对比项 文档数据库服务 自建数据库 服务可用性 服务周期内服务可用率不低于99.95%。 需自行保障，需自行搭建主从复制，自行实现高可用能力。 数据可靠性 高可靠性。 底层多备份存储。 需自行保障数据的可靠性。 数据安全性 DDOS防护。 VPC私有网络访问。 VPC隔离数据库服务。 SSL安全链路访问。 需自行实现各类数据安全性功能，如购买安全防护软硬件。 一键开通 一键部署，分钟级开通文档数据库服务实例。 需购买主机等硬件，自行托管、搭建数据库服务，时间周期长，不可控。 弹性扩容 一键扩容，根据业务需求，分钟级完成规格、存储的弹性扩容。 需购买与原有实例同属性硬件等资源，自行维护数据库节点关系。 备份恢复 自动备份，支持自行配置自动备份策略。 手动备份，支持随时一键热备，不影响业务正常运行。 支持恢复到本实例及其它同属性实例。 需自行管理备份、自行维护备份数据集。 监控告警 支持数据库实例的主机、数据库服务、日志等多类监控指标。 支持自定义设置告警策略。 自行部署监控服务，自行实现告警服务。

诊断维度 诊断项 说明 修复方案 Service 检查Service后端Ready Pod数量 检查Service后端Ready Pod数量。 检查业务Pod状态，保证Pod存在且处于Ready状态。 Service 检查Service是否存在异常事件 检查集群中是否存在与该Service相关的异常事件。 请检查并处理Service异常事件中的描述信息，若无法处理，请提交工单。 节点 检查节点是否存在 检查集群中是否存在该节点。 请检查Node在集群中是否存在。 节点 检查节点状态是否Ready 检查节点在集群中的状态是否为Ready。 请登录到节点上执行systemctl status kubelet或journalctl exu kubelet查看节点上kubelet进程异常日志并尝试修复。 节点 检查节点状态是否不可调度 检查节点是否不可调度，不可调度的节点会影响Pod的正常运行。 节点不可调度，请检查节点调度设置。 节点 检查节点CPU装载率是否过高 检查节点CPU资源分配率是否过高。 请检查节点上pod的CPU request值设置的合理性。 节点 检查节点内存装载率是否过高 检查节点内存资源分配率是否过高。 请检查节点上pod的Memory request值设置的合理性。 节点 检查节点磁盘压力 检查节点磁盘使用率是否过高。 请检查节点磁盘使用情况，及时清理磁盘中不需要的文件或扩容磁盘。 节点 检查节点PID压力 检查节点PID使用率是否过高。 请检查节点PID使用情况。 节点 检查节点Chronyd进程状态是否正常 检查节点Chronyd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Chronyd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart chronyd重启节点Chronyd进程。 节点 检查节点Ntpd进程状态是否正常 检查节点Ntpd进程是否异常，该进程异常时可能会影响系统时钟同步。 节点Ntpd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart ntpd重启节点Ntpd进程。 节点 检查节点Containerd状态是否正常 检查节点Containerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Containerd状态异常，请收集节点日志并提交工单处理。 节点 检查节点Containerd镜像拉取是否正常 检查节点Containerd进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Docker状态是否正常 检查节点Dockerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Docker状态异常，请收集节点日志并提交工单处理。 节点 检查节点Docker镜像拉取是否正常 检查节点Docker进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Kubelet状态是否正常 检查节点Kubelet服务的状态，该进程可能会影响Pod的正常运行。 请检查节点kubelet日志。 节点 检查节点Kubelet启动时间 检查节点Kubelet进程启动时间。 无 节点 节点OS版本 检查节点操作系统版本。 无 节点 节点内核版本 检查节点内核版本是否过低，内核版本过低可能造成系统异常。 请尝试更换节点升级内核。 节点 节点Systemd版本 检查节点systemd版本。 无 节点 节点runc版本 检查节点runc版本，runc版本过低可能造成系统异常。 无 节点 节点系统时间 检查节点系统时间。 无 节点 节点硬件时间 检查节点硬件时间。 无 节点 节点硬件时间漂移 检查节点硬件时钟与系统时间是否一致，时间相差超过2分钟可能引起组件异常。 请尝试登录节点，通过命令hwclock systohc将节点系统时间同步到硬件时间。 节点 检查节点内存交换区开启情况 检查节点内存交换区 (Memory Swap) 功能是否开启，K8s默认要求关闭内存交换区。 当前节点内存交换区 (Memory Swap) 功能不支持开启，请登录节点关闭该功能。 节点 检查Conntrack表使用情况 检查节点Conntrack表是否满，Conntrack表满可能影响网络性能。 请检查nfconntrackbuckets和nfconntrackmax内核参数。 节点 检查节点访问集群API Server是否正常 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 节点 节点DNS服务地址 检查节点能否正常使用主机DNS服务，通过主机DNS服务解析集群外域名。 请检查主机DNS服务是否正常。更多信息，请参见 节点 检查节点内网IP是否存在 检查节点内网IP是否存在。 节点内网IP不存在，请尝试移除节点后重新导入。 节点 检查节点能否访问公网 检查节点能否正常访问公网，无法访问公网可能影响公网镜像拉取。 请检查集群是否开启SNAT公网访问。 节点 节点CPU使用率 检查节点CPU负载是否过高，CPU负载过高可能影响系统性能。 无 节点 节点内存使用率 检查节点内存负载是否过高，内存过高可能影响系统性能。 无 Pod 检查Pod是否存在 检查集群中是否存在该Pod。 请检查Pod在集群中对应命名空间下是否存在。 Pod 检查Pod状态是否为Running 检查Pod是否处于Running状态。 请检查Pod状态及日志。更多信息，请参见 Pod Pod容器重启次数统计 统计Pod中容器重启次数。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器是否存在镜像下载阻塞情况 检查Pod容器对应的镜像下载被阻塞。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod容器镜像Secrets是否有效 检查Pod拉取镜像的Secrets是否有效。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod到主机网络DNS服务器的连通性 检查Pod到主机网络DNS服务器的连通性。 请检查Pod到主机网络DNS服务器的连通性。 Pod 检查Pod容器进程处于D状态检查 检查Pod内的容器进程是否处于D状态。 Pod的部分容器进程处于D状态，通常为容器进程卡在磁盘IO中，请尝试重启宿主机ECS，如仍无法恢复，请提交工单处理。 Pod 检查Pod是否初始化成功 检查Pod是否正常初始化。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否处于调度中状态 检查Pod是否正常调度。 请检查Pod状态及日志。更多信息，请参见 Pod 检查Pod是否配置了livenessProbe探针 检查Pod描述文件是否配置了livenessProbe探针。 请为Pod配置合适的livenessProbe健康检查。 Pod 检查Pod是否配置了ReadinessProbe探针 检查Pod描述文件是否配置了ReadinessProbe探针。 请为Pod配置合适的readinessProbe健康检查。 Pod 检查Pod是否配置了资源requests 检查Pod描述文件是否配置了资源requests。 请为Pod配置合适的request资源申请。 Pod 检查Pod是否配置了资源limits 检查Pod描述文件否配置了资源limits。 请为Pod配置合适的limit资源限制。 Pod 检查Pod在过去24小时内是否存在OOM Kill情况 检查Pod在过去24小时内是否存在因内存过载而被Kill的情况。 请检查Pod是否配置了合适的limit资源限制，同时检查Pod状态及日志。更多信息，请参见 Ingress 检查Ingress是否存在 检查与转发规则匹配的Ingress是否存在。 检查所提供的URL信息是否有能够对应的Ingress规则。若URL信息无误，可能是Ingress规则存在问题。 Ingress 检查Ingress名称规范 检查所匹配到的Ingress名称是否规范。 无 Ingress 检查是否使用了nginx.ingress.kubernetes.io/sessioncookiehash废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/sessioncookiehash注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/baseurlscheme废弃注解 检查是否使用了在0.22.0版本废弃的nginx.ingress.kubernetes.io/baseurlscheme注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/securebackends废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/securebackends注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.com/nginx.org注解 检查是否使用了不兼容社区版Nginx Ingress Controller的商业版Ingress注解key（以nginx.com/nginx.org开头）。 请使用对应功能的正确用法。关于Ingress更多信息，请参见社区官方文档 。(引用到官方文档) Ingress 检查是否使用了nginx.ingress.kubernetes.io/grpcbackend废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/grpcbackend注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/mirroruri废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/mirroruri注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否启用了canary 使用了nginx.ingress.kubernetes.io/canary相关注解，但value值为"false‘，如果需要使用灰度功能，请指定nginx.ingress.kubernetes.io/canary: "true"。 如果您需要在该Ingress上开启Canary功能，请在Ingress规则上添加nginx.ingress.kubernetes.io/canary: "true"注解。 Ingress 检查Ingress是否存在异常事件 检查集群中是否存在与该Ingress相关的异常事件。 检查并处理异常事件描述信息中的报错，如无法解决，请提交工单处理。

本小节介绍日志审计(原生版)数据源用户指南。 数据源是获取需要展示日志/告警字段条件数据，配置后可在报表中选择并通过图表的形式展示。 新增数据源 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 数据源”，进入“数据源”页面。 3. 单击“新增”，并填写新增数据源的相关参数。 参数 参数说明 取值样例 数据源名称 自定义需要创建的数据源名称。 Test 是否抽样统计 确认是否使用抽样统计，默认否。 统计时间间隔 选择该数据源的统计的时间间隔，可选择“分钟”、“小时”或“天”为基础单位。 12小时 数据存放时间 选择数据生成后，在服务中存放的时间，以“天”为基础单位。 7天 数据源描述 自定义数据源的描述内容。 字段类型 选择数据源采集的字段类型，可选“告警类型”或“事件类型”。 告警类型 过滤条件 选择字段条件，多个字段条件通过逻辑关系符关联。 统计字段 选择需要进行统计的字段，可新增多个统计字段，至少新增一个。 分组字段 选择合适的分组字段，已选统计字段不可再次选择，可新增多个分组字段。 4. 填写完成后，单击“确定”，完成数据源新建。 注意 数据源添加完成，每天凌晨3点定时跑任务，获取前一天符合条件的数据。 后续操作 检查数据源：单击“操作”列的“检查”按钮，若数据源已成功录入，则提示“数据源数据存在”。反之，提示“数据源数据不存在”。 编辑数据源：单击“操作”列的“编辑”按钮，在跳转的页面中修改相关参数，修改完成后，单击“确认”即可完成修改。 说明 不支持对“统计字段”和“分组字段”进行修改。 删除数据源：单击“操作”列的“删除”按钮，在跳出的小对话框中单击“确定”，完成删除操作。 说明 若存在报表已经已经引用，则无法删除该数据源，提示“报表存在引用的数据源，不可删除！”。

本节主要介绍应用组件部署 部署方式说明 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云平台上轻松部署、管理和扩展容器化应用程序。 如果创建的组件未开启构建，则不支持容器部署。 部署组件 本节介绍如何将静态组件部署到对应的环境上。 新建应用组件时，也可以选择“创建并部署”，部署操作与本节介绍步骤相同。 前提条件 1. 已经创建应用组件或者正在创建应用组件并完成了静态组件配置，请参考新建应用组件。 2. 已经完成环境创建，请参考环境管理。 3. 如果您基于软件包或者镜像包部署组件，需要将软件包或者镜像包上传： 将软件包上传至OBS对象存储中 将镜像包上传至镜像仓库，请参考上传镜像。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”页。 3、在“组件列表”选择已经创建的组件，单击“操作”栏“部署”。 4、设置基本配置，其中带“”标志的参数为必填参数。 参数 参数说明 :: 环境 选择已创建的环境。 部署版本 组件版本号，例如：1.0.0。 描述 组件的描述信息。 部署系统 支持云容器引擎。 详情请参见部署方式说明。 基础资源 会自动加载所选环境包含的基础资源，根据实际业务需要进行选择。 实例数量 组件可以有一个或多个实例，用户可以设置具体实例个数。 设置多个实例主要用于实现高可靠性，当某个实例故障时，应用组件还能正常运行。 资源配额 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”。 组件状态 根据需要设置组件状态。 5、单击“下一步 组件配置”，配置组件。 “组件类型”为“通用”且运行时为“Docker”的组件，执行以下操作： a.选择镜像。支持多容器，可以单击“添加容器”增加镜像。 b.设置“镜像版本”。 c.输入“容器名称”。 d.（可选）设置“资源配额”。组件无法调度到剩余资源小于申请值的节点上。可以根据需要自定义“CPU配额”和“内存配额”。 e.（可选）设置“高级设置” 展开“高级设置> 组件配置”，可以设置“环境变量”，请参考设置应用环境变量。 展开“高级设置 > 部署配置”： 设置“启动命令”、“生命周期”，请参考设置应用生命周期。 设置“数据存储”，请参考设置数据存储。 展开“高级设置 > 运维监控”： 设置“日志采集”，请参考配置应用日志策略。 设置“健康检查”，请参考设置应用健康检查。 f.（可选）开启“公网访问” i.设置“公网ELB” 选择已经创建的负载均衡。 若不存在，请单击“新增ELB”创建新的负载均衡。 ii.（可选）设置“HTTPS” 若开启HTTPS，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。 iii.设置“域名” 在输入框中输入自定义域名。详情请参考配置域名映射。 iv.设置“监听端口” 设置应用进程的监听端口。 g.（可选）设置“数据库” 选择已经创建的缓存实例。 h.（可选）设置“时区” 修改容器节点的时区，默认和容器节点所在Region的时区一致。 i.（可选）设置“调度策略”，请参考设置应用组件实例调度策略。 j.（可选）设置“升级策略”，请参考设置应用组件实例升级策略。 k.（可选）设置“性能管理”，请参考设置应用性能管理。 其他类型的组件，执行以下操作： a.设置“镜像” 应用来源为软件包，会加载已经配置的组件静态信息。 组件运行时为Docker，需要从SWR镜像仓库选择镜像包。 b.（可选）开启“公网访问” i.设置“公网ELB” 选择已经创建的负载均衡。 若不存在，请单击“新增ELB”创建新的负载均衡，详情请参考“帮助中心 > 弹性负载均衡 > 用户指南 > 负载均衡器 > 创建负载均衡器”创建增强型负载均衡器。 ii.（可选）设置“HTTPS” 若开启HTTPS，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。创建服务器证书请参考“帮助中心 > 弹性负载均衡 > 用户指南 > 证书管理 > 创建证书”创建证书。 iii.设置“域名” 在输入框中输入自定义域名。详情请参考配置域名映射。 iv.（可选）设置“监听端口” 应用进程的监听端口，对于Tomcat8运行时，默认为8080，也支持自定义。 c.（可选）设置“JVM” 组件运行时为“Java8”、“Tomcat8”时需要设置。 输入JVM参数，如Xms256m Xmx1024m，多个参数以空格间隔，不填则使用默认值。 d.（可选）设置“Tomcat配置” 组件运行时为“Tomcat8”时需要配置。 i.勾选“配置参数”，弹出“Tomcat配置”对话框。 ii.单击“使用示例模板”，根据业务要求编辑模板文件。 iii.单击“确定”。 e.（可选）设置“微服务引擎” 微服务类型组件需要设置该参数。 默认选择环境中添加的微服务引擎，创建微服务引擎请参考创建微服务引擎专享版。 f.（可选）设置“数据库” 选择已经创建的缓存实例。 g.（可选）设置“时区” 修改容器的时区，默认和容器节点所在Region的时区一致。 h.（可选）设置“高级设置” 部署系统选择虚机部署时，只能设置“环境变量”。 展开“高级设置> 组件配置”，可以设置“环境变量”，请参考设置应用环境变量。 展开“高级设置 > 部署配置”： 设置“启动命令”、“生命周期”，请参考设置应用生命周期。 设置“数据存储”，请参考设置数据存储。 设置“调度策略”，请参考设置应用组件实例调度策略。 设置“升级策略”，请参考设置应用组件实例升级策略。 展开“高级设置 > 运维监控”： 设置“日志采集”，请参考配置应用日志策略。 设置“健康检查”，请参考设置应用健康检查。 设置“性能管理”，请参考设置应用性能管理。 设置“自定义监控指标”，请参考设置应用组件自定义指标监控。 6、单击“下一步 规格确认”，确认规格无误后，单击“部署”。 组件部署完成后，在应用“概览”页的“环境视图”可查看组件状态。

本节主要介绍如何在智能视图服务控制台进行播放控制,包括单窗口、多窗口的配置操作等。 单窗口操作 在单个视频流的播放窗口，支持音量、语音对讲、电子缩放、云台锁定、局部缩放、保存截图、画面比例、录像回放、云台操作日志、单窗口全屏和关闭单窗口清空视频流的操作。 音量控制：调整该路画面的音量。 语音对讲：点击后通过长按可以将语音信息传递至设备侧（需设备端支持）。 电子缩放：点击后可通过鼠标滚轮操作缩放画面显示区域。 云台锁定：点击后可将该设备的云台功能锁定，无法操作（需设备端支持）。 局部缩放：通过点击或拖动可以作为画面中心点来进行摄像头云台移动（需设备端支持）。 保存截图：点击后保存当前时刻的画面截图到本地。 画面比例：点击可切换画面比例，支持16:9、4:3、原始比例和拉伸。 录像回放：点击后该窗口切换为录像查看模式。 云台操作日志：点击后可查看该设备下的云台操作日志。 单窗口全屏：点击后该路画面铺满全屏播放，可Esc快捷退出。 预览窗口右上方关闭按钮，点击后清空该窗口播放的视频流。 多窗口操作 在实时预览页面播放窗口的下方，支持关闭所有分屏、选择分屏和进入全屏操作。 关闭所有分屏：点击后即关闭所有在分屏窗口中播放的视频流。 选择分屏：支持1、3、4、9、16、32、1+3、1+5、1+7和1+15分屏方案。 进入全屏：点击后所有的分屏窗口进入全屏预览，使用Esc键或点击关闭全屏按钮即可退出全屏。

本节主要介绍如何在智能视图服务控制台进行播放控制,包括单窗口、多窗口的配置操作等。 单窗口操作 在单个视频流的播放窗口，支持音量、语音对讲、电子缩放、云台锁定、局部缩放、保存截图、画面比例、录像回放、云台操作日志、单窗口全屏和关闭单窗口清空视频流的操作。 音量控制：调整该路画面的音量。 语音对讲：点击后通过长按可以将语音信息传递至设备侧。 电子缩放：点击后可通过鼠标滚轮操作缩放画面显示区域。 云台锁定：点击后可将该设备的云台功能锁定，无法操作。 局部缩放：通过点击或拖动可以作为画面中心点来进行摄像头云台移动。 保存截图：点击后保存当前时刻的画面截图到本地。 画面比例：点击可切换画面比例，支持16:9、4:3、原始比例和拉伸。 录像回放：点击后该窗口切换为录像查看模式。 云台操作日志：点击后可查看该设备下的云台操作日志。 单窗口全屏：点击后该路画面铺满全屏播放，可Esc快捷退出。 预览窗口右上方关闭按钮，点击后清空该窗口播放的视频流。 多窗口操作 在实时预览页面播放窗口的下方，支持关闭所有分屏、选择分屏和进入全屏操作。 关闭所有分屏：点击后即关闭所有在分屏窗口中播放的视频流。 选择分屏：支持1、3、4、9、16、32、1+3、1+5、1+7和1+15分屏方案。 进入全屏：点击后所有的分屏窗口进入全屏预览，使用Esc键或点击关闭全屏按钮即可退出全屏。

在监控c应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍如何通过SkyWalking SDK上报c应用数据。 前提条件 完成vpce接入。 背景信息 SkyWalking是一款广受欢迎的国产APM（Application Performance Monitoring，应用性能监控）产品，主要针对微服务、Cloud Native和容器化（Docker、Kubernetes、Mesos）架构的应用。SkyWalking的核心是一个分布式追踪系统。 接入步骤 1、安装Agent plaintext dotnet add package SkyAPM.Agent.AspNetCore 2、查看接入点信息 应用列表的接入指引会根据您所在资源池提供v3版本接入点(Skywalking 8.)的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3、设置环境变量 plaintext ASPNETCOREHOSTINGSTARTUPASSEMBLIESSkyAPM.Agent.AspNetCore SKYWALKINGSERVICENAME 4、配置Agent属性 plaintext 安装SkyAPM.DotNet.CLI工具 plaintext dotnet tool install g SkyAPM.DotNet.CLI plaintext 生成配置文件skyapm.json plaintext dotnet skyapm config sampleapp 192.168.0.1:11800 plaintext skyapm.json文件内容如下 plaintext {   "SkyWalking": {     "ServiceName":  ,     "Namespace": "",     "HeaderVersions": [       "sw8"     ],     "Sampling": {       "SamplePer3Secs": 1,       "Percentage": 1.0     },     "Logging": {       "Level": "Information",       "FilePath": "logsskyapm{Date}.log"     },     "Transport": {       "Interval": 3000,       "ProtocolVersion": "v8",       "QueueSize": 30000,       "BatchSize": 3000,       "gRPC": {         "Servers":  ,         "Timeout": 10000,         "ConnectTimeout": 10000,         "ReportTimeout": 600000,         "Authentication": "Bearer  "       }     }   } } 属性说明： ：服务名称 ：获取的接入点 ：获取的接入点鉴权令牌 Logging：日志记录与调试。Level表示日志级别，FilePath表示日志文件保存的位置以及文件名称 运行程序时，Agent的日志会记录在Logging设置的文件中，可以参考log文件进行调试和修改。

本章节主要介绍创建Spark作业。 Spark作业编辑页面支持执行Spark作业，为用户提供全托管式的Spark计算服务。 在总览页面，单击Spark作业右上角的“创建作业”，或在Spark作业管理页面，单击右上角的“创建作业”，均可进入Spark作业编辑页面。 进入Spark作业编辑页面，页面会提示系统将创建DLI临时数据桶。该桶用于存储使用DLI服务产生的临时数据，例如：作业日志、作业结果等。如果不创建该桶，将无法查看作业日志。桶名称为系统默认。 如果不需要创建DLI临时数据桶，并且希望不再收到该提示，可以勾选“下次不再提示”并单击“取消”。 前提条件 1.请先将所要依赖的程序包通过“数据管理>程序包管理”页面上传至对应的OBS桶中。具体操作请参考创建程序包。 2.创建Spark作业，访问其他外部数据源时，如访问OpenTSDB、HBase、Kafka、DWS、RDS、ES、CloudTable、DCS Redis、DDS Mongo等，需要先创建跨源连接，打通作业运行队列到外部数据源之间的网络。 当前Spark作业支持访问的外部数据源详情请参见跨源连接和跨源分析概述。 创建跨源连接操作请参见增强型跨源连接。 创建完跨源连接后，可以通过“资源管理 > 队列管理”页面，单击“操作”列“更多”中的“测试地址连通性”，验证队列到外部数据源之间的网络连通是否正常。详细操作可以参考测试地址联通性。

本章主要介绍概念与功能问题 软件开发生产线支持哪些语言/环境/以及应用的开发？ 软件开发生产线能够支持端到端使用的开发场景，可支撑互联网应用、Web应用、App应用、嵌入式应用和企业应用等的研发。 软件开发生产线能够支持Java、C、C++、C 、Python、Go等主流语言、Maven、Ant、CMake等多种构建环境/工具，以及Tomcat、SpringBoot等多种部署模板。 更多信息请参考“《软件开发生产线产品介绍》>功能特性”。 软件开发生产线中能否直观查看个人任务及其完成情况？ 可以。 通过首页进入“工作台”页面，可以查看分配给自己的工作项、以及工作项所在的项目。 在项目内的“工作 > 工作项”页面中，通过自定义过滤条件，可以查询到在该项目中，分配给某个人的工作项列表。详细操作请参考“《需求管理用户指南》>Scrum项目>管理工作项”。 软件开发生产线中如何查看成员的操作日志？ 软件开发生产线暂未提供针对每个项目成员的操作日志记录功能，但在各服务均有操作历史的记录。例如： “《需求管理用户指南》>Scrum项目>工作项详情” “《代码托管用户指南》>提交代码到云端>查看提交历史” “《部署用户指南》>应用管理>查看应用” 更多详情请查看各服务用户指南。

Log4J审计日志 日志样例： 20180111 08:51:06,156 INFO [org.apache.sqoop.audit.FileAuditLogger.logAuditEvent(FileAuditLogger.java:61)] usersqoop.anonymous.user ip189.xxx.xxx.75 opshow objversion objIdx 正则表达式为： ^(d. d)(w ) [(. )] user(w. ) ip(w. )op(w. ) obj(w. )objId(. ). 解析结果如下： 表 Log4J审计日志解析结果 列号 样值 1 20180111 08:51:06,156 2 INFO 3 org.apache.sqoop.audit.FileAuditLogger.logAuditEvent(FileAuditLogger.java:61) 4 sqoop.anonymous.user 5 189.xxx.xxx.75 6 show 7 version 8 x Tomcat日志 日志样例： 11Jan2018 09:00:06.907 INFO [main] org.apache.catalina.startup.VersionLoggerListener.log OS Name: Linux 正则表达式为： ^(d. d)(w ) [(. )] ([w.] ) (w.). 解析结果如下： 表 Tomcat日志解析结果 列号 样值 1 11Jan2018 09:00:06.907 2 INFO 3 main 4 org.apache.catalina.startup.VersionLoggerListener.log 5 OS Name:Linux Django日志 日志样例： [08/Jan/2018 20:59:07 ] settings INFO Welcome to Hue 3.9.0 正则表达式为： ^(. ) (w ) (.). 解析结果如下： 表 Django日志解析结果 列号 样值 1 08/Jan/2018 20:59:07 2 settings 3 INFO 4 Welcome to Hue 3.9.0

本节介绍了：监控常见问题。 为什么容器集群监控数据异常无法显示？ 本文介绍容器集群监控数据异常无法显示的问题现象、排查步骤和解决方法。 问题现象 容器集群监控数据异常无法显示。 排查步骤 一、检查集群是否已安装最新版本ccsemonitor插件 登录云容器引擎控制台，在集群详情页中选择插件 > 插件实例 ，查看是否安装最新版本ccsemonitor插件。如无安装请先安装ccsemonitor插件。 二、检查监控相关负载是否正常 登录云容器引擎控制台，在集群详情页中选择插件 > 插件实例 ，选择ccsemonitor插件实例，进入插件实例详情页，点击资源列表tab，查看监控相关的pod是否都是Running状态。如果有pod非Runing状态可以通过pod事件进一步排查，如无法解决请提工单反馈。 三、检查指标采集器是否能正常上报数据 登录云容器引擎控制台，在集群详情页中选择工作负载 > 无状态 ，命名空间选择 kubesystem ，查看工作负载 ccseopentelemetrycollector 的日志，查看是否有报错，如有报错，请提工单反馈。

处理步骤 查看阈值设置是否合理 1.查看告警定位信息，获取上报告警的租户名称，租户目录。 2.在FusiongInsight Manager首页，在“租户资源”页面选择上报告警的租户名称，单击“资源”，查看上报告警的租户目录所对应的存储空间阈值配置设置是否合理（默认90%为合理值，用户可以根据自己的实际情况设置）。 是，执行步骤5。 否，执行步骤3。 3.根据租户空间实际的使用情况，在“资源”页面单击“修改”修改或取消上报告警的租户目录所对应的存储空间阈值配置。 4.等待1分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤5。 查看租户分配的空间容量是否合理 5.在FusionInsight Manager首页，在“租户资源”页面选择上报告警的租户名称，单击“资源”，查看上报告警的租户目录所对应的存储空间配额设置是否合理（根据该租户目录实际业务情况而定）。 是，执行步骤8。 否，执行步骤6。 6.根据该租户目录实际业务情况，在“资源”页面单击“修改”修改上报告警的租户目录所对应的存储空间配额。 7.等待1分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤8。 收集故障信息 8.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 9.在“服务”中勾选待操作集群的“HDFS”和Manager下的NodeAgent。 10.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后20分钟，单击“下载”。 11.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

检查系统环境是否异常 7.执行以下命令导入临时文件，并查看“portresult.txt”文件中高使用率端口。 netstattnpsort > $BIGDATAHOME/tmp/portresult.txt netstat tnpsort Active Internet connections (w/o servers) Proto Recv Send LocalAddress ForeignAddress State PID/ProgramName tcp 0 0 1012085154:45433 1012085154:9866 CLOSEWAIT 94237/java tcp 0 0 1012085154:45434 1012085154:9866 CLOSEWAIT 94237/java tcp 0 0 1012085154:45435 1012085154:9866 CLOSEWAIT 94237/java ... 8.执行如下命令，查看占用大量端口的进程。 ps ef grep PID 说明 PID为步骤7查询出所属端口的进程号。 可以执行如下命令，收集系统所有进程信息，查看占用大量端口的进程。 ps ef > $BIGDATAHOME/tmp/psresult.txt 9.请系统管理员确认后，清除大量占用端口的进程，等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤10。 收集故障信息 10.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 11.在“服务”中勾选“OMS”，单击“确定”。 12.设置“主机”为告警所在节点和主OMS节点。 13.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 14.请联系运维人员，发送已收集的故障日志信息及“portresult.txt”和“psresult.txt”文件，并删除环境中残留的两个临时文件。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到进程挂起动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod，确认其提供的服务是否已无响应。

此小节介绍云堡垒机字符审计。 审计对象为授权的资产数据角色产生的字符访问会话（ssh、telnet），支持查看命令列表，回放访问录屏，中断活动会话，实时播放会话，下载会话审计文件。 操作步骤 1.管理员登录并切换至“审计角色”，选择“会话日志 > 字符审计”。 2.单击“操作”列的“查看”可打开详细命令列表。 3.单击“操作”列的“播放”可使用浏览器在线播放会话。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本小节介绍微隔离防火墙系统管理。 点击首界面右上角的用户名，即可进入系统管理，虚拟中心管理界面，账户管理，系统管理日志以及可退出当前用户，如下图所示： 系统管理可查看及设置系统相关参数，包括查看license相关参数、日志储存天数、登录尝试次数、会话时长，以及配置告警邮件发送服务器。 说明 只有超级管理员具备进入系统管理的权限。 系统信息：包含系统版本、系统时间、license数量、授权时间、客户名称等信息。 注意 1.当授权时间还有1周时会在页面上方进行提示。超过期限后，产品将禁止登录。 2.已接入数量达到授权数量后，接入新工作负载将失败。 1.系统设置：可设置系统日志、操作日志的储存天数。工作负载离线时间是指某一工作负载多久没有心跳时，管理中心认为其已经离线。 2.登录设置：可设置各账户尝试登录次数，超过次数后账户锁定。还可会话时长设置中设置页面无操作时自动退出账户的时间。 3.邮件发送服务器配置：若要配置邮件告警，需超级管理员用户根据内部实际情况先配置邮件发送服务器地址。

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list<object> 否 返回结果列表 result[].domain string 否 域名 result[].logs list<object> 否 下载日志地址列表 result[].logs[].timepoint string 否 日志文件包含的时间点，北京时间，格式为： YYYYMMDD HH:MM result[].logs[].size int 否 日志文件大小，单位：B result[].logs[].url string 否 日志文件下载路径 result[].logs[].md5 string 否 日志文件md5值

本文介绍了RDSPostgreSQL审计日志下载。 开启审计日志后，若您想要查看完整的审计日志，则您可以通过下载审计日志文件进行查看。 前提条件 内核版本为12.20P2、13.16P2、14.13P2、15.8P2、16.4及其以上的版本。 开通实例时选择的备份空间为对象存储。 已开启审计功能，如何开启审计功能参考数据库审计设置。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 点击“数据库审计”，进入到审计日志页面，切换到“下载”tab页。 7. 点击审计日志文件列表右边的“下载”按钮即可进行文件下载。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见 如需使用审计日志下载功能，请提交工单申请。

本章节主要介绍配置MRS多用户访问OBS细粒度权限 。 开启细粒度权限时，用户通过该指导配置访问OBS权限，实现MRS用户对OBS文件系统下的目录权限控制。 说明 该章节内容仅适用于MRS 2.x及之前版本（MRS 1.9.2版本不适用）。 如需对MRS的用户访问OBS的资源进行详细控制，可通过该功能实现。例如，您只允许用户组A访问某一OBS文件系统中的日志文件，您可以执行以下操作来实现： 1. 为MRS集群配置OBS访问权限的委托，实现使用ECS自动获取的临时AK/SK访问OBS。避免了AK/SK直接暴露在配置文件中的风险。 2. 在IAM中创建一个只允许访问某一OBS文件系统中的日志文件的策略，并创建一个绑定该策略权限的委托。 3. 在MRS集群中，新建的委托与MRS集群中的用户组A进行绑定，即可实现用户组A只拥有访问某一OBS文件系统中的日志文件的权限。 在以下场景运行作业时，提交作业的用户名为内置用户名，无法实现MRS多用户访问OBS： sparkbeeline在安全集群中提交作业的内置用户名为spark，在普通集群中提交作业的内置用户名为omm。 hbase shell在安全集群提交作业的内置用户名为hbase，在普通集群中提交作业的内置用户名为omm。 Presto在安全集群提交作业的内置用户名为omm、hive，在普通集群提交作业的内置用户名为omm（当通过“组件管理 >Presto > 服务配置”，选择“全部配置”并搜索修改参数hive.hdfs.impersonation.enabled的值为true可以实现MRS多用户访问OBS细粒度权限功能）。

收集故障信息 10.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 11.在“服务”中勾选“NodeAgent”，单击“确定”。 12.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 13.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 手动检查操作系统熵值 以root用户登录节点，执行cat/proc/sys/kernel/random/entropyavail命令，检查操作系统熵值是否满足集群的安装要求（不低于500）。如果低于500，可使用以下两种方式之一进行配置： 方式一：使用“haveged”工具（真随机数方式）：请联系OS供应商安装并启动该工具。 银河麒麟：执行以下命令进行配置 vi/usr/lib/systemd/system/haveged.service 编辑[Service]项中Type、ExecStar、SuccessExitStatus、Restart参数值如下所示： Typesimple ExecStar/usr/sbin/haveged w 1024 v 1 –Foreground SuccessExitStatus137 143 Restartalways 方式二：使用“rngtools”工具（伪随机数方式）：请联系OS供应商安装该工具，并根据操作系统类型进行配置。 −Red Hat和CentOS下：执行以下命令进行配置 echo 'EXTRAOPTIONS"r /dev/urandom o /dev/random t 1i"' >> /etc/sysconfig/rngd service rngd start chkconfig rngd on −SUSE下：执行以下命令进行配置 rngd r /dev/urandom o /dev/random echo "rngd r /dev/urandom o /dev/random" >> /etc/rc.d/after.local −银河麒麟：在告警上报节点使用root用户执行以下命令进行配置 vi /usr/lib/systemd/system/rngd.service 编辑[Service]项中ExecStart参数值如下： ExecStart/sbin/rngd f r /dev/urandom s 2048

关系数据库MySQL版支持使用已有的自动备份或手动备份文件,将实例数据恢复到备份被创建时的状态。可通过选择备份集文件,将文件恢复至当前实例、已有实例、新实例。本文介绍关系数据库MySQL版如何通过全量备份文件恢复历史数据到实例。 注意 Ⅰ类型资源池仅支持将备份文件恢复至当前实例、已有实例，Ⅱ类型资源池支持将备份文件恢复至当前实例、已有实例和新实例，资源池具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 注意事项 如果选择将备份文件恢复至当前实例，当前实例将被覆盖性恢复，并按照备份集中的数据进行恢复，请谨慎操作。 如果选择将备份文件恢复至已有实例（非原实例），则目标实例将被覆盖性恢复，原有数据都会消失，并按照备份集中的数据进行恢复，务必提前妥善保存目标实例的数据，请谨慎操作。 恢复过程中实例将不可用，请选择适当时间执行恢复任务。 恢复到实例时，SQL拦截规则不会随之进行迁移，如需目标实例与当前实例的拦截规则一致，请手动保存当前实例的规则，并将其使用至目标实例。 恢复到云硬盘备份类型的新实例，新实例与原实例处于同一VPC，若备份类型选择为对象存储，可以为不同VPC。 恢复到新实例，数据库版本须一致，且性能规格须大于等于原实例规格。 恢复到任何实例，目标实例的错误日志文件、慢日志文件和审计等日志文件都会被清除。 恢复到其他实例，需要保证其他实例的磁盘空间充足，至少大于选择的备份集文件，否则将会恢复失败。

本章节主要介绍翼MapReduce组件Spark日志保存问题。 Spark job没有完成的任务日志保存在dirver节点的nodemanager 的 containerlogs中。 Spark job完成的任务日志保存在HDFS的/tmp/logs/ 用户名 /logs。

本文将介绍如何在控制台如何查看Serverless集群的容器组。 操作步骤 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群管理页面的左侧导航栏中，选择“工作负载”。 4. 点击“容器组” ，在容器组页面下可以查看所有创建的容器。 5. 点击想要查看的实例名称 ，即可进入查看该容器组的详细信息。包括查看容器组的事件、日志以及监控等。

xfsrepair 文件系统 根据打印消息“ERROR：”，修复失败时： 执行 xfsrepair L 文件系统，即xfsrepair L /dev/vdc。 注：L是修复xfs文件系统的最后手段，慎重选择，因为会清空日志，丢失用户数据和文件；另，在执行xfsrepair操作前，最好使用xfsmetadump工具保存元数据，一旦修复失败，可以恢复到修复之前的状态。 再次执行 xfsrepair /dev/vdc。 重启弹性云主机即可恢复正常。

本文介绍如何创建有状态应用。 有状态应用与无状态应用的创建流程相似，有状态应用（StatefulSet）包含pod一致性、稳定的持久化存储、稳定的网络标志、稳定的次序。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 若基于私有镜像创建应用，用户首先需要将镜像上传至镜像仓库。将镜像上传至容器镜像仓库的具体操作请参考客户端上传私有镜像。 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【有状态应用】，进入有状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）单击【下一步】，进入添加服务页面>【添加服务】； 有状态应用必须填写【实例间发现服务】，请输入服务名称、端口名称、端口号完成添加； （可选）点击【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略。 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

本节主要描述在使用云容器引擎前，需理解该产品所涉及的概念，以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

Agent已经安装，系统仍将重复安装 问题现象 当日志出现如下图所示信息时，则表示Agent已经安装。 Agent重复安装： 解决方法 1. （可选）方法一：通过管理控制台注销该节点。 1. 登录态势感知（专业版）管理控制台。 2. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 3. 在左侧导航栏选择“设置> 组件管理”，进入节点管理页面后，单击目标节点所在行“操作”列的“注销”。 4. 在弹出的确认框中，单击“确认” 2. （可选）方法二：通过脚本命令卸载Agent。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. 执行sh /opt/cloud/agentcontrollereuler.sh uninstall命令，卸载Agent。 3. 检查是否已完成卸载。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. （可选）方法一：执行 ls a /opt/cloud/ 查看“/opt/cloud”目录下的文件，当提示如下图所示信息（只有脚本文件）时，则表示已完成卸载。 脚本文件： 3. （可选）方法二：执行saltminion version命令，当提示如下图所示信息时，则表示已卸载完成。 检查Agent信息： 注意 节点注销需要一定的时间，不建议点完注销立刻安装。

本文主要介绍在控制台查看日志的操作。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击计算节点管理，进入计算节点管理页面。 5. 在节点列表中，找到目标节点，然后在操作 列选择更多 > 查看日志。 6. 在查看日志对话框中，查看节点的日志信息。 支持查看dbproxy.log 和console.log日志。 您还可以设置日志显示行数。

本节介绍了云数据库TaurusDB的权限管理。 IAM权限管理 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用TaurusDB的其他功能。 如果您需要对购买的TaurusDB资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务 （Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有TaurusDB的使用权限，但是不希望拥有删除TaurusDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用TaurusDB，但是不允许删除TaurusDB的权限，控制开发人员对TaurusDB资源的使用范围。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 TaurusDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TaurusDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问TaurusDB时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云数据库TaurusDB，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。 如下表所示，包括了云数据库TaurusDB的所有系统权限。 表 TaurusDB系统权限 策略名称 描述 类别 GaussDB FullAccess 云数据库TaurusDB服务的所有执行权限。 系统策略 GaussDB ReadOnlyAccess 云数据库TaurusDB服务的只读访问权限。 系统策略 下表列出了云数据库TaurusDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 GaussDB FullAccess GaussDB ReadOnlyAccess 创建TaurusDB实例 支持 不支持 删除TaurusDB实例 支持 不支持 查询TaurusDB实例列表 支持 支持 表 常用操作与对应授权项 操作名称 授权项 备注 修改参数模板 gaussdb:param:modify 变更数据库实例的规格 gaussdb:instance:modifySpec 创建数据库实例 gaussdb:instance:create 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置KMS Administrator权限。创建包周期实例需要配置CBC权限：bss:renewal:viewbss:renewal:updatebss:balance:viewbss:order:view 创建手动备份 gaussdb:backup:create 查询备份列表 gaussdb:backup:list 查询错误日志 gaussdb:log:list 重启实例 gaussdb:instance:restart 查询数据库实例列表 gaussdb:instance:list 创建参数模板 gaussdb:param:create 删除参数模板 gaussdb:param:delete 修改备份策略 gaussdb:instance:modifyBackupPolicy 查看参数模板 gaussdb:param:list 删除实例 gaussdb:instance:delete 删除手动备份 gaussdb:backup:delete 查询项目标签 gaussdb:tag:list 应用参数模板 gaussdb:param:apply 批量添加删除项目标签 gaussdb:instance:dealTag 变更配额 gaussdb:quota:modify 升级数据库实例版本 gaussdb:instance:upgrade 只读升主 gaussdb:instance:switchover 修改数据库端口 gaussdb:instance:modifyPort 修改实例安全组 gaussdb:instance:modifySecurityGroup 修改读写内网地址 gaussdb:instance:modifyIp 界面选择ip需要配置：vpc:vpcs:listvpc:vpcs:get 开启、关闭SSL gaussdb:instance:modifySSL 修改实例名称 gaussdb:instance:rename 添加只读节点 gaussdb:instance:addNodes 删除只读节点 gaussdb:instance:deleteNodes 修改存储空间 gaussdb:instance:modifyStorageSize 修改数据库实例密码 gaussdb:instance:modifyPassword 绑定公网IP gaussdb:instance:bindPublicIp 界面列出公网IP需要配置：vpc:publicIps:getvpc:publicIps:list 解绑公网IP gaussdb:instance:unbindPublicIp 修改监控策略 gaussdb:instance:modifyMonitorPolicy 修改节点倒换优先级 gaussdb:instance:modifySwitchoverPriority 修改可维护时间窗 gaussdb:instance:modifyMaintenanceWindow 节点隔离 gaussdb:instance:isolateNodes 创建数据库用户 gaussdb:user:create 删除数据库用户 gaussdb:user:delete 修改数据库用户密码 gaussdb:user:modify 查询数据库用户 gaussdb:user:list 数据库用户授权 gaussdb:user:grantPrivilege 回收数据库用户权限 gaussdb:user:revokePrivilege 创建数据库 gaussdb:database:create 删除数据库 gaussdb:database:delete 查询数据库列表 gaussdb:database:list

此章节为您介绍日志审计(原生版)数据模型相关的内容。 日志审计（原生版）数据模型一共包括四块内容。 字段管理：对日志审计系统中日志记录的各数据字段进行定义、配置和维护的过程。 数据字典管理：定义和维护日志数据中标准化值和代码映射关系的功能。 索引策略管理：高效检索的索引创建和维护策略。 脱敏规则管理：日志中敏感信息进行掩码或替换的保护机制。 字段管理 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 数据模型”。 3.单击“新增”即可开始新增字段。 注意 内置日志字段不支持删除操作，数值型和时间类型字段不支持编辑操作。 字段配置 说明 中文名称 名称自定义，必填。 字段名称 字母数字下划线组成，必填。 字段类型 下拉选择合适字段类型，必选。 描述 填写字段相关描述信息。 是否脱敏 字符类型选择字符型或IP地址字符型时显示该字段。 关联脱敏规则 勾选是否脱敏时显示该字段，可下拉选择已配置的脱敏规则。 数据字典管理 该功能主要是针对部分日志字典内容，配置转义。 如：事件等级默认为数值型，页面展示为映射结果。 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 数据模型”，在上方选择“数据字典管理”页签。 3.单击“新增”即可开始新增字段。 注意 内置数据字典无法进行编辑和删除操作。 数字字典配置 说明 所属字段 下拉选择字段管理的相关字段，必填。 字典名称 名称自定义，必填。 描述 填写关于字典的相关信息描述。

本节介绍了开启SQL审计的操作场景、注意事项、操作步骤等内容。 操作场景 开启SQL审计后，系统会将SQL操作记录下来，并每半小时或单个记录达到100MB后上传日志，生成的审计日志会上传到OBS。 注意事项 实例创建完成后，默认关闭审计日志，打开会增加数据库负载，请知悉。 开启SQL审计日志需要提前安装pgaudit插件，具体可参考使用pgaudit插件。 约束限制 仅以下版本支持SQL审计功能。 RDS for PostgreSQL 12、13最新小版本 RDS for PostgreSQL 14及以上的全部版本 性能说明 pgaudit的性能影响取决于审计日志的数量和频率。如果审计日志量较小，对性能影响相对较小；如果审计日志量较大，对性能影响会比较明显，审计日志对性能的影响大约在20%左右。因此，在使用pgaudit时，需要根据实际情况进行参数配置和调整，以平衡审计需求和性能影响。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“SQL审计”，单击“设置SQL审计”。 步骤 6 在弹出框中，设置SQL审计日志保留天数，单击“确定”，保存设置策略。 保留天数默认为7天，可设置范围为1~732天。 步骤 7 如需关闭SQL审计，将开关设置为关闭，勾选确认信息后，单击“确定”。 注意 SQL审计关闭后，所有审计日志都会被立即删除，不可恢复，请您谨慎操作。 结束

命令执行结果的日志 在默认目录下,执行CLI命令后会在命令行显示执行截图，同时也会自动创建request.log执行日志文件，执行日志文件里面包含openApi 的执行命令、OpenApi的url、执行结果，如下所示： plaintext 20250218T16:27:27+08:00 ctglts project listProject confighuadong1 projectnamelts ​ 20250218T16:27:27+08:00 ​ 20250218T16:27:27+08:00 {"statusCode":0,"error":null,"requestId":"69e47e4116f8060a0","message":null,"returnObj":[]} request.log 会轮询文件，可以在CLI源码目录下的utils.go 文件里面自定义信息： plaintext const ( maxLogSize 10 1024 1024 // 10MB maxRotatedLogs 2 // 最多保留 2 个轮转文件 logFileName "request.log" // 日志文件名 )