云应用引擎深度集成了 MSE 服务的微服务治理功能，通过此功能，可以更高效的管理您的应用。 功能介绍 微服务治理功能介绍 CAE 通过无缝集成微服务引擎 MSE（Microservices Engine），提供了强大的微服务治理能力。它不仅支持服务发现和配置管理，还实现了无损上下线、流量治理、系统防护消息灰度、全链路追踪、智能熔断、降级策略、同可用区优先等功能，从而显著提升服务响应速度与稳定性，同时简化架构运维。基于这些能力，MSE能够确保您的微服务应用高效、稳定地运行。 无损上下线功能介绍 无损上线 对于任何一个线上应用来说，发布、扩容、缩容、重启等操作不可避免。在应用启动各阶段，无损上线能够提供相应的保护能力。微服务的 Provider 服务只要注册到注册中心即可被 Consumer 调用，但此时，Provider 可能还需要进一步的初始化，例如数据库连接池的初始化等。因此，对于流量比较大的微服务应用，推荐开启无损上线功能。 无损下线 线上应用在服务更新部署过程中，需要尽量保证客户端无感知，即从应用停止到重启恢复服务的阶段不能影响正常的业务请求。由于微服务应用自身调用特点，在高并发下，服务提供端应用实例的直接下线，会导致服务消费端应用实例无法实时感知下游实例的状态，因而出现继续将请求转发到已下线的实例，导致请求报错，进而造成流量损失。因此，在应用执行部署、停止、回滚、缩容和重置时，需要通过无损下线配置来保证应用正常关闭。

安装MinIO MinIO 是一个兼容S3接口协议的高性能对象存储开源工具。由于源集群与目标集群都需要能够访问到对象存储服务，建议单独申请一台ECS并绑定EIP作为MinIO服务的载体，源集群与目标集群可以方便的通过公网连接MinIO服务。单独申请一台ECS的另一个好处是将备份资源与集群资源区分开，出问题时彼此不会互相影响。 1、下载MinIO mkdir /opt/minio mkdir /opt/miniodata cd /opt/minio wget chmod +x minio sudo mv minio /usr/local/bin/ 2、设置MinIO的用户名和密码 注意 此方法设置的用户名及密码为临时环境变量，在服务重启后需要重新设定。 export MINIOROOTUSERminio export MINIOROOTPASSWORDminio123! 3、启动服务 ./minio server /opt/miniodata/ consoleaddress ":30000" & 以上命令指定了/opt/miniodata目录为备份数据存储的路径，30000端口为console访问端口。关于minio的详细启动参数，请参见：MinIO服务器命令介绍。 4、浏览器访问 console界面。 安装Velero 首先前往MinIO console界面，创建存放备份文件的桶并命名为velero。此处桶名称可自定义，但安装Velero时必须指定此桶名称，否则将无法访问导致备份失败。 注意 Velero服务端在源集群与目标集群上都需要部署，并且部署方法是一致的； 以下命令建议分别在源集群和目标集群的master上执行。 1、下载Velero wget tar xvf velerov1.7.0linuxamd64.tar.gz cp ./velerov1.7.0linuxamd64/velero /usr/local/bin 2、创建密钥文件credentialsvelero，用于连接备份数据的对象存储，文件内容如下，注意与安装MinIO时的用户名和密码一致： [default] awsaccesskeyid minio awssecretaccesskey minio123! 3、部署Velero服务端 velero install provider aws plugins velero/veleropluginforaws:v1.2.1 bucket velero secretfile ./credentialsvelero userestic usevolumesnapshotsfalse backuplocationconfig regionminio,s3ForcePathStyle"true",s3Url 以上命令bucket参数需要修改为已创建的对象存储桶名称，本例中为velero。backuplocationconfig参数中的s3Url要修改为安装MinIO时ECS的EIP和设置的对应端口。关于更多自定义安装参数，请参见：Velero安装文档。 4、Velero实例将默认创建一个名为velero的namespace，执行以下命令可查看pod状态。 $ kubectl get pod n velero NAME READY STATUS RESTARTS AGE resticxxxxx 1/1 Running 0 50s veleroxxxxxxxxxxxxxx 1/1 Running 0 50s 5、查看Velero工具与对象存储的对接情况，状态需要为available $ velero backuplocation get NAME PROVIDER BUCKET/PREFIX PHASE LAST VALIDATED ACCESS MODE DEFAULT default aws velero Available 20240404 11:08:12 +0800 CST ReadWrite true

本节介绍了跨账号同区域迁移云主机的最佳实践。 跨账号同区域迁移云主机的方案为：账号A将区域A的云主机做成私有镜像，再共享给账号B；账号B接受账号A的共享镜像后，使用该镜像创建新的云主机。 步骤一：创建私有镜像 步骤二：共享镜像 步骤三：接受共享镜像 步骤四：创建新的云主机

计算资源（包含：Master节点/工作节点池）： 支持包年/包月，按需计费2种计费类型。 X86架构：计算增强型、海光计算增强型、通用型、海光通用型、内存优化型、海光内存优化型、GPU图形加速型、GPU计算加速型。ARM架构：鲲鹏计算增强型、鲲鹏通用型、鲲鹏内存优化型。 弹性裸金属：CPU类型弹性裸金属。 具体价格可以参考：云主机价格 弹性裸金属价格 云硬盘（包含系统盘、数据盘） 名称 磁盘类型 普通IO SATA 高IO SAS 通用型SSD 通用型SSD 超高IO SSD X系列 XSSD0、XSSD1、XSSD2 具体价格可以参考：云硬盘价格 ELB（用于内网 API Server绑定使用） 名称 计费方式 包月标准价格（元/月） 按需标准价格（元/小时） 负载均衡标准型I 按需/包周期 360 0.49 负载均衡标准型II 按需/包周期 720 0.99 负载均衡增强型I 按需/包周期 1000 1.37 负载均衡增强型II 按需/包周期 1300 1.78 负载均衡高阶型I 按需/包周期 1800 2.47 用于内网 API Server绑定使用的ELB，包年预付费享受8.5折。 注意 容器下云主机、云硬盘支持包年折扣，折扣价以IaaS产品资费说明为准。其他可选项资费，可查看对应云产品计费说明。容器获得用户委托代客开的云产品默认按需计费，用户也可在对应产品控制台开通云资源后在容器侧绑定使用。

检查安全组规则 Ping使用的是ICMP协议，请检查云主机对应的安全组是否放通了“入方向”的“ICMP”规则。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。 系统跳转至该弹性云主机详情页面。 4. 选择“安全组”页签，展开安全组，查看安全组规则。 5. 单击安全组ID。 系统自动跳转至安全组页面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。 表 安全组规则 方向 类型 协议和端口 源地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 7. 单击“确定”，完成安全组规则配置。 检查防火墙设置 如果云主机开启了防火墙，需要检查防火墙对Ping规则是否有限制。 Linux系统云主机 1. 执行以下命令查看防火墙状态，以CentOS 7操作系统为例。 Firewallcmd state 回显信息显示“running”代表防火墙已开启。 2. 查看云主机内部是否有安全规则所限制。 iptables L 回显信息如下图所示说明没有ICMP规则没有被限制。 图 查看防火墙规则 如果ICMP规则被限制，请执行以下命令启用对应规则。 iptables A INPUT p icmp icmptype echorequest j ACCEPT iptables A OUTPUT p icmp icmptype echoreply j ACCEPT

本节包含操作场景、操作步骤。 操作场景 在您开启了云审计服务后，系统开始记录云主机的相关操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 6. 展开需要查看的事件，查看详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，弹窗中显示了该操作事件结构的详细信息。 更多关于云审计的信息，请参见《云审计服务用户指南》。

版本介绍 应用服务网格CSM按照不同的功能及支撑能力划分为基础版、标准版。 版本 说明 基础版 支持50以内Pod数规模，无企业级增强能力，不推荐生产使用。 标准版 支持1000Pod数规模。 使用方式 为了更好的使用应用服务网格CSM产品，建议您先开通以下产品： 1. 开通云容器引擎，至少有一个云容器引擎集群实例。 2. 开通天翼云微服务引擎，并在服务网格控制面集群同VPC内创建云原生网关实例。 相关云服务 云产品名称 开通类型 产品说明 云容器引擎 必选项 云容器引擎 弹性负载均衡ELB 必选项（开通服务网格时自动开通） 弹性负载均衡

本节为您介绍镜像服务常见的创建类问题。 创建镜像FAQ 一个账号最多可以创建多少个私有镜像？ 在当前阶段，您在一个区域内默认最多可以创建 10 个私有镜像。如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限。 通过云主机创建私有镜像，云主机需要关机吗？ 各资源池陆续支持开机制作镜像，如果云主机未关机，则云主机可能处于数据读写状态，此时制作镜像可能会导致数据丢失的问题，建议关机之后制作镜像。 创建私有镜像支持哪些系统架构？ 目前创建私有镜像时，天翼云支持的系统架构只有X8664，后续会增加ARM架构。 创建私有镜像支持哪些镜像格式？ 通过云主机创建私有镜像，支持RAW格式；通过镜像文件创建私有镜像，支持RAW、QCOW2、VMDK、VHD格式。 通过镜像文件创建私有镜像时，参数选择错误了怎么办？ 如果操作系统、系统架构、镜像格式选择错误，会导致实际镜像文件与选择的操作系统不匹配，可能会导致创建云主机失败；如果是镜像文件地址错误，会导致检验不通过，无法创建私有镜像；用户必须删除掉错误的镜像，重新选择正确的参数创建私有镜像。 整机镜像FAQ 为什么创建云主机或者为云主机切换操作系统时选不到ISO镜像？ ISO镜像通常用于安装操作系统、软件或进行系统修复等操作。在创建云主机或切换操作系统时，有时可能无法直接选择ISO镜像。这可能是因为ISO镜像的使用方式和限制特性所致： ISO镜像的用途：ISO镜像通常被用于初始化云主机，进行操作系统的安装或重装。它们不同于系统盘镜像，后者是已安装好操作系统和配置的镜像。 创建云主机时的限制：在创建云主机时，通常只能选择已有的系统盘镜像来作为主要启动盘，因为这些镜像已经预配置了操作系统和一些必要的设置。而ISO镜像不具备这些预配置特性。 操作系统切换的限制：同样，操作系统切换通常要求选择一个已经配置好的系统盘镜像作为新的操作系统基础，而ISO镜像并没有这种预先配置的内容。 ISO镜像的用途限制：虽然ISO镜像可以用来创建云主机，但在创建后，它们可能会有一些限制，例如不能随意挂载其他磁盘，因为ISO镜像通常被用来引导系统安装过程。

通过ECS访问FusionInsight Manage 1. 在MRS管理控制台，单击“集群列表”。 2. 在“现有集群”列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“集群管理页面”、“安全组”。 3. 在管理控制台首页服务列表中选择“弹性云主机”，进入ECS管理控制台，创建一个新的弹性云主机。 弹性云主机的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见“弹性云主机 > 用户指南 > 快速入门 > 创建并登录Windows弹性云主机”。 说明 如果ECS的安全组和Master节点的“默认安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为Master节点的默认安全组，请参见“ 用户指南 > 安全组 > 更改安全组”。 在集群Master节点和Core节点的安全组添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见“虚拟私有云 > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 4. 在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见“虚拟私有云>用户指南 > 弹性公网IP > 为弹性云主机申请和绑定弹性公网IP”。 5. 登录弹性云主机。 登录ECS需要Windows系统的帐号、密码，弹性IP地址以及配置安全组规则。具体请参见“弹性云主机 > 用户指南 > 实例 > 登录弹性云主机 > 登录Windows弹性云主机”。 6. 在Windows的远程桌面中，打开浏览器访问Manager。 例如Windows 2012操作系统可以使用Internet Explorer 11。 Manager访问地址为“集群管理页面”地址。访问时需要输入集群的用户名和密码，例如“admin”用户。 如果使用其他集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。请咨询管理员。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 7. 注销用户退出Manager时移动鼠标到右上角 ，然后单击“注销”。

本节介绍什么是SSH密钥及使用限制条件。 简介 SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成。 SSH密钥对通过加密算法生成一对密钥，默认采用RSA 2048位的加密方式。 要使用SSH密钥对登录Linux实例，用户必须先创建一个密钥对，并在创建实例时指定密钥对，然后使用私钥连接实例。 优势 安全性：SSH密钥对登录认证更为安全可靠。密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁，且无法通过公钥推导出私钥。 便捷性：如果客户将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码，便于远程登录大量Linux实例，方便管理。如果需要批量维护多台Linux实例，推荐使用这种方式登录。 使用限制 如果使用SSH密钥对登录Linux实例，将会禁用密码登录，以提高安全性。 仅支持Linux实例。 通过控制台绑定密钥对时，一台Linux实例只能绑定一个密钥对，如果用户有使用多个密钥对登录实例的需求，可以在实例内部手动修改~/.ssh/authorizedkeys文件，添加多个密钥对。创建虚拟机实例时可选是否关联密钥对。

本文主要介绍加密镜像。 加密镜像概述 用户可以采用加密方式创建私有镜像，确保镜像数据安全性。 约束与限制 用户已启用数据加密服务 加密镜像不能共享给其他租户。 不能修改加密镜像使用的密钥。 对于加密镜像创建的云主机，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 如果云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。 加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。 创建加密镜像 创建加密镜像分为通过外部镜像文件创建加密镜像和通过加密弹性云主机创建加密镜像。 1、通过外部镜像文件创建加密镜像 用户使用OBS桶中已上传的外部镜像文件创建私有镜像，可以在注册镜像时选择KMS加密及密钥完成镜像加密。具体操作步骤请参考通过外部镜像文件创建Windows系统盘镜像和通过外部镜像文件创建Linux系统盘镜像。 2、通过加密弹性云主机创建加密镜像 用户选择弹性云主机创建私有镜像时，如果该云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。具体操作请参考通过云主机创建Windows系统盘镜像和通过云主机创建Linux系统盘镜像。

本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

使用须知 G2型弹性云主机不支持规格变更。 G2型弹性云主机当前支持如下版本的操作系统： − Windows Server 2012 R2 Standard 64bit − Windows Server 2008 R2 Enterprise SP1 64bit 使用私有镜像创建的G2型弹性云主机，需在制作私有镜像时安装SRIOV网卡驱动，如果未安装，请在弹性云主机创建完成后进行安装。 SRIOV驱动下载地址：< 使用MSTSC方式访问G2型弹性云主机时，使用WDDM驱动程序模型的GPU将被替换为一个非加速的远程桌面显示驱动程序，造成GPU加速能力无法实现。因此，如果需要使用GPU加速能力，您必须使用不同的远程访问工具，如VNC工具。 G2型云主机启动时如果加载了GRID驱动，使用vGPU显卡作为默认视频输出，暂不支持使用管理控制台提供的“远程登录”功能。请使用RDP协议（如Windows远程桌面MSTSC）访问G3型实例，之后安装远程访问工具，如VNC工具等第三方VDI工具。 使用私有镜像创建的G2型弹性云主机，请确认在制作私有镜像时安装GRID驱动。如果未安装，请在创建完成后安装GRID驱动，以实现图形加速功能。详细安装操作请参考GPU加速型实例安装GRID驱动。

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

此章节为您介绍如何登录云堡垒机（原生版）。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 登录的时候可选“外网地址登录”或“内网地址登录”。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 通过Html5登录堡垒机只支持进行简单的运维操作，复杂运维可能出现卡顿，显示异常等问题，建议您安装插件并且使用使用mstsc，vnc等方式进行运维。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1.在“云堡垒机实例”列表条目录中选择要管理的实例，单击“管理”。 2.根据您自身的网络环境选择“内网地址登录”或“外网地址登录”。 3.登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用本地认证、AD认证等方式登录。 前置条件 已登录过云堡垒机并完成密码初始化。 本地认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为“本地认证 ”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索”天翼云“，下载安装天翼云手机APP。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情页的监控指标 页签中，观测内存使用率指标。 登录分布式缓存服务Redis版 控制台， 进入目标实例的性能监控 页， 观测内存使用率指标。 2、业务应用验证： 观察业务应用表现，查看对该Redis实例的读写操作是否出现失败或延迟。 如果是对主节点注入故障，查看该Redis实例的主备切换是否触发，应用是否连接到新的主节点。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到Broker宕机动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测存活节点数、 节点存活状态指标。 2、业务应用验证： 检查您的生产者和消费者应用的日志，确认是否存在因连接被拒绝、找不到领导者（No Leader available）、请求超时等原因导致的错误。 确认您的业务监控系统是否成功捕获到 Kafka 集群异常或客户端错误，并触发了相应的告警。 验证您的客户端重试和故障转移逻辑是否按预期工作。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情页的监控指标 页签中，观测内存使用率指标。 登录分布式缓存服务Redis版 控制台， 进入目标实例的性能监控 页， 观测内存使用率指标。 2、业务应用验证： 观察业务应用表现，查看对该Redis实例的读写操作是否出现失败或延迟。 如果是对主节点注入故障，查看该Redis实例的主备切换是否触发，应用是否连接到新的主节点。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到Broker宕机动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测存活节点数、 节点存活状态指标。 2、业务应用验证： 检查您的生产者和消费者应用的日志，确认是否存在因连接被拒绝、找不到领导者（No Leader available）、请求超时等原因导致的错误。 确认您的业务监控系统是否成功捕获到 Kafka 集群异常或客户端错误，并触发了相应的告警。 验证您的客户端重试和故障转移逻辑是否按预期工作。

本章节主要介绍在翼MR集群的后台如何提交一个新的Spark作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至HDFS系统中。 通过后台提交作业 例如安装路径为“/usr/local/spark3”。具体以实际为准。 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 集群默认开启Kerberos认证，执行以下命令认证当前用户。 示例： klist kt /etc/security/keytabs/spark.keytab 获取spark.keytab的principalname kinit kt /etc/security/keytabs/spark.keytab spark.keytab的principalname 7. 执行如下命令运行计算圆周率作业。 sparksubmit master yarn deploymode client queue default class org.apache.spark.examples.SparkPi /usr/local/spark3/examples/jars/sparkexamples2.123.2.2.jar 100

本章节主要介绍在翼MapReduce集群的后台提交新的MapReduce作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至HDFS系统中。 通过后台提交作业 例如安装路径为“/usr/local/hadoop3”。具体以实际为准。 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 集群默认开启Kerberos认证，执行以下命令认证当前用户。 示例： klist kt /etc/security/keytabs/hdfs.keytab 获取keytab的principalname kinit kt /etc/security/keytabs/hdfs.keytabx0005 keytab的principalname 7. 执行如下命令运行Example的wordcount作业。 hadoop jar /usr/local/hadoop3/share/hadoop/mapreduce/hadoopmapreduceclientjobclient3.3.3tests.jar TestDFSIO Ddfs.replication1 write nrFiles 100 fileSize 100MB

您可以根据实际业务需求，删除不再需要的DRDS实例节点，以节省资源。 注意 仅V5.1.20.0.13及以后版本的DRDS实例支持该功能。 前提条件 实例状态为运行中。 实例关联的主机节点状态正常并且没有连接访问操作。 注意事项 修改实例后，将会重启数据库实例。请选择业务低峰期（业务空闲时间段）进行删除节点操作，避免业务异常中断。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列，选择更多 > 删除节点。 4. 在数据节点删除页面，选中待删除的节点。 注意 至少保留1个节点。 5. 在页面右下角阅读并勾选协议后，单击提交。 您可以在DRDS > 实例管理 页面，单击目标实例操作 列的管理 进入实例基本信息 页面，然后在基本信息 区域查看实例的节点数量信息。

此章节为您介绍数据库审计会话日志的相关功能。 会话日志概述 会话（Session）是客户端与数据库服务器之间的不中断的SQL请求和响应序列。一个会话中可能包含一个或多个SQL请求和响应。 可以根据会话的状态将其分成在线会话和历史会话。 在线会话指的是会话还没有结束，仍然有后续的请求或响应。 历史会话指的是已经结束的会话，会话双方已经断开了本次会话的连接。 会话的基本四元素是指客户端IP、客户端端口、服务端IP和服务端端口。 会话的四元素可以定位在同时刻的唯一会话信息。系统支持查看历史会话和在线会话，并支持通过会话信息查看一次会话过程中产生的所有请求或响应日志。 查询历史会话 1.在菜单栏选择“查询分析 > 会话日志”进入“会话日志”页面，选择“历史会话”页签，设置查询条件（如时间范围、资产等），单击“搜索”即可查询相关历史会话。 2.单击“操作”列的“详情”可查看会话详情。

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

本文介绍全站加速在游戏行业的最佳实践。 行业概况 随着游戏行业在海外发展势头良好，对于企业自身来说，首要功课就是打通自身与玩家，玩家跟玩家之间的连接。跨国网络的速度和稳定性成为游戏行业开拓海外市场的首要难题。 天翼云全站加速产品，依托全球2300+分布式加速节点，基于云网融合优势，通过动静分离、智能路由、协议优化、链路优化等多项技术，为游戏行业提供快速、稳定、安全的网络加速服务。 方案架构 天翼云全站加速旨在帮助游戏客户在网站流量激增、游戏安装包下载、动态指令互动、游戏出海、源站高可用性等场景，为客户构建一站式动静混合的全球高可用性访问体验。可以在不做任何源站架构变动的情况下，快速开通全站加速服务。 需求场景 游戏安装包下载 面临挑战：热门游戏上线，导致官网访问突增，热门游戏更新安装包，下载易高并发。 方案优势：天翼云全站加速，提供多样化的缓存策略，由边缘节点响应用户请求，大大卸载回源流量，提高网站及应用的访问速度。

本节主要介绍结束同步任务 业务系统和数据库切换至目标数据库后，可选择结束同步任务。对于需要恢复目标数据库或停止同步的任务，您可选择结束任务，避免源数据库的操作继续同步到目标数据库，造成数据覆盖问题。 如下状态下的任务可以结束： 创建中 配置 等待启动 全量同步 全量同步失败 增量同步 增量同步失败 已暂停 故障恢复 说明 建议您先结束任务，再做断开源库与同步实例的网络等其他操作，避免产生无法连接源库的告警。 对于“配置”状态的任务，配置失败的任务无法结束。 对于“故障恢复”状态的任务，正在进行故障恢复的任务无法结束 任务结束后无法重试。 操作步骤 步骤 1 在“实时同步管理”页面的任务列表中，选择要结束的任务，单击“结束”。 步骤 2 在弹出框中单击“确定”，提交结束任务。 说明 当任务状态异常时（例如任务失败、网络异常），DRS会勾选“强制结束任务”优先结束任务，减少等待时间。 “强制结束任务”会直接释放DRS资源，请检查是否存在影响，确认同步情况。 如果需要正常结束任务，请先修复DRS任务，待任务状态正常后，再单击“结束”，正常结束任务。

参数 说明 账号名称 DRDS账号的名称，命名规则如下。 长度为132个字符，必须以字母开头，不区分大小写，可以包含字母，数字、下划线，不能包含其它特殊字符。 密码 DRDS账号的密码，密码复杂度要求如下。 长度为8~32个字符。 至少包含三种字符组合：大小写字母、数字、特殊字符 ~ ! @ % ^ + ? 不能使用简单、强度不够、容易被猜测的弱密码。 不能与账号名称或者倒序的账号名称相同。 确认密码 确认密码必须和输入的密码保持一致。 密码有效期 设置密码有效期，取值范围为065535的整数，单位为天。如果DRDS的账号状态为“已过期”，账号将无法登录，已有连接会断开，需要重置密码后重新登录。 0表示密码永不过期。 如果不设置密码有效期则默认密码永不过期。 说明 内核版本需大于或者等于3.0.4。 关联逻辑库 DRDS账号与逻辑库关联绑定，下拉列表中显示可关联的逻辑库。 DRDS账号只对已关联的逻辑库有访问权限。 账号权限 按需选择需要的基础权限，包括CREATE、DROP、ALTER、INDEX、INSERT、DELETE、UPDATE、SELECT。 描述 对DRDS账号的详细描述信息，长度不能超过256个字符。

参数名 参数解释 参数值 SFTP IP 模式 目标IP的IP地址模式，可选择“IPv4”或者“IPv6”。 IPv4 SFTP IP 指定审计日志转储后存放的SFTP服务器，建议使用基于SSH v2的SFTP服务，否则存在安全风险。 192.168.10.51（举例） SFTP端口 指定审计日志转储后存放的SFTP服务器连接端口。 22（举例） 保存路径 指定SFTP服务器上保存审计日志的路径。 /opt/omm/oms/auditLog（举例） SFTP用户名 指定登录SFTP服务器的用户名。 root（举例） SFTP密码 指定登录SFTP服务器的密码。 SFTP服务器的密码 SFTP公共秘钥 可选参数，指定SFTP服务器的公共密钥，建议配置SFTP的公共密钥，否则可能存在安全风险。 转储模式 指定转储模式 “按数量”：日志到达指定条数（默认10万条）时开始转储 “按时间”：指定某一日期开始转储，转储频率为一年一次。 按数量 按时间 转储日期 当选择“按时间”转储模式时可用。选择一个转储日期后，系统将在此日期开始转储。转储的日志范围为当前年份1月1日0时之前的所有审计日志。 1106（举例）

本章节主要介绍使用Storm客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Storm客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。（普通模式不涉及） 操作步骤 1. 根据业务情况，准备好客户端，登录安装客户端的节点。 请根据客户端所在位置，参考“用户指南 > 使用MRS客户端 > 安装客户端”章节，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 若安装了Storm多实例，在使用Storm命令提交拓扑时，请执行以下命令加载具体实例的环境变量，否则请跳过此步骤。例如，Storm2实例： source Storm2/componentenv 5. 执行以下命令，进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 6. 执行命令进行客户端操作。 例如执行以下命令： cql storm 说明 同一个storm客户端不能同时连接安全和非安全的ZooKeeper。

本节主要介绍修修改实例安全组 文档数据库服务支持修改集群、副本集实例的安全组。 使用须知 以下情况不可修改安全组： 添加节点 数据迁移 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，单击“连接管理”。 步骤 6 在“安全组”区域，单击，选择实例所属安全组。 修改安全组 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 步骤 7 稍后可在“安全组”区域，查看修改结果。

本章节会介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本章节介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。