本节为您介绍如何添加SRV类型记录集。 操作场景 当您想要记录某个云主机对外提供哪些服务，可以通过为域名增加SRV类型记录集实现。 更多关于记录集类型的介绍，请参见支持记录集类型。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 可以看到已创建好的域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录界面，单击“添加记录集”。 4. 出现“添加记录集”弹窗，根据需求进行配置。 表1 添加SRV类型记录集参数说明 参数 说明 取值样例 主机记录 SRV主机记录格式:服务的名字.协议的类型,协议通常为TCP或UDP,服务为应用层服务名,如FTP/SIP等。 ftp.tcp表示通过TCP协议提供FTP服务。 类型 记录集的类型，此处为SRV类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 SRV – 记录提供特定服务的服务器 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 SRV记录：填写指定服务的服务器地址，最多可以输入8个不重复地址，每行一个。格式：[优先级] [权重] [端口号] [目标地址] 3 0 2176 xmppserver.example.com 描述 选填字段，最多支持输入100个字符。 5. 填写完成后，点击“确定”完成SRV类型记录集创建。 6. 在“解析记录”页面，可以看到创建成功的解析记录。

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

本节介绍如何导入/导出资产。 操作场景 态势感知（专业版）支持导入云外各种资产，导入后，可以呈现资产的安全状态。同时，还可以将资产信息导出。 约束与限制 仅支持导入.xlsx格式的文件，且单次导入文件大小不超过5MB。 最多支持导出9999条资产信息。 导入资产 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，选择对应资产页签，如主机资产、网站、数据库等。 例如，需要导入主机资产，则选择“主机资产”页签。 需要导入部门或业务系统，则选择“部门及业务系统”页签。 6. 导入资产，在资产列表左上方，单击“导入”，弹出导入资产对话框。 导入部门，单击“部门”下方的导入按钮，弹出导入部门对话框。 导入业务系统，单击“业务系统”下方的“导入”按钮，弹出导入业务系统对话框。 7. 在导入资产对话框中，单击“下载模板”，并根据模板填写要求填写待导入资产信息。 在导入部门对话框中，单击“下载模板”，并根据模板填写要求填写待导入部门信息。 在导入业务系统对话框中，单击“下载模板”，并根据模板填写要求填写待导入业务系统信息。 8. 待导入文件信息填写完成后，在导入对话框中，单击“添加文件”，并选择需要导入的Excel文件。 9. 选择完成后，单击“确定”，完成导入。 10. 导入完成后，在左侧导航栏选择“资产管理> 资产管理”，在资产管理页面选择导入资产对应的资产页签，即可在资产列表中查看已导入的资产。

参数 子参数 说明 区域 您可以根据业务要求，选择具体的区域。 项目 选择区域后，才能选择项目。 迁移方式Linux Linux块级 Linux块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。这种方式同步效率高，但兼容性差。 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 迁移方式Windows Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 专线或VPN 需要您提前创建源端服务器到目的端服务器所在VPC子网的专线或VPN。 若源端和目的端在同一个VPC内，网络类型可选择“专线或VPN”。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。设置为0时，代表不限流。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 服务器选择 已有服务器 目的端配置时，在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 目的端配置时，根据需求，您可以配置虚拟私有云、子网、安全组等参数。

源端服务器环境、剩余空间及其他要求。 源端服务器剩余空间要求： Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 源端服务器环境要求： 源端服务器时间与标准时间一致，避免源端Agent注册失败。 当源端服务器为Linux系统时，执行rsync v查看是否安装Rsync库。当前主流服务器系统已默认安装Rsync库，无需手动安装。 当未安装Rsync库，执行如下命令安装Rsync库： CentOS：执行 yum y install rsync。 Ubuntu：执行 aptget y install rsync。 Debian：执行 aptget y install rsync。 SUSE：执行 zypper install rsync。 其他平台系统：参见官网安装相关文档。 搭建IPv6网络并创建目的端 使用IPv6进行主机迁移前，需要先搭建一个IPv6网段的VPC，并在VPC中创建一个带有IPv6地址的目的端ECS。 注意事项 确保源端服务器能够使用IPv6网络。 子网配置时，请务必勾选“ 开启IPv6 ”，将自动为子网分配IPv6网段。 弹性云主机ECS仅部分规格支持IPv6网络，目的端需要选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格。 网络配置时，务必选择“ 自动分配IPv6地址 ”，绑定共享带宽为可选，根据需求配置。 安全组入方向规则需要放通IPv6端口。 说明 Windows系统需要开放TCP的8899端口、8900端口和22端口。 Linux系统文件级迁移开放22端口，块级迁移开放8900端口、22端口。 以上端口，建议只对源端服务器开放。 创建迁移任务 主机迁移服务支持在双栈网络下使用IPv6进行数据迁移。

简述存储能力常用术语。 块存储 块存储主要为云服务器提供的块设备产品，具有高性能和低时延的特点，支持随机读写。用户可以像使用物理硬盘一样格式化并建立文件系统来使用块存储，可满足大部分通用业务场景下的数据存储需求。 文件存储 文件存储也称为文件级存储或基于文件的存储，数据会以单条信息的形式存储在文件夹中。当用户需要访问该数据时，用户的计算机需要知道相应的查找路径。存储在文件中的数据会根据数量有限的元数据来进行整理和检索，这些元数据会告诉计算机文件所在的确切位置。 对象存储 对象存储，也称为基于对象的存储，是一种扁平结构，其中的文件被拆分成多个部分并散布在多个硬件间。在对象存储中，数据会被分解为称为“对象”的离散单元，并保存在单个存储库中，而不是作为文件夹中的文件或服务器上的块来保存。 访问密钥（AK/SK） 媒体存储对象存储协议通过AK/SK认证方式进行认证鉴权，即使用Access Key（AK）/ Secret access Key（SK）加密的方法来验证某个请求发送者身份。 当用户使用媒体存储提供的SDK或API进行二次开发时，需通过AK/SK认证方式完成认证鉴权。 媒体存储中的对象存储支持密钥管理功能，用户可通过控制台进行相关操作。 Access Key(AK)：访问密钥ID，与私有访问密钥关联的唯一标识符；一个访问密钥ID对应一个用户，一个用户可以同时拥有5个访问密钥ID。访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret access Key(SK)：私有访问密钥, 与访问密钥ID结合使用，对请求进行加密签名，标识发送方，防止请求信息被篡改。

本章节主要介绍DataArts Studio的开发一个DWS SQL作业流程。 介绍如何在数据开发模块上通过DWS SQL算子进行作业开发。 场景说明 本教程通过开发一个DWS作业来统计某门店的前一天销售额。 环境准备 已开通DWS服务，并创建DWS集群，为DWS SQL提供运行环境。 已开通CDM增量包，并创建CDM集群。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与DWS集群保持一致，确保网络互通。 创建DWS的数据连接 开发DWS SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到DWS的连接，数据连接名称为“dwslink”。 关键参数说明： 集群名：环境准备中创建的DWS集群名称。 绑定Agent：环境准备中创建的CDM集群。 创建数据库 在DWS中创建数据库，以“gaussdb”数据库为例。详情请参新建数据库进行操作。 创建数据表 在“gaussdb”数据库中创建数据表tradelog和tradereport。详情请参考如下建表脚本。 create schema storesales; set currentschema storesales; drop table if exists tradelog; CREATE TABLE tradelog ( sn VARCHAR(16), tradetime DATE, tradecount INTEGER(8) ); set currentschema storesales; drop table if exists tradereport; CREATE TABLE tradereport ( rq DATE, tradetotal INTEGER(8) ); 开发DWS SQL脚本 在“数据开发 > 脚本开发”模块中创建一个DWS SQL脚本，脚本名称为“dwssql”。在编辑器中输入SQL语句，通过SQL语句来实现统计前一天的销售额。 开发脚本 说明 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：创建DWS的数据连接中已创建的连接。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

原理 任务 在进行备份恢复之前，需要先创建备份恢复任务，并指定任务的参数，例如任务名称、备份数据源和备份文件保存的目录类型等等。通过执行备份恢复任务，用户可完成数据的备份恢复需求。在使用Manager执行恢复HDFS、HBase、Hive和NameNode数据时，无法访问集群。 每个备份任务可同时备份不同的数据源，每个数据源将生成独立的备份文件，每次备份的所有备份文件组成一个备份文件集，可用于恢复任务。备份任务支持将备份文件保存在Linux本地磁盘、本集群HDFS与备集群HDFS中。 备份任务提供全量备份或增量备份的策略，云数据备份任务不支持增量备份策略。如果备份的路径类型是NFS或CIFS，不建议使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 说明 任务运行规则： 某个任务已经处于执行状态，则当前任务无法重复执行，其他任务也无法启动。 周期任务自动执行时，距离该任务上次执行的时间间隔需要在120秒以上，否则任务推迟到下个周期启动。手动启动任务无时间间隔限制。 周期任务自动执行时，当前时间不得晚于任务开始时间120秒以上，否则任务推迟到下个周期启动。 周期任务锁定时无法自动执行，需要手动解锁。 OMS、DBService、Kafka和NameNode备份任务开始执行前，若主管理节点“LocalBackup”分区可用空间小于20GB，则无法开始执行。 管理员在规划备份恢复任务时，请严格根据业务逻辑、数据存储结构、数据库或表关联关系，选择需要备份或者恢复的数据。系统默认创建间隔为1小时的周期备份任务“defaultoms”、“default 集群ID ”，支持全量备份OMS及集群的DBService、NameNode等元数据到本地磁盘。

本节主要介绍重置管理员密码 文档数据库服务支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 如果您在创建实例时，选择创建后设置密码，在连接实例前，您需要先重置管理员密码，再通过该密码连接实例。 使用须知 以下情况不可重置密码： 租户被冻结 创建中 重启中 节点扩容中 切换SSL中 修改端口号中 规格变更中 删除节点中 内核版本升级中 主备切换中 可用区迁移中 只读节点扩容中 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高帐号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》中敏感操作的内容。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，选择“更多 > 重置密码”。 重置密码 您也可以在“实例管理”页面，选择指定的实例，单击实例名称。在“基本信息”页面“数据库信息 > 管理员账户名”处，单击“重置密码”。 重置密码 步骤 5 输入新管理员密码及确认密码，单击“确定”。 重置密码不会断开已经鉴权的连接，但在登录数据库时，需要输入更新后的新密码。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@

本节介绍了下载实例级备份文件的相关内容。 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 云数据库 RDS for PostgreSQL支持用户下载全量备份文件。 约束限制 若备份文件大于400MB，建议您使用OBS Browser+下载。 方式1：使用OBS Browser+下载 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“备份管理”页面，选择需要下载的可用备份，单击操作列中的“下载”。 您也可进入目标实例的“基本信息”页面，在左侧导航栏选择“备份恢复”，在“全量备份”页签下，单击操作列中的“下载”。 步骤 5 在弹出框中，单击“OBS Browser+下载”，根据界面提示，通过OBS Browser+客户端下载RDS备份文件。 1. 下载客户端工具OBS Browser+。 2. 解压并安装OBS Browser+。 3. 登录客户端工具OBS Browser+。 登录对象存储客户端相关操作，请参见界面提示。 4. 配置OBS Browser+不启用证书校验。 说明 由于关系型数据库“下载备份文件”页面提供的桶名称不支持证书校验，需要在挂载外部桶之前关闭OBS Browser+证书校验，待备份文件下载完成后再启用。 5. 挂载外部桶。 挂载外部桶相关操作，请参见界面提示。 6. 下载备份文件。 在OBS Browser+界面，单击添加成功的外部桶的桶名，进入对象列表页面，在右侧搜索栏，输入关系型数据库“下载备份文件”页面中提示的下载备份存储文件名称并检索，选中待下载的文件后，单击“下载”。 7. 备份文件下载完成后，配置OBS Browser+启用证书校验。 步骤 6 您可根据业务需要，参考通过全量备份文件恢复到自建PostgreSQL数据库，在本地进行数据恢复。 结束

本节描述了搭建容灾的操作场景、实现原理、注意事项、操作步骤等内容。 操作场景 建立跨Region容灾关系，当主实例所在区域发生突发性自然灾害等状况，主节点无法连接，可将异地灾备实例升为主实例，在应用端修改数据库连接地址后，即可快速恢复应用的业务访问。 实现原理 在两个数据中心独立部署RDS for PostgreSQL实例，通过RDS的容灾功能将生产中心主实例中的数据同步到灾备中心灾备实例中，实现主实例和跨Region灾备实例数据之间的实时同步。 拓扑图 注意事项 使用该功能前，必须要确保跨Region数据库实例之间的网络打通（可考虑VPN连接产品）。 使用该功能前，确保主实例和灾备实例状态正常，主实例和灾备实例在不同Region上，且主实例为主备实例，灾备实例为单机实例。 灾备实例的CPU和内存规格以及磁盘容量要大于或等于主实例的规格以及磁盘容量。 灾备实例的底层架构和数据库大版本要与主实例一致。 不支持跨大版本建立跨云或跨Region容灾关系。 调用配置主实例容灾接口后直至成功搭建容灾关系，不能进行规格变更、主备倒换操作。 搭建容灾后，灾备实例支持变更CPU和内存规格。 修改主实例的端口或内网地址后需要重新搭建灾备关系。 灾备实例搭建成功后，不能进行小版本升级。 RDS for PostgreSQL 12及以上支持建立跨Region容灾关系。 主实例参数被修改后，灾备实例无法同步修改该参数，需结合业务自行修改灾备实例参数。 RDS for PostgreSQL灾备实例不支持PITR恢复，如需使用此功能，请在主实例上完成。

本章会介绍关系型数据库的相关术语解释，对常见的相关名词进行详细解答。 什么是实例 ？ 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的关系型数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态，请参考实例说明。 什么是数据库引擎？ 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 什么是实例类型 ？ 云数据库RDS的实例分为两个类型，即单机实例和主备实例。不同系列支持的引擎类型和实例规格不同。 各系列产品的详细介绍请参考产品类型简介和产品功能对比。 什么是实例规格 ？ 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）请参考数据库实例规格。 什么是自动备份 ？ 创建实例时，关系型数据库服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 什么是手动备份 ？ 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 什么是区域和可用区 ？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本文主要介绍CCE发布Kubernetes 1.25版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.25版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.25版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.25 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.25变更说明 CCE v1.25集群的节点均默认采用Containerd容器引擎。 社区1.25 ReleaseNotes 清理iptables链的所有权 Kubernetes通常创建iptables链来确保这些网络数据包到达，这些iptables链及其名称属于Kubernetes内部实现的细节，仅供内部使用场景，目前有些组件依赖于这些内部实现细节，Kubernetes总体上不希望支持某些工具依赖这些内部实现细节。 在Kubernetes 1.25版本后，Kubelet通过IPTablesCleanup特性门控分阶段完成迁移，是为了不在NAT表中创建iptables链，例如KUBEMARKDROP、KUBEMARKMASQ、KUBEPOSTROUTING。 存储驱动的弃用和移除，移除云服务厂商的intree卷驱动。 社区1.24 ReleaseNotes 在Kubernetes 1.24版本后，Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。请使用自定义annotation。 在Kubernetes 1.24版本后，kubeapiserver移除参数address、insecurebindaddress、port、insecureport0。 在Kubernetes 1.24版本后，kubecontrollermanager和kubescheduler移除启动参数port0和address。 在Kubernetes 1.24版本后，kubeapiserver auditlogversion和auditwebhookversion仅支持audit.k8s.io/v1，Kubernetes 1.24移除audit.k8s.io/v1[alphabeta]1，只能使用audit.k8s.io/v1。 在Kubernetes 1.24版本后，kubelet移除启动参数networkplugin，仅当容器运行环境设置为Docker时，此特定于Docker的参数才有效，并会随着Dockershim一起删除。 在Kubernetes 1.24版本后，动态日志清理功能已经被废弃，并在Kubernetes 1.24版本移除。该功能引入了一个日志过滤器，可以应用于所有Kubernetes系统组件的日志，以防止各种类型的敏感信息通过日志泄漏。此功能可能导致日志阻塞，所以废弃。 VolumeSnapshot v1beta1 CRD在Kubernetes 1.20版本中被废弃，在Kubernetes 1.24版本中移除，需改用v1版本。 在Kubernetes 1.24版本后，移除自1.11版本就废弃的service annotation tolerateunreadyendpoints，使用Service.spec.publishNotReadyAddresses代替。 在Kubernetes 1.24版本后，废弃metadata.clusterName字段，并将在下一个版本中删除。 Kubernetes 1.24及以后的版本，去除了kubeproxy监听NodePort的逻辑，在NodePort与内核net.ipv4.iplocalportrange范围有冲突的情况下，可能会导致偶发的TCP无法连接的情况，导致健康检查失败、业务异常等问题。升级前，请确保集群没有NodePort端口与任意节点net.ipv4.iplocalportrange范围存在冲突。

本章节主要向您介绍什么是IP地址组。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址，您可以将其添加到一个IP地址组内。IP地址组无法独立使用，需要将IP地址组关联至对应的资源，可关联IP地址组的资源说明如下表所示。 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，安全组sgA的的入方向规则的源地址使用IP地址组ipGroupA。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，网络ACLfwA的入方向规则的源地址使用IP地址组ipGroupA。 IP地址组应用示例 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 IP地址组的使用限制 对于关联IP地址组的安全组，其中IP地址组相关的规则对某些类型的云主机不生效，不支持的规则如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） GPU加速型（G1型、G2型） 在网络ACL的规则中使用IP地址组时，有以下限制： 对于入方向规则，源地址和目的地址只能有一方使用IP地址组。 对于出方向规则，源地址和目的地址只能有一方使用IP地址组。比如网络ACL入方向规则中的源地址已使用IP地址组，则目的地址只能是IP地址，无法选择IP地址组。

本文介绍了：云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本节介绍了：创建一个无状态工作负载——创建工作负载及服务的用户指引。 进入云容器引擎控制台，在集群选项卡中选择一个集群进入集群详情界面。选择工作负载 > 无状态 > 新增 选择命名空间，创建一个Deployment 配置项说明 配置项 说明 Deployment名称 工作负载的名称 数据卷（选填） 为容器提供存储，目前支持临时路径、主机路径、配置文件、本地卷（Local PV）、NFS、Ceph，还需挂载到容器的指定路径中。 实例数量 工作负载的副本数，可选择手动设置或自动伸缩。 实例内容器 工作负载中的容器实例配置，可配置一个或多个。 容器名称 容器实例的名称 镜像及镜像版本 支持选择容器镜像服务企业版、容器镜像服务个人版的镜像。 CPU/内存限制 Request用于预分配资源，当集群中的节点没有request所要求的资源数量时，容器会创建失败。Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多。 环境变量（选填） 支持配置容器的环境变量。 启动执行（选填） 启动执行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数。 启动执行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数。 启动后处理 容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数。 停止前处理 容器停止前执行，常用于资源清理；每个输入框仅输入一个命令或参数。 容器健康检查 存活检查：检查容器是否正常，不正常则重启实例。 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例。 特权级容器 容器开启特权级，将拥有宿主机的root权限。 Container安全上下文 为Container设置安全上下文，仅适用于该Container：若Pod、Container层面都设置了用户、用户组、Selinux上下文，Container的设置会覆盖Pod的设置。 访问设置 配置Service访问负载

操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证（帐号密码）才能访问，而CCE中容器拉取镜像是使用密钥认证方式，这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时，请确保工作负载运行的节点可访问公网。您可以通过负载均衡(LoadBalancer)方式访问公网。 通过界面操作 步骤 1 创建第三方镜像仓库的密钥。 单击左侧导航栏的“配置中心 > 密钥 Secret”，单击“添加密钥”，密钥类型必须选择为kubernetes.io/dockerconfigjson，如下图所示。详细操作请参见创建密钥。 此处的“用户名”和“密码”请填写第三方镜像仓库的帐号密码。 添加密钥 步骤 2 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，选择第三方镜像时，请执行如下操作。 1. 密钥认证：是。 2. 选择密钥：选择步骤1中创建的密钥。 3. 镜像地址：输入镜像地址。 步骤 3 单击“创建”。 使用kubectl创建第三方镜像仓库的密钥 步骤 1 请参见通过kubectl操作CCE集群配置kubectl命令。 步骤 2 登录已配置好kubectl命令的弹性云主机。 步骤 3 通过kubectl创建认证密钥 ，该密钥类型为dockercfg类型。 kubectl create secret dockerregistry myregistrykey dockerserverDOCKERREGISTRYSERVER dockerusernameDOCKERUSER dockerpasswordDOCKERPASSWORD dockeremailDOCKEREMAIL 其中，myregistrykey为密钥名称，其余参数如下所示。 DOCKERREGISTRYSERVER：第三方镜像仓库的地址，如“www.3rdregistry.com”或“10.10.10.10:443”。 DOCKERUSER：第三方镜像仓库的帐号。 DOCKERPASSWORD：第三方镜像仓库的密码。 DOCKEREMAIL：第三方镜像仓库的邮箱。 步骤 4 创建工作负载时使用第三方镜像，具体步骤请参见如下。 dockecfg类型的密钥作为私有镜像获取的认证方式，以Pod为例，创建的myregistrykey作为镜像的认证方式。 apiVersion: v1 kind: Pod metadata: name: foo namespace: default spec: containers: name: foo image: www.3rdregistry.com/janedoe/awesomeapp:v1 imagePullSecrets: name: myregistrykey

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本节介绍天翼云手机的订购标准价格、续订规则、退订规则等相关内容。 天翼云手机（政企版） 云手机政企版订购模式提供包月计费模式，产品收费项标准价格如下： 天翼云手机BA10（ARM架构） 产品分类 类型 vCPU 内存 系统盘(GB) 标准价格(元/月) 天翼云手机BA10（ARM架构） 标准版 2核 4GB 32GB ￥30.0 天翼云手机BA10（ARM架构） 专业版 4核 8GB 32GB ￥48.0 天翼云手机BA10（ARM架构） 精英版 8核 16GB 64GB ￥96.0 天翼云手机BA10（ARM架构） 畅享版 16核 32GB 128GB ￥193.0 产品续订 天翼云手机（政企版）可前往控制台，通过管理云手机进行续订操作，具体可查看云手机管理 产品退订 天翼云手机（政企版）可前往控制台，通过管理云手机进行退订操作，具体可查看云手机管理

本文为您介绍文件比较与同步的相关内容。 概要 应用场景： 支持对象存储到对象存储之间的数据比较与同步，并且生成比较报告供一致性检查。此场景支持两种数据捕获方式： 方式1：调用对象存储接口对源、备存储同步路径下的所有对象进行扫描、比对，获得增量对象（新增/差异），并将增量对象同步到目标端对应路径下；在海量对象场景下扫描/比对的对象太多，导致这种方式同步增量数据效率过低； 方式2：通过某些方式获取到增量对象信息（如：对象存储自行监控、通过应用数据库表获取等），并将增量对象的信息以某种类型文件存放；DTO通过读取文件内容来获取增量对象信息，并直接将源端对应的增量对象直接同步到目标端；此方式避免了扫描、比对海量对象的时间，提高海量对象场景的增量数据同步效率。 要求：要有应用/组件（一般是对象存储）负责实现监控增量对象并将增量对象以固定格式导出成文件的一系列动作。 前置条件 文件比较与同步的环境要求如下： 1. DTO主机需要安装dto安装包。详见安装DTO。 2. 在MDR控制台中添加对象存储。详见资源管理·对象存储。 3. 在MDR控制台中添加DTO主机并处于在线状态。详见资源管理·DTO主机。 4. MDR控制台需具备有dto的许可，并且该dto许可剩余允许传输量不为0。 新建文件比较与同步 1. 点击左侧菜单栏“资源同步管理”“对象存储数据灾备”“文件比较和同步”，进入文件比较和同步列表页，点击“新建”按钮，进入新建页面。 2. 通用配置页面各配置项如下： 名称：任意指定，便于管理即可。 同步主机：下拉框中会列出已注册至MDR控制台的DTO同步主机供选用； 规则类型：包含三类规则：仅比较/文件比较与同步 / 文件清单同步，下文会分别介绍各类规则的作用和使用场景； 同步策略类型：“手动同步”“定期同步”和“间隔同步”。 手动同步：需手动启动规则。此选项为默认选项。 定期同步：可指定每个月的某几天或者每个星期的某几天中的某几个时间点开始同步，规则会在设置的时间自动开始运行。 间隔同步：指的是从上一次规则完成到下一次规则启动之间的间隔，最小间隔时间单位为秒。 定期同步策略：用户自行添加定期同步策略。可以设定多个不重叠的定时同步策略，彼此独立。 间隔同步策略：用户自行添加时间间隔同步策略。选择此规则开始时间，并设置间隔时间（单位为秒）。 源存储：用户自行选择要源端的存储数据用来做对比。 目标存储：用户自行选择对象存储数据作为目标存储对比。 同步路径映射：用户自行配置需要同步的数据路径。同步路径支持手动输入路径。 排除路径：用户自行选择将同步数据路径中的某些子路径设置为排除路径，排除路径中的数据不进行传输。 文件后缀名过滤：以后缀名为过滤条件，格式为“文件扩展名”，若多个过滤条件则用逗号隔开，如：“.txt”，“.doc”，“.rtf”。 排除：不同步源路径中该过滤项中定义的文件类型。 包含：只同步源路径中该过滤项中定义的文件类型。 文件日期过滤：通过正则表达式对同步路径下文件的日期进行筛选，文件日期符合正则表达式要求的文件被过滤出来。 排除：不同步源路径中符合筛选条件的文件。 包含：只同步源路径中符合筛选条件的文件。 3. 比较设置页面各配置项如下： 比较类型：重镜像时的校验方式。 文件大小：通过源、目标文件的大小进行比较。 对象智能比对：提交规则时会判断备端存储是否支持自定义META，不支持则不允许规则提交。智能比对即：通过比文件当前的修改时间戳，和上一次同步时文件的修改时间戳（记录在自定义属性META中）来判断文件是否一致（如果修改时间戳一致则认为文件相同，如果修改时间戳不同，则继续对比文件的MD5）。 MD5校验：通过源、目标文件的MD5值进行比较（本地需计算md5，对象存储直接采用Etag，对象存储将收到文件的MD5值放在返回结果的ETag中）。 说明：对象存储返回分片上传文件的MD5有可能为空或是最后一个分片的MD5，因此对象存储的MD5并不完全可靠。“文件大小”比对最快；当文件较大时“对象智能比对”比“MD5校验”快（大文件本地计算md5很慢）；当文件较小时“MD5校验”比“对象智能比对”快（对象存储的文件修改时间需从META中获取，一个文件就是一次请求）。 忽略目标端存在文件：DTO不再扫描目标端存储，直接拿源端拆解过后的目录进行传输，传输之前check目标端文件是否存在，如果不存在，就同步，否则跳过该文件；这种类型，可以支持对象存储单一目录上千万的文件。 传输线程数量：可以指定线程个数。一个线程处理一个目录。此选项用于提高数据复制的速度，默认为“10”，数值越高，可用于数据复制的线程越多，但会消耗更多的CPU和内存资源，请根据用户环境适当选择。 对象存储扫描线程数量：可根据需要指定110个线程数。 备端扫描：默认开启，开启后支持孤儿文件处理。 孤儿文件处理方式： 不处理：不删除孤儿文件，存在在目标端。 确认后删除：将孤儿文件计入孤儿文件列表，可通过规则管理界面的“更多·孤儿文件”按钮来查看，以及选择是否要将目标端的孤儿文件删除。 直接删除：将孤儿文件自动从目标端删除。 说明：定期同步或间隔同步策略时不允许配置“确认后删除”；选择“忽略目标端存在的文件”比较类型时，或者开启归档时不允许配置“直接删除”和“确认后删除”。 对象文件路径名： 和源端保持不变：区分大小写，和源端大小写保持一致。 全部为大写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为大写存储在目标路径下。 全部为小写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为小写存储在目标路径下。 备端文件压缩：指的是在本地将文件进行压缩，压缩完后传输到对象存储。仅限于本地到对象存储的规则才支持压缩，压缩传输后，目标端文件名会被修改为：原文件名.i2.zip。 备端文件加密：将同步到目标端数据加密存储。 标准加密：通过设置的加密密钥对源端文件加密后存放到目标端。 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 COS服务端加密：通过对接COS对象存储API接口，上传到该对象存储桶的文件都自动加密，需额外选择加密密钥类型： 加密密钥类型：支持两种加密密钥类型： SSECOS：使用SSECOS加密密钥类型进行加密，无需额外配置； SSEC：使用SSEC加密密钥类型进行加密，需要额外填写加密密钥； 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 保留结果数量：设置“文件比较与同步→报告”中保留的记录条数。 记录流水：默认关闭，开启后会将规则同步的所有文件相关信息（大小、MD5/etag、传输耗时、修改/更新时间）记录在同步主机/usr/drbksoft/dto/data/db/ .db文件中（默认路径），可供审计查看。 4. 带宽设置页面各配置项如下： 全选：开启后，将会选择一周内的所有时间。此选项默认关闭。 时间范围：用户自行勾选具体的生效日。 选择带宽：根据用户需求选择需要执行限速的时间段，可以设定多个不重叠的限速规则，彼此独立，如果带宽设定为0，表示禁止传输。 5. 归档设置页面各配置项如下： 启用归档：不勾选的话不启用归档功能。 文件名转换：归档文件的名称转换，支持两种转换方式： 保持不变：归档文件名与原文件名保持一致。 增加时间后缀：在归档文件名后自动添加归档时间后缀。 归档条件： 时间归档：按照填入文件时间类型的时间点与执行本地到对象存储时的时间点的差值（单位天）。这里的时间选项有两个：文件创建时间、文件修改时间，这两种类型可以只选择某一个，也可以多选，并可以选择几种类型间的关系是与还是或。 命名特征：使用正则表达式进行针对文件名的过滤。 文件类型：通过填入文件类型的后缀名进行对文件类型的过滤（如.txt等），可以匹配多个文件类型，文件后缀名与后缀名之间用“逗号隔开”（如.txt,.exe,.zip）。 归档策略： 同步所有文件，并删除本地符合条件的文件：将源目录下的所有文件全部同步到目标存储的目标目录中，并删除本地符合归档条件的文件。 只同步并删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并删除本地符合归档条件的文件。 只同步但不删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并且不删除源端本地符合归档条件的文件。

本文介绍云日志服务的读写数据量限制。 类别 限制项 说明 备注 天翼云账号 日志写入流量 您在1个天翼云账号下，写入流量最大为500MB/s。 如您有更大的使用需求，请提工单申请。 天翼云账号 日志写入次数 您在1个天翼云账号下，写入次数最大为10000次/s。 如您有更大的使用需求，请提工单申请。 天翼云账号 日志读取次数 您在1个天翼云账号下，读取次数最大为1000次/min。 如您有更大的使用需求，请提工单申请。 日志项目 日志写入流量 您在1个日志项目下，写入流量最大为200MB/s。 非硬性限制，超过限制不保证服务质量。 日志项目 日志写入次数 您在1个日志项目下，写入次数最大为1000次/s。 非硬性限制，超过限制不保证服务质量。 日志项目 日志查询流量 您在1个日志项目下，通过API查询日志，单次返回日志最大为10MB。 不涉及。 日志项目 日志读取次数 您在1个日志项目下，读取次数最大为500次/min。 非硬性限制，超过限制不保证服务质量。 日志单元 日志写入流量 您在1个日志单元下，写入流量最大为100MB/s。 非硬性限制，超过限制不保证服务质量。 日志单元 日志写入次数 您在1个日志单元下，写入次数最大为500次/s。 非硬性限制，超过限制不保证服务质量。 日志单元 日志查询流量 您在1个日志单元下，通过API查询日志，单次返回日志最大为10MB。 不涉及。 日志单元 日志读取次数 您在1个日志单元下，读取次数最大为100次/min。 非硬性限制，超过限制不保证服务质量。 日志单元 日志查询速度 您在1个日志单元下，读取速度为20MB/s 非硬性限制。超过限制时，系统会尽可能提供服务，但不保证服务质量。 SDK SDK上报日志流量 推荐使用1.0.0以上SDK正式版本，若有低版本，请尽快升级，否则无法保证SLA。 低版本SDK可能会导致上报失败。 表1 日志读写限制表

本文主要介绍自定义日志时间。 云日志服务支持自定日志时间，可将日志原文中的时间字段设置为接入配置的时间。 接入日志时开启自定义日志时间 1. 在接入日志的过程中，当切割模式选择单行正则、单行分隔符或多行正则时，可开启自定义时间开关。 2. 打开自定义日志时间开关后，可参考以下说明进行配置 参数 说明 示例 字段key 基于日志样例，选择已提取字段的名称。可在下拉框中选择已提取的字段。 localtime 字段value 已提取的字段value，选择字段key后，将基于日志样例的解析结果自动填充。 20240420 11:12:00 时间格式 请参考常见日志时间格式或示例进行配置。 yyyyMMdd HH:mm:ss 操作 单击“校验”，提示“时间格式校验成功”则表示校验成功。 若您已经完成日志接入，您可在接入配置中，编辑已经创建好的接入配置，在采集规则配置步骤中打开自定义日志时间。 常见日志时间格式 支持的常见日志时间格式如下表所示。 时间格式 说明 示例 EEE 星期的缩写。 Fri EEEE 星期的全称。 Friday MMM 月份的缩写。 Jan MMMM 月份的全称。 January dd 每月第几天，十进制，范围为01~31。 07, 31 HH 小时，24小时制。 22 hh 小时，12小时制。 11 MM 月份，十进制，范围为01~12。 08 mm 分钟，十进制，范围为00~59。 59 a AM或PM。 AM、PM hh:mm:ss a 12小时制的时间组合。 11:59:59 AM HH:mm 小时和分钟组合。 23:59 ss 秒数，十进制，范围为00~59。 59 yy 年份，十进制，不带世纪，范围为00~99。 04、98 yyyy 年份，十进制。 2004、1998 d 每月第几天，十进制，范围为1~31。如果是个位数字，前面需要加空格。 7、31 DDD 一年中的天数，十进制，范围为001~366。 365 z 时区名称。 PST EEE MMM dd HH:mm:ss yyyy 标准的日期和时间。 Tue Nov 20 14:12:58 2020 EEE MMM dd yyyy 标准的日期，不带时间。 Tue Nov 20 2020 HH:mm:ss 标准的时间，不带日期。 11:59:59

本节介绍NAT网关应用场景和使用限制。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。VPC内的实例出方向访问通过SNAT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 产品优势 避免业务公网暴露 VPC下的资源实例如果需要访问公网，通过NAT网关，实例无需单独绑定公网IP即可访问公网，从而避免将业务直接暴露在公网，从而实现安全防护作用。 降低成本 通过NAT网关，VPC下的资源实例可以共享弹性公网IP和带宽实例，无需单独为每个资源实例分配弹性公网IP和带宽实例，可以有效降低成本。 灵活部署，即开即用 NAT网关支持按需部署。SNAT或DNAT规则配置后，可实时生效。 应用场景 使用SNAT访问公网 当VPC内的资源实例需要访问公网，为节省弹性公网IP资源并且避免将资源实例绑定的公网IP直接暴露在公网上，您可以使用NAT网关的SNAT功能实现公网访问。VPC中一个子网对应一条SNAT规则，一条SNAT规则配置一个弹性公网IP。您可以通过创建SNAT规则，以实现共享弹性公网IP资源。 面向公网提供服务 当VPC内的资源实例需要面向公网提供服务时，可以使用NAT网关的DNAT功能。DNAT功能绑定弹性公网IP，可通过端口映射方式，NAT网关将以指定的协议和端口访问该弹性公网IP的请求转发到目标实例的指定端口上。也可通过IP映射方式，为资源实例配置一个弹性公网IP，任何访问该弹性公网IP的请求都将转发到目标虚拟机实例上。如果有多个实例需要提供外网访问服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。

本节主要介绍集群弹性扩容。 操作场景 通过云容器引擎管理控制台，您可以根据实际业务需要对集群的工作节点进行扩容和缩容，当集群中出现由于资源不足而无法调度的工作负载时自动触发扩容，从而减少人力成本。 约束与限制 该功能仅支持通过按需计费方式购买的虚拟机节点，不支持“包年/包月”方式购买的节点和裸金属节点。 目前不支持集群中Master节点的扩容和缩容。 如果您有集群自动扩缩容的需求，请通过autoscaler插件实现，具体请参见插件管理>autoscaler。 v1.17及以上版本的集群将不再支持AOM提供的弹性伸缩机制，请使用节点池功能进行弹性伸缩，详情请参见节点池管理>节点池概述。 集群自动扩容 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待设置伸缩策略集群下的“更多 > 弹性扩容”。 步骤 2 在“扩容配置”页签，单击“编辑”，为集群的弹性扩容设置冷却时间、集群最大节点数和节点配置。 表扩容配置 参数 参数说明 冷却时间 扩容策略执行后停止继续匹配的时间，目的是等待扩容动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。取值范围为：60秒~3600秒，默认为900秒。由于节点创建时间需要210分钟，冷却时间小于900秒可能无法达到预期。 单次扩容节点数上限 扩容策略执行时，集群下最大节点数。例如集群最大节点数为x，取值范围：1≤x<集群节点配额。说明：集群节点配额受两处限制，一是集群的规模，即单集群的节点数量。二是帐户的节点配额。此处的集群节点配额数，取两处限制中配额较少的。 节点配置 如果扩容策略执行后需要扩容，则系统会创建节点。1. 单击“设置”，配置创建节点的各项参数。创建节点的参数配置请参见购买节点.docx

本文介绍Kubernetes 1.31版本的变更说明。 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.31集群版本特性。 新增特性及特性增强 StatefulSet起始序号（GA） 在Kubernetes 1.31中，StatefulSetStartOrdinal特性进阶至GA。默认情况下，StatefulSet中Pod的序号是从0开始，该特性引入后允许用户自定义Pod的起始序号。 弹性索引Job（GA） 在Kubernetes 1.31中，ElasticIndexedJob特性进阶至GA。该特性允许用户在索引Job创建后修改其.spec.completions和.spec.parallelism字段，使之具备弹性伸缩能力。 Pod失效策略（GA） 在Kubernetes 1.31中，JobPodFailurePolicy特性进阶至GA。该特性允许用户根据Pod失效的原因来分别指定处理方式（重试或者忽略），以优化避免不必要的Pod重启带来的运行成本。 Pod干扰状况（GA） 在Kubernetes 1.31中，PodDisruptionConditions特性进阶至GA。该特性在Pod的Condition中新增了DisruptionTarget类型，表示Pod失效的原因，例如被高优先级的Pod抢占、因节点删除而被清理、被kubelet终止等。若Pod是Job或者CronJob控制器创建的，可以与Pod失效策略一起使用，通过该Condition定义失效时的行为。 定制资源的可选择字段（Beta） 在Kubernetes 1.31中，CustomResourceFieldSelectors特性进阶至Beta。该特性支持对CRD配置selectableFields，并支持使用Field Selectors过滤List、Watch和DeleteCollection请求，方便用户定位或管理符合特定条件的CRD资源。 Job成功策略（Beta） 在Kubernetes 1.31中，JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 podAffinity中的matchLabelKeys（Beta） 在Kubernetes 1.31中，MatchLabelKeysInPodAffinity特性进阶至Beta。该特性在podAffinity和podAntiAffinity中引入了更为精细的配置字段matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。 ServiceAccountTokenNodeBinding（Beta） 在Kubernetes 1.31中，ServiceAccountTokenNodeBinding特性进阶至Beta。该特性支持创建绑定到节点的ServiceAccount Token：在Token中包含节点信息的声明，并在使用Token时验证节点的存在，若节点被删除，则Token将会失效。

本节介绍天翼AI云电脑内使用打印机的配置操作。 在天翼AI云电脑里如何使用USB打印机？ AI云电脑（公众版）： 方式一：在AI云电脑里按常规打印机方法使用即可。 方式二：借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“USB重定向”功能，按照常规打印机方法进行操作； 方式二：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式三：通过借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》 在天翼AI云电脑里如何使用网络打印机？ AI云电脑（公众版）： 借助云电脑大师外设管理页面添加网络打印机，来配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式二：借助云电脑大师外设管理页面添加网络打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》

本节介绍天翼量子AI云电脑内使用打印机的配置操作。 在天翼AI云电脑里如何使用USB打印机？ AI云电脑（公众版）： 方式一：在AI云电脑里按常规打印机方法使用即可。 方式二：借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“USB重定向”功能，按照常规打印机方法进行操作； 方式二：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式三：通过借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》 在天翼AI云电脑里如何使用网络打印机？ AI云电脑（公众版）： 借助云电脑大师外设管理页面添加网络打印机，来配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式二：借助云电脑大师外设管理页面添加网络打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》

本节介绍云电脑内使用打印机的配置操作。 在天翼AI云电脑里如何使用USB打印机？ AI云电脑（公众版）： 方式一：在AI云电脑里按常规打印机方法使用即可。 方式二：借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“USB重定向”功能，按照常规打印机方法进行操作； 方式二：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式三：通过借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》 在天翼AI云电脑里如何使用网络打印机？ AI云电脑（公众版）： 借助云电脑大师外设管理页面添加网络打印机，来配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式二：借助云电脑大师外设管理页面添加网络打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》

本节介绍天翼量子AI云电脑内使用打印机的配置操作。 在天翼AI云电脑里如何使用USB打印机？ AI云电脑（公众版）： 方式一：在AI云电脑里按常规打印机方法使用即可。 方式二：借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“USB重定向”功能，按照常规打印机方法进行操作； 方式二：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式三：通过借助云电脑大师外设管理页面添加USB打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》 在天翼AI云电脑里如何使用网络打印机？ AI云电脑（公众版）： 借助云电脑大师外设管理页面添加网络打印机，来配置使用打印机。 AI云电脑（政企版）： 方式一：如果AI云电脑开启“打印机重定向”或“翼打印”功能，配置完成后，可直接使用自动创建的打印机。 方式二：借助云电脑大师外设管理页面添加网络打印机，配置使用打印机。 相关具体步骤，可参考《++天翼AI云电脑外设使用指南++》