使用云应用引擎部署应用，您可以使用健康检查功能查看应用与业务运行是否正常，以便运行异常时定位问题。本文介绍如何在云应用引擎控制台配置健康检查。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 健康检查配置指引 根据需求启用应用实例存活检查（Liveness配置）、启用应用业务就绪检查（Readiness配置）或启用应用启动探测（StartupProbe配置）。三者需要配置的参数项相同，参数解释如下 Liveness探针配置 配置项 说明 路径 访问HTTP Server的路径。 端口 访问HTTP Server的端口。 高级设置 展开高级设置后，选择判断返回的字符串中是否包含设置的关键字。 协议 选择HTTP 或HTTPS。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Readiness探针配置 配置项 说明 TCP端口 设置TCP检查访问的端口。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Startup探针配置 配置项 说明 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 执行命令 设置应用实例或者进程内部执行的健康检查命令。如果该命令返回码为0，则表示应用健康。 健康检查相关命令，请参见Kubernetes官网Configure Probe

本页介绍了关系数据库MySQL版支持的存储引擎和版本。 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。 如使用非innodb引擎，比如memory引擎、myisam引擎，可能会导致数据丢失、高可用异常等风险。强烈建议用户均采用innodb引擎，产品侧后续也会限制非innodb引擎表的创建。 对于新上线应用，建议您使用最新版本的存储引擎，建议您选择8.0。用户创建实例时，只能选择大版本，不可选择小版本，创建时将自动选择最新的小版本。数据库存储引擎和版本请以实际环境为准。 表1 数据库存储引擎和版本 数据库存储引擎 单机实例 主备实例 一主两备实例 只读实例 ::::: InnoDB引擎 8.0、5.7 8.0、5.7 8.0、5.7 8.0、5.7

响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 请求成功(200)或失败(非200) 200 error String 错误码，三段式 ECI.Openapi.StatusReasonInternalError message String 错误信息描述 Internal error occurred returnObj Object 返回信息 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 requestId String 请求ID a4f0f36e7e754045a73aa2507b26 nextToken String 下一个查询开始的Token 1719493729.2.9 totalCount Integer 查询到的ECI实例数量 2 containerGroups Array of Objects ECI容器组信息 containerGroup 表 containerGroup 参数 参数类型 说明 示例 下级对象 cpu Float ECI容器实例CPU大小 1 memory Float ECI容器实例Memory大小 2 gpu Float ECI容器实例GPU卡数 1 vpcId String ECI容器实例所在VpcId vpcctt6yag121 vSwitchId String ECI容器实例所在的子网ID subnety9n723knrg securityGroupId String ECI容器实例所在的安全组ID sg5bvqyvrmch containers Array of Objects 容器信息 container restartPolicy String ECI容器组的重启策略。 Always/OnFailure/Never tags Array of Objects ECI实例的标签 tag containerGroupId String ECI容器实例的ID ecid4nr3seelxi2zo8u status String ECI容器实例的状态 Running intranetIp String ECI容器实例的IP 192.168.0.16 internetIp String ECI容器实例的公网IP 100.126.12.206 ipv6Address String ECI容器实例的IPV6 fc00:100:4009:9602:1b53:2487:7899:e81a creationTime String ECI容器实例的创建时间 20240108T15:00:00Z succeededTime String ECI容器实例的创建时间 20240108T15:00:00Z failedTime String ECI容器实例的执行失败的时间 20240108T15:00:00Z vmId String ECI容器实例所在的虚机ID 37d213df7cebb3c01cd18ea7eb594b5e tenantEniInstanceId String ECI容器实例的网卡ID portfusq04f7d8 containerGroupName String ECI容器实例的名字 ecivh8az8 表 tag 参数 参数类型 说明 示例 下级对象 key String Tag标识的Key tagKey value String Tag标识的Value tagValue 表 container 参数 参数类型 说明 示例 下级对象 name String 容器名 test image String 容器镜像 nginx:latest imagePullPolicy String 容器镜像拉取策略 Always cpu Float 容器CPU大小 1 memory Float 容器Memory大小 2 gpu Float 容器GPU卡数 1 command Array of Strings 容器启动命令 /bin/sh args Array of Strings 容器启动参数 []string{"c","/app"} ports Array of Objects 容器端口 port environmentVar Array of Objects 容器环境变量 environmentVar livenessProbe Object 容器存活探针 livenessProbe readinessProbe Object 容器就绪探针 readinessProbe lifecycle Array of Objects 生命周期 lifecycle previousState Array of Objects 之前状态 state currentState Array of Objects 当前状态 state 表 port 参数 参数类型 说明 示例 下级对象 name String 容器端口名 xxx port Integer 容器端口号 80 protocol String 容器端口协议 TCP/UDP 表 environmentVar 参数 参数类型 说明 示例 下级对象 key String 容器环境变量名 product value String 容器环境变量值 eci 表 livenessProbe 参数 参数类型 说明 示例 下级对象 exec Object 命令行 exec httpGet Object Http请求 httpGet tcpSocket Object TCPSocket tcpSocket initialDelaySeconds Integer 执行第一次探活判断操作需要等待的时间 1 timeoutSeconds Integer 执行一次探活判断操作的超时时间 1 periodSeconds Integer 执行一次探活判断操作的间隔时间 1 successThreshold Integer 探活判断多少次判定容器存活正常 1 failureThreshold Integer 探活判断多少次判定容器未存活异常 1 表 readinessProbe 参数 参数类型 说明 示例 下级对象 exec Object 命令行 exec httpGet Object Http请求 httpGet tcpSocket Object TCPSocket tcpSocket initialDelaySeconds Integer 执行第一次就绪判断操作需要等待的时间 1 timeoutSeconds Integer 执行一次就绪判断操作的超时时间 1 periodSeconds Integer 执行一次就绪判断操作的间隔时间 1 successThreshold Integer 就绪判断多少次判定容器存活正常 1 failureThreshold Integer 就绪判断多少次判定容器未存活异常 1 表 exec 参数 参数类型 说明 示例 下级对象 command Array of Strings 命令 []string{"/bin/sh", "c", "/exec"} 表 httpGet 参数 参数类型 说明 示例 下级对象 scheme String 协议 HTTPS/HTTP port Integer 端口 80 path String URL路径 /healthz 表 tcpSocket 参数 参数类型 说明 示例 下级对象 port Integer 端口 80 表 lifecycle 参数 参数类型 说明 示例 下级对象 lifecyclePostStartHandlerExec Array of Strings 容器启动后执行的命令，如果执行失败会重启容器 []string{"curl", "localhost:80"} lifecyclePreStopHandlerExec Array of Strings 容器停止前执行的命令，如果执行失败会重启容器 []string{"curl", "localhost:80"} 表 state 参数 参数类型 说明 示例 下级对象 startTime String 容器运行开始时间 20240108T15:00:00Z finishTime String 容器运行结束时间 20240108T15:00:00Z state String 容器状态，Waiting: 等待启动中; Running: 运行中; Terminated: 运行失败 Running message String 容器状态信息 Backoff 5m0s restarting failed signal Integer 容器状态信号 1 exitCode Integer 容器运行退出码 1 reason String 原因 Completed

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

关闭安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，关闭安全认证开关。 步骤 4 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，关闭安全认证成功。 关闭安全认证后，开启安全认证后该引擎下创建的帐号不会被删除。

本文介绍如何暂停容器。 注意事项 运行状态已停止的容器和历史容器不支持暂停操作。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“暂停”按钮，可以暂停存在异常的容器。 相关操作 恢复容器为“运行中”状态：暂停后的容器支持在操作列中单击“恢复”按钮，恢复容器运行状态。

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 容器名 test image 是 String 容器镜像 nginx:latest imagePullPolicy 否 String 容器镜像拉取策略 Always cpu 否 Float 容器CPU大小 1 memory 否 Float 容器Memory大小 2 gpu 否 Float 容器GPU卡数 1 command 否 Array of Strings 容器启动命令 ["/bin/sh"] args 否 Array of Strings 容器启动参数 ["c","/app"] ports 否 Array of Objects 容器端口 port environmentVar 否 Array of Objects 容器环境变量 environmentVar workingDir 否 String 容器工作目录 /app volumeMount 否 Array of Objects 容器内卷挂载信息 volumeMount 表 port

本节主要介绍产品规格差异 微服务引擎服务数限制说明 微服务引擎专业版：专业版引擎Cloud Service Engine是ServiceStage提供的免费体验引擎。专业版引擎可以体验ServiceStage的所有产品能力，比如服务治理、配置管理等。引擎资源为所有租户共享，性能可能会受其他租户影响；专业版引擎不支持升级到专享版。 微服务引擎专享版：专享版引擎，是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，不支持规格变更；专享版引擎资源独享，性能不受其他租户影响。 微服务引擎支持最大服务数说明如下。 表 微服务引擎最大服务限制说明 引擎类型 规格（微服务实例数） :: 微服务引擎专业版 20 微服务引擎专享版 100 微服务引擎专享版 200 微服务引擎专享版 500 微服务引擎专享版 2000

本节主要介绍删除微服务引擎 如不再使用微服务引擎，可执行删除操作。 注意 删除引擎后数据无法恢复，请谨慎操作！ 背景介绍 仅专享版微服务引擎支持删除微服务引擎。 支持删除处于如下状态的微服务引擎专享版： 可用 不可用 创建失败 变更失败 升级失败 操作步骤 1、进入微服务引擎页面，单击左侧菜单栏的“引擎列表”。 2、选择待删除的微服务引擎，单击 ，选择“删除”。 也可单击待删除的微服务引擎，在详情页面的右上方，单击“删除”。 3、确认删除则输入“DELETE”，然后单击“确定”，进行删除。

本章节主要介绍翼MapReduce服务的计费方式。 计费项 购买翼MapReduce集群的费用包含两个部分： 翼MapReduce服务管理费用 IaaS基础设施资源费用（云主机、物理机、云硬盘） 计费方式 翼MapReduce当前支持包年包月与按需两种计费方式。 • 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，实际可订购时长以页面显示为准。适用于需要长期稳定运行的服务。 • 按需：是一种更灵活的计费模式，适用于需要灵活调整资源、业务不稳定或资金有限的场景。在选择计费模式时，应结合业务需求和实际情况来做出合适的选择。 注意 若选择按需模式，请确保现金账户余额不低于100元。 到期 • 包年/包月：集群到期后进入保留期，此时无法在翼MapReduce管理控制台进行该集群的操作，无法调用相关接口，自动化监控或告警等运维也会停止。如果在保留期结束时您没有续费，集群将终止服务，系统中的数据也将被永久删除。 • 按需：不涉及到期问题，无需担心服务到期。 欠费 • 包年/包月：如果您选择使用云日志服务、对象存储等按需计费产品，余额欠费后，将会导致相关功能无法继续使用，请及时续费。 • 按需：集群按小时进行扣费，当余额不足，无法对上一个小时的费用进行支付时，会导致集群欠费并暂停服务。对于欠费导致暂停的集群，您可以在7天内充值，对相关集群进行续费。续费后，被冻结的集群可继续正常使用。请注意，冻结期进行的续费，是以冻结开始时间作为生效时间，您应当支付从进入冻结期开始到续费时的服务费用。

本文为您介绍如何续订Web应用防火墙（原生版）实例。 为避免Web应用防火墙（原生版）实例到期后，防护服务自动停止，需要在实例到期前为实例手动续费，或设置到期自动续费。 到期说明 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 说明 保留期内，平台会冻结WAF服务，用户配置的各类防护策略将不再生效，云WAF只转发流量。 保留期满，用户若仍未续费，平台会清除实例资源，用户所添加域名的所有配置将会被删除，同时云WAF将不再转发业务流量，若用户未及时将DNS指回服务器源站IP，网站业务流量将无法正常转发。 续订说明 服务支持手动续订，需要在服务到期前进入控制台操作。 在购买云WAF时，支持开启“自动续订”，开启自动续订后，在服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 说明 若购买云WAF时勾选了“自动续订”，系统将会默认设置续费周期： 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期，当自动续订周期达1年或以上时，将可享受包年折扣。

本文介绍高级回源的功能介绍、配置说明及注意事项。 功能介绍 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。开启高级回源后，全站加速节点在接收到客户端请求后，读取请求中对应信息进行判断并回源到不同源站。目前天翼云全站加速支持的高级回源功能包括如下： 支持区分IPV4/IPV6回源。 支持分区域分运营商回源。 支持分不同目录回源：例如可设置某加速域名下：/abc/a目录回源站A，/def/d目录回源站B。 支持分不同文件后缀名回源：例如可设置某加速域名下：.apk文件回源站A，.mp4文件回源站B。 注意事项 上述高级回源维度可以相互组合，例如可设置如下：/abc/a目录下的.apk文件回源站A，/abc/a目录下的.mp4文件回源站B。 如客户同时在控制台配置了回源URI改写功能，且其中涉及目录或文件后缀名的改写，可能会造成分目录回源和分文件后缀名回源效果与预期不符。 高级回源功能支持在具体某个条件下设置多个源站，且支持多个源站之间设置主备、权重。 高级回源功能必须搭配源站配置功能一起使用，在某个请求未匹配至所有高级回源条件时，将按照基础回源配置回源。

本文介绍如何查看容器审计事件。 容器审计提供正常和异常的容器事件统计，包括容器进程事件、文件事件、网络事件。 前提条件 容器集群已开启审计功能。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表内的容器名称，进入容器详情页面。 4. 选择“容器审计”页签，进入审计详情页面。可查看容器的正常事件和异常事件的数量随时间变化的折线图（默认统计最近15分钟内的事件），又分类统计了容器的进程事件、文件事件、网络事件的数量，可通过选择时间或拖拽下方进度条来查看不同时间段内，容器发生的事件信息。 5. 查看事件列表：在统计图下方以列表展示了容器中发生的事件信息，单击列表中某行，可展开查看对应事件的详细信息。 容器审计事件参数说明： 参数 说明 进程名称 进程的名称。 用户 执行用户。 路径 执行命令所在路径。 进程命令行 具体执行的命令行。 事件类型 容器的事件类型，分为进程事件、文件事件和网络事件。 进程事件：指在容器中运行进程的事件； 文件事件：指容器中对文件的读操作和写操作产生的事件； 网络事件：指访问、监听等网络活动产生的事件。 安全状态 安全状态分为“正常”和“异常”这两种状态。 时间 事件发生的时间，事件列表中以时间倒序的顺序进行展示。

本文主要介绍云日志服务的计费模式概述。 天翼云云日志服务支持按需付费和资源包两种计费方式。 默认为按需计费（后付费）方式，即先使用再付费，按照实际使用的日志存储量、读写流量等计费项结算费用，在每个结算周期生成账单并从账户中扣除相应费用。同时支持资源包的计费方式。两种方式说明如下： 按需计费：在按需计费模式下，您可根据实际业务需求地调整资源使用，计费更为灵活，无需提前购买预留资源，从而降低预置过多或不足的风险。详情请见按需计费说明。 资源包：您可以预先购买日志资源包，在进行费用抵扣时，优先从资源包中抵扣用量。先购买，后抵扣。因此适用于业务用量相对稳定的场景。详情请见资源包说明。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

本文主要介绍 CCE发布Kubernetes 1.19版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.19版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.19版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.19.10 Kubernetes 1.19版本弃用部分常用的APIVersion。建议您在升级集群前对本文档中所列举的弃用APIVersion进行相应升级。 CCE集群 Docker CentOS：18.09.0.100 Ubuntu：18.09.9 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 社区1.19 ReleaseNotes 增加对vSphere intree卷迁移至vSphere CSI驱动的支持。intree vSphere Volume插件将不再使用，并在将来的版本中删除。 apiextensions.k8s.io/v1beta1已弃用，推荐使用apiextensions.k8s.io/v1。 apiregistration.k8s.io/v1beta1已弃用，推荐使用apiregistration.k8s.io/v1。 authentication.k8s.io/v1beta1、authorization.k8s.io/v1beta1已弃用，1.22将移除，推荐使用authentication.k8s.io/v1、authorization.k8s.io/v1。 autoscaling/v2beta1已弃用，推荐使用autoscaling/v2beta2。 coordination.k8s.io/v1beta1在1.19中已弃用，1.22将移除，推荐使用v1。 Kubeapiserver: componentstatus API已弃用。 Kubeadm：kubeadm config view命令已被弃用，并将在未来版本中删除，请使用kubectl get cm o yaml n kubesystem kubeadmconfig来直接获取kubeadm配置。 Kubeadm：弃用kubeadm alpha kubelet config enabledynamic命令。 Kubeadm：kubeadm alpha certs renew命令useapi参数已弃用。 Kubernetes不再支持构建hyperkube镜像。 Remove export flag from kubectl get command kubectl get中移除 export参数。 alpha特性“ResourceLimitsPriorityFunction”已完全删除。 storage.k8s.io/v1beta1已弃用，推荐使用storage.k8s.io/v1。

参数 描述 参数模板 数据库参数就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。实例创建成功后，参数模板可进行修改。 须知 创建数据库实例时，为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发，而是采用系统默认的推荐值。 “innodbbufferpoolsize” “innodblogbuffersize” “maxconnections” “innodbbufferpoolinstances” “innodbpagecleaners” “innodbparallelreadthreads” “innodbreadiothreads” “innodbwriteiothreads” “threadpoolsize” 参数“innodbparallelselectcount”变更为规格参数，创建实例时参数取值由规格决定，不受参数模板中的参数值控制。16U及以下规格，该参数值默认为“OFF”，16U以上规格，该参数值默认为“ON”。 表名大小写 创建数据库及表时，表存储是否大小写敏感。创建后无法修改，请谨慎选择。 区分大小写：表示创建数据库及表时，区分大小写。 不区分大小写：表示创建数据库及表时，不区分大小写，默认小写。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。

参数 描述 企业项目 对于已成功关联企业项目的用户，仅需在“企业项目”下拉框中选择目标项目。 参数模板 数据库参数模板就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。对于HA实例创建成功后，主备参数模板相同。实例创建成功后，参数模板可进行修改。 注意： 创建数据库实例时， 为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发， 而是采用系统默认的推荐值。 “maintenanceworkmem” “sharedbuffers” “maxconnections” “effectivecachesize” 您可以在实例创建完成之后根据业务需要进行调整。具体请参见 。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 标签 可选配置，关系型数据库的标识。使用标签可以方便识别和管理您拥有的关系型数据库资源。每个实例最多支持10个标签配额。 如果您的组织已经设定RDS的相关标签策略，则需按照标签策略规则为RDS实例添加标签。标签如果不符合标签策略的规则，则可能会导致RDS实例创建失败，请联系组织管理员了解标签策略详情。 实例创建成功后，您可以单击实例名称，在标签页签下查看对应标签。

本章介绍天翼云关系型数据库在资源及磁盘管理时的常见问题及解决办法。 创建实例需要多长时间 对于RDS for MySQL和RDS for PostgreSQL实例： 正常情况下，无论是主备实例还是单机实例，创建时间都在57分钟之间。只读实例的创建时间与主实例的数据量有关，数据量越大，创建时间越长。如果是主实例是空实例，创建实例需78分钟。 对于RDS for SQL Server实例： 单机实例创建时间约1215分钟，主备实例创建时间约1518分钟。 如果超过这个时间，创建过程可能存在问题。 占用RDS磁盘空间的日志及文件有哪些 占用关系型数据库实例的磁盘空间的日志及文件如下表： MySQL数据库文件类型 数据库引擎 文件类型 :: MySQL 日志文件：数据库undolog、redolog和Binlog文件。 MySQL 数据文件：数据库内容文件和索引文件。 MySQL 其他文件：ibdata、iblogfile0和临时文件等。 PostgreSQL数据库文件类型 数据库引擎 文件类型 :: PostgreSQL 日志文件：数据库错误日志文件和事务日志文件。 PostgreSQL 数据文件：数据库内容文件、索引文件、复制槽数据文件、事务状态数据文件和数据库配置文件。 PostgreSQL 其他文件：临时文件。 Microsoft SQL Server数据库文件类型 数据库引擎 文件类型 :: Microsoft SQL Server 日志文件：数据库的错误日志、事务日志文件和跟踪文件。 Microsoft SQL Server 数据文件：数据库内容文件。 解决方案 1. 随着业务数据的增加，原来申请的数据库磁盘容量可能会不够用，您需要为关系型数据库实例进行扩容。 2. 针对数据空间过大，可以删除无用的历史表数据进行释放空间（DROP或TRUNCATE操作，如果是执行DELETE操作，需要使用OPTIMIZE TABLE来释放空间）；如果没有可删除的历史数据，需要进行磁盘扩容。 3. 针对大量排序查询导致的临时文件过大，建议进行优化SQL查询。 1. 应用中存在大量的排序查询，产生了大量的临时文件。 2. 短期内大量增、删、改，产生大量binlog文件占用空间。 3. 由于大量的事务和写入操作产生了大量的binlog日志文件。 4. 云监控服务目前可以监控存储空间的大小、使用量、利用率等，并且设置告警策略。

这节主要介绍Account、Service、Bucket、Object的概念。 对象存储（经典版）Ⅰ型的主要概念有： Account（账户）：用户登录时OOS使用的账户。 Service（服务）：OOS为注册成功用户提供的服务。 Object（文件）：用户存储在OOS上的每个文件都是一个Object。 Bucket（存储桶）：存储Object的容器。 它们之间的关系如下所示。 在使用OOS之前，首先需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册成功之后，联系天翼云客服工作人员开通OOS服务，OOS会为该账户提供服务（Service），在该服务下，用户可以创建1个或多个Bucket（存储桶），每个存储桶中可以存储不限数量的Object（文件）。 Account 在使用OOS之前，需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册时邮箱、密码和手机号码是必填项。正确填写所需信息并进行实名认证之后，联系天翼云客服人员（客服电话：4008109889）申请开通OOS服务。开通OOS服务成功之后，用户可以用该账户登录并使用OOS服务。 Service Service是OOS为注册成功用户提供的服务，该服务为用户提供弹性可扩展的存储空间，用户可以根据自己的业务需要建立1至10个的存储桶（Bucket）。 Bucket 存储桶（Bucket）是存储文件（Object）的容器。对象存储的每个文件（Object）都必须包含在一个存储桶中。对象存储提供的是基于桶和文件的扁平化存储方式，桶中的所有文件都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 您可以设置存储桶的属性，用来控制数据存储位置、访问权限、生命周期等，这些属性设置直接作用于该存储桶内的所有文件，因此您可以通过灵活的属性设置，来创建不同的存储桶，完成不同的管理功能。每个用户最多可以建立10个存储桶。用户只有对Bucket拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。

本页主要首先介绍备份恢复相关openAPIv1接口下线和旧版本的备份架构升级的原因、影响和建议。 原因 由于旧版本的备份恢复架构不能适应组件发展，且在功能使用方面有一定的局限性。天翼云决定于2024年8月5日起更新I 类型资源池的备份恢复列表接口，以v2接口替换具体的接口调用可参考"建议”。同时也将对旧的备份恢复架构进行升级。 影响 下线接口范围：下线旧的备份恢复openAPI接口（I 类型资源池备份v1的13个接口）。 恢复时间点功能：升级后，新的备份文件继续支持恢复到时间点功能，但不支持将升级前的备份文件恢复到时间点。 注意 备份策略：升级后，新的备份策略为默认保留3天，可能部分用户的备份文件会按照新的备份策略被清理掉，敬请谅解，如有问题可提单咨询。 涉及资源池：北京5、晋中、辽阳1、内蒙古6、石家庄20、雄安2、杭州2、合肥2、九江、南京3、上海7等I 类型资源池。 注：涉及的资源池将分批下线，届时可能存在部分资源池依然沿用旧接口，将会在8月底之前全部更新完毕，敬请谅解！ 建议 请用户确认升级后的备份策略保留天数是否符合业务预期，有问题可以提单咨询。 新版本的API接口地址可参见API使用说明，其中I 类型资源池备份恢复模块已替换为v2接口。

本文介绍CDN回源的流量为什么按照公网下行流量计费了。 媒体存储CDN回源流出流量是指数据从媒体存储传输到天翼云CDN所产生的回源流量，这部分流量将按照CDN回源流出流量计费。具体可参考：计费项。 如您发现CDN回源流量按照公网流量计费，可参考一下原因并根据指引进行操作： 如您的CDN为其他云厂商的产品，则产生的回源流量会按照公网下行流量计算。 如您使用天翼云CDN，需要在源站配置中，选择【媒体存储源站】，此配置下产生的回源流量会按照CDN回源流量进行计费。如您选择【IP或域名】，产生的回源流量将按照公网下行流量计费。 CDN回源流量计费模式说明： CDN回源流量支持按需+资源抵扣包计费，如您为按需计费模式，且源站配置正确，则回源流量会按照CDN回源流量资费进行计费，如您需订购资源抵扣包，可联系您的客户经理或致电服务热线：4008109889。 目前包周期（用量封顶模式）不支持CDN回源量流量计费，如您为包周期计费模式，则所有下行流量（包括CDN回源）均会按照公网下行流量计费，如您需转换计费方式，可联系您的客户经理或致电服务热线：4008109889。 关于您服务具体的计费模式查询，可参考：订购管理。

如不再使用微服务引擎专享版，可执行删除操作。支持删除处于如下状态的微服务引擎专享版： 可用 不可用 创建失败 变更失败 升级失败 须知： 删除引擎后数据无法恢复，请谨慎操作。 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待删除的微服务引擎专享版，单击引擎名称，进入引擎“基本信息”页面： 1. 在页面的右上方，单击“删除”。 2. 在弹出的对话框中输入“DELETE”，单击“确定”。

如不再使用微服务引擎专享版，可执行删除操作。支持删除处于如下状态的微服务引擎专享版： 可用 不可用 创建失败 变更失败 升级失败 须知： 删除引擎后数据无法恢复，请谨慎操作。 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待删除的微服务引擎专享版，单击引擎名称，进入引擎“基本信息”页面： 1. 在页面的右上方，单击“删除”。 2. 在弹出的对话框中输入“DELETE”，单击“确定”。

本文主要介绍通过Helm v2客户端部署应用。 云容器引擎各region将逐步切换至Helm v3。模板管理不再支持Helm v2版本的模板，若您在短期内不能切换至Helm v3，可通过Helm v2 客户端在后台管理v2版本的模板。 前提条件 在CCE中创建的Kubernetes集群已对接kubectl，具体请参见使用kubectl连接集群。 注意事项 CCE当前会尝试转换v2模板实例到v3模板实例。若在后台操作Helm v2模板实例，删除实例后，发现CCE 模板管理页面仍有实例信息，单击删除即可。 安装Helm v2 本文以Helm v2.17.0为例进行演示。 如需选择其他合适的版本，请访问 步骤 1 在连接集群的虚拟机上下载Helm客户端。 wget 步骤 2 解压Helm包。 tar xzvf helmv2.17.0linuxamd64.tar.gz 步骤 3 将helm拷贝到系统path路径下，以下为/usr/local/bin/helm。 mv linuxamd64/helm /usr/local/bin/helm 步骤 4 因为Kubernetes APIServer开启了RBAC访问控制，所以需创建tiller使用的service account:tiller并给其分配clusteradmin这个集群内置的ClusterRole。按如下创建tiller的资源帐户。 vim tillerrbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: tiller namespace: kubesystem apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: tiller roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: clusteradmin subjects: kind: ServiceAccount name: tiller namespace: kubesystem 步骤 5 部署tiller资源帐户。 kubectl apply f tillerrbac.yaml 步骤 6 初始化Helm, 部署tiller的Pod。 helm init serviceaccount tiller skiprefresh 步骤 7 查看状态。 kubectl get pod n kubesystem l apphelm 回显如下 NAME READY STATUS RESTARTS AGE tillerdeploy7b56c8dfb7fxk5g 1/1 Running 1 23h 步骤 8 查看helm版本。

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

参数 参数说明 生命周期 生命周期脚本定义，主要针对容器类任务的生命周期事件采取的动作。 启动命令：输入容器启动命令，容器启动后会立即执行。详细步骤请参见容器设置。 启动后处理：任务启动后触发。详细步骤请参见设置容器生命周期。 停止前处理：任务停止前触发。详细步骤请参见设置容器生命周期。 环境变量 在容器中添加环境变量，一般用于通过环境变量设置参数。在环境变量页签，单击“添加环境变量”。当前支持三种类型。 手动添加：输入变量名称、变量/变量引用。 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 数据存储 支持挂载本地磁盘或者云存储到容器中，以实现数据文件的持久化存储。 详细步骤请参见存储管理。 容器日志 CCE支持配置工作负载日志策略，便于日志收集分析，以及按周期防爆处理。详细步骤请参见采集容器标准输出日志。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

微服务引擎（Cloud Service Engine，CSE）提供服务注册、服务治理、配置管理等全场景能力；帮助用户实现微服务应用的快速开发和高可用运维。支持多语言、多运行时；支持双栈模式，统一接入和管理Spring Cloud、Apache ServiceComb Java Chassis（Java Chassis）、Go Chassis、Dubbo侵入式框架和非侵入式服务网格。 您可以直接使用名称为“Cloud Service Engine”的微服务引擎专业版，也可以创建微服务引擎专享版。 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎。 微服务引擎专业版不支持多可用区（AZ）。 微服务引擎专享版在创建时可以设置多可用区（AZ）。 创建微服务引擎后，可用区不支持修改，请根据需要设置。 不支持创建跨CPU架构的微服务引擎专享版实例。

阶段三：启动问题 Pod处于init状态 错误信息 说明 推荐的解决方案 停留在Init:N/M状态 该Pod包含M个初始化容器中的N个已经启动完成，剩余的容器未启动成功。 通过kubectl describe pod n 命令查看Pod的事件，确认当前Pod中未启动的初始化容器是否存在异常。 通过kubectl logs n c 命令查看Pod中未成功启动的初始化容器的日志，通过日志内容排查问题。 查看Pod的配置，例如检查健康检查配置，进一步确认未成功启动的初始化容器配置是否正常。 停留在Init:Error状态 Pod中的初始化容器启动失败。 通过kubectl describe pod n 命令查看Pod的事件，确认当前Pod中未启动的初始化容器是否存在异常。 通过kubectl logs n c 命令查看Pod中未成功启动的初始化容器的日志，通过日志内容排查问题。 查看Pod的配置，例如检查健康检查配置，进一步确认未成功启动的初始化容器配置是否正常。 停留在Init:CrashLoopBackOff状态 Pod中的初始化容器启动失败并处于反复重启状态。 通过kubectl describe pod n 命令查看Pod的事件，确认当前Pod中未启动的初始化容器是否存在异常。 通过kubectl logs n c 命令查看Pod中未成功启动的初始化容器的日志，通过日志内容排查问题。 查看Pod的配置，例如检查健康检查配置，进一步确认未成功启动的初始化容器配置是否正常。 Pod启动失败（CrashLoopBackOff） 错误信息 说明 推荐的解决方案 日志中存在exit(0)。 容器中前台进程执行完毕正常退出。 非Job类型工作负载对应的Pod容器需要前台进程作为常驻进程，若前台进程执行完毕且无常驻进程，容器就会正常退出，kubelet检测到容器退出后重新拉起该容器，进而导致容器一直在重启。 修改容器主进程为常驻进程。 Event信息中存在Liveness probe failed:。 容器健康检查失败。 核查Pod中所配置的容器健康检查（Liveness Probe）策略是否符合预期，以及对应的健康检查条件是否满足。 Pod日志中存在no left space。 磁盘空间不足。 清理主机上不再需要的大文件或扩容磁盘。 启动失败，无Event信息。 可能是Pod中声明的Limit资源少于实际Pod进程启动所需资源。 检查Pod的资源配置是否正确。 Pod日志中出现Address already in use。 同一Pod中的Container端口存在冲突。 检查Pod是否配置了hostNetwork: true，这意味着Pod内的容器会直接与宿主机共享网络接口和端口空间。如果无需使用，请改为hostNetwork: false。 如果Pod需要使用hostNetwork: true，请配置Pod的反亲和性，确保同一副本集中的Pod被调度到不同节点。 检查并确保不存在也不会有两个或多个具有相同端口需求的Pod运行在同一台节点上。 检查主机上是否有主机进程占用了该端口，尽量避免在k8s节点主机上直接部署业务进程。 Pod日志中出现container init caused "setenv: invalid argument"": unknown。 工作负载中挂载了Secret，但Secret对应的值没有进行Base64加密。 通过控制台创建Secret，Secret对应的值会自动进行Base64加密。 通过YAML创建Secret，并执行echo n "xxxxx" base64命令手动对密钥值进行Base64加密。 无相关信息。 可能是业务Pod自身问题，如业务容器中进程启动参数有误。 查看Pod日志，通过业务日志内容排查问题。

本节为您介绍云迁移服务CMS参数编辑与创建相关内容。 1. 云迁移服务CMS提供参数编辑于资源创建功能，您可以在 [ 资源创建 ] 界面勾选资源，点击【参数编辑】，跳转至[ 参数编辑 ] 界面，如图所示。 2. 在 [ 资源创建 ] 界面，点击【配置】按钮，跳转至 [ 参数配置 ] 界面，对基础资源信息进行编辑，AK/SK 即为天翼云账户下查询。点击【下一步】按钮，进行网络参数配置，如图所示。 3. 进入 [ 网络配置 ] 界面，您可以根据需要依次填写网络信息，点击【下一步：确认配置】按钮，既可以成功创建资源，如图所示。 4. 资源创建成功，您可以在 [ 资源创建 ] 界面列表中查看信息。如图所示。 5. 您可以通过点击【点击获取】按钮，获取公网IP地址，如图所示。

介绍云审计服务对接微服务引擎。 云审计服务支持的CSE操作列表 CSE通过云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从控制台或者API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 如果您需要收集、记录或者查询Nacos引擎和ServiceComb引擎的操作日志，需要先帮助中心 > 云审计 > 计费说明 > 申请云审计服务。通过云审计服务可查看Nacos和ServiceComb引擎最近7天的操作记录，支持记录的操作日志详情见下表。 表 云审计服务支持的Nacos引擎操作列表 操作类型 资源类型 事件名称 创建引擎 engine CreateEngineJob 删除引擎 engine DeleteEngineJob 创建服务 service createService 修改服务 service modifyService 删除服务 service deleteService 发布配置 config publishConfig 删除配置 config deleteConfig 创建命名空间 namespace createNamespace 修改命名空间 namespace modifyNamespace 删除命名空间 namespace deleteNamespace 表 云审计服务支持的ServiceComb引擎操作列表 操作类型 资源类型 事件名称 创建引擎 engine createEngine 删除引擎 engine deleteEngine 升级或变更引擎 engine upgradeOrModifyEngine 创建引擎备份任务 engine createEnginebackup 删除引擎备份任务 engine deleteEnginebackup 创建引擎恢复任务 engine createEnginerecovery 创建引擎备份策略 engine createEnginebackupstrategy 删除引擎备份策略 engine deleteEnginebackupstrategy 更新引擎备份策略 engine updateEnginebackupstrategy 更新灰度发布规则 engine ModifyDarklaunch 删除灰度发布 engine DeleteDarklaunch 修改配置项 engine ModifyConfig 新增配置项 engine CreateConfig 删除配置项 engine DeleteConfig 更新治理规则 engine ModifyGovernpolicy 更新微服务 engine modifyMicroservice 创建微服务 engine createMicroservice 删除微服务 engine deleteMicroservice 创建微服务标签 engine createMicroserviceTag 更新微服务标签 engine updateMicroserviceTag 删除微服务标签 engine deleteMicroserviceTag 创建微服务规则 engine createMicroserviceRule 更新微服务规则 engine updateMicroserviceRule 删除微服务规则 engine deleteMicroserviceRule 创建微服务契约 engine createMicroserviceSchema 更新微服务契约 engine updateMicroserviceSchema 删除微服务契约 engine deleteMicroserviceSchema 更新微服务依赖关系 engine updateMicroserviceDependency 更新微服务属性 engine updateMicroserviceProperty 更新微服务 engine updateMicroservice 更新监控阈值 engine updateThreshold 更新自定义规则 engine updateItemmeta 删除自定义规则 engine DeleteItemmeta 执行配置项清理 engine executeConfigcleanup 更新微服务实例状态 engine updateInstanceStatus 更新微服务实例属性 engine updateInstanceProperty 创建微服务实例 engine createInstance 删除微服务实例 engine deleteInstance