本文介绍云工作流如何通过集成函数计算来调用函数。使用Operation状态，functionRef.type配置为cf:InvokeFunction。 基本概念 参数配置 参数名称 是否必选 参数说明 示例值 functionName 是 被调用函数名称。 demofunction qualifier 是 版本或别名 LATEST body 否 请求体内容，需要为键值对。 body: input: value invocationType 否 同步调用或异步调用（sync/async） sync regionId 是 函数所属地域。 bb9fdb42056f11eda1610242ac110002 返回值与模式 函数响应必须为JSON格式，否则结果解析将失败。RequestComplete模式同步完成，WaitForTaskToken模式需外部服务回调，传递任务令牌(taskToken)。 示例代码与解析 提供的示例代码片段如下，展示了一个简单的函数集成工作流： html specVersion: "0.8" version: "1.0" name: "test" start: "InvokeFunction" states: name: "InvokeFunction" type: "Operation" metadata: {} stateDataFilter: {} actions: retryRef: [] catchRef: [] functionRef: type: "cf:InvokeFunction" arguments: functionName: "demofunction" qualifier: "LATEST" invocationType: "sync" body: input: "{ $Context.Input.key }" regionId: "bb9fdb42056f11eda1610242ac110002" actionExecuteMode: "RequestComplete" end: true type ：固定为Operation，标识这是一个Operation状态。 functionRef.type ：固定为cf:InvokeFunction，标识这是一个函数集成。 functionRef.arguments：函数请求参数。 actionExecuteMode ：示例使用RequestComplete，表示同步执行，等待HTTP响应后继续流程。另支持WaitForTaskToken模式，用于标准工作流的异步场景。

本节介绍了如何进行云数据库TaurusDB实例的安全设置。 帐户密码等级设置 TaurusDB对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@%^+?,()&$特殊字符。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于TaurusDB数据库的初始化设置。 帐户说明 您在创建TaurusDB实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 删除、重命名、修改这些帐户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制帐户，用于只读节点在主实例上同步数据。 rdsBackup：备份帐户，用于后台的备份。 rdsMetric：指标监控帐户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理帐户，该帐户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

本章节介绍了如何创建GaussDB 的实例，用作迁移任务目标库。 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“数据库 > 云数据库GaussDB ”。 4. 在左侧导航栏选择GaussDB > 实例管理。 5. 单击“购买数据库实例”。 6. 配置实例名称和实例基本信息。 7. 选择实例规格。 本示例中为测试实例，选择较小的测试规格，实际可选规格以界面为准。 8. 选择实例所属的VPC和安全组、配置数据库端口。 9. 配置实例密码等信息。 10. 单击“立即购买”。 11. 返回实例列表。 当实例运行状态为“正常”时，表示实例创建完成。

本节介绍了云数据库GaussDB 的实例状态、备份状态。 数据库实例状态 数据库实例状态是数据库实例的运行情况。用户可以使用管理控制台操作查看数据库实例状态。 状态 说明 正常 数据库实例正常和可用。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 重启中 按照用户请求，或修改需要重启才能生效的参数后重启实例。 扩容中 数据库实例磁盘扩容中。 添加节点中 数据库实例节点扩容中。 备份中 正在备份数据库实例。 恢复中 正在恢复备份到实例中。 恢复失败 实例恢复失败。 存储空间满 实例的磁盘空间已满，此时不可进行数据库写入操作。 已删除 数据库实例已被删除，对于已经删除的实例，将不会在实例列表中显示。 版本升级中 实例版本正在升级中。 参数变更，等待重启 数据库参数修改后，有些参数修改，需等待用户重启实例才能生效。 变更副本中 数据库实例正在执行降副本操作。 备份状态 状态 说明 备份完成 表明备份任务执行成功 备份失败 表明备份任务执行失败。 备份中 表明正在进行备份中。

本节主要介绍创建参数模模板。 您可以使用数据库参数模板中的参数来管理数据库接口配置。数据库参数模板就像是接口配置值的容器，这些值可应用于一个或多个数据库实例。 每个用户可以创建100个参数模板。同一项目下的所有实例类型可以共享该配额。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航树，单击“参数模板管理”。 4. 在“参数模板管理”页面，单击“创建参数模板”。 5. 选择兼容接口数据库版本，命名参数组，并添加参数组描述，单击“确定”，创建参数组模板。 图1 创建参数模板 选择该数据库接口参数模板所需兼容的接口类型。 选择数据库版本，例如：1.7。 参数模板名称在1位到64位之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 描述不能超过256位，且不能包含回车和> ! < " & ' 特殊字符。 6. 参数组模板创建成功后，您可在“参数模板管理”页面，查看并管理创建完成的参数模板。

本节为您介绍云迁移服务CMS中数据库迁移工具数据订阅快速配置，包括注意事项及操作步骤。 注意事项 本文仅简单介绍数据订阅的通用配置流程，不同情况下的高级配置请阅读数据订阅。 操作步骤 1. 进入数据订阅的任务列表界面。 2. 单击“创建订阅”按钮，进入订阅任务配置界面。 3. 填写订阅任务的参数信息。 4. 填写好源库信息后，单击测试连接按钮。 5. 通过连接测试后点击“下一步：选择订阅对象”。 6. 将需要订阅的表选中，并点击“>”箭头，将表移到右侧已选对象框中。 7. 确定需要订阅的表后，点击“下一步:启动”，启动订阅任务。 8. 启动订阅任务后，即可查看订阅任务实时进度。

本节为您介绍云迁移服务CMS中数据库迁移工具数据同步快速配置，包括注意事项及操作步骤。 注意事项 本文仅简单介绍数据同步的通用配置流程，不同同步类型在配置时略有不同。具体配置步骤请阅读数据同步任务创建。 操作步骤 1. 进入数据同步的任务列表界面。 2. 单击“创建任务”按钮，进入任务配置界面。 3. 填写好信息配置和源数据库信息，单击测试连接按钮。 4. 通过连接测试后点击“下一步：启选择同步对象”。 5. 从可选对象列表中选择需要同步的表添加到已选对象后点击“下一步：转换规则配置”，对选择好的同步对象进行转换规则配置。 6. 规则配置好之后，点击“下一步：启动同步”，则可以看到同步进度界面

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持防护敏感信息泄露功能 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。

本小节主要介绍如何创建工单。 当运维用户不具备某些资源访问控制权限时，可主动提交工单，申请相应资源访问控制权限。 约束条件 已被纳入审批规则的用户名单内。 创建工单 1. 使用运维用户登录云堡垒机。 2. 在左侧导航栏选择“工单管理”>“工单申请”，进入工单申请页面。 3. 单击左上角的“新增”按钮，弹出“工单申请”对话框。 4. 在弹出的对话框中输入相关信息，具体填写参数可以参考下表，填写完成后单击“提交”。 工单名称 输入您待提交工单的名称。 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 资产 选择您需要访问的资产或者命令，可多选。 资产账号 选择您需要授权的资产账号。 提示符正则式 （仅工单类型选择“命令授权”时可填写）输入待授权命令的提示符正则式。 命令正则式 （仅工单类型选择“命令授权”时可填写）输入待授权命令的正则式。 生/失效日期 填写权限生效的起始日期和时间。 描述 填写申请工单的相关描述

本节为您介绍如何安装Agent及管理Agent。 审计代理插件（Agent）是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至天翼云数据库审计。当数据库系统部署在公有云、私有云或者实际场景下无法进行端口镜像时，可以通过流量代理的方式抓取数据库流量。 支持的操作系统 Agent支持的操作系统版本请参考使用限制。 Agent工作原理 Agent在数据库服务器的接口上抓取属于资产下发的IP+Port 的数据库操作的流量。 Agent 包含两个进程：dbagent.exe 和 dbMonitor.exe。 DBAgent与天翼云数据库审计的13002端口建立连接负责流量转发。 DBMonitor与天翼云数据库审计的13001端口建立连接负责控制部分，包含接收天翼云数据库审计下发的资产和其他配置。 通过SSH远程安装Agent 您可以通过SSH协议将Agent自动安装到需要审计的服务器上，目前仅支持Linux系统。 在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码，天翼云数据库审计通过scp协议将agent安装包传输到宿主机上并自动安装。 1. 在菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面，选择“Agent安装”页签。 2. 单击“开始安装”进入通过SSH远程安装Agent页面，编辑审计服务器IP，并添加安装Agent的服务器，单击“安装”。 填写参数说明请参见下表： 参数 参数说明 审计服务器IP 默认为当前的审计服务器IP，用户可以根据需要修改。 安装Agent的服务器 输入需要安装Agent的服务器IP及该服务器root账户的密码，默认端口为22，用户可以根据实际情况修改。 支持表单格式和文本格式输入。 支持IPv4和IPv6。 最多填写20个。 说明 单击“安装状态”可进入“安装状态”查看页面，可进行以下操作： 单击“卸载”可远程卸载已经成功安装了的Agent。 单击“重新安装”可对未成功安装Agent的服务器重新安装。 将光标悬停至“安装失败”后的图标，查看安装失败原因。 若您的业务部署在一类节点的资源池上，审计服务器IP需改为数据库审计所在的VPC组的公网IP。（一类节点可参考[支持的区域](/document/10446453/10489850

通用型 提供均衡的计算、存储以及网络配置，支持挂载可弹性扩展的云硬盘，满足资源专享、网络隔离、性能有基本要求的业务场景：如数据库、核心ERP系统等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.s4.medium 数据库 核心ERP系统 金融系统 20cores Intel Xeon Silver 4114 V5 (210core， 2.20 GHz) 128GB NA 2x210GE physical.s4.large 数据库 核心ERP系统 金融系统 20cores Intel Xeon Silver 4114 V5 (210core，2.20 GHz) 192GB NA 2x210GE physical.s4.xlarge 数据库 核心ERP系统 金融系统 28cores Intel Xeon Gold 5120 V5 (214core，2.20 GHz) 192GB NA 2x210GE physical.s4.2xlarge 高性能计算 数据库 核心ERP系统 金融系统 28cores Intel Xeon Gold 5120 V5 (214core，2.20 GHz) 384GB NA 2x210GE physical.s4.3xlarge 高性能计算 数据库 核心ERP系统 金融系统 44cores Intel Xeon E56161 (222core，2.20 GHz) 384GB NA 2x210GE

资费项 计费项 含义 适用的计费模式 流量费用 内/公网流入流量 通过内网或互联网上传数据到OBS所产生的流入流量。 免费 流量费用 内网流出流量 通过同区域天翼云ECS、CCE、BMS等下载OBS的数据所产生的流出流量。 若想使用内网访问OBS，需要提前进行相关配置，配置方法请参见 免费 流量费用 公网流出流量 通过互联网从OBS下载标准存储类型的数据所产生的流出流量。 说明 只要通过互联网下载OBS的数据，无论是否成功，均会产生公网的流量。 下载低频访问存储、归档存储和深度归档存储类别的对象产生的公网流出流量，将无法使用公网流出流量包进行抵扣。 按需计费 包年包月 流量费用 跨区域复制流量 使用跨区域复制功能将源桶数据复制到另一个区域的目标桶时所产生的流出流量。 按需计费

本节介绍如何购买智算安全专区。 前提条件 已注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 智算安全专区”。 4. 在页面右上角，单击“立即购买”。 5. 在产品订购页面，配置区域 、可用区 、虚拟私有云 、子网、CPU架构 。 6. 选择规格和购买数量。 7. 选择“购买时长”，拖动时间轴设置购买时长。 说明 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 确认参数配置无误后，阅读《天翼云智算安全专区服务协议》，并勾选“我已阅读，理解并接受《天翼云智算安全专区服务协议》”，单击“立即购买”。 9. 进入“付款”页面，完成付款。

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

本小节介绍渗透测试操作类常见问题。 购买天翼云渗透测试业务后如何填写受理单内容？ 客户应如实填写以下信息： 被检测的IP主机信息。 域名备案信息比对，必须为客户本人真实、合法信息。 客户为天翼云托管用户，用户提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 客户提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，客户需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 客户如有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，乙方不承担任何责任。） 客户需签订渗透测试授权书。

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

本节介绍联邦资源管理概述。 概述 CCE One 联邦资源管理的目标是统一管理联邦中集群的Kubernetes资源。 联邦资源分发 联邦资源管理的一个基础能力就是Kubernetes资源分发，将Kubernetes资源按用户指定的策略分发到联邦中的集群。 为实现资源分发，将资源分发API拆分为资源模板和策略两部分，策略按需要拆分为调度策略和差异化策略。 资源模板 CCE One使用 Kubernetes 原生 API 定义联邦资源模板，以便轻松与现有 Kubernetes 采用的工具进行集成。 策略 调度策略 CCE One提供了一个独立的 Propagation(placement) Policy API 来定义多集群的调度要求。 支持 1:N 的策略映射机制。用户无需每次创建联邦应用时都标明调度约束。 差异化策略 CCE One为不同的集群提供了一个可自动化生产独立配置的 Override Policy API。例如： 基于成员集群所在区域自动配置不同镜像仓库地址。 根据集群不同的云厂商，可以使用不同的存储类。

本文主要介绍CMDB管理概述。 应用性能监控默认内置了一个资源配置管理信息CMDB，您可用于组织应用结构信息以及相关配置信息，主要概念如下： 项目：用于组织和管理应用，在项目下还可以通过应用分组精细化管理应用。 环境： 即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 分组：在一个项目下面可以创建多个分组，主要起文件夹和管理的功能。 应用：应用是组成项目的某个业务实现，可独立部署运行，可以简单理解为一份代码程序对应一个应用，例如电商项目里的订单应用。一个应用可以部署到多个环境。 下图是一个CMDB结构示例： 在应用监控指标浏览页面，您可通过该组织结构进行更方便快捷的指标管理。

本文将为您介绍查看站点的全息视图。 前提条件 已经开通网络服务站点，具体操作说明详见开通站点。 操作步骤 1. 登录公共传输通道控制台，在左侧导航栏中，单击【云网客户全息视图】。 2. 在云网客户全息视图页面，查看同一VPN网号下的所有电路分布情况以及云资源池主机情况、内存利用率等关键指标情况，包括各条电路分钟级的流量监测以及告警提示。 3. 在云网客户全息视图中左侧业务列表中，单击【电路代号】，进入目标网络的组网视图，可以查看该VPN平面下的所有电路连接状态以及云网全量设备的拓扑信息。 4. 将鼠标悬浮到设备图标上，可以查看当前设备的重要配置参数。 5. 单击设备图标，可以查看当前设备的流量和告警等信息。

计费项 含义 适用的计费模式 计费周期 价格 公网流出流量 数据通过互联网从媒体存储传输到客户端产生的流出流量。 根据存储类型的不同，区分标准型公网流出流量、低频型公网流出流量。 按需 按小时计费 标准型：0.5元/GB 低频型：0.4元/GB 内网流出流量 数据通过内网从媒体存储传输到客户端产生的流出流量。 免费 公网流入流量 数据通过互联网上传到媒体存储所产生的流入流量。 免费 内网流入流量 数据通过内网上传到媒体存储所产生的流入流量。 免费 CDN回源流出流量 数据从媒体存储传输到天翼云CDN所产生的回源流量。 温馨提示：如您使用天翼云CDN，需要在源站配置中，选择【媒体存储源站】，此配置下产生的回源流量会按照CDN回源流量进行计费。如您选择【IP或域名】，产生的回源流量将按照公网下行流量计费。 按需 按小时计费 0.15元/GB

本节介绍了如何变更云数据库TaurusDB实例的CPU和内存规格。 操作场景 可以根据业务需要对包年/包月和按需实例的规格进行变更，规格指实例的CPU/内存。当实例的状态由“规格变更中”变为“正常”，则说明变更成功。 约束限制 当实例进行CPU/内存规格变更时，该实例不可被删除。 您只能对整个实例进行规格变更，无法对实例中的单个节点进行操作。 仅按需实例支持选择可维护时间段进行规格变更，且该任务不可被取消。 注意 变更规格后会主备倒换，请选择业务低峰期，避免业务异常中断。 变更规格后主节点与只读节点的读内网地址会发生变化，请及时在应用程序中修改您的连接地址以免影响业务。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 您可以通过两种途径进行规格变更。 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 规格变更”，进入“规格变更”页面。 单击目标实例名称，进入“基本信息”页面，在“实例信息”模块的“性能规格”处，单击“规格变更”，进入“规格变更”页面。 步骤 5 在“规格变更”页面，选择所需修改到的性能规格，您可以根据自己的需求缩小或扩大规格，并设置“切换时间”，单击“下一步”。 切换时间支持如下两种方式： 立即变更：系统会立即进行规格变更。 可维护时间段：在当前可维护时间段实现数据库资源变更，预约变更时间。 步骤 6 在规格确认页面，确认性能规格。 如需重新选择，单击“上一步”，修改性能规格。 按需计费模式的实例，单击“提交”，提交变更。 由规格变更产生的费用，您可在“费用中心 > 费用账单”中查看费用详情。 包年/包月模式的实例 缩小规格：单击“提交订单”，提交变更。由缩小规格产生的退款，系统会自动退还至客户帐户，您可通过单击“费用中心”进入“费用中心”页面，在左侧导航栏“订单管理”下的“我的订单”查看费用详情。 扩大规格：单击“提交订单”，跳转至支付页面，支付成功后，才可进行规格变更。 步骤 7 查看变更结果。 在实例管理页面，可以看到实例状态为“规格变更中”。稍后在对应的“基本信息”页面，查看实例规格，检查修改是否成功。此过程需要5～15分钟。 注意 TaurusDB实例规格变更成功后，系统将根据新内存大小，调整如下参数的值：“innodbbufferpoolsize”、“innodblogbuffersize”、“maxconnections”、“innodbbufferpoolinstances” “innodbpagecleaners”、“innodbparallelreadthreads”、“innodbreadiothreads”、“innodbwriteiothreads”、“threadpoolsize”。

本节介绍了云容器引擎的最佳实践：使用存储子目录为工作负载提供存储。 当需要将存储的特定子目录直接挂载至工作负载以实现高效数据存储时，云容器引擎提供了多种实现方式以支持该能力。 需求场景 当用户创建大容量文件存储时，为充分利用现有资源，可将不同子目录分配给多个工作负载使用。 若需实现数据层面的权限控制，可限制容器仅访问指定子目录。 对于习惯开源NFS使用方式的用户，可在已有文件存储基础上，通过为不同子目录创建独立的PVC并分配给对应工作负载，实现资源隔离。 每个工作负载拥有不同的子目录的方式便于管理，且可通过Pod名称区分子目录，提升运维效率。 方案选择 有以下两种方案： （1）复用现有存储：用户已有的存储对应一个PVC，无需额外创建PVC，可将同一PVC下的不同子目录分配给多个工作负载使用。 （2）动态分配子目录：用户使用海量文件存储时，每次可为不同工作负载动态分配一个子目录作为独立PVC。（注：此功能仅海量文件存储支持，其他存储产品不适用于子目录挂载场景。） 方案一：子目录挂载（多个子目录共享同一PVC） 在工作负载的数据存储配置界面，设置挂载路径为 /test，即存储卷将挂载至容器内的 /test 目录。子路径可选择 subPath 或 subPathExpr 模式。 subPath：简单直接，工作负载的所有副本均使用存储卷的同一子目录。 subPathExpr：支持通过环境变量动态调整子目录路径，实现同一工作负载中不同副本使用独立子目录。 若选择 subPath，直接填写子目录名称即可；若目录不存在，K8S会自动创建。若选择 subPathExpr，需按以下方式配置： 在第二个绿色箭头所指的框中，根据实际需求填写路径表达式。例如可使用 $(PODNAMESPACE)/$(PODNAME) 或 $(PODNAME)，也支持自定义格式。此处以 $(PODNAMESPACE)/$(PODNAME) 为例，需确保相关变量已在环境变量中预先定义。 根据以上示例，红框处需正确填写变量名，绿框处需选择变量值的来源。即从Pod的metadata.name字段获取PODNAME变量值，从metadata.namespace字段获取PODNAMESPACE变量值，并组合为存储的子目录路径。 例如：一个两副本的无状态工作负载位于命名空间cstor下，Pod名称分别为podA和podB。按此配置后，一个副本会将PVC对应存储下的cstor/podA子目录挂载至容器内的/test路径，另一副本则挂载cstor/podB子目录至相同路径。 若通过工作负载的YAML文件实现，相关字段配置如下： plaintext volumeMounts: name: workdir1 mountPath: /logs subPathExpr: $(PODNAMESPACE)/$(PODNAME) yaml的env的设置如下： plaintext spec: containers: name: container1 env: name: PODNAME valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name name: PODNAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace

本节介绍了设置资源配额与限制的用户指南。 资源配额与限制是对用户资源使用量的管控机制，主要用于实现资源的合理分配管理、成本的有效控制以及系统整体稳定性的保障。通过配额管理，云容器引擎能够对容器的计算、存储等资源进行统一的配额管控，确保不同项目或团队间的资源公平分配，防止因误操作或恶意行为导致的资源过度消耗，同时避免单用户过度占用资源而影响平台性能。您可为命名空间配置包括CPU、内存、Pod数量等资源的额度，更多信息请参见资源配额。 操作步骤 1. 登录云容器引擎控制台，单击集群名称进入集群。 2. 在左侧导航栏中选择“命名空间”。 3. 单击对应命名空间后的“更多”，下拉点击"设置资源配额"。 4. 在弹出的弹窗中设置资源配额与资源限制，然后单击“确定”。 参数说明 资源配额 资源类型 说明 CPU申请(requests.cpu) 所有非终止状态的 Pod，其 CPU 申请总量不能超过该值 CPU限制(limits.cpu) 所有非终止状态的 Pod，其 CPU 限制总量不能超过该值 内存申请(requests.memory) 所有非终止状态的 Pod，其内存申请总量不能超过该值 内存限制(limits.memory) 所有非终止状态的 Pod，其内存限制总量不能超过该值 存储空间(requests.storage) 所有持久卷声明的申请总量不能超过该值 持久卷声明数量(persistentvolumeclaims) 在该命名空间中允许存在的 PVC 的总数上限 配置项数量(configmaps) 在该命名空间中允许存在的 ConfigMap 总数上限 容器组数量(pods) 在该命名空间中允许存在的非终止状态的 Pod 总数上限 服务数量(services) 在该命名空间中允许存在的 Service 总数上限 负载均衡型服务数量(services.loadbalancers) 在该命名空间中允许存在的 LoadBalancer 类型的 Service 总数上限 主机端口型服务数量(services.nodeports) 在该命名空间中允许存在的 NodePort 或 LoadBalancer 类型的 Service 的 NodePort 总数上限 保密字段数量(secrets) 在该命名空间中允许存在的 Secret 总数上限 RC数量(replicationcontrollers) 在该命名空间中允许存在的 ReplicationController 总数上限 资源配额数量(resourcequotas) 在该命名空间中允许存在的 ResourceQuota 总数上限 Deployment数量(deployments.apps) 在该命名空间中允许存在的无状态负载(Deployment)的总数上限 Daemenset数量(daemonsets.apps) 在该命名空间中允许存在的守护进程(Daemonset)的总数上限 Statefulset数量(daemonsets.apps) 在该命名空间中允许存在的有状态负载(Statefulset)的总数上限 Job数量(jobs.batch) 在该命名空间中允许存在的任务(Job)的总数上限 Cronjob数量(cronjobs.batch) 在该命名空间中允许存在的定时任务(Cronjob)的总数上限

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本文介绍天翼云视频直播产品计费相关的概述信息，主要包括计费构成、计费模式及计费说明。 计费构成 天翼云视频直播计费由基础服务计费（必选）+增值服务计费（可选）组成： 基础服务计费：使用视频直播服务产生的流量或带宽费用，可任选其中一种计费方式。 增值服务计费：可根据业务需求选择是否叠加增值服务，当前增值服务支持直播转码、直播录制、直播截图、直播审核和高性能网络。 计费模式 天翼云视频直播产品支持按需计费和资源包两种计费模式。 按需计费（必选）：选择与业务需求相匹配的计费方式，按实际用量结算费用，先使用，后付费，通常情况下适用于业务用量有较大波动且无法准确预测的场景。按需计费当前支持按流量和按带宽两种方式。 资源包（预付费）：根据业务需求购买量级相匹配的资源包规格，结算时优先从资源包抵扣用量，先购买，后抵扣，适用于业务用量变动较小，整体用量相对明确的场景。 计费构成 计费模式 计费方式 计量维度 描述 订购方式 基础服务计费 按需计费（必选） 按流量 流量 实际流量计费。 支持官网订购。 基础服务计费 按需计费（必选） 按带宽 日带宽峰值 按照每日带宽峰值计费，按账户每5分钟统计一个带宽值，每日得到288个值，取其中的最大值作为当日的日带宽峰值计费点。 支持官网订购。 基础服务计费 按需计费（必选） 按带宽 月平均日带宽峰值 按照自然月结算，在每个自然日内，按账户每5分钟统计一个带宽值，对所有有效带宽值进行降序排列，取其中的最大值作为日带宽峰值计费点。 最后对所有有效日的日带宽峰值求和取平均，获得当月的月平均日带宽峰值。 需要提交工单或拨打4008109889电话联系客服进行订购。 基础服务计费 按需计费（必选） 按带宽 月带宽峰值 在一个自然月内，按账户每5分钟统计一个带宽值，对所有有效带宽值进行降序排列，取其中的最大值作为当月的月带宽峰值计费点。 以一月30天为例，默认均为有效取值点，每5分钟1个带宽取值点，每天288个取值点，每月总取值点数为288 x 30 8640个，取其中的最大值作为当月的月带宽峰值计费点。 需要提交工单或拨打4008109889电话联系客服进行订购。 基础服务计费 按需计费（必选） 按带宽 月带宽95峰值 在一个自然月内，按账户每5分钟统计一个带宽值，对所有有效带宽值进行降序排列，将带宽数值最高的 5% 的点去掉，剩余最高带宽即为月带宽95峰值计费值。 以一月30天为例，默认均为有效取值点，每5分钟1个带宽取值点，每天288个取值点，每月总取值点数为 288 x 30 8640个； 将所有的点按带宽数值降序排列，去掉前5%的点（8640 x 5% 432），即第433个点为当月的月带宽95峰值计费点。 需要提交工单或拨打4008109889电话联系客服进行订购。 基础服务计费 资源包计费（预付费） 流量包 流量 当前视频直播支持订购的资源包仅包括流量包，为一次性预付费，流量包有效期为一年，当前无按月计费周期的流量包。 支持官网订购。 相较于按需付费，流量包具有一定的优惠折扣。相关优惠活动，详情请参见天翼云官网最新活动。 增值服务计费 直播转码 按需计费 按照直播流转码时长收费。 支持官网订购。 增值服务计费 直播录制 按需计费 按照录制并发数进行收费。 开通使用直播录制功能时，还需收取存储计费，请参见：媒体存储的[]( 支持官网订购。 增值服务计费 []( 按需计费 按照截图张数收费。 开通使用直播截图功能时，还需收取存储计费，请参见：媒体存储的[]( 支持官网订购。 增值服务计费 直播审核 按需计费 按照审核张数收费。 开通使用直播审核功能时，还需收取存储计费，请参见：媒体存储的[]( 需要提交工单或拨打4008109889电话联系客服进行订购。 增值服务计费 高性能网络 按需计费 流量/带宽 当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，可起到跨境加速效果。 支持官网订购。

本文介绍标签管理的应用场景和使用说明。 标签通常用于标识云服务资源，基于标签，您可以实现对资源的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为资源绑定和删除标签，可以在控制台中通过标签筛选快速查找资源。 说明 目前仅部分地域支持标签管理功能，请参考产品能力地图。 应用场景 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、开发团队等）的标签，实现资源分类。 基于标签筛选功能，您还可以快速查找一组资源，进行批量管理。 例如： 在团队管理中，为资源添加团队标签（如department: R&D），标识所属开发部门，方便企业快速定位云资源所属部门。 在项目管理中，批量为业务1中所有文件系统实例绑定业务标签business:service1，并通过标签筛选，快速完成对业务1中文件系统实例的日常维护。 使用说明 每个资源最多可绑定50个标签。 每个资源下的标签键是唯一的，不可绑定相同标签键。 每个资源下的标签键对应的标签值唯一，如修改已有标签键对应的标签值，新标签值将会覆盖旧标签值。例如，将文件系统实例的business:service1的标签值service1，修改为service2，则新标签business: service2将覆盖旧标签business:service1。 标签键值命名规则： 字段 规则 标签键 不能为空 首字符不能为空格 长度不超过128个字符 标签值 不能为空 首字符不能为空格 长度不超过128个字符

边缘安全加速平台—安全与加速服务的计费项有哪些？ 边缘安全加速平台安全与加速计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 如何申请免费试用边缘安全加速平台？ 边缘安全加速平台暂时不支持官网自助开通试用，如果您需要开通试用，请通过提交工单给天翼云客服，天翼云技术支持将会为您开通。 如何关闭边缘安全加速平台安全与加速服务或停止计费？ 开通边缘安全加速平台安全与加速服务后，只要不添加域名，就不会产生计费。 如果您已经添加了域名，您可以登录边缘安全加速控制台，进入接入管理域名接入域名管理页面，可参考以下方式停止计费： 停用域名：对域名进行停用操作后，天翼云接入层CNAME将立刻解析至不可访问地址。请参见停用域名。 删除域名：删除按钮只能在域名状态为“已停止”时可见，请参见删除域名。

本章节主要围绕以自行部署的网关应用为入口，介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consuerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在云原生网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

本章节介绍HSS授权项说明。 如果您需要对您所拥有的HSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用HSS服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

五、 三种测评工具对比 1. 核心功能对比 vLLM Benchmark 专注于LLM推理引擎性能评测，支持OpenAI接口兼容的框架（如Qwen系列模型） 内置TTFT（首Token延迟）、TPOT（后续Token时延）、吞吐量等核心指标 支持长上下文压力测试（如LongAlpaca12k数据集） EvalScope 大模型多维度评估框架，覆盖性能测试（Perf）、效果评测（Accuracy）和合规性检测 提供标准化测试集（如MMLU、CMMLU）和自定义数据集扩展能力，支持多种测评场景 集成生产级压力测试功能，支持并发请求模拟与实时监控（通过Wandb可视化） LLMPerf 开源基准测试工具，专攻API级性能评估（延迟、吞吐量、请求成功率） 支持正确性验证（如数字格式转换准确性测试） 2. 性能指标侧重 工具 核心指标 测试场景差异 vLLM Benchmark 首Token延迟（TTFT）、Token吞吐量、显存占用率 重推理引擎的硬件资源利用率，常用于GPU云主机环境下的引擎选型 EvalScope 综合吞吐量、QPS、端到端延迟、多模态任务准确率 适配生产环境压力测试，支持API服务与本地模型的混合评测 LLMPerf Token间延迟、首Token延迟（TTFT）、请求吞吐量、错误率 强调高并发模拟能力（如10+并发请求），适合API服务的SLA验证 3.

本节介绍了：节点资源预留策略的用户指南。 云容器引擎需要占用一定的节点资源来运行相关组件（例如kubelet、kubeproxy、calico、Container Runtime等），从而使节点作为集群的一部分来运行。这会造成节点的资源总数与容器集群中可分配的资源数之间存在差异。本文介绍容器的节点资源预留策略、相关注意事项，以便在部署应用时合理设置Pod的请求资源量和限制资源量。 查询节点可分配资源 执行以下命令，查看节点的资源总量和可分配资源。 plaintext kubectl describe node [NODENAME] grep Allocatable B 7 A 6 预期输出： plaintext Capacity: cpu: 4 节点的CPU总核数。 ephemeralstorage: 123722704Ki 节点的临时存储总量，单位KiB。 hugepages1Gi: 0 hugepages2Mi: 0 memory: 7925980Ki 节点的内存总量，单位KiB。 pods: 64 Allocatable: cpu: 3900m 节点可分配的CPU核数。 ephemeralstorage: 114022843818 节点可分配的临时存储，单位KiB。 hugepages1Gi: 0 hugepages2Mi: 0 memory: 5824732Ki 节点可分配的内存，单位KiB。 pods: 64 计算节点可分配资源 可分配资源的计算公式：可分配资源（Allocatable） 总资源（Capacity）预留资源（Reserved）驱逐阈值（EvictionThreshold）

本文介绍如何绑定安全组。 功能说明 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 云容器引擎集群通过对接VNode来使用ECI时，ECI Pod默认采用所属VNode配置的安全组。如果有特殊需求，可以为某些ECI Pod指定其他安全组。 配置示例 可以通过设置 k8s.ctyun.cn/ecisecuritygroup 的Annotation来为ECI Pod指定安全组，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgshuhgxxx 指定安全组 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud