阶段 限制说明 变更说明 磁盘扩容 云数据库 RDS for PostgreSQL实例最大可扩容至4000GB，扩容次数没有限制。 如果是主备实例，针对主实例扩容时，会同时对其备实例进行扩容。 扩容过程中，该实例不可删除。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。 磁盘扩容需要3～5分钟。 磁盘缩容 实例状态仅为“正常”时可以调整磁盘大小。 只支持存储类型为超高IO的实例。 当只读实例规格小于主实例规格时，有缩容失败的风险，建议只读实例规格大于等于主实例的规格。 磁盘缩容在业务高峰期执行，可能会使磁盘空间被耗尽，导致磁盘缩容失败，请在业务低峰期操作。 使用缩容前的备份进行恢复时，请选择大于等于缩容前磁盘大小的实例。 缩容会预留40GB的空间以防磁盘写满只读，所以可缩容的最小值为：当前磁盘使用量+预留空间大小（40G）。 如果是主备实例，针对主实例缩容时，会同时对其备实例进行缩容。 缩容过程中，该实例不可删除。 选择磁盘加密的实例，缩容后的磁盘空间依然会使用原加密密钥进行加密。 非业务高峰期，磁盘缩容时长和实例的资源使用情况及数据量相关，数据越多，时间越久。 在IO，CPU等资源充足条件下，1TB数据量完成缩容预计需要9小时左右。

本节介绍了停止实例的操作场景、约束限制、操作步骤等相关内容。 操作场景 如果您仅使用数据库实例进行日常开发活动，目前支持对实例进行关机，通过暂时停止按需实例以节省费用。 费用说明 实例停止后，虚拟机（VM）停止收费，其余资源包括弹性公网IP（EIP）、存储资源、备份正常计费。 约束限制 此能力目前已上线苏州、广州4资源池。 仅支持停止存储类型为超高IO、极速型SSD的按需实例，专属云RDS不支持停止实例。 已停止的实例被删除后不会进入回收站。 实例停止后，自动备份任务也会停止。实例开启后，会自动触发一次全量备份。 停止主实例时，如果存在只读实例，会同时停止只读实例。主实例和只读实例均默认停止十五天。不支持单独停止只读实例。 实例默认停止十五天，如果您在十五天后未手动开启实例，数据库实例将于十五天后的下一个可维护时间段内自动启动。可维护时间段的详细内容请参考设置可维护时间段，开启实例操作步骤请参考开启实例。 按需付费的数据库实例停止实例后，可能会由于底层ECS资源不足引起开启失败。若实例开启失败，可稍后再次尝试开启，或利用最新备份文件全量数据恢复：按备份文件恢复。 业务高峰期停止实例可能会导致实例停止失败，建议在业务低峰期停止实例。

本章节介绍微服务云应用平台推荐使用的部署配置中的特性 概述 应用部署配置中涉及了许多K8s中的概念，如果要使用到应用部署配置中的这些高级特性，需要对K8s有较为深入的了解。下面将介绍一些推荐使用的部署配置中的特性。 应用配置信息 应用配置信息可在两处进行配置： 1. 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例，在应用实例列表，点击上方创建应用实例，进入到部署配置模块进行配置。 2. 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例，在应用实例列表，点击应用实例，进入到应用实例详情，点击右上方新增版本按钮，在新增版本界面进行配置。 Pod数量 建议为应用配置2个及以上Pod实例。配置多个Pod实例，可有效避免单个Pod实例故障而导致的应用无法使用。 单Pod资源配额 建议为应用配置合理的CPU资源预留（Request）和Mem资源限制（Limit）。配置合理的单Pod资源配额，可以有效利用K8s集群资源。 说明 对于Java应用，配置的Mem资源限制（Limit）不应低于JVM配置的内存使用上限，否则会在Pod层面出现内存不足（OOM），导致Pod重启。 应用高级配置信息 1. 建议为应用设置合理的日志滚动策略，及时清理。Pod实例内打印过多日志将侵占节点的磁盘空间，导致节点进入DiskPressure状态，并引发Pod驱逐。 2. 合理配置应用生命周期的探针。 为了便于故障自愈和优雅上下线，Liveness存活探针的各参数配置应当保证应用可以正常启动，若应用正常启动时间较长，可以配置更长的首次启动延迟时间（InitialDelaySeconds）。相关文档，请参见应用运维>容器应用实例>创建制品微服务，查看应用高级配置——应用生命周期管理。 如果部署的是应用通过Service实现的服务暴露，Readiness就绪探针的各参数配置应当保证能准确的反映应用健康状况，以免非健康Pod提供服务（即未被Service摘除）。 3. 配置日志收集规则。将Pod实例日志持久化保存到云日志服务，便于问题排查。由于Pod实例本身是无状态的，会因为各种调度而重新创建和删除，因此需要将Pod实例的日志进行集中化收集并持久化存储。相关文档，请参见应用运维>容器应用实例>创建制品微服务，查看应用高级配置——日志收集管理。

通知项 通知内容 通知内容说明 每日告警通知：每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给您添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 需紧急修复漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 基线检查 配置检查 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 基线检查 经典弱口令 检测MySQL、FTP及系统帐号的弱口令。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 入侵检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 入侵检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 入侵检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时告警通知：事件发生时，及时发送告警通知。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。 您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 非法系统帐号 检测主机系统中的帐号，列出当前系统中的可疑帐号信息，帮助用户及时发现非法帐号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 账户登录 登录成功 对登录成功的账户进行通知。

本文介绍了:云容器引擎发布Kubernetes 1.31版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.31 版本Changelog 1. StatefulSet 起始序号（GA），允许用户自定义 Pod 的起始序号（默认从 0 开始），例如设置为 100，适用于需要固定编号或特定顺序的应用场景（如分布式数据库）。 2. 弹性索引 Job（GA），支持在索引 Job 创建后动态调整 .spec.completions 和 .spec.parallelism 字段，实现任务弹性伸缩，无需重新创建 Job。 3. Pod 失效策略（GA），可根据 Pod 失效原因（如被抢占、节点删除、kubelet 终止等）分别配置处理逻辑（重试或忽略），避免不必要的 Pod 重启，降低运行成本。 4. Pod 干扰状况（GA），在 Pod 的 Condition 中新增 DisruptionTarget 类型，明确标记 Pod 失效原因（如被高优先级 Pod 抢占），结合 Job 的失效策略实现更精细的任务管理。 5. Job成功策略（Beta），JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 6. 持久卷回收策略（Beta），确保 PV 的回收策略（如 Delete）在 PVC 删除后仍被强制执行，通过添加 Finalizer 防止存储资源泄漏，即使 PV 和 PVC 的删除顺序混乱也能保证一致性。 7. ServiceAccountTokenNodeBinding（Beta），创建绑定到特定节点的 Token，包含节点信息声明，并在 Token 使用时验证节点存在性。若节点被删除，Token 自动失效，降低凭证泄露风险。 8. 容器重启优化，当 Pod 配置变更但镜像未更新时，kubelet 不再强制重启容器，避免因非关键配置更新导致的不必要中断。 9. OCI 镜像卷（Alpha），允许将 OCI 镜像直接挂载为卷，简化 AI/ML 工作负载中模型和数据的访问，例如通过更换镜像快速更新模型权重。 更多信息请参考：Kubernetes 1.31 Changelog

本节介绍了创建普通任务(Job)的用户指南。 基本概念 普通任务：即kubernetes中的“Job”，普通任务是一次性运行的短任务，部署完成后即可执行。使用场景为在创建工作负载前，执行普通任务，将镜像上传至镜像仓库。 操作场景 普通任务是一次性运行的短任务，部署完成后即可执行。正常退出（exit 0）后，任务即执行完成。 普通任务是用来控制批处理型任务的资源对象。批处理业务与长期伺服业务（Deployment、Statefulset）的主要区别是： 批处理业务的运行有头有尾，而长期伺服业务在用户不停止的情况下永远运行。Job管理的Pod根据用户的设置把任务成功完成就自动退出了。成功完成的标志根据不同的spec.completions策略而不同，即： 单Pod型任务有一个Pod成功就标志完成。 定数成功型任务保证有N个任务全部成功。 工作队列型任务根据应用确认的全局成功而标志成功 前提条件 在创建任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“任务”，在右上角单击“创建任务”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择普通任务Job。工作负载类型的介绍请参见工作负载概述。 负载名称：输入负载的名称，名称长度为1到63个字符，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。

本节介绍了容器垂直伸缩(VPA)的用户指南。 通过在容器集群上部署安装ccseverticalpodautoscaler组件，云容器引擎可以提供垂直的容器伸缩的功能。VPA会基于Pod的资源使用情况自动调整集群中容器的资源请求和限制，从而可以让Pod调度到有充足资源的最佳节点上。 前提条件 请确保您已完成以下操作： 已创建一个Kubernetes集群，且Kubernetes版本高于1.23。 已使用命令行工具连接集群。 已卸载集群中已经部署的VPA，以避免新安装的VPA与旧版VPA冲突而导致VPA不可用。 背景信息 注意 容器垂直伸缩功能目前处于试验阶段，请谨慎使用。 更新正在运行的Pod资源配置是VPA的一项试验性功能，会导致Pod的重建和重启，而且有可能被调度到其他的节点上。 VPA不会驱逐没有在副本控制器管理下的Pod。目前对于这类Pod，Auto模式等同于Initial模式。 目前VPA不能和监控CPU和内存度量的Horizontal Pod Autoscaler （HPA）同时运行，除非HPA只监控其他定制化的或者外部的资源度量。 VPA使用admission webhook作为其准入控制器。如果集群中有其他的admission webhook，需要确保它们不会与VPA发生冲突。准入控制器的执行顺序定义在API Server的配置参数中。 VPA会处理出现的绝大多数OOM（Out Of Memory）的事件，但不保证所有的场景下都有效。 VPA的性能还没有在大型集群中测试过。 VPA对Pod资源requests的修改值可能超过实际的资源上限，例如节点资源上限、空闲资源或资源配额，从而造成Pod处于Pending状态无法被调度。同时使用集群自动伸缩（ClusterAutoscaler）可以一定程度上解决这个问题。 多个VPA同时匹配同一个Pod会造成未定义的行为。

本节介绍了用户指南: 本地存储概述。 云容器引擎支持使用本地存储卷。当前cstorcsi插件支持通过LVM和LocalPV的方式动态使用容器集群节点上的硬盘或者文件系统。 功能介绍 本地存储卷包含以下几种方式，可以根据业务需求及存储特点进行选择。 类型 存储卷类型 能力供应 特点 LocalPV 动态存储卷 cstorcsi插件 使用节点上已有数据目录，动态创建子路径绑定到PV上，供业务使用。 LocalPV 静态存储卷 Kubernetes原生 通过手动创建PV，指定节点亲和性及本地存储设备的方式使用本地存储。pod无需手动调度指定的节点。 HostPath Kubernetes原生 将主机节点文件系统上指定文件或目录挂载到 Pod 中。 LVM 动态存储卷 cstorcsi插件 基于节点上的数据盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘跟用户容器使用。 约束与限制 cstorcsi插件本地存储功能需要插件版本>3.3.3； 请勿在节点上手动删除存储池或卸载数据盘，否则会导致数据丢失等异常情况； 请勿对本地存储资源自行执行增删改等操作，否则会导致PVC不可用或者无法达到使用预期。 本地存储资源包括存储池管理的VG，PV，LV，或者基于硬盘构建的文件系统；或者自行申领的文件系统等； 重置或缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用； 本地存储并非高可用存储卷，只适用于一些临时数据的保存及应用自带高可用的场景； LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

流程执行简介 概述 工作流执行是指对流程的一次具体运行。创建流程后，您可以多次执行同一个流程，每次执行可根据实际需求传入不同的输入参数。 执行属性 下文列出了执行的属性，除了 执行名称 和 执行输入 是开始执行输入外，其他是执行的输出信息。 执行名称(executionName): 执行的名称。可以为空。 工作流执行时定义 (executionWorkflowDsl): 执行时对应工作流定义的快照,工作流定义详情见工作流定义。 执行输入(input): 执行的输入,不可为空，必须是JSON对象格式。 执行输出(output): 执行完成后的输出，JSON对象格式。 执行模式(executionMode): 执行模式。包含 快速模式(express)、标准模式(standard)。 执行状态(status): 执行的状态。包含started、completed、faulted、canceled 执行开始时间(startTime): 执行的开始时间。 执行结束时间(endTime): 执行的结束时间。 执行事件历史 通常，一个流程包含多个步骤。在执行过程中，每个步骤都会产生相应的事件，这些事件详细记录了步骤的执行状态。通过这些事件，您可以清晰了解流程当前所处的步骤、输入输出、执行时长及失败原因等信息。同时，云工作流服务会利用这些状态数据实时跟踪流程执行，保障系统的高可用性。 您可以通过下述信息了解执行事件（Event）的属性。其中，事件详情（EventDetail）为 JSON 对象格式字符串，不同事件类型（Type）对应的事件详情内容可能有所差异。 事件类型(eventType): 事件类型。包含 started、 submitted、failed、succeeded 。 状态名称(taskName)：步骤名称。对应流程定义语言中的步骤名称。 状态类型(taskType): 步骤类型，如http、cloudflow:executionworkflow、cf:invokeFunction、noop、sleep、switch、parallel、foreach。 事件执行时间(eventTime): 事件发生时间。 执行输入(input): 事件发生时的输入。 执行输出(output): 事件发生时的输出。

本节介绍了如何绑定和解绑弹性公网IP。 操作场景 云数据库GaussDB 实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是1611，那么需确保安全组开通了1611端口的访问。 注意事项 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块处，单击内网地址后的“绑定”。 步骤 4 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“是”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 步骤 5 在“连接信息”模块的内网地址处，查看结果。 如需关闭，请参见解绑弹性公网IP。 说明： 绑定成功后，您还可以单击内网IP前的 查看弹性公网IP详细信息。 解绑弹性公网IP 步骤 1 登录管理控制台。 步骤 2 对于已绑定EIP的实例，在“实例管理”页面，选择指定实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块，单击IP地址后面的“解绑”，在弹出框中单击“是”，解绑EIP。 步骤 4 在“连接信息”模块的内网地址处，查看结果。 如需重新绑定，请参见绑定弹性公网IP。

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和节点的亲和性 > 与节点的反亲和性”下的“添加”。 步骤 2 勾选工作负载不希望部署到的节点，单击“确定”。 若勾选多个节点，工作负载将不会部署到这些节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和节点反亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: nodeName node中lable 的key operator: NotIn notin说明不部署 values: testnode1 node中对应key 的value 工作负载创建完成后设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 单击工作负载名称进入详情页，单击“调度策略 > 简易调度策略 > 添加反亲和对象”。 步骤 3 对象类型选择“节点”，勾选工作负载不希望部署到的节点，设置完成后当前工作负载不会部署到已选择的节点上。 图添加反亲和对象节点 说明：该方法可新增、编辑和删除调度策略。

本文介绍CCE集群弹性引擎。 插件简介 CCE集群弹性引擎（autoscaler）是Kubernetes中非常重要的一个Controller，它提供了微服务的弹性能力，并且和Serverless密切相关。 弹性伸缩是很好理解的一个概念，当微服务负载高（CPU/内存使用率过高）时水平扩容，增加pod的数量以降低负载，当负载降低时减少pod的数量，减少资源的消耗，通过这种方式使得微服务始终稳定在一个理想的状态。 云容器引擎简化了Kubernetes集群的创建、升级和手动扩缩容，而集群中应用的负载本身是会随着时间动态变化的，为了更好的平衡资源使用率以及性能，Kubernetes引入了autoscaler插件，它可以根据部署的应用所请求的资源量自动的动态的伸缩集群，详情请了解创建节点伸缩策略。 开源社区地址： 插件说明 autoscaler可分成扩容和缩容两个方面： 自动扩容 集群的自动扩容有以下两种方式实现： 当集群中的Pod由于工作节点资源不足而无法调度时，会触发集群扩容，扩容节点与所在节点池资源配额一致。此时需要满足以下条件时才会执行自动扩容： 节点上的资源不足。 Pod的调度配置中不能包含节点亲和的策略（即Pod若已经设置亲和某个节点，则不会自动扩容节点），节点亲和策略设置方法请参见调度策略（亲和与反亲和）。 当集群满足节点伸缩策略时，也会触发集群扩容。 说明 当前该插件使用的是最小浪费策略，即若Pod创建需要3核，此时有4核、8核两种规格，优先创建规格为4核的节点。

本文将为您展示创建一台包年包月的云主机的模板示例。 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } 支持配置资源池、可用区和企业项目，若不配置资源池，则会使用页面选定的资源池 ak/sk无需配置，会自动获取当前账号的ak/sk provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" azname "cnhuadong1jsnj1Apublicctcloud" env "prod" } 创建vpc resource "ctyunvpc" "vpctest" { name "vpcforecs" cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } 在vpc下创建子网 resource "ctyunsubnet" "subnettest" { vpcid ctyunvpc.vpctest.id name "subnetforecs" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8" ] enableipv6 true } 查询可用镜像 data "ctyunimages" "imagetest" { name "CentOS Linux 8.4" visibility "public" pageno 1 pagesize 10 } 查询可用规格 data "ctyunecsflavors" "ecsflavortest" { cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } 导入密钥对 resource "ctyunkeypair" "keypairtest" { name "keypairforecs" publickey "sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAjUnAnTid4wmVtajSmElMtH03OvOyY81ybfswbUu9Gt83DVVzDnwb3rcQW1us8SeKm/gRINkgdrRAgfXAmTKR7AorYtWWc/tzb6kcDpL2E8Qk+n6cyFAxXNoX2vXBr4kC9wz1uwjGyxoSlpHLIpscfI0Ef652gMlSyfODehAJHj3JPMr8pvtPIUqsZI3JOGTUzxaA2JVC0LxQegphYYf2TxGd9GLRUv1p/0BUAPCMg1NaITXNVEj3A11hk1nrFoJMmvIwIUkLmRuQcxuNAdxeLB7GXXVjKpnKIJL4L64dyA9GWa3Gb7gCJyRaBc5UhK4hT57wmukCrldHHtdF1IJr" } resource "ctyunecs" "ecstest" { instancename "ecsdemo" displayname "ecsdemo" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id cycletype "month" cyclecount 1 subnetid ctyunsubnet.subnettest.id keypairname ctyunkeypair.keypairtest.name isdestroyinstance true

本文将介绍如何在Serverless集群中创建服务。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 背景信息 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象。Service是⼀种资源，提供了我们访问单个或多个容器应用的能力。每个服务在其生命周期内，都拥有⼀个固定的IP地址和端口。每个服务对应了后台的⼀个或多个Pod，通过这种方式，客户端就不需要关心Pod所在的位置，方便后端进行Pod的扩容、缩容等操作，更多详细原理可参阅Kubernetes官网的Service部分。 步骤一：创建Deplyoment 使用镜像创建一个Deployment，详细操作步骤请参阅使用镜像创建应用。 步骤二：创建服务 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“网络” ，并选择“服务” 。 5. 在服务页面单击左上角的“创建服务”。 6. 进行相关参数的配置： 1. 填写服务的基本信息： 2. 填写访问设置信息。包括填写端口映射的名称、容器端口、服务端口以及选择协议类型为TCP或者UDP。 3. 进行工作负载绑定，选择在步骤一中创建的Deplyoment进行绑定。 7. 创建完成后，您可以在服务页面下对已有服务进行更新、删除以及查看YAML等操作。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

代理的限制与约束 额度限制 1. 代理的任务数量限制 ：每个代理上最多可以下发50个迁移任务，超过限额请新建代理或删除不需要的任务后，再下发新任务。 2. 代理的并发任务数量限制 ：每个代理最多可同时执行12个迁移任务（zmsmaster服务配置文件中修改），超过限制的任务将会排队。 使用限制 1. 工作节点数量 ：建议单个迁移集群内worker节点的数量不超过10个为最佳。 2. 失败对象列表文件的存放限制 ：失败对象列表文件最多存放10万个失败对象，但任务重试可重试所有失败对象。例如：您本次任务有失败对象12万个，您在失败对象列表文件中只能查询到10万个失败对象，但您对该任务进行失败重试，迁移任务会重试迁移失败的全部12万个对象。 3. 运行代理的资源占用 ：代理执行迁移任务时，会占用部署机器的CPU、内存、网络带宽等资源，请确保部署机器上没有您的其他业务系统，避免影响业务。 注意事项 1. zmsmaster服务第一次启动时必须在配置文件中填写注册码，后续填不填均可。 2. 半托管Agent服务启动后，ZMS服务的控制台需要12min时间才能同步状态，您可以在“对象存储迁移迁移任务代理列表”中查看已部署代理的状态。 3. 修改半托管Agent服务配置文件后，需要重启对应的服务，配置才能生效。 4. 若代理某个工作节点始终处于“错误”状态，请按如下步骤排查： 1. 检查该节点zmsworker服务状态 2. 检查该节点与zmsmaster服务节点网络联通性（注意是否有安全组、防火墙阻止相关端口访问） 5. 为了防止非预期的任务自动执行，zmsmaster服务重启后，该半托管Agent上所有正在执行的任务状态（包含：“排队中”、“迁移中”）都会被置为 “暂停” 状态。 6. 任务状态变为 “任务结束 存在失败对象” 后，失败对象列表的文件上传到目的桶中需要一定耗时。若长时间后目的桶中仍没有失败对象列表的文件，可能有如下两种情况： 1. 生成成功但上传失败 ：失败列表文件可以在代理的zmsmaster服务节点安装目录ZMSfailedfiles文件夹下找到； 2. 生成失败 ：本地与目的桶均没有该任务的失败列表文件。 无论何种情况，该任务均可重试，重试仅上传上次执行失败的对象。 7. 请勿随意删除zmsagent安装目录下的文件，否则可能造成该代理不可用。 8. 若出现zmsmaster服务启动失败，报错为网络问题造成的 “Error when starting ZMSMaster: Connect to RabbitMQ failed.”，可稍等两分钟后进行重新启动，若长时间后重启仍失败，请联系天翼云技术人员处理。 9. 若出现zmsworker服务长时间占用内存过高的情况，可以通过重启zmsworker服务解决。 10. 迁移服务传输信息都会进行加密处理，但为了避免其他人伪造您的Agent登录造成信息被恶意盗用的情况，每次下发任务前，请确保您自己部署的Agent在正常运行。 11. 运行日志：代理运行日志保存在安装目录log文件夹下，联系天翼云技术人员处理问题时请提供该目录。 12. 部署代理节点时，请务必正确配置 masteraddr 与 workaddrs 两个核心参数，参数配置错误将直接导致 zmsmaster 与 zmsworker 间的通信链路异常，进而影响整个集群的正常运行。若 workaddrs 参数配置有误，zmsworker 节点将无法与主节点 zmsmaster 建立连接，导致主从节点通信彻底中断；若 masteraddr 参数配置错误，即使 zmsworker 节点完成数据迁移任务，也无法向主节点上报任务的实际执行状态，造成任务状态丢失或同步异常。

本文主要介绍产品优势。 分布式消息服务Kafka完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 您只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明 Kafka实例兼容开源社区Kafka 1.1.0、2.3.0和2.7版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL（Simple Authentication and Security Layer）认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka实例支持跨AZ部署，代理部署在不同的AZ，进一步保障服务高可用。不同AZ之间基于Kafka ISR（insync replica）进行数据同步，Topic需要选择数据多副本并且将不同副本分布到不同的ISR上，在ISR正常同步状态下，故障RPO（Recovery Point Objective）趋近于0。 无忧运维 云服务平台提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数、副本数。

本章节介绍了如何创建DRS实例，并将本地Oracle上的testinfo数据库迁移到云数据库GaussDB 实例中testdatabaseinfo数据库中。 迁移前检查 在创建任务前，需要针对迁移条件进行手工自检，以确保您的迁移任务更加顺畅。 在迁移前，您需要参考入云使用须知获取迁移相关说明。 创建迁移任务 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。选择目标实例所在的区域。 3. 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据复制”。 4. 左侧导航栏选择“实时同步管理”，单击“创建同步任务”。 5. 配置同步实例信息。 a) 选择区域，项目，填写任务名称。 b) 配置迁移任务的类型，选择目标实例和子网等。 c) 单击“开始创建”。 6. 配置源库及目标库信息。 a) 填写源库的IP、端口、用户、密码等信息。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 b) 填写目标库的账户和密码。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 c) 单击“下一步”，仔细阅读提示内容后，单击“同意，并继续”。 7. 设置同步。 a) 在源库选择需要迁移的数据库和表。本次实践中选择“ testinfo” 中的 “DATATYPELIST” 表。 b) 选择完成后，可以设置迁移后是否重新命名库名和表名。 c) 本次实践将表名重新命名为“ DATATYPELISTAfter ”。 注意重新命名时不要使用特殊符号，否则会导致迁移后执行SQL语句报错。 d) 确认重命名设置内容，单击“下一步”。 8. 高级设置。 本页面内容仅做确认，无法修改，确认完成后单击“下一步”。 9. 数据加工。 在该页面可以对迁移的表进行加工。包括选择迁移的列，重新命名迁移后的列名，本次实践将“ COL01CHARE ”重新命名为“ newline ”。 a) 选择需要加工的表。 b) 编辑“COL01CHARE”列。 c) 将“COL01CHARE”重新命名为“newline”，单击“确定”。 d) 单击“下一步”。 10. 预检查。 a) 所有配置完成后，进行预检查，确保迁移成功。 b) 对于未通过的项目，根据检查结果中的提示信息修复，修复完成后，单击“重新校验”，直到预检查通过率为100%。 c) 预检查全部通过后，单击“下一步”。 11. 任务确定。 a) 检查所有配置项是否正确。 b) 单击“启动任务”，仔细阅读提示后，勾选“我已阅读启动前须知”。 c) 单击“启动任务”，完成任务创建。 12. 任务创建成功。 任务创建成功后，返回任务列表查看创建的任务状态。

本节介绍如何添加自定义IPS特征。 CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 注意 自定义的特征建议具体化，避免太宽泛，否则可能会导致大部分流量匹配到该特征规则，影响流量转发性能。 约束条件 仅“专业版”支持自定义IPS特征。 最多支持添加500条特征。 自定义的IPS特征不受修改基础防御防护模式的影响。 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。 自定义IPS特征 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。 5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。 参数名称 参数说明 名称 需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过255个字符。 风险等级 设置特征的风险等级。 攻击类型 选择特征的攻击类型。 影响软件 选择受影响的软件。 操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 源端口 “源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 目的类型 选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 目的端口 “目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 动作 防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。 内容 特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。 6. 单击“确认”，完成添加IPS特征。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

通用型 提供均衡的计算、存储以及网络配置，支持挂载可弹性扩展的云硬盘，满足资源专享、网络隔离、性能有基本要求的业务场景：如数据库、企业ERP系统、容器、大数据计算等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.c6s.xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 192GiB 无 SDI3.0 physical.c6s.3xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 384GiB 无 SDI3.0 physical.c6sd.3xlarge 大数据存算分离 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,3.0 GHz） 384GiB 43.2T NVMe SDI3.0（225GE） physical.s6.xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 无 SDI3.0（225GE） physical.s6.3xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 无 SDI3.0（225GE） 本地存储型 系统盘和数据盘均使用本地磁盘，针对数据量大，对计算性能、稳定性、实时性等要求很高的业务场景：如大数据、分布式缓存等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.d6.xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 1210TB SATA HDD SDI3.0（225GE） physical.d6.3xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 1210TB SATA HDD SDI3.0（225GE）

查看调用链详情 1. 在容器应用详情左边导航栏中选择“应用监控。 2. 在顶部菜单栏中选择“调用链查询”。 3. 在应用列表中选择您想查看的应用，点击「 应用名称 」打开新的应用详情链接。 4. 点击TraceID，打开Trace详情弹窗。 具体使用说明可参考天翼云官网的应用性能监控​>用户指南​>Trace详情的文档。 查看日志 1. 在容器应用详情左边导航栏中选择“应用监控“。 2. 在顶部菜单栏中选择“调用链查询”。 3. 在应用列表中选择您想查看的应用，点击应用名称打开新的应用详情链接。 4. 点击TraceID，打开Trace详情弹窗。 5. 右侧点击“查看日志”，跳转到“云日志服务”界面查看日志详情。 监控概览 以应用为维度，统计整个应用的关键指标，帮助您快速掌握应用的整体状况。 1. 在容器应用详情左边导航栏中选择“应用监控“。 2. 在顶部菜单栏中选择“监控概览”查看相应信息。 具体使用说明可参考天翼云官网的应用性能监控​>用户指南​>监控概览的文档。 应用拓扑 以应用为维度，进行可视化拓扑展示。 1. 在容器应用详情左边导航栏中选择“应用监控“。 2. 在顶部菜单栏中选择“应用拓扑”查看相应信息。 具体使用说明可参考天翼云官网的应用性能监控​>用户指南​>应用拓扑的文档。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

应用场景 数据快递是一种海量数据传输解决方案，支持 TB 到 PB 级数据上云，通过硬盘（外置 USB 接口），向并行文件传输大量数据，解决海量数据传输网络成本高、传输时间长等难题。 智算场景：AI 场景的素材数据、原型数据等需要寄送到数据中心，投喂给智算平台，提升数据质量和模型效果。 原始数据迁移：把基因、石油、气象、IOT 等原始数据迁移到并行文件服务。 离线备份数据：将客户完整备份或增量备份发送到并行文件服务，实现可靠的冗余离站存储。 注意 专属资源的客户，拥有独立的机房设备，可采用了邮寄硬盘到存储机房的方式。 准备工作 客户需要自助完成迁移数据存储到硬盘等存储介质上，建议客户将小文件压缩成大文件后再进行数据迁移。 存储介质邮寄到机房后，联系运维人员将硬盘插在可连接HPFS客户端的物理机上作为迁移机器。需要提前和运维人员确认硬盘数量和迁移服务器网络是否和HPFS互通。 操作步骤 1. 客户将硬盘快递到云公司机房的专属资源池集群。 2. 机房配置单独的数据迁移服务器用于读取客户硬盘数据。数据拷贝服务器通过网闸与天翼云资源池隔离。 3. 客户硬盘插入到拷贝服务器后，先进行安全扫描，确保客户数据无安全隐患。此前步骤，网闸处于关闭状态 4. 打开网闸，将客户硬盘数据拷贝到云内服务器上。 5. 与客户联系确认数据准确。 6. 关闭网闸。 7. 在数据拷贝服务器上，按客户要求将硬盘数据销毁和硬盘快递寄回。

对象存储资源包当月未用完的资源包用量是否会结转到下个月？ 当月未使用完的额度不会累计到下个月，会按订购周期重置，即购买后每月同一天24:00:00会重置资源额度。 欠费停服后，对象存储控制台能否访问文件及下载文件？ 欠费后天翼云对象存储服务会自动停止，对象存储数据将无法读写，您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云对象存储系统的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用天翼云对象存储服务，请务必及时删除存储于对象存储上的数据。 对象存储开通后就会收费吗？ 开通对象存储服务不会收费，只有您开始使用才会产生费用。 桶内无对象，为什么还会产生存储费用？ 如果您的存储桶内没有对象，但仍然产生存储费用，可能是由以下原因导致： 已删除对象未完全清理：若您开启了多版本管理，当您删除存储桶中的对象时，并不会立即彻底删除，而是存储在历史版本中。这可能会导致在删除对象后仍然产生存储费用。 碎片或残留数据：即使桶内没有明确的对象，也可能存在一些碎片或残留数据。这些碎片可能是由于过去的操作或请求导致的。您可以通过碎片清理删除残留数据。

本节介绍划词工具的使用方法。 划词工具适用于在办公场景中，当用户在文档、网页等内容里看到需要进一步处理（如搜索、翻译、生成相关内容等）的文字时，通过划选文字，快速调用工具进行操作，提升信息处理效率，比如在阅读资料时划选陌生概念进行搜索，或者划选外文进行翻译等。 1、开启关闭划词工具：在设置划词工具页面，可以开启或者关闭划词工具。 方式一：划词操作 2、划词搜索 / 翻译 / 生成等，在文档、网页等界面中，用鼠标划选需要处理的文字内容。划选后，会弹出划词工具栏，根据需求点击 “搜索”“翻译”“生成” 等相应功能按钮，即可对划选文字进行对应操作，比如点击 “搜索”，会跳转到搜索页面展示相关结果；点击 “翻译”，会显示翻译后的文字内容。 2、划词生成内容插入：划选文字后，在划词工具栏选择 “生成” 相关功能，设置好生成内容的类型（如文案、总结等）。 3、生成内容后，可点击 “继续提问” 按钮，可以进入云智助手中继续对话。 方式二：系统右键菜单入口 1、唤起右键菜单；在弹出的右键菜单中，找到划词“问问AI”功能，点击。 2、在对话页面，文件列表中，出现对应选择的文件，进行解析完成后可引用文件进行提问。

本文向您介绍息壤智算集群列表,帮助您了解息壤智算集群的基本情况。 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。 2. 集群列表页可以查看已创建的息壤智算集群信息。 3. 可以通过输入集群的名称对集群进行过滤。 4. 操作栏可对集群进行重试配置、删除、停用、启用操作。 5. 集群状态。 控制台状态 状态属性 状态说明 可进行操作 创建中 中间状态 指集群资源创建过程中的状态。 创建失败 稳定状态 指集群控制面云主机、ELB下单失败。 删除 配置中 中间状态 指集群资源已创建成功，开始配置安装控制面及各组件过程中的状态。 配置失败 稳定状态 创建VPC，创建集群等操作，可以重试操作。 重试配置、停用 运行中 稳定状态 集群组件启动成功，各组件正常运行，集群处于运行中的状态 。 停用 异常 稳定状态 指集群组件异常状态，包括集群控制面异常，组件状态异常等等。 停用、删除 停用中 中间状态 正在对集群控制面实例进行关机。 停用失败 稳定状态 集群控制面实例未能全部关机。 停用 已停用 稳定状态 集群控制面实例已全部关机成功。 启用、删除 启用中 中间状态 正在对集群控制面实例进行开机。 启用失败 稳定状态 集群控制面实例未能全部开机。 启用、删除 删除中 中间状态 删除过程中的状态。 删除失败 稳定状态 控制面资源已完成退订，但是删除集群信息时失败的状态，可以再次删除。 删除

本节主要介绍如何使用API挂起卷。 此操作用来挂起HBlock上云卷。 挂起卷适用于“多集群轮流写入同一上云卷”的场景，例如：A集群把卷挂起后，B集群立即原地还原并写入新数据；待B集群再次挂起，A集群恢复卷即可直接看到B集群的最新写入，实现“一写一挂、交替接管”。 注意 挂起后将立即冻结该卷的所有读写请求。请确保卷的所有数据已持久化，即如果卷已经被客户端挂载，需确保客户端的数据都已经同步到卷上。恢复前，依赖此卷的业务将不可用。 卷在挂起状态下，仅允许挂起、修改卷配置、修改上云配置、恢复、删除、查询。 卷处于Suspended、Suspending、SuspendFailed状态时，不支持读写。 挂起卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 仅卷处于Normal、Suspended、Suspending、SuspendFailed状态时，才可以执行此操作。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/suspend HTTP/1.1 Date: date ContentLength: length Host: ip:port Authorization:authorization { "force": force } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要挂起卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 force Boolean 是否强制挂起卷。 注意 强制挂起卷，会产生本地数据未被上传到云端的风险，请谨慎操作。 取值： true：强制挂起卷。 false：不强制挂起卷。 默认值为false。 否

前提条件 1. 已在天翼云应用托管中成功部署 OpenClaw 应用实例，且实例状态为运行中。 2. 开发自定义 Skill 时，需遵循 OpenClaw 官方的 Skill 开发规范。 安装方式 方式一：通过对话安装 技能商店中的 Skill 该方式为最便捷的安装方式，直接通过与 OpenClaw 的对话交互，即可完成技能商店中 Skill 的安装。 1. 进入 OpenClaw 的对话界面，向 OpenClaw 发送安装指令，指令内容为从技能商店安装 {技能名称}。 2. OpenClaw 将自动完成技能的搜索、下载与安装流程。 3. 安装完成后，可在 OpenClaw 的技能管理页面查看已安装的 Skill，页面将展示技能名称、技能描述及所属空间等信息，可在该页面管理技能可用性及 API 密钥注入。 方式二：执行命令安装技能商店中的 Skill 通过天翼云应用托管控制台，执行命令安装技能商店中的 Skill，适用于需要手动管控安装过程的场景。 1. 登录天翼云应用托管控制台OpenClaw 应用实例详情页，在组件概览tab下，实例管理中找到对应实例，点击【终端】入口，进入操作界面。 2. 在终端中执行以下安装命令，将 {技能名称} 替换为技能商店中实际的 Skill 名称，执行命令如下，等待命令执行完成。 plaintext npx clawhub@latest install {技能名称} 3. 安装完成后，在 OpenClaw 的Skills管理页面刷新，即可看到已安装的Skill。

本文主要介绍支持UEFI启动方式的操作系统版本。 云主机的启动方式包括BIOS启动和UEFI启动，二者区别请参见UEFI启动方式与BIOS启动方式有哪些区别。 支持UEFI启动方式的操作系统版本如下表所示。 操作系统类型 操作系统版本 :: Windows Windows Server 2019 Datacenter 64bit Windows Windows Server 2019 Standard 64bit Windows Windows Server 2016 Standard 64bit Windows Windows Server 2016 Datacenter 64bit Windows Windows Server 2012 R2 Standard 64bit Windows Windows Server 2012 R2 Datacenter 64bit Windows Windows Server 2012 Essentials R2 64bit Windows Windows Server 2012 Standard 64bit Windows Windows Server 2012 Datacenter 64bit Windows Windows 10 64bit Ubuntu Ubuntu 19.04 Server 64bit Ubuntu Ubuntu 18.04 Server 64bit Ubuntu Ubuntu 16.04 Server 64bit Ubuntu Ubuntu 14.04 Server 64bit Red Hat Red Hat Linux Enterprise 7.4 64bit Red Hat Red Hat Linux Enterprise 7.3 64bit Red Hat Red Hat Linux Enterprise 7.1 64bit Red Hat Red Hat Linux Enterprise 7.0 64bit Red Hat Red Hat Linux Enterprise 6.9 64bit Red Hat Red Hat Linux Enterprise 6.6 32bit Red Hat Red Hat Linux Enterprise 6.5 64bit Oracle Linux Oracle Linux Server release 7.4 64bit Oracle Linux Oracle Linux Server release 6.9 64bit openSUSE openSUSE 42.1 64bit SUSE SUSE Linux Enterprise Server 12 SP5 64bit SUSE SUSE Linux Enterprise Server 12 SP1 64bit SUSE SUSE Linux Enterprise Server 11 SP3 64bit Fedora Fedora 29 64bit Fedora Fedora 24 64bit Debian Debian GNU/Linux 8.8.0 64bit CentOS CentOS 7.6 64bit CentOS CentOS 7.5 64bit CentOS CentOS 7.4 64bit CentOS CentOS 7.0 64bit CentOS CentOS 6.9 64bit CentOS CentOS 6.6 64bit EulerOS EulerOS 2.8 64bit EulerOS EulerOS 2.5 64bit EulerOS EulerOS 2.3 64bit EulerOS EulerOS 2.2 64bit openEuler openEuler 20.03 64bit 中标麒麟 NeoKylin V7 64bit 统信 UOS 20 64bit