工作原理 天翼云资源池，针对四层的TCP请求（TCP监听器），可以通过下述两种方式获取客户端源IP： 1. 在后端主机内配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块，需要在ELB后端主机中安装TOA插件，以实现后端主机可获取客户端真实源IP地址的目的。具体操作参考——操作步骤（TOA模式）。 2. 在后端主机组上打开“获取客户端真实源IP”（该功能不支持平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置）开关，并在后端主机里开启Proxy Protocol后获取到客户端真实源IP。具体操作参考——操作步骤（Proxy Protocol模式）。该功能具体支持情况请以控制台显示为准。 说明 “获取客户端真实源IP”需要代理服务器和后端主机都支持该协议才能正常使用。如果后端主机不具备解析Proxy Protocol协议能力，打开特性开关可能会导致后端服务解析异常，从而影响服务可用性。 对于操作步骤（Proxy Protocol模式）实际支持情况以控制台展现为准。 操作步骤 TOA模式 1. 准备编译环境 a. 针对Linux内核版本为3.0以上的操作系统。以Centos环境为例。 b. 安装gcc编译器，执行以下命令： sudo yum install gcc c. 安装make工具，执行以下命令： sudo yum install make d. 安装内核模块开发包，执行以下命令： sudo yum install kerneldeveluname r e. 注意开发包的版本需要与内核版本一致，假如自带源里没有对应的内核开发包，可以到以下链接地址进行下载，地址如下： 以3.10.01160.80.1.0.1.el7.x8664为例，下载后执行以下命令安装： rpm ivh kerneldevel3.10.01160.80.1.0.1.el7.x8664.rpm f. 以下步骤是以Ubuntu、Debian环境为例，进行编译环境准备。 g. 安装gcc编译器，执行以下命令： sudo aptget install gcc h. 安装make工具，执行以下命令： sudo aptget install make i. 安装内核模块开发包，执行以下命令： sudo aptget install linuxheadersuname r 2. 编译内核模块 a. 下载TOA内核模块源代码，点击进入常见TOA下载页面 （获取验证码：t7nv）进行下载。 b. 编译模块。执行以下命令： cd src make c. 编译过程若未提示warning或者error，说明编译成功，检查当前目录下是否已经生成toa.ko文件。 3. 加载内核模块 a. 加载内核模块，执行以下命令： sudo insmod toa.ko b. 验证模块加载情况及内核输出信息，执行以下命令： dmesg grep TOA 假如提示信息中包含“TOA: toa loaded”，则证明内核模块已经加载成功。 说明 当CoreOS在容器中编译完内核模块后，需要将内核模块复制到宿主系统，最后在宿主系统中加载内核模块。另外由于编译内核模块的容器和宿主系统共享/lib/modules目录，可以在容器中将内核模块复制到该目录下，以供宿主系统使用 4. 自动加载内核模块 a. 把加载TOA内核模块的命令加到您的启动脚本中，能够保证TOA内核模块在系统启动时生效。 b. 在自定义的启动脚本中添加加载TOA内核模块的命令。具体步骤可参考以下操作： c. 在“/etc/sysconfig/modules/”目录下新建toa.modules文件。该文件包含了TOA内核模块的加载脚本。toa.modules文件内容，请参考如下示例：

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

说明：本章节会介绍如何在控制台下载Binlog备份文件 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 RDS for MySQL支持用户下载Binlog备份。 下载Binlog备份文件 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面。 在左侧导航栏，单击“备份恢复”，在“Binlog备份”子页签下，单击操作列中的“下载”。 您也可以勾选需要下载的Binlog备份，单击左上角“下载”。 下载任务执行完成后，您可在本地查看到Binlog备份文件。

本文介绍视频直播支持的播放协议范围。 视频直播支持RTMP、FLV、HLS播放协议。 RTMP：全称Real Time Messaging Protocol，即实时消息传送协议，是Adobe公司为Flash播放器和服务器之间音视频数据传输开发的私有协议。 FLV：Flash Video，是一种在网络上传输的流媒体数据存储容器格式。其格式相对简单轻量，整个FLV由FLV Header和FLV Body组成，加载速度极快。采用FLV格式封装的文件后缀为.flv。 HLS：是苹果公司基于HTTP的流媒体传输协议，它不会一次请求完整的数据流，而是在服务器端将流媒体数据切割成连续的时长较短的ts小文件，并通过M3U8索引文件按序访问ts文件来实现音视频播放。 协议 优点 缺点 适用场景 RTMP 延时较低：1s~3s。 跨平台兼容性较差；高并发场景下稳定性不足。 多用于推流场景。 FLV 延时较低：1s~3s。 跨平台兼容性较差。 多用于对延时要求较高的播放场景。 HLS 对html5有较好的支持；跨平台兼容性比较好。 延时较高：以gop为2s为例，延时6s+。 多用于对延时要求较低的播放场景。

您可以根据实际情况，导出角色权限。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧导航栏，选择用户与角色管理 ，进入用户管理页面。 5. 单击角色管理 页签，进入角色管理页面。 6. 在角色列表中，找到目标角色，单击操作 列的导出权限。 系统自动导出并下载.csv格式的文件，请妥善保存。

第一步：购买Token Plan量包 登录星辰TokenHub运营服务平台控制台，选择“在线推理>预置服务”，选择支持Token Plan服务的模型名称，点击操作列的“开通付费”进入购买。支持Token Plan服务的模型参见包周期计费模式Tokens量包。 第二步：激活Token Plan量包 方式一： 进入Tokens量包页面，在“开通资源情况”中找到对应量包，点击“激活”并确认。 方式二： 在“在线推理>预置服务”中找到对应服务，点击服务名称进入详情页激活Token Plan量包。 第三步：获取APP Key和请求地址BaseURL APP Key：“控制台服务接入”配置相应模型服务创建服务组，获取APP Key。 BaseURL： OpenAI协议： 第四步：开启调用 通过API调用或接入AI工具后使用。

错误码 错误信息 HTTP状态码 语义 解决方案 APIG.0101 The API does not exist or has not been published in the environment. 404 API不存在或未发布到环境 检查调用API所使用的域名、请求方法、路径和注册的API是否一致；检查API是否发布，如果发布到非生产环境，检查请求XStage头是否为发布的环境名；检查调用API使用的域名是否已经绑定到API所在的分组。 APIG.0101 The API does not exist. 404 API请求方法不存在 检查API请求方法是否与API定义的方法相同 APIG.0103 The backend does not exist. 500 无法找到后端 联系技术支持 APIG.0104 The plugins do not exist. 500 无法找到插件配置 联系技术支持 APIG.0105 The backend configurations do not exist. 500 无法找到后端配置 联系技术支持 APIG.0106 Orchestration error. 400 编排错误 检查API配置的前后端参数是否合理 APIG.0201 API request error. 400 请求格式不合法 使用合法的请求 APIG.0201 Request entity too large. 413 请求body过大（大于12M） 减小请求body大小 APIG.0201 Request URI too large. 414 请求URI过大（大于32K） 减小请求URI大小 APIG.0201 Request headers too large. 494 请求头过大（单个请求头大于32K或所有请求头总长度大于128K） 减小请求头大小 APIG.0201 Backend unavailable. 502 后端不可用 检查API配置的后端地址是否可用 APIG.0201 Backend timeout. 504 后端超时 增大超时时间或缩小后端的处理时间 APIG.0201 An unexpected error occurred 500 内部错误 联系技术支持 APIG.0204 SSL protocol is not supported: TLSv1.1 400 SSL协议版本不支持 使用支持的SSL协议版本 APIG.0301 Incorrect IAM authentication information. 401 IAM认证信息错误 检查token是否正确 APIG.0302 The IAM user is not authorized to access the API. 403 IAM用户不允许访问API 检查用户是否被黑白名单限制 APIG.0303 Incorrect app authentication information. 401 APP认证信息错误 检查请求的方法、路径、查询参数、请求体和签名使用的方法、路径、查询参数、请求体是否一致；检查客户端机器时间是否正确。 APIG.0304 The app is not authorized to access the API. 403 APP不允许访问API 检查APP是否授权访问API APIG.0305 Incorrect authentication information. 401 认证信息错误 检查认证信息是否正确 APIG.0306 API access denied. 403 不允许访问API 检查是否授权访问API APIG.0307 The token must be updated. 401 token需要更新 重新从IAM获取token APIG.0308 The throttling threshold has been reached. 429 超出流控值限制 等待流控刷新后访问。如果触发子域名的单日请求数上限，请绑定独立域名。 APIG.0310 The project is unavailable. 403 project不可使用 使用其他project访问 APIG.0311 Incorrect debugging authentication information. 401 调试认证信息错误 联系技术支持 APIG.0401 Unknown client IP address. 403 无法识别客户端IP地址 联系技术支持 APIG.0402 The IP address is not authorized to access the API. 403 IP地址不允许访问 检查IP地址是否被黑白名单限制 APIG.0404 Access to the backend IP address has been denied. 403 后端IP不允许访问 后端IP地址或后端域名对应的IP地址不允许访问 APIG.0502 The app has been frozen. 405 APP被冻结 余额不足 APIG.0601 Internal server error. 500 内部错误 联系技术支持 APIG.0602 Bad request. 400 非法请求 检查请求是否合法 APIG.0605 Domain name resolution failed. 500 域名解析失败 检查域名拼写，以及域名是否绑定了正确的后端地址 APIG.0606 Failed to load the API configurations. 500 未加载API配置 联系技术支持 APIG.0607 The following protocol is supported: {xxx} 400 协议不被允许，允许的协议是 xxx。 注意：xxx以实际响应中的内容为准。 改用支持的协议（HTTP/HTTPS）访问 APIG.0608 Failed to obtain the admin token. 500 无法获取管理帐户 联系技术支持 APIG.0609 The VPC backend does not exist. 500 找不到vpc后端 联系技术支持 APIG.0610 No backend available. 502 没有可连接的后端 检查所有后端是否可用，如调用信息与实际配置是否一致。 APIG.0611 The backend port does not exist. 500 后端端口未找到 联系技术支持 APIG.0612 An API cannot call itself. 500 API调用自身 修改API后端配置，递归调用层数不能超过10层。 APIG.0613 The IAM service is currently unavailable. 503 IAM服务暂时不可用 联系技术支持 APIG.0705 Backend signature calculation failed. 500 计算后端签名失败 联系技术支持 APIG.0802 The IAM user is forbidden in the currently selected region 403 该IAM用户在当前region中被禁用 联系技术支持 APIG.1009 AppKey or AppSecret is invalid 400 AppKey或AppSecret不合法 检查请求的AppKey或AppSecret是否正确

本文将从功能简介、背景信息、前提条件、操作步骤、配置说明等方面介绍如何设置规则防护功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加服务域名时，系统将通过4个问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘云WAF业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘云WAF安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性； 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注； PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注； JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注；

通过界面下载慢日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下，对状态为“准备完成”的日志文件，单击操作列中的“下载”，下载慢日志。 系统会自动加载下载准备任务，加载时长受日志文件大小及网络环境影响。 − 下载准备过程中，日志文件状态显示为“准备中...”。 − 下载准备完成，日志文件状态显示为“准备完成”。 − 下载准备工作失败，日志文件状态显示为“异常”。 “准备中...”和“异常”状态的日志文件不支持下载。 当前页面支持下载的文件最大不超过40MB，时间范围是从当前时间往前计算，直至文件大小累计为40MB。 当需要下载的文件大于40MB时，需要通过客户端工具OBS Browser+进行下载。 下载链接有效期为5分钟。如果超时，提示用户下载链接已失效，是否重新下载。若需重新下载，单击“确定”，否则单击“取消”。 下载的日志文件仅包含主节点的日志。 结束 LTS慢日志配置 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下，选择“日志明细”。 步骤 6 单击 ，配置日志记录上传LTS。 步骤 7 在下拉框分别选择LTS日志组和日志流，单击“确定”。 结束

添加环境变量 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“环境变量”。 步骤 2 设置环境变量。 YAML样例 apiVersion: apps/v1 kind: Deployment metadata: name: envexample namespace: default spec: replicas: 1 selector: matchLabels: app: envexample template: metadata: labels: app: envexample spec: containers: name: container1 image: nginx:alpine imagePullPolicy: Always resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi env: name: key 自定义 value: value name: key1 配置项键值导入 valueFrom: configMapKeyRef: name: configmapexample key: key1 name: key2 密钥键值导入 valueFrom: secretKeyRef: name: secretexample key: key2 name: key3 变量引用，用Pod定义的字段作为环境变量的值 valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name name: key4 资源引用，用Container定义的字段作为环境变量的值 valueFrom: resourceFieldRef: containerName: container1 resource: limits.cpu divisor: 1 envFrom: configMapRef: 配置项导入 name: configmapexample secretRef: 密钥导入 name: secretexample imagePullSecrets: name: defaultsecret 环境变量查看 如果configmapexample和secretexample的内容如下。 $ kubectl get configmap configmapexample oyaml apiVersion: v1 data: configmapkey: configmapvalue kind: ConfigMap ... $ kubectl get secret secretexample oyaml apiVersion: v1 data: secretkey: c2VjcmV0X3ZhbHVl

序号 参数 字段配置说明 1 AppID和App Secret 见上方【前置准备】【准备创建飞书同步身份源配置参数】中的AppID和AppSecret

本文介绍如何配置鉴权有效期。 视频直播支持配置鉴权有效期。鉴权URL的有效期配置支持两种方式。 鉴权开始时间 鉴权开始时间，值为1970年1月1日以来的当前时间秒数，支持十进制或者十六进制。 该方式下鉴权有效时间由URL的鉴权开始时间和配置的鉴权URL有效时长共同控制，鉴权URL实际有效期URL的时间戳+视频直播配置的鉴权URL有效时长。 鉴权过期时间 鉴权过期时间，值为1970年1月1日以来的当前时间秒数，支持十进制或者十六进制。

接口功能介绍 支持直播推流、拉流域名配置的修改。 使用说明 修改域名之前，您需要先开通对应产品类型的服务，且保证资源包/按需服务有效； 需通过创建域名接口完成域名的创建后，才可进行域名配置的修改； 该域名没有在途工单； 调用接口成功仅代表成功进入配置下发流程，配置部署需要一些时间，请等待10分钟后通过查询域名配置信息查看配置是否下发完成； 单个用户一分钟限制调用10次； 视频直播产品的域名修改分3种场景，①修改推流域名；②修改拉流域名，且拉流模式为推拉流；③修改拉流域名，且拉流模式为回源拉流； 接口的 一级功能为增量更新，二级功能为全量更新 ，如可选择只更新ipaccesscontrol，但ipaccesscontrol下的配置项需全量更新。 接口详情 请求方式：POST 请求路径：/live/domain/updatedomain 请求参数 场景1：推流域名配置修改 参数 类型 名称 是否必填 说明 ::::: productcode string 产品类型 是 支持："005"：视频直播，创建后不可修改 domain string 加速域名 是 视频直播加速域名 ipaccesscontrol object ip黑白名单 否 未传代表不修改，有传代表整个object全量修改，包括：开关、ip列表、黑白名单类型 ipaccesscontrol.switch string 开关 是 取值：on（开启）;off（关闭） ipaccesscontrol.type int 黑白名单类型 否 取值：0（黑名单）；1（白名单），当ipaccesscontrol.switch on 时必填 ipaccesscontrol.list list ip列表 否 当ipaccesscontrol.switch on 时必填，支持ipv4、ipv6 selfnotice object 推流回调 否 不传字段或者传值为null代表不做修改，否则默认整体替换 selfnotice.switch int 推流回调开关 是 取值：on（开启）、off（关闭）； 开启时，推流回调地址、推流回调host、开播通知uri和关播通知uri均必填 selfnotice.notifyaddress string 推流回调地址 否 支持ipv4、ipv6和域名 selfnotice.notifyport int 开关播通知的端口 否 开关播通知的端口，默认80 selfnotice.notifyhost string 开关播请求使用的host头 否 支持ipv4、ipv6和域名 selfnotice.notifystarturlpath string 开播通知uri 否 示例：”/pushstart“ selfnotice.notifystopurlpath string 关播通知uri 否 示例：”/pushend“ timeshift object 时移任务 否 不传字段代表不做修改，否则默认整体替换，只支持配置一个时移任务; timeshift.switch string 时移开关 是 取值：on（开启）、off（关闭）； timeshift.maxplaybacktime string 时移任务回看时长 否 30s~30d（time格式，30s到30天）； 默认一小时,支持的单位： s、m、 h、d timeshift.moduleid string 录制模板id 是 时移需要绑定的录制模板id thirdpush object 转推 否 不传字段或者传值为null代表不做修改，否则默认整体替换 thirdpush.switch int 转推开关 是 取值：on（开启）、off（关闭）； thirdpush.pushlist list 转推列表 否 开关开启时必填，不支持存在重复的地址、端口、host组合 thirdpush.pushlist:origin string 转推目标ip或域名 是 如果是ipv6地址需要加[]，示例: [::1] thirdpush.pushlist:port string 转推目标端口 否 默认1935 thirdpush.pushlist:host string 转推使用的请求头host 否 转推的host

本文主要介绍 新建Pod检查。 检查内容 检查集群升级后，存量节点是否能新建Pod。 检查集群升级后，新建节点是否能新建Pod。 检查步骤 基于新建节点检查创建了新节点后，通过创建daemonset类型工作负载，在每个节点上创建Pod。 请登录CCE控制台，前往“资源>工作负载>守护进程集”，单击右上角“创建负载”或“YAML创建”。 建议您使用日常测试的镜像作为基础镜像。您可参照如下yaml部署最小应用Pod。 说明 该测试YAML将DaemonSet部署在default命名空间下，使用ngxin:perl为基础镜像，申请10m CPU，10Mi内存，限制100m CPU 50Mi内存。 apiVersion: apps/v1 kind: DaemonSet metadata: name: postupgradecheck namespace: default spec: selector: matchLabels: app: postupgradecheck version: v1 template: metadata: labels: app: postupgradecheck version: v1 spec: containers: name: container1 image: nginx:perl imagePullPolicy: IfNotPresent resources: requests: cpu: 10m memory: 10Mi limits: cpu: 100m memory: 50Mi 负载创建完毕后请检查该工作负载的Pod状态是否正常。 检查完毕后请登录CCE控制台，前往“资源>工作负载>守护进程集”，选择“postupgradecheck”工作负载并单击“更多>删除”删除该测试用工作负载。

步骤二：创建持久卷声明（PVC） 1. 创建示例yaml文件pvcstaticnas.yaml： shell apiVersion: v1 kind: PersistentVolumeClaim metadata: annotations: volume.beta.kubernetes.io/storageprovisioner: nas.csi.cstor.com name: pvcstaticnas namespace: default spec: accessModes: ReadWriteOnce resources: requests: storage: 500Gi volumeMode: Filesystem volumeName: {YOURPVNAME} 替换PV名称 2. 执行以下命令，创建pvc： plaintext kubectl apply f pvcstaticnas.yaml 步骤三：创建工作负载 1. 创建示例yaml文件podpvcstaticnas.yaml： shell apiVersion: apps/v1 kind: StatefulSet metadata: name: nginxpvcstaticnas labels: app: nginxpvcstaticnas spec: replicas: 1 serviceName: "" selector: matchLabels: app: nginxpvcstaticnas template: metadata: labels: app: nginxpvcstaticnas spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" volumeMounts: mountPath: "/mnt/data" name: "volume1" subPath: "ccsetest" volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 2. 执行以下命令，创建StatefulSet： plaintext kubectl apply f podpvcstaticnas.yaml 步骤四：验证数据持久化 1. 登录弹性容器服务管理控制台。 2. 在容器组列表页点击刚才创建的实例。 3. 点击“远程连接”页签，进入到容器内。 4. 向/mnt/data 目录下写一个文件，执行: plaintext echo "Hello World" > /mnt/data/test.log 5. 查看/mnt/data 目录下文件，执行： plaintext cat /mnt/data/test.log 预期结果如下： 6. 退出“远程连接”，使用kubectl删除pod，会触发pod自动重建，等待Pod重新运行正常。 plaintext kubectl delete po nginxpvcstaticnas0 7. 对新建Pod，登录弹性容器服务管理控制台，继续执行“远程连接”，进入到容器内查看数据。执行： plaintext cat /mnt/data/test.log 预期结果如下： 8. 以上步骤说明，pod删除重建后，重新挂载SFS弹性文件，数据仍然存在，说明SFS弹性文件系统中的数据可持久化保存。

协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。

本章节主要介绍翼MapReduce服务配置服务自定义参数。 MRS各个组件支持开源的所有参数，在MRS Manager支持修改部分关键使用场景的参数，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，用户可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，需要重启此服务，重启期间无法访问服务。 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 前提条件 用户已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 在MRS Manager界面，单击“服务管理”。 1. 单击服务列表中指定的服务名称。 2. 单击“服务配置”。 3. 在“参数类别”选择“全部配置”。 4. 在左侧导航栏选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存用户新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 5. 根据配置文件与参数作用，在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击和增加或删除一条自定义参数。第一次单击添加自定义参数后才支持删除操作。 修改某个参数的值后需要取消修改，可以单击恢复。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。

本文介绍会中成员管理功能。 适用场景 会议主持人/联席主持人需要控制参会成员的权限，如开启/关闭麦克风、摄像头。 会议中需要将成员设为联席主持人，以便协助管理会议。 会议出现异常，需要将违规或无关人员移出会议。 需要在大型会议中快速查找、管理特定参会者。 成员管理列表排序规则 在AOne会议参会页的底部工具栏点击“成员管理”，会显示成员管理页面。会议中的参会者会按照以下规则进行排序，方便用户快速定位： 1. 我（当前登录账号） 2. 主持人 3. 联席主持人 4. 开麦人员（麦克风处于打开状态的成员） 5. 其他参会者（按加入会议的先后顺序显示） 成员管理列表管理功能 1. 主持人/联席主持人可以在“成员管理”>“会议中”页面，管理会中所有成员。如果点击“全体静音”，则会中所有开麦人员的麦克风均会被关闭。如果点击“解除全体静音”，则会中所有成员都会收到“主持人邀请您解除静音”的弹窗邀请，成员可以选择“保持静音”或“解除静音”。 2. 主持人可以选择会中任一普通成员进行管控。可以对其执行：静音/解除静音，或点击“更多”按钮执行：停止共享（如果他正在共享屏幕）、邀请打开视频/关闭视频、私聊、修改会中名称、设为主持人、设为联席主持人、移至等候室、移出会议。 3. 主持人可以对联席主持人执行：静音/解除静音、停止共享（如果他正在共享屏幕）、邀请打开视频/关闭视频、私聊、修改会中名称、设为主持人、回收联席主持人、移至等候室、移出会议。 4. 联席主持人权限小于主持人，不支持结束会议、为他人分配角色，无法将主持人和其他联席主持人移至等候室或移出会议。联席主持人离开会议后，其联席主持人权限自动失效，重新入会将恢复普通参会者身份。 5. 当会议创建者不是主持人时，没有成员管控的权限。如需回收主持人权限，可以在成员管理页面底部点击“回收主持人”，或选中主持人点击“回收主持人”。 6. 普通参会者仅可对自己执行：静音/解除静音、会中改名。无法对会中其他人进行管理。 7. 各个功能适用的角色和操作步骤，详见以下说明： 功能 适用角色 操作步骤 会中改名（本人） 所有参会者 1. 进入会议，点击底部工具栏“成员”。 2. 在参会者列表中找到自己，鼠标悬停后点击“会中改名”。 3. 输入新的昵称，点击“确定”保存。 会中改名（他人） 主持人，联席主持人 1. 点击底部工具栏“成员”。 2. 在参会者列表中找到目标用户，鼠标悬停后点击“更多”。 3. 选择“修改会中名称”，输入新的昵称并点击“确定”。 移至等候室 主持人，联席主持人 1. 点击底部工具栏“成员”。 2. 在参会者列表中找到目标用户，鼠标悬停后点击“更多”。 3. 选择“移至等候室”完成操作。如果参会者的客户端版本过低，无法将其移至等候室，只能移出会议。 移出会议 主持人，联席主持人 1. 点击底部工具栏“成员”。 2. 在参会者列表中找到目标用户，鼠标悬停后点击“更多”。 3. 选择“移出会议”完成操作。 主持人转让 主持人 1. 点击底部工具栏“成员”。 2. 在参会者列表中找到要转让的成员，鼠标悬停后点击“更多”。 3. 点击“设为主持人”，转让立即生效。 主持人回收 会议创建者 1. 点击底部工具栏“成员”。 2. 在参会者列表中找到被转让主持人的成员，鼠标悬停后点击“更多”。 3. 点击“回收主持人”，权限回收。 静音/解除静音（本人） 所有参会者 1. 进入会议，在底部工具栏点击“麦克风”图标。 2. 点击一次为静音，再次点击为解除静音。 静音/解除静音（他人） 主持人，联席主持人 1. 点击底部工具栏“成员”。 2. 找到目标用户，鼠标进行悬停。 3. 选择“静音”或“解除静音”（解除静音需对方同意）。 设置联席主持人 主持人 1. 点击底部工具栏“成员”。 2. 找到目标用户，鼠标悬停后点击“更多”。 3. 选择“设为联席主持人”，立即生效。 回收联席主持人 主持人 1. 点击底部工具栏“成员”。 2. 找到已是联席主持人的用户，鼠标悬停后点击“更多”。 3. 选择“回收联席主持人”，权限回收。 邀请打开视频 主持人，联席主持人 1. 点击底部工具栏“成员”。 2. 找到关闭摄像头的用户，鼠标悬停后点击“更多”。 3. 选择“邀请打开视频”（邀请打开视频需对方同意）。 关闭视频 主持人，联席主持人 1. 点击底部工具栏“成员”。 2. 找到打开摄像头的用户，鼠标悬停后点击“更多”。 3. 选择“关闭视频”，立即生效。 停止共享 主持人，联席主持人 1. 点击底部工具栏“共享屏幕”右侧的上三角箭头按钮。 2. 从上拉菜单中选择“停止当前的共享”。 3. 确认操作后，当前共享会立即终止。

步骤2：准备工作 注意 在将业务接入DDoS高防（边缘云版）时，强烈建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 接入DDoS高防（边缘云版）前，您需要完成以下准备工作。 准备需要接入的网站域名信息，包括源站服务器公网IP、端口、请求协议等信息。 网站域名必须已完成ICP备案。 需要具备域名解析服务商添加TXT记录值权限或源站管理权限，以便完成域名归属校验。更多信息，请参见域名归属权校验指南。 需要具备DNS域名解析管理权限，用于切换DNS解析记录，以便接入后将网站流量引流到DDoS高防（边缘云版）。 若网站支持HTTPS协议访问，需要准备相应的证书和私钥信息，用于证书上传。更多信息,请参见证书管理。 检查网站业务是否有客户端黑白名单限制。业务接入后需要配置防护策略放行或拉黑相应的客户端IP。 推荐网站业务接入前，完成压力测试。 步骤3：接入DDoS高防（边缘云版） 1. 业务接入配置。 说明 如果在接入DDoS高防（边缘云版）前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认业务端是否存在直接指向源站IP的相关代码，若存在需要调整代码或配置，避免影响业务正常访问。 根据您的业务信息及流量请求购买相应的DDoS高防（边缘云版）套餐，并根据以上准备信息配合以下接入配置指导，将您的网站域名业务接入DDoS高防（边缘云版）： 添加域名。或参见视频接入指导： 视频专区。 2. 配置源站保护。 为避免恶意攻击者绕过DDoS高防（边缘云版）直接攻击源站服务器，建议您针对源站服务器采取相应安全配置。 3. 配置防护策略。 根据您的业务特征及攻击情况配置对应的防护策略。 CC攻击防护：若您的业务有遭受CC攻击的情况，可配置CC攻击防护策略。更多信息，请参见CC防护最佳实践。 访问配置访问限制：若您的业务受众群体物理位置区域相对集中或仅面向中国区域，可在访问控制防护模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 访问配置频率控制：若您的业务存在单url请求或单ip等需要限制访问频率，可在频率控制模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 4. 本地测试。 完成上述DDoS高防（边缘云版）配置后，建议您进行配置准确性检查和验证测试。 说明 您可以通过修改本地系统hosts文件的方式进行本地测试。 编号 检查项 网站域名配置准确性检查项 1 接入配置域名是否填写正确。 2 接入配置协议及服务端口是否与实际一致。 3 源站填写的IP是否是真实服务器IP。 4 若使用HTTPS检查证书是否上传成功。 5 是否开启频率控制、访问控制的防护规则严格模式。 6 查看计费详情，检查是否了解DDoS高防（边缘云版）的计费方式。 业务可用性验证项 1 测试业务是否能够正常访问。 2 观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 3 测试HTTPS链路访问是否正常。 4 （建议项）是否配置源站保护，防止攻击者绕过DDoS高防（边缘云版）直接攻击源站。 5 测试TCP业务的端口是否可以正常访问。 5. 切换DNS解析，引流业务流量。 说明 调整DNS解析记录需要几分钟后生效，可使用dig命令等确认是否已生效。 以上检查均测试通过后，可开始按域名逐个切换调整DNS解析记录，将网站流量引流到DDoS高防（边缘云版），并实时观察监测。若切换流量后出现异常，请快速恢复DNS解析记录。 6. 告警监控。 建议您根据业务情况在告警模块配置相应的告警策略，以便及时了解业务运行情况和发现异常现象。

协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。

本节介绍了通过管理控制台创建密钥对的操作场景、操作步骤。 操作场景 您可以通过管理控制台创建密钥对，创建完成后，公钥自动保存在系统中，私钥由用户保存在本地。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在左侧导航树中，选择“密钥对”。 5. 在“密钥对”页面，单击“创建密钥对”。 说明 密钥对包括私有密钥对和账户密钥对。私有密钥对仅限本用户使用，账户密钥对账户下其他用户也可使用。 您可以根据业务需要选择创建合适的密钥对。 6. 输入密钥名称，单击“确定”。 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 7. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。

本文介绍如何下载个人证书。 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“个人证书管理 > 个人证书列表”。 3. 找到需要下载的证书，单击“操作”列的“证书下载”。 4. 根据您的服务器类型选择需要下载的证书，如果不确定，可以下载“ALL”。

参数名 类型 是否必填 名称 说明 productcode string 否 产品类型 支持产品类型：“001”（静态加速）；“003”（下载加速）； “004”（视频点播加速）；“008”（CDN加速）。支持传多个，用逗号隔开。 startdate string 否 开通时间 日期格式：‘%Y%m%d’，例如：“20190430”，不传没有生效时间限制 enddate string 否 到期时间 日期格式：‘%Y%m%d’，例如：“20190530”，不传没有结束时间限制 page int 否 查询分页编号 不传默认为1 pagesize int 否 分页大小 不传默认为10 fieldsort string 否 时间排序方式 effdate（按生效时间排序）；expdate（按失效时间排序） ordersort string 否 排序规则 asc（升序）；desc（降序）。不传默认降序。

本章主要介绍下载镜像 操作场景 您可以使用docker pull命令下载容器镜像服务中的镜像。 前提条件 在下载镜像前，请确保您的下载虚拟机网络畅通。 在下载镜像前，请联系管理员在控制台授权容器镜像服务下载权限。 “我的镜像”展示当前用户所有的自有镜像（该用户所在组织所拥有的镜像）和共享镜像（该组织下其他用户共享的私有镜像）。 IAM用户创建后，需要管理员在组织中为您添加授权，您才具有该组织内镜像的读取、编辑等权限。详情请参考授权管理。 下载“我的镜像” 步骤 1 以root用户登录容器引擎所在的虚拟机。 步骤 2 参考“客户端上传镜像”中的方法，获取登录访问权限，连接容器镜像服务。 步骤 3 登录容器镜像服务控制台。 步骤 4 在左侧导航栏选择“我的镜像”，单击右侧镜像名称。 步骤 5 在镜像详情页面中，单击对应镜像版本“下载指令”列的复制图标，复制镜像下载指令。 图 获取镜像下载指令 步骤 6 在虚拟机中执行步骤5复制的镜像下载指令。 示例： docker pull registry.cn jssz1.ctyun.cn /group/nginx:v2.0.0 使用docker images命令查看是否下载成功。

本章主要介绍下载实例备份文件 由于自动备份和手动备份实例有一定的限制性（自动备份的文件在系统最大保留天数为7天，手动备份会占用OBS空间），您可将实例的rdb和aof备份文件下载，本地永久保存。 当前仅支持将主备、读写分离或者集群实例的备份文件下载，单机实例不支持备份恢复功能。单机实例若需要下载备份文件，可使用rediscli工具导出rdb文件。 以下仅针对主备、读写分离和集群实例： 如果是Redis 3.0，支持aof格式持久化，支持在控制台下载导出aof格式的备份文件，如果需要导出rdb，可以通过rediscli导出，使用命令： rediscli h {redisaddress} p 6379 a {password} rdb {output.rdb} 。 如果是Redis 4.0及以上版本，支持aof和rdb格式持久化，可以在控制台下载导出aof和rdb格式的备份文件。 前提条件 实例已做备份且没有过期。 操作步骤 1. 登录分布式缓存服务管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 单击左侧菜单栏的“缓存管理”，进入DCS缓存实例信息页面。 4. 在需要查看的DCS缓存实例左侧，单击实例名称，进入实例的基本信息页面。 5. 单击“备份与恢复”页签，进入备份恢复管理页面。 页面下方显示历史备份数据列表。 6. 选择需要下载的历史备份数据，单击右侧的“下载”，弹出下载备份文件窗口。 7. 选择下载方式。 包括以下两种下载方式： URL下载 a. 设置URL有效期并单击“查询”按钮。 b. 通过URL列表下载备份文件。 说明 如果复制下载链接，并在Linux系统中使用wget命令获取备份文件，则需要将下载链接使用英文引号括起来。如： wget ' 原因是URL中携带符号：&，wget命令识别URL参数会出现异常，需要使用英文引号辅助识别完整URL。 OBS下载 按照页面的下载步骤描述操作即可。

本章节主要介绍翼MapReduce服务如何绑定/解绑弹性IP。 背景信息 创建的翼MapReduce集群中所有的节点都会默认被分配内网IP，外网IP需要用户自己去创建。 绑定弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”。 3. 点击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 解绑弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”中的“解绑弹性IP”，并在弹窗内进行二次确认，即可完成解绑。

本章节介绍服务网格全局命名空间的管理 概述 天翼云应用服务网格支持多集群统一治理，全局命名空间用于实现服务网格多集群命名空间的统一管理。 展示全局命名空间列表 新建全局命名空间 全局命名空间有两种新建方式： 1. 直接在主集群创建。 在全局命名空间页面，单击【新建】，然后在新建命名空间面板，配置相关信息，然后单击【确定】 。 配置项 说明 名称 设置命名空间的名称。长度为1~63个字符，只能包含数字、字母和短划线（），且名称首尾必须是字母或数字。 标签 在标签右侧，单击 添加 ，输入变量名称和变量值，为命名空间新增一个标签。 命名空间可添加多个标签，标签用于标识该命名空间的特点，如标识该命名空间用于测试环境。 注解 在注解右侧，单击 添加 ，输入变量名称和变量值，为命名空间新增一个注解。 命名空间可添加多个注解，注解可以用于展示任何额外的信息。 2. 从一个从集群中选择一个已经存在的命名空间，同步到主集群。 点击【从集群同步命名空间至主集群】，在弹出的页面中，可以选择所需的命名空间进行同步。 说明 1. 命名空间创建成功后，您可以在全局命名空间页面的操作列，进行以下操作： 编辑命名空间：单击 查看YAML ，在编辑对话框，修改相关信息，然后单击确定。 删除命名空间：单击删除，在确认对话框，单击确定。 2. 新建或删除命名空间都是仅对主集群生效，并不会同步修改/删除从集群中的同名命名空间。 3. 新建命名空间可以添加任意的标签和注解。从集群同步则只会同步服务网格相关的标签。目前相关标签仅有：istioinjection和opaistioinjection。 4. 无论是何种方式新建的命名空间，列表页中仅会展示相关标签，如果需要查看全量的标签和注解，请点击操作列的查看yaml。

使用堡垒机 了解更多堡垒机相关操作内容，请下载阅读《云等保专区堡垒机 v1.0 用户指南》。 开启IPv6防护 堡垒机不支持IPv4和IPv6的切换。若需要开启IPv6防护，请确保在购买堡垒机资源时，所选子网已开启IPv6，否则需要重新购买。 购买堡垒机时，选择的子网已启用IPv6，则自动开启IPv6防护。 购买堡垒机时，选择的子网未启用IPv6，则需重新下单堡垒机，确保其所选子网已开启IPv6。详细操作请参见创建IPv4/IPv6双栈子网、购买云等保专区。

本文主要介绍 Headless Service 。 前面讲的Service解决了Pod的内外部访问问题，但还有下面这些问题没解决。 同时访问所有Pod 一个Service内部的Pod互相访问 Headless Service正是解决这个问题的，Headless Service不会创建ClusterIP，并且查询会返回所有Pod的DNS记录，这样就可查询到所有Pod的IP地址。有状态负载StatefulSet正是使用Headless Service解决Pod间互相访问的问题。 apiVersion: v1 kind: Service 对象类型为Service metadata: name: nginxheadless labels: app: nginx spec: ports: name: nginx Pod间通信的端口名称 port: 80 Pod间通信的端口号 selector: app: nginx 选择标签为app:nginx的Pod clusterIP: None 必须设置为None，表示Headless Service 执行如下命令创建Headless Service。 kubectl create f headless.yaml service/nginxheadless created 创建完成后可以查询Service。 kubectl get svc NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE nginxheadless ClusterIP None 80/TCP 5s 创建一个Pod来查询DNS，可以看到能返回所有Pod的记录，这就解决了访问所有Pod的问题了。 $ kubectl run i tty image tutum/dnsutils dnsutils restartNever rm /bin/sh If you don't see a command prompt, try pressing enter. / nslookup nginx0.nginx Server: 10.247.3.10 Address: 10.247.3.10 53 Name: nginx0.nginx.default.svc.cluster.local Address: 172.16.0.31 /

本页面介绍实例列表导出的方法和步骤。 使用场景 对于实例较多的用户，希望整体了解并分析实例的相关信息，可以通过资源列表导出功能，将目标字段导出到本地进行查看和整理。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表上方，单击导出资源列表按钮。 4. 在对话框中，选择实例范围，以及需要导出的字段信息。 5. 单击确定。 6. 下载浏览器的文件，即可查看实例统计信息。

本文将介绍如何拉取自建仓库的镜像。 ECI默认不提供公网资源的访问，因此ECI默认是不能拉取自建镜像仓库的镜像，如果您需要从自建镜像仓库等公网镜像仓库拉取镜像来创建ECI实例时需要实例具备公网访问的能力。本文介绍在自建镜像仓库使用自签发证书的情况下，如何拉取自建镜像仓库中的镜像来创建ECI Pod。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 当拉取公网镜像时，确保集群所在VPC已经开启公网NAT网关，能访问公网拉取镜像。 确保kubectl工具已经连接目标集群。 操作步骤 1. 创建镜像拉取凭证。 构造镜像拉取凭证，并且进行base64编码： shell echo "yourname:yourpassword" base64 echo '{"auths":{"harborxxxxx.xxx.com":{"username":"yourname","password":"yourpassword","email":"test@tel.com","auth":"xxxxx"}}}' base64 镜像拉取凭证保密字典testinternetimage.yaml示例如下： shell apiVersion: "v1" kind: "Secret" metadata: labels: serviceAccountName: "default" name: "testinternetimage" namespace: "default" data: ".dockerconfigjson": "xxxxxxxxxxxx" 填写base64编码后的镜像拉取凭证 type: "kubernetes.io/dockerconfigjson" 创建镜像拉取凭证保密字典： shell kubectl crate f testinternetimage.yaml 2. 创建工作负载。 构建工作负载podinternetimage.yaml，填写镜像拉取凭证，示例如下： shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "testinternetimage" namespace: "default" spec: replicas: 1 selector: matchLabels: app: "test" version: "v1" template: metadata: labels: app: "test" version: "v1" spec: containers: image: "harborxxxxx.xxx.com/test/nginx:latest"

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。