本节介绍如何续订私有证书。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 在待续费证书的“操作”列单击“证书续订”。 4. 在跳转的页面中确认续订证书的信息，选择证书有效期。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请私有（内网）证书。

本小节介绍证书管理服务产品续订。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订操作步骤 1. 进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2. 在待续费证书的“操作”列单击“证书续订”。 3. 在跳转的页面中确认续订证书的信息，选择证书有效期。 4. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请SSL证书。

桶策略和ACL的关系 桶ACL可以授权用户对桶及桶内对象进行读写和权限控制操作，而桶策略可以授权用户操作桶的更多高级设置。 对象ACL则是授权用户对桶内对象进行具体的读写操作。 如何选择？ 以下情况推荐使用桶策略： 不同的用户需要使用不同的权限时。 用户需要使用桶的高级配置功能时。 以下情况推荐使用ACL： 需要对单独对象进行额外的授权时。 需要开放某个对象给所有匿名用户访问时。 仅对桶或对象需要基础的读写权限时。 映射关系 桶ACL用于桶基本的读写权限设置，而桶策略用于授权更精细化的访问权限，包括资源与动作。桶ACL是基本的桶策略，可以被桶策略替代管理桶的访问权限。 桶策略动作的映射关系如下表： ACL权限 选项 对应桶策略高级设置中的动作 桶访问权限 读取权限 HeadBucket ListBucket ListBucketVersions ListBucketMultipartUploads 桶访问权限 写入权限 PutObject DeleteObject DeleteObjectVersion ACL访问权限 读取权限 GetBucketAcl ACL访问权限 写入权限 PutBucketAcl 对象ACL和桶策略的映射关系如下表： 对象ACL权限 选项 对应桶策略高级设置中的动作 对象访问权限 读取权限 GetObject GetObjectVersion ACL访问权限 读取权限 GetObjectAcl GetObjectVersionAcl ACL访问权限 写入权限 PutObjectAcl PutObjectVersionAcl 相关概念 账号/天翼云用户：指开通了天翼云的用户，该用户拥有对其资源的完全控制权限。 匿名用户：指未开通天翼云的用户或来自互联网的所有访客。

本章节主要介绍跨源连接相关问题中有关跨源连接运维报错的问题。 新建跨源连接，显示已激活，但使用时报communication link failure错误 原因 网络连通性问题，建议用户检查安全组选择是否正确，检查安全组网络（vpc）配置。 解决方法： 示列：创建RDS跨源，使用时报“communication link failure”错误。 a. 将原有跨源连接删除重新创建。再次创建时，必须确保所选“安全组”、“虚拟私有云”、“子网””和“目的地址”与RDS中的设置完全一致。 说明 请选择正确的“服务类型”，本示例中为“RDS”。 b.检查安全组网络（vpc）配置。 若按照步骤1重建跨源连接后还是报错“communication link failure”，则检查vpc配置。 跨源访问MRS HBase，连接超时，日志未打印错误 用户在跨源连接中没有添加集群主机信息，导致KRB认证失败，故连接超时，日志也未打印错误。建议配置主机信息后重试。 在“增强型跨源”页面，单击该连接“操作”列中的“修改主机信息”，在弹出的对话框中，填写主机信息。格式为：“IP 主机名/域名”，多条信息之间以换行分隔。 详细操作请参考《数据湖探索用户指南》中的“修改主机信息”章节。 DLI跨源连接报错找不到子网 跨源连接创建对等连接失败，报错信息如下： Failed to get subnet 2c2bd2ed72964c649b60ca25b5eee8fe. Response code : 404, message : {"code":"VPC.0202","message":"Query resource by id 2c2bd2ed72964c649b60ca25b5eee8fe fail.the subnet could not be found."} 创建跨源连接之前，需要确认是否勾选了“VPC Administrator”，如果只是勾选了全局的tenant administrator，会提示找不到子网。

名称 描述 说明 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接，域名解析服务会对每个客户端随机选择一个内网/公网IP地址，其解析机制并不能保证负载均衡，同样也存在CN单点问题。因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB）解决集群访问的单点问题。 EIP 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 Ring 安全环，集群内部的故障隔离域，主要作用是故障隔离，环内主机出现故障，故障不会扩散到环外。 如果环内某一单节点故障，所有DN节点在环内都有副本，数据不会丢失。 例如Server1发生故障后，DN1的备节点在Server2上，DN2的备节点在Server3上，DN3的备节点在Server3上，每个Server运行4个主DN，环内的各主机性能仍然保证均衡。 整个集群可以承受的主机故障数量范围为1~安全环的数量。 说明 集群按照安全环节点数量的倍数进行扩容，也就是以环为最小单位进行扩容。

包年/包月注册配置中心到期后会影响注册配置中心正常运行。如果您想继续使用，需要在指定的时间内为注册配置中心续费，否则注册配置中心将被删除，数据丢失且不可恢复。 续费操作仅适用于包年/包月注册配置中心，按需计费云服务器不需要续费，只需要保证账户余额充足即可。 注册配置中心在到期前续费成功，所有资源得以保留，且注册配置中心运行不受影响。 续费相关的功能 包年/包月注册配置中心续费相关的功能如下表所示。 功能 说明 手动续费 包年/包月注册配置中心从购买到被自动删除之前，您可以随时在费用中心为其续费，以延长注册配置中心的使用时间。 自动续费 开通自动续费后，注册配置中心会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。 在一个包年/包月注册配置中心生命周期的不同阶段，您可以根据需要选择一种方式进行续费。 注册配置中心从购买到到期前，处于正常运行阶段，资源状态为“使用中”。 到期后，资源状态变为“已过期”。 到期未续费时，注册配置中心首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除。 在注册配置中心到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至注册配置中心到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

本文介绍高级回源的功能介绍、配置说明及注意事项。 功能介绍 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。开启高级回源后，全站加速节点在接收到客户端请求后，读取请求中对应信息进行判断并回源到不同源站。目前天翼云全站加速支持的高级回源功能包括如下： 支持区分IPV4/IPV6回源。 支持分区域分运营商回源。 支持分不同目录回源：例如可设置某加速域名下：/abc/a目录回源站A，/def/d目录回源站B。 支持分不同文件后缀名回源：例如可设置某加速域名下：.apk文件回源站A，.mp4文件回源站B。 注意事项 上述高级回源维度可以相互组合，例如可设置如下：/abc/a目录下的.apk文件回源站A，/abc/a目录下的.mp4文件回源站B。 如客户同时在控制台配置了回源URI改写功能，且其中涉及目录或文件后缀名的改写，可能会造成分目录回源和分文件后缀名回源效果与预期不符。 高级回源功能支持在具体某个条件下设置多个源站，且支持多个源站之间设置主备、权重。 高级回源功能必须搭配源站配置功能一起使用，在某个请求未匹配至所有高级回源条件时，将按照基础回源配置回源。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的入门指引。 场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如下图所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响；连接1恢复正常后，VPN仍使用连接2进行数据交互。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网下图所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 约束与限制 对端网关需要支持标准IKE和IPsec协议。 本地数据中心和VPC间互通的子网需要没有重叠，且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。 如果VPC使用云专线服务和其他VPC互通，则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。

本章节向您主要介绍什么是VPN连接、VPN连接的组成部分以及如何访问VPN连接服务。 产品概述 虚拟专用网络（Virtual Private Network，以下简称VPN），用于在企业用户本地网络、数据中心与天翼云云上网络之间搭建安全、可靠、高性价比的加密连接通道。 VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口，与用户数据中心的对端网关对应。 VPN连接通过加密技术，将VPN网关与对端网关相关联，使数据中心与VPC通信，更快速、更安全地构建混合云环境。 组成部分 VPN网关 ：虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 对端网关 ：用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象，用于记录用户数据中心实体设备的配置信息。 VPN连接 ：VPN网关和对端网关之间的安全通道，使用IPsec协议对传输数据进行加密。 访问方式 VPN服务提供了Web化的服务管理平台，即管理控制台。用户可以登录管理控制台访问VPN服务。 如果用户已注册帐户，可直接登录管理控制台，在主页选择“网络 > VPN”。 如果未注册，可先注册天翼云账号后，再使用VPN服务。 约束与限制 VPN服务仅支持VPN网关与对端网关间通过IPSec协议建立安全通道，从而进行点对点通信，不支持SSL VPN能力。 VPN仅支持建立非跨境连接，不支持建立跨境连接。

本章节会介绍SQL Server的只读实例功能特点 产品简介 目前，云数据库Microsoft SQL Server仅2017企业版及以上版本的实例支持新增只读实例。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个节点的架构（没有备节点），采用SQL Server的原生复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响，只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 备份设置：不支持自动备份设置以及手动备份。 实例恢复：不支持通过备份文件或任意时间点创建只读实例，不支持通过备份集覆盖只读实例。 数据迁移：不支持将数据迁移至只读实例。

本章节会介绍关系型数据库如何将按需计费转为包周期计费 操作场景 关系型数据库服务支持单个按需实例转为包周期（包年/包月）实例。由于按需资源费用较高，需要长期使用资源的按需用户可以选择对按需资源进行转包周期，继续使用这些资源的同时，享受包周期的优惠资费。 说明 运行状态为冻结、创建失败、规格变更中、扩容中的实例不支持按需实例转包周期。 专属云RDS目前仅支持按需计费。 操作步骤 步骤1：登录管理控制台。 步骤2：单击管理控制台左上角的，选择区域和项目。 步骤3：选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4：在“实例管理”页面，选择目标实例，单击“操作”列的“转包周期”，进入“按需转包周期”页面。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“计费信息”模块的“计费模式”处，单击“转包周期”，进入“按需转包周期”页面。 步骤5：选择续费规格，以月为单位，最小包周期时长为一个月，如果订单确认无误，单击“提交”，进入“支付”页面。 步骤6：选择支付方式，单击“确认付款”。 按需转包周期创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 在实例列表的右上角，单击刷新列表，可查看到按需转包周期完成后，实例状态显示为“正常”。“计费模式”显示为“包年/包月”。

本文为您介绍弹性文件服务的操作系统限制,请您务必仔细阅读后使用。 使用限制 大部分标准操作系统都具备NFS客户端，即支持NFS协议的弹性文件系统挂载。若是定制操作系统须具备NFS客户端，方可支持标准的NFS协议弹性文件挂载。 目前天翼云部分镜像中不具备NFS客户端，需连接公网自行下载，后续会逐渐支持。 对于未在下方列表中的操作系统镜像，挂载文件系统时可能会存在一些未知缺陷，建议使用下方通过兼容性测试的操作系统进行挂载。 支持的操作系统列表 天翼云弹性文件服务已通过兼容性测试的操作系统如下表，请选择适合的云主机进行挂载，否则可能导致挂载失败。 注意 部分公共镜像已经停止维护，不推荐使用，相关操作系统维护情况请参考 类型 操作系统版本 CTyunOS CTyunOS 2.0.1 CentOS（均停止维护） CentOS6.8 64位 CentOS（均停止维护） CentOS7.0 64位 CentOS（均停止维护） CentOS7.2 64位 CentOS（均停止维护） CentOS7.3 64位 CentOS（均停止维护） CentOS7.4 64位 CentOS（均停止维护） CentOS7.5 64位 CentOS（均停止维护） CentOS7.7 64位 CentOS（均停止维护） CentOS7.8 64位 CentOS（均停止维护） CentOS8.0 64位 CentOS（均停止维护） CentOS8.1 64位 CentOS（均停止维护） CentOS8.2 64位 CentOS（均停止维护） CentOS8.4 64位 Ubuntu Ubuntu 16.04 64位（停止维护） Ubuntu Ubuntu 18.04 64位（停止维护） Ubuntu Ubuntu 20.04 64位 Ubuntu Ubuntu 22.04 64位 Windows Windows Server 2008 R2（停止维护） Windows Windows Server 2016 Datacenter Windows Windows Server 2012 R2 Standard（停止维护） Windows Windows server 2012 数据中心版 R2 64位 Windows Windows server 2012 标准版 R2 64位 Windows Windows server 2016 数据中心版 64位 Windows Windows server 2019 数据中心版 64位

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

操作场景 天翼云后端主机组不仅可以添加同一VPC内的云主机作为后端主机，还支持通过跨VPC后端功能将其他VPC的IP地址添加为后端主机。 使用须知 添加跨VPC后端IP功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 跨VPC后端IP添加仅支持同账号对等连接的对端VPC后端主机以IP形式添加，不支持添加跨账号的VPC内资源。该功能需要加白名单开通。 您最多可添加100个跨VPC后端IP，如需要申请更多，则需申请增加配额。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。选定特定的后端主机组，选择跨VPC后端IP类型，点击“添加”按钮。 5. 在弹出添加跨VPC后端IP窗口，依据跨VPC后端IP参数配置完成添加跨VPC后端IP参数配置。 6. 点击“增加一条跨VPC后端IP”新增一行，可连续添加多行。点击“确定”按钮，完成添加跨VPC后端IP设置。 跨VPC后端IP参数配置 跨VPC后端IP配置 说明 选择网络 选择ELB实例所在VPC之外的其它VPC，从下拉列表框选择。 批量添加端口 跨VPC后端IP的服务端口一致时，可在此输入框输入端口，点击确定自动填充所有跨VPC后端IP的端口设置。 后端IP添加 填写跨VPC后端IP、端口、权重，权重不填写缺省为1，支持移除操作；端口范围为165535；权重取值范围为 1 256。 添加完成后，如有需要您可以移除跨VPC后端IP 或者修改端口、权重。

步骤二：添加后端主机组 添加处理前端请求的后端云主机组。 1. 设置后端主机组名称。 2. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：进行负载方式和健康检查配置。 参考 TCP监听器负载方式&健康检查配置说明完成步骤三后，点击“立即创建”，完成TCP监听器创建。 TCP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数； 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 TCP协议的会话保持方式为SOURCEIP方式。即来自同一IP地址的访问请求转发到同一台后端主机上。 会话保持时间 设置会话保持的时间，取值范围为1 86400，缺省1000s 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 TCP，TCP协议监听器只可选TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。

若您需要伸缩组中的部分实例暂时停止承担业务流量且不被移出伸缩组，您可以使用弹性伸缩提供的实例备用功能。您可以对伸缩组中的一个或多个实例设置实例备用，实例备用能在保证实例不被移出伸缩组的同时对实例进行关机、重启等操作。 应用场景： 对于伸缩组内管理的实例，用户无法控制其生命周期。而伸缩组对实例的非健康状态的释放操作，也阻碍了用户对伸缩组中的实例进行停机、重启等操作，使得用户无法充分利用云主机服务提供一些功能，如重置密码、重装系统、切换操作系统等。 通过将伸缩组中的实例转入备用状态，实例的生命周期控制权将移至用户手中，方便用户对实例进行停机等相关操作，极大的增强了用户对伸缩组中实例的管理能力，适用于多种业务场景下的需求。 需要对弹性伸缩弹出的实例进行切换操作系统、重启等变更操作的场景，用户通过将目标实例转入备用状态，用户可进行云主机服务所支持的全部操作，操作完成后，再将实例移出备用状态，实例将进入伸缩组中的正常运行状态。 例如，您可以随时为伸缩组更换伸缩配置，伸缩组后续启动的任何实例都将使用此配置。不过，伸缩组不会更新已经正在运行的实例。您可以终止这些实例并让伸缩组替换这些实例，也可以将其转入备用状态，更新实例上的软件，然后将实例重新置于运行状态（即移出备用状态）。 用户通过伸缩组配置负载均衡的方式来管理业务机器，当伸缩组中的某台实例出现业务问题，用户可以通过转入备用操作对这台实例的承载的流量进行分流，进行一系列离线排查验证（登录，排查，重启等）操作后，在确认该实例已经正常后，再移出备用状态，重新处理业务流量。

本小节介绍开启容器防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “企业主机安全 > 资产管理 > 容器管理”页面“容器节点管理”中“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、 在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 容器节点管理 4、在“节点列表”中单击目标服务器“操作”列的“开启防护”，为需要开启防护的节点开启防护。 5、您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。 包年/ 包月 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“包年/包月”，阅读并确认“《容器安全服务免责声明》”。 “防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“按需计费”，阅读并确认“《容器安全服务免责声明》”。 6、在弹出的提示框中，阅读“《容器安全服务免责声明》”后，并勾选“我已阅读并同意《容器安全服务免责声明》”。 7、单击“确定”，开启节点防护，目标服务器“容器防护状态”变更为“防护中”，说明该节点已开启防护。 注意 一个容器安全配额防护一个集群节点。

本文将为您介绍如何在Linux环境下为数据盘扩展磁盘分区和文件系统。 扩大原有分区 （MBR分区与GPT分区） 本示例以“CentOS 7.6 64bit”操作系统为例，原有数据盘/dev/vdb已有分区/dev/vdb1，容量为10GB，且已在控制台将该数据盘扩容至20GB。本示例介绍如何将新增的10GB容量划分至已有的MBR分区或GPT分区/dev/vdb1内。 1. 输入 growpart命令，检查此云主机是否已安装growpart扩容工具。若出现图中回显信息，则说明已经安装，无需手动安装。 注意 若没有图示信息，请执行命令“yum install cloudutilsgrowpart”手动安装growpart工具。 2. 执行命令 fdisk l，查看磁盘的分区信息，回显信息如图所示： 3. 执行命令 df TH，查看数据盘分区/dev/vdb1的容量，回显信息如图所示： 从图中看出，磁盘分区/dev/vdb1容量为10GB，但是磁盘/dev/vdb的容量为20GB，需要扩容磁盘分区/dev/vdb1的空间。 4. 执行命令 growpart /dev/vdb 1，指定数据盘待扩容的分区，数据盘为/dev/vdb，分区的编号为1，通过growpart进行扩容，回显信息如图所示： 5. 执行命令 resize2fs /dev/vdb1，将原有分区/dev/vdb1的文件系统进行扩充。回显信息如图所示： 说明 当磁盘分区文件系统为xfs格式时，需要使用xfsgrowfs 磁盘分区扩容。 当磁盘分区文件系统为ext格式时，需要使用resize2fs 磁盘分区扩容。 6. 执行命令 df TH，查看扩容后数据盘分区“/dev/vdb1”的容量，回显信息如图所示： 此时数据盘分区/dev/vdb1的容量已经扩容至20GB。 若需要设置开机自动挂载磁盘分区，请参见设置开机自动挂载磁盘。

本节主要介绍开启冷存储， GeminiDB Influx提供了在同一数据保留策略里实现数据冷热分离的能力。如果您有冷热数据分离的需求，请先创建冷存储，然后通过冷热数据分离，来指定热数据的保存时长，这样热数据超过保存时长后将被自动归档到冷存储中。 GeminiDB Influx新实例和已有实例都支持创建冷存储，本章节将详细介绍创建冷存储的方法。 使用须知 已有实例内核版本为1.7.4.6才支持冷存储，如果低于此版本需要联系客服进行版本升级。 GeminiDB Influx进行备份时，不会对冷存储数据进行备份。 冷存储开启后暂不支持关闭。 新实例创建冷存储 您可以在购买实例页面选择是否选购冷存储和冷存储的容量，请参见购买GeminiDB Influx实例进行操作。 已有实例创建冷存储 若您在购买实例页面未选购冷存储，也可以待实例创建成功后单独创建，具体操作如下。 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称。 4. 在“基本信息>冷存储空间”区域，单击“创建冷存储空间”。 图1 创建冷存储空间 5. 进入“创建冷存储空间”页面，选择冷存储空间，单击“下一步”。 图2 选择冷存储空间 冷存储空间最小500GB，最大100,000GB，用户选择存储大小必须为整数，且每次至少可选择1GB的存储容量。 6. 在确认页面，确认冷存储空间。 包年/包月 如需重新选择，单击“上一步”，修改冷存储空间。 核对无误后，单击“提交订单”，进入付款页面，选择支付方式，完成支付。 按需计费 如需重新选择，单击“上一步”，修改冷存储空间。 核对无误后，单击“提交”，开始创建冷存储。 7. 检查冷存储创建结果。 创建过程中，实例运行状态为“冷存储创建中”。 创建完成后，实例运行状态变为“正常”。 单击实例名称，在实例“基本信息”页面的“冷存储空间”区域，可查看创建成功后的冷存储容量。

说明：本章节会介绍如何在控制台下载备份文件 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 云数据库MySQL支持用户下载全量备份。 如果你想下载备份文件，请联系客服人员开通权限。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“备份管理”页面，选择需要下载的可用备份，单击操作列中的“下载”。 您也可进入目标实例的“基本信息”页面，在左侧导航栏选择“备份恢复”，在“全量备份”子页签下，单击操作列中的“下载”。 在弹出框中选择下载方式。 若备份文件大于400MB，建议您使用OBS Broswer下载。 在弹出框中，单击“OBS Browser下载”，单击“确定”，通过OBS Browser客户端下载RDS备份文件 。 a. 下载客户端工具OBS Browser。 b. 解压并安装OBS Browser。 c. 登录客户端工具OBS Browser。 登录对象存储服务客户端相关操作，请参见《对象存储服务客户端指南》的“登录客户端”章节。 d. 配置OBS Browser不启用证书校验。 配置OBS Browser相关操作，请参见《对象存储服务工具指南》中“系统配置”的内容。 由于关系型数据库“下载备份文件”页面提供的桶名称不支持证书校验，需要在挂载外部桶之前关闭OBS Browser证书校验，待备份文件下载完成后再启用。 e. 挂载外部桶。 挂载外部桶相关操作，请参见《对象存储服务客户端指南》的“配置挂载外部桶”章节。 f. 下载备份文件。 在OBS Browser界面，单击添加成功的外部桶桶名，进入对象列表页面，在右侧搜索栏，输入关系型数据库“下载备份文件”页面中提示的下载备份存储文件名称并检索，选中待下载的文件后，单击“下载”。 g. 备份文件下载完成后，配置OBS Browser启用证书校验。 在弹出框中，单击“直接下载”，单击“确定”，通过浏览器直接下载数据库实例的备份文件。 您可根据业务需要，参考通过备份文件恢复数据(MySQL)，在本地进行数据恢复。

本文介绍验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值dnsverify。 根据域名随机生成TXT记录值。 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 1.在您的主域名源站根目录下，创建文件名为dnsverify.txt的文件（文件名为固定值），文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准），根据域名随机生成TXT记录值。 2.文件在主域名源站根目录下创建完成后，即可进行访问验证（示例的www.ctcdn.cn的文件验证需要访问 windows验证： linux验证： 3.如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文介绍如何模拟访问测试及前提须知。 在客户控制台成功添加加速域名后，为保障DNS解析顺利切换且不影响客户的现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 前提须知 1. 客户在天翼云控制台新增域名时，需先通过域名归属权验证。详见：验证域名归属权。 2. 通过域名归属权验证后，可前往天翼云控制台，在“添加域名”界面点击验证，验证通过就可以正常操作新增域名。详见：添加加速域名。 3. 客户在控制台【域名管理】中添加的域名源站可正常访问。 操作步骤 1. 在天翼云客户控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景。 4. 验证内容： 成功绑定HOSTS文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在HOSTS文件中绑定的IP一致，表示HOSTS文件配置正确。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例URL，或者必要的核验步骤，验证相关功能的准确性。例如在浏览器中访问一个源站存在的URL，查看对应URL返回的状态码是否200；一般首次访问全站加速节点，如全站加速节点可正常回源获取该文件，则会返回200状态码至客户端。如果返回状态码非200或其他功能验证不符合预期，请提交工单联系天翼云客服处理。

普通IO、高IO、通用型SSD、超高IO、极速型SSD云硬盘采用三副本数据冗余技术,提高数据的可靠性。 什么是三副本数据冗余？ 数据三副本技术是一种在分布式存储系统中使用的数据冗余技术。它的原理是将数据分块后的三个副本保存在集群中不同的节点上，以提高数据的可靠性和容错性。 数据三副本技术的基本原理如下： 数据复制：当数据被写入分布式存储系统时，系统会自动将该数据分块并复制为三个副本。 副本分布：这三个副本将分散存储在不同的物理节点或存储设备上，以减少副本之间的关联性。这样，即使某个存储节点或设备发生故障，其他节点上的副本仍然可用。 容错和数据恢复：如果一个副本不可用或损坏（例如由于存储节点故障或硬件故障），系统可以使用其他副本中的数据来实现容错和数据恢复。系统会自动检测并修复副本中的数据错误或丢失。 三副本技术架构如图： 三副本技术怎样确保数据一致性？ 数据一致性表示当应用写一份数据到存储系统时，存储系统中的3个数据副本必须保持数据一致。且当应用再次读取这些数据时，任意副本上的数据和之前写入的数据都是一致的。 通常从两个角度确保数据一致性： 应用程序写数据时，会向存储系统中写入三份数据副本。只有当三个副本都写入成功后，存储系统才会向应用程序返回写入成功响应。 如果有数据副本无法读取，则存储系统会自动从其他已保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，自动修复损坏的副本，确保数据一致性。

本文简要介绍如何创建前缀列表。 前缀列表是一些网络前缀（即CIDR地址块）的集合，您可以在配置其他资源的网络规则时引用前缀列表。本文介绍如何新建一个前缀列表。 操作场景 您可以创建前缀列表，即CIDR地址块的集合，在配置其他资源（例如安全组）的网络规则时引用前缀列表。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 点击页面右上角“创建前缀列表”按钮，进入创建前缀列表页面。 6. 根据界面提示配置参数，设置前缀列表信息；参数说明如下： 参数 说明 名称 输入前缀列表名称 最大条目数 设置前缀列表的最大条目容量，创建后不可更改。取值范围：1~200 地址族 选择IPv4或者IPv6地址族，创建后不可更改。 如果选择IPv4地址族，在前缀列表条目中只能设置IPv4的CIDR地址块。 如果选择IPv6地址族，在前缀列表条目中只能设置IPv6的CIDR地址块。 前缀列表条目 设置前缀列表的CIDR地址块信息。支持新增多条CIDR地址块和描述信息。 前缀列表条目的约束如下： 1、添加的总条目数量不能超过您设置的 最大条目容量。 2、条目中的CIDR地址块类型根据地址族决定，一个前缀列表不能同时包含IPv4和IPv6的CIDR地址块。 3、条目中的CIDR地址块不能重复。 描述 设置前缀列表的描述信息。 7. 点击“确认”按钮，即可完成前缀列表的创建。

本节介绍云容器引擎的最佳实践：获取容器Core Dump。 应用场景 Core Dump是指当一个程序发生严重错误导致异常终止时，操作系统将该程序当前的内存状态以及其他相关信息保存到一个特殊的文件中，这个文件通常称为 core 文件或核心转储文件。core文件包含了程序在崩溃时的内存映像、CPU 寄存器状态、堆栈信息等，可以用于分析程序异常终止的原因。 在容器环境中，Core Dump的处理与传统的物理机环境略有不同，因为容器本身是在宿主机上运行的，因此需要一些特殊的配置才能捕获容器内发生的核心转储。本节介绍容器中core文件的一般处理流程和相关概念。 将Core Dump文件输出到主机目录 开启节点Core Dump 设置Core Dump文件的输出路径 echo "/tmp/cores/core.%t.%e.%p" > /proc/sys/kernel/corepattern 上述文件路径中： %t：表示coredump的时间。 %e：表示程序文件名。 %p：表示进程ID。 将Core Dump的输出路径修改为/tmp/cores，后续容器中的应用程序Core Dump文件也将输出到容器的/tmp/cores文件，因为在容器中读取的 /proc/sys/kernel/corepattern文件实质上就是主机的 /proc/sys/kernel/corepattern文件。 配置容器Core Dump和验证 通过kubectl或者控制台完成如下配置： apiVersion: v1 kind: Pod metadata: name: corevolume spec: volumes: name: coredumppath hostPath: 通过hostPath将容器Core Dump持久化在主机 path: /home/coredump containers: name: ubuntu image: ubuntu:12.04 command: ["/bin/sleep","3600"] volumeMounts: mountPath: /tmp/cores name: coredumppath 用上述方式创建Pod并进入，触发当前shell终端的段错误。 $ kubectl get pod NAME READY STATUS RESTARTS AGE corevolume 1/1 Running 0 55s $ kubectl exec it corevolume /bin/bash root@corevolume:/ kill s SIGSEGV $$ 在容器实际运行的主机上查看/home/coredump目录会生成core文件。 ls /home/coredump core.1738160312.corevolume.15

本节介绍了云容器引擎的最佳实践：Ingress。 修改自定义端口 1、点击目标容器集群名称，进入集群详情页。 2、在菜单栏【插件】中选择【插件市场】，安装nginxingresscontroller插件。 3、安装插件时指定IngressController插件http及https端口。 4、您也可通过查看插件详情，按需修改端口重新安装插件即可。 配置基础用户名和密码 步骤一：创建用户名和密码 1、使用htpasswd工具创建一个包含用户名和密码的文件auth，例如添加一个名为foo的用户，该用户的密码是123456。 2、输入 cat auth查看文件auth，即可查看htpasswd工具生成的用户名和密码的加密形式。 步骤二：新增secret文件 1、点击目标容器集群名称，进入集群详情页。 2、在菜单栏【配置管理】中选择【保密字典】，点击【新增】。 3、创建一个名为“basicauth”的Secret对象，将auth作为变量名，步骤一htpasswd工具生成的用户名和密码的加密形式作为变量值填入。 4、查看Secret的yaml文件，填入后变量值会自动进行Base64加密。 注：当使用这个Secret对象来进行身份验证时，Ingress控制器会解码这里的Base64字符串，使用其中的用户名和密码来验证用户的身份。如果提供的用户名和密码与这里存储的一致，用户将被允许访问相应的资源。

本节介绍了云容器引擎的最佳实践：会话保持。 不使用会话保持 前提条件 创建一个nginx工作负载，并确保工作负载的实例个数大于1，工作负载不需要其他的额外特殊配置。 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意Session Affinity不需要设置，保持默认值即可。 测试验证 发起服务调用，在集群节点上执行这个命令发起对服务的100次调用 > for i in {1..100};do curl 10.96.116.221:80;done; 上述curl命令中的IP和端口来自如下地方： 观察工作负载日志，查看Pod实例的日志输出。 结论：服务请求会随机的转发到任一个Pod实例。 集群内请求会话保持 1、前提条件 创建一个nginx工作负载，同上。 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意需要展开高级设置，并设置Session Affinity为客户端IP。 2、测试验证 发起服务调用，同上。观察工作负载日志，查看Pod实例的日志输出。 结论：服务请求会全部转发到某一个Pod实例，进行会话保持。 集群外NodePort访问请求会话保持 1、前提条件 创建一个nginx工作负载，同上。创建一个NodePort类型的服务（Service）并关联到上述nginx工作负载，指定一个合法的主机端口，注意需要展开高级设置，并设置Session Affinity为客户端IP。 2、测试验证 发起服务调用；在集群外执行这个命令发起对服务的100次调用 > for i in {1..100};do curl 10.142.232.160:30080;done; 上述curl命令中的IP可以是集群的vip或者集群任意节点IP，端口是服务（Service）中指定的主机端口。 观察工作负载日志，查看Pod实例的日志输出。 结论：集群外的请求会全部转发到某一个Pod实例，进行会话保持。

本文介绍了：云容器引擎发布Kubernetes 1.29版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.29 版本Changelog 1. Kubernetes 1.29 版本，API 优先级和公平性（AFP）正式 GA，该特性以更细粒度的方式对请求进行分类和隔离。它还引入了有限的排队量，因此在非常短暂的突发情况下不会拒绝任何请求。请求使用公平排队技术从队列中分派，例如，行为不佳的控制器不会影响其他控制器（即使在相同的优先级）。 2. APIListChunking 正式 GA，该特性支持对 List 请求进行分页，减少一次性返回数据太多而导致的性能问题。 3. ServiceNodePortStaticSubrange 达到 GA，该特性将 NodePort 划分为静态段和动态段，在 NodePort 自动分配时，则优先从动态段进行分别，降低与静态段分配到时端口冲突的概率。 4. ReadWriteOncePod 正式 GA，该特性允许用户在 PVC 中配置访问模式 ReadWriteOncePod，确保只有一个 Pod 可以修改存储中的数据。 5. CRD 验证表达式语言正式 GA，该特性支持在 CRD 验证时使用表达式语言（CEL）定义验证规则，对比 webhook 更加简单高效。 6. PodHostIPs 升级到 Beta 阶段，该特性支持将 Node IP 暴露给 Pod。 7. 原生边车容器 升级到 Beta 阶段，该特性以 restartPolicy 设置为 Always 的方式声明，原生边车容器适用于批处理、日志采集等场景。 8. Job Pod 更换策略升级到 Beta 阶段，该特性使用 Failed 阶段代替删除时间戳不为空作为 Pod 替换的条件，避免出现删除过程中的 Pod 占用索引和节点资源。 9. Job Pod 逐索引的回退限制达到 Beta 阶段，该特性可以避免持续失败的带索引的 Job Pod 进行不要的失败重试，达到优化资源利用的目的。 更多信息请参考：Kubernetes 1.29 Changelog

使用保密字典设置Pod的环境变量 1. 通过命令行进行配置。 创建example.yaml配置文件，具体示例内容如下： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: username valueFrom: secretKeyRef: name: secretdemo key: username name: password valueFrom: secretKeyRef: name: secretdemo key: password 执行以下命令，配置保密字典。 PowerShell kubectl apply f example.yaml 在上述示例中，我们定义了一个Pod，并在其中添加了一个名为mycontainer 容器，接着为其定义了两个环境变量username和password，并使用valueFrom和secretKeyRef来引用Secret中的值。secretKeyRef的name属性用于指定Secret 的名称，key属性用于指定需要使用的Secret 中对应的键名。通过上述方式，在容器中就可以使用username和paasword环境变量，来获取Secret 中的用户名和密码信息。 2. 通过控制台进行配置。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“创建deployment” 。详细操作步骤请参阅Serverless 容器引擎使用快速入门 。 6. 在“数据卷（选填）”中添加目标保密字典的数据卷。 7. 在实例内容器中的环境变量区域单击“新增变量” ，类型选择“秘钥键值导入”，变量/变量引用选择在创建保密字典中新建的Secret，再分别选择Secret的Key以及填写它们对应的变量名。 本次示例配置如下所示：

本文将介绍如何在集群中管理保密字典。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 背景信息 在 Kubernetes 中，保密字典（Secret）是一种用于保存敏感数据的对象。它可以存储像用户名、密码、令牌、密钥、证书等敏感信息，这些信息需要被保护以避免被恶意用户利用。 保密字典可以以字符串或者文件的形式保存敏感信息，它们被编码为 base64 格式并存储在 Kubernetes 集群中。 保密字典可以被用于各种用例，例如：在容器中或 Pod 中挂载配置文件、合并 Docker 镜像的安全证书等。 保密字典的使用方式类似于配置项目，但保密字典显然更加安全，因为它可以加密保存，并且可以限制访问权限。您可以在 Pod 中使用 Volume 或者环境变量引用保密字典，或者将其用作镜像源、终端服务器等。 创建保密字典 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”。 2. 在集群列表页面中，单击目标集群名称，并在左侧导航栏中选择“配置管理” 。 3. 选择“保密字典”，在保密字典页面中，您可以通过以下两种方式创建配置项。 1. 通过保密字典菜单创建。 1. 单击保密字典页面左上角的“创建” 。 2. 在创建保密字典页面中，填写保密字典名称。名称最长100个字符，由小写字母、数字、""及"."组成，且开始和结尾只能是数字和字母。 3. 填写保密字典内容。包括变量名和对应变量值，允许添加多个配置项。支持“上传文本文件”和“上传二进制文件” 。 2. 使用YAML创建。 1. 单击保密字典页面左上角的“新增YAML” 。 2. 在使用模版部署的页面填写保密字典内容，即Secret的相关信息；或者选择从文件导入然后单击保存。

本节介绍了如何进行域名归属权校验。域名归属权校验是将域名接入DDoS高防（边缘云版）的必要操作。在控制台进行域名基本配置之后，会弹出域名归属权校验框，需根据其中返回内容完成以下步骤。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1. 客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1. 在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 2. 文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 ）。 windows验证： linux验证： 3. 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

批量卸载 当您已有服务器安装过ICAgent，且该服务器“/opt/ICAgent/”路径下存在ICAgent安装包ICProbeAgent.tar.gz，通过该方式可对多个服务器进行一键式继承批量卸载。 批量卸载的服务器需同属一个VPC下，并在同一个网段中。 前提条件 已收集需要卸载Agent的所有服务器的IP地址、密码，按照iplist.cfg格式整理好，并上传到已安装过ICAgent机器的/opt/ICAgent/目录下。iplist.cfg格式示例如下所示，IP地址与密码之间用空格隔开： 192.168.0.109 密码（请根据实际填写） 192.168.0.39 密码（请根据实际填写） 说明 iplist.cfg中包含您的敏感信息，建议您使用完之后清理一下。 如果所有服务器的密码一致，iplist.cfg中只需列出IP地址，无需填写密码，在执行时输入此密码即可；如果某个IP密码与其他不一致，则需在此IP地址后填写其密码。 操作步骤 1. 在已安装ICAgent的服务器上执行如下命令。 bash /opt/oss/servicemgr/ICAgent/bin/remoteUninstall/remoteuninstall.sh batchModeConfig /opt/ICAgent/iplist.cfg 根据脚本提示输入待卸载机器的root用户默认密码，如果所有IP地址的密码在iplist.cfg中已有配置，则直接输入回车键跳过即可，否则请输入默认密码。 batch uninstall begin Please input default passwd: send cmd to 192.168.0.109 send cmd to 192.168.0.39 2 tasks running, please wait... End of uninstall agent: 192.168.0.109 End of uninstall agent: 192.168.0.39 All hosts uninstall icagent finish. 请耐心等待，当提示All hosts uninstall icagent finish.时，则表示配置文件中所有服务器的卸载操作已完成。 2. 卸载完成后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器的ICAgent状态。