为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。本文为您介绍如何开启或关闭已有的审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在DML审计规则列表中，找到目标审计规则，然后在开启列打开或关闭该审计规则。 系统默认配置了常用的审计规则，您可以根据需要进行启停操作。也可以根据实际情况新增DML审计规则，并对其进行启停操作。

反向解析 反向解析是指从IP地址到域名的映射。通过查询PTR记录可以获取特定IP地址对应的域名信息。在内网DNS中，与常见的A记录（将域名映射到IP地址）相反，PTR记录被用于实现IP地址到域名的映射。当进行反向解析时，查询特定IP地址的PTR记录可以获得该IP地址对应的域名。这种记录类型的存在使得可以通过IP地址来查找关联的域名，而不仅仅是通过域名查找IP地址。 递归 内网DNS解析的递归模块，主要为云上VPC环境中的计算实例（如云主机）提供出公网的域名递归解析服务。该服务为天翼云VPC内网解析场景默认提供的免费服务，但不承诺服务SLA。您也可以通过修改计算实例上的DNS服务器IP地址，实现使用其他公共DNS服务器做解析（此时该计算实例将整体无法使用天翼云内网DNS提供的内网解析服务）。 记录集 记录集（Record Set）是指一组资源记录的集合，这些资源记录属于同一类型且域名相同，用于定义域名支持的解析类型以及解析值。当您已经创建完内网域名，需要对其进行域名级别的拓展或记录域名的详细信息，如创建对应的A记录、CNAME记录等，可以通过创建记录集来实现。内网DNS支持的记录集类型包括：A、CNAME、MX、AAAA、TXT、SRV、PTR。 记录集类型 适用场景 描述 A 主机记录，也可用作低成本负载均衡方案。 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 CNAME 别名记录，可用于隐藏主域名。 指定域名的别名，用于将域名解析到另一域名，或者多个域名映射到同一域名上。 MX 邮件交换记录，邮件服务器使用。 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 AAAA IPv6主机记录，场景等同于A。 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 TXT 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。 用于对域名进行标识和说明，可填写任意的信息。 SRV 应用程序可以根据优先级与权重进行排序，设置访问规则。 记录了具体某台计算机对外提供哪些服务，供用户查询使用。SRV中除了记录服务器的地址，还记录了服务的端口，并且可以设置每个服务地址的优先级和权重。 PTR 反向地址解析。 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云服务器。

配置项 说明 服务状态 每个资源节点均可开通/退订AI云电脑服务。注意：退订桌面服务需要该账号下无桌面资源，包括资源包、桌面、带宽、VPC、防火墙等；服务一经退订，无法撤销，请谨慎操作。 企业ID 对于以“管理员激活”方式开通的AI云电脑账号，企业ID用于租户下AI云电脑统一的登录账号后缀，例如企业管理员开通AI云电脑时分配了名为“desk01”的用户账号，那么终端用户在AI云电脑客户端中输入的登录账号就应为“desk01企业ID”。 手机号必填 开启后，通过“邮件通知”激活AI云电脑用户时，终端用户必须填写手机号（手机号可用于设备验证、免密登录、找回密码等）。 邮箱必选 开启后，通过“邮件通知”激活的AI云电脑用户，默认使用通知邮箱作为账号邮箱。 修改密码 允许后，可限制未绑定通知邮箱的管理员激活用户，在客户端登录后修改密码的操作权限。 设备绑定 开启后，在设备登录AI云电脑客户端时，绑定手机号需要进行验证。 双因子认证登录 开启双因子认证登录后，如果用户绑定了手机号码，并且使用账号（包括用户账号、手机和邮箱）+用户密码登录时，每次登录必须通过短信验证才能完成登录。 记录终端SN码 开启后，将会收集终端SN码，用于用户登录记录中展示，仅限于部分机型。 密码定期强制更新 设置后，可强制要求用户在指定周期内必须修改密码，周期可设置为：无限制/1个月/3个月/6个月/12个月。 联系方式 配置后可在AI云电脑客户端的”AI云电脑配置“页面显示管理员的联系方式。 专线不通切换互联网 开启后，“专线接入”和“互联网接入”均开启时，在专线不通的情况下，才能自动使用互联网连接桌面。 互联网接入 可配置当前资源池下的虚拟私有云启用/禁用状态。如需配置接入互联的VPC，详见 专线接入 如需对接专线，请向您的专属客户经理提交申请，或拨打天翼云客服电话： 4008109889。

步骤 说明 实践准备 完成实践开始前的准备工作，包括注册帐号、开通软件开发生产线、创建项目、添加项目成员等操作。 管理项目规划 完成项目的整体规划，包括项目需求规划、迭代需求规划等。 管理项目配置 根据项目需求，对工作项变更的通知方式、工作项状态的流转方式等进行自定义设置。 开发代码 通过分支来进行代码的编写，包括创建分支、代码提交、合并分支等操作。 检查代码 对代码进行静态扫描，根据修复建议优化代码，提高代码质量。 构建应用 构建环境镜像、将代码编译打包成软件包。 部署应用 将构建好的环境镜像及软件包安装并运行在环境中，本文档提供两种环境的部署方法：CCE与ECS。 管理项目测试 为迭代创建测试计划、设计测试用例，并按照计划执行测试用例。 配置流水线 将代码检查、构建、部署等任务串联成流水线。当代码有更新时，可自动触发流水线，实现持续交付。 释放资源 实践完成，释放软件开发生产线、云容器引擎等资源。

本章节主要介绍数据湖探索（DLI）其他服务的关系。 与对象存储服务（OBS）的关系 对象存储服务（Object Storage Service）作为数据湖探索的数据来源及数据存储，与数据湖探索配合一起使用，关系有如下四种。 • 数据来源：数据湖探索服务提供API，支持将OBS对应路径的数据导入到数据湖探索。 • 存储数据：数据湖探索中支持创建OBS表，该类型表在数据湖探索服务中只有元数据，实际数据在该表对应的OBS路径中。 • 备份数据：数据湖探索提供导出API，支持将数据湖探索的数据导出到OBS中备份。 • 存储查询结果：数据湖探索提供API供用户将日常作业的查询结果数据保存到OBS。 与统一身份认证服务（IAM）的关系 统一身份认证服务（Identity and Access Management）为数据湖探索提供了天翼云统一入口鉴权功能。 与云审计服务（CTS）的关系 云审计服务（Cloud Trace Service）为数据湖探索提供对应用户的操作审计。 与云监控服务的关系 云监控（Cloud Eye）为数据湖探索提供监控数据，监控作业中的多项指标，从而集中高效地呈现状态信息。 与消息通知服务（SMN）的关系 消息通知服务（Simple Message Notification）可以在数据湖探索发生作业运行异常时给用户发送通知。 与云数据迁移服务（CDM）的关系 云数据迁移服务（Cloud Data Migration）可以将OBS的数据迁移到数据湖探索中。 与数据接入服务（DIS）的关系 数据接入服务（Data Ingestion Service）通过通道将数据导入到数据湖探索。

本节主要介绍设置应用组件实例升级策略 在部署应用组件过程中，或者组件已经部署，都可以设置升级策略。 操作步骤 “组件类型”为“通用”且运行时为“Docker”的组件，执行以下操作： 1、进入应用组件实例升级策略设置界面： 在部署应用组件的组件配置过程中设置应用组件实例升级策略，请执行步骤2。 组件已经部署完成后设置应用组件实例升级策略，请执行步骤3。 2、在“组件配置”界面，设置应用组件实例升级策略： 选择应用组件实例的升级方式。 说明 如未配置升级策略，系统默认使用滚动升级的方式。 滚动升级 先安装新实例，再移除旧实例。升级过程中，业务会同时均衡分布到新老实例上，因此业务不会中断 。 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断。 单击“下一步 规格确认”，完成组件部署，操作结束。 3、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 4、单击应用名称，进入应用“概览”页。 5、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 6、单击应用组件名称，进入应用组件实例“概览”页。 7、单击“更新升级”，设置应用组件实例升级策略： 选择应用组件实例的升级方式。 说明 如未配置升级策略，系统默认使用滚动升级的方式。 滚动升级 先安装新实例，再移除旧实例。升级过程中，业务会同时均衡分布到新老实例上，因此业务不会中断 。 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断。 单击“重新部署”，完成应用组件实例升级策略设置。 说明 其他类型的组件，执行以下操作： 1、进入应用组件实例升级策略设置界面： 在部署应用组件的组件配置过程中设置升级策略，请执行步骤6。 组件已经部署完成后设置升级策略，请执行步骤2。 2、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 3、单击应用名称，进入应用“概览”页。 4、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 5、单击应用组件名称，进入应用组件实例“概览”页，单击“更新升级”。 6、展开“高级设置 > 部署配置”，在“升级策略”页签，选择应用组件实例的升级方式。 说明 如未配置升级策略，系统默认使用滚动升级的方式。 滚动升级 先安装新实例，再移除旧实例。升级过程中，业务会同时均衡分布到新老实例上，因此业务不会中断 。 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断。 7、完成应用组件实例升级策略设置： 在部署应用组件的组件配置过程中设置升级策略，单击“下一步 规格确认”，完成组件部署。 组件已经部署完成后设置升级策略，单击“重新部署”。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 ::: GPU SRAM存在 Uncorrectable ECC告警 SRAMUncorrectableEccError 重要 GPU卡SRAM出现Uncorrectable ECC Error硬件故障。 如果业务受损，请提交工单。 可能GPU硬件问题导致SRAM故障，导致业务异常退出 主机重启 osReboot 重要 物理机实例重启。 包括： 1. 在管理控制台进行重启操作 2. 通过API接口下发重启指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常重启 serverReboot 重要 物理机实例异常重启。 包括： 1. 操作系统异常导致重启 2. 主机硬件故障导致重启 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 主机关机 osShutdown 重要 物理机实例关机。 包括： 1. 在管理控制台进行关机操作 2. 通过API接口下发关机指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常关机 serverShutdown 重要 物理机实例异常关机。 包括： 1. 主机异常下电 2. 主机硬件故障导致关机 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 网络中断 linkDown 重要 物理机网络中断。 包括： 1. 主机异常关机、重启 2. 交换机故障引起的网络中断 3. 网关节点故障引起的中断 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 PCIE异常 pcieError 重要 物理机PCIe设备硬件故障。 包括： 1. 主板故障 2. PCIe设备故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响网络或硬盘读写业务 硬盘故障 diskError 重要 物理机磁盘故障。 包括： 1. 硬盘背板故障 2. 硬盘本身故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 云存储连接异常 storageError 重要 物理机云硬盘链接异常。 包括： 1. SDI卡故障 2. 远端存储故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 GPU存在infoROM告警 gpuInfoROMAlarm 重要 GPU可能存在硬件问题，导致驱动读取不到inforom信息。 业务可以继续使用该GPU卡，不敏感业务可以继续使用，敏感业务请提交工单处理。 对业务暂时没有影响，当GPU硬件出现ECC故障时，可能无法自动完成故障页隔离，导致业务受损。 GPU发生double bit ECC告警 doubleBitEccError 重要 GPU硬件存在double bit ECC故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU隔离页过多告警 gpuTooManyRetiredPagesAlarm 重要 GPU硬件存在过多ECC隔离页。 如果业务受损，请提交工单。 GPU硬件存在过多ECC故障，可能频繁影响业务运行。 GPU A100 硬件发生ECC告警 gpuA100EccAlarm 重要 GPU卡出现ECC硬件故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU ECC内存页隔离失败告警 eccPageRetirementRecordingFailure 重要 GPU硬件存在ECC故障，驱动自动隔离这些页时失败。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离隔离失败，可能导致业务无法使用GPU。 GPU ECC页隔离告警 eccPageRetirementRecordingEvent 一般 存在ECC硬件错误，发生内存页自动隔离。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 一般随ECC故障告警出现，单独出现不影响业务。 GPU single bit ECC过多告警 highSingleBitEccErrorRate 重要 ECC硬件存在过高ECC single bit错误。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 single bit的错误能够自动恢复，一般不影响GPU相关应用程序。 GPU驱动掉卡告警 gpuDriverLinkFailureAlarm 重要 GPU链路正常，NVIDIA驱动找不到GPU硬件。 建议尝试重启虚拟机恢复业务。如果业务仍然无法恢复，请提交工单。 一般驱动问题导致找不到对应位置的GPU。 GPU卡链路故障告警 gpuPcieLinkFailureAlarm 重要 GPU链路异常，通过lspci无法查看GPU硬件信息。 如果业务受损，请提交工单。 硬件问题导致GPU卡链路异常，驱动无法使用GPU。 虚拟机GPU丢卡告警 vmLostGpuAlarm 重要 虚拟机实际有的GPU卡数量比规格里应分配的GPU卡数量少。 如果业务受损，请提交工单。 虚拟机GPU卡丢失。 GPU显存页告警 gpuMemoryPageFault 重要 GPU显存页发生故障，故障可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致显存故障，导致业务异常退出 GPU图像引擎异常告警 graphicsEngineException 重要 GPU图像引擎发生故障，可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致图像引擎故障，导致业务异常退出。 GPU温度过高告警 highTemperatureEvent 重要 GPU硬件温度过高。 如果业务受损，请提交工单。 GPU温度超过温度阈值，可能会引起GPU卡性能下降 GPU NVLINK链路错误告警 nvlinkError 重要 NVLINK的链路出现硬件故障。 如果业务受损，请提交工单。 NVLINK链路故障，影响业务使用GPU nvlink能力。 nvidiasmi命令卡住 nvidiaSmiHangEvent 重要 nvidiasmi命令超时，该命令可能卡住 如果业务受损，请提交工单。 可能是命令执行过程中，触发驱动问题，导致命令卡住，同时可能出现业务使用驱动报错问题。

本文介绍学术加速企业版服务的加速应用配置页面。 简介 在加速应用配置页面中，企业管理员可以配置您所需要加速的网址应用，针对您组织的成员全局生效。 操作步骤 1. 登录 边缘安全加速平台控制台 ，选择【学术加速】控制台。 2. 在首页产品能力栏目，选择学术加速进入工作台。 3. 左侧导航栏AOne学术加速应用加速应用配置，查看加速应用列表。 4. 可根据您的需求进行相关配置。 加速应用配置 您可在加速应用列表进行应用的管理，包括应用的添加、删除操作。 支持批量导出所选应用或全部应用，目前导出的文件类型为默认.xls。 添加加速应用 您可以在此页面添加需要加速的网站/应用。 注意 如果找不到您需要加速的网站/应用，请

本文介绍分布式消息服务RocketMQ入门指引的创建RocketMQ实例内容。 实例介绍 RocketMQ实例订购支持用户自定义规格和自定义特性，可根据业务需要定制相应规格的RocketMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富的用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息RocketMQ页面。 2、点击订购实例进入相应页面，左上角选择目标资源池。 1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 2）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、1年。该模式提供自动续期功能。 计费模式为按需计费，则该选项隐藏无需选择。 3）引擎类型目前默认选择RocketMQ引擎，完全兼容开源客户端的高性能低延时的消息队列。ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 4）版本号默认4.9，实例创建后，不支持变更版本。建议服务端版本和客户端版本保持一致。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署，单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）提供集群版和单机版两种规格选择模式，单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 7）CPU架构支持X86计算和ARM计算两类。 8）选择X86计算，可以选择计算增强型（默认Intel）和海光计算增强型主机；选择ARM计算，可以选择鲲鹏计算增强型主机。通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 9）代理规格：针对不同主机类型，RocketMQ提供不同性能表现的规格参数。 10）代理数量：选择单机版该选项不展示，选择集群版此选择支持116代理选择。 11）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO两类。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 12）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 13）选择已有子网，若无子网，点击创建跳转到子网页面新增。 14）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 15）填写实例名称，系统默认实例名称，用户可直接修改。 16）选择企业项目，创建新的企业项目可以到IAM配置。 17）创建实例标签，标签由区分大小写的键值对组成，您最多可以设置 20 个标签。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看RocketMQ实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

操作步骤 集群创建完成后，您可以在集群中创建节点。 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理”，单击要创建节点的集群进入集群控制台。 步骤 2 在集群控制台左侧导航栏中选择“节点管理”，单击右侧“创建节点”，在节点配置步骤中参照如下表格设置节点参数。 计算配置 ： 配置节点云主机的规格与操作系统，为节点上的容器应用提供基本运行环境。 表 计算配置参数 参数 参数说明 计费模式 支持如下两种计费方式。 包年包月 包年包月需要选择购买时长。 按需计费 可用区 节点云主机所在的可用区，集群下节点创建在不同可用区下可以提高可靠性。 创建后不可修改。建议您选择“随机分配”，可根据选择的节点规格随机分配一个可以使用的可用区。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您将云主机创建在不同的可用区。 节点类型 CCE集群支持弹性云主机虚拟机和物理机。 操作系统 选择操作系统类型，不同类型节点支持的操作系统有所不同。 公共镜像：请选择节点对应的操作系统。 节点名称 节点云主机使用的名称，批量创建时将作为云主机名称的前缀。系统会默认生成名称，支持修改。节点名称以小写字母开头，支持小写字母、数字和中划线()，不能以中划线()结尾。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 存储配置 ： 配置节点云主机上的存储资源，方便节点上的容器软件与容器应用使用。请根据实际场景设置磁盘大小。 表 存储配置参数 参数 参数说明 系统盘 节点云主机使用的系统盘，供操作系统使用。 您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为50GB。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 默认不加密。 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 数据盘 节点云主机使用的数据盘，供容器运行时和Kubelet组件使用。br您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可进行如下设置： 自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见数据盘空间分配说明。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。目前仅在部分Region显示此选项，具体以界面为准。 − 默认不加密。 − 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。添加多个数据盘 最多可以添加4个，默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，选择如下配置。 默认：默认情况直接创建为裸盘，不做任何处理。 挂载到指定目录：将数据盘挂载到指定目录。 作为持久存储卷：适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/localstoragepersistent标签，取值为linear或striped。 作为临时存储卷：适用于对EmptyDir有性能要求的场景。说明持久存储卷和临时存储卷仅在集群版本 > v1.21.2r0 时支持创建，且临时存储卷需要Everest插件版本>1.2.29，持久存储卷需要Everest插件版本>1.2.31。持久存储卷和临时存储卷支持如下两种写入模式。 线性（linear）：线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷，实际写入数据时会先往一个基本物理卷上写入，当存储空间占满时再往另一个基本物理卷写入。 条带化（striped）：创建逻辑卷时指定条带化，当实际写入数据时会将连续数据分成大小相同的块，然后依次存储在多个物理卷上，实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 本地盘说明 节点规格为“磁盘增强型”或“超高I/O型”时，有一块数据盘可以是本地盘。本地磁盘实例有宕机风险，不保证数据可靠性，建议您使用云硬盘存储您的业务数据。 网络配置 ： 配置节点云主机的网络资源，用于访问节点和容器应用。 表 网络配置参数 参数 参数说明 节点子网 节点子网默认使用创建集群时的子网配置，也可以选择其他子网。 节点IP 支持指定节点IP地址。默认随机分配。 高级配置 ： 节点能力增强，可在此配置节点的标签、污点、启动命令等功能。 表 高级配置参数 参数 参数说明 K8S标签 单击“添加标签”可以设置附加到Kubernetes 对象（比如Pods）上的键值对，最多可以添加10条标签使用该标签可区分不同节点，可结合工作负载的亲和能力实现容器Pod调度到指定节点的功能。详细请参见Labels and Selectors。 资源标签 通过为资源添加标签，可以对资源进行自定义标记，实现资源的分类。CCE服务会自动帮您创建CCEDynamicProvisioningNode节点id的标签。 污点(Taints) 默认为空。支持给节点加Taints来设置反亲和性，每个节点最多配置10条Taints，每条Taints包含以下3个参数： Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。 Taints的使用请参见管理节点污点（taint）。 说明 对于1.19及以下版本集群，有可能会出现污点打上之前负载已经调度到节点上，如果需要避免这种情况，请选择1.19及以上集群。 最大实例数 节点最大可以正常运行的实例数(Pod)，该数量包含系统默认实例，取值范围为16~256。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点最多能创建多少个Pod还受其他因素影响，具体请参见节点最多可以创建多少个Pod。 云主机组 云主机组是对云主机的一种逻辑划分，同一云主机组中的云主机遵从同一策略。 反亲和性策略：同一云主机组中的云主机分散地创建在不同主机上，提高业务的可靠性。 选择已创建的云服务器组，或单击“新建云服务器组”创建，创建完成后单击刷新按钮。 安装前执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。 安装后执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。 委托 委托是由租户管理员在统一身份认证服务上创建的。通过委托，可以将云主机资源共享给其他帐号，或委托更专业的人或团队来代为管理。 如果没有委托请单击右侧“新建委托”创建。 步骤 3 单击“下一步：规格确认”，确认所设置的服务选型参数、规格和费用等信息，且确认已阅读并知晓服务协议。 步骤 4 确认规格和费用后，单击“提交”，节点开始创建。 若选择购买“包年包月”的节点，请单击“去支付”，根据界面提示进行付款操作。 系统将自动跳转到节点列表页面，待节点状态为“运行中”，表示节点添加成功。添加节点预计需要610分钟左右，请耐心等待。 步骤 5 单击“返回节点列表”，待状态为运行中，表示节点创建成功。

展示该应用实例/数据库等涉及的调用链信息,包括TraceID、产生时间、接口名称、耗时、状态信息。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「 应用详情 」或「 数据库调用 」等其他维度分析视角，您可以在应用详情页面切换至「 调用链查询 」页签，在左侧关键指标中 选择不同的应用实例/数据库等 ，可查看该应用实例/数据库相应的调用链信息。 功能说明 显示筛选时间段内，该应用实例/SQL涉及的调用链信息。 产生时间 ：该调用链产生的时间点。 接口名称 ：显示发起API调用时的接口名称，完整调用链中涉及的接口信息在trace详情中查看。 所属应用 ：显示当前应用实例所属应用的名称，该调用链涉及的其他应用信息在trace详情中查看。 耗时 ：一个完整的链路调用所消耗的时间。 状态 ：与HTTP状态码对应。 TraceID ：调用链的唯一标识。点击显示详情弹窗如“Trace详情”。

本节主要介绍实施步骤 实施步骤 资源和套餐准备 说明 针对测试资源组有以下说明与使用约束： 测试资源组包含共享资源组和私有资源组两种类型，共享资源组为系统默认提供，私有资源组需要自行创建。 共享资源组的执行节点已绑定弹性IP，当被测应用有网络访问限制时，建议创建私有资源组。 当并发大于10000或者40000QPS或者总带宽大于100Mb时，建议创建私有资源组。 JMeter测试任务只可以使用私有资源组。 1、登录性能测试控制台，在左侧导航栏选择“总览”，进入“总览”页面。 2、单击“购买服务套餐包”，进入“购买性能测试套餐”页面。 3、设置以下信息。 性能测试套餐参数说明 参数 说明 服务版本 根据需求选择专业版或者铂金版。 区域 选择“区域”。例如，选择“华北北京四”。不同的区域之间套餐包不互通，每个区域需分别购买。 企业项目 该参数针对企业用户使用。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 计费模式 “专业版”只支持“按需套餐包”。 “铂金版”支持“按需套餐包”和“包周期套餐包”。 峰值并发 执行压测任务支持的最大并发用户数。例如，选择“5万”。 VUM额度 仅在“计费模式”为“按需套餐包”时，需要设置。VUM是性能测试的计费单位，VUM VU（虚拟并发用户数） M（分钟）。 有效期 仅在“计费模式”为“按需套餐包”时，涉及该参数。默认为“一年”。套餐包到期后，未使用的VUM会被清零。 包周期时长 仅在“计费模式”为“包周期套餐包”时，需要设置。选择需要包周期的时长，可选择：1至9个月，或1年，也可自动续费。 4、单击“立即购买”，进入订单确认页面。 5、确认订单无误后，支付订单。 6、登录性能测试控制台，在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 7、（可选）首次使用时，请根据提示信息，授权性能测试创建私有资源组。 8、进入创建资源组页面后，如果是首次使用没有云容器引擎服务CCE集群，则需要先执行创建集群然后再创建资源组。如果已有可用的云容器引擎服务CCE集群，直接执行创建资源组。 9、创建集群。 单击页面上方的“创建集群”，进入购买CCE集群页面，设置集群参数。 说明 集群管理规模选择与执行节点个数相关，例如，需要20个执行节点，那么集群调试节点规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 说明 节点规格至少为vCPU为4核，内存8GB。 操作系统需选择欧拉EulerOS。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建，选中后将根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 10、 创建资源组。 在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 参照下表设置基本信息。 创建私有资源组 参数 参数说明 资源组名称 新建私有资源组的名称，可自定义。 节点集群 在下拉框选择已创建的CCE集群。 调试节点 选择执行压测的调试机。调试节点在资源组创建成功后不可修改。 执行节点 选择执行压测的执行机，即在压测过程中能够提供自身性能数据的施压目标机器。 单击“创建”。

接口功能介绍 提供查询防护规则详情的接口 接口约束 传参规范 URI GET /vfw/v2systemsecpolicyinfo 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙ID ruleId 是 Long 规则ID 321 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 QuerySecpolicyEntityInfo 表 QuerySecpolicyEntityInfo 参数 参数类型 说明 示例 下级对象 ruleName String 规则名称 test firewallId String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 ipProto String IP协议，可能值 v4,v6。 v4 direction String 方向，可能值 in,out。 in action String 动作，可能值 drop,pass。 pass dstIp String 目的IP V4必输 1.1.1.0 dstIpMask Integer 目的IP子网掩码 V4必输 24 dstIp6 String 目的IP6 V6必输 1:: dstIp6Mask Integer 目的IP6子网掩码 V6必输 96 srcIp String 源IP V4必输 2.2.2.0 srcIpMask Integer 源IP子网掩码 V4必输 24 srcIp6 String 源IP6 V6必输 2:: srcIp6Mask Integer 源IP6子网掩码 V6必输 96 service String 服务类型，可能值 any,icmp,tcp,udp。 tcp dstPort String 目的端口 8080 srcPort String 源端口 8182 icmpType String icmpType icmpCode String icmpCode app String 应用ID 多个ID用逗号隔开 20,30 status String 规则开关，可能值 disable,enable。 disable statistics String 统计开关，可能值 disable,enable。 disable policy Integer 优先级 1 policyDesc String 防护规则描述 防护规则描述 quota Integer 占用规格数量 1 pos String 移动策略ID到最前或最后，可能值 head,remove,tail。 head privateV4Ips Array of Strings V4私网ips privateV6Ips Array of Strings V6私网ips ipv4DstBeginNum Long 目的ipv4的开始数字形式 ipv4DstEndNum Long 目的ipv4的结束数字形式 ipv4SrcBeginNum Long 源ipv4的开始数字形式 ipv4SrcEndNum Long 源ipv4的结束数字形式 ipv6DstBeginNum Long 目的ipv6的开始数字形式 ipv6DstEndNum Long 目的ipv6的结束数字形式 ipv6SrcBeginNum Long 源ipv6的开始数字形式 ipv6SrcEndNum Long 源ipv6的结束数字形式 srcIpGroupId Integer 源地址组id dstIpGroupId Integer 目的地址组id srcPortGroupId Integer 源端口组id dstPortGroupId Integer 目的端口组id srcIpGroupName String 源地址组名称 dstIpGroupName String 目的地址组名称 srcPortGroupName String 源端口组名称 dstPortGroupName String 目的端口组名称

如何获取分布式缓存Redis实例的连接地址和实例ID？ 在实例详情页中可以查询到以上信息，具体操作可参考查看连接地址。 可以通过rediscli连接Redis吗？ rediscli是原生Redis自带的命令行工具，您可以在CTECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 分布式缓存Redis版支持Jedis等通用的Redis客户端吗？ 支持。任何兼容Redis协议的客户端都可以访问分布式缓存Redis版，您可以根据应用特点选用Redis客户端。 关于Redis客户端的连接方法，请参见通过客户端连接Redis。 连接Redis实例需要在CTECS上安装Redis吗？ 不需要，只要有相应的Redis客户端即可从CTECS上连接Redis实例。 请参见通过客户端连接Redis。 缓存实例支持公网访问吗？ 支持通过绑定弹性IP进行公网访问，具体请参考公网连接Redis实例。 建议通过同一虚拟私有云下的弹性云主机来访问缓存实例，以确保缓存数据的安全。 缓存实例是否支持跨VPC访问？ 在一些情况下，由于实例未开启公网访问，不同虚拟私有云（VPC）间的网络通常是不互通的。这会导致无法直接访问分布式缓存服务（DCS）实例。为了解决这个问题，可以考虑创建VPC对等连接，以实现两个VPC之间的网络互通。 关于创建和使用VPC对等连接，请参考 VPC对等连接说明

本章节介绍应用容灾多活的配置总览，帮助您理解多活管理的配置结构。 概述 在容灾配置总览页面，您可以直观地了解当前应用系统的部署架构、应用节点、服务分组、服务状态以及生效配置。 应用容灾多活采用基线 管理生效配置，控制台操作的配置变更只作为分支 暂存。您可以到容灾配置总览页面概览配置，对比变更详情，以及发起配置推送。 前提条件 已按规划开通所需模块。 已完成系统架构配置以及路由规则配置。 配置总览 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击总览 ，进入容灾配置总览页面。 表 配置总览 服务信息 说明 示例 单元组 服务所属的单元组，即路由规则分组。 订单业务 站点 服务所属的站点。 北京站点 服务类型 组件类型，或者应用所属的单元。 组件类型：应用网关/数据库/消息。 应用所属的单元：业务单元名称及路由范围。 应用网关 北京业务单元[0,499] 服务名称 组件或者应用服务名称，例如数据源名称。 广州订单数据库 服务地址 组件或者应用服务地址，例如数据库服务地址。 192.168.0.:3306 服务状态 组件或者应用的状态。 在线：探测组件实例状态为在线。 离线：探测组件实例状态为离线。 已配置：组件已配置。 未配置：组件未配置。 在线 操作 查看组件服务的详细信息。

配置云主机并创建Linux系统盘镜像 操作场景 安装完操作系统后的临时云主机需要进行相关配置，并安装原生的XEN和KVM驱动，才能保证后续创建的云主机正常使用。 该任务指导用户完成Linux云主机的相关配置与驱动安装，从而创建为Linux系统盘镜像。 操作步骤 1、配置云主机。 a.配置网络 检查云主机的私有IP是否和控制台显示的私有IP一致（可以通过ifconfig查看）。如果不一致，请参考“清理网络规则文件”清理网络规则文件。 检查网卡属性是否为DHCP。如果云主机网络配置为静态IP地址，请参考“设置网卡属性为DHCP”修改为DHCP方式。 检查SSH服务是否为开启状态（可以通过service sshd status查看）。如果未开启，请执行service sshd start。请确保您的云主机防火墙（例如：Linux iptables）允许访问SSH。 b.安装驱动 为了保证镜像创建的新云主机的网络性能以及基本功能正常，必须在创建镜像时使用的云主机中安装原生XEN和KVM驱动。在安装原生XEN和KVM驱动前，需要先卸载PV driver。 说明： 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 卸载PV driver，请参考“在Linux系统中卸载PV driver”。 安装原生的XEN和KVM驱动，请参考“安装原生的XEN和KVM驱动”。 驱动安装完成后需要清除日志文件、历史记录等，请参考“清除系统日志”。 c.配置文件系统 修改grub文件的磁盘标识方式为UUID，请参考“修改grub文件磁盘标识方式为UUID”。 修改fstab文件的磁盘标识方式为UUID，请参考“修改fstab文件磁盘标识方式为UUID”。 清除“/etc/fstab”中非系统盘的自动挂载信息，避免对后续挂载数据盘可能带来影响。请参考“卸载云主机的数据盘”。 d.（可选）配置增值功能 安装并配置CloudInit，请参考“安装CloudInit工具”和“配置CloudInit工具”。 开启网卡多队列，请参考“如何设置镜像的网卡多队列属性？”。 配置IPv6地址，请参考“如何开启云主机动态获取IPv6？”。 2、创建Linux系统盘镜像。 具体操作请参考通过云主机创建Linux系统盘镜像。

容量调整会在文件系统容量即将用尽时,帮助您在线扩展文件系统大小,满足未来业务存储要求。 注意 目前文件系统仅支持扩容操作，不支持缩容，可购置小容量新文件系统后进行文件迁移。 容量调整规则 每个账号的并行文件服务初始配额100TB，该账号下开通的所有文件系统共享该配额，因此扩容规则为： 扩容后的文件系统的总容量 “并行文件服务HPFS"； 3. 在文件系统列表，找到目标文件系统，单击目标文件系统所在行的"操作"列下的"扩容"； 4. 在弹出的扩容对话框中，按实际需要输入容量大小（必须比当前容量大）； 5. 完成容量设置后，单击"确认"； 6. 扩容操作为异步操作，容量调整可能会有1~3分钟延迟。

用于控制Agent总开关和插件开关,由此控制是否监控该应用,以及对哪些指标集进行监控。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用设置」「Agent开关设置」。 功能说明 针对通过javaagent接入的应用可进行如下配置： Agent总开关 支持控制该应用的agent是否生效。默认打开，如关闭，系统将不会监控您的应用，也不会产生费用。 插件开关 也支持单独针对agent插件设置开关，用以控制采集哪些指标集信息。需注意，插件开关的修改，需要您手动重启应用后才会生效。

应用接入点是KMS提供的一种身份认证和访问控制机制,当应用需要使用密钥进行加解密时,可通过应用接入点对应用进行身份认证和行为管控。 说明 应用接入点权限作用于KMS服务SDK中的接口调用，即当您的应用通过集成KMSSDK访问KMS服 务接口，服务将依旧应用接入点的权限策略进行身份认证和行为鉴权。 权限管理 应用接入点可配置对应的权限，包括可使用的密钥、证书等资源范围以及接口级操作权限。 允许访问的资源：应用允许访问的密钥、证书。 操作权限：应用允许使用的功能点。 权限配置 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏选择服务所在的区域。 3. 进入“应用接入点”页面，在页面上方切换至目标KMS服务实例。 4. 找到目标应用接入点，点击配置权限。 5. 在权限策略配置页签，配置对应的权限。 配置 说明 权限规则开关 应用接入点创建成功后，权限规则开关默认关闭，即允许访问当前账 权限规则开关 号下的所有资源及操作。若您需要为应用接入点配置特定权限，请开启开关并配置。 允许访问的资源 可选： 密钥 证书 请勾选应用通过应用接入点需要访问的密钥或证书资源。 效果 默认为允许，即您当前的规则为允许当前应用访问的资源及接口。 操作 选择允许应用访问的功能点。 6. 配置完成后，点击确认，页面提示“权限配置成功”表示权限控制已经生效。

重置站点 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 单击应用系统名称，进入应用系统管理页面。 4. 单击左侧菜单栏系统架构配置，进入系统架构配置页面。 5. 在站点列表 中找到需要重置的站点，单击重置操作，弹出重置确认页面。 6. 在弹出页面确认信息，单击确定完成重置。 注意 重置站点将重建站点管控数据，请在故障站点恢复正常后操作。 启用站点 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 单击应用系统名称，进入应用系统管理页面。 4. 单击左侧菜单栏系统架构配置，进入系统架构配置页面。 5. 在站点列表 中找到需要启用的站点，单击启用操作，弹出启用确认页面。 6. 在弹出页面确认信息，单击确定完成启用。 7. 在站点列表，查看站点已启用成功。 注意 启用后，站点将重新纳入管控，启用前请确保站点已恢复正常且已成功执行重置站点。 单元管理 创建单元 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 单击应用系统名称，进入应用系统管理页面。 4. 单击左侧菜单栏系统架构配置，进入系统架构配置页面。 5. 单击单元管理右侧创建按钮，进入创建单元页面。 6. 选择站点，填写单元名称，单击确定完成创建。 7. 在单元列表，查看单元已创建成功。 配置项 描述 示例 站点 单元所属站点。 广州站点 单元名称 单元自定义标识。 名称不支持数字或符号开头，长度为132个字符；仅支持输入[中文、数字、字母、 ]。 广州单元

本章节介绍发布单相关功能 概述 发布单主要用于发布同环境下多个应用实例，并指定应用实例间发布顺序。 发布单列表 发布单主要展示该环境下历史发布单信息。在左侧导航栏单击应用运维容器应用实例应用发布发布单进入发布单列表页面。发布单列表页面分成发布单统计和发布单列表两块内容。 发布单统计 发布单统计用于统计当前环境下发布单信息，展示发布单总计、发布成功总计、发布失败总计、发布中总计、待发布总计、已取消总计。 发布单列表 发布单列表包括发布单名称、部署单元、应用数量、状态、执行人、执行时间、操作列。根据状态的不同，操作列存在不同。 创建发布单 1. 在发布单列表页面，单击创建发布单按钮，进入发布单配置页面 2. 填写基本信息 配置项 描述 发布单名称 发布单名称。 部署单元 展示当前环境下的所有部署单元。 发布类型 支持普通发布和金丝雀发布。金丝雀发布支持按流量发布和按泳道发布。具体参考应用总览。 发布批次 选择发布分批次数。仅普通发布才有该选项。 首批灰度数量 首批发布的应用实例数量。右侧会显示应用当前实例数，为保证应用稳定性，灰度实例数不能超过应用实例总数的50%。仅金丝雀发布才有该选项。说明： 灰度分组发布后，必须手动开始剩余分批发布。 剩余分批次数 首批灰度发布后，剩余的应用实例按照该处设置的批次完成分批发布。 分批方式 说明： 当普通发布的发布批次大于1或者金丝雀发布的剩余分批次数大于1时，需配置分批间处理方式。 支持手动和自动。手动：手动触发下一个批次的发布。自动：根据间隔自动分配分批发布。间隔为剩余批次间的发布时间间隔，单位：分钟。 应用实例列表 您可以在待选应用实例列表中单击选择需要的应用实例，单击>图标将应用实例添加到已选应用实例列表中。若应用实例存在多个版本，需要选择要发布的版本。默认选择最新的版本。 3. 高级配置 高级配置用于设置应用实例间依赖关系。当选择了 2 个及以上应用实例时，可能需要填写应用实例之间的依赖关系。若应用实例之间不存在依赖关系，则直接跳过。 注意 应用实例之间不可循环依赖，即不可出现应用实例 A 依赖于应用实例 B，同时应用实例 B 又依赖于应用实例 A 这种情况。 4. 在预览页面确认信息无误后，单击创建。系统会自动跳转到发布单列表页面，单击发布单名称进入发布单详情页面，等待初始化完成后点击发布即可开始发布。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

本文介绍了如何管理前缀列表的条目信息。 操作场景 您可以管理前缀列表，根据需求新增、修改或删除前缀列表条目。 前缀列表被资源引用后，如安全组规则，那么当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建好前缀列表。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 在右侧前缀列表页面，选择目标前缀列表，点击名称进入前缀列表详情。 6. 根据您的需求新增、修改、删除前缀列表条目。 新建前缀列表条目 前缀列表条目页签下，单击【新增】按钮。 在新增弹窗中添加CIDR地址块和描述信息，然后单击 保存 。 如果需要添加多个条目，可点击弹窗中的【新增条目】批量添加。 修改前缀列表条目 在前缀列表详情页，找到目标条目，单击【修改】。 修改条目的CIDR地址块和描述信息，然后单击 保存 。 删除前缀列表条目 删除单个条目：在目标条目的操作列，单击操作列【删除】。 批量删除条目：选中多个目标条目，单击顶部的【批量删除】。

本节介绍了： Pod内DNS解析异常的诊断流程、排查思路、常见解决方案和排查方法。 诊断流程的基本概念 集群内部域名：CoreDNS会将集群中的服务暴露为集群内部域名，默认以.cluster.local结尾，这类域名的解析通过CoreDNS内部缓存完成，不会从上游DNS服务器查询。 VPC、地域内部域名：在VPC、地域内DNS服务器中注册的天翼云各产品内部服务域名，默认以.cnspinternal.ctyun.cn结尾，这类域名通常与地域、VPC相关，由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 公网域名：在第三方DNS服务商、天翼云DNS云解析等产品注册的权威解析，这类域名由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 业务Pod：部署在Kubernetes集群中的容器Pod，特指非Kubernetes自身系统组件的容器。 使用CoreDNS的业务Pod：容器内DNS服务器地址为CoreDNS的Service IP（查看容器/etc/resolv.conf文件得到的DNS服务器地址与CoreDNS的Service IP相同）。 使用NodeLocal DNSCache的业务Pod：集群中安装了NodeLocal DNSCache插件后，通过自动或手动方式注入DNSConfig的业务Pod。这类Pod在解析域名时，会优先访问本地缓存组件。在访问本地缓存组件不通或无DNS缓存记录时，会再次访问CoreDNS提供的kubedns服务。 异常诊断流程

本文为您介绍应用接入点的概念及具体功能。 应用接入点是KMS提供的一种身份认证和访问控制机制，当应用需要使用密钥进行加解密时，可通过应用接入点对应用进行身份认证和行为管控。 应用接入点包含三个关键信息：权限规则、身份凭证和应用接入地址。 通过应用接入点访问KMS服务为私网访问，认证方式采用AK/SK方式，对应可集成服务SDK。关于服务SDK的详细介绍，请参见服务SDK。 说明 建议您为每个集成KMS的应用单独创建应用接入点，以确保访问控制权限的独立性。 当前KMS提供3个免费的应用接入点额度。 成功开通KMS服务实例后，KMS会在服务实例所在VPC自动生成并启用默认应用接入点（default）。 默认应用接入点生成后不会生成身份凭证并默认关闭权限规则开关，如需使用请自行创建和配置。 身份凭证 身份凭证用于对KMS资源访问者进行身份认证和行为鉴权。 当前KMS通过AK/SK的身份验证方式，其中包含AK（Accesskey）和SK（Secretkey）。 一个应用接入点支持创建多个身份凭证。 注意 生成访问凭证（AK/SK）后，您需要立即在弹窗中复制或下载文件，关闭后不再支持下载。若您未能成功保存，可删除后重新创建。 如果访问凭证（AK/SK）泄露，会带来数据泄露风险，建议妥善保管。 权限规则 应用接入点可配置对应的权限，包括可使用的密钥、证书等资源范围以及接口级操作权限。 允许访问的资源：应用允许访问的密钥、证书。 操作权限：应用允许使用的功能点。 说明 权限规则开关默认关闭，即允许访问当前账号下的所有资源及操作。若您需要为应用接入点配置特定权限，请开启开关并配置。 关于应用接入点权限的详细介绍请参考应用接入点权限。

弹性云主机的操作系统无法正常启动是什么原因？ 1. 查看用户的镜像类型，如果是公共镜像则排除私有镜像的源镜像问题。 2. 单击“申请服务器”，查看能否创建出此镜像的弹性云主机，申请完成后未出现此镜像对应的弹性云主机，则此类镜像可能已经下线，属于老镜像。 3. 控制台不支持使用老镜像继续购买弹性云主机，您需要将弹性云主机的操作系统切换为当前在线的操作系统。 针对Intel处理器芯片存在的Meltdown和Spectre安全漏洞，应该如何规避？ 问题描述 北京时间1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 严重程度：高危 漏洞描述：CPU内核高危漏洞Meltdown（CVE20175754）和Spectre（CVE20175715/CVE20175753）爆发，攻击者可利用这两组漏洞，绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 背景信息 受影响的操作系统官方补丁发布状态，请参见云平台安全公告。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 更新补丁。 方式一：使用Windows自动更新功能安装补丁 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装 根据背景信息，下载官方发布的补丁并进行安装。 步骤 3 重启弹性云主机，使补丁生效。 步骤 4 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 Linux弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 判断Linux弹性云主机是否安装了Tools（以操作系统SUSE 11 SP1为例）。 1. 在任意目录下执行以下命令，查询弹性云主机的驱动信息，如下图所示。 lsmod grep xen 图 查询驱动信息 2. 执行以下命令，查询驱动路径（以磁盘驱动为例），如下图所示。 modinfo xenvbd 图 查询驱动路径 3. 查看回显，根据驱动路径中是否带有“pvdriver”字段信息，判断弹性云主机是否安装了Tools。 − 是，如图所示，执行步骤3。 − 否，执行步骤4。 步骤 3 卸载Tools。 1. 执行以下命令，切换至root用户。 su root 2. 执行以下命令，在根目录下卸载Tools。 /etc/.uvpmonitor/uninstall 3. 执行以下命令，重启弹性云主机。 reboot 步骤 4 更新补丁，升级kernel内核，具体升级方式请参见背景信息。 说明 升级kernel内核后，请务必执行reboot命令重启弹性云主机。 步骤 5 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 说明 补丁更新后，弹性云主机使用的驱动是由操作系统自带。此时，Linux弹性云主机不再支持监控指标：内存使用率、磁盘使用率，对其他特性和功能无影响。如需继续支持监控指标内存使用率、磁盘使用率，请联系客服。

本文主要介绍了在“我的订单”页面进行订单支付的操作步骤。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索待支付订单，也可通过订单类型、订单状态过滤筛选待支付订单。若支付云订单，选中“云订单”页签；若支付网订单，选中“网订单”页签。 3. 在订单页面找到待支付的订单，单击“支付”；也可以点击右上角“批量支付”，选择多个待支付订单，进行批量支付。 4. 选择优惠和支付方式，点击“立即支付”。 5. 前往支付平台，选择支付方式，点击“确认支付”。 说明 若客户当时没有立即支付，后期也可进入“待支付订单”支付订单，其他详细说明可参见“待支付订单>支付”。

本节主要介绍新建应用 1、登录ServiceStage，选择“应用管理 > 应用列表”，单击“创建应用”。 2、设置应用基本信息，输入“应用名称”、“描述”等信息。 3、单击“确定”，完成应用创建。

本节介绍了云容器引擎的最佳实践; 集群命名空间RBAC授权。 应用现状 云容器引擎的权限控制有两种：集群权限和命名空间权限，以下篇幅将介绍云容器引擎针对集群权限的ClusterRole的创建、权限绑定和验证做简单介绍。 RBAC（RoleBased Access Control） 是基于角色（Role）的访问控制。您可以通过RBAC将权限和集群角色关联，以达到为不同的角色成员配置不同的权限，从而降低账号的安全风险。RBAC的Kubernetes对象的Role或者ClusterRole中包含一组代表相关权限的规则。Role用来在某个命名空间内设置访问权限，ClusterRole则是用于为集群范围的资源定义访问权限。 权限策略说明 您可自行编写权限策略，或通过云容器引擎的控制台创建自定义策略。 ClusterRole创建 针对您要定义集群范围的角色，那么请使用ClusterRole。下面是一个创建ClusterRole的YAML示例。 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: clusterRoletest rules: apiGroups: metrics.k8s.io resources: pods verbs: get list watch 关于ClusterRole或者Role的更多信息，请参见Role和ClusterRole。 预置角色权限说明 预置角色 集群内RBAC权限 管理员 对集群所有命名空间下 Kubernetes 资源的 RBAC 读写权限， 对集群节点、存储卷、命名空间、配额的读写权限 运维人员 对集群所有命名空间下控制台可见 Kubernetes 资源的 RBAC 读写权限， 对集群节点、存储卷、命名空间、配额的只读权限 开发人员 对集群所有命名空间或所选命名空间下控制台可见 Kubernetes 资源的 RBAC 读写权限 受限人员 对集群所有命名空间或所选命名空间下控制台可见 Kubernetes 资源的 RBAC 只读权限 自定义 权限由您所选择的 ClusterRole 决定，请在确定所选 ClusterRole 对各类资源的操作权限后再进行授权，以免子账号获得不符合预期的权限

OS 发行系列 支持版本 Windows Windows Server 2008 R2 Standard/Enterprise/Datacenter/Web Windows Server 2012 Standard/Datacenter Windows Server 2012 R2 Standard/Datacenter Windows Server 2016 Standard/Datacenter Windows Server 2019 Standard/Datacenter Windows Server Core Version 1709 CentOS 64bit：CentOS 6：6.10/6.9/6.8/6.7/6.6/6.5/6.4/6.3 64bit：CentOS 7：7.6/7.5/7.4/7.3/7.2/7.1/7.0 64bit：CentOS 8：8.0 Ubuntu 64bit：Ubuntu 20.04/18.04/16.04/14.04/12.04 Server EulerOS 64bit：EulerOS 2.5/2.3/2.2 Red Hat 64bit：Red Hat 6：6.10/6.9/6.8/6.7/6.6/6.5/6.4 64bit：Red Hat 7：7.6/7.5/7.4/7.3/7.2/7.1/7.0 64bit：Red Hat 8：8.0 SUSE Linux Enterprise 64bit：SLES 11：11 SP4/11 SP3 64bit：SLES 12：12 SP4/12 SP3/12 SP2/12 SP1/12 64bit：SLES 15：15 Debian 64bit：Debian 8：8.0.0~8.10.0 64bit：Debian 9：9.8.0/9.7.0/9.6.0/9.5.0/9.4.0/9.3.0/9.0.0 openSUSE 64bit：openSUSE 13：13.2 64bit：openSUSE Leap 15：15.1/15.0 64bit：openSUSE Leap 42：42.3/42.2/42.1 Fedora 64bit：Fedora 22~29 CoreOS 64bit：CoreOS 2079.4.0 FreeBSD 64bit：FreeBSD 11.0 openEuler 64bit：openEuler 20.03