本节介绍了开启APIServer审计日志的用户指南。 应用场景 Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。通过APIServer审计日志可以追踪用户对集群的操作行为。更进一步的，通过使用日志中心可以将集群的APIServer审计日志持久化到云日志服务，从而长时间追踪APIServer请求。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 。若已有集群，无需重复操作。 拥有集群master节点的root或sudo权限，能够远程登录节点执行命令。 操作步骤 以下步骤需要在集群所有master节点执行（可在集群菜单 节点管理 > 节点 查看master节点，一般有3个或5个） 增加apiserver审计策略文件 在集群master节点，新增 /etc/kubernetes/auditpolicy.yaml 文件 plaintext apiVersion: audit.k8s.io/v1 This is required. kind: Policy 不要为RequestReceived阶段中的所有请求生成审核事件。 omitStages: "RequestReceived" rules: 以下请求被手动确定为高容量和低风险，因此请取消这些请求。 level: None users: ["system:kubeproxy"] verbs: ["watch"] resources: group: "" core resources: ["endpoints", "services"] level: None users: ["system:unsecured"] namespaces: ["kubesystem"] verbs: ["get"] resources: group: "" core resources: ["configmaps"] level: None users: ["kubelet"]

前提条件 已购买标准版及以上版本堡垒机，并已完成堡垒机配置。 安全区域边界：安全审计 等保条例：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 本条款主要考察：是否有进行安全审计。云堡垒机支持对云服务器运维操作进行监控和审计。 使用有审计模块权限的账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 在历史会话页面可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 本条款主要考察：日志是否按照要求进行记录。 使用管理员账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。 等保条例：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 使用管理员账号登录云堡垒机，单击“系统 > 数据维护”，单击“日志备份”，进入“日志备份”页面。 在“日志备份”页面，可以创建、查看日志备份，支持系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。也支持备份至Syslog服务器、FTP/SFTP服务器和OBS桶。 等保条例：应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析； 本条款主要考察：是否能够对远程访问的用户行为进行审计与数据分析。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

云助手命令可以在弹性云主机或物理机实例中快速完成运行自动化运维脚本、安装或卸载软件、更新应用以及安装补丁等一些日常任务。命令类型可以是Windows PowerShell脚本、Bat批处理命令、Python脚本和Linux Shell脚本,命令中支持自定义参数,方便设置变量值。 使用限制 在同一地域下，您可以保存500条云助手命令。 创建的脚本大小不能超过24KB。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择我的命令标签页，如下图所示： 3. 点击创建命令按钮，如下图所示： 4. 填写命令名称、命令内容、选择命令类型、填写命令参数等。 5. 填写完成后点击保存按钮保存命令。 参数说明 参数 说明 是否必填 命令名称 设置命令名称，长度不超过128个字符。 是 命令类型 按需选择命令类型。 是 命令描述信息 按需填写命令描述信息，长度不超过512个字符。 否 执行路径 自定义命令的执行路径。 Linux 实例默认路径为 root 用户的 /tmp/ 目录。 Windows 实例默认路径为 System 权限的 C:/Windows/System32/ 目录。 是 执行用户 自定义执行命令的用户。 Linux 实例默认为 root 用户。 Windows 实例默认为 System 用户。 是 超时时间 设置命令在实例中的超时时间，当执行命令的任务超时后，云助手将强制终止任务进程。单位为秒，默认为60秒，取值范围为[10, 86400]。 是 命令内容 编辑或者粘贴您的命令。 是 使用参数 是否在命令中使用参数，自定义参数不能超过20个。 否

操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。 因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于CCE提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照购买混合集群中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。 通过控制台创建 云容器引擎提供了多种创建工作负载的方式，您可以通过如下方式进行创建： 1. 基于“我的镜像”创建工作负载，用户首先需要将镜像上传至容器镜像服务。 2. 基于“共享镜像”创建工作负载，即其它租户通过“容器镜像服务”共享给您的镜像。 3. 若您希望通过YAML方式创建工作负载，您可在“创建有状态工作负载”页面单击界面右侧的“YAML创建”，通过yaml的方式创建工作负载。YAML的说明请参见通过kubectl命令行创建。YAML编写完成后，可单击“创建”，直接创建工作负载。 YAML文件是和界面保持同步的，您也可以通过界面和YAML互动完成工作负载的创建。例如： 界面中填写工作负载名称后，YAML文件会自动关联该名称。 界面中添加完镜像后，YAML中也会自动关联该镜像。 控制台界面右侧的“YAML创建”不支持多个YAML混合，请分别创建，否则创建时将会报错。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 有状态负载 StatefulSet”，单击“创建有状态工作负载”。在打开的创建有状态工作负载页面中，参照下表设置工作负载基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到52个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 实例数量 工作负载的实例数量。工作负载可以有一个或多个实例，用户可以设置具体实例个数，默认为2，可自定义设置为1。 每个工作负载实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，工作负载还能正常运行。若使用单实例，节点异常或实例异常会导致服务异常。 时区同步 单击开启后，容器将和节点使用相同时区。 须知 时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 2 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期：用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 有状态工作负载只能在创建时添加数据存储，创建完成后无法再添加。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 3 单击“下一步：工作负载访问设置”，设置“实例间发现服务”和工作负载访问方式。 设置“实例间发现服务”，如下表： 参数 参数说明 服务名称 输入工作负载所对应的服务名称，用于集群内工作负载间的互相访问。该服务主要用于实例的内部发现，不需要有单独的IP地址，也不需要做负载均衡。 端口名称 端口名称用于给容器端口命名，通常以端口用途命名。 容器端口 输入容器的监听端口。 单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络概述。 步骤 4 单击“下一步：高级配置”，配置更多高级策略。 升级策略：仅支持“滚动升级”。 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 实例管理策略：支持“有序策略”和“并行策略”两种。 有序策略：默认策略，有状态负载会逐个的、按顺序的进行部署、删除、伸缩实例， 只有前一个实例部署Ready或删除完成后，有状态负载才会操作后一个实例。 并行策略：支持有状态负载并行创建或删除所有的实例，有状态负载发生变更时立刻在实例上生效。 缩容策略：为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 − 缩容时间窗 (s)：请输入时间，该时间为工作负载停止前命令的执行时间窗（09999秒），默认30秒。 − 缩容优先级：可根据业务需要选择“优先减少新实例”或“优先减少老实例”。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见调度策略概述。 Pod高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 客户端DNS配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：的性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 5 配置完成后，单击“创建”，单击“返回工作负载列表”。在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。如果工作负载状态未实时更新，请刷新页面查看。 节点不可用时，pod状态变为“未就绪”，此时需要手工删除有状态工作负载的pod，pod实例才会迁移到正常节点上。 工作负载列表页在超过500条以上时，将采用Kubernetes的分页机制进行分页。Kubernetes的分页机制：仅支持回到第一页和查看下一页，不支持查看上一页，且在分页显示的情况下，资源总数显示的是批量查询出的数目而不是真实总数。 通过kubectl命令行创建 本节以etcd为例来进行说明。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为etcdstatefulset.yaml的文件。 其中，etcdstatefulset.yaml为自定义名称，您可以随意命名。 vi etcdstatefulset.yaml 以下内容仅为示例，若需要了解statefulset的详细内容，请参考kubernetes官方文档。 apiVersion: apps/v1 kind: StatefulSet metadata: name: etcd spec: replicas: 2 selector: matchLabels: app: etcd serviceName: etcdsvc template: metadata: labels: app: etcd spec: containers: env: name: PAASAPPNAME value: tesyhhj name: PAASNAMESPACE value: default name: PAASPROJECTID value: 9632fae707ce4416a0ab1e3e121fe555 image: etcd imagePullPolicy: IfNotPresent name: container0 updateStrategy: type: RollingUpdate vi etcdheadless.yaml apiVersion: v1 kind: Service metadata: labels: app: etcd name: etcdsvc spec: clusterIP: None ports: name: etcdsvc port: 3120 protocol: TCP targetPort: 3120 selector: app: etcd sessionAffinity: None type: ClusterIP 步骤 3 创建工作负载以及对应headless服务。 kubectl create f etcdstatefulset.yaml 回显如下，表示有状态工作负载（stateful）已创建成功。 statefulset.apps/etcd created kubectl create f etcdheadless.yaml 回显如下，表示对应headless服务已创建成功。 service/etcdsvc created 步骤 4 若工作负载需要被访问（集群内访问或节点访问），您需要设置访问方式，具体请参见“网络管理”并创建对应服务。

本章节会介绍备份迁移的方案概览。 以下节点支持备份迁移：贵州、杭州、广州4、苏州、上海4、青岛、西安2、长沙2、武汉2、哈尔滨、内蒙3、芜湖、福州、深圳、华北、北京2、石家庄、兰州、西宁、重庆、南昌、成都3、天津、海口、郑州。 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。 表 迁移方案 备份文件版本 目标数据库版本 相关文档 ::: RDS for Microsoft SQL Server全量备份文件 RDS for Microsoft SQL Server 创建RDS备份迁移任务 本地及其他云Microsoft SQL Server数据库备份文件 RDS for Microsoft SQL Server 创建OBS自建桶备份迁移任务

在安全组中一键放通常见端口 操作场景 您可以通过使用该功能，在安全组中一键放通常见端口。适用于以下场景： 远程登录云主机 在云主机内使用ping命令测试网络连通性 云主机用作Web服务器对外提供网站访问服务 您可以一键放通的常见端口详细说明如下表所示。 方向 类型和协议端口 源地址/目的地址 规则用途 入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的SSH(22)端口，用于远程登录Linux云主机。 入方向 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的RDP(3389)端口，用于远程登录Windows云主机。 入方向 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的HTTP(80)端口，用于通过HTTP协议访问网站。 入方向 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的HTTPS(443)端口，用于通过HTTPS协议访问网站。 入方向 TCP : 2021 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的FTP(20和21)端口，用于远程连接云主机上传或者下载文件。 入方向 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云主机的所有端口，用于通过ping命令测试云主机的网络连通性。 出方向 全部(IPv4) 全部(IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云主机可访问外部任意IP和端口。 注意 安全组入方向规则的源地址设置为0.0.0.0/0或::/0，表示允许或拒绝所有外部IP地址访问您的实例，如果将“22、3389、8848”等高危端口暴露到公网，可能导致网络入侵，造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。

参数 说明 模板名称 录制模板的名称。支持大小写字母、数字和特殊符号“”。 模板描述 针对该模板的相关描述。 录制格式 录制文件格式，支持将直播录制为HLS、FLV、MP4和AAC四种格式。 文件存储路径 媒体存储中存储录制文件的路径。 文件命名规则 录制文件的前缀。 存储ak 媒体存储的访问密钥。需先开通媒体存储服务，系统自动获取加密后的ak。 存储sk 媒体存储的访问密钥。需先开通媒体存储服务，系统自动获取加密后的sk。 存储访问域名（endpoint） 媒体存储的服务地址。 存储区域 媒体存储的资源区域信息。 存储bucket 媒体存储的bucket名称。

本文为您介绍Linux系统重启后/etc/hosts自动添加主机名解析的处理方法。 问题描述 重启使用 Linux 系统的云主机后发现 /etc/hosts 文件被全部重写或被添加了主机名和回环地址（例：127.0.0.1、127.0.1.1）的解析，导致域名解析不符合预期或出现问题。 问题原因 云平台 Linux 镜像中的一个核心组件是 cloudinit。作为开源的云初始化程序，cloudinit 主要用于对主机名、初始密码等一些自定义信息进行初始化配置。若 cloudinit 配置中存在对 manageetchosts 的配置，则 cloudinit 会根据具体配置值决定如何调整 /etc/hosts 文件。公共镜像默认不启用 cloudinit 对 /etc/hosts 的修改功能，即 manageetchosts 不做配置或配置为 false（默认值）。若您使用了公共镜像并修改了 cloudinit 配置或使用了私有镜像，则可参考此指导来尝试解决问题。 问题排查思路 /etc/hosts 文件被全部重写可能是因为 cloudinit 配置中将 manageetchosts 配置成了true（若您安装的 cloudinit 版本低于22.3，则还可能是配置成了 template）。此时，cloudinit 会根据/etc/cloud/templates/hosts.tmpl 来重写 /etc/hosts 文件。 而 /etc/hosts 文件被添加主机名解析可能是因为 cloudinit 配置中将 manageetchosts 配置成了 localhost。 解决步骤 1. Cloudinit 配置文件是 /etc/cloud/cloud.cfg，您可能还将自定义配置放于 /etc/cloud/cloud.cfg.d/ 目录下。搜索包含 manageetchosts 配置的文件可使用以下命令： grep rn ‘manageetchosts’ /etc/cloud/ 返回结果示例： 2. 以上述返回结果为例，可以看到在/etc/cloud/cloud.cfg 文件中的第20 行将 manageetchosts 配置成了 localhost，此时您需要修改 cloud.cfg 中的 manageetchosts 配置，即： 原文：manageetchosts: localhost 修改后：

关于天翼云CDN服务协议的详细介绍。 天翼云CDN服务协议，详情请见：天翼云CDN服务协议。

本节介绍了该产品的服务等级协议。 弹性容器实例产品服务等级协议，详情请参见这里。

尊敬的天翼云客户： 您好！ 因业务调整，自2024年9月13日起，密钥管理按需版不再支持新购。 调整影响范围： 新增客户：2024年9月13日起，无法订购按需版本，可选择开通包周期版本，规格说明： 存量客户：2024年9月13日前已开通过按需版的用户，可继续使用按需版本，并按照按需版资费计费。 给您带来不便，敬请谅解！感谢您对天翼云的信赖与支持，如您有任何问题，可随时通过工单或者服务热线（4008109889）与我们联系。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

本节介绍弹性公网IP的创建、绑定、解绑、删除等操作。 使用场景 您可以通过创建EIP并将其绑定到边缘云资源实例上，实现云资源实例公网访问，或将已绑定云资源实例的EIP解绑，从而禁止云资源实例访问公网和被其他公网资源访问。 使用说明 因EIP免费提供，未绑定实例且关联带宽为按使用流量的EIP仅允许保留7天，超过时限后系统将自动释放，释放前后会有邮件提醒。 绑定至虚拟机直通网卡、VPN网关和零信任连接器的公网IP不允许解绑，可删除直通网卡、VPN网关和零信任连接器释放公网IP。 EIP分配的IPv6地址仅当双栈IP绑定到直通网卡时才有效，绑定到VPC网卡IPv6地址不生效，使用IPv4和IPv6地址产生的流量或带宽计入同一带宽实例。 EIP加入到共享带宽后，流量统一计入到共享带宽实例中。 EIP已绑定实例状态下不可删除。 使用IPv6服务，需要地域具备IPv6资源，部分地域暂无IPv6资源，请以实际开通结果为准。 EIP关联裸金属时只能选择内网IP是从VPC分配的裸金属，同一裸金属只允许绑定一个EIP。 可购买EIP数量不能超过该集群的剩余配额。 购买公网IP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>公网IP】，单击界面右上角的【+购买EIP】。 3. 在购买页面按需选择或者输入相关参数，标签请使用默认值，如需修改请找运营人员确认后再操作，否则可能导致资源开通失败；当地域为高可用地域时，则会出现高级选项，当公网IP后续要绑定到直通网卡使用时，需要为公网IP指定与直通网卡一致的可用区。 4. 填写相关参数后，单击【立即购买】，进入订单支付页面，支付成功后，公网IP即可创建成功，可以在公网IP列表查看已创建的EIP。

本章节介绍为Spring Cloud应用构建服务注册中心的方案 版本和依赖 SpringBoot、SpringCloud Alibaba、OpenFeign等存在版本对应关系，版本不匹配可能会出现问题。以如下以来的版本为例说明如何接入Nacos。 com.alibaba.cloud springcloudstarteralibabanacosconfig com.alibaba.nacos nacosclient com.alibaba.nacos nacosclient 2.1.0 com.alibaba.cloud springcloudstarteralibabanacosdiscovery org.springframework.boot springbootstartertest test org.springframework.cloud springcloudstarteropenfeign 3.0.6 org.springframework.cloud springcloudstarterloadbalancer 3.0.6 org.springframework.cloud springcloudstarterbootstrap 3.0.6 接入注册中心 服务注册 接入注册中需要的增加的依赖是springcloudstarteralibabanacosdiscovery，在第二节中已经给出。 注意 实例中SpringBoot 2.6.1 SpringCloud版本为2021.0.4.0，这两个版本需要匹配。如果使用其他版本，可以从Spring Cloud 官方查询匹配版本。 在本地创建服务提供者应用工程，然后添加依赖，并开启服务注册与发现功能，并将注册中心指定为Nacos Server。 接入注册中心需要在配置文件中增加相关配置，以yml文件为例，可以加在applicationprod.yml中增加如下配置文件： spring: cloud: nacos: discovery: username: ${NAOCSUSERNAME} password: ${NAOCSPASSWORD} serveraddr: ${NACOSSERVERADDRESS} namespace: ${NACOSNAMINGNAMESPACE} group: ${NACOSNAMINGGROUP} 以上配置中变量的实际值，可以通过环境变量的方式提供。环境变量可以在云容器引擎中配置。 除修改配置文件以外，需要在Spring Boot 项目的启动类上增加@EnableDiscoveryClient注解。如下列代码所示： @EnableDiscoveryClient @SpringBootApplication public class DemoApplication { public static void main(String[] args) { SpringApplication.run(DemoApplication.class,args); } } 修改配置文件后启动应用。启动成功后可以在控制台页面查看当前注册的服务。

本文介绍如何购买云防火墙。 云防火墙支持一个账号下购买多个防火墙，便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator权限。 版本信息说明 云防火墙支持包年/包月（预付费）计费方式，提供以下服务版本：标准版、专业版。 各版本的功能差异请参见产品功能。 各服务版本推荐使用的说明如下： 标准版 有等保需求，或对网络入侵、主机失陷等网络安全比较关注的中小型客户。 专业版 有等保或重保需求，或对网络入侵、主机失陷、内部网络互访等网络安全比较关注的中大型客户。 标准版防火墙 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 单击“购买云防火墙”，进入“购买云防火墙”页面，相关参数如下表所示。 参数名称 参数说明 计费模式 包年/包月，按配置周期计费。 区域 购买云防火墙的区域。 版本规格 选择版本：标准版。 版本规格 扩展防护公网IP数 （可选）选择需扩展的防护公网IP数，可选择范围：0~2000个 说明 此处为套餐外购买数量，例如标准版防护公网IP数默认20个（套餐内费用包含），如果您的公网IP是65个，那么只需要填写45个。 版本规格 扩展互联网边界防护带宽 （可选）选择需扩展的防护流量峰值（出流量或入流量的最大峰值），可选择范围：0~5000Mbps/月（需为5的整数倍） 说明 此处为套餐外购买流量值，例如标准版防护互联网边界流量峰值默认10Mbps（套餐内费用包含），如果您的防护流量是200Mbps，那么只需要填写190Mbps。 防护流量按照出流量或入流量的最大峰值取值。 高级设置 防火墙名称 设置当前防火墙的名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）、空格和特殊字符（）。 长度支持148个字符。 高级设置 企业项目 在下拉列表中选择防火墙归属的企业项目，选择后，防火墙将归属到该企业项目下，用于费用及账单管理；但是，云防火墙的防护层级不会发生改变，仍支持防护所有企业项目下的资源。 企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主账号的客户才可见。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明 “default”为默认企业项目，账号下原有资源和未选择企业项目的资源均在默认企业项目内。 高级设置 标签 （可选）如果您需要使用同一标签标识多种云资源，即所有服务均可在标签输入框下选择同一标签，建议在TMS中创建预定义标签。 购买时长 自主选择购买时长。 选择时长后，可勾选“自动续费”若您勾选并同意自动续费，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费，无需手动续费。 4. 确认购买信息无误后，单击“立即购买”。

本文为您介绍查看命名空间详细空间的具体操作。 操作场景 在您创建了命名空间后，可以通过多活容灾服务控制台查看您创建的命名空间的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “命名空间”，进入命名空间页面。 5. 点击命名空间列表中的命名空间名称，进入命名空间详情页。 6. 在基础信息模块，可以查看命名空间名称、地域、容灾形态、创建时间、描述信息。 7. 在容灾架构模块，可以查看不同分区下的地域、可用区信息。 8. 在容灾管理中心模块，可以查看命名空间已绑定的容灾管理中心信息，包括容灾管理中心名称、ID、状态。 9. 在接入资源模块，可以查看命名空间已接入的资源数量，包括已经接入的云主机数量、数据库实例个数、存储实例个数。

本页介绍数据传输服务DTS包年包月计费方式详情。 包年包月是一种常用的数据传输服务DTS的购买方式。其中，【数据迁移】公测期支持包1个月的免费使用策略，在2026年5月28日转商后不再支持包月订购；【数据同步】支持按规格包年包月计费。 收费方式 预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣，具体开始计费时间以控制台页面创建时间为准。 续订规则 续订DTS任务，续费按原订购模式按月方式进行续费。 退订规则 退订DTS，不满整月的按当月实际发生天数收取费用。 退订DTS后实例会进入暂停状态，暂停周期为7天，暂停期过后如不续费会删除实例。 提醒/通知规则 到期通知：服务到期前7天、3天、1天、当天邮件通知和短信提醒。 超期通知：服务超期5天邮件通知和短信提醒。

本页介绍天翼云TeleDB数据库磁盘相关参数。 tempfilelimit (integer) 指定一个会话能用于临时文件（如排序和哈希临时文件，或者用于保持游标的存储文件）的最大磁盘空间量。一个试图超过这个限制的事务将被取消。这个值以千字节计，并且1（默认值）意味着没有限制。只有超级用户能够修改这个设置。这个设置约束着一个给定数据库会话在任何瞬间所使用的所有临时文件的总空间。应该注意的是，与在查询执行中在幕后使用的临时文件相反，显式临时表所用的磁盘空间不被这个设置所限制。

通过备份申请的新云主机计费模式是怎样的？ 不是固定的。弹性云主机为客户提供按需计费和包年包月计费两种模式。 通过备份申请新的云主机，用户可以根据需求选择新云主机的计费模式，在创建页面“计费模式”处选择按需计费或包年/包月即可，具体操作请参见使用备份申请新的云主机。

本文主要介绍在使用AOneMail过程中会遇到的常见问题。 AOne客户端无法唤起云邮箱 确认是否被查杀 请确认本地360安全卫士、360杀毒等安全软件防护日志，aonemail.exe和aonemailservice.exe是否被拉黑了。 【处理办法】： 根据防护日志中被拉黑的aonemail.exe和aonemailservice.exe日志路径，找到对应文件进行加白。加白后重启AOneMail后可正常打开。 文件损坏，AOneMail启动失败报错 问题现象： 【windows系统处理办法】： 1.文件夹搜索路径 %appdata% accessoneplugins1795496013048008705 ，并删除该目录中文件夹（压缩文件保留）。 2.重启AOne客户端，再打开云邮箱即可。 【MAC系统处理办法】： ①把~/Library/Application Support/accessone/plugins/1795496013048008705，并删除该目录中文件夹（压缩文件保留）。 ②重启AOne客户端，再打开云邮箱即可。

本节介绍云等保专区产品的堡垒机配置类问题。 堡垒机如何进行接入配置？ 绑定弹性IP 1. 用户登录到云等保专区后，进入“堡垒机”原子能力，进行绑定弹性IP操作，点击“绑定弹性IP”。 2. 根据弹出的弹性IP地址，选择需要绑定的具体IP地址。 堡垒机接入配置 按照下图流程进行操作： 1. 首先创建部门：超级管理员或部门管理员创建部门，在系统菜单栏选择“用户 > 用户管理”，单击root部门右侧数字，选择“新建子部门”。 输入部门名称，点击“√”完成创建。 2. 创建系统用户，例如系统管理员等，在菜单栏选择“ 用户 > 用户管理 ”，进入用户管理页面，点击“新建”。 进入新建用户页面，编辑相关信息，点击“确定”。 3. 添加资产：将主机添加至系统后，系统才能对主机的运维进行审计，在系统菜单栏选择“ 资产 > 资产管理 ”，进入资产管理页面。点击“新建”。 进入新建资产页面，选择资产模板、配置资产信息、配置资产账号，点击“确定”完成资产新建。 选择资产模板： 配置资产信息： 配置资产账号： 4. 创建授权规则：授权系统管理员可以登录主机进行运维，系统菜单栏选择“ 授权 > 授权规则 ”，进入规则页面。点击“新建”。 进入新建规则页面，配置规则名称、有效期等信息，设置用户与资产的对应关系，点击“确定”，完成规则的创建。 5. 用户对主机进行维护：用户通过系统登录主机并对主机进行维护，详细操作可阅读《云等保专区堡垒机 用户使用指南》主机运维配置。

本文将介绍如何导出CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 3.指定要导出的CC攻击事件的域名及时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。

本文介绍了通过控制台或本地代码获取对象文件的直接url地址(下载链接)的方法。 操作场景 对象文件的直接url地址可用于匿名用户直接下载对象文件，或程序代码中直接调用下载对象文件。 当用户需要获取某桶内某个对象文件的直接url地址时，可以通过如下两种方式解决： 通过控制台页面获取：详情请见通过URL访问对象。 本地通过代码获取：无需通过控制台，在本地通过代码获取对象文件的直接url地址的方法，请见本文后续介绍。 前提条件 用户已有对象文件上传至对象存储，已知该资源池对象存储服务的Endpoint域名，该对象文件所在的桶名称（bucketName）和对象键（key）。 对象键（key）为该对象文件的所有目录层级与文件名称加斜杠（/）后拼接而成。如一个对象文件在桶内的所有目录层级为“aaa/bbb”，文件名称为ccc.txt，该对象文件的对象键（key）是“aaa/bbb/ccc.txt”。 注意 如果需要通过该url地址实现匿名用户直接下载，对象文件的权限需要改为“公共读”。 代码样例 对象文件的公网下载地址为：公网Endpoint/桶名称/对象键（包含所有的目录层级） 对象文件的内网下载地址为：内网Endpoint/桶名称/对象键（包含所有的目录层级） 例如：华东1资源池对象存储服务的Endpoint域名为 根据上述原理，我们提供Java、Python、C++、Bash的代码样例如下，代码中的url参数就是用户所需的对象文件的直接url地址：

关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置关系数据库MySQL版实例权限，该用户即可通过用户名和密码访问已授权的实例资源。 访问控制 权限控制 购买关系数据库MySQL版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为关系数据库MySQL版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容，请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保障其运行环境的安全性和稳定性。 具体内容，请参见设置安全组规则。

为什么可用区不能选择2个？ 所有不同规格的Kafka集群实例都是3个Zookeeper节点，并且是通过Zookeeper集群进行管理配置的，Kafka依赖Zookeeper，如果Zookeeper集群出现问题，Kafka将无法正常运行。 一个Zookeeper集群正常运行，至少需要2个Zookeeper节点正常运行。 假设允许可用区选择2个，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则集群实例能正常使用；如果可用区2故障，则集群不能正常使用。集群可用的场景只有50%，所以不支持选择2个可用区 如何选择Kafka实例的存储空间？ 存储空间，主要是指用于存储消息所需要的空间，选择时包括选择磁盘规格和大小，磁盘规格，当前支持“超高IO”和“高IO”两种类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33G的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。 Kafka实例的超高IO和高IO如何选择？ 高IO：平均时延13ms，最大带宽150MB/s（读+写）。 超高IO：平均时延1ms，最大带宽350MB/s（读+写）。 建议选择超高IO，云硬盘服务端压力大场景，都不能达到最大带宽，但是超高IO可达到的带宽比高IO高很多。 如何选择Kafka实例存储容量阈值策略？ 当前支持以下两种策略： 生产受限策略 该策略场景下一旦磁盘使用达到容量阈值95%，会导致后续生产失败，但保留了当前磁盘中的数据，直至数据自然老化（Kafka原有的老化机制，数据默认保留3天）。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 自动删除策略 该策略场景下磁盘使用到达容量阈值之后，以一个segment文件为单位（1GB），会自动删除最早的segment文件，保证生产业务能继续正常运行。该场景优先保障业务不中断，数据可能会丢失。 以上两种策略的需要基于业务对数据和业务的可靠性来进行选择，只能作为极端场景下的一个种处理方式。建议业务购买时保证有充足的磁盘容量，避免磁盘的使用达到容量阈值。 Kafka实例的Topic数量是否有限制？ 在Kafka使用过程中，Topic数量本身无限制，但Topic的分区数之和有上限，当达到上限后，会导致用户无法继续创建Topic。

本章节主要介绍翼MapReduce服务Manager日志清单。 日志描述 日志存储路径 ：Manager相关日志的默认存储路径为“/var/log/Bigdata/Manager 组件 ”。 ControllerService：/var/log/Bigdata/controller/（OMS安装、运行日志） Httpd：/var/log/Bigdata/httpd（httpd安装、运行日志） logman：/var/log/Bigdata/logman（日志打包工具日志） NodeAgent：/var/log/Bigdata/nodeagent（NodeAgent安装、运行日志） okerberos：/var/log/Bigdata/okerberos（okerberos安装、运行日志） oldapserver：/var/log/Bigdata/oldapserver（oldapserver安装、运行日志） MetricAgent：/var/log/Bigdata/metricagent（MetricAgent运行日志） omm：/var/log/Bigdata/omm（omm安装、运行日志） timestamp：/var/log/Bigdata/timestamp（NodeAgent启动时间日志） tomcat：/var/log/Bigdata/tomcat（Web进程日志） patch：/var/log/Bigdata/patch（补丁安装日志） Sudo：/var/log/Bigdata/sudo（sudo脚本执行日志） OS：/var/log/message文件 （OS系统日志） OS Performance：/var/log/osperf（OS性能统计日志） OS Statistics：/var/log/osinfo/statistics（OS参数配置信息日志） 日志归档规则 ： Manager的日志启动了自动压缩归档功能，缺省情况下，当日志大小超过10MB的时候，会自动压缩，压缩后的日志文件名规则为：“ .[编号].log.zip”。最多保留最近的20个压缩文件。 Manager日志列表 日志类型 日志文件名 描述 Controller运行日志 controller.log 记录组件安装、升级、补丁、配置、监控、告警和日常运维操作日志。 controllerclient.log Rest接口运行日志。 acs.log Acs运行日志。 acsspnego.log acs中spnego用户日志 aos.log Aos运行日志。 plugin.log Aos插件日志 backupplugin.log 备份恢复进程运行日志 controllerconfig.log 配置运行日志 controllernodesetup.log Controller加载任务日志 controllerroot.log Controller进程系统日志 controllertrace.log Controller与NodeAgent之间RPC通信日志 controllermonitor.log 监控日志 controllerfsm.log 状态机日志 controlleralarm.log Controller发送告警日志 controllerbackup.log Controller备份恢复日志 install.log，distributeAdapterFiles.log，installosoptimization.log oms安装日志 omsctl.log oms启停日志 installntp.log ntp安装日志 modifymanagerparam.log 修改Manager参数日志 backup.log OMS备份脚本运行日志 supressionAlarm.log 告警脚本运行日志 om.log 生成om证书日志 backuppluginctl.log 备份恢复插件进程启动日志 getLogs.log 采集日志脚本运行日志 backupAuditLogs.log 审计日志备份脚本运行日志 certStatus.log 证书定期检查日志 distribute.log 证书分发日志 ficertgenetrate.log 证书替换日志，包括生成二级证书、cas证书、httpd证书的日志。 genPwFile.log 生成证书密码文件日志 modifyproxyconf.log 修改HTTPD代理配置的日志 importTar.log 证书导入信任库日志 Httpd install.log Httpd安装日志 accesslog, errorlog Httpd运行日志 logman logman.log 日志打包工具日志。 NodeAgent install.log，installosoptimization.log NodeAgent安装日志 installntp.log ntp安装日志 startntp.log ntp启动日志 ntpChecker.log ntp检查日志 ntpMonitor.log ntp监控日志 heartbeattrace.log NodeAgent与Controller心跳日志 alarm.log 告警日志 monitor.log 监控日志 nodeagentctl.log，startagent.log NodeAgent启动日志 agent.log NodeAgent运行日志 cert.log 证书日志 agentplugin.log 监控agent侧插件运行日志 omaplugin.log OMA插件运行日志 diskhealth.log 磁盘健康检查日志 supressionAlarm.log 告警脚本运行日志 updateHostFile.log 更新主机列表日志 collectLog.log 节点日志采集脚本运行日志 hostmetriccollect.log 主机指标采集运行日志 checkfileconfig.log 文件权限配置检查运行日志 entropycheck.log 熵值检查运行日志 timer.log 节点定时调度日志 pluginmonitor.log 组件监控插件日志 agentalarmpy.log NodeAgent检查文件权限发送告警日志 okerberos addRealm.log，modifyKerberosRealm.log 切域日志 checkservicedetail.log Okerberos健康检查日志 genKeytab.log 生成keytab日志 KerberosAdmingenConfigDetail.log 启动kadmin进程时，生成kadmin.conf的运行日志 KerberosServergenConfigDetail.log 启动krb5kdc进程时，生成krb5kdc.conf的运行日志 omskadmind.log kadmin进程的运行日志 omskerberosinstall.log，postinstalldetail.log okerberos安装日志 omskrb5kdc.log krbkdc运行日志 startdetail.log okerberos启动日志 realmDataConfigProcess.log 切域失败，回滚日志 stopdetail.log okerberos停止日志 oldapserver ldapserverbackup.log Oldapserver备份日志 ldapserverchkservice.log Oldapserver健康检查日志 ldapserverinstall.log Oldapserver安装日志 ldapserverstart.log Oldapserver启动日志 ldapserverstatus.log Oldapserver进程状态检查日志。 ldapserverstop.log Oldapserver停止日志 ldapserverwrap.log Oldapserver服务管理日志。 ldapserveruninstall.log Oldapserver卸载日志 restartservice.log Oldapserver重启日志 ldapserverunlockUser.log 记录解锁Ldap用户和管理帐户的日志 omm omsconfig.log OMS配置日志 checkomsheartbeat.log OMS心跳运行日志 monitor.log OMS监控日志 hamonitor.log HAMonitor操作日志 ha.log HA操作日志 fms.log 告警日志 fmsha.log 告警的HA监控日志 fmsscript.log 告警控制日志 config.log 告警配置日志 iam.log IAM日志 iamscript.log IAM控制日志 iamha.log IAM的HA监控日志 config.log IAM配置日志 operatelog.log IAM操作日志 heartbeatcheckha.log OMS心跳的HA监控日志 installoms.log OMS安装日志 pmsha.log 监控的HA监控日志 pmsscript.log 监控控制日志 config.log 监控配置日志 plugin.log 监控插件运行日志 pms.log 监控日志 ha.log HA运行日志 cepha.log CEP的HA监控日志 cepscript.log CEP控制日志 cep.log CEP日志 config.log CEP配置日志 ommgaussdba.log gaussdb的HA监控日志 gaussdb.log gaussdb运行日志 gsctl.log gaussdb控制日志的归档日志 gsctlcurrent.log gaussdb控制日志 gsguccurrent.log gaussdb操作日志 encrypt.log omm加密日志 ommagentctl.log OMA控制日志 omamonitor.log OMA监控日志 installoma.log OMA安装日志 configoma.log OMA配置日志 ommagent.log OMA运行日志 acs.log acs资源日志。 aos.log aos资源日志 controller.log controller资源日志 feedwatchdog.log feedwatchdog资源日志 floatip.log floatip资源日志 hantp.log ntp资源日志 httpd.log httpd资源日志 okerberos.log okerberos资源日志 oldap.log oldap资源日志 tomcat.log tomcat资源日志 sendalarm.log 管理节点HA告警发送脚本运行日志 timestamp restartstamp NodeAgent启动时间 tomcat cas.log，localhostaccesscaslog.log cas运行日志 catalina.log，catalina.out，hostmanager.log，localhost.log，manager.log tomcat运行日志 localhostaccessweblog.log 记录访问FusionInsight Manager系统REST接口的日志 web.log web进程运行日志 northboundftpsftp.log，snmp.log 北向日志 watchdog watchdog.log，feedwatchdog.log watchdog.log运行日志 patch omsinstallPatch.log OMS补丁安装日志 agentinstallPatch.log Agent补丁安装日志 agentuninstallPatch.log agent补丁卸载日志 NODEAGENTrestoreFile.log agent补丁恢复文件日志 NODEAGENTupdateFile.log agent补丁更新文件日志 OMArestoreFile.log OMA补丁恢复文件日志 OMAupdateFile.log OMA补丁更新文件日志 CONTROLLERrestoreFile.log CONTROLLER补丁恢复文件日志 CONTROLLERupdateFile.log CONTROLLER补丁更新文件日志 OMSrestoreFile.log OMS补丁恢复文件日志 omsuninstallPatch.log OMS补丁卸载日志 OMSupdateFile.log OMS补丁更新文件日志 createStackConf.log，decompress.log，decompressOMS.log，distrExtractPatchOnOMS.log，slimReduction.log，switchadapter.log 补丁安装日志 sudo sudo.log sudo脚本执行日志

组件来源 说明 Jar包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 War包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 Zip包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 镜像包 容器应用需要基于镜像创建，若选择私有镜像，用户首先需要将镜像上传至镜像仓库。选择“软件中心 > 镜像仓库”，参考管理镜像将镜像上传至镜像仓库。

本章节主要介绍ALM14025 租户文件对象使用率超过阈值的告警。 告警解释 系统每小时周期性检测租户所关联的每个目录的文件对象使用率（每个目录已使用的文件对象个数/每个目录分配的文件对象个数），并把每个目录实际的文件对象使用率和该目录设置的阈值相比较。当检测到租户所关联的目录文件对象使用率高于该目录的阈值时，产生该告警。 当上报告警的目录的文件对象使用率小于或等于该目录设置的阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14025 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 租户名 产生告警的租户名称。 目录名 产生告警的目录名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 当监控的租户目录下的文件对象使用率超过用户自定义设置的阈值时触发该告警，但不影响对该目录继续写入文件。一旦超过该目录分配的最大文件对象个数，则HDFS写入数据会失败。 可能原因 告警阈值配置不合理。 租户分配的文件目录数上限不合理。

关于天翼云CDN服务等级协议的详细介绍。 天翼云CDN服务等级协议，详情请见：天翼云CDN服务等级协议。

以下提供云审计服务所收集事件的两个页面样例，并对其中常用的观察点进行了描述，以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 创建弹性云主机实例 json { "time": "2016/12/01 11:07:28 GMT+08:00", "user": { "name": "aaa/opservice", "id": "f2fe9fac63414a35a7d03108d5f1ea73", "domain": { "name": "aaa", "id": "1f9b9ba51f6b4061bd5c1736b28469f8" } }, "request": { "server": { "name": "asconfig15f1XWO68TFC", "imageRef": "b2b2c7dcbbb04d6b81ddf0904023d54f", "flavorRef": "m1.tiny", "personality": [], "vpcid": "e4c374b93675482c9b814acd59745c2b", "nics": [ { "subnetid": "fff8913288d44e5b9e27d9001167d24f", "nictype": null, "ipaddress": null, "binding:profile": null, "extradhcpopts": null } ], "adminPass": "", "count": 1, "metadata": { "opsvcuserid": "26e96eda18034ae9a44130bacb967b96" }, "availabilityzone": "az1.dc1", "rootvolume": { "volumetype": "SATA", "extendparam": { "resourceSpecCode": "SATA" }, "size": 40 }, "datavolumes": [], "securitygroups": [ { "id": "dd597fd7d1194994a22c891fcfc54be1" } ], "keyname": "KeyPair3e51" } }, "response": { "status": "SUCCESS", "entities": { "serverid": "42d39b4a19b74ee2b01ba9f1353b4c54" }, "jobid": "4010b39d58b855980158b8574b270018", "jobtype": "createSingleServer", "begintime": "20161201T03:04:38.437Z", "endtime": "20161201T03:07:26.871Z", "errorcode": null, "failreason": null }, "servicetype": "ECS", "resourcetype": "ecs", "resourcename": "asconfig15f1XWO68TFC", "resourceid": "42d39b4a19b74ee2b01ba9f1353b4c54", "sourceip": "", "tracename": "createSingleServer", "tracestatus": "normal", "tracetype": "SystemAction", "apiversion": "1.0", "recordtime": "2016/12/01 11:07:28 GMT+08:00", "traceid": "4abc3a67b77311e684128f0ed3cc97c6" } 在以上信息中，可以重点关注如下字段： "time"：记录了事件发生的时间，本例中为12月1日上午11点07分28秒。 "user"：记录了操作用户的信息，本例中操作用户为企业帐户（domain字段）aaa下的用户（name字段）aaa。 "request"：记录了创建ECS服务器的请求，可以抽取该ECS服务器的简单信息，如name为asconfig15f1XWO68TFC，资源id为e4c374b93675482c9b814acd59745c2b。 "response"：记录了创建ECS服务的返回结果，可以抽取其中的关键信息，如创建结果（status字段）为Success，错误码（errorcode字段）和失败原因（failreason字段）均为空（null）。

本文主要介绍弹性负载均衡监控与日志常见问题。 配置访问日志后为什么界面没有显示？ 确认已创建云日志服务是否已经开启，且云日志组与云日志流已创建。 确认所创建的ELB服务是否可以被正常访问。 确认负载均衡是否支持访问日志： 目前只有七层负载均衡（HTTP/HTTPS）支持访问日志功能，四层负载均衡 （TCP/UDP）不支持此功能。 监控EIP带宽使用统计与负载均衡器监控的网络流出速率数据为何不一致？ 以下两种情况监控EIP带宽使用统计与负载均衡器监控的网络流出速率数据不一致： 1、如果流量没有超过EIP带宽，EIP未被限流，云监控EIP带宽使用统计外网访问数据，而负载均衡器不仅采集外网访问数据，而且采集内网访问的数据。 2、如果流量超过EIP带宽，EIP会被限流，负载均衡器内访问的数据流量跟EIP访问数据流量不是一个路径，负载均衡器内访问数据流量不会被限流。 负载均衡器 监控指标中七层协议返回码和七层后端返回码的区别? 不会。 负载均衡器七层监听器会终结TCP连接。即客户端和负载均衡器之间会建立TCP连接，负载均衡器和后端主机之间会建立另外一条TCP连接。客户端把HTTP请求发送给负载均衡器之后，负载均衡器会解析并转发HTTP请求到后端主机，然后后端主机再返回HTTP响应给负载均衡器，负载均衡器再解析和转发HTTP响应到客户端，所以通信过程被分成前后两个阶段。协议返回码是指负载均衡器返回给客户端的状态码，后端返回码是指后端主机返回给负载均衡器的状态码。 协议返回码和后端返回码有如下三种情况： 1、后端主机有返回码，这种情况负载均衡器会透传后端主机返回码到客户端，即协议返回码和后端返回码一致； 2、负载均衡器和后端主机连接异常或者超时等，负载均衡器会填充后端返回码为502或者504，然后转发给客户端； 3、监听器配置异常或者客户端请求格式和内容异常时，负载均衡器会直接返回4xx或者502 返回码，不继续向后端主机转发请求，即有协议返回码，无后端返回码。

本文介绍什么情况下弹性云主机会被冻结,冻结后怎么办。 如果没有及时续费或充值，在欠费后将冻结您账号下所有的按量资源，同时会发送短信及邮件提醒您。 当云主机资源被冻结后，您可通过续费或充值来解冻资源，恢复云主机正常使用。 资源冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 资源释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 建议您尽快续费或充值来解冻资源，否则在冻结15天后，存储在云主机中的数据将被删除、云主机资源将被释放。