2）手动安装drnode 使用条件 1. 无法使用自动安装时，可通过手动安装drnode。 操作步骤 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择资源所在区域。 3. 在服务列表选择“网络”“VPC终端节点”，进入网络控制台。 4. 点击右上角“创建终端节点”按钮，进入创建VPC终端节点页面。 5. 在进行节点添加之前，需要把云主机所在的VPC，进行终端节点连接配置，截图如下： 服务类型选择“按服务实例ID查找服务”。其中，可用服务处填写MDR在不同资源池内的代理VPC终端节点服务ID（为MDR侧提供固定ID，不同资源池ID不同）。不同资源池对应的代理VPC终端节点服务ID如下： 资源池名称 终端节点服务ID 华东1 endpserbjs8nmhm5m 西南1 endpserfnc13o1uao 华南2 endpserx6xhocvz79 西南2 endpserikzxim4cpv 华北2 endpserlmmnp90xgx 虚拟私有云选择需要添加的ECS节点所在的VPC。 注意：此链接对于租户侧不收费，费用都在终端节点服务端侧（MDR）结算。 6. 租户配置终端节点成功后，点击详情页可查看节点IP。此节点IP就是后续安装drnode客户端时，需要进行配置填写的IP。 场景2：云下、其他 1. 云下或者其他场景，需要联系技术专家针对客户实际场景进行方案解决。 2. 主要网络打通方案参考： 1. 云下通过公网与MDR打通 2. 云下通过专线 3. 云下通过VPN 4. 云下通过SDWAN 步骤二：安装drnode客户端 安装部署主要针对安装drnode操作进行详细介绍，不同系统下drnode安装方式不同，可根据当前系统查看安装步骤。 1） RHEL/CentOS/SUSE/AlmaLinux/KylinOS/UnionTechOS/openEuler系统安装drnode节点 1. drnode客户端安装 1. 修改服务器hosts，新增VPCE的节点IP及其主机名（固定值，为nodeproxymdr）。 执行命令参考：vi /etc/hosts，输入i进入编辑模式。 添加或修改条目来映射域名到IP地址：VPCE节点IP nodeproxymdr。 其中，VPCE节点IP为步骤一、网络配置中6）中的节点IP。 保存并退出：如果使用的是nano，可以通过按下Ctrl + O来保存更改，然后按Enter确认，最后按Ctrl + X退出。如果使用的是vim，可以通过输入:wq然后按Enter来保存并退出。 2. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 3. 将drnode安装包下载至服务器，MD5完整性校验通过后（linux命令参考：md5sum 文件名），执行节点安装包的安装命令参考：rpm ivh drnode包名.rpm。 说明 如果系统是最小安装的，将会提示缺少zip, unzip, psmisc等3个软件包，可以在操作系统ISO里找到对应的rpm包进行安装，或者使用yum安装。安装命令：yum install y zip unzip psmisc。 如果出现“error：Failed dependencies”相关提示，可检查安装包版本与服务器操作系统是否匹配。 4. 出现以下提示后安装完成：drnode is installed successfully. 5. 提示成功安装完成后，检查是否安装成功，需要确认进程是否开启。命令参考：service drnode status。 6. 确认当前drnode版本号信息是否与安装包名的版本保持一致。命令参考：rpm qa grep drnode。 2. 客户端网络配置 1. linux命令参考：/usr/drbksoft/drnode/bin/drcfg c。此处需要输入MDR代理网络的域名（天翼云内：nodeproxymdr， 云下/它云：需用户输入）： 2. 查看ID命令参考：cat /usr/drbksoft/drnode/etc/drid.conf。 说明 图中id用于步骤四、开启数据保护时填写【认证码】时使用。 2）Windows安装drnode节点 1. drnode客户端安装 1. 修改服务器hosts，新增VPCE的节点IP及其主机名（固定值，为nodeproxymdr）。 1. 打开文件资源管理器，导航到以下路径：C:WindowsSystem32driversetc。 2. 添加或修改条目来映射域名到IP地址：VPCE节点IP nodeproxymdr；其中，VPCE节点IP为步骤一、网络配置中6）中的节点IP。 3. 保存后，完成hosts修改。 2. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 3. 双击安装.exe程序。 4. 对于整机保护使用场景，如果要使用块复制功能，则必须安装块复制驱动。展开自定义安装项，确保勾选“加载块驱动”。 5. 安装类型选择“企业版”，然后根据安装向导完成drnode安装。 6. 如果选择了安装块复制驱动，使用管理员身份运行cmd，检查驱动运行状态，命令参考：sc query dhook。 7. 安装完成后，检查是否安装成功：进入计算机管理→服务，确认服务是否已启动，默认为启动状态。 8. 确认当前drnode版本号信息是否与安装包名的版本保持一致：控制面板→程序→程序和功能，可以查看当前软件的版本号。 2. 客户端网络配置 用户可通过两种方式进行配置： 1. 命令行方式 1. 打开Windows cmd命令行，CD到安装目录的bin文件夹下，命令参考：drcfg.exe c。 2. 此处需要输入MDR代理网络的域名（天翼云内：nodeproxymdr， 云下/它云：需用户输入）。 3. 查看ID：进入安装目录下的/etc/drid.conf可查看。 2. 页面方式 1. 进入软件页面，点击右上角“ProxySetting”，可查看id等相关信息。 3）Ubuntu Server 18.04 64 位版本安装drnode节点 1. drnode 客户端安装 1. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 2. 将drnode安装包上传到服务器，MD5完整性校验通过后（ linux命令参考： md5sum 包名），执行节点安装包的安装命令，命令参考：sudo dpkg i drnode包名.deb。 3. 出现以下提示后安装完成：drnode is installed successfully。 4. 提示成功安装完成后，检查是否安装成功，需要确认进程是否开启，命令参考：service drnode status。 2. 客户端网络配置：与 RHEL/CentOS/SUSE/AlmaLinux/KylinOS/UnionTechOS/openEuler系统安装drnode节点的网络配置步骤相同。

当您需要使用安全引流服务时，请参考本节先开通对应业务。 操作场景 SDWAN服务支持安全引流，通过为指定智能网关实例开启安全引流功能，您可以将该智能网关实例上的流量引流到云防火墙上，从而增强数据传输安全性。 开通安全引流服务后，用户可以通过“快捷链接”登录云防火墙，配置流量分析、管控等其他高级功能。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 安全引流功能需开通相应业务后方可使用。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，根据页面提示联系客户经理或天翼云客服开通安全引流业务。 说明 如需关闭业务，请联系客户经理或天翼云客服进行操作。

为什么云监控CES服务看不到DLI队列的资源运行情况？ DLI队列在没有作业运行时没有资源和流量的使用，该场景下在CES则不会显示该队列的运行情况。 购买了64CU的队列资源，运行Spark作业时如何分配？ 在DLI中，64CU64core256G。 在对应的Spark作业中，如果Driver占用了4core16G，那么Executor能占用的就是60core 240G。 创建扩容任务时 ，提示Queue plans create failed. The plan xxx target cu is out of quota报错 场景概述 创建弹性扩缩容定时任务时界面报错，提示信息为：Queue plans create failed. The plan xxx target cu is out of quota。 解决方法 该问题是当前帐号的CU配额不够导致，需要申请扩大配额。 在default队列执行DLI SQL失败，上报超时异常 问题现象 使用default队列提交SQL作业，作业运行异常，排查作业日志显示Execution Timeout异常。异常日志参考如下： [ERROR] Execute DLI SQL failed. Please contact DLI service. [ERROR] Error message:Execution Timeout 问题原因 default队列是系统预置的默认公共队列，主要用来体验产品功能。当多个用户通过该队列提交作业时，容易发生流控，从而导致作业提交失败。 解决方案 建议不要使用default队列提交作业，可以在DLI控制台新购买SQL队列来提交作业。具体步骤如下： 1. 在DLI管理控制台的左侧导航栏中，选择“队列管理”。 2. 单击“队列管理”页面右上角“购买队列”进行创建队列。 3. 在“购买队列”页面，选择对应参数。注意“队列类型”选择“SQL队列”。 4. 使用新创建的队列重新提交SQL作业。

本文介绍欠费相关说明。 您可在费用中心>总览 或费用中心>资金管理>余额明细查看欠费金额。按量付费是先使用后付费的模式，即会根据使用资源的时间从用户的帐户余额中扣费，因此会出现欠费的情况。欠费后，账户下的按需资源将进入保留期，您将不能正常访问及使用按需计费的文件系统（资源冻结），但对于您存储在文件系统中的数据予以保留。 弹性文件服务资源保留期为15天。 若您在保留期内充值，充值后系统会自动扣减欠费金额。 若保留期到期您仍未充值，存储在文件系统中的数据将被删除、文件系统资源将被释放。 结清账单后，已欠费关停的文件系统会自动启动并进入可用状态。 注意 账户欠费状态下，您需要在结清欠费账单后确认账户余额大于等于 100 元人民币，否则将无法创建和删除文件系统。 您可以在费用中心>总览自行设置可用额度预警，当余额低于预警阈值时，系统将发送短信提醒。账户欠费将影响资源正常访问，请及时充值避免造成业务损失。

参数 参数类型 说明 示例 下级对象 alertInitConfigList Array of Objects 初始化规则列表 alertInitConfig service String 服务。取值范围：ecs：云主机。evs：云硬盘。...详见“[一键报警：产品列表]”接口返回。 ecs

本实践将为您介绍如何通过LVM创建逻辑卷。 操作场景 当LVM管理工具安装成功之后，用户可以通过LVM来创建逻辑卷。通过LVM架构图，可以了解到在这一层需要完成三个步骤： 创建物理卷（Physical Volumes）：将云硬盘分区或整个云硬盘设备初始化为物理卷。 创建卷组（Volume Group）：将一个或多个物理卷添加到卷组中。 创建逻辑卷（Logical Volumes）：从卷组中划分逻辑卷。 本指导假设您前期已经在操作系统为“CentOS 7.6 64bit”的弹性云主机上挂载了两个大小为10GB的数据盘。 操作步骤 1. 以root用户登录云主机，登录成功之后如图： 2. 执行命令 fdisk l grep /dev/vd grep v vda，查看云主机中的云硬盘并记录设备名称。回显如下图所示： 如图所示，当前云主机中已经挂载两个数据盘，分别为/dev/vdb和/dev/vdc，容量为10GB。 3. 查看之后，请执行 pvcreate命令进行物理卷创建的工作，pvcreate的参数是设备名称。此处执行命令 pvcreate /dev/vdb /dev/vdc，回显信息如图所示： 如图所示，物理卷/dev/vdb与物理卷/dev/vdc已经创建成功。 4. 执行 pvdisplay命令来验证物理卷/dev/vdb与物理卷/dev/vdc的创建信息，具体回显如图所示： 5. 物理卷创建成功，接下来创建卷组，卷组通常使用 vgcreate命令创建，请执行 vgcreate vgdata /dev/vdb /dev/vdc。其中vgdata为创建的卷组名，/dev/vdb 、/dev/vdc为物理设备名，具体回显信息如下图： 如图，卷组“vgdata”已创建成功。 6. 执行 vgdisplay命令验证卷组“vgdata”的具体信息，具体回显如图所示： 7. 最后创建逻辑卷，执行命令为：lvcreate L 15GB n lvdata vgdata，此命令的格式为：lvcreate L 逻辑卷大小 n 逻辑卷名称 卷组名称，具体回显信息如下图所示： 说明 具体参数说明如下： 1. 逻辑卷大小：该值应小于所创建卷组剩余可用空间，容量单位可以选择“MB”或“GB”，在此例中创建15GB的逻辑卷大小。 2. 逻辑卷名称：可自定义，此处以lvdata为例。 3. 卷组名称：已经创建的卷组的名称。 8. 执行 lvdisplay命令来验证逻辑卷的创建信息，验证是否创建成功，具体回显信息如下图所示： 至此，逻辑卷创建成功。

防盗链设置 在【实例管理】的页面选择特定的点播实例，点击设置权限可进入该点播实例的【防盗链设置界面】，默认防盗链状态为：关闭。 防盗链设置说明 类型：白名单（只允许Referer列表域名进行访问）、黑名单（不允许Referer列表域名进行访问）。当需要设置防盗链配置时，此选项需要选择其一。 是否允许空Referer：允许、拒绝。当需要设置防盗链配置时，此选项需要选择其一。 Referer列表：填写域名或IP地址，以 。 注意 1. 拒绝空Referer会导致点播部分功能无法正常使用，请谨慎使用！ 2. 当设置了Referer防盗链后，访问存储桶的文件时，相应HTTP请求需要在header头部的Referer字段添加相应的防盗链信息，否则访问请求会被拒绝。 3. 以上Referer配置，仅针对云点播的三个存储桶有效。 4. 如用户在使用云点播服务时同时叠加了CDN加速服务，请务必确认CDN的回源请求符合云点播侧的防盗链要求，否则相应的回源请求可能被拒绝。 跨域访问CORS配置 云点播默认全部自带存储桶的跨域访问CORS设置为： 配置 可用值 AllowedMethod GET PUT HEAD AllowedOrigin AllowedHeader 如有其他跨域配置需求，可发送工单联系产品后台处理。 注意 1. 如您在集成播放平台时，遇到跨域问题，请先确认CDN服务商（如有）是否将HTTP头部的Origin字段携带透传回云点播存储桶。 2. 部分场景下，浏览器可能会将其他错误报为跨域问题，请开发者认真甄别。

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

云容器引擎产品服务协议，详情请参见这里。

本节介绍了云数据库GaussDB 的常用概念。 实例 云数据库GaussDB 的最小管理单元是实例，一个实例代表了一个独立运行的数据库。用户可以在控制台创建和管理云数据库GaussDB 实例。实例的状态、规格、存储类型、版本，请参考实例说明。 实例版本 云数据库GaussDB 目前支持2.7版本。 实例类型 云数据库GaussDB 支持分布式版和主备版实例。分布式形态能够支撑较大的数据量，且提供了横向扩展的能力，可以通过扩容的方式提高实例的数据容量和并发能力。主备版适用于数据量较小，且长期来看数据不会大幅度增长，但是对数据的可靠性，以及业务的可用性有一定诉求的场景。 实例规格 数据库实例各种规格（vCPU个数、内存（GB））请参考数据库实例规格章节。 CN Coordinator Node，负责数据库系统元数据存储、查询任务的分解和部分执行，以及将DN中查询结果汇聚在一起。 DN Data Node，和CN对应的概念。负责实际执行表数据的存储、查询操作。 自动备份 创建实例时，云数据库GaussDB 服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，云数据库GaussDB 服务会根据您的配置，自动创建数据库实例的备份。 手动备份 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。

本节为您介绍镜像服务常见的导出类问题。 制作的私有镜像可以下载到本地吗？支持哪些镜像格式？ 可以通过导出镜像功能，把云上的镜像导出保存到本地。目前部分资源池支持导出系统盘镜像、数据盘镜像。 目前支持导出RAW、QCOW2、VMDK、VHD格式镜像文件。 云主机系统盘镜像导出后，能在物理机上安装吗？ 不支持。云主机镜像和物理机镜像为不同的镜像文件，不能混用。镜像服务的公共镜像均为云主机的镜像，没有物理机的镜像，私有镜像中镜像类型为BMS系统盘镜像的为物理机的私有镜像，其余的均为云主机镜像。如果需要物理机的私有镜像，您可以使用物理机创建私有镜像的方式创建，可参考通过物理机创建系统盘镜像。 为什么镜像导出到OOS桶后，大小和在镜像服务中显示的不一致？ 在将镜像导出到OOS（ObjectOriented Storage）桶时，会根据用户选择的导出文件格式来生成导出的镜像文件。不同的文件格式可能会导致实际导出文件的大小与在镜像服务中显示的大小不一致的情况。这是因为不同的文件格式会对镜像文件进行不同程度的压缩、编码或其他处理，从而影响最终文件的大小。 举例来说，如果您选择了一个压缩格式（如gzip），那么导出的镜像文件将会经过压缩，从而减小文件大小。相反，如果选择了一个无压缩的格式，文件可能会更接近原始大小。这就解释了为什么导出后的文件大小与预估大小可能不一致。 在选择导出文件格式时，您需要考虑镜像的用途以及所需的文件大小。压缩格式可以节省存储空间，无论选择哪种格式，您都可以根据实际情况进行调整和权衡。

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

本文介绍数据采集常见问题。 云日志服务可以采集哪类日志？ 云主机应用日志。容器应用日志，包括容器标准输出日志与文件日志。 如何在云主机上安装采集器？ 云日志服务控制台提供采集器安装命令，您需要在目标云主机中执行该命令安装采集器。详情请查看采集器安装。 配置数据采集时支持哪种分词方式？ 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

Demo下载 1. Demo下载地址：微服务治理中心控制台>应用治理>应用接入>云容器引擎 15分钟快速体验导航。 2. ctyunmsedemo.tar.gz项目介绍。 quickstart文件夹 ：提供simpledemo、appa、appb、appc和zuul的启动jar包和一键启动脚本，简单配置即可快速接入微服务治理中心。 springcloud文件夹 ：appa、appb和appc的项目源码。 simpledemo文件夹 ：simpledemo的项目源码。 Demo镜像打包 demo镜像制作并上传云容器引擎镜像仓库。（需提前制作jdk镜像包） 1. 通过jar文件和dockerfile文件制作镜像。 FROM jdk8 ADD ./appa.jar /usr/local WORKDIR /usr/local RUN cd /usr/local && ls CMD [“java”, “jar”, “/usr/local/appa.jar”] 2. 通过容器镜像服务创建镜像仓库，镜像服务>实例列表>镜像仓库>创建仓库 进入云容器引擎控制台，点击容器镜像服务。 在实例列表页面，选择容器镜像服务实例。 进入镜像仓库菜单，点击创建仓库。 选择命名空间，设置仓库名称，点击创建。 3. demo上传至云容器引擎镜像仓库。 执行docker build f ./Dockerfilea t msgcappa:1.1 .命令，构建demo镜像。 docker build f ./Dockerfilea t msgcappa:1.1 . 登录容器镜像服务实例。 docker login username{user} registrycrs{regionCode}.ctyun.cn 推送镜像。 docker tag registryvpccrs{regionCode}.ctyun.cn/msgctest/ : docker push registryvpccrs{regionCode}.ctyun.cn/msgctest/ :

容器环境 容器集群一般会涉及大量数据采集，因此通常将单个容器集群定义为一个单独的监控环境。针对容器环境，Prometheus监控为天翼云容器引擎服务提供了一套自动化管理流程，可轻松部署采集探针并处理数据。 云服务环境 云服务环境主要针对常规云产品数据的采集，默认以资源池为维度创建。 主机环境 云主机的数据采集主要依赖网络传输，因此通常将一个VPC设定为一个单独的监控环境。目前主机环境监控暂未开放。

删除后端服务器组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要删除后端服务器组的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【后端服务器组】查看该负载均衡下已有的后端服务器组信息。 4. 在后端服务器组的信息列表中选中要删除的后端服务器组，并单击删除图标按钮，在删除确认弹框中单击【确认】执行删除。 配置后端服务器 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要配置后端服务器的后端服务器组的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【后端服务器组】，在后端服务器组的信息列表中选中要添加后端服务器的后端服务器组，在右侧信息栏中单击【添加】。 4. 在添加后端服务器组的弹框中查看当前负载均衡所属VPC下的已有的虚拟机实例，选中要添加为后端服务器的虚拟机实例，单击【下一步】。 5. 弹框中为对应的后端服务器配置后端服务端口和权重。 配置后端服务器的参数： 参数 说明 添加端口 后端服务器的服务端口，其取值范围为165535。 权重 每个后端服务器的权重值，其取值范围为0100。 6. 在填写完成添加后端服务器的相关参数后，单击【提交】执行添加。 7. 若需要修改已有后端服务器的权重信息，则选中所要修改权重的后端服务器，然后单击【修改权重】，在弹框中修改权重值，单击【确认】执行修改，当前只支持后端服务器组的后端协议为HTTP时可执行修改权重。 8. 若需要删除已有后端服务器，则选中所要删除的后端服务器，然后单击【移除】，在弹框中单击【确认】执行删除。

多个域名是否可以使用同一源站IP地址？ 多个域名可以使用同一源站IP地址。但需要注意，如果多个域名回同一个源站IP地址时，源站需要考虑承载能力，特别是业务有突发场景时，单IP源站可能有崩溃风险。因此建议使用多个源IP，可按承载能力分配权重，或配置主备策略。边缘安全加速平台支持丰富的回源策略，支持客户自定义源站。例如，支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。回源配置说明详情请见：源站配置。 如何获取安全与加速服务的回源IP或IP段？ 您可以联系我们 申请开通回源IP通知邮件，需提供信息如下： 账号名称 接收邮箱 协议类型：IPv4/IPv6 数据格式：IP 或 IP段 开通完成后，回源IP信息将会以邮件的方式同步。 源站域名可以和加速域名一致吗？ 源站域名和安全与加速服务域名不能一致。原因是：用户访问安全与加速服务域名的网站资源，当边缘云节点上没有缓存对应的内容时，边缘云节点会回到源站获取，然后再返回给用户。如果源站域名与加速域名一致，将会造成访问请求回环到边缘云节点，导致边缘云节点无法拉取到正常内容。 边缘安全加速平台安全与加速服务产品支持将IP或域名设置为源站，如设置的源站为域名形式，请确保源站域名非加速域名。

参数设置建议 maxTotal、maxIdle、minIdle的关系 这些参数在连接池中的含义是：maxTotal是连接池的容量，包括空闲连接和使用中的连接。将连接归还给连接池时，如果空闲连接数超过maxIdle，会被直接释放。同时连接池还要保证其中至少要有minIdle个空闲连接，如果不足也会新建连接加入其中。 maxTotal 想合理设置maxTotal（最大连接数）需要考虑的因素较多，如： 业务要求的Redis并发量； 命令执行时间； Redis连接数限制，例如 客户端连接池个数 maxTotal不能超过Redis的最大连接数 资源开销, 不希望有多余的空闲连接浪费资源，但也不希望连接不够导致创建连接造成不必要的开销 假设一次命令时间，包括获取连接、发送请求到得到响应(含网络耗时）的平均耗时约为1ms。 一个连接的QPS大约是1sec / 1ms 1000，而业务期望的单个Redis的QPS是10000，那么理论上需要的连接池大小（即MaxTotal）是10000 / 1000 10。 但理论值也仅需参考，因为实际的运行情况和业务压力是动态变化的。 可能遇到突发的高压力的场景，需要更多的TPS。也可能Redis遇到出现大命令导致阻塞，即使设置再大的资源池也无济于事。 maxIdle和minIdle maxIdle和minIdle是最影响业务的参数， 分别控制可用连接数的上下限。 连接池的最佳性能是maxTotal maxIdle ，这样就避免了连接池伸缩带来的性能干扰。如果您的业务存在突峰压力，建议设置这两个参数的值相等；如果redis请求的压力不大，则会导致不必要的连接资源浪费。 总的来说， 可以根据实际总QPS和调用Redis的客户端规模整体评估每个节点所使用的连接池大小。

内网出访流量 紫色路径：业务ECS→GWLBE→云防火墙→NAT 网关→互联网。 策略配置原则：“按需放行，禁止无关出访”； 允许策略：仅开放业务必要的出访地址/ 端口（如允许 ECS 访问 OSS 的域名、访问第三方 API 的固定IP）； 拒绝策略：禁止访问高危IP 网段（如已知恶意 IP 库）、禁止 P2P 下载、视频网站等非业务流量。 带宽管控：通过NAT 网关配置带宽上限（如 100Mbps），避免单业务占用过多带宽影响其他服务。 VPC 间互访流量 黄色路径：vpc1/vpc2→云企业路由器→GWLBE→云防火墙→云企业路由器→目标 VPC。 策略配置原则：“按业务关联度放行”； 允许策略：仅开放跨VPC 业务依赖的端口； 拒绝策略：禁止无业务关联的VPC 互访。 VPC 与云专线互访流量 绿色路径：业务 VPC→云企业路由器→GWLBE→云防火墙→云企业路由器→云专线网关→线下网络。 策略配置原则：“双向管控，匹配线下安全策略”； 入访（线下→VPC）：仅允许线下办公网段访问 VPC 的业务端口（如线下财务网段访问 VPC 的 ERP系统端口）； 出访（VPC→线下）：仅允许VPC的业务子网访问线下数据库、文件服务器的必要端口。 加密传输：若传输敏感数据（如用户信息），可在云专线基础上开启IPsec VPN加密，避免数据泄露。

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

策略名称 作用 适用范围 SMS admin 用于管理云通信服务的权限，包含读写。 能够进入短信服务控制台，使用控制台的所有操作。 SMS viewer 用于只读云通信服务的权限，仅可查看。 仅查看控制台，不做任何操作。

本文向您介绍如何配置多用户登录Windows云主机。 操作场景 本文档将指导您配置多用户登录的Windows云主机，以Windows Server 2008标准版R2中文版为例。 说明 远程桌面授权仅支持120天，过期后将因为缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需要重新激活。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，解决方法请参考 操作步骤 1. 安装桌面会话主机和远程桌面授权。 (1) 登录Windows云主机。 (2) 在操作系统界面，打开“服务器管理器”，单击“角色>操作>添加角色”。 (3) 跳转至左侧导航栏为“服务器角色”，选择“远程桌面服务”，单击“下一步”。 (4) 保持默认参数，单击“下一步”。 (5) 跳转至左侧导航栏为“角色服务”，依次勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 (6) 保持默认参数，单击“下一步”。 (7) 跳转至左侧导航栏为“身份验证方法”，指定远程桌面会话主机的身份验证方法，单击“下一步”。本示例选择的是“需要使用网络级别身份验证”，之后单击“下一步”。 (8) 跳转至左侧导航栏为“授权模式”，指定授权模式。本示例选择“以后配置”，之后单击“下一步”。 (9) 跳转至左侧导航栏为“用户组”，选择允许访问此RD会话主机服务器的用户组，单击“下一步”。 (10) 跳转至左侧导航栏为“客户端体验”。本示例选择的是“音频和视频播放”，之后单击“下一步”。 (11) 跳转至左侧导航栏为“RD授权配置”，为RD授权配置搜索范围，配置完成后单击“下一步”。 (12) 单击“安装(I)”。 2. 允许多用户远程连接云主机。 (1) 在运行里输入 gpedit.msc，打开计算机本地组策略。 (2) 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”。设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面”。 (3) 选中“允许用户使用远程桌面服务进行远程连接”，右键单击“编辑”，将其设置为已启用。 (4) 选中“限制连接数量”，右键单击“编辑”，选择已启用，可根据具体数量设置，本示例设置允许的RD最大连接数为999。 (5) 选中“将远程桌面服务用户限制到单独的远程桌面服务会话”，右键单击“编辑”，选择已启用，或者已禁用。本示例以勾选“已启用”为例。 说明 请注意此处已启用和已禁用的区别： l 已启用：允许多个用户同时登录，不能单个用户同时多人登录。 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是用户A、用户B、用户C无法使用同一账号同时登录云主机。 l 已禁用：允许单个用户同时多人登录。 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机。 (6) 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 3. 配置新用户并加入远程桌面用户组。 (1) 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 (2) 单击“用户”，在空白处右键选择新用户。 (3) 填写新用户信息，单击“创建”。 (4) 单击“组”，双击打开Remote Desktop Users 单击“添加”。 (5) 进入选择用户界面，单击“高级”。 (6) 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 (7) 单击“确定”，添加用户Remote Desktop Users组。

参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、""。 Test01 区域 所属位置信息。 中国内地 基础带宽 带宽大小。 5Mbps 网关形态 可选择硬件版、软件版。 硬件版 是否购买设备 是否需要购买天翼云设备。 是 设备类型 智能网关硬件版本分为四种型号：经济版、标准版、企业版、企业增强版。不同型号的规格详情请参考 经济版 地址信息 请准确填写地址信息，提交订单后不支持更改。 请准确填写您的地址信息 增值业务 包括5G服务、WIFI服务、LTE服务。 根据实际需求进行选择 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default

天翼云智能体引擎作为Agent Infra领域产品，提供Agent托管运行、安全隔离、运维监控的全生命周期管理能力，确保Agent从测试体验迈向大规模生产可用。 通用兼容 支持多语言/多框架的各类型智能体托管，一键部署、轻松运行 强安全隔离 自研虚机级安全容器沙箱，智能体运行相互隔离权限可控，全面保障系统安全性 高弹性高可用 基于高性能Serverless底座统一调度资源，提供稳定、高效、安全的算力保障 生态拓展 内置工具库和服务，支持集成云服务API，全面拓展业务边界

本文介绍如何在GPU云主机上部署NGC环境。 NVIDIA NGC 是用于深度学习、机器学习和HPC的GPU优化软件的中心，可提供容器、模型、模型脚本和行业解决方案，以便数据科学家、开发人员和研究人员可以专注于更快地构建解决方案和收集见解。 前提条件 用户需要注册NGC的账号：NGC账号注册。 GPU云主机配备弹性公网IP。 安装步骤 1. 创建一台GPU云主机，操作方法请参见创建未配备GPU驱动的GPU云主机。 2. 安装GPU云主机驱动， 建议安装最新版本的操作系统驱动，操作方法请参见NVIDIA驱动安装指引。 3. 安装Docker和针对NVIDIA GPU的Docker Utility Engine，即nvidiadocker。 a. 在安装Docker新版本之前，请卸载所有的旧版本以及关联的依赖项。 sudo yum remove docker dockerclient dockerclientlatest dockercommon dockerlatest dockerlatestlogrotate dockerlogrotate dockerengine b. 设置Docker 存储库。 sudo yum install y yumutils sudo yumconfigmanager addrepo c. 安装Docker 引擎。 sudo yum install dockerce dockercecli containerd.io dockerbuildxplugin dockercomposeplugin d. 启动docker。 sudo systemctl start docker e. 安装nvidiadocker。 设置存储库和 GPG 密钥。 distribution$(. /etc/osrelease;echo $ID$VERSIONID) && curl s L sudo tee /etc/yum.repos.d/nvidiacontainertoolkit.repo 更新包列表后安装nvidiacontainertoolkit包（和依赖项）。 sudo yum clean expirecache sudo yum install y nvidiacontainertoolkit 配置Docker 守护程序以识别 NVIDIA 容器运行时。 sudo nvidiactk runtime configure runtimedocker sudo systemctl restart docker 通过运行基本 CUDA 容器来测试工作设置。 sudo docker run rm runtimenvidia gpus all nvidia/cuda:11.6.2baseubuntu20.04 nvidiasmi

本节主要接受权限管理 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ServiceStage的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ServiceStage，但是不允许删除的权限策略，控制他们对ServiceStage资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见帮助中心 > 统一身份认证服务 > 用户指南 > 产品简介。 ServiceStage权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表 ServiceStage系统权限说明 系统角色/策略名称 描述 类别 依赖系统权限 ServiceStage FullAccess 微服务云应用平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 微服务云应用平台只读权限。 系统策略 无 ServiceStage Developer 微服务云应用平台开发者权限。 拥有应用、组件、环境的操作权限，但无基础设施创建权限。 系统策略 无 CSE Admin 微服务引擎服务管理员权限。 系统策略 无 CSE Viewer 微服务引擎服务查看权限。 系统策略 无 ServiceStage Admin 微服务云应用平台管理员，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Operator 微服务云应用平台操作员，拥有该服务下的只读权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Developer 微服务云应用平台开发者，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 如果所列的这些权限不满足实际需求，您可以参考下表，在这个基础上自定义策略。 表 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Developer ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表 CSE常用操作与系统权限之间的关系 操作 CSE Viewer CSE Admin 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

本文中可查看天翼云关系型数据库服务等级协议。 自2021年11月11日起，新版关系型数据库服务等级协议生效。详情请参见[](

本节介绍了用户指南：使用OceanFS动态存储卷（subPath模式）。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录，以满足数据持久化需求。 subPath模式是指将海量文件存储中的指定子目录作为持久卷使用。当用户挂载持久卷声明时，持久卷中记录的子目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 选择新建子目录模式。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，仅支持Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意：请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 海量文件名称：需要选择一个海量文件，后续会基于该海量文件分配子目录 子目录回收策略： 保留：当持久卷被csi删除时，会保留子目录在文件存储中，不做删除。默认为该选项。 删除：当持久卷被csi删除时，会删除文件存储中对应的子目录，数据无法恢复。 注意 删除子目录属于高危操作，请谨慎选择“删除”子目录回收策略。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

操作场景 在运行中始终不保存任何数据或状态的工作负载称为“无状态负载 Deployment”，例如nginx。您可以通过控制台或kubectl命令行创建无状态负载。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群 ，请参照集群管理>购买混合集群中内容进行创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。 通过控制台创建 云容器引擎提供了多种创建工作负载的方式，您可以通过如下方式进行创建： 基于“我的镜像”创建工作负载，用户首先需要将镜像上传至容器镜像服务。 基于“共享镜像”创建工作负载，即其它租户通过“容器镜像服务”共享给您的镜像。 您希望通过YAML方式创建工作负载，您可在“创建无状态工作负载”高级设置页面单击界面右侧的“YAML创建”，通过yaml的方式创建工作负载。YAML编写完成后，可单击“创建”，直接创建工作负载。 说明： YAML文件是和界面保持同步的，您也可以通过界面和YAML互动完成工作负载的创建。例如： 界面中填写工作负载名称后，YAML文件会自动关联该名称。 界面中添加完镜像后，YAML中也会自动关联该镜像。 控制台界面右侧的“YAML创建”不支持多个YAML混合，请分别创建，否则创建时将会报错。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，单击“创建无状态工作负载”。参照下表设置工作负载基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 实例数量 工作负载的实例数量。工作负载可以有一个或多个实例，用户可以设置具体实例个数，默认为2，可自定义设置为1。 每个工作负载实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，工作负载还能正常运行。若使用单实例，节点异常或实例异常会导致服务异常。 时区同步 单击开启后，容器将和节点使用相同时区。 须知：时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 2 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期：用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见配置中心>创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见配置中心>创建配置项。 说明： 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 3 单击“下一步：工作负载访问设置”，单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络管理>网络概述。 步骤 4 单击“下一步：高级设置”，配置更多高级策略。 升级策略：您可以指定无状态工作负载的升级方式，包括逐步“滚动升级”和整体“替换升级”。 − 滚动升级：将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 最大无效实例数：每次滚动升级允许的最大无效实例数，如果等于实例数有断服风险（最小存活实例数 实例数 最大无效实例数）。 − 替换升级：将先把您工作负载的老版本实例删除，再安装指定的新版本，升级过程中业务会中断。 缩容策略：为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 − 缩容时间窗 (s)：请输入时间，该时间为工作负载停止前命令的执行时间窗（09999秒），默认30秒。 − 缩容优先级：可根据业务需要选择“优先减少新实例”或“优先减少老实例”。 迁移策略：当工作负载实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗。 − 迁移时间窗 (s)：请输入时间，默认为300秒。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见亲和反亲和性调度>调度策略概述。 Pod高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 说明： 客户端DNS配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 5 配置完成后，单击“创建”，在创建成功页面单击“返回工作负载列表”，查看工作负载状态。 在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。工作负载状态不会实时更新，请刷新页面查看。 步骤 6 在“无状态负载 Deployment”页面的工作负载列表中，复制“外部访问地址”，可在浏览器中访问工作负载。 说明： 当工作负载访问方式设为“节点访问（NodePort）”并绑定弹性IP或设为“负载均衡 ( LoadBalancer )”时，才可以获取外部访问地址，可以访问外网。 工作负载列表页在超过500条以上时，将采用Kubernetes的分页机制进行分页。Kubernetes的分页机制：仅支持回到第一页和查看下一页，不支持查看上一页，且在分页显示的情况下，资源总数显示的是批量查询出的数目而不是真实总数。 通过kubectl命令行创建 本节以nginx工作负载为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为nginxdeployment.yaml的描述文件。其中，nginxdeployment.yaml为自定义名称，您可以随意命名。 vi nginxdeployment.yaml 描述文件内容如下。此处仅为示例，deployment的详细说明请参见kubernetes官方文档。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret 以上yaml字段解释如下表。 deployment字段详解 字段名称 字段说明 必选/可选 apiVersion 表示API的版本号。 说明 集群版本为1.9之前的无状态应用apiVersion格式为extensions/v1beta1，1.9之后的集群兼容extensions/v1beta1和apps/v1两种格式Version，请根据集群版本输入。 必选 kind 创建的对象类别。 必选 metadata 资源对象的元数据定义。 必选 name deployment的名称。 必选 Spec 用户对deployment的详细描述的主体部分都在spec中给出。 必选 replicas 实例数量。 必选 selector 定义Deployment可管理的容器实例。 必选 strategy 升级类型。当前支持两种升级方式，默认为滚动升级。 RollingUpdate：滚动升级。 ReplaceUpdate：替换升级。 可选 template 描述创建的容器实例详细信息。 必选 metadata 元数据。 必选 labels metadata.labels定义容器标签。 可选 spec: containers image（必选）：容器镜像名称。 imagePullPolicy（可选）：获取镜像的策略，可选值包括Always（每次都尝试重新下载镜像）、Never（仅使用本地镜像）、IfNotPresent（如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像），默认为Always。 name（必选）：容器名称。 必选 imagePullSecrets Pull镜像时使用的secret名称。若使用私有镜像，该参数为必选。 需要Pull SWR容器镜像仓库的镜像时，参数值固定为defaultsecret。 当Pull第三方镜像仓库的镜像时，需设置为创建的secret名称。 可选 步骤 3 创建deployment。 kubectl create f nginxdeployment.yaml 回显如下表示已开始创建deployment。 deployment "nginx" created 步骤 4 查看deployment状态。 kubectl get pods deployment状态显示为Running，表示deployment已创建成功。 NAME READY STATUS RESTARTS AGE icagentm9dkt 0/0 Running 0 3d nginx1212400781qv313 1/1 Running 0 3d 参数解析： NAME：pod的名称 READY：已经部署完毕的pod副本数 STATUS：状态 RESTARTS：重启次数 AGE：已经运行的时间 步骤 5 若工作负载（即deployment）需要被访问（集群内访问或节点访问），您需要设置访问方式，具体请参见8 网络管理创建对应服务。

本章节进行Ingress相关概述介绍 概述 K8s Ingress用于暴露集群内部的服务给给外部访问，作为流量入口承载所有外部进入集群内部的流量；通过K8s Ingress资源可以配置外部流量访问集群内部服务的各种规则，实现流量路由、负载均衡等丰富的流量治理策略。除了路由策略配置，还需要数据面实际承载流量，执行Ingress中指定的路由策略，这里的数据面对应K8s Ingress controller，整体架构如下： MSE云原生网关支持标准K8s Ingress，当前MSE云原生网关为虚机部署模式，通过在云容器引擎集群中部署mse ingress controller把Ingress资源转成网关配置资源并下发，整体架构如下： 组件功能说明 1. mse ingress controller：K8s controller，监听K8s Ingress及apisix Ingress资源，转成数据面配置并下发到数据面。 2. mse云原生网关：承载业务流量的数据面，接收控制台及mse ingress controller下发的配置指令。 注意 通过Ingress生成的配置不可以通过控制台修改

本文介绍边缘云专线应用场景和开通流程。 边缘云专线可实现用户数据中心或第三方云或天翼云中心云与ECX边缘节点内网互通，提供安全、可靠、稳定的业务传输。 应用场景 场景：业务上云 客户需要将本地数据中心已部署的业务部分迁移到ECX边缘节点，云上的业务需要访问本地数据中心，通过搭建专线，实现云上VPC下的多个子网通过内网访问本地数据中心的服务。 专线开通流程介绍 边缘云专线不支持客户自助开通，具体开通流程如图所示： 单击ECX控制台的左侧导航栏的【边缘网络>边缘云专线】查看已开通专线列表，可单击专线名称查看专线的详细信息。