnS3ResponseListener > listener){ GlobalThreadPool.getInstance().execute(() > { try { List list sS3Client.listBuckets(); ​ Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onResponse(list)); } catch (Exception e) { Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onError()); } }); } 判断桶是否存在 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何判断桶（Bucket）是否存在。

操作场景 命名空间（Namespace）是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 前提条件 至少已创建一个集群，请参见购买混合集群。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 命名空间类别 命名空间按创建类型分为两大类：集群默认创建的、用户创建的。 集群默认创建的：集群在启动时会默认创建default、kubepublic、kubesystem、kubenodelease命名空间。 − default：所有未指定Namespace的对象都会被分配在default命名空间。 − kubepublic：此命名空间下的资源可以被所有人访问（包括未认证用户），用来部署公共插件、容器模板等。 − kubesystem：所有由Kubernetes系统创建的资源都处于这个命名空间。 − kubenodelease：每个节点在该命名空间中都有一个关联的“Lease”对象，该对象由节点定期更新。NodeStatus和NodeLease都被视为来自节点的心跳，在v1.13之前的版本中，节点的心跳只有NodeStatus，NodeLease特性从v1.13开始引入。NodeLease比NodeStatus更轻量级，该特性在集群规模扩展性和性能上有明显提升。 用户创建的：用户可以按照需要创建命名空间，例如开发环境、联调环境和测试环境分别创建对应的命名空间。或者按照不同的业务创建对应的命名空间，例如系统若分为登录和游戏服务，可以分别创建对应命名空间。 创建命名空间 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。单击“创建命名空间”。 步骤 2 参照下表设置命名空间参数，其中带“”标志的参数为必填参数。 表命名空间基本信息 参数 参数说明 命名空间 新建命名空间的名称，命名必须唯一。 集群 新建命名空间属于哪个集群。 节点亲和 开启后，当前命名空间下所创建的工作负载只能调度到拥有特定标签的节点上。您可以在节点管理中通过标签管理为节点添加标签。 该参数仅在v1.13.10r0及以上版本的集群中显示。 命名空间描述 输入对命名空间的描述信息。 资源配额设置 资源配额可以限制命名空间下的资源使用，进而支持以命名空间为粒度的资源划分。 须知：建议根据需要在命名空间中设置资源配额，避免因资源过载导致集群或节点异常。 例如：在集群中每个节点可以创建的实例（Pod）数默认为110个，如果您创建的是50节点规格的集群，则最多可以创建5500个实例。因此，您可以在命名空间中自行设置资源配额以确保所有命名空间内的实例总数不超过5500个，以避免资源过载。 可设置配额的资源类型如下： CPU（Core） 内存（MiB） 有状态工作负载（StatefulSet） 无状态工作负载（Deployment） 普通任务（Job） 定时任务（CronJob） 实例（Pod） 服务（Service） 请输入整型数值，"0"表示不限制该资源的使用。 若您需要限制CPU或内存的配额，则创建工作负载时必须指定CPU或内存请求值。 步骤 3 配置完成后，单击“确定”。

本节介绍了自动变更集群规格的用户指南。 操作场景 容器集群规模是集群支持管理的最大节点数量，当集群规模不满足您的诉求或控制面组件负载达到阈值时，可以通过开启“自动变更规格”功能自动扩大集群控制面规模。该功能默认关闭，需手动开启。 约束限制 1. 自动变更规格功能仅适用于托管版容器集群。 2. 自动变更规格对特定客户开放，如需使用，请联系客户经理或通过工单申请。 3. 自动变更规格涉及自动支付，自动支付暂不支持代金券支付，对于预付费账号，请确保余额充足，以便顺利完成支付和规格变更。 4. 自动变更规格过程中，容器集群组件会进行滚动更新，可能导致短暂的服务中断，建议避免在此过程中执行创建负载等核心操作。 5. 控制面组件负载触发依赖于cubeprometheus插件采集控制面组件指标数据，请先安装cubeprometheus插件，再安装masterautoscaler插件。 6. 若卸载了cubeprometheus插件，会导致masterautoscaler无法采集控制面组件指标，无法触发自动变更。 7. 若卸载重装了cubeprometheus插件，masterautoscaler插件也需要先卸载再安装。 收费策略 集群变更规格（升配或降配）会直接影响集群管理费用的计算。变更完成后，新规格立即生效并按新规格计费。 费用计算规则 1. “按需计费”集群：升配和降配生效后，按照变更后规格的费用按需计费。 2. “包年包月”集群： 升配：新规格价格高于老规格价格，客户需要支付新老规格的差价，在升配期间自动扣除费用。 降配：新规格价格低于老规格价格，天翼云会将新老规格的差价退给客户，在降配期间自动返还费用。

本节介绍了用户指南: 本地存储概述。 云容器引擎支持使用本地存储卷。当前cstorcsi插件支持通过LVM和LocalPV的方式动态使用容器集群节点上的硬盘或者文件系统。 功能介绍 本地存储卷包含以下几种方式，可以根据业务需求及存储特点进行选择。 类型 存储卷类型 能力供应 特点 LocalPV 动态存储卷 cstorcsi插件 使用节点上已有数据目录，动态创建子路径绑定到PV上，供业务使用。 LocalPV 静态存储卷 Kubernetes原生 通过手动创建PV，指定节点亲和性及本地存储设备的方式使用本地存储。pod无需手动调度指定的节点。 HostPath Kubernetes原生 将主机节点文件系统上指定文件或目录挂载到 Pod 中。 LVM 动态存储卷 cstorcsi插件 基于节点上的数据盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘跟用户容器使用。 约束与限制 cstorcsi插件本地存储功能需要插件版本>3.3.3； 请勿在节点上手动删除存储池或卸载数据盘，否则会导致数据丢失等异常情况； 请勿对本地存储资源自行执行增删改等操作，否则会导致PVC不可用或者无法达到使用预期。 本地存储资源包括存储池管理的VG，PV，LV，或者基于硬盘构建的文件系统；或者自行申领的文件系统等； 重置或缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用； 本地存储并非高可用存储卷，只适用于一些临时数据的保存及应用自带高可用的场景； LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。

本文主要介绍授权管理 操作场景 如果您需要对容器镜像服务进行权限管理，您需要使用统一身份认证服务IAM对操作用户配置权限，当您具有SWR Admin或者Tenant Administrator系统权限时，您就拥有了SWR的管理员权限，可以在SWR中为其他IAM用户进行授权。 说明 拥有SWR管理员权限的用户，默认拥有所有组织下的镜像管理权限，即使该用户不在组织的授权用户列表中。 如果您没有SWR的管理员权限，就需要已拥有SWR管理员权限的用户在SWR中进行授权管理，为您添加对某个镜像的权限或对某个组织中所有镜像的权限。 场景示例： 示例一：我是拥有ServiceStage Developer权限（SWR只读权限）的IAM用户，想要下载SWR管理员所创建的“group”组织下的“nginx”镜像。 示例二：我是SWR管理员，需要给公司内部员工授权一个组织的镜像上传权限。 策略：您在组织详情“用户”页签下为该员工授予“编辑”权限。 授权方法 容器镜像服务中给IAM用户添加权限有如下两种方法： 在镜像详情中添加授权： 授权完成后，IAM用户享有读取/编辑/管理该镜像的权限。 在组织中添加授权： 使IAM用户对组织内所有镜像享有读取/编辑/管理的权限。 图 用户权限 容器镜像服务中为用户添加的权限有如下三种类型： 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及添加触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、添加触发器以及共享镜像。 说明 页面上传镜像功能要求具备组织的编辑或管理权限，在镜像详情中添加的编辑或管理权限不支持页面上传镜像。

本节介绍集群元数据备份与恢复。 CCE One 提供备份恢复功能，能对已被分布式容器云平台纳管的集群应用进行备份，并在线上其他 CCE集群恢复，从而快速完成线下应用向线上环境的迁移。本文详细介绍了如何使用备份能力将已接入注册集群的线下自建集群中的应用高效迁移至天翼云容器引擎 CCE集群中来。 前提条件 已开通对象储存（CTZOS）服务，并开通公网访问。具体操作，请参考对象储存。 将自建Kubernetes集群通过注册集群的方式接入分布式容器云平台CCE One。具体操作，请参见将本地Kubernetes接入注册集群。 注意 若源/目标集群无法注册到天翼云CCE One注册集群时（公网/内网均不具备打通条件），可考虑手工向成员集群部署ccsebackup插件以及YAML配置方式进行相关操作，相对前端操作方式会比较繁琐。若有需要，可联系天翼云售前同学咨询。 适用场景 实现业务快速上云，应用备份迁移一体化。 参考指引 本文以nginx应用为例，在线下集群中部署应用后进行备份，然后在线上天翼云注册集群中进行恢复。 步骤一：在自建Kubernetes集群部署应用 执行以下命令，创建对应的nginx deployment： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:latest imagePullPolicy: IfNotPresent ports: containerPort: 80 apiVersion: v1 kind: Service metadata: name: nginxservice labels: app: nginx spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 预期结果：

本节介绍了查看弹性云主机创建状态的操作场景、操作步骤等内容。 用户申请创建弹性云主机后，可以查看任务的创建状态。本节介绍如何查看弹性云主机的创建状态。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 常用操作“开机/关机/更多”的右侧即为创建状态栏，用户执行创建弹性云主机操作后，创建状态栏将显示该任务为“创建中”状态。 4. 单击“创建中”对应的数字，即可查看创建中的任务，查看弹性云主机的创建状态。 说明 创建云主机时存在以下两种状态： 创建中：指系统正在处理创建云主机的请求。 创建失败：指未能成功处理的请求。对于创建失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（Ecs.0013）EIP配额不足”。 运行中：成功处理创建云主机的请求，是弹性云服务正常运行的状态。在这个状态的云主机可以运行您的业务。 失败处理方法请参见 如果用户发现申请状态栏显示创建弹性云主机的任务失败，而弹性云主机列表中显示该弹性云主机已创建成功，关于此问题请参见

本节介绍了配置主机名与IP地址的映射的约束限制、操作步骤。 对于同一VPC内的弹性云主机，可以通过主机名称进行通信。此时，您需要配置主机名与IP地址之间的映射关系。较之通过IP地址进行通信，主机名方式进行通信更为方便。 约束限制 仅适用于Linux弹性云主机。 操作步骤 假设VPC内共有2台弹性云主机：ecs01和ecs02。通过如下操作，ecs01和ecs02可以通过主机名互相通信。 步骤1 分别登录ecs01和ecs02，获取2台弹性云主机的私有IP地址。 1.登录管理控制台。 2.选择“计算 > 弹性云主机”。 3.在弹性云主机列表页，通过“私有IP地址”栏，查看弹性云主机的私有IP地址。 【示例】假设查询的私有IP地址如下： ecs01：192.168.0.1 ecs02：192.168.0.2 步骤2 分别获取2台弹性云主机的主机名。 1.登录弹性云主机。 2.执行以下命令，查询弹性云主机的主机名。 sudo hostname 【示例】假设查询的主机名如下： ecs01：hostname01 ecs02：hostname02 步骤3 建立主机名与IP地址之间的映射关系，并添加同一VPC内其他弹性云主机的信息。 1.登录弹性云主机ecs01。 2.执行以下命令，切换至root权限。 sudo su 3.执行以下命令，编辑hosts文件。 vi /etc/hosts 4.按“i”，进入编辑模式。 5.按照如下格式添加语句，建立映射关系。 私有IP地址 主机名 【示例】需添加的语句为： 192.168.0.1 hostname01 192.168.0.2 hostname02 6.按“Esc”退出编辑模式。 7.执行以下命令，保存并退出。 :wq 8.登录ecs02。 9.重复执行步骤3.2~步骤3.7。 步骤4 测试验证能否通过主机名正常通信。 分别登录同一VPC内的弹性云主机，执行以下命令，使用ping命令ping添加的主机，看ping包是否能正常送达。 ping hostname

名称 描述 是否必须 BucketName 存储桶名称。 是 CORSConfiguration 最多包含100个CORSRule元素的容器。 类型：容器。 子节点：CORSRule。 是 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点：AllowedOrigin、AllowedMethod、AllowedHeader、MaxAgeSeconds、ExposeHeader、ID。 父节点：CORSConfiguration。 是 ID 规则的唯一标识。最长255个字符。 类型：字符串。 父节点：CORSRule。 否 AllowedMethod 允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举 (GET, PUT, HEAD, POST, DELETE)。 父节点：CORSRule。 是 AllowedOrigin 允许跨域的源。每个CORSRule应至少包含一个源和一个方法。 可以包含通配符，但最多只能包含一个，比如： 表示允许所有源跨域访问。 类型：字符串。 父节点：CORSRule。 是 AllowedHeader 控制在预检OPTIONS请求中AccessControlRequestHeaders头中指定的header是否允许。AccessControlRequestHeaders 中的每个请求头名称，必须在规则中有匹配的条目。 规则中的每个 AllowedHeader最多可以包含一个 通配符字符。例如，xamz。 类型：字符串。 父节点：CORSRule。 否 MaxAgeSeconds 指定浏览器对特定资源的预检（OPTIONS）请求返回结果的缓存时间，单位为秒。通过缓存响应，在需要重复原始请求时，浏览器无需向 OOS 发送预检请求。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 取值：大于等于1的整数。1表示禁用缓存。 父节点：CORSRule。 否 ExposeHeader 指定客户应用程序(例如，JavaScript XMLHttpRequest文件)能够访问的响应头。 类型：字符串。 父节点: CORSRule。 否

在函数计算服务中，新创建的函数实例默认情况下具备访问公网的能力，但无法访问VPC（虚拟私有云）内的资源。如果您的业务场景需要函数能够与VPC内的资源进行交互，或者仅允许来自特定VPC的函数调用请求，您需要对函数进行网络配置，本文介绍如何通过函数计算控制台为函数配置网络。 网络访问类型 在函数计算中，通过网络地址进行的访问操作会产生不同类型的流量。这些流量根据其目的地可以分为两大类： 公网流量：这指的是函数实例访问公网地址所产生的流量，例如访问天翼云官网产生的流量即公网流量。 VPC内网流量：这是指函数实例访问用户VPC内资源所产生的流量。例如访问天翼云关系型数据库服务、分布式缓存服务、对象存储以及VPC中其他弹性云主机的内网地址。 函数的网络配置 根据函数的网络配置，您可以为函数实例设定不同的网络访问能力，以满足您的业务需求： 函数出流量：这是指函数实例发起的对外流量，包括访问公网资源和VPC内资源。对于出流量的配置，您可以设置函数是否能够访问VPC内的资源，以及是否允许函数访问公网。 网络配置 配置含义 仅允许函数访问公网 仅允许函数访问公网，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为是。 仅允许函数访问VPC 仅允许函数访问VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为否。 允许函数访问公网和VPC 允许函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为是。 禁止函数访问公网和VPC 禁止函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为否。 函数入流量：这是指外部访问函数实例的流量，包括公网和VPC。对于入流量的配置，您可以设置公网是否可以访问函数，以及VPC是否可以访问函数。 网络配置 配置含义 允许公网和VPC访问函数 允许公网和VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为否。 仅允许指定VPC访问函数 仅允许指定VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为是，并配置具体的VPC信息。

本文主要介绍如何解绑与释放弹性IP。 解绑弹性IP操作步骤： 1.登录管理控制台。 2.在系统首页，选择“网络 > 弹性IP”。 3.在弹性IP界面待解绑的按需弹性IP地址所在行，单击“解绑”。 4.单击“是”。 释放弹性IP操作步骤： 1.登录管理控制台。 2.在系统首页，选择“网络 > 弹性IP”。 3.在“弹性IP”界面待释放的按需弹性IP地址所在行，单击“更多 > 释放”。 4.单击“是”。

本文为您介绍CTCCLSlowdetect最佳实践。 在4台A8008，每台节点有8张mlx网卡，RoCE组网，部署慢节点工具套件。其中，在4节点上容器化部署模型训练基础环境以及llama27b训练模型，在node1上容器化部署ctccm服务，并在每一台节点上容器化部署ctcclprofiler服务。 在训练任务代码中调用ctcclprofilercomm API： 在训练脚本中配置相关环境变量 启动ctccmslowdetect服务 export PATH"/usr/local/python3/bin:$PATH"（替换为自己的安装路径） && ctccm nnodes 4 port 8002 debug 启动所有节点上的ctcclprofilernet服务 启动分布式训练任务，ctccm会收到任务的逻辑拓扑 ctccm在训练中检测集群中是否存在慢节点，一旦发现慢节点则下发开始收集细粒度的监控信息的控制信号，并做慢节点定位定界。 当计算慢时，ctccm会给出计算慢的TP通信域所包含的rank。 当通信慢时，ctccm会给出慢的QP以及它所对应的网卡对和所在节点。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

操作系统健康状态监控 周期采集操作系统硬件资源使用率数据，包括CPU、内存、硬盘、网络等资源的使用率状态。 进程健康状态监控 翼MR提供业务实例的状态以及业务实例进程的健康指标的检查，能够让用户第一时间感知进程健康状态。 硬盘故障的自动处理 天翼云大数据平台 翼MapReduce对开源版本进行了增强，可以监控各节点上的硬盘以及文件系统状态。如果出现异常，立即将相关分区移出存储池；如果硬盘恢复正常（通常是因为用户更换了新硬盘），也会将新硬盘重新加入业务运作。这样极大简化了维护人员的工作，更换故障硬盘可以在线完成；同时用户可以设置热备盘，从而极大缩减了故障硬盘的修复时间，有利于提高系统的可靠性。 节点磁盘LVM配置 天翼云大数据平台 翼MapReduce支持将多个磁盘配置成LVM（Logic Volume Management），多个磁盘规划成一个逻辑卷组。配置成LVM可以避免各磁盘间使用不均的问题，保持各个磁盘间均匀使用在HDFS和Kafka等能够利用多磁盘能力的组件上尤其重要。并且LVM可以支持磁盘扩容时不需要重新挂载，避免了业务中断。 数据可靠性 天翼云大数据平台 翼MapReduce可利用弹性云服务器ECS提供的反亲和节点组以及放置组的能力，结合Hadoop的机架感知能力，将数据冗余到多个物理宿主机上，避免物理硬件的失效造成数据的失效。

本文主要介绍物理机故障时,弹性云主机是否会自动恢复 弹性云主机在物理机故障时，可以自动恢复。 弹性云主机运行在物理机上，虽然提供了多种机制来保证系统的可靠性、容错能力和高可用性，但是，服务器的硬件、电源等部件仍有较小概率的损坏。如果物理设备的损坏导致物理机电源无法正常工作或重启，会导致CPU和内存数据丢失，无法进行热迁移来恢复弹性云主机。 云平台默认提供了自动恢复功能，以冷迁移的方式重启弹性云主机，使弹性云主机具备高可靠性和强大的动态迁移能力。当弹性云主机所在的硬件出现故障时，系统会自动将弹性云主机迁移至正常的物理机，保障您受到的影响最小，该过程会导致云主机重启。 您可以在云监控服务控制台为弹性云主机开启“一键告警”功能，以便在HA发生（弹性云主机所在的物理机出现故障，系统自动迁移弹性云主机至正常的物理机）时，及时获得通知。 说明 自动恢复功能不保证用户数据的一致性。 仅支持物理主机故障产生的弹性云主机自动恢复，弹性云主机本身故障当前不支持自动恢复。 弹性云主机所在的物理主机关机后，才能执行自动恢复。如果物理主机内存故障等因素导致物理主机未关机，则不能执行自动恢复。 对于同一弹性云主机，如果发生物理主机故障，12小时内仅允许1次自动恢复操作。 如下场景时，可能会引起自动恢复弹性云主机失败： 系统发生大规模故障，导致迁移弹性云主机前，找不到可用的物理主机。 迁移弹性云主机时，用于迁移的物理主机临时容量不足。 对于包含如下特殊资源的弹性云主机，暂不支持自动恢复功能： 本地盘

本节介绍了查看监控指标的操作场景、前提条件、操作步骤。 操作场景 公有云平台提供的云监控，可以对弹性云主机的运行状态进行日常监控。您可以通过管理控制台，直观地查看弹性云主机的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的弹性云主机状态。如果您的弹性云主机刚刚创建完成，请等待5～10分钟后查看监控数据。 前提条件 弹性云主机正常运行。 关机、故障、删除状态的弹性云主机，无法在云监控中查看其监控指标。当弹性云主机再次启动或恢复后，即可正常查看。 说明 关机、故障24小时的弹性云主机，云监控将默认该弹性云主机不存在，并在监控列表中删除，不再对其进行监控，但告警规则需要用户手动清理。 弹性云主机已对接云监控，即已在云监控页面设置告警规则。 对接云监控之前，用户无法查看到未对接资源的监控数据。具体操作，请参见设置告警规则。 弹性云主机已正常运行一段时间（约10分钟）。 对于新创建的弹性云主机，需要等待一段时间，才能查看上报的监控数据和监控视图。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表中的右上角，输入弹性云主机名称、IP地址或ID，并进行搜索。 5. 单击弹性云主机的名称，查看详情。 6. 在弹性云主机详情页面，选择“监控”页签，查看监控数据。 7. 在弹性云主机监控区域，您可以通过选择时长，查看对应时间的监控数据。 当前支持查看弹性云主机“近1小时”、“近3小时”、“近12小时”的监控数据。

本文汇总了使用虚拟私有云产品时常见的使用弹性IP类问题。 一个弹性IP可以给几个弹性云主机使用？ 一个弹性IP只能绑定一个弹性云主机使用。 如何通过外部网络访问绑定弹性IP的弹性云主机？ 为保证弹性云主机的安全性，每个弹性云主机创建成功后都会加入到一个安全组中，安全组默认Internet对内访问是禁止的，所以需要在安全组中添加对应的入方向规则，才能从外部访问该弹性云主机。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云主机需要提供由公网可以访问的服务，并且不明确访问该服务的对端IP地址时，建议将安全组规则的源地址设置成默认网段0.0.0.0/0，再通过配置端口提高网络安全性。 源地址设置成默认网段0.0.0.0/0，表示允许所有IP地址访问安全组内的弹性云主机。 建议将不同公网访问策略的弹性云主机划分到不同的安全组。

本节介绍如何为下一代防火墙绑定弹性IP。 将用户业务弹性公网IP绑定在下一代防火墙业务网卡上，从而将用户业务流量接入下一代防火墙。 操作步骤 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，进入云等保专区的下一代防火墙资源页面。 3. 在目标资源的操作列，单击“绑定弹性IP”，为资源绑定弹性IP。 4. 在弹出的“绑定弹性IP”窗口中，通过“弹性网卡”下拉框中选择一个网卡，在下方列表中选择一个弹性公网IP地址。 若没有可绑定的弹性IP，单击“配置弹性IP”，进入创建弹性IP页面，创建一个新的弹性IP地址。 5. 选择完成后，单击“确定”，完成绑定。

本节介绍资产的类型及如何查看资产列表。 “资产中心”是汇集所有功能模块的入口，旨在提高资源的利用率和管理效率，同时提升用户的使用体验。 资产按照不同板块分了5大类，分别为集群资产、镜像资产、节点资产、应用服务以及配置相关，也可通过搜索资产名称定位到您想要查找的资产。 资产分类 资产子类 集群资产 集群、命名空间、工作负载、Pod、容器 镜像资产 仓库、仓库镜像、节点镜像、软件包 节点资产 节点、进程、端口 应用服务 Ingress、Service、Endpoint、运行应用、软件框架、Web站点、Routes 配置相关 Secret、ConfigMap、PV、PVC、标签、Service Account、Role、Role binding 查看资产列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击各资产卡片，可以跳转至对应资产列表页面。

已购买的弹性IP的带宽峰值可进行修改,本文帮助您对正在使用中的弹性IP进行变配。 如果您在使用弹性IP地址的过程中，使用场景发生变化，对带宽需求发生改变，您无须重新购买弹性IP，只要对正在使用中的弹性IP进行变配即可满足要求。 前提条件 要修改带宽的弹性IP不能是已过期状态，只有未过期的弹性IP才可以修改带宽，已过期的弹性IP要想修改带宽可以先续费。 操作步骤 1. 进入网络控制台，在服务列表中点击【弹性公网IP】按钮。 2. 在弹性公网IP列表找到需要变配的弹性 IP，鼠标移入操作列中的【更多】，在出现的列表框点击【修改带宽】。 3. 在弹出的界面中按照您的需要修改带宽，修改完成后点击【确定】，根据提示完成订单即可。

本节介绍如何为Web应用防火墙绑定弹性IP。 将用户业务弹性公网IP绑定在Web应用防火墙业务网卡上，从而将用户业务流量接入Web应用防火墙。 操作步骤 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙”，进入云等保专区的Web应用防火墙资源页面。 3. 在目标资源的操作列，单击“绑定弹性IP”，为资源绑定弹性IP。 4. 在弹出的“绑定弹性IP”窗口中，通过“弹性网卡”下拉框中选择一个网卡，在下方列表中选择一个弹性公网IP地址。 若没有可绑定的弹性IP，单击“配置弹性IP”，进入创建弹性IP页面，创建一个新的弹性IP地址。 5. 选择完成后，单击“确定”，完成绑定。

性能增强，可靠性增强 控制面和数据面在社区版本基础上进行可靠性加固和性能优化。 多基础设施 提供免运维的托管控制面，提供全局统一的服务治理，灰度、安全和服务运行监控能力，并支持对支持容器和VM等多种基础设施的统一服务发现和管理。 协议扩展 社区通用的HTTP、gRPC、TCP、TLS外扩展对Dubbo协议的支持。 传统SDK集成 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案，传统的微服务SDK开发的业务代码无需大的代码修改即可迁移到云原生的容器和网格运行环境上来。

本节介绍了创建相同配置云主机的操作场景、使用须知、操作步骤等内容。 操作场景 对于已创建成功的弹性云主机，如需再次创建相同配置的，建议您使用公有云平台提供的“创建相同配置”功能，快速创建同一配置的弹性云主机，节省时间。 使用须知 超大内存型弹性云主机、使用整机镜像创建的弹性云主机，暂不支持使用“创建相同配置”功能。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 选择目标弹性云主机，并单击“操作”列下的“更多 > 创建相同配置”。 系统将跳转至弹性云主机创建页，并自动复制已选择云主机的参数配置。 说明 为安全起见，当复制的弹性云主机存在如下场景时，系统不会自动复制相应的参数配置，需用户手动配置： 数据盘个数超过10个时，需手动添加磁盘数量。 网卡个数超过5个时，需手动添加其余网卡。 安全组个数超过5个时，需手动添加其余安全组。 使用数据盘镜像创建的磁盘，需重新选择数据盘镜像。 使用磁盘加密功能的云硬盘，需重新勾选“加密”。 “高级配置”中的相关功能，需重新设置。 弹性IP默认为“不使用”，如需使用，请手动设置为“自动分配”或“使用已有”。 4. 请根据需要调整待创建弹性云主机的参数配置，确认无误后，单击“立即申请”。

参数 参数说明 templates 用于存放所有的template（模板）文件。 values.yaml 用于描述template文件所需的配置参数。 须知 定义template文件配置参数时，请注意此处定义的“镜像地址”务必和容器镜像仓库中对应的镜像地址保持一致。否则创建工作负载会异常，提示镜像拉取失败。 镜像地址获取方法如下：在CCE控制台，单击左侧导航栏的“镜像仓库”，进入容器镜像服务控制台。在“我的镜像 > 自有镜像”中，单击已上传镜像的名称，在“镜像版本 ”页签的“下载指令”栏中即可获取镜像地址，单击 按钮即可复制该指令。 README.md 一个markdown文件，包括： 描述Chart提供的工作负载或服务。 运行Chart的前提。 解释values.yaml文件中的配置。 安装和配置Chart的相关信息。 Chart.yaml 模板的基本信息说明。 .helmignore 设定在工作负载安装时不需要读取templates的某些文件或数据。

本文为您介绍计算型云主机的特点、规格等内容。 计算型云主机独享宿主机的CPU资源，实例间无CPU争抢，没有进行资源超配，提供更接近物理服务器的性能。适用于对实例性能有一定要求的计算密集型业务场景。 在售规格：c8a、c8e、c8、c7、c6、c3 适用场景 计算型云主机适用于计算密集型业务等场景： 大型网站 电商营销 计算型弹性云主机特点 规格名称 计算 磁盘类型 网络 计算型c8a 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：AMD EPYC™ Genoa处理器 4.基频/睿频：2.6GHz/3.7GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1800万PPS 4.最大内网带宽：100Gbps 计算型c8e 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1400万PPS 4.最大内网带宽：40Gbps 计算型c8 1. CPU/内存配比：1:2/1:4 2.vCPU数量范围：2128 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3000万PPS 4.最大内网带宽：100Gbps 计算型c7 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：296 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1100万PPS 4.最大内网带宽：40Gbps 计算型c6 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：264 3.处理器：第二代英特尔®至强®可扩展处理器 4.基频/睿频：3.0GHz/4.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1000万PPS 4.最大内网带宽：40Gbps 计算型c3 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：232 3.处理器：英特尔®至强®可扩展处理器 4.基频/睿频：2.12.3GHz/ 3.24.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：260万PPS 4.最大内网带宽：15Gbps

为什么获取Windows弹性云主机密码时，系统提示查询不到密码？ 问题描述 用户登录Windows操作系统的弹性云主机时，需使用密码方式登录。因此需通过密钥文件，获取该弹性云主机的初始密码。但是，用户参见获取Windows弹性云主机的密码内容单击“获取密码”后，系统提示查询不到密码，导致用户无法登录弹性云主机。 可能原因 根据Windows弹性云主机使用的镜像不同，可能会存在如下原因： 原因一：Windows弹性云主机的镜像为用户自己制作的私有镜像，且在创建该私有镜像时未安装Cloudbaseinit工具。 原因二：Windows弹性云主机的镜像安装了Cloudbaseinit工具，但是在创建弹性云主机时，获取密钥失败。 处理方法 针对原因一： 创建私有镜像时不安装Cloudbaseinit工具，将无法对弹性云主机进行自定义配置，此时，用户只能使用镜像原有密码登录弹性云主机。 其中，镜像原有密码指用户创建私有镜像时，给操作系统设置的密码。 如果忘记镜像原有密码，可以通过弹性云主机页面提供的“重置密码”功能，自助完成弹性云主机的密码重置。 针对原因二： a. 勾选待获取密码的弹性云主机，单击“重启”，重新启动弹性云主机。 b. 重启成功后，选择“操作”列下的“更多 > 获取密码”，查看是否可以成功获取密码。 是，结束。 否，请联系客服寻求技术支持。