本节介绍如何手动添加API资产。 手动添加API资产用于添加单个API资产。若防护对象的API资产规模较大，请配置API自动发现任务自动发现防护对象中的API资产，具体操作请参见API自动发现。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 已完成防护域名接入，并正常防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在API列表上方，单击“新增API”，弹出新建API资产页面。 6. 在新建API资产页面中，配置API资产参数，配置完成后，单击“确认”。 API资产参数说明如下： 参数 说明 防护对象 通过下拉框选择已接入防护的防护对象。若下拉框没有目标对象，请参考接入WAF接入防护对象。 站点 选择防护对象下的站点，一次只能选择一个站点。 API名称 自定义API的名称。长度为263字符，以字母或中文开头，可包含数字、“.” 、“”、“”、“/”、“%”、“:”、“$”、“{”、“}”。 路径 API的路径。长度为11000字符，目前仅支持大小写字母、数字、"/"、""、""、"."以及通配符"" ，如/api//login，可以匹配api/v1/login、api/v2/login等。 说明 路径中的每一节支持独立通配符，可对该节进行通配匹配，但不允许连续出现通配符，也不支持正则类型输入。 请求方法 通过下拉框选择请求API的方法，支持GET、POST、HEAD、PUT、DELETE、OPTIONS、PATCH。 业务用途 通过下拉框选择API的业务用途。若下拉框没有目标选项，请参考[新增业务用途规则](

告警管理能力当前已全面升级，本文以Prometheus监控上报告警，并发送告警通知到企业微信群为例，帮助您快速使用告警管理功能，从创建告警、配置联系人到接收到第一条告警消息。 步骤一：创建通知对象 告警管理支持将告警通知通过短信、电话、邮件、企业微信等方式发送给通知对象。此处以创建企业微信群为例，展示如何通过告警管理中的机器人向您指定的企业微信群发送告警通知。创建其他通知对象的操作，请参见【通知对象】。 1. 登录应用性能监控控制台 ，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击企微 。 3. 在新建机器人面板设置以下参数，然后单击确定。 参数 说明 名称 自定义企业微信机器人的名称。 机器人地址 输入企业微信机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。 步骤二：创建通知策略 此处展示如何将所有告警事件中告警等级为紧急的告警事件合并为一条告警通知发送至企业微信群中。更多信息，请参见【通知策略】。 1. 登录应用性能监控控制台 ，在左侧导航栏选择告警管理 > 通知策略。 2. 在通知策略 页面单击新建通知策略 。并选择下方高级设置。 3. 在新建通知策略页面设置通知策略名称。 4. 在匹配规则区域设置告警事件的匹配规则。（静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。） 1. 选择无预设来源。通知策略会针对所有告警事件进行匹配规则过滤并发送通知。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。例如：ctyunarmsalertlevel等于4。 3. 单击下一步。 5. 在事件分组 区域，设置告警事件不需要分组，然后单击下一步。 6. 在通知对象区域，设置以下参数。 1. 选择通知对象为钉钉/飞书/企微，并选择上文【步骤一】创建的企业微信机器人。 2. 选择告警恢复后是否发送恢复通知。 发送恢复通知：当告警下面全部事件都恢复时，告警状态是否自动恢复为已解决。当告警恢复时，系统将会发送通知给告警处理人。 3. 设置通知时段，告警会在设置的通知时段内发送告警通知例如：通知时段为。00:0023:59。 4. 单击下一步。 7. 在重复/升级策略区域设置告警是否需要重复通知或使用升级策略。 不需要升级策略，告警未恢复状态下只发送一次。 重复通知：设置重复频率。当告警未恢复时，告警会以设置的重复频率循环发送告警信息直至告警恢复。 升级策略：选择升级策略，告警未恢复状态下，告警通知将会根据升级策略发送通知给其他通知对象。 8. 设置完成后，单击保存。

高效部署 支持云磁盘作为系统盘快速发放；分钟级发放物理机，不受资源约束，满足用户对资源弹性和快速部署需求。 基于统一console控制台，支持自助式资源生命周期管理和运维管理。 快速响应 专业的运维团队，硬件、网络故障将被直接处理，快速响应。 监控可视化，配件齐全，一旦出现故障及时替换，保证用户可用性。 灵活组合 支持与云主机混合组网，操作简单，满足不同业务部署需求。 高可靠存储 采用云磁盘作为数据持久化，支持服务器重建，整体可用性、可靠性高于传统服务器。 支持在线挂载、卸载云硬盘，满足用户对弹性存储的诉求。 支持云磁盘作为系统盘和数据盘、硬盘备份恢复能力。 支持共享磁盘，更好地满足搭建集群高可用场景的应用。

本页主要介绍了 JDBC、连接池和数据库访问框架。 通常 Java 应用中和数据库相关的常用组件有： JDBC API 及实现：Java 应用通常使用 JDBC (Java Database Connectivity) 来访问数据库。JDBC 定义了访问数据库 API，而 JDBC 实现完成标准 API 到 MySQL 协议的转换，常见的 JDBC 实现是 MySQL Connector/J，此外有些用户可能使用 MariaDB Connector/J。 数据库连接池：为了避免每次创建连接，通常应用会选择使用数据库连接池来复用连接，JDBC DataSource 定义了连接池 API，开发者可根据实际需求选择使用某种开源连接池实现。 数据访问框架：应用通常选择通过数据访问框架 (MyBatis, Hibernate) 的封装来进一步简化和管理数据库访问操作。 JDBC 为避免重复解析和生成 SQL 执行计划的开销，注意选择使用 Prepare API，并且需要在 JDBC 连接参数中配置 useServerPrepStmts true。 对于批量插入更新，如果插入记录较多，可以选择使用 addBatch/executeBatch API。通过 addBatch 的方式将多条 SQL 的插入更新记录先缓存在客户端，然后在 executeBatch 时一起发送到数据库服务器，如果希望 Batch 网络发送，需要在 JDBC 连接参数中配置 rewriteBatchedStatements true。 在查询返回超大结果集的场景中，推荐设置 FetchSize为Integer.MINVALUE让客户端不缓存，客户端通过 StreamingResult 的方式从网络连接上流式读取执行结果。使用流式读取数据时，需要将resultset读取完成或 close 后，才能继续使用该语句进行下次查询，否则会报错。如果需要在resultset读取完成或 close 前进行查询避免报错，可在 URL 中添加配置参数clobberStreamingResultstrue，这样会自动 close resultset，但之前流式查询未被读取的结果集会丢失。

通过控制台“AI风险概览”为您呈现推理安全、语料安全、环境安全的风险态势。 操作场景 AI风险概览实时为您呈现大模型合规态势，支持大模型的数据语料风险运营、推理业务风险运营和环境安全风险运营，实时呈现大模型的风险概览，助您识别大模型风险和潜在威胁。 推理安全：基于WAF攻击日志和访问日志，分析呈现大模型接口的调用请求次数、调用请求命中防护策略数、以及命中防护策略数排名前5的推理模型域名和数量、提示词注入的攻击分布、推理模型攻击类型分布等。 语料安全：基于DSC告警日志，分析呈现大模型中的语料风险类别和数量、TOP5语料风险资产分布等。 环境安全：基于态势感知（专业版）基线检查、漏洞管理、告警管理功能，分析呈现当前工作空间的TOP5合规检查风险、TOP5漏洞风险、TOP5告警和最近攻击列表。 前提条件 推理安全 依赖Web应用防火墙 WAF服务，在使用AI风险概览的推理安全功能模块前需要确保Web应用防火墙 WAF服务在有效使用期内，且仅WAF云模式支持。 语料安全 依赖数据安全中心DSC服务，在使用AI风险概览的语料安全功能模块前需要确保大模型数据安全防护在有效使用期内。 已经在态势感知（专业版）控制台接入“WAF攻击日志”，“WAF访问日志”和“DSC告警日志”。接入云服务日志请参见接入日志数据。 仅态势感知（专业版）专业版支持。

本文主要介绍边缘裸金属服务器挂载NFS协议类型的文件存储的方案。 应用场景 边缘裸金属服务器挂载文件存储，可以有多个应用场景，例如在数据密集型处理场景中，如气象数据分析、基因测序等，可将大量数据存储于文件存储，供多台边缘裸金属服务器快速读取和写入，提升数据处理效率。在需要共享存储的分布式计算场景里，如分布式数据库集群，通过挂载文件存储，各边缘裸金属服务器节点可共享配置文件、数据文件等资源，保障集群协同工作。 文件存储可提供高带宽、低延迟的数据访问，满足边缘裸金属服务器对存储性能的要求： 高可用性，文件存储具备冗余机制，能有效保障数据安全与业务连续性。 扩展性强，可依据业务增长灵活扩展存储容量，无需中断服务。 易于管理，集中化存储便于统一管理监控，降低运维难度。 前提条件 边缘裸金属服务器需和文件存储网络互通，需要采用 underlay vpc 网络。创建 underlay vpc 流程如下： 1. 登录ECX控制台。 2. 点击左侧【边缘网络】，选择【虚拟机私有云 > vpc和子网】 3. 点击【+创建虚拟私有云】，在基础信息中，类型需要选择为underlay，子网类型为underlay并填写规划好的 vlan 号。 创建边缘裸金属服务器和文件存储时，均要选择对应创建的 underlay vpc 网络。

IPv4/IPv6双栈网络的应用场景 应用场景 场景示例 子网 ECS IPv6内网通信 您在ECS上部署应用，需要与Redis实例之间使用IPV6进行内网互访。 IPv4网段 IPv6网段 IPv4私有地址：用于IPv4内网通信。 IPv6地址：用于IPv6内网通信。 IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，支持客户端通过IPv6地址访问。 IPv4网段 IPv6网段 IPv4私有地址+IPv4 EIP地址：用于IPv4公网通信。 IPv6地址+共享带宽：用于IPv6公网通信。 操作步骤 1. 登录弹性云主机，详情请参见《弹性云主机用户指南》中“创建并登录弹性云主机”的内容。 2. 将Redis客户端安装包上传到弹性云主机。 3. 解压客户端工具包。 tar xzf redis5.0.7.tar.gz 4. 在“src”目录下，连接数据库实例。 cd redis5.0.7 make cd src ./rediscli h p a 示例： ./rediscli h 192.168.xx.xx p 8635 a 参数 说明 待连接实例的IPv6连接地址。IPv6连接地址生成后，您可以单击实例名称，进入“基本信息”页面，在网络信息区域获取到“IPv6连接地址”。 查看IPv6连接地址 目前IPv6连接地址处于公测阶段，如您的实例未自动生成“IPv6连接地址”，请联系客服申请免费开通。 待连接实例的端口，一般默认为8635，具体请以实际端口为准。 获取实例端口的方法如下：在“实例管理”页面，单击实例名称，进入“基本信息”页面，在“网络信息> 数据库端口”处获取当前实例的端口信息。 创建GeminiDB Redis实例时设置的管理员密码。 5. 出现如下信息，说明连接成功。 IP:port>

检查Pod的配置 1、登录控制台 2、在控制台左侧导航栏，单击集群 3、在集群列表页面，单击目标集群名称或者目标集群右侧操作列下的详情 4、在集群管理页左侧导航栏，选择工作负载 > 容器组 5、在容器组页面左上角选择Pod所在的命名空间，然后单击目标Pod名称或者目标Pod右侧操作列下的详情 6、在Pod详情页面右上角单击编辑，查看Pod的YAML文件和详细配置 检查Pod的事件 1、登录控制台 2、在控制台左侧导航栏，单击集群运维管理事件中心 3、在时间列表页面选择查询选项，类型选择为pod，选择命名空间和名称选项 4、点击查询按钮查看pod事件 检查Pod的日志 1、登录控制台 2、在控制台左侧导航栏，单击集群运维管理日志中心 3、日志中心需要使用ctglogoperator插件支持，若未安装插件，根据页面提示安装ctglogoperator插件 4、在日志中心页面，切换到应用日志标签页，依次选择命名空间、负载类型、负载名称、开始结束时间，然后点击搜索按钮查看Pod的日志 检查Pod的监控 1、登录控制台 2、在控制台左侧导航栏，单击集群运维管理监控 3、监控功能需要使用ccsemonitor插件支持，若未安装插件，根据页面提示安装ccsemonitor插件 4、在集群健康页面，选择查看Pod的CPU、内存、网络I/O等监控大盘

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本节主要介绍控制台如何连接Redis 分布式缓存Redis支持通过管理控制台的命令窗口功能连接Redis实例。 说明 请勿通过命令窗口输入敏感信息，以免敏感信息泄露。 当前在命令窗口下所有命令参数暂不支持中文且key和value不支持空格。 当value值为空时，执行get命令返回null。 在命令窗口中，部分命令被禁用。 前提条件 只有当实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录Redis管理控制台。 2. 在管理控制台右上角选择实例所在的区域。 3. 在需要查看的分布式缓存Redis缓存实例左侧，单击该实例的名称，进入实例的基本信息页面。 说明 在实例列表中可以查看租户当前地域所有实例。 4. 进入实例页后，单击“应用数据管理”，进入应用数据管理界面。 5. 进入应用数据管理界面后，选择要操作的DB，在右侧窗口直接输入读写命令点击【执行】按钮即可，详情请参见 应用数据管理。

产品优势 分布式消息服务MQTT具有协议丰富、安全可靠、低成本高性能、消息互通等优势，适用于大规模分布式系统中的消息传递和处理场景。 协议丰富： 兼容支持原生多种标准协议，如MQTT、MQTTSN、CoAP、LwM2M；兼容任何支持MQTT协议的 SDK覆盖绝大多数移动端开发平台及开发语言。 安全可靠： 数据安全，支持SSL加密通信，提供身份认证，数据传输更安全可靠。 低成本高性能： 稳定承载大规模终端设备连接，资源占用少；消息路由快速低延时，单集群支持百万规模的路由。 更多信息请参见产品优势。 应用场景 分布式消息服务MQTT可以用于许多应用场景，其灵活性和轻量级特性使其适用于各种需要实时消息传输和发布/订阅模型的应用，如物联网通信、远程监控及控制、传感器数据采集等。 物联网（IoT）通信 MQTT广泛用于连接和管理大规模的物联网设备。它允许传感器、嵌入式设备和其他物联网终端之间进行实时数据通信，以监测环境、收集数据和实现智能控制。 远程监控和控制 MQTT可用于远程监控和控制系统，如监控能源设备、工业自动化、智能家居系统等。它使操作员能够实时监测设备状态，同时可以通过发布命令来实现设备控制。 传感器数据采集 MQTT用于将传感器数据从分布式传感器网络传送到数据中心或云平台，以进行分析和处理。这对于监测环境、天气预报、农业数据收集等非常有用。 更多信息请参见应用场景。

此小节介绍如何通过云堡垒机纳管主机资源。 云堡垒机具备集中资源管理功能，将已有资源和资源账户添加到系统，可实现对资源账户全生命周期管理，单点登录资源，管理或运维无缝切换。 资源类型 纳管资源类型丰富，包括Windows、Linux等主机资源，MySQL、Oracle等数据库资源，以及Windows应用程序资源。 支持C/S架构运维接入，包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。 支持B/S、C/S架构应用系统资源接入，可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。 资源管理 批量导入 通过自动发现、同步云上资源，以及批量导入资源，支持一键同步并导入云上ECS、RDS等服务器上资源。 帐户组管理 资源账户按属性分组管理，可实现对同类型资源账户按帐户组给用户赋权。 批量管理 支持批量管理资源信息和资源账户，包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。 通过云堡垒机纳管主机资源 云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源，包括Linux主机、Windows主机和数据库等。 本章节主要介绍通过添加单个主机资源、从文件导入主机资源、导入云主机资源、自动发现主机资源、克隆主机资源等方式，将主机资源纳入云堡垒机进行集中管理。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 系统内协议类型@ 主机地址 :端口需唯一，不能重复，即被纳管的主机资源需唯一。否则再次创建相同配置的主机时，会报“主机已存在”错误。 为主机资源配置“所属部门”为上级部门时，当前用户的角色需拥有管理权限，否则会配置失败。修改用户角色管理权限，请参见：查询和修改角色信息 。 前提条件 已获取“主机管理”模块操作权限。 添加单个主机资源 1. 登录云堡垒机系统。 2. 选择“资源 > 主机管理”，进入主机管理列表页面。 3. 单击“新建”，弹出新建主机编辑窗口。配置主机资源的网络参数和基础信息。 主机资源网络参数说明 参数 说明 :: 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 主机地址 输入主机与云堡垒机网络通畅的IP地址 选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 系统默认要求网络接口为主机的IPv4地址。主机开启IPv6地址后，可配置主机的IPv4或IPv6地址。 说明 因云堡垒机管理同一VPC网络下的主机资源，根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全（安全组和ACL）的限制。EIP为独立的弹性IP，对外访问的端口受网络安全限制，可能导致无法通过云堡垒机登录到主机。 故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认不设置，后台根据资源系统类型匹配。 支持14种系统类型。 同时支持系统管理员admin自定义系统类型。 详情请参见自定义系统类型说明。 终端速度 “协议类型”选择“Rlogin”协议类型主机时，可选择不同终端速率。 编码 “协议类型”选择“SSH”、“TELNET”协议类型主机时，可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 “协议类型”选择“SSH”、“TELNET”协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“X11转发”、“上行剪切板”、“下行剪切板”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 所属部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。 4. 单击“下一步”，纳管主机资源的帐号信息。 纳管主机帐户信息说明 参数 说明 :: 添加帐户 选择立即添加帐户，或以后再添加帐户。 选择“立即添加”，需要继续配置下面的各项内容。 选择“以后添加”，将结束本页配置，后续您可以在资源列表或资源详情中添加帐户。 登录方式 选择登录方式，可选择自动登录或手动登录。 选择“自动登录”时，“主机帐户”和“密码”为必填项。 选择“手动登录”时，“主机帐户”和“密码”为可选项。 主机帐户 输入主机中的帐户名。 说明 若主机安装了AD域服务，添加的主机帐户为域名 主机帐户名 ，例如adadministrator。 密码 输入主机帐户对应的密码。 默认勾选“验证”，配置完成确定后，自动验证资源账户的状态。 说明 验证帐户通过后，直接保存资源主机相关信息。 验证帐户不通过 提示验证帐户超时，请返回配置窗口，确认并修改资源信息。 提示帐户密码错误，请返回配置窗口，确认并修改资源账户密码。 SSH Key 针对SSH协议类型主机，可配置登录SSH Key验证。 配置后优先使用SSH Key登录资源。 Passphras SSH Key对应私钥序列，可选择配置。 未生成私钥密码情况下，登录主机无需输入密码。 已生成私钥密码情况下，每次登录主机需手动输入私钥密码。 帐户描述 对资源账户的简要描述。 未配置主机帐户和密码时，默认创建“[Empty]”空帐户，登录资源时需手动输入主机帐户和相应密码。 5. 单击“确定”，且资源账户验证通过后，返回主机列表查看新建的主机资源。

本节主要介绍产品定义。 什么是云容器引擎？ 云容器引擎(CT Cloud Container Engine，简称CCE)提供高可靠、高性能的企业级Kubernetes集群托管服务，支持运行Docker容器，帮助用户在云上轻松部署、管理和扩展容器化应用程序。 为什么选择云容器引擎？ 云容器引擎深度整合高性能的计算（ECS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，支持多可用区（Available Zone，简称AZ）、多区域（Region）容灾等技术构建Kubernetes高可用集群。 产品形态 云容器引擎包含多种产品形态。 集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

本节介绍网络的用户指南:Ingress概述。 概述 与Service的四层负载均衡不同，Ingress是反向代理的抽象，提供七层的HTTP和HTTPS协议转发，可使用域名和路径配置转发规则，例如通过访问路径将请求路由到不同的Service，以实现7层的负载均衡。 Ingress资源定义了访问集群服务的规则，这些规则包括如何处理来自外部的请求、如何路由这些请求到后端的服务等。Ingress资源可以定义多个规则，每个规则对应一个前端的路径和一个或多个后端的服务。Ingress并非自身提供服务，而是依赖Ingress Controller来实现。Ingress Controller是一个持续运行的守护进程，负责处理实际的路由和负载均衡。常见的Ingress Controller包括NGINX Ingress Controller、Traefik等。 应用场景 Ingress在以下几个关键应用场景中发挥着重要作用： 单服务暴露 ：当集群中只有一个服务需要对外暴露时，Ingress可以作为该服务的路由器，处理所有进入应用的请求； 基于主机名或URL的路由 ：当集群中有多个服务需要对外提供服务时，Ingress可以基于请求的主机名或URL路径，将请求路由到对应的服务。这种情况下，Ingress充当反向代理服务器的角色，使得在一个公共的IP地址下，可以提供多个服务； SSL终止 ：对于需要提供安全传输服务的应用，Ingress可以负责处理SSL连接，包括证书的管理和续签，使得后端服务可以专注于提供业务逻辑，而无需处理SSL连接； 负载均衡 ：Ingress可以根据配置的路由规则，将请求分发到后端的多个服务实例，实现负载均衡。这对于需要处理大量请求，或者需要高可用服务的应用至关重要； 网络流量控制 ：Ingress还可以实现更为复杂的网络流量控制，如基于请求的权重进行路由，或者实现蓝绿部署等。

本章节介绍Kafka Broker CPU高负载故障演练。 背景介绍 分布式系统中作为数据交换和异步解耦核心的 Kafka 集群，其 Broker 节点 CPU 易因高消息吞吐量、过多消费者组、数据复制同步及消息压缩解压缩等因素出现持续高负载，进而引发消息延迟、吞吐量下降等问题，本演练可有效测试系统的应对与恢复能力。 基本原理 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择Broker CPU高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 CPU占用率：指定 CPU 负载百分比，取值在0 100之间

本文为您介绍分布式消息服务MQTT安全方案。 安全价值 分布式消息服务MQTT在物联网（IoT）和消息传递应用中提供了多方面的安全性价值，这些价值包括： 数据隐私和保密性： MQTT协议支持加密通信，使用TLS/SSL协议对数据进行加密传输，确保消息在传输过程中的机密性，防止未经授权的访问者或窃听者获取敏感信息。 数据完整性： 通过加密，MQTT协议可以防止数据在传输过程中被篡改。这确保了消息的完整性，接收方可以验证消息是否被篡改。 身份验证： MQTT Broker可以配置以要求设备或客户端提供有效的身份验证凭据，例如用户名和密码，或者使用数字证书。这确保了只有授权的设备可以连接到Broker。 授权访问： MQTT Broker可以设置访问控制列表（ACL），以限制哪些设备可以订阅或发布特定主题。这种授权机制确保了只有具有相应权限的设备可以访问特定的消息主题。 防御拒绝服务攻击（DDoS）： MQTT Broker可以实施连接速率限制、最大会话数等机制，以防止设备发起DDoS攻击或不合理的连接请求。 防止重放攻击： 每个MQTT消息都包含一个唯一的消息ID，可以防止攻击者对已发送消息的重放。这有助于确保消息不被重复处理或执行。 日志和审计： MQTT Broker通常具有事件和日志记录功能，可以用于记录连接、断开、订阅和发布事件。这些日志可以用于审计、故障排除和安全监控。 固件和升级管理： 安全固件更新是确保设备安全性的重要部分。MQTT可以用于远程设备管理，包括远程升级和固件更新，以及设备的安全配置管理。 通信可用性： 通过身份验证和授权机制，MQTT协议可以确保只有合法的设备能够连接到Broker，从而维护通信的可用性。 标准化安全性： MQTT协议的安全性特性是标准化的，这意味着开发人员可以依赖于协议规范，而不必自己设计和实现安全性功能。 综上所述，MQTT协议提供了一系列安全性特性，可以帮助确保在物联网和消息传递应用中的通信安全、可靠和保密。然而，在实施和配置MQTT时，仍然需要考虑特定应用的安全需求，并采取适当的安全措施来保护系统。

本节主要介绍创建软件包构建任务 通过构建任务可以用软件包一键式生成镜像包，实现“软件包获取>镜像编译>镜像归档”的全流程自动化。 前提条件 1.已经创建集群。 2.已为构建节点绑定弹性IP。 操作步骤 1、登录ServiceStage控制台，选择“持续交付 > 构建”，单击“基于软件包构建”。 2、输入“Job名称”。 3、（可选）输入Job“描述”。 4、设置“包来源”。 支持以下上传方式： 从OBS对象存储选择对应的软件包，需要提前将软件包上传至OBS桶中。 单击“选择软件包”，选择对应的软件包。 5、选择构建方式。 系统默认 a.选择基础镜像语言，需与步骤4中选择的软件包编译语言一致。 b.选择“基础镜像版本”。 自定义Dockerfile 在编译框中输入自定义命令。 注意 请在echo、cat、debug等命令中慎用敏感信息或者进行敏感信息加密，以免造成信息泄露。 内置镜像 选择“基础镜像”，镜像语言需与步骤4中选择的软件包编译语言一致。 6、设置“镜像类型”。 公有：包含常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 7、选择“镜像归档地址”。 8、构建集群。 使用自己的集群进行构建任务，可以通过节点标签将构建任务下发到固定节点上，新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、单击“立即构建”启动构建。 单击“保存”仅保存设置，不进行构建。

操作步骤 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“参数模板管理”页面，单击“创建参数模板”。 步骤 5. 选择数据库引擎版本，命名并添加对该参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的参数模板类型。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!<"&'特殊字符。

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“参数模板管理”页面，单击“创建参数模板”。 步骤 5 选择数据库引擎版本，命名并添加对该参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的参数模板类型。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!<"&'特殊字符。

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“参数模板管理”页面，单击“创建参数模板”。 步骤 5 选择数据库引擎版本，命名并添加对该参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的参数模板类型。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!<"&'特殊字符。

本文为您介绍密钥管理服务的应用场景。 密钥管理服务KMS（Key Management Service）具有广泛的应用场景。 场景介绍 应用场景 开发者身份 受保护数据 保护目的 解决方案 敏感信息加密保护 网站或应用开发 证书、密钥 网站和应用使用HTTPS证书来保证通信协议的安全性，同时使用密钥对文件进行数据签名。这些安全解决方案非常依赖证书和密钥本身的安全性。 敏感数据在线加密 敏感信息加密保护 后台服务开发 密码、登录密钥、配置信息 数据库密码、登录密钥以及后台服务的配置信息可能会被黑客利用，明文存储在硬盘上非常危险。 敏感数据在线加密 重要文件加密保护 内容、社交网站或应用 用户原创内容、有价值的知识产权 企业依赖核心的UGC内容或独特的知识产权来建立行业竞争优势，务必防范“拖库”事故的发生。 信封加密 重要文件加密保护 政府、金融机构 协议通信内容、重要文件和资料 政府和金融机构的通信和存储数据具有高价值性和高保密性，需要在建立业务系统时就充分考虑安全性和合规性。 [敏感数据在线加密](

平台化全流程管理 AI训练的高效执行，依赖于大数据团队、数据标注团队、算法开发团队、性能优化团队以及算法工程化团队等多个专业角色的紧密协作。 训推智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。 管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。 丰富的算力资源 平台支持多种类型算力集群，如昇腾的910B集群，英伟达系列的H800、A10、A100、A800、L40S等算力集群，为用户提供丰富的算力资源选择；同时平台算力集群支持异构算力，即同一集群内可融合不同型号的算力显卡，并使用不同卡部署任务。

方案正文 每一个数据库实例都有自己唯一的参数组，您可根据业务需求对您所创建的参数组里边的参数进行调整。 每个实例的参数都是唯一的，且修改后不会对其他实例产生影响。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”，进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称。 5、在“参数修改”页签，修改相应参数。 说明 1、系统默认参数组中的所有参数组不可修改。 每个SQL Server版本都有对应的唯一默认参数组模板。 选择对应版本的模板，单击“更多 > 应用”，可将该默认参数组模板上的参数应用到当前实例对应的参数上。 2、您可修改您所创建的自定义参数组中部分参数的值。 您可以在“参数模板管理”的“自定义”页签下根据一个默认参数组模板创建自定义参数组。 修改完成后保存修改，可将该自定义参数组应用到对应版本的多个实例上。 相关参数设置如上表所示，可提高实例性能。 参数 说明 适用场景 max degree of parallelism 每个执行语句的CPU最大并行度，参数值默认为0。当您在使用实例时，SQL Server会通过查询引擎自动的给每一个请求分配CPU执行计划，以通过并行执行的方式有效提升实例的执行性能。 1、当用户的本地实例主要用于查询获取结果，参数值可设置为0。 2、当用户的本地实例主要用于写入，更新，删除等操作，参数值可设置为1。 max server memory (mb) 用于控制实例上SQL Server数据库服务占用整个服务器的最大内存的上限。 RDS for SQL Server已经根据您的实例进行了适当配置，该参数值可保持默认值。 如果需要修改，有以下限制条件： 1、不低于2GB。 2、不高于实例最大内存的95%。 user connections 用于控制实例上用户发起的最大连接数。 据实际情况进行调整。 1、设置为0，该实例连接数将不受限制。 2、不能设置110之间的值。 单击“保存”，在弹出框中单击“确定”，保存修改。 单击“取消”，放弃本次设置。 单击“预览”，可对比参数修改前和修改后的值。 参数修改完成后，您可单击“参数修改历史”查看参数的修改详情。

本文将介绍如何在远程零信任办公场景中配置用户组。 用户组可用于便捷授权。您可以基于角色，岗位，员工办公地理位置，项目类型等进行用户组创建，通过将多个用户关联到组中，以组为单位进行权限管理。 前提条件 已经完成身份源配置，将用户信息导入到用户与组织列表进行管理。 操作步骤 创建用户组 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理，AOne终端管理三个工作台进行操作。 3. 在左侧导航栏，选择身份用户组管理。 4. 在用户组管理页面，单击创建用户组。 5. 按照以下字段说明，填写对应的用户组信息。 字段 字段说明 组名称 必填项，用户组名称，建议使用便于记忆的描述，例如项目组，岗位组，角色组 ，地理划分组等 用户组ID 系统自动生成 描述 用户组描述，便于对不同用户组进行备注 添加用户到用户组 1. 在用户组管理页面，选择对应要添加用户的用户组名称，单击添加用户按钮。 2. 在弹出的界面框，进行用户勾选，支持通过姓名、账号、手机号、邮箱等信息进行用户搜索，将需要添加的用户点击勾选。 3. 若需要按照组织架构进行用户组添加，请在弹框界面的左侧组织架构栏目，选择要筛选的组织范围，在右侧进行对应要添加的用户勾选。 4. 完成用户筛选后，点击确定，完成该部分用户添加到对应的用户组内。 后续步骤 完成用户组创建和用户组内用户添加后，您可以针对用户组配置差异化的应用权限，以及基于用户组下发不同的零信任策略。

在事件列表页面，可以筛选并查看所有告警事件。 功能入口 1. 登录【应用性能监控控制台】。 2. 在左侧导航栏选择告警管理>告警事件历史。 事件列表 事件列表页面显示了未恢复告警和已恢复告警的事件名称、通知策略、创建时间、事件数量、事件状态、事件对象。 在事件列表页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，可以查看对应的告警事件。 字段 说明应用性能监控 事件名称 创建的告警规则的名称。 事件状态 告警事件的状态，共有以下3种状态： 告警中：告警事件持续被触发。 静默：在设置的自动恢复告警事件的时间内，和第一条告警事件名称和等级相同的告警事件的状态为静默。 已恢复：在设置的时间内，告警事件不再触发。 事件对象 监控任务名称或集群名称。 集成类型 告警事件对应的集成类型。 单击事件名称，查看目标事件的详细信息。更多信息，请参见下方【事件详情】。 事件详情 事件详情面板显示了事件的基本信息、监控数据和扩展字段。

Serverless模式，高效易用 无需关注底层服务器资源，Serverless将自动分配足够的计算资源和存储资源。只需专注业务代码的开发，将业务代码发布至全球边缘节点即可完成应用部署，有效地降低开发成本。 弹性扩容 当一个区域的客户端请求数量突增时，快速启用就近的计算资源，自动完成扩容和调度。 丰富的编程语言生态 易上手的开发者工具：提供Web IDE 在线编程和开发者工具。 支持JavaScript ES6、TypeScript，支持Node.js生态。 提供符合W3C标准的Service Worker API、Streams API、WebCrypto API。 终端管理 AOne终端管理，终端一体化融合终端IT管理、病毒查杀、实时防护、系统加固等能力，一站式解决办公终端的安全和管理问题，守护企业每一台电脑的安全。 守护电脑安全 在实时防护、病毒查杀、漏洞修复等多重机制护航下，阻止外部非法入侵与内部外设数据泄露，全方位守护员工电脑安全，让电脑使用更安心。 软件全面管理 看得清软件资产，一键阻断黑客工具和远控软件，实时拦截不受欢迎的骚扰软件进入员工设备，助力企业便捷高效地规范软件使用，让终端环境更清爽。 员工上网管控 提供全面的行为审计能力，通过分析员工办公访问数据，禁止员工上班时间访问无关网站，助力管理者掌控团队的上网情况和工作效能。

此小节介绍云堡垒机产品定义。 云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

本文介绍如何为应用挂载数据卷。 Docker镜像是由多个文件系统叠加而成，当启动一个容器的时候，Docker会加载只读镜像层并在上面添加一个读写层。当删除Docker容器并通过该镜像重新启动时，之前的更改将会丢失。为了能够保存数据以及共享容器间的数据，Docker提出了数据卷的概念。简单来说，数据卷就是目录或者文件，它可以绕过默认的联合文件系统，以正常的文件或者目录的形式存在于主机上。 在Docker中，数据卷只是磁盘或另一容器中的目录。其生命周期不受管理，且Docker现在提供的卷驱动程序功能非常有限。容器引擎CCE采用的是Kubernetes的数据卷的概念，Kubernetes数据卷具有完善的生命周期管理，支持多种类型的数据卷，同时实例可以使用任意数量的数据卷。 云容器引擎支持四类本地磁盘挂载类型：支持hostPath、emptyDir、configMap、secret。各类型说明如下： hostPath：指定主机中的文件或目录挂载到容器的某一路径中； EmptyDir：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除， 数据会永久丢失； ConfigMap：将配置文件中的key映射到容器中，可以用于挂载配置文件到指定容器目录； Secret：将密钥中的数据挂载到指定的容器路径。 操作步骤 1.在创建应用或升级应用流程中，进去容器设置步骤，点击【数据存储】，点击【添加本地磁盘】，进入本地磁盘添加页面； 1）卷类型选择hostPath，表示在容器上挂载宿主机上的文件或目录。通常用于“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”，具体参数说明如下所示： 参数 参数说明 存储类型 选择主机路径 主机路径 输入主机路径，如/tmp 挂载路径 数据卷挂载到容器上的路径 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 子路径 相对路径 权限 只读：只能读容器路径中的数据卷； 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失； 2）卷类型选择emptyDir：容器分配到节点时系统将自动创建卷，初始内容为空。在同一个Pod中所有容器可以读写emptyDir中的相同文件。当Pod从节点上移除时，empryDir中的数据也会永久删除。通常用于临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择临时路径 磁盘介质 不勾选：存储在硬盘上，适用于数据量大，读写效率要求低的场景 勾选：存储在内存中，适用于数据量少，读写效率要求高的场景 挂载路径 数据卷挂载到容器上的路径。 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 权限 只读：只能读容器路径中的数据卷 可写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失 3）卷类型选择configMap：平台提供应用代码和配置文件的分离，configMap用于处理应用配置参数。用户需要提前创建应用配置，操作步骤请参见创建配置项，临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择配置项 配置项 选择已经建立好的配置项 说明： configMap需要提前创建 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 4）卷类型选择secret：用户需要提前创建私密凭据，操作步骤请参见创建私密凭据,临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择私密凭据 卷类型 选择已经创建好的私密凭据 说明： secret需要提前创建，请参见 创建私密凭据 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 2.点击【添加容器挂载】，可新增挂载项，点击【删除】可删除之前的容器挂载配置； 3.点击【确定】，完成本地磁盘的添加。

本章节介绍什么是媒体存储。 产品简介 媒体存储（CTXStor，原对象存储融合版）是天翼云基于分布式数据存储和媒体处理技术，为客户提供海量视频、图片及其他非结构化数据存取与处理的云服务，具有弹性灵活、安全可靠、高性价比等优点，支持多种存储协议及多档资源类型，深度匹配各类行业场景应用。 产品架构 支持多种网络接入，如公网、内网、专线等接入方式，满足用户不同的网络环境情况。 提供多种接入方式，如标准存储协议、流直存，并提供丰富的API与SDK，供用户、开发者使用，便捷快速上云。 通过数据迁移服务，用户可以轻松地将海量数据迁入媒体存储。 提供多种标准存储协议以及多档资源类型，精细匹配应用场景需求。 搭配基础管理、生命周期、数据安全与数据处理等功能，完成数据的全生命周期管理。 重要特性 版本控制：媒体存储支持版本控制，针对Object的覆盖和删除操作以历史版本的形式保存下来，可将 Object 恢复至任意的历史版本。 存储桶复制：支持跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（Object），可根据配置，将源桶Object的创建、更新和删除等操作复制到目标Bucket。 合规保留：开启合规保留后，处于合规保留期的对象均“不可删除、不可篡改”。 图片处理：针对媒体存储内存储的图片文件（Object），您可以在GetObject请求中携带图片处理参数对图片文件进行处理。例如添加图片水印、转换格式等。 媒体存储为客户提供更多数据管理、数据安全和数据处理等功能，详情请参见 产品功能 文档。

本章节介绍云容器集群节点节点宕机故障演练。 背景介绍 云容器引擎（CCE）节点是集群的业务承载核心。硬件故障、系统内核异常、资源耗尽等因素，均可能导致通用节点故障。通用节点宕机会造成其上运行的业务 Pod 异常中断或漂移重建，引发业务请求失败、服务响应延迟，甚至局部服务不可用，本演练可测试系统的故障转移与业务自愈能力，提升集群及业务的整体稳定性。 基本原理 通过关闭云容器引擎纳管的节点主机，模拟节点宕机（支持Worker节点或专有版容器Master节点）。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择节点宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

说明：本章节会介绍如何什么是只读实例 产品简介 目前，云数据库MySQL 5.6/5.7版的实例支持只读实例和开通读写分离功能。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有备节点），采用MySQL的原生复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响，只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 功能限制 1个主实例最多可以创建5个只读实例。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库。 帐号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。