云应用引擎 CAE（Cloud App Engine）是一款面向容器应用的 Serverless 全托管平台，提供完整的微服务应用托管和治理能力。CAE 可帮助您将微服务应用便捷地容器化并托管，实现秒级部署与全自动弹性伸缩，按使用量计费，大幅提高业务交付效率和系统可用性。作为 Serverless 架构中承载复杂应用的核心组件，CAE 让您聚焦业务逻辑，免运维底层基础设施，开箱即用监控、日志、服务治理等企业级能力，全面提升应用的可管理性与弹性。 产品架构 CAE产品架构如下所示。更多信息，请参见基本概念。 底层基于Kubernetes，实现了Serverless架构与微服务架构的完美结合。 支持Spring Cloud多种微服务框架、多种部署方式（ZIP包、镜像）和多种技术栈语言（Java、PHP、Python等）。 产品功能 功能 说明 应用全生命周期管理 提供从创建到运行的应用全生命周期管理服务，支持分批、灰度等多种发布策略，支持按流量秒级灰度。 无侵入应用监控 提供无侵入的应用监控和告警能力，支持任意语言和任意框架。 无侵入微服务治理 支持Spring Cloud零代码改造迁移至云应用引擎。提供服务注册与发现、环境隔离、配置管理、限流降级、应用无损上下线、服务鉴权、全链路灰度等能力。 一键启停开发测试环境 中大型企业包含多套环境，测试环境如果长期保有应用实例，会导致闲置浪费高。CAE提供逻辑隔离运行环境，通过一键启停开发测试环境能力，有效节省硬件成本。

版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版（停止新购） 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 × 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 免费证书 支持申请免费证书。 × √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 防护峰值：10Gbps 防护次数：1次 防护峰值：20Gbps 防护次数：2次 防护峰值：40Gbps 防护次数：2次 防护峰值：平台级尽力防 防护次数：2 防护峰值：平台级尽力防 防护次数：不限次数 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 智能防护 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 × 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 × 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志的报表查询 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 攻击溯源 全方位呈现威胁攻击状况，助力用户精准锁定攻击IP源头。 × × √ √ √ 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 × 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 × 付费支持 付费支持 付费支持 付费支持

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

本节介绍如何添加域名监控。 域名监控可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 说明 每个用户免费拥有1个域名监控配额，您可以通过该配额体验域名监控服务。 若需要持续监控多个域名，您可以购买更多配额，具体操作请参见购买域名监控服务。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名列表上方，单击“添加域名”。 4. 在右侧弹出的“添加域名”窗口中根据提示配置参数。 参数说明如下： 参数 说明 当前可监控 显示当前剩余监控域名数量。如果配额不足，单击“前往扩容”可进行购买。 域名/IP 填写需要被监控的域名或IP地址。单次只能输入一个域名或IP。 注意 添加域名后，域名或IP地址不支持修改，请确保配置的域名或IP地址正确且有效。 端口 端口号，默认为443。 开启监控 添加域名时，监控开关默认开启。开启监控后，将对域名所使用证书的状态和有效期进行持续监控。 5. 配置完成后，单击“确定”。 添加完成后，将立即对域名进行扫描，“状态”为“扫描中”。添加域名后有效期为365天，“监控剩余天数”从添加域名成功后开始计时。

本节主要介绍删除副本集实例节点 您可以删除不再使用的节点来释放资源。 说明 目前此功能仅支持白名单用户使用，需要提交工单申请才能使用。 使用须知 删除操作无法恢复，请谨慎操作。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》的内容。 存在异常节点的实例不能执行删除节点操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在服务列表中选择“数据库 > 文档数据库服务DDS”。 登录文档数据库服务DDS控制台 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称。 步骤 4 在“基本信息 > 节点信息”区域，单击“变更备节点”。 节点信息 步骤 5 选择节点数，单击“下一步”。 选择节点数 说明 删除节点即选择节点数时，数量少于当前节点数。例如当前实例节点数是5，删除节点时选择“三节点”。 步骤 6 单击“提交”。 步骤 7 若您已开启操作保护，在“删除节点”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

函数计算服务对用户数据的保护采取了严格的安全措施，确保用户代码的存储和执行环境都是安全且隔离的。函数计算服务不会访问或查看用户的数据和代码，同时实施严格的权限控制机制，确保每个账号只能访问其拥有权限的资源，没有权限读取或获取其他账号的数据，包括代码。

本文主要介绍 iptables与IPVS如何选择。 kubeproxy是Kubernetes集群的关键组件，负责Service和其后端容器Pod之间进行负载均衡转发。 CCE当前支持iptables和IPVS两种转发模式，各有优缺点。 IPVS: 吞吐更高，速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。 iptables: 社区传统的kubeproxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。 约束与限制 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 iptables iptables 是一个 Linux 内核功能，提供了大量的数据包处理和过滤方面的能力。它可以在核心数据包处理管线上用 Hook 挂接一系列的规则。iptables 模式中 kubeproxy 在 NAT prerouting Hook 中实现它的 NAT 和负载均衡功能。 kubeproxy 的用法是一种 O(n) 算法，其中的 n 随集群规模同步增长，这里的集群规模，更明确的说就是服务和后端 Pod 的数量。 IPVS IPVS(IP Virtual Server)是在Netfilter上层构建的，并作为Linux内核的一部分，实现传输层负载均衡。IPVS可以将基于TCP和UDP服务的请求定向到真实服务器，并使真实服务器的服务在单个IP地址上显示为虚拟服务。 IPVS 模式下，kubeproxy 使用 IPVS 负载均衡代替了 iptables。这种模式同样有效，IPVS 的设计就是用来为大量服务进行负载均衡的，它有一套优化过的 API，使用优化的查找算法，而不是简单的从列表中查找规则。 kubeproxy 在 IPVS 模式下，其连接过程的复杂度为 O(1)。换句话说，多数情况下，他的连接处理效率是和集群规模无关的。 IPVS 包含了多种不同的负载均衡算法，例如轮询、最短期望延迟、最少连接以及各种哈希方法等。而 iptables 就只有一种随机平等的选择算法。 IPVS相较于iptables的优势大致如下： 1. 为大型集群提供了更好的可扩展性和性能 2. 支持比iptables更好的负载均衡算法 3. 支持服务器健康检查和连接重试等功能

本章节主要介绍翼MapReduce服务查看及导出审计日志。 操作场景 该任务指导用户在MRS Manager查看、导出审计日志工作，用于安全事件中事后追溯、定位问题原因及划分事故责任。 系统记录的日志信息包含： 用户活动信息，如用户登录与注销，系统用户信息变更，系统用户组信息变更等。 用户操作指令信息，如集群的启动、停止，软件升级等。 操作步骤 查看审计日志 1. 在MRS Manager，单击“审计管理”，可直接查看默认的审计日志。 若审计日志的审计内容长度大于256字符，请单击审计日志展开按钮展开审计详情。 默认以“产生时间”列按降序排列，单击 操作类型 、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。 导出的审计日志文件，包含以下信息列： “编号”：表示MRS Manager已生成的审计日志数量，每增加一条审计日志则编号自动加1。 “操作类型”：表示用户操作的操作类型，分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景，其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型，例如“告警”中包含“导出告警”，“集群”中包含“启动集群”，“多租户”包含“增加租户”等。 “安全级别”：表示每条审计日志的安全级别，包含“高危”、“危险”、“一般”和“提示”四种。 “开始时间”：表示用户操作开始的时间，且时间为CET或CEST时间。 “结束时间”：表示用户操作结束的时间，且时间为CET或CEST时间。 “用户IP”：表示用户操作时所使用的IP地址。 “用户”：表示执行操作的用户名。 “主机”：表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。 “服务”：表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。 “实例”：表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。 “操作结果”：表示用户操作的结果，包含“成功”、“失败”和“未知”。 “内容”：表示用户操作的具体执行信息。 2. 单击“高级搜索”，在审计日志搜索区域中，设置查询条件，单击“搜索”，查看指定类型的审计日志。单击“重置”清除输入的搜索条件。 说明 “开始时间”和“结束时间”表示时间范围的开始时间和结束时间，可以搜索此时间段内产生的告警。

场景 说明 同一地域云资源的跨VPC通信 VPC终端节点可实现同一地域云资源的跨VPC通信。通过购买终端节点服务和相应的终端节点，即可实现云服务的跨VPC访问，具体包括： 配置同帐号跨VPC通信的终端节点。 配置不同帐号跨VPC通信的终端节点。 线下数据中心访问云上资源 VPC终端节点可实现本地数据中心与云上资源之间的安全高效通信，包括配置访问ZOS服务内网地址的终端节点。

介绍云电竞服务的产品优势。 灵活，摆脱设备限制 专用瘦终端、家用Windows电脑等设备均可接入，摆脱设备限制。 高效，超高算力配置 专线网络条件下，边缘与终端的网络延迟低至 1ms，最高帧率可达 240 FPS，最高分辨率可达 4K。 丰富，资源自动更新 适配多种游戏场景，对游戏针对性优化，满配运行海量游戏；搭配无盘服务，节省存储资源占用，游戏资源自动更新。 专业，一站式售后保障 提供“家门口”的精细化客户服务，724h技术支持，一对一专业对接。

参数 是否必选 说明 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。 服务 是 选择需要开机/关机的服务： ECS CDM 开关机设置 是 选择开关机类型： 开 关 开关机对象 是 选择需要开机/关机的具体对象，例如开启某个CDM集群。

概述 本章节主要介绍创建和更新AIO沙箱模板以及AIO沙箱实例调试。AIO （AllInOne）沙箱为多功能智能体提供的综合任务执行环境，融合浏览器沙箱与代码沙箱2种类型的沙箱能力，具备网页自动化、复杂计算、文件处理、交互式终端操作等一站式服务能力。 创建AIO沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写AIO沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 AIO沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 对于沙箱模板的描述。 镜像来源 是 镜像来源有2种，默认镜像和自定义镜像。默认镜像为智能体引擎服务提供的内置镜像；自定义镜像需要您依次选择容器镜像实例 、容器镜像仓库 和容器镜像版本。 浏览器类型 是 目前只支持Chromium类型。 窗口分辨率 是 浏览器沙箱中VNC窗口分辨率，目前只支持12801024规格。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录：设置沙箱运行环境中的本地目录。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。

本节介绍如何为物理机安装备份客户端。 操作场景 云备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端，可在控制台进行客户端安装操作。 约束与限制 操作系统限制：物理机支持CentOS7.0/7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9、Ubuntu16.04/18.04/20.04、KylinOS V10 SP1/SP2、CTyunOS2.0操作系统，目前仅支持X86的64位系统。 物理机文件备份时，物理机必须处于开机状态。 操作步骤 弹性裸金属 1.登录控制中心。 2.在控制中心左上角点击，选择地域，此处选择华东华东1。 3.选择“存储>云备份”，进入云备份控制台。单击左侧“物理机文件备份”按钮，进入物理机文件备份控制台。 4.点击要备份的弹性裸金属所在行的“操作更多接入VPC”，进入创建VPCE窗口 ，确认该弹性裸金属的网络信息，点击”确定“后 ，自动为该弹性裸金属的VPC创建终端节点以访问云备份服务。 5.同时还需要为要备份的弹性裸金属的VPC接入对象存储服务，请参考VPCE接入对象存储。 6.确认以上4、5步骤都完成后，点击要备份的弹性裸金属所在行的“操作安装客户端”，在安装客户端窗口选择一个已有的对象存储VPCE。 7.若以上操作都已完成且弹性裸金属的子网已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令。 a.登录弹性裸金属并切换为root账号。 b.在弹性裸金属界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 c.等待安装界面显示“Successful”，代表客户端安装完成。 d.若以上自动命令执行失败，也可进行手动下载客户端安装包至弹性裸金属内进行激活。 e.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 f.安装完成后，在云备份控制台物理机资源页面，客户端状态为“已激活”。 标准裸金属 1.登录控制中心。 2.在控制中心左上角点击，选择地域，此处选择华东华东1。 3.选择“存储>云备份”，进入云备份控制台。单击左侧“物理机文件备份”按钮，进入物理机文件备份控制台。 4.点击要备份的标准裸金属所在行的“操作更多接入VPC”，进入创建VPCE窗口 ，选择一个该标准裸金属的普通子网，点击”确定“后 ，自动为该标准裸金属的VPC创建终端节点以访问云备份服务。 5.同时还需要为要备份的标准裸金属的VPC接入对象存储服务，请参考VPCE接入对象存储。 6.确认以上4、5步骤都完成后，点击要备份的标准裸金属所在行的“操作安装客户端”，在安装客户端窗口选择一个标准裸金属的普通子网（即在”接入VPC“步骤已创建了VPCE的子网）以及一个已有的对象存储VPCE。 7.若以上操作都已完成且标准裸金属的普通子网已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令 a.登录标准裸金属并切换为root账号。 b.在标准裸金属界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 c.等待安装界面显示“Successful”，代表客户端安装完成。 d.若以上自动命令执行失败，也可进行手动下载客户端安装包至标准裸金属内进行激活。 e.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 f.安装完成后，在云备份控制台物理机资源页面，客户端状态为“已激活”。

本节介绍如何查看AntiDDoS云审计日志。 开启了云审计服务后，系统开始记录AntiDDoS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 选择区域。 3. 选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 在下拉框中选择“云服务”，输入“AntiDDoS”，按“Enter”。 6. 在查询结果中单击事件名称，查看事件详情。 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件： 事件名称、资源名称、资源ID、事件ID：需要输入某个具体的名称或ID。 资源名称：当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 资源ID：当该资源类型无资源ID或资源创建失败时，该字段为空。 云服务、资源类型：在下拉框中选择对应的云服务名称或资源类型。 操作用户：在下拉框中选择一个或多个具体的操作用户。 事件级别：可选项为“normal”、“warning”、“incident”，只可选择其中一项。 normal：表示操作成功。 warning：表示操作失败。 incident：表示比操作失败更严重的情况，如引起其他故障等。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近1周内任意时间段的操作事件。

本文介绍弹性文件服务容量调整的具体操作。 操作场景 当用户认为文件系统的容量不足时，可以通过执行扩容操作来增加文件系统的容量。 注意 目前文件系统仅支持扩容操作，暂不支持缩容，可购置小容量新文件系统后进行文件迁移。 单用户单地域的弹性文件服务初始容量配额50TB，该账号下开通的所有文件系统共享该配额，因此扩容规则为：扩容后的文件系统的总容量 弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在待扩容的文件系统操作栏，点击“更多>扩容”。 4. 在弹出的“扩容”对话框中，按实际需要进行容量规格选择。 5. 完成容量设置后，包年/包月模式下点击“确认”进行支付；按量付费模式下在弹出界面点击“确定”完成扩容。 6. 等待扩容完成，可在文件系统详情页看到扩容后的容量。

9. 在虚拟机上启动Istio 使用 istioproxy 用户启动 istio 代理 sudo u istioproxy systemctl start istio 10. 验证虚拟机上 Istio 是否启动成功 1. 检查 /var/log/istio/istio.log 中的日志，应该能看到类似如下内容： 2. 创建命名空间，部署基于Pod的服务 kubectl create namespace sample kubectl label namespace sample istioinjectionenabled 3. 创建Helloworld服务 kubectl apply f samples/helloworld/helloworld.yaml 4. 从虚拟机像服务发送请求： plaintext [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v2, instance: helloworldv25df48bd4dcnclfx [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v2, instance: helloworldv25df48bd4dcnclfx [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v1, instance: helloworldv1bcd77f79xcs5n

本节介绍如何进入Web应用防火墙v2.0版本控制台，及如何使用Web应用防火墙v2.0。 Web应用防火墙v2.0 版本由Web应用防火墙（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v2.0”，跳转到Web应用防火墙（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”，进入Web应用防火墙（原生版）控制台。 使用Web应用防火墙v2.0 请参见Web应用防火墙（原生版）。

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

记录类 型 记录 类型介绍 记录 值 格式 适用场景 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 例:192.168.10.10。 主机记录，也可用作低成本负载均衡方案。 CNAME记录 指定域名的别名，用于将域名解析到另一域名，或者多个域名映射到同一域名上。 填写您要指向的别名，只能写一个域名。 例:www.example.com。 别名记录，可用于隐藏主域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 填写邮箱服务器地址，最多可以输入8个不重复地址，每行一个。格式: [优先级] [邮箱服务器域名地址] 例:10 mailserver.example.com。 邮件交换记录，邮件服务器使用。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 填写IPv6地址，最多可以输入8个不重复地址，每行一个。 例:ff03:0db8:85a3:0:0:8a2e:0370:7334。 IPv6主机记录，场景等同于A。 TXT记录 用于对域名进行标识和说明，可填写任意的信息。 填写文本记录值,每行一个。(单个文本记录值支持多个字符串，每个字符串最长不超过255字符，以空格分开，不支持反斜杠字符””)，最多输入8行记录。 例:"Text wrapped in quotation marks"。 记录DKIM的公钥，用于反电子邮件欺诈。用于记录域名所有者身份信息，用于域名找回。 SRV记录 记录了具体某台计算机对外提供哪些服务，供用户查询使用。SRV中除了记录服务器的地址，还记录了服务的端口，并且可以设置每个服务地址的优先级和权重。 填写指定服务的服务器地址，最多可以输入8个不重复地址，每行一个。格式：[优先级] [权重] [端口号] [目标地址] 例：3 0 2176 xmppserver.example.com。 一般用于Microsoft系统目录管理。 PTR记录 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云主机。 反向解析返回的域名值，只能写1个域名。 例:www.example.com。 用于反向地址解析。

本文介绍当边缘接入服务套餐内使用量不足时,如何加购。 购买边缘接入套餐后，流量/带宽超出套餐内流量/带宽后，自动按需付费。 若已购买的域名、端口、DDoS防护不够，也可以按需购买扩展服务，但需另外付费，详情参见：边缘接入套餐超出资费。

版本 功能特性 1.10.14.4 基于开源Eureka版本1.10.14扩展，除了支持基本的Eureka注册中心功能之外，还提供引擎监控、服务上下线、服务数据轨迹功能。 说明：MSE注册配置中心Eureka引擎相比开源版本在一定程度上增强了可用性，使用注册配置中心Eureka可以更好地支撑生产业务

为了极致的使用体验,本文为您介绍可以访问公网的产品。 公有云提供弹性公网IP（EIP）、NAT网关、弹性负载均衡（ELB）等方式连接公网。 EIP EIP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。 ELB ELB将访问流量自动分发到多台弹性云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。为负载均衡器配置需要监听的端口信息以及弹性云服务器，通过监听器来检查后端弹性云服务器的运行状态，确保将请求发送到正常的弹性云服务器上，提高系统可用性。 NAT网关 NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报库功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 注意：目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持IP情报库相关功能。 背景信息 目前天翼云边缘安全加速平台安全团队通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则。 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高、中、低 严重级别：恶意IP的严重级别，有严重、高、中、低 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本章节介绍了云主机备份产品的相关计费说明,包含产品规格和价格,以及对应的使用说明。 说明 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云主机备份（CSBS），新用户请前往 资源节点 当前已在如下资源池节点支持，具体包括： 贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 详情参考：天翼云产品服务资源看板 产品价格 适用于贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 订购须知： 只有开通了云主机备份服务后，才能使用资源包；开通云主机备份服务需满足账号余额大于100; 购买的资源包在生效期内，扣费方式是先扣除已购买的资源包内的额度后，超出部分以按量付费方式进行结算。 资源包请按节点购买，同一节点下同一类型的多个资源包可以累加后进行费用抵扣； 备份功能费按照备份云主机的系统盘、数据盘空间总和进行收取，可根据本节点下所有待备份云主机的磁盘空间进行资源包大小评估；存储资源费用根据备份数据实际占用的存储空间收费。 说明 上海 4/ 苏州（ AZ1 ） / 苏州（ AZ2 ） / 苏州（ AZ3 ） / 杭州（ AZ1 ） / 杭州（ AZ2 ） / 芜湖 / 福州（ AZ1 ） / 福州（ AZ2 ） / 深圳 / 广州 4/ 长沙 2 （ AZ1 ） / 长沙 2 （ AZ2 ） / 武汉 2 （ AZ1 ） / 武汉 2 （ AZ2 ） / 西安 2 （ AZ1 ） / 西安 2 （ AZ2 ） / 西安 2 （ AZ3 ） / 贵州 / 成都 3/ 北京 2/华北， 功能升级完成。备份策略的执行不再校验账号的按需权限（账户余额大于100元），备份策略会正常执行，以最大限度保障您的数据安全性，确保业务安全。

本章介绍天翼云关系型数据库的一些通用常见问题及解决办法。 使用RDS要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及关系型数据库服务使用的弹性云服务器（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对关系型数据库服务的后台管理系统可见。 3. 查看实例列表时请确保与购买实例选择的区域一致。 4. 申请关系型数据库实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 1. 关系型数据库实例的CPU、IOPS、空间是否足够，如果不够需要变更规格或者扩容。 2. 关系型数据库实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 什么是RDS实例可用性 关系型数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 关系型数据库支持跨AZ高可用吗 RDS支持跨AZ高可用。当用户创建实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。

服务器迁移主要应用于物理机/虚拟机服务器上云迁移的场景,本节为您介绍服务器迁移的应用场景。 业务快速拓展 场景说明 业务系统需要具备快速拓展的能力，但传统的云下设备拓展能力有限，因此存在上云的需求。在迁移过程中，需要保证业务正常运行，并在上云后获得优于云下体验，同时还要支持快速的业务拓展。 场景痛点 在访问量突增的情况下，硬件负载均衡无法有效支撑业务需求； 中间件或数据库的压力过大，导致本地服务器无法承载业务； 物理机资源使用情况达到上限，无法快速扩容满足业务增长的需求。 场景架构 产品优势 选用云上资源，能够满足大部分客户需求。通过服务器迁移服务，可以快速将系统、应用、中间件、数据库等关键业务系统上云，并利用云化的高并发、可拓展性、高可用性等优势，使本地化的应用系统在上云后具备更高的活力和弹性。 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 弹性云主机CTECS：用于承载迁移后的应用和业务系统。 弹性IP EIP：为迁移后的服务器提供静态公网IP，保证访问能力。 本地IDC陆续退网、业务持续上云

应用接入点是KMS提供的一种身份认证和访问控制机制,当应用需要使用密钥进行加解密时,可通过应用接入点对应用进行身份认证和行为管控。 说明 应用接入点权限作用于KMS服务SDK中的接口调用，即当您的应用通过集成KMSSDK访问KMS服 务接口，服务将依旧应用接入点的权限策略进行身份认证和行为鉴权。 权限管理 应用接入点可配置对应的权限，包括可使用的密钥、证书等资源范围以及接口级操作权限。 允许访问的资源：应用允许访问的密钥、证书。 操作权限：应用允许使用的功能点。 权限配置 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏选择服务所在的区域。 3. 进入“应用接入点”页面，在页面上方切换至目标KMS服务实例。 4. 找到目标应用接入点，点击配置权限。 5. 在权限策略配置页签，配置对应的权限。 配置 说明 权限规则开关 应用接入点创建成功后，权限规则开关默认关闭，即允许访问当前账 权限规则开关 号下的所有资源及操作。若您需要为应用接入点配置特定权限，请开启开关并配置。 允许访问的资源 可选： 密钥 证书 请勾选应用通过应用接入点需要访问的密钥或证书资源。 效果 默认为允许，即您当前的规则为允许当前应用访问的资源及接口。 操作 选择允许应用访问的功能点。 6. 配置完成后，点击确认，页面提示“权限配置成功”表示权限控制已经生效。

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

本章节主要介绍MySQL数据迁移到MRS Hive分区表。 MapReduce服务（MapReduce Service，简称MRS）提供企业级大数据集群云服务，里面包含HDFS、Hive、Spark等组件，适用于企业海量数据分析。 其中Hive提供类SQL查询语言，帮助用户对大规模的数据进行提取、转换和加载，即通常所称的ETL（Extraction，Transformation，and Loading）操作。对庞大的数据集查询需要耗费大量的时间去处理，在许多场景下，可以通过建立Hive分区方法减少每一次扫描的总数据量，这种做法可以显著地改善性能。 Hive的分区使用HDFS的子目录功能实现，每一个子目录包含了分区对应的列名和每一列的值。当分区很多时，会有很多HDFS子目录，如果不依赖工具，将外部数据加载到Hive表各分区不是一件容易的事情。云数据迁移服务（CDM）可以请轻松将外部数据源（关系数据库、对象存储服务、文件系统服务等）加载到Hive分区表。 下面使用CDM将MySQL数据导入到MRS Hive分区表为例进行介绍。 操作场景 假设MySQL上有一张表tripdata，保存了自行车骑行记录，里面有起始时间、结束时间，起始站点、结束站点、骑手ID等信息，tripdata表字段定义如下图“MySQL表字段”所示。 使用CDM将MySQL中的表tripdata导入到MRS Hive分区表，流程如下： 1.在MRS Hive上创建Hive分区表 2.创建CDM集群并绑定EIP 3.创建MySQL连接 4.创建Hive连接 5.创建迁移作业

本页介绍天翼云TeleDB数据库操作系统资源限制类问题。 进程打开文件数达到上限问题 问题描述 节点运行报错too many open file。 可能影响 应用连接数据库报错； 执行SQL报错。 解决步骤 1. 检查数据库用户的操作系统参数是否符合预期 > 执行以下命令，返回值不应少于131072。 > ulimit n > 如果少于，则需要检查/etc/security/limits.conf中以下配置项是否符合预期 > soft nofile 131072 > hard nofile 131072 > 不符合则需要修改。 2. 检查/etc/security/limits.d/下是否有后缀为.conf的文件，其中是否有上述内容，如果有且不符合预期，则同样需要修改； 3. 重新登录数据库用户，再次执行ulimit n验证返回结果是否符合预期，如不符合，重新检查上述步骤； 4. 检查Agent服务进程和实例节点主进程的limits环境参数是否符合预期 > 如： > cat /proc/22319/limitsgrep open > Max open files 131072 131072 files > 其中22319为进程ID 5. 如果第1/3步检查结果已符合预期，但第4步结果不符，则需要重启Agent服务和实例节点。 用户启动进程数达到上限问题 问题描述 节点运行报错unable to create new native thread。 可能影响 应用连接数据库报错； 执行SQL报错。 解决步骤 1. 检查数据库用户的操作系统参数是否符合预期。 > 执行以下命令，返回值不应少于131072。 > ulimit u > 如果少于，则需要检查/etc/security/limits.conf中以下配置项是否符合预期。 > soft nproc 131072 > hard nproc 131072 > 不符合则需要修改。 2. 检查/etc/security/limits.d/下是否有后缀为.conf的文件，其中是否有上述内容，如果有且不符合预期，则同样需要修改； 3. 重新登录数据库用户，再次执行ulimit u验证返回结果是否符合预期，如不符合，重新检查上述步骤； 4. 检查Agent服务进程和实例节点主进程的limits环境参数是否符合预期。 > 如： cat /proc/22319/limitsgrep processes Max processes 131072 131072 processes > 其中22319为进程ID 5. 如果第1/3步检查结果已符合预期，但第4步结果不符，则需要重启Agent服务和实例节点。 信号量不足问题

本章节内容主要介绍相关术语解释 VPC网络 基于虚拟私有云（Virtual Private Cloud，简称VPC）网络的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个虚拟网络内或者跨可通信虚拟网络内，不需要您额外搭建其他网络服务。 VPN网络 基于虚拟专用网络（Virtual Private Network，简称VPN）的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个可通信的虚拟网络内，并且通过VPN在用户的其他数据中心和云平台之间建立的一条符合行业标准的安全加密通信隧道，可将已有数据中心无缝扩展到云上。 目前天翼云VPN只支持IPSec VPN。 专线网络 专线网络是通过云专线服务将用户侧的数据中心连接至云计算平台Region的虚拟私有云专线连接。您可以利用专线网络建立云与数据中心的专线连接，享受高性能、低延迟、安全专用的数据网络。 迁移实例 迁移实例是帮助实现数据迁移的辅助型资源，存在于迁移任务的整个生命周期。数据库复制服务可以通过迁移实例连接源数据库，读取源数据，然后将数据库复制到目标数据库中。 迁移日志 迁移日志是指数据库迁移过程中，数据库复制服务为您提供的包含警告、错误和提示等类型的信息。 同步实例 同步实例是帮助实现实时同步的辅助型资源，存在于同步任务的整个生命周期。数据库复制服务可以通过同步实例连接源数据库，读取源数据，然后将实时同步到目标数据库中。

本节介绍配置HPFS。 背景信息 并行文件服务 HPFS是天翼云提供的高性能并行文件存储，具有高性能、高可靠性、高扩展性的特点。提供POSIX文件接口，可满足影视渲染、气象分析、石油勘探、EDA仿真、基因分析、AI训练、自动驾驶等数据密集型场景。 前提条件 已创建智算集群，且集群所在资源池支持HPFS服务，并已安装存储插件cstorcsi； 客户端服务器有IB卡，客户端网络环境能够连通服务端存储地址，设置开机启动lnet网络； 客户端服务器安装HPFSPOSIX客户端； 当前提供性能型存储类型，按量付费的计费模式； 容量限制：最小512Gi，最大1024Ti，每次扩容，必须是512Gi的整数倍。 使用HPFS存储服务 步骤1：创建HPFS类型存储类 1. 进入集群列表，进入指定集群； 2. 导航栏选择 “存储” > “存储类”，点击创建； 3. 配置存储类名称，存储类型选择“通用”，配置存储驱动“hpfs.csi.cstor.com”、回收策略、绑定策略、支持扩展； 4. 添加参数：type: hpfsperf； 5. 点击确定，创建存储类； 示例YAML： plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: cstorcsihpfsperfsc provisioner: hpfs.csi.cstor.com parameters: HPFS的产品类型，性能型 type: hpfsperf 挂载协议，不填默认为hpfs protocol: hpfs reclaimPolicy: Delete allowVolumeExpansion: true