本章主要介绍API网关的SDK。 操作场景 API网关开放的API，安全认证方式可选IAM认证、APP认证、自定义认证或无认证。API使用APP认证时，请根据需要下载SDK包和文档，参考文档完成API的调用。 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 单击“帮助中心”，进入到帮助中心页面。 帮助中心页面有一个“SDK使用指引”页签。 步骤 4 在待下载的语言中，单击“下载SDK”，下载SDK包。

本章节主要介绍创建翼MapReduce服务的方式。 用户可以通过点击翼MapReduce产品页的“立即开通”或翼MR控制台内的“创建集群”进入订购页面，按需完成软件、硬件与基础配置，通过确认订单并支付，完成集群创建。支付后我们将为您尽快拉起集群，您可前往翼MR控制台查看集群的创建进度。 创建数据湖集群：数据湖集群提供更高效、灵活的集群管理，更快地运行大数据的计算引擎，更好地提供数据分析能力，帮助您更加方便快捷的对数据湖的计算、存储资源进行构建和管理。 创建数据分析集群：数据分析集群使用开源的MPP架构的OLAP分析引擎，支持亚秒级的数据查询和多表join，帮助您更加快捷的进行数据分析工作。 创建数据服务集群：数据服务集群提供高度可靠性、可扩展性的数据服务以满足您的数据需求。 创建实时数据流集群：实时数据流集群提供高效的流式计算、消息队列等组件能力，支持实时数据ETL和日志采集分析的业务需求。 创建自定义集群：自定义集群提供丰富灵活的服务搭配，支持自行选择业务所需服务。

本地文件备份专线 1. 登录控制中心。 2. 在控制中心左上角点击 ，选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。单击左侧“本地文件备份”按钮，进入本地文件备份控制台。 4. 点击“专线接入云备份”按钮，选择要备份的本地机器的专线所绑定的专线网关、虚拟私有云（VPC）以及子网信息，点击确定后，自动为专线所绑定的VPC创建终端节点以访问云备份服务。 5. 同时为要备份的本地机器的专线所绑定的VPC接入对象存储服务，请参考VPCE接入对象存储。 6. 确认以上4、5步骤都完成后，进入“客户端资源”页签，单击左上角的“添加客户端”，在弹窗的网络类型选择“专线”，再选择要备份的本地机器的专线所绑定的专线网关、虚拟私有云（VPC）以及子网信息，最后选择要备份的本地机器的操作系统。 7. 若以上操作正确且VPC已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令 a.若选择Windows ⅰ.下载Windows客户端安装包。 ⅱ.解压安装包，进入安装包目录，运行前缀为“CBR”的安装程序。 ⅲ.根据安装程序界面提示进行操作，在“激活码配置”步骤输入云备份控制台的激活码（控制台界面提供了激活码复制按钮），在最后一步点击“安装”开始自动安装备份客户端。 ⅳ.等待安装程序界面显示“安装完成”，在云备份控制台客户端资源页面，刷新后将会显示本地机器的信息，客户端状态为“已激活”。 b.若选择Linux（CentOS、Ubuntu、Kylin） ⅰ.登录Linux服务器并切换为root账号。 ⅱ.在服务器界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 ⅲ.等待安装界面显示“Successful”，代表客户端安装完成。 ⅳ.若以上自动命令执行失败，也可进行手动下载客户端安装包进行激活。 ⅴ.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 ⅵ.安装完成后，在云备份控制台客户端资源页面，将会显示本地机器的名称，客户端状态为“已激活”。

函数工作原理 边缘函数为边缘节点提供Serverless模式的JavaScript代码执行环境。您只需编写业务函数代码并设置触发规则，无需配置和管理服务器等基础设施。这样，您的代码可以弹性、安全地在靠近用户的边缘节点上运行。 使用边缘函数前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用边缘函数后的请求处理过程： 1. 网关收到客户端请求时，执行边缘函数，对用户的请求进行业务处理。 2. 网关处理完边缘函数的业务逻辑后，根据函数中的逻辑选择继续处理CDN加速标准化配置从而完成响应，或者直接在边缘响应出客户的个性化内容。 使用说明 边缘函数由函数触发器和函数运行时组成： 函数触发器：目前支持HTTP触发器，基于您的加速域名，匹配请求中的对应规则（例如 函数运行时：在边缘节点运行您的JavaScript业务代码的安全隔离环境，请求级隔离，微秒级别启动，用完立即销毁。

函数工作原理 边缘函数为边缘节点提供了Serverless模式的JavaScript代码执行环境。您只需编写业务函数代码并设置触发规则，无需配置和管理服务器等基础设施。这样，您的代码可以弹性、安全地在靠近用户的边缘节点上运行。 使用边缘函数前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用边缘函数后的请求处理过程： 1. 网关收到客户端请求时，执行边缘函数，对用户的请求进行业务处理。 2. 网关处理完边缘函数的业务逻辑后，根据函数中的逻辑选择继续处理全站加速标准化配置从而完成响应，或者直接在边缘响应出客户的个性化内容。 使用说明 边缘函数由函数触发器和函数运行时组成： 函数触发器：目前支持HTTP触发器，基于您的加速域名，匹配请求中的对应规则（例如 函数运行时：在边缘节点运行您的JavaScript业务代码的安全隔离环境，请求级隔离，微秒级别启动，用完立即销毁。

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

操作场景 为需要容灾的云主机在指定的保护组下创建保护实例。在当前的生产站点遇到不可抗力导致大规模服务器故障时，可以进行切换，将生产站点服务器上运行的业务切换到容灾站点服务器，从而确保保护实例上运行业务的连续性。 创建保护实例过程中，只在保护组的容灾站点创建对应的云硬盘，云硬盘的类型可根据需要进行选择，云硬盘的大小和生产站点服务器的磁盘保持一致。保护实例创建成功后，自动开启保护，直到数据同步完成。 说明 创建保护实例会将服务器的所有磁盘创建对应的复制关系复制对，并在容灾端创建指定规格的磁盘，后台自动启动数据初始同步，初始同步占用生产站点服务器的磁盘读带宽、CPU及内存，可能会对业务造成一定的影响。 建议在业务低峰时创建保护实例或在对业务有影响时及时停止保护实例（保护实例选择“停止保护”），业务低峰时再开启保护（保护实例选择“开启保护”）。 前提条件 生产站点服务器未被创建其他保护实例。 与云容灾网关属于同一个可用区以及同一VPC的生产站点服务器才能用来创建保护实例。 说明 已安装代理客户端的生产站点服务器挂载、卸载磁盘后，重启生产站点服务器，再创建保护实例。

目标库要求 与源库要求保持一致。 约束限制 双向同步是在全量同步完成后才开始进行，全量同步完成之前，目标库只能读不能写，否则会导致源库与目标库数据不一致。待全量同步完成后，目标库可读可写。 为保障同步数据的一致性，您需要确保同一个主键或唯一键的记录只在双向同步的一个节点进行更新。如果同时更新则会按照您在数据同步作业中配置的主方向进行响应。 说明 详细信息请参考 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的位置图标，然后在下拉列表中选择目标区域和项目。 3. 选择“数据库 > 数据传输服务DTS”，进入数据传输服务DTS控制台。 4. 单击左侧菜单栏“数据同步”。 5. 点击“创建实例”按钮创建数据传输服务DTS同步实例。 6. 在“信息配置”栏，网络接入类型选择“公网EIP”，公网IP任意选择一个可用的公网IP即可。 说明 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现数据传输服务DTS实例的公网访问。 7. 在“信息配置”栏的“目标库实例”中，选择您需要同步的第一个数据库类型与实例。 8. 填写完信息后点击“下一步 > 立即创建”，开始创建数据传输服务DTS实例。 9. 回到数据传输服务DTS控制台，等待数据传输服务DTS实例创建成功后，找到对应实例，点击“实例配置”。 10. 填写源库的IP地址、端口号、数据库账号和密码，填写目标库的数据库账号和密码，点击“检测连通性并下一步”。 11. 在“同步拓扑”处选择“双向同步”。 12. 在“源库对象”处选择需要同步的第二个数据库，点击箭头移动到“已选择对象”。 13. 单击“下一步预检查”，等待预检查完成。 说明 如果预检查没有通过，可根据提示进行修改，然后重新执行预检查。 14. 预检查通过后，单击“启动同步”开始进行数据同步。 15. 回到数据传输服务DTS控制台，点击实例可以查看同步状态。

步骤四：接入云内应用 1. 在【应用管理】页面，单击【应用接入】。 2. 在【应用接入>基础配置】页面，选择已创建的容灾管理中心，选择分区云主机资源，配置各个分区业务流量配比，输入应用名称，配置应用端口号，健康检查策略等信息，点击【下一步：数据库配置】。 3. 在【应用接入>数据库配置】页面，选择已创建的数据库类型和实例，点击【下一步：存储配置】。 4. 在【应用接入>存储配置】页面，选择存储类型和对应的内外网域名，点击【下一步：确认配置】。 5. 在【应用接入>确认配置】页面，确认应用接入的基础配置、流量配比、数据库配置、存储配置等信息，如有错误可点击对应“”按钮跳转修改。 6. 配置完成后检查无误后，单击【确认】完成天翼云云内资源的接入，返回应用管理页面，列表展示出对应已接入应用实例信息。 步骤五：预案编排 1. 在【预案编排>预案阶段】页面，选择已创建好的命名空间后，单击【创建预案阶段】。 2. 填写预案阶段名称、描述后，单击【确定】，完成预案阶段创建。 3. 预案阶段列表页中单击预案阶段名称对应的【预案阶段设计】。 4. 通过拖拽开始节点、普通任务、条件任务、结束节点绘制预案阶段流程。 5. 单击预案阶段设计页面的【保存】按钮，完成预案阶段设计。 6. 预案阶段列表页中单击预案阶段名称对应的【启用】按钮。 7. 在【预案编排>预案管理】页面，选择已创建好的命名空间后，单击【创建预案】。 8. 填写预案名称、描述后，单击【确定】，完成预案创建。 9. 预案列表页中单击预案名称对应的【预案设计】。 10. 通过拖拽开始节点、普通任务、条件任务、结束节点绘制预案流程。 11. 单击预案设计页面的【保存】按钮，完成预案设计。 12. 预案列表页中单击预案名称对应的【启用】按钮。

此章节为您介绍数据库审计用户管理相关的功能。 用户管理主要是指对用户权限及用户认证等进行管理。包括用户管理、远程认证配置、角色管理、用户安全配置以及授权数据库。 角色管理 角色可以看作是具有相同权限的用户的集合。系统将权限分配给角色，然后为用户指定角色。配置用户时通过设定用户所属角色，限制用户的操作权限范围。 用户的操作权限包括菜单显示和功能权限。只有赋予操作权限，用户才能进行相应的操作。 创建角色操作步骤 1.在菜单栏选择“系统管理 > 用户管理”，选择“角色管理”页签，进入“角色管理”页面。 2.单击“添加”进入“新增角色”页面，编辑名称（必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符），选择权限后，单击“保存”。 用户管理 添加角色后即可增加该角色的用户。 系统内置了以下四个默认用户： 说明 admin初始密码请联系天翼云技术支持获取。 admin：超级管理员，具备系统所有权限。系统只有一个超级管理员。 security：具备安全管理员权限，可配置数据库与规则、查看各类告警报告、管理安全员。 system：具备系统管理员权限，进行系统权限的配置和维护。 audit：具备审计管理员权限，查看其他用户的操作日志、管理审计员。 添加用户操作步骤 1.在左侧菜单栏选择“系统管理 > 用户管理”进入“用户管理”页面，单击“添加用户”。 2.进入添加用户页面，编辑相关信息，完成后单击“保存”。 配置项 说明 用户名 必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，最大长度64字符。 启用 单击“启用”后的开关，设置添加用户后是否立即启用用户。 角色 指定用户角色，包括内置角色和用户自定义角色，必填。 密码/确认密码 创建并确认新建用户的登录密码。密码长度6~64位，当启用强密码功能后需符合密码强度要求。修改密码时新旧密码不能相同。 手机号 设置用户的手机号。 邮箱 设置用户的邮件地址。 认证方式 用户登录系统时的认证方式。 登录IP/MAC限制 对用户登录系统时使用的IP/MAC进行限制。包括不限制、黑名单和白名单三种模式。 登录时间限制 限制用户登录系统的时间。

本文介绍访问URL重定向功能及其配置说明。 功能介绍 当客户源站的内容存放路径发生了变更，全站加速节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要全站加速节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向全站加速节点发起访问，确保用户能获得正确的内容。例如：文件a.mp4原先存放在目录“/stream/”下，现在变更为“/vod/”，此时可通过天翼云全站加速的访问URL重定向功能，实现用户访问 注意事项 该功能依赖客户端支持访问跳转后的内容。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【高级配置】。 5. 在【访问URL重定向】模块，单击【增加规则】，根据需求填写配置。 6. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 待改写PATH 以/开头的PATH，不含 例如：^/qpdxv/(.) 目标PATH 以协议://域名开头的PATH，其中协议可为http/https（scheme），支持PCRE正则表达式 比如常用$1,$2来捕获待改写PATH中圆括号内的字符串，目标PATH值可设置为例如：$scheme://ctyun.cn/videos/$1 跳转状态码 301/302 响应301或者302状态码 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。

本章节主要介绍翼MapReduce与其他服务的关系。 与其他服务的关系 服务名称 MRS与其他服务的关系 主要交互功能 虚拟私有云（Virtual Private Cloud） MRS集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的MRS集群提供安全、隔离的网络环境。 创建虚拟私有云和子网 对象存储服务（Object Storage Service） 对象存储服务（OBS）用于存储用户数据，包括MRS作业输入数据和作业输出数据： MRS作业输入数据：用户程序和数据文件 MRS作业输出数据：作业输出的结果文件和日志文件 MRS中HDFS、Hive、MapReduce、YARN、Spark、Flume和Loader支持从OBS导入、导出数据。MRS使用OBS的并行文件系统提供服务。 配置存算分离集群（委托方式）配置存算分离集群（AKSK方式）配置HDFS映射方式对接OBS文件系统 弹性云服务器（Elastic Cloud Server） MRS服务使用弹性云服务器（Elastic Cloud Server，简称ECS）作为集群的节点，每个弹性云服务器是集群中的一个节点。 准备运行环境创建集群 关系型数据库（Relational Database Service） 关系型数据库（RDS）用于存储MRS系统运行数据，包括MRS集群元数据和用户计费信息等。 配置数据连接 统一身份认证服务（Identity and Access Management） 统一身份认证服务（IAM）为MRS提供了鉴权功能。 创建用户并授权使用MRSMRS自定义策略IAM用户同步MRS 消息通知服务（SMN） MRS联合消息通知服务（SMN），采用主题订阅模型，提供一对多的消息订阅以及通知功能，能够实现一站式集成多种推送通知方式。 配置作业消息通知 云审计服务（Cloud Trace Service） 云审计服务（CTS）为用户提供MRS资源操作请求及请求结果的操作记录，供用户查询、审计和回溯使用。 见下表

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通添加安全组规则 操作场景 在目的VPC包含的云主机中添加入方向安全组规则，用于将转发到目的端的流量全部放通。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在系统首页，选择“网络 > 虚拟私有云”。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。单击“+”可以依次增加多条入方向规则。 表入方向规则参数说明 参数 说明 取值样例 优先级 规则的优先级，优先级数字越小，规则的优先级别越高 1 策略 安全组规则策略，支持的策略如下： 如果“策略”设置为允许，表示允许源地址访问安全组内云主机的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云主机的指定端口。 允许 协议 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”等协议。 TCP 端口 允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 22或2230 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 无需配置 7. 单击“确定”，完成添加。

提现为什么会失败？ 提现失败可能由以下原因导致，请处理后再尝试提现： 代金券充值金额不能进行提现。 账号下有欠票，对应的欠票金额不能进行提现。 如用户有开通按需计费产品，可提现金额需再扣除按需计费预留的金额100元或按需资源1小时费用，在按需资源删除48小时之后可提现预留的金额。 提现有哪几种方式？完成需要多长时间 ？ 提现分为原路提现和银行卡提现两种方式： 原路提现：在线充值（微信、翼支付、支付宝）优先原路退回。提现时按照原支付路径（支付宝、微信、翼支付）实时退还至原付款账户。 银行卡提现：在线充值（微信、翼支付、支付宝）原路退回若失败，则转为银行卡提现。转账汇款充值（对公充值）的金额只能进行银行卡提现。银行卡提现需要用户提交相关资料（原支付凭证等），预计10~15个工作日完成。 提现失败应该怎么处理？ 如果提现申请被驳回，用户可以根据驳回原因处理提现申请后，再次申请提现。 如何查看提现和退款记录？ 查看提现记录 ：登录费用中心，进入“资金管理 > 余额提现”页面，在“提现记录”区域可以查看历史的提现记录。 查看退款记录 ：登录费用中心，进入“资金管理 > 余额明细” 页面，选择交易类型为退款进行查询，您的退款记录将在列表中显示。 账户余额提现的资金如何退回？ 提现资金一般原路返回，即微信回归微信，支付宝回归支付宝，翼支付回归翼支付、网银回归网银账号；若原路返回失败，可通过银行卡提现完成提现。

本章节主要介绍翼MR Manager的告警历史特性。 进入到翼MR Manager以后，点击菜单“监控与告警 > 告警历史”，进入告警历史页面。如图所示： 页面上方为查询区域，各种查询条件进行组合查询。 支持查询集群服务级、角色实例级、主机级的告警信息。

本文为您介绍对用户授权VPN的操作流程。 如果您需要对您所拥有的VPN进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用VPN资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将VPN资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用VPN服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的VPN权限，并结合实际需求进行选择。 示例流程 图用户授予VPN权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予虚拟专用网络服务权限“VPN Administrator”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入步骤一中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络＞虚拟专用网络”，进入“虚拟专用网络＞企业版VPN网关”页面，单击右上角“创建VPN网关”，尝试创建VPN网关，如果创建成功，表示“VPN Administrator”已生效。 在“服务列表”中选择除VPN服务外（假设当前权限仅包含VPN Administrator）的任一服务，若提示权限不足，表示“VPN Administrator”已生效。

本章节介绍如何通过自建网关实现全链路灰度 概述 您可以基于微服务治理在不修改任何业务代码的情况下，实现全链路灰度的流量控制。本文介绍用户如何通过自建网关实现全链路灰度功能。 前提条件 1、用户已开通微服务治理中心企业版。 2、用户已开通云容器引擎。 背景信息 在微服务架构下，一次需求可能会同时修改多个微服务应用。在发布应用时，通常将这些应用划分为同一个分组，使灰度流量始终在灰度应用中流转。当上游有灰度流量时，会通过引流的方式将灰度流量引导至灰度分组，在此次链路调用过程中，如果存在一些微服务没有灰度环境，那这些请求在下游时依然能回到灰度环境中，以此实现全链路灰度。 通过使用微服务治理中心，可以在不修改业务代码的情况下，轻松实现全链路灰度。本文介绍如何通过自建网关实现全链路灰度。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎集群中安装微服务治理插件： 1. 登录云容器引擎控制台。 2. 在左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击插件插件市场，选择cubems插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录云容器引擎控制台。 2. 左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击工作负载无状态，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击全量替换，进入Deployment编辑页。 5. 在Deployment编辑页点击显示高级设置，新增Pod标签: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击提交，重新发布容器即可接入。 appa应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

本章节主要介绍翼MapReduce服务如何绑定/解绑IPv6带宽。 若创建翼MapReduce集群时所选子网已开通IPv6，且在订购集群时开启IPv6访问，默认所有节点的IPv6地址具有内网访问能力，若您希望通过该IPv6地址访问公网或被公网访问，需要用户开通并绑定IPv6带宽。 绑定IPv6带宽操作步骤 1. 登录翼MapReduce管理控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”。 3. 点击“绑定IPv6带宽”，在弹框中选择需要绑定的IPv6带宽。如果您账号下没有可用的IPv6带宽，需要点击“+创建IPv6带宽”按钮跳转至新页面进行创建；如果您账号下有可用的IPv6带宽，可以通过下拉“IPv6带宽”的选择框选择，点击“确认”进行绑定。 解绑IPv6带宽操作步骤 1. 登录翼MapReduce管理控制台在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”中的“解绑IPv6带宽”，并在弹窗内进行二次确认，即可完成解绑。

本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

为助力企业客户能更方便快捷的将已有业务迁移至天翼云分布式数据库或基于天翼云分布式数据库打造全新的应用，TeleDB不仅努力提升内核性能和管控资源全生命周期管理平台的易用性，还不断丰富周边的生态。目前已实现如下功能：如支持强大的GIS地理信息系统、支持异构数据复制能力、支持集群负载均衡能力和支持JSON数据类型等。 支持强大的GIS地理信息系统 GIS地理信息系统是指一个空间数据库，它通过SQL语言高效的进行空间数据管理、数量测量与几何拓扑分析对地球表层（包括大气层）空间中的地理分布数据进行采集、储存、管理、运算、分析、显示和描述。TeleDB透过集群化的PostGis插件，使其更好的支持强大的GIS地理信息系统。 说明 PostGIS插件不仅实现了Open Geospatial Consortium 所提出的基本要素类（点、线、面、多点、多线、多面等）的SQL实现参考。PostGIS还能使用wellknown text与wellknown binary在数据库中存储空间对象。wellknown text是一种用文本表示空间对象的注记方法，wellknown是一种用二进制流表示空间对象的存储方法。 GIS地理信息系统目前支持提供了如下的空间特性： 定义了一些基本的集合实体类型。 定义了一系列的函数和操作符来实现几何类型的操作和运算。 引入空间数据索引。 异构数据复制能力 在实际业务中，会涉及到非常多的TeleDB同其他数据库，包括PostgreSQL，MySQL，Oracle等的数据同步的需求。为了满足TeleDB和其它数据库包括PostgreSQL，MySQL，Oracle等实现数据同步，TeleDB开发了一款性能高效，安全可靠，功能完善的异构数据库复制工具。通过异构数据复制工具，让数据能够很好的在多个数据库中实现共享。 异构数据复制逻辑图如下： 异构数据复制原理主要通过数据实时同步、数据一致性同步和多种不同的数据同步方式组成。 数据实时同步 ： 同步数据需准实时的（分钟级）由源库同步到目标库。 数据一致性同步：异构数据库同步具备高可靠性，当发生断网、服务器重启、服务器宕机一段时间恢复后等场景下，保障同步数据的最终一致性。 数据同步方式：TeleDB支持对所有数据的全量同步和对变化数据的增量同步，以及配置同步任务。 全量同步：一般在系统迁移中，有历史数据的迁移，一次需要支持高效快速的将历史数据迁移到新系统的能力，称为全量同步。一般在全量同步完成后，会切换为下文提到的增量同步模式。 增量同步：同步工具实时跟踪数据改变情况，并及时将增量数据同步到目标库。 定时同步：支持配置类似定时任务，支持周期性向目标进行数据同步。

为什么对等连接创建完成后不能互通？ 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云服务器是否开放了安全组规则，弹性云服务器的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、对等连接等路由的目的地址是否已存在。 7. 对等连接的路由VPN路由的目的地址有重叠，此时路由有可能失效。 对等连接的配额是多少？ 通过对等连接连通同一个区域VPC时，一个租户在一个区域内的对等连接默认配额是50个。 同帐户的VPC对等连接：在一个区域内，您可以创建50个VPC对等连接。 跨账户的VPC对等连接：在一个区域内，已接受的VPC对等连接会占用双方帐户内的配额。处于待接受状的VPC对等连接占用发起方的配额，不占用接受方的配额。 您可以在配额范围内创建多个帐户下的VPC对等连接，比如帐号A和帐号B的VPC对等连接，帐号A和帐号C的VPC对等连接，帐号A和帐号D的VPC对等连接等，不受帐号数量限制。 同时拥有自定义路由和弹性公网IP的访问外网的优先级是什么？ 弹性IP的优先级高于VPC路由表中的自定义路由。示例如下： 假如VPC路由表中存在一条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关。 如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于VPC路由表中的自定义路由，此时会导致流量转发至EIP出公网，无法抵达NAT网关。

虚拟私有云产品为您提供优质的服务体验,本文带您了解虚拟私有云的产品优势。 简单易用 您可以通过控制台、API 等方式，快速创建、管理虚拟私有云，创建完成后，系统会自动为其创建默认路由表。您可以根据自己的应用需求轻松创建和配置虚拟私有云网络拓扑结构，包括子网、安全组、路由表等。 安全可靠 虚拟私有云之间通过隧道技术实现逻辑隔离，不同虚拟私有云之间默认不能通信。另外，我们还为您提供为您提供安全组、网络ACL等不同层面的网络访问控制方式，采用多重防护策略，让您的网络环境更安全。 灵活配置 虚拟私有云为您提供了强大的网络管理能力，您可以自定义网段，按需划分子网，并通过灵活配置路由表和路由规则，定制化地部署您的云上业务。并且支持云专线、VPN等多种方式接入。 通过自定义私有网络，您可以按需划分子网来合理规划IP地址资源；通过配置路由表来管理私有网络的流量走向；通过配置安全访问控制策略来进行安全防护等。 互联互通 虚拟私有云提供丰富的接入方式，可以满足您在云上的通信需求： 访问其它虚拟私有云：默认情况下，两个虚拟私有云之间是不能通信访问的，通过对等连接使不同VPC之间的云主机或物理机互相访问。 访问Internet：默认情况下，虚拟私有云与公网是不能通信访问的，通过弹性IP、NAT网关、弹性负载均衡等多种方式连接公网。 访问本地数据中心：您可以使用VPN 连接、云专线来访问本地数据中心。 为企业提供多种连接选择，以满足云上多业务需求，助力轻松部署企业应用，同时减少企业IT运维成本。

本章主要介绍导入API。 操作场景 Swagger是基于OpenAPI规范构建的开源工具，可以帮助您设计、构建、记录以及使用Rest API。API网关支持导入Swagger 2.0定义的API到已有的API分组或新的API分组。 导入API支持单个API导入和批量API导入，主要取决于Swagger文件中包含的API数量。 将Swagger或OpenAPI定义的API导入到API网关，支持导入到新分组 和导入到已有分组两种方式。导入前您需要在API定义中补全API网关的扩展定义。 导入到新分组注意事项 将API定义导入到一个新的分组，导入过程中系统会自动创建一个新的API分组，并将导入的API归属到该分组。 适用于将一份全新且完整的API导入到API网关。 导入API前，请注意以下事项： API网关中API分组和API的配额满足需求。 使用Swagger info或OpenAPI info的title作为API分组名称，新创建的API分组名称不能与已有的API分组名称重名。 导入的API定义中，如果存在冲突，那么根据系统导入的先后顺序，先导入的API会显示导入成功，后导入的API会显示导入失败。例如导入的API定义中存在2个名称相同或请求路径相同的API，那么先导入的API会显示导入成功，后导入的会显示导入失败。 如果选择扩展覆盖，当导入API的扩展定义项名称与已有策略（ACL，流量控制等）名称相同时，则会覆盖已有策略（ACL，流量控制等）。 导入的API不会自动发布到环境，导入时可以选择“立即发布”或者“稍后发布”，您可以自行选择策略。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID, 例:100054c0416811e9a6690242ac110002 bandwidth 是 Integer 带宽，单位为Mbps connectionLimit 是 Integer VPN网关连接数限制 resourceID 是 String VPN网关资源ID linkResourceID 是 String VPN连接资源ID

新增静态路由 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“VPN服务 > VPN服务管理”，进入“VPN服务管理”页面。 3. 选择“静态路由表”页签，单击“创建路由”按钮。 4. 在弹出的对话框中配置静态路由的相关内容。 参数 参数说明 IP地址 填写静态路由的IP地址。 网关 填写静态路由的网关。 子网掩码 填写静态路由的子网掩码。 网口 填写静态路由的网口。 添加位置 选择静态路由配置所处的位置。 5. 单击“确定”完成新增静态路由。 后续操作 修改静态路由信息：选择需要修改的静态路由信息，单击“操作”列的“修改”即可修改静态路由的相关信息。 删除静态路由信息：选择需要删除的静态路由信息，单击“操作”列的“删除”即可删除静态路由。

本文简述天翼云全站加速产品支持的访问控制功能。 访问控制的作用 访问控制是按用户身份及其所归属的某项定义组来限制用户对某些资源的访问，或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 主要有以下作用： 防止非法用户进入受保护的网络资源。 允许合法用户访问受保护的网络资源。 防止合法的用户对受保护的网络资源进行非授权的访问。 天翼云全站加速产品提供了丰富的访问控制策略，您可以根据您的需要，选择合适的策略，来对您的网络资源进行保护，防止非法用户入侵。 访问控制概述 访问控制模块主要介绍天翼云全站加速产品支持的访问控制策略及配置方法，包括：Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单、URI黑/白名单、全网带宽控制、有序回源等策略。 目前，Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单支持在控制台自助配置，其他访问控制功能需提工单配置。 相关功能 功能 说明 IP黑白名单 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。 Referer防盗链 Referer防盗链功能，是通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略的，从而能可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息。因此UserAgent是访客身份的象征，标志访客访问时所使用的工具。通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL鉴权配置 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可以配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 有序回源 全站加速的有序回源功能是一种流量求并发回源时控制方法，用于大量请的排队管理。 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。

参数 参数类型 说明 示例 下级对象 id String 集群id 8571aa313aaf77d45bf6765805a9ce55 managerClusterId Integer manager定义的集群id 1 iaasType String 平台 公有云 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud availableZoneName String 可用区名称 可用区1 clusterName String 集群名称 testvpc24 payType String 付费类型 包年包月 clusterType String 集群类型 云搜索 clusterTypeVersion String 产品版本 翼MR2.12.0 clusterPlanCode String 集群规划编码 cloudsearch componentNameList String 组件名称列表 [{componentTitle:ElasticSearch,version:7.10.2},{componentTitle:Kibana,version:7.10.2}]] datasourceConfigs String 数据源信息 [] vpcId String vpc id vpc0k5xl6w5 subnetId String 子网id subneti2ys8sp securityGroupId String 安全组id [sg4h7w9cl1] loginType String 登录方式 PASSWORD clusterDueTime Integer 集群到期时间 1709193751000 userId String 用户id ba14c8e729e447d69698f81ac7d55555 accountId String 账号id ed24e4b414a048b0a9cb995f59cc85jj clusterCreateTime Integer 集群创建时间 1706515357000 clusterState String 集群状态 运行中 managerVersion String manager版本号 2.15.1 enableIpv6 String Ipv6是否开启(OPEN:打开, CLOSE:关闭, NOTDISPLAY:不展示,null:不展示) OPEN createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 autoRenewStatus Integer 是否开启自动续订的状态(0:不自动续订,1:自动续订) 0

本章节主要介绍翼MapReduce运行kafka作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。本章节教您在翼MR集群后台如何提交一个新的kafka作业。 通过后台提交作业 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 创建kafka的topic。 plaintext /usr/local/kafka/bin/kafkatopics.sh zookeeper :2181/kafka topic create 7. 当前集群默认开启Kerberos认证，执行以下命令添加认证信息。 plaintext export KAFKAOPTS"Djava.security.krb5.conf/etc/krb5.conf Djava.security.auth.login.config/usr/local/kafka/config/kafkajaas.conf" 8. 向topic中写入消息。 plaintext /usr/local/kafka/bin/kafkaconsoleproducer.sh brokerlist :9092 topic producer.config /usr/local/kafka/config/producer.properties 9. 消费topic中的消息。 plaintext /usr/local/kafka/bin/kafkaconsoleconsumer.sh bootstrapserver :9092 topic consumer.config /usr/local/kafka/config/consumer.properties frombeginning maxmessages 5 注意 frombeginning：只能消费未被消费的历史数据，已消费数据不会出现。 maxmessages：最多消费多少条数据。

本章节主要介绍翼MapReduce服务的多租户功能。 简介 现代企业的数据集群化正在逐步向中心化、云计算方向发展，多用户在多个集群上执行不同的应用（分析、查询、流式处理等），且存储的数据类型、格式各不相同。部分用户（如银行、政府机构等）对数据安全问题非常重视，无法容忍自己的数据和他人数据放在一起。 翼MapReduce提供多租户功能，将大数据集群资源分割为相互独立的资源集合，用户可“租用”所需的资源集合，用于执行应用、工作、存储数据。在大数据集群中，提供多个资源集合满足多个用户的不同需求。 优势 合理配置和隔离资源： 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费： 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，对用户资源消费进行测量和统计。 保证数据安全和访问安全： 多租户场景下，分开存放不同租户的数据、控制用户对租户资源的访问权限，以保证数据安全和访问安全。

section3aef9b71341e43c4)。 非简单请求的跨域访问 注意 非简单请求的跨域访问需要在API的分组中创建一个“请求方法”为“OPTIONS”的API，作为预检请求。 预检请求API的参数设置，请参考以下说明填写。详细的使用指导可参考非简单请求。 a. 在“前端定义”中，参数填写说明如下： 请求方法：选择“OPTIONS” 请求协议：选择与已开启CORS的API相同的请求协议 请求Path：填斜杠/ b. 在“安全配置”中，安全认证选“无认证”，勾选“开启支持跨域CORS”。 c. 后端服务选择Mock 简单请求 对于简单请求，您需要开启简单跨域访问。 场景一：已开启CORS，且后端服务响应消息中未指定跨域头时，API网关接受任意域的请求，并返回“AccessControlAllowOrigin”跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Orgin: ContentType: application/xwwwformurlencoded; charsetutf8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“ 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway {"status":"200"} API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway XRequestId: 454d689fa69847610b3ca486458fb08b AccessControlAllowOrigin: {"status":"200"} AccessControlAllowOrigin：此字段必选，“”表示API网关接受任意域的请求。 场景二：已开启CORS，且后端服务响应消息中指定跨域头时，后端服务响应的跨域头将覆盖API网关增加的跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Orgin: ContentType: application/xwwwformurlencoded; charsetutf8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“ 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway AccessControlAllowOrigin: {"status":"200"} AccessControlAllowOrigin：表示后端服务接受“ API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway XRequestId: 454d689fa69847610b3ca486458fb08b AccessControlAllowOrigin: {"status":"200"} 后端服务响应消息中的跨域头覆盖API网关响应消息中的跨域头。

本节介绍了云容器引擎的最佳实践:有状态工作负载配置存储实践。 对于有状态应用实例需要持久化状态，每个实例有其独特的身份和持久化的数据存储。有状态应用的存储使用跟其他的工作负载存在差异。 使用方法 有状态应用PVC使用方法选择包括:已有存储卷申明（PVC）和存储卷申明模版（VolumeClaimTemplate）。 已有存储卷声明（PVC）方式较少使用，适用于有状态工作负载的多个副本共享同一PVC的场景。但实际需求中，要求每个副本具备独立存储的情况并不常见。 存储卷声明模板（VolumeClaimTemplate）是有状态工作负载特有的配置项。通过在该工作负载中定义模板，K8S会在创建每个副本时自动生成一个与之对应的PVC，命名规则为{存储声明模板名称}{有状态工作负载名称}{序号}。本文将重点阐述此方法。 注意 有状态工作负载删除后，其关联的PVC会保留。若用户确认不再需要，需手动删除这些PVC。（可通过启用K8S特性门控StatefulSetAutoDeletePVC为true，实现有状态工作负载删除后自动清理PVC）。 若不删除PVC，后续在同一命名空间内创建同名有状态工作负载并使用同名存储卷声明模板时，新工作负载将自动复用原有的PVC。 1. 点击“创建存储卷申明模版”. 2. 定义模版的存储申明类型、已有存储类、容量、卷模式、访问模式. 存储申明类型： 天翼云各类型的产品，用户根据需要自行选择对应的产品。 已有存储类： 用户需要提前创建好产品对应的存储类，用于动态分配。 容量： 存储容量大小 卷模式： 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。目前仅云硬盘支持该功能 访问模式： 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 3. 创建了一个有状态负载test，存储卷申明模版如下： 4. 有状态工作负载成功启动。 5. 查看pod的yaml，可以看到test1的pod，使用了disktest1这个PVC。 6. PVC列表中，两个PVC均被创建出来并且bound。

服务说明 云基础服务是天翼云客户购买云产品后获得云产品基本使用、技术支持等服务能力的通道，天翼云提供包括电话、工单、在线咨询等多种支持方式，7 × 24小时全天候为客户提供支持服务。旨在帮助客户更好地评估选择、优化性能、降低成本。满足客户对云产品配置指导、修复故障和解决问题的多种要求。 天翼云基础服务范围 服务范围包含： 天翼云服务与产品功能、云上架构的基础咨询、使用、配置，提供产品使用建议。 与天翼云资源相关的操作或系统问题的基础技术指导。 与天翼云的管理控制台或天翼云官方工具相关的问题。 天翼云产品故障、异常上报。 与天翼云相关的财务及账号合同问题的咨询支持。 与天翼云相关的备案问题。 服务范围不包含： 代码开发与调试诊断。 业务代运维或操作。 基于天翼云原生能力的三方自建业务支持。 附录以外的第三方软件的安装部署、测试验证、运维配置、故障排查、更新优化等。