本文为您介绍如何使用ECI快速部署Tensorflow。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 准备工作 准备训练数据和容器镜像。 训练数据：本文以Github的一个TensorFlow训练任务为例。 容器镜像：在最佳实践中，ECI已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 创建镜像缓存。 在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。

为什么Mock路由添加消费者授权时指定的过期时间不生效？ 目前消费者授权中过期时间的校验阶段与路由执行mock策略时的阶段是同一阶段，且mock的优先级高于应用授权过期时间的校验，因此当对mock路由指定应用的过期时间时，会忽略过期时间的校验。 链路追踪为什么没有数据？ 在实例详情的可观测信息页确认当前是否开启了链路追踪功能以及当前采样率设置；没有开启链路追踪或者采样率过低可能导致看不到链路追踪数据。 云原生API网关如何开启IPv6访问？ 1、确保当前云原生API网关实例所处的VPC已具备IPv6子网；如不具备，跳转至VPC网络控制台，创建或者开启IPv6子网； 2、开启实例IPv6，在实例订购页，网络配置中选择某个VPC，勾选IPv6（第一步具备时才可勾选），选择好其他配置后提交订购即可； IPv4如何升级IPv6? 从云原生API网关控制台，实例列表中更多>点击开启IPv6，确定提交。如此实例的vpc不具备IPv6子网，会报错提示用户，提交完成后按提示信息，刷新实例详情，查看基础信息中的IPv6访问信息。 如何通过IPv6访问实例？ 网关实例的IPv6访问有两种方式：1、通过内网IPv6地址访问，访问地址在实例详情中的基础信息页中已展示。2、通过ELB访问，此方式需要确保ELB实例本身已开启IPv6访问，目前云原生API网关实例暂只支持ELB的内网IPv6访问。

节点调度设置 在CCE控制台上可以配置调度设置，登录CCE控制台进入节点，选择“节点管理”，在节点列表右侧单击“更多 > 禁止调度”。 弹出如下对话框，单击“确认”，即可将节点设置为不可调度。 这个操作会给节点打上污点，使用kubectl可以查看污点的内容。 $ kubectl describe node 192.168.10.240 ... Taints: node.kubernetes.io/unschedulable:NoSchedule ... 在CCE控制台相同位置再次设置，即可将去除污点，将节点设置为可调度。 容忍度（Toleration） 容忍度应用于Pod上，允许（但并不要求）Pod 调度到带有与之匹配的污点的节点上。 污点和容忍度相互配合，可以用来避免 Pod 被分配到不合适的节点上。 每个节点上都可以应用一个或多个污点，这表示对于那些不能容忍这些污点的 Pod，是不会被该节点接受的。 可以在Pod 中容忍度。 apiVersion: v1 kind: Pod metadata: name: nginx labels: env: test spec: containers: name: nginx image: nginx imagePullPolicy: IfNotPresent tolerations: key: "key1" operator: "Equal" value: "value1" effect: "NoSchedule" 上面示例表示这个Pod容忍标签为key1value1，效果为NoSchedule的污点，所以这个Pod能够调度到对应的节点上。 同样还可以按如下方式写，表示当节点有key1这个污点时，可以调度到节点。 tolerations: key: "key1" operator: "Exists" effect: "NoSchedule"

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

字段 字段说明 备注 组织名称 填写需要添加的组织名称。 组织级别 组织级别由系统自动生成，根据组织层级1到N自动生成。 组织负责人 请选择该组织的组织负责人，组织负责人可用于用户应用访问权限申请时的审批人。 上级组织 新增组织默认位于根组织节点下面，可勾选变更上级组织，若是根组织则不允许变更。 来源 记录组织的创建来源。

本文解释被恶意攻击或盗刷产生的流量是否计费。 客户流量如果被恶意攻击或恶意盗刷，需要自行承担恶意访问产生的流量费用，因为该过程中确实产生了天翼云CDN加速带宽资源消耗。 如果客户的业务存在潜在的被恶意访问或攻击的风险，建议叠加Web应用防火墙（边缘云版）来应对恶意攻击，详情请见：高额账单风险预警。

本章节主要介绍的 调优表最佳实践概述。 在本实践中，您将学习如何优化表的设计。您首先不指定存储方式，分布键、分布方式和压缩方式创建表，然后为这些表加载测试数据并测试系统性能。接下来，您将应用优秀实践以使用新的存储方式、分布键、分布方式和压缩方式重新创建这些表，并再次为这些表加载测试数据和测试系统性能，以便比较不同的设计对表的加载性能、存储空间和查询性能的影响。 估计时间：60 分钟。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性，连接1和连接2互为主备。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 主备网关：VPN主备网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

概述 插件是云原生网关的扩展机制，用于增强网关功能，支持动态加载，能够在请求的不同阶段（如请求处理、转发、响应）执行自定义逻辑。API分组可绑定插件，绑定后插件将应用于该分组下的所有API。此外，插件支持环境隔离，仅在所绑定的特定环境中生效。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 绑定插件 分组只能绑定路由级插件，需先在路由级插件页面创建插件。然后在分组管理页面，点击分组右侧省略号中的插件管理 进入插件绑定页面。选择对应环境后，点击绑定插件按钮，进入绑定插件弹窗，将所需插件添加到右侧区块，点击确定后即可完成批量绑定。每个分组只能绑定一个同类型插件，若已有同类型插件，本次绑定会覆盖。同时，同类型插件中，API绑定的优先级高于分组绑定的插件。 解绑插件 插件支持解绑，在分组插件管理页面，可单个、也可批量进行插件解绑。

本章节主要介绍升级网格 操作场景 用户可以将低版本的网格升级到高版本，以获取更优质的体验。 升级影响 网格升级将自动重新注入新版本数据面代理，过程中会滚动重启服务Pod，可能造成短暂服务实例中断。 升级期间请勿进行灰度发布、流量规则配置等操作。 升级路径 网格类型 源版本 目标版本 升级方式 :::: 基础版 1.8.4r1 1.8.4r4 补丁更新 1.8.4r2 1.8.4r4 补丁更新 1.8.4r3 1.8.4r4 补丁更新 说明 各大版本特性请参见 1.3版本特性、 1.6版本特性和 1.8版本特性。 操作步骤 步骤 1 登录应用服务网格控制台，确认网格是否需要升级版本。判断方法如下： 列表上方是否提示可升级版本的网格。 网格名称右侧是否存在“可升级”提示。 若存在可升级版本的网格，单击该网格名称，进入网格详情页面。 步骤 1 在左侧导航栏选择“网格配置”，单击“升级”页签。 步骤 2 根据升级路径选择合适的升级方式完成网格升级。 版本升级 单击“版本升级”，系统自动完成升级诊断，检查结果全部成功后，单击“升级”。 说明 1.3.0版本升级至1.8.4时，VirtualService格式检查项的结果为“警告”，原因是1.8及以上版本网格界面仅支持显示delegate格式的 VirtualService，需要根据7.4.5 1.3升级1.8 VirtualService支持Delegate切换进行修改，否则升级后将看不到创建的网关路由。不过，该检查项并不会导致升级失败。 补丁更新 单击“补丁更新”，在弹出的提示框中单击“确定”。

本节介绍了用户指南: 并行文件概述。 云容器引擎支持使用天翼云并行文件存储卷。cstorcsi插件支持使用并行文件动态存储卷和静态存储卷，通过将并行文件存储卷挂载到容器指定目录，可满足数据持久化需求。 并行文件服务提供高性能并行文件存储，支持全NVMe闪存与RDMA技术，最高可实现百万级IOPS和百GBps吞吐量，同时保障亚毫秒级延迟。该服务具备高性能、高可靠性和高可扩展性特点，能够充分满足影视渲染、AI训练及自动驾驶等数据密集型场景的需求。 使用限制 插件版本 使用并行文件存储功能，需要cstorcsi插件版本 >3.3.2 容器集群 当前并行文件服务功能仅智算集群可见 文件协议 当前cstorcsi插件仅支持HPFSPOSIX协议 容量 单个文件系统最小容量为512GB 可用区 协议类型为hpfs时，不支持跨可用区挂载。 使用并行文件存储PVC的Pod将会被强制调度到该PVC创建时指定的的可用区内 其他限制 参见 并行文件使用限制 产品优势 共享访问 1. 支持上千台客户端挂载同一文件系统，实现共享访问。 2. 支持 NFS、HPFSPOSIX 协议类型，用户能够在创建文件系统时指定协议类型，通过标准 POSIX 接口访问数据，无缝适配主流应用程序进行数据读写。 3. 支持 MPII/O 并行计算接口，满足多客户端并行计算场景。 弹性扩展 1. 采用可扩展的元数据架构，单个文件系统可支持几十亿级别的文件数量，在海量文件场景下，仍然保持稳定持续的高效访问性能。 2. 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程 IO 不中断，保障业务连续性。 安全可信 1. 支持使用 VPC 用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 使用多种 EC 方式、热备盘备份保证数据的可靠性。 3. 支持 HA，故障时自动切换，服务可用性在99.90%及以上。 性能优越 1. 可支持高性能100GE 以太网、IB、RoCE 网络。 2. 带宽、IOPS 性能可以随文件系统容量线性提升，最高提供百万 IOPS 和百 GBps 吞吐，同时保证亚毫秒级时延，使得数据访问更加高效。

如何检查请求的不均衡？ 可以通过以下方式检查请求的均衡： 1. 基于轮询算法：如果某个主机处理的请求数量明显少于其他云主机，那么可以认为存在请求不均衡的情况。 2. 基于权重算法：如果某个主机的权重值过高或过低，可能会导致请求不均衡。 3. 基于源IP算法：同一个IP发出的请求都会分发到同一个后端，导致流量不均衡。 4. 基于响应时间：如果某个后端的响应时间较长，可能意味着该主机的负载较高或存在性能问题，需要进行调整。 5. 基于健康检查：负载均衡器定期对后端主机进行健康检查，如果某个主机无法正常响应或处于宕机状态，负载均衡器将不再将请求分发给该主机，从而避免请求不均衡。 6. 基于会话保持：如果开启会话保持，负载均衡器会将同一个客户端的请求始终分发到同一个后端主机上，以确保会话的连续性。如果客户端的数量相对较少，并且会话保持的配置不合理，可能会导致请求不均衡的问题。 如何检查弹性负载均衡服务不通或异常中断？ 要检查弹性负载均衡（ELB）服务是否不通或异常中断，可以采取以下步骤： 1. 检查负载均衡器的状态：登录到管理控制台，检查负载均衡器的状态。确保负载均衡器处于运行状态，没有错误或警告信息。 2. 检查访问控制策略组的白名单是否放通了客户端IP或者黑名单中未添加客户端IP 3. 检查负载均衡器的健康检查状态：负载均衡器通常会执行健康检查来确定后端服务的可用性。检查负载均衡器的健康检查状态，确保后端实例通过了健康检查，没有标记为不可用或异常。 4. 检查安全组规则和网络访问控制列表（ACL）：确保负载均衡器的安全组规则和网络ACL允许来自客户端和后端实例的流量通过。如果有必要，可以针对特定的端口和协议进行更详细的配置。 5. 检查后端实例的状态：确保后端实例正在运行，并且没有故障或异常。检查后端实例的状态和日志，确保应用程序或服务正常工作。 6. 检查DNS解析：负载均衡器通常使用域名解析将来自客户端的流量转发到后端实例。检查域名解析是否正确配置，并确保有向负载均衡器发出的请求能够正常解析到正确的IP地址。 7. 监控分析：使用云监控服务来监视负载均衡器的性能和资源使用情况。

本文介绍推流URL中的AppName和StreamName的格式限制。 AppName 发布点是指直播的应用名称，即直播流媒体文件的存放路径。 推流URL中的AppName，支持大小写字母、数字、下划线和中划线。 StreamName 流名即直播流名称，通常与域名和发布点一起唯一标识一路流。一般情况下流名不包含文件后缀。 推流URL中的StreamName，支持大小写字母、数字、下划线和中划线。

常见风险暴露 高危端口暴露：系统暴露高危端口，攻击事件涉及端口暴露最多的如：3389、445、135、139、3306、5800、5900等。 系统存在弱口令：系统或应用密码复杂度低，未定期更新密码，使用统一的密码等，能够被攻击者成功爆破。 高危漏洞未修复：系统或者第三方软件存在漏洞，勒索软件利用已知的漏洞实施攻击。 社工钓鱼：发送伪装的电子邮件引诱用户下载恶意程序或访问恶意URL链接。

展示当前租户下的探针用量情况,包括实例数、探针时、Span存储量。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「系统管理 」「用量统计」。 功能说明 关键指标 以Javaagent方式接入 APM AgentHour：筛选时间段内，已消耗的探针时 以其他方式接入 Span上报量：筛选时间段内，上报过的Span总数 Span存储量：筛选时间段内，存储过的Span总数。 用量趋势 根据应用接入方式不同进行区分。以Javaagent方式接入的展示APM AgentHour的趋势图；以其他方式接入展示Span上报量趋势图和Span存储量趋势图。

参数 插件版本 参数说明 节点总数 所有版本 可扩容的最大节点总数。 cpu总数（核） 所有版本 可扩容的最大cpu总数（核）。 内存总数（GB） 所有版本 可扩容的最大内存总数（GB）。 自动扩容 部分版本无此参数 未调度实例扩容： 默认选中。 启用集群使用率扩容： 可选，扩容能力增强。 cpu扩容使用率：当节点池CPU达到所设置的使用上限，将扩容当前预置节点池的节点数。 内存扩容使用率：当节点池内存达到所设置的使用上限，将扩容当前预置节点池的节点数。 磁盘 部分版本无此参数 系统盘和数据盘：设置节点磁盘空间。 系统盘：规格为[40,1024]GB，用户可以配置，缺省值为40GB。 数据盘：规格为[100,32678]GB，用户可以配置，缺省值为100GB。 勾选“资源分配自定义”后，您可以对数据盘中的Docker和Kubelet资源占比进行自定义设置。 须知 磁盘使用directlvm模式，移除将使用looplvm模式，有影响系统稳定性的风险。 Docker资源包含Docker镜像数据以及镜像元数据，Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 数据盘：单击“新增数据盘”，您可以增加一块数据盘。 系统盘和数据盘均可提供以下性能规格的云硬盘： 普通IO：是指由SATA存储提供资源的磁盘类型。提供可靠的块存储，单个云硬盘的最大IOPS可达到1000，可运行关键应用程序。 高IO：是指由SAS存储提供资源的磁盘类型。提供可达到3000的高IO和低至1 ms的读写延时，支持NoSQL/关系型数据库，数据仓库，文件系统等应用。 超高IO：是指由SSD存储提供资源的磁盘类型。提供可达到20000的超高IO和低至1 ms超低读写时延，支持NoSQL/关系型数据库，数据仓库等应用。 命令行注入 部分版本无此参数 请输入脚本命令。 说明： 脚本命令大小限制：0~1000字符。

本小节介绍日志审计(原生版)产品介绍类常见问题。 日志审计（原生版）是什么？ 日志审计（原生版）系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件。 系统提供了众多基于日志分析的强大功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等，系统配备了全球IP归属及地理位置信息数据，为安全事件的分析、溯源提供了有力支撑，综合日志审计分析系统能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。 日志审计（原生版）市场需求有哪些？ 日志审计需求主要源自于两个方面的驱动力： 一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息； 另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能。 日志审计（原生版）适用范畴？ 日志审计（原生版）系统提供了众多基于日志分析功能，系统具有广泛的应用范围和客户群，在政府、企业、电信、金融、电力、公安、军工、等行业均有成功的应用，满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。

状态 说明 创建中 正在创建数据库实例。 运行中 数据库实例正常并且可用。 已暂停 数据库实例已暂停运行，实例暂停时长上限为15天，如果15天后您仍未启动实例，实例将自动启动，以便进行必要的维护。 重启中 实例重启中。 异常 数据库实例不可用。 规格变更中 数据库实例的CPU和内存规格变更中。 扩、缩容中 包括数据库实例的磁盘空间扩容、备份空间扩容和系列升级。 主备切换中 正在进行主实例和备实例的切换。 修改端口中 正在修改数据库实例的访问端口。 备份中 正在备份数据库实例。 恢复中 正在恢复备份到实例中。 恢复失败 数据库实例恢复失败。 磁盘满 数据库实例存储空间不足2%。 升级中 数据库实例正在升级中。 只读转单机中 只读实例升主实例转为单机实例，只读实例成为该状态。 修改参数中 修改数据库参数中，部分参数需要重启，会变为重启中。 应用参数模板中 将参数模板直接应用于某实例，会成为该状态。 重置密码中 当需要修改重置密码时，实例会成为该状态。 修改数据复制方式中 数据复制方式从同步、半同步状态切换，实例成为该状态。 迁移可用区中 多节点迁移节点可用区时，实例成为该状态。 只读实例同步中 订购有只读实例进行同步主实例的数据时，只读实例成为该状态。 修改高可用模式中 高可用，高可靠模式切换时，实例成为该状态。 切换VPC中 当实例切换VPC时，实例成为该状态。

ECI能为Kubernetes提供基础的容器Pod运行环境，每个ECI实例相当于一个Pod。本文介绍ECI Pod的配置和创建方式。 基本配置 基于Kubernetes社区的Virtual Kubelet技术，ECI支持以虚拟节点（VK）的形式接入到Kubernetes集群中。一个ECI实例相当于一个Pod，包含以下几部分配置： 实例规格 一个ECI实例主要包括vCPU和内存规格。创建实例时，可以指定ECI规格（直接指定vCPU和内存），也可以指定ECS规格来满足GPU、增强网络能力等特殊需求。 容器镜像 一个ECI实例由一个或者多个容器组成，部署容器应用时，需要准备好容器镜像。容器镜像包含容器应用运行所需的程序、库文件、配置等。拉取镜像时，需要保证网络畅通，推荐您使用镜像缓存功能来节约实例的启动耗时。 网络 一个ECI实例将占用所属VPC下的子网的一个弹性网卡资源，默认具备一个内网IP地址。如果需要连接公网，例如需要拉取公网镜像。则需要为ECI实例绑定EIP，或者为所属VPC绑定NAT网关。 存储 一个ECI实例默认有40 GiB的临时存储空间，您可以根据需要增加临时存储空间。如果想要保留存储的文件，建议使用外挂数据卷，支持挂载云盘、弹性文件和对象存储等天翼云存储数据卷。 创建方式 根据业务场景和使用场景，ECI支持两种实例的定义方式： 1. 指定vCPU和内存：您创建ECI实例时可以按需指定vCPU和内存。 2. 指定ECS规格：您创建ECI实例时可以按需指定ECI实例底层使用ECS规格族，来获取相应规格族的指定能力。

步骤 说明 实践准备 完成实践开始前的准备工作，包括注册帐号、开通软件开发生产线、创建项目、添加项目成员等操作。 管理项目规划 完成项目的整体规划，包括项目需求规划、迭代需求规划等。 管理项目配置 根据项目需求，对工作项变更的通知方式、工作项状态的流转方式等进行自定义设置。 开发代码 通过分支来进行代码的编写，包括创建分支、代码提交、合并分支等操作。 检查代码 对代码进行静态扫描，根据修复建议优化代码，提高代码质量。 构建应用 构建环境镜像、将代码编译打包成软件包。 部署应用 将构建好的环境镜像及软件包安装并运行在环境中，本文档提供两种环境的部署方法：CCE与ECS。 管理项目测试 为迭代创建测试计划、设计测试用例，并按照计划执行测试用例。 配置流水线 将代码检查、构建、部署等任务串联成流水线。当代码有更新时，可自动触发流水线，实现持续交付。 释放资源 实践完成，释放软件开发生产线、云容器引擎等资源。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，可以减少网络时延，提高访问速度。但在基础设施、BGP网络品质、资源的操作与配置等方面，同一个国家各个区域间区别不大，如果您或者您的目标用户在同一个国家，可以不用考虑不同区域造成的网络时延问题。 资源的价格 不同区域的资源价格可能有差异。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 如何获取区域终端节点？ 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。 翼MapReduce（MRS）集群内节点是否支持更换网段？ MRS集群内节点支持更换网段。 1.在集群详情页“默认生效子网”右侧单击“切换子网”。 2.选择当前集群所在VPC下的其他子网，即可实现可用子网IP的扩充。 新增子网不会影响当前已有节点的IP地址和子网。 翼MapReduce（MRS）集群内节点是否支持降配操作？ MRS集群内节点暂不支持降级配置规格。 如何使用自定义安全组创建MRS集群？ 用户购买集群时，如果选择使用自己创建的安全组，则需要放开9022端口，或者在界面上购买集群时，安全组选择"自动创建"。

本节主要介绍跨域设置。 在“存储桶列表”页面点击“属性”>“跨域设置”，进入“跨域设置”页面。在该页面，用户可以设置存储桶的跨域规则。 浏览器限制脚本内发起跨源HTTP请求，即同源策略。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。通过配置CORS，可以解决不同域相互访问的问题，CORS定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式。 以下是有关使用 CORS 的示例场景： 场景 1：比如用户的网站www.example.com，后端使用了OOS。在web应用中提供了使用JavaScript实现的上传文件功能，但是在该web应用中，只能向www.example.com发送请求，向其他网站发送的请求都会被浏览器拒绝。这样就导致用户上传的数据必须从www.example.com中转。如果设置了跨域访问的话，用户就可以直接上传到OOS，而无需从www.example.com中转。 场景2：假设用户在名为examplebucket的Bucket中托管网站，网站的Endpoint是 JavaScript (存储在此Bucket中)，通过OOS API endpoint oosxx.ctyunapi.cn向bucket发送GET 和 PUT 请求。浏览器通常会阻止 JavaScript 发送这些请求，但借助CORS，用户可以配置Bucket支持来自examplebucket.ooswebsitecn.oosxx.ctyunapi.cn 的跨域请求。 点击“添加规则”可以增加新的跨域访问规则： 项目 描述 ID 规则的唯一标识，最长255个字符，选填。 来源 允许跨域的源。 可以指定多个，每行一个，每行最多有一个使用通配符（）。 允许的方法 允许跨域的请求：GET、PUT、HEAD、POST、DELETE。 允许的Headers 通过AccessControlRequestHeaders请求头，指定预检OPTIONS请求中允许的请求头。 可以指定多个，每行一个，每行最多有一个使用通配符（）。 暴露的Headers 指定客户应用程序(例如，JavaScript XMLHttpRequest文件)能够访问的响应头。 可以指定多个，每行一个，不能使用通配符（）。 缓存时间（秒） 指定浏览器对特定资源的预检（OPTIONS）请求返回结果的缓存时间，单位为秒。

本文为您介绍macOS客户端如何通过SSL VPN双因子认证后接入VPC。 前提条件 已经在天翼云华东1地域创建了vpc1，且VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3 您已经了解VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许客户端地址池对VPC内业务的访问。 场景示例 如某公司在华东1地域创建了VPC，网段为192.168.1.0/24。因业务发展，出差员工需要使用Windows客户端访问云上VPC资源。 可以在云上创建VPN网关，配置SSL服务端并开启双因子认证。macOS客户端通过SSL VPN接入云上VPC，不仅要进行证书认证，还需要认证密码，认证通过后才可以访问云上资源，提高了VPN连接的安全性和可管理性。 配置步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 选择资源类型（VPC、云间高速）。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 按月购买：自动续订周期为一个月。 按年购买：自动续订周期为一年。 关闭 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。 记录VPN网关的IP地址，步骤五配置客户端的时候要用。

本文主要介绍存储管理类问题。 一、CCE支持的存储在持久化和多节点挂载方面的区别是怎样的？ 容器存储是为容器工作负载提供存储的组件，支持多种类型的存储，同一个工作负载（pod)可以使用任意数量的存储。 当前云容器引擎CCE支持本地磁盘存储、云硬盘存储卷、文件存储卷、对象存储卷和极速文件存储卷。 各类存储的区别和对比如下： 各类存储的区别和对比 存储类型 持久化存储 伴随容器自动迁移 多节点挂载 本地磁盘存储 支持 不支持 不支持 云磁盘存储卷（EVS） 支持 支持 不支持 对象存储卷（OBS） 支持 支持 支持，可由多个节点或工作负载共享 文件存储卷（SFS） 支持 支持 支持，可由多个节点或工作负载共享 极速文件存储卷（SFS Turbo） 支持 支持 支持，可由多个节点或工作负载共享 CCE存储类型选择 创建工作负载时，可以使用以下类型的存储。建议将工作负载pod数据存储在云存储上。若存储在本地磁盘上，节点异常无法恢复时，本地磁盘中的数据也将无法恢复。 本地硬盘：将容器所在宿主机的文件目录挂载到容器的指定路径中（对应Kubernetes的HostPath），也可以不填写源路径（对应Kubernetes的EmptyDir），不填写时将分配主机的临时目录挂载到容器的挂载点，指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机，EmptyDir（不填写源路径）适用于容器的临时存储。配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。 云硬盘存储卷：CCE支持将EVS创建的云硬盘挂载到容器的某一路径下。当容器迁移时，挂载的云硬盘将一同迁移。这种存储方式适用于需要永久化保存的数据。 文件存储卷：CCE支持创建SFS存储卷并挂载到容器的某一路径下，也可以使用底层SFS服务创建的文件存储卷，SFS存储卷适用于多读多写的持久化存储，适用于多种工作负载场景，包括媒体处理、内容管理、大数据分析和分析工作负载程序等场景。 对象存储卷：CCE支持创建OBS对象存储卷并挂载到容器的某一路径下，对象存储适用于云工作负载、数据分析、内容分析和热点对象等场景。 极速文件存储卷：CCE支持创建SFS Turbo极速文件存储卷并挂载到容器的某一路径下，极速文件存储具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于DevOps、容器微服务、企业办公等应用场景。

业务场景分析 多个并发请求同时修改同一份数据， 比如多个营业员并发对同一个客户的资料进行修改。 同时修改同一份数据会并发冲突，导致数据不正确的可能，对业务产生不可预估的影响。目前几乎很多大型网站及应用都是分布式部署的，分布式场景中的数据一致性问题一直是一个比较重要的话题。 解决方案 对于分布式锁可以基于数据库实现分布式锁，但带来的问题是性能不足，无法满足大型应用的高并发使用场景。这时基于缓存（Redis等）去实现分布式锁，带来了显著性能优势。 Redis实现分布式锁的原理是基于: 存在判断KEY是否存在的命令，以及KEY设置TTL，防止死锁的机制。 下面是一个简单的实现思路： （1）获取锁的时候，使用setnx加锁，并使用expire命令为锁添加一个超时时间，超过该时间则自动释放锁，锁的value值为一个随机生成的UUID，通过此在释放锁的时候进行判断。 （2）获取锁的时候还设置一个获取的超时时间，若超过这个时间则放弃获取锁。 （3）释放锁的时候，通过UUID判断是不是该锁，若是该锁，则执行delete进行锁释放。 由于开源已经有非常多成熟的方案， 下面是基于redisson（一个开源的JAVA redis库）实现分布式锁，可参考如下示例： maven org.redisson redisson 3.25.0 示例代码 RLock lock redisson.getLock("myLock"); // traditional lock method lock.lock(); // or acquire lock and automatically unlock it after 10 seconds lock.lock(10, TimeUnit.SECONDS); // or wait for lock aquisition up to 100 seconds // and automatically unlock it after 10 seconds boolean res lock.tryLock(100, 10, TimeUnit.SECONDS); if (res) { try { ... } finally { lock.unlock(); } }

本页介绍透明数据加密的实现原理和使用方法。 透明数据加密（Transparent Data Encryption）通过在磁盘上存储的数据进行加密和解密来实现数据的保护。 透明：当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密：透明加密使用加密算法来加密数据，并将密钥存储在数据库服务器的受信任位置，以确保安全性。 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建立关联。同时支持将已经绑定的算法从schema，表和列上解绑，从而取消加密算法和数据库对象之间的关联关系。 透明加密通过teledbxmls插件，需要创建插件： plaintext 创建插件 create extension teledbxmls;

本章节主要介绍RDSPostgreSQL实例使用规范。 实例可用性 建议开通产品实例时，充分考虑业务使用应用场景，保持实例服务器有一定的资源冗余，如磁盘、CPU、内存等，保证正常使用率不超过70%，防止因资源问题导致Out Of Memory、磁盘耗尽、CPU飙高等异常问题。 建议生产系统使用的数据库选用主备类型，保证高可用。 建议开启周期性全量+增量备份，保证备份机空间足够且不小于实例磁盘。 建议根据需要修改主备实例的数据同步模式，如要保证数据不丢失，可设置为同步模式；如要保证业务响应速度快，可以设置为异步模式。 建议根据资源使用情况，及时升级实例配置，如磁盘扩容、系列升配和CPU/内存升配，保证实例可用性。 实例运维 及时清理无用复制槽，防止复制槽阻塞影响日志回收。 及时VACUUM，尤其是在大批量数据操作场景下。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 及时清理无用的空闲连接，同时业务侧应该避免连接长时间不释放。 建议定期监控数据库事务ID的大小，以免数据库已使用的事务ID大小超过20亿，导致数据库强制关闭。 安全访问 尽量避免通过公网访问数据库，如需公网连接必须要先绑定公网EIP，并严格管理白名单。

本文向您介绍高频常见问题。 远程登录 无法远程登录windows云主机怎么办？ 无法远程登录Linux云主机怎么办？ 远程登录时需要输入的帐号和密码是多少？ Windows云服务器如何配置多用户登录？（Windows 2012） 云主机故障/卡顿 Windows云主机卡顿怎么办？ Linux云主机卡顿怎么办？ 如何排查带宽超过限制？ 网站或应用无法访问 弹性云主机启动缓慢怎么办？ 云主机端口不通怎样排查？ 弹性云主机访问中国大陆外网站时加载缓慢怎么办？ 无法访问外网 Windows云主机无法访问外网怎么办？ Linux云主机无法访问外网怎么办？ 未绑定弹性公网IP的弹性云主机能否访问外网？ 弹性云主机访问中国大陆外网站时加载缓慢怎么办？ 云主机网络延迟和丢包，如何定位？

开放端口检测 根据开放端口检测结果中的详细信息，您可以统一管理所有主机中的开放端口。 手动关闭风险端口如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 进程信息管理 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 Web目录管理 HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。 软件信息管理 历史变动状态： 变动状态：新增（新增的软件）、删除（删除的软件）。 发生变动时间：由于为周期收集，变动记录的时间是获取到改动的时间，非真实发生的时间。根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。

开放端口检测 根据开放端口检测结果中的详细信息，您可以统一管理所有主机中的开放端口。 手动关闭风险端口如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 进程信息管理 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 Web目录管理 HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。 软件信息管理 历史变动状态： 变动状态：新增（新增的软件）、删除（删除的软件）。 发生变动时间：由于为周期收集，变动记录的时间是获取到改动的时间，非真实发生的时间。根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。

可能影响 同步复制备机异常或延迟，导致DDL、DML、COMMIT语句等待处理等待状态。 解决步骤 1. 检查同步复制备机状态，尝试修复； 2. 如果不能快速修复，在与业务侧沟通取得确认后，可暂时将同步复制模式更为异步复制； > 修改为异步方法参考：修改主节点配置文件postgresql.conf.user 中以下参数： synchronouscommit local synchronousstandbynames'' > 配置文件修改完成后，执行select pgreloadconf();重新加载配置； 3. 修复同步复制备机，恢复同步复制模式。 SQL语句执行慢的问题 问题描述 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果，但未找到阻塞的会话，也没有同步事务阻塞，正常执行中，仅是执行慢。 可能因统计信息不准确而生成了差的执行计划，执行时间太长。 可能影响 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果，导致相应业务受影响。 解决方案 1. 手动执行explain SQL查看执行计划，确认执行计划是否符合预期； 2. 有条件的情况，可以执行explain (analyze,verbose,buffers) SQL查看实际执行计划，找到具体慢的位置，并进行相应优化； 3. 对于应用调用SQL使用绑定变量的情况，需要核实传入的变量类型与字段类型是否匹配，是否有隐式类型转换导致分布键、索引失效； 4. 是否有truncate+insert等大批量数据变更，导致统计信息不准确；可以尝试手动收集该表的统计信息，然后再执行SQL语句； 5. 借助一些插件，观察应用调用的SQL语句执行过程中的执行计划，验证执行计划是否是符合预期的。

节点启动超时问题 问题描述 控制台页面上显示节点为停止/异常状态，手动或自动启动失败。 为避免因系统卡顿、节点异常等原因，导致节点长时间处理启动等待状态问题，系统新增了全局参数NODEMAXSTARTWAITTIMES控制节点启动超时时间，默认为60秒。当节点重启、重做备机、添加备节点等操作时，如果启动时需要应用的WAL日志较多，启动时间可能会超过60秒，此时节点会收到Center Master下发的停止命令，节点启动60秒后日志会打印 received fast shutdown request，节点启动失败。 可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 控制台页面进入“系统信息”“基本信息”页面，切换至“参数配置”TAB页，查找并修改参数NODEMAXSTARTWAITTIMES； 2. 重新发起节点启动任务，或等待节点自动拉起。 pghba.conf文件内容错误导致启动失败问题 问题描述 节点启动失败，日志显示报错could not load pghba.conf，如： CST,"YB171020",,,17102,coord(0,0),,65a34d68.42ce,coord(0,0),3,,20240114 10:56:40 CST,,0,FATAL,XX000,"could not load pghba.conf",,,,,,,,,,"" 20240114 10:56:43.566 CST,"YB171020",,,17102,coord(0,0),,65a34d68.42ce,coord(0,0),4,,20240114 10:56:40 CST,,0,LOG,00000,"database system is shut down",,,,,,,,,,"" 而前一行会提示错误位置和错误原因，如： LOG,F0000,"invalid IP mask ""md5"": 未知的名称或服务",,,,,"line 24 of configuration file ""/data/xxx/....../pghba.conf""",,,,,"" 或 LOG,F0000,"invalid connection type""host1""",,,,,"line 11 of configuration file""/data/xxx/......./pghba.conf""",,,,"" 这里第一个错误显示第24行ip地址后的mask格式错误；第二个错误显示第11行连接类型host1错误，枚举类型中不包含host1。