本文介绍如何查看算力专网站点的全息视图。 前提条件 订购算力专网前，请先确认已满足以下条件： 已经在“订购算力专网”页面完成算力专网站点的创建。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“网络>算力专网”，进入算力专网控制台。 4. 单击左侧列表中的“云网客户全息视图”按钮，进入云网客户全息视图页面，可以查看同一VPN网号下的所有电路分布情况以及云资源池主机情况、内存利用率等关键指标情况，包括各条电路分钟级的流量监测以及告警提示。 5. 单击云网客户全息视图中左侧业务列表中的电路代号，进入目标网络的组网视图，可以查看该VPN平面下的所有电路连接状态以及云网全量设备的拓扑信息。 6. 将鼠标悬浮到设备图标上，可以查看当前设备的重要配置参数。 7. 单击设备图标，可以查看当前设备的流量和告警等信息。

本章节会介绍如何将单机实例转为主备实例。 操作场景 关系型数据库支持数据库单机实例转为主备实例。在保留原实例资源的情况下提高了实例的可靠性。单机转主备实例操作对主实例业务没有影响。 主备实例可实现自动故障倒换，备机快速接管业务。建议您将主备实例选择到不同的可用区，享受跨可用区，同城容灾的高可用服务。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择单机实例，单击“操作”列的“更多 > 转主备”，进入“转主备”页面。 5. 在转主备时，您只需选择“备可用区”，其他信息默认与主实例相同。确认信息无误，单击“提交”。 6. 单机转主备创建成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 7. 在实例列表的右上角，单击刷新列表，可查看到单机转主备完成后，实例状态显示为“正常”，“实例类型”显示为“主备”。

本章主要介绍概述 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云主机上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图1 通过内网连接实例 步骤一： 创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二： 设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三： 通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

功能分类 功能名称 功能描述 相关文档 域名管理 批量配置域名 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 域名管理 域名操作工单 域名操作工单，指的是全站加速域名管理中的工单，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 创建/删除标签和标签组 客户控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同归类属性的标签进行分类管理。客户可自助在控制台上创建/删除标签和标签组。 标签管理 域名绑定标签 标签为域名分类管理工具，通过给域名绑定标签功能，用户可以对具有相同属性的域名进行分类管理。 标签管理 域名解绑标签 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。如果标签已不再适用于您当前某个或多个域名的用途，您可以解绑域名标签。 标签管理 使用标签管理域名 在完成域名绑定标签后，您在日常运营时，就可以使用标签快速筛选对应的域名，进行分组管理。 标签管理 使用标签筛选数据 在完成域名绑定标签后，在日常运营时，如果您需要查询某一属性的域名的数据，就可以基于标签筛选相关域名，查询对应的数据。 基础配置 加速类型 天翼云客户控制台，提供CDN加速、全站加速等多款产品的加速类型配置，您可以根据域名的业务类型选择合适的加速类型。 基础配置 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 1.当您的域名以下行分发为主，且无websocket协议时，请选择“全站加速”域名类型。 2.当您的域名有上传业务时，请选择“全站加速上传加速”域名类型。 3.当您的域名有websocket协议时，请选择“全站加速websocket加速”域名类型。 基础配置 加速区域 天翼云全站加速支持“中国内地”、“全球加速（不含中国内地）”、“全球加速”三种加速区域的选择。 基础配置 IPv6配置 天翼云全站加速产品已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 回源配置 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源配置 动态回源策略 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求。天翼云全站加速产品根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 1.择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 2.按权重回源：根据每个源站配置的不同权重，轮询回源。 3.保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 回源配置 回源协议 回源协议指全站加速节点回源站请求资源时使用的协议。配置该功能后，全站加速节点将根据指定的协议回源。全站加速支持HTTP回源协议，HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 回源配置 回源加密算法 回源协议为HTTPS协议时，全站加速默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 回源配置 回源端口 回源端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，全站加速在回源时根据HOST信息去对应站点获取资源。 回源配置 回源HOST带端口 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源HOST带端口功能，全站加速回源时可以在回源HOST中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 回源配置 回源SNI 如果您的源站IP绑定了多个域名，且全站加速回源协议为HTTPS时，需配置回源SNI，在回源SNI内指明所请求的具体域名，并使服务器根据该域名正确地返回对应的SSL证书。 回源配置 回源URI改写 回源URI改写可以实现在用户请求需要回源时进行URI改写， 全站加速节点向源站发送回源请求的时候使用改写后的URI。 回源配置 回源参数改写 回源参数改写，改写的是回源请求URL的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 回源配置 Common Name白名单 开启Common Name白名单功能后，全站加速节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 回源配置 回源302/301跟随 配置302/301跟随回源功能后，全站加速节点会代替用户去处理源站响应的302/301状态码内容，即全站加速节点会直接跳转到源站302/301响应中的Location地址去请求对应资源，不会把源站响应的302/301跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源配置 Range回源 Range回源，是指节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给全站加速。Range回源功能开启后，全站加速节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 回源配置 回源超时时间设置（新） 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源配置 分区域分运营商回源 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 回源配置 区分ipv4/ipv6协议回源 如果您的域名既有ipv4源站，又有ipv6源站，可以配置区分ipv4/ipv6协议回源，可实现ipv4协议的客户端回ipv4的源站，ipv6协议的客户端回ipv6的源站。同时也可基于客户实际需求，设置V4和V6用户按指定权重回对应V4和V6源站。 回源配置 指定源站回源HOST 当您的加速域名配置了多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云全站加速产品在回源时会根据配置的回源HOST信息去访问不同站点的资源。 回源配置 高级回源 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 回源配置 私有Bucket回源 回源地址使用天翼云媒体存储【即对象存储（融合版）】并且Bucket为私有模式的场景。 证书管理 在全站加速控制台上可以新增/查看/删除https证书，也可以替换已过期的证书。 HTTPS相关配置 HTTPS配置 在全站加速控制台上可以启用/停用域名的https开关，上传https证书。 HTTPS相关配置 国密HTTPS 天翼云全站加速产品支持SM2（椭圆曲线公钥密码算法）和SM3（杂凑算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 HTTPS相关配置 HTTP2.0配置 HTTP/2也被称为HTTP 2.0，相对于HTTP 1.1新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决了在HTTP 1.1中一直存在的问题，优化了请求性能，同时兼容了HTTP 1.1的语义。 HTTPS相关配置 强制跳转 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云全站加速产品支持配置HTTP和HTTPS强制跳转，适用场景： 1、已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 2、对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTPS请求强制跳转为HTTP请求。 HTTPS相关配置 OCSP Stapling 启用OCSP Stapling功能后，OCSP信息查询的工作将由全站加速的服务器完成。全站加速服务器通过低频次查询，将查询结果缓存到服务器中（默认缓存时间60分钟）。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，节省了用户验证时间。 HTTPS相关配置 HSTS配置 开启了HSTS后，当您的域名在全站加速产品开启HTTPS安全加速时，在浏览器输入HTTP协议开头的URL链接，用户请求访问到全站加速节点上的时候，在配置了HTTP协议跳转HTTPS协议的情况，全站加速节点会将该HTTP请求301或302重定向到HTTPS，此时全站加速节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问全站加速节点，此后浏览器将直接使用HTTPS协议访问全站加速节点，不再需要HTTP协议强制跳转HTTPS协议了。 HTTPS相关配置 TLS协议版本 天翼云全站加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3。 HTTPS相关配置 HTTPS无私钥驻留加速 通常情况下，HTTPS协议的域名，如果需要在全站加速平台配置加速服务，需要将HTTPS公钥和私钥部署到全站加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到全站加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS相关配置 批量HTTPS证书配置 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 HTTPS相关配置 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 HTTPS相关配置 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 缓存配置 缓存过期时间 缓存过期时间指源站资源在全站加速节点缓存的时长，达到预设时间，资源将会被全站加速节点标记为失效资源。如果客户端向全站加速节点请求的资源已经失效，全站加速节点会回源站获取最新资源并缓存到全站加速节点上，供其他请求使用。 全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 缓存配置 状态码过期时间 全站加速节点从源站获取资源时，源站会返回响应状态码，您可以在客户控制台上配置状态码过期时间，当客户端再次请求相同资源时，由全站加速节点直接响应状态码，不会触发回源，减轻源站压力。当状态码在全站加速节点上的存储时长超过设置的过期时间，缓存的状态码会失效，此时针对同一资源的请求需要回源。配置状态码过期时间主要适用于源站响应了异常状态码的情况下，例如4xx、5xx。正常情况下全站加速节点成功从源站获取到所请求的资源，即源站响应了2xx状态码时，会按照天翼云全站加速缓存规则及优先级进行缓存。如果源站无法迅速响应所有状态码（例如非2xx状态码），且不希望所有请求全部由源站响应，那么可以配置状态码过期时间，由全站加速节点直接响应状态码，减轻源站压力。 缓存配置 状态码过期时间（源站优先） 如您希望在源站响应特殊状态码并携带相关缓存头的情况下，源站相关缓存头优先级更高，无相关缓存头时才按全站加速设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存配置 缓存key设置 通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 缓存配置 跨域资源共享 跨域资源共享，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 头部修改 HTTP响应头 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。通过配置自定义HTTP响应头，当用户请求加速域名下的资源时，全站加速节点返回的响应消息会携带您配置的响应头，从而实现特定功能。常用场景包括：告知客户端全站加速节点响应文件的资源类型，例如添加响应头ContentType: text/html，告知客户端全站加速节点响应文件的格式是HTML格式。当用户请求全站加速节点上某个域名的资源时，可以在全站加速节点返回的响应消息中配置自定义响应头，以实现跨域访问。 头部修改 回源HTTP请求头 当全站加速节点请求回源站拉取资源时，源站可获取到回源请求头中携带的信息。您可以通过该功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。例如，通过XForwardFor头部携带真实客户端IP至源站。 头部修改 回源HTTP响应头 如果您需要改写用户源站响应报文中的HTTP Header，可以通过配置回源HTTP响应头实现。可根据您的实际业务需求，选择添加、修改、删除回源HTTP响应头。 文件处理 文件压缩 介绍Gzip和Brotli压缩算法及配置方式。 文件处理 图片处理 开通图片处理功能后，全站加速可以在回源节点上对客户原始图片做自适应WEBP、自动瘦身，或通过客户端携带的URL参数进行缩放、旋转、裁剪、格式转换等处理后进行分发，并缓存在全站加速节点，使得源站保留原图即可；免去源站对图片的各种处理，降低源站压力，节省源站存储空间，同时提升图片处理响应速度。 高级配置 错误页面自定义 当页面访问出错时，客户端会显示默认错误页面，例如404 Not Found。默认的报错页面通常不美观，会带给用户不好的体验。为了帮助客户优化用户体验，全站加速节点支持当出现指定错误码的时候，能够让用户跳转到客户自定义页面的功能。 高级配置 访问URL重定向 当客户源站的内容存放路径发生了变更，全站加速节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要全站加速节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向全站加速节点发起访问，确保用户能获得正确的内容。 访问控制 IP黑白名单 IP黑/白名单功能通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 访问控制 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站加速会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站加速会返回资源链接；拒绝访问请求，全站加速会返回403响应码。 访问控制 UA黑白名单 可以通过配置访问的UserAgent头部来对访客身份进行识别和过滤，拒绝非法访问。全站加速通过对用户 HTTP 请求头中的 UserAgent 进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 访问控制 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 访问控制 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云全站加速平台上配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 访问控制 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 访问控制 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 访问控制 有序回源 全站加速的有序回源功能是一种流量控制方法，用于大量请求并发回源时的排队管理。 访问控制 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 访问控制 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 页面优化 html页面优化 置了页面优化功能后，全站加速产品会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 页面优化 html禁止操作 html禁止操作，支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。 视频相关 视频拖拉 视频点播网站或应用，通常都会提供视频拖拉能力，用户可以随意拖动播放器进度条到想要的位置。使用全站加速后，您可以通过配置视频拖拉功能，支持用户的视频拖拉请求。 视频相关 视频试看 视频点播网站或应用，除免费视频外，通常还会有一些精品付费视频。为吸引用户观看，网站往往会允许用户免费试看一定时间的内容，例如60s或是更短时间。使用全站加速后，视频网站仍可通过全站加速节点来实现视频试看功能。 视频相关 HLS标准加密改写 LS标准加密改写功能，是指全站加速节点回源获取到M3U8文件内容后，改写其中的EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 上传加速 天翼云全站加速提供的上传加速服务，提供了一种针对用户上行传输全程加速的整体加速方案。使用本方案后，用户上传的内容将自动适配到最近的节点，节点接收到终端数据后，天翼云全站加速通过自研技术将用户上传的内容快速上传到源站。 websocket加速 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 QUIC协议 天翼云全站加速产品开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 云备源 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 高性能网络 高性能网络是全站加速产品的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 业务告警 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 数据分析 用量分析 全站加速控制台的【数据分析】【用量分析】模块可以展示客户的带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商等指标。 数据分析 热门分析 全站加速控制台的【数据分析】【热门分析】支持三个月内、最长时间跨度为一个月的热门数据统计，包括TOP 100 URL、TOP 100 回源URL、热门Referer、热门域名、TOP客户端IP统计，可根据访问次数优先和流量优先两种维度的排列。并支持数据下载导出，表格内容与页面一致。 数据分析 用户分析 全站加速控制台的【数据分析】【用户分析】可展示用户的区域分布、运营商分布情况。并展示每个区域/运营商的带宽、流量、访问次数。 刷新预取 创建任务 客户控制台支持自助创建不同类型（URL刷新、目录刷新、正则刷新）的刷新任务和预取任务。 刷新预取 查看任务 支持客户自定义查询刷新或预取任务的执行状态，并支持快捷跳转到创建任务页面。 日志下载 全站加速控制台的日志下载模块提供六个月内的日志下载。 诊断工具 通过诊断工具可查询指定IP是否为天翼云CDN节点IP以及对应归属地。 计费详情 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 用户自定义脚本UDFScript 客户不仅可通过自助控制台实现域名标准化配置，还可结合用户自定义脚本实现更为灵活的CDN可编程化，快速实现标准化配置无法满足的个性化需求。 BosonFaaS边缘函数 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云边缘节点上，就近生成千人千面的个性化响应结果。研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 权限管理 介绍天翼云全站加速的权限管理配置平台及具体操作方法。 API文档 全站加速控制台的API文档可供用户查看API的功能及详细的入参、回参。

SPL概述 云日志服务提供SPL语句（Semistructured Processing Language），对半结构化的日志数据做结构化处理，比如信息提取、字段操作、数据过滤等操作。SPL提供类Linux Shell脚本的管道级联功能，其中第一级管道前的表达式是数据源（可以是索引过滤条件或其他SPL语句的命名引用），后面的多级管道前后都是SPL命令表达式。 SPL语法说明 一个SPL语句由多个表达式组成，各表达式之间通过英文管道符 () 连接；一个SPL语句以英文分号 (;) 作为语句结束符。SPL语法结构如下： 语法 html sourceexpr cmdexpr cmdexpr； 参数说明 参数 说明 示例 sourceexpr 数据源。包括日志单元数据和SPL命名引用 · · $src 管道符：与Linux Shell中管道符作用类似，即管道前的指令的输出会作为管道后的指令的输入 cmdexpr 指令表达式，即SPL处理日志数据的各种表达式。 详情参考指令表达式语法。 parse typecsv raw as time,ip,level,msg 数据源 分类 场景 数据来源 说明 非命名引用 采集 采集器采集数据 使用星号（）表示将采集器采集的全部原始数据作为输入 非命名引用 数据加工 日志单元数据 使用索引过滤结果作为输入。 · 目前索引过滤条件仅支持 命名引用 SPL 通过let指令定义的命名引用 前提：其他SPL表达式已通过let指令定义了命名引用； 通过$+命名引用名称，即可解引用并将其当作数据源

云防火墙的攻击防御功能支持防护网络攻击和病毒文件，建议您及时将IPS的“防护模式”切换至“拦截模式”。 前提条件 已开启至少一项流量防护。 开启EIP流量防护请参见开启互联网边界流量防护。 开启VPC流量防护请参见开启VPC边界流量防护。 开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 提供以下几种方式： 入侵防御（IPS）：结合多年攻防积累的经验规则，针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 IPS提供四种防护模式，如需调整防护模式请参见调整IPS防护模式拦截网络攻击。 观察模式：仅对攻击事件进行检测并记录到“攻击事件日志”中，不做拦截。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。 IPS提供多类规则库，详细介绍如下表所示，不同防护模式会开启不同规则的“拦截”状态，对照表请参见[规则组随防护模式变更的默认动作对照表](

本文介绍Service概述。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

本节介绍了如何Service管理。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“PostgreSQL”。 网络类型 此处以“公网网络”为示例。目前支持可选“公网网络”、“VPC网络”和“VPN、专线网络”。 目标数据库实例 创建好的RDS for PostgreSQL实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量 该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 全量该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将用户选择的数据库对象和数据一次性同步至目标端数据库。

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编写函数代码，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编写函数代码，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 json { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

体检IP管理说明，包括添加、删除、搜索、刷新等功能。 体检IP是您在天翼云上订购的，且已绑定云主机的弹性IP（EIP），您可以根据资源池选择弹性IP，并添加到体检IP列表，后续每次体检任务，将检测体检IP列表的所有IP的安全状况。 添加体检IP 1. 点击体检IP列表右上角“添加”按钮，打开添加体检IP对话框。 2. 选择资源池，等待系统自动获取EIP信息。 注意 已在体检IP列表中且未完成绑定的EIP信息不在此显示。 资源池：选择资源池时，如果您通过下拉无法快速选择到目标资源池，您可通过输入资源池名称，快速检索所有资源池。比如您希望选择北京1资源池，则输入“北”，则可快速检索出“北XXX”资源池。 IP地址：如果您所选资源池内含有大量EIP信息，无法快速定位，同样可通过搜索功能快速检索EIP信息，搜索功能支持模糊搜索。点击“刷新”按钮，可立即刷新当前选定资源池下的EIP信息。 3. 您根据业务需求，选择需要添加至体检IP列表内的IP地址，点击“确定”，即可完成添加。 删除体检IP 单个删除：点击每条IP地址操作列的删除图标，删除一条体检IP。 批量删除：多选IP地址后，选择右上角“批量删除”按钮，快速删除多条体检IP。删除多条IP地址时，需要二次确认，点击确定后，即可完成删除操作。

操作场景 切换操作将以容灾站点最新的有效数据来创建云主机，新创建的服务器按照云主机相关标准计费。如果切换时待切换的服务器仍在运行，系统会将执行切换操作时刻之前的数据同步至容灾站点，持续写入的数据存在无法同步到容灾站点的风险。如果待切换的服务器出现故障无法同步，则可能会丢失部分数据。 切换完成后，数据不会自动反向同步（容灾站点到生产站点），保护实例处于停止保护状态，如需开始反向数据同步，需要进行反向重保护操作。 注意 切换为高危操作，切换后将会在容灾端启动业务，需要用户保证生产端业务已经停止，否则可能造成生产端和容灾端同时接管业务或业务冲突从而造成数据破坏或业务中断，需要对容灾端数据进行验证和分析时建议用“容灾演练”功能。 切换后，生产站点服务器不能继续提供业务，否则反向同步会将新写入的数据覆盖。 前提条件 保护实例已初始同步完成，并且保护实例的状态为“同步完成”或者“切换失败”。 保护实例的生产业务位于生产站点时，才能切换。 切换前需先停止生产端服务器所有业务并且所有数据已经刷盘完成。 使用须知 切换操作只在容灾站点服务器配置主网卡，如果生产站点有从网卡，切换时不会自动配置，需要在容灾站点服务器详情页面手工绑定从网卡。

本章节会介绍关系型数据库如何将按需计费转为包周期计费 操作场景 关系型数据库服务支持单个按需实例转为包周期（包年/包月）实例。由于按需资源费用较高，需要长期使用资源的按需用户可以选择对按需资源进行转包周期，继续使用这些资源的同时，享受包周期的优惠资费。 说明 运行状态为冻结、创建失败、规格变更中、扩容中的实例不支持按需实例转包周期。 专属云RDS目前仅支持按需计费。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择目标实例，单击“操作”列的“转包周期”，进入“按需转包周期”页面。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“计费信息”模块的“计费模式”处，单击“转包周期”，进入“按需转包周期”页面。 5、选择续费规格，以月为单位，最小包周期时长为一个月。 如果订单确认无误，单击“提交”，进入“支付”页面。 6、选择支付方式，单击“确认付款”。 7、按需转包周期创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 8、在实例列表的右上角，单击刷新列表，可查看到按需转包周期完成后，实例状态显示为“正常”。“计费模式”显示为“包年/包月”。

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

本节介绍了:云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

本节介绍了创建守护进程(DaemonSet)的用户指南。 基本概念 创建守护进程：即kubernetes中的“DaemonSet”，守护进程集确保全部（或者某些）节点都运行一个Pod实例，支持实例动态添加到新节点，适用于实例在每个节点上都需要运行的场景，如ceph、fluentd、Prometheus Node Exporter等。 操作场景 守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod。当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群，请参照购买集群中内容创建。 操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“守护进程”，在右上角单击“创建Daemonset”。 步骤 3 配置工作负载的信息。

保密字典能够将敏感信息与应用程序代码分离，在应用程序中安全地传递和使用敏感信息。本文介绍如何将在云应用引擎命名空间中创建的保密字典以文件方式注入到容器中。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 注入保密信息配置指引 挂载保密信息 说明 您可以在命名空间 页面提前创建好保密字典，也可以在当前区域单击创建保密字典（Secret） ，在创建保密字典面板进行创建。 展开保密字典 区域，单击+添加按钮，您可以将特定保密字典（Secret）的单个键或全部键注入容器，以将其转换为容器中的文件。保密字典项的值将作为文件的内容，您可以自定义文件的挂载路径。

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编排工作流，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编排工作流，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 plaintext { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

本节介绍了云容器引擎的产品功能。 功能特性 强大的集群管理 单集群支持数千节点规模 高性能自研网络插件，VM与容器直连互通，性能提升20% 丰富的集群插件，开箱即用 一站式容器应用管理 支持原生5种类型工作负载 内置应用模板，支持一键部署Helm应用 支持灰度发布，蓝绿发布，应用弹性伸缩 极致弹性&高效调度 支持HPA/CronHPA伸缩策略 支持基于历史指标/事件驱动的弹性伸缩 提供负载感知调度，解决原生k8s调度不均问题 企业级的安全稳定 支持3Master高可用，镜像服务高可用能力 提供集群备份恢复插件，支持多种存储介质 支持安全容器，提供镜像签名和镜像扫描 功能列表 一级分类 二级分类 功能点 功能点描述 核心功能 集群 一键快速部署 支持界面化订购，自动开通Kubernetes集群，兼容原生Kubernetes 核心功能 集群 节点管理 支持界面化进行扩缩容，支持节点标签、调度设置 核心功能 集群 命名空间 支持资源配额设置、支持网络隔离设置 核心功能 集群 运行时 支持Docker、Containerd 核心功能 工作负载 生命周期管理 支持应用创建、启停、扩缩容、注销等生命周期操作 核心功能 工作负载 工作负载 支持界面化发布有状态、无状态、守护进程、任务、定时任务等工作负载 核心功能 工作负载 多容器 支持一个Pod中发布多个容器，支持设置特权级容器 核心功能 工作负载 探针 支持界面化自定义策略检测应用的可用性 核心功能 工作负载 滚动升级 支持业务不中断平滑升级 核心功能 工作负载 亲和性/反亲和 支持主机及应用的亲和性与反亲和性调度 核心功能 工作负载 资源管控 支持容器级别的资源需求和限额设置，防止资源的浪费 核心功能 弹性调度 Pod弹性伸缩 支持自动伸缩规则设置，基于CPU/内存等资源自动伸缩应用，支持HPA、CronHPA和基于事件的弹性策略 核心功能 弹性调度 节点弹性伸缩 支持节点弹性伸缩 核心功能 弹性调度 负载感知调度 支持调度Pod时考虑节点的实际负载 核心功能 路由 多协议支持 支持TCP、UDP、HTTP以及HTTPS等协议 核心功能 路由 Service支持 支持NodePort、ClusterIP，LB等对外提供访问、支持无头服务 核心功能 路由 Ingress支持 支持Nginx Ingress 核心功能 路由 灰度/蓝绿发布 支持支持灰度/蓝绿发布，支持应用的多个版本在线运行 核心功能 配置管理 配置项 支持配置项 核心功能 配置管理 Secret 支持保密字典、凭证等 核心功能 网络 网络插件 支持高性能网络插件Calico 核心功能 网络 网络插件 支持自研网络插件CubeCNI实现容器与虚拟机网络直通 核心功能 网络 网络策略 支持容器访问策略和流控限制 核心功能 存储 多类型存储 支持Local、NFS、Ceph常见持久存储类；支持csi驱动程序，集成天翼云的云硬盘、弹性文件、对象存储等云存储 核心功能 存储 持久卷声明 支持界面化创建持久卷声明，支持监控存储使用量 核心功能 存储 持久卷 支持界面化创建持久卷，支持持久卷的动态生成 核心功能 日志管理 日志中心 支持容器日志的采集、存储和检索，支持集成三方开源日志解决方案 核心功能 监控与告警 监控中心 支持集群、节点、容器多级别的监控与告警配置，支持审计日志，支持集成三方开源监控解决方案 核心功能 系统管理 接入平台 作为平台组件对外提供服务，支持订单方式进行集群的开通、扩缩容、删除等 核心功能 系统管理 权限管理 多租户支持，租户资源隔离，用户角色授权，支持集群和命名空间的授权 高级功能 应用 插件市场 支持通过Chart对插件打包发布到插件市场，界面化一键部署监控等插件，通过插件与其他产品集成 高级功能 应用 模板市场 支持通过Chart对应用打包发布到模板市场，界面化安装部署等 高级功能 应用 有状态应用 支持挂载持久化存储，实现有状态应用容器化部署 高级功能 能力开放 OpenAPI 支持开放API，对接持续集成和私有部署系统 高级功能 高可用部署 Kubernetes高可用 支持Kubernetes高可用部署 容器镜像服务 镜像 镜像仓库 支持对接多镜像中心，支持界面化创建仓库 容器镜像服务 镜像 租户隔离 支持公开仓库的可见性及私有仓库的不可见性 容器镜像服务 镜像 镜像管理 支持管理海量镜像，支持多版本镜像 容器镜像服务 镜像 镜像收藏 支持快速检索镜像并收藏 容器安全 授权 权限管理 支持基于k8s RBAC授权 容器安全 配置安全 容器安全策略 支持SecurityContext配置

本章节介绍如何使用服务网格的能力,将应用部署到服务网格 概述 项目中有多种语言的应用，希望多语言应用也能集成监控和治理的能力。那么就需要用到服务网格的能力，下面以发布bookinfo图书系统为例，发布接入服务网格应用。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通应用性能监控 3. 您已订购一个云容器引擎 4. 您已订购服务网格 操作步骤 1. 创建应用 2. 创建容器应用实例 3. 发布应用 4. 查看监控信息 具体操作： 1. 创建 productpage/reviews/details/ratings 四个应用，技术栈选择参照下面信息进行选择。 productpage 对应 PYTHONRUNTIME reviews 对应 SPRINGBOOT details 对应 NODEJS ratings 对应 NODEJS 2. 创建容器应用实例 基本信息填写： 应用选择1中创建的应用 部署单元可多选，应用pod会均匀分配到部署单元对应的可用区。 部署配置填写： 集群选择，需要选择已经开通服务网格的集群 工作负载类型选择无状态应用 镜像类型选择demo镜像 镜像选择对应应用名称的镜像productpage ，reviews ，details ，ratings 勾选接入服务网格，若集群没有开通服务网格则无法勾选，需先开通服务网格 应用服务网格配置信息： 协议选择 TCP 服务名称同应用名称 productpage ，reviews ，details ，ratings 端口都为 9080 3. 发布应用 进入应用实例，版本信息tab栏，发布应用 将productpage ，reviews ，details ，ratings应用都进行发布 进入ratings应用终端，访问productpage应用接口。curl service ip}:9080/productpage，查看是否有请求返回是否正常，请求返回正常则应用部署成功。 4. 查看监控信息

规格名称 版本 服务内容 交付物 收费方式 标准价格 等保咨询等保二级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 20000元/次 等保咨询等保二级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 20000元/次 等保咨询等保二级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 《等保测评技术指导》 按次计费 120000元/次 等保咨询等保二级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 《差距分析评估》 按次计费 120000元/次 等保咨询等保二级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 120000元/次 等保咨询等保三级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 30000元/次 等保咨询等保三级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 30000元/次 等保咨询等保三级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 180000元/次 等保咨询等保三级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 180000元/次 等保咨询等保三级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 180000元/次 扩展包 超过20台云主机或者所处行业监管要求特殊的客户，请选择扩展包，具体需要增加多少请与天翼云安全专家沟通后确定 按次计费 5000元/个

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.在“节点管理”页签中单击某一Master节点名称，进入弹性云主机管理控制台。 4.单击页面右上角的“远程登录”。 5.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 7.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit MRS集群用户 例如, kinit admin 8.执行如下命令拷贝OBS文件系统中的程序到集群的Master节点。 hadoop fs Dfs.obs.access.keyAK Dfs.obs.secret.keySK copyToLocal sourcepath.jar targetpath.jar 例如：hadoop fs Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX copyToLocal "obs://mrsword/program/hadoopmapreduceexamplesXXX.jar" "/home/omm/hadoopmapreduceexamplesXXX.jar" AK/SK可登录OBS控制台，请在集群控制台页面右上角的用户名下拉框中选择“我的凭证 > 访问密钥”页面获取。 9.执行如下命令提交wordcount作业，如需从OBS读取或向OBS输出数据，需要增加AK/SK参数。 source /opt/Bigdata/client/bigdataenv;hadoop jar executejar wordcount inputpath outputpath 例如：source /opt/Bigdata/client/bigdataenv;hadoop jar/home/omm/hadoopmapreduceexamplesXXX.jar wordcount Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX "obs://mrsword/input/""obs://mrsword/output/" inputpath为OBS上存放作业输入文件的路径。outputpath为OBS上存放作业输出文件地址，请设置为一个不存在的目录。

2.1.1 高性能计算集群（HCC） 大模型精简版 功能定位：包含 Slurm 调度系统、Apptainer 高性能容器，实现deepseek服务一键启停。 开通步骤： 1. 登录天翼云控制台，进入“弹性高性能计算”产品页面，选择“高性能计算集群”，点击进入集群控制台。 2. 点击“创建集群”，在集群类型中选择“大模型精简版”。 3. 依次配置各项参数，包括计费模式、地域、可用区、集群名称、虚拟私有云、安全组、共享存储（ SFS 或 OceanFS）、管理节点和计算节点的对应规格、镜像、磁盘、子网、登录密码。 4. 确认所有配置无误后，提交订单并完成集群创建，等待节点纳管完成，直至集群页面显示“可用”“配置完成”状态。 2.2 NVMe 磁盘挂载配置 昇腾910B物理机默认配备2×3.2T NVMe SSD，请格式化后用于存储模型文件，提升推理性能。 需将节点的nvme1n1和nvme0n1两块 NVMe 盘分别挂载至/mnt/nvme1n1和/mnt/nvme0n1目录。 可通过以下脚本实现自动化挂载及开机自动挂载的配置： shell !/bin/bash 设备列表 devices("/dev/nvme0n1" "/dev/nvme1n1") mountpoints("/mnt/nvme0n1" "/mnt/nvme1n1") fstype"xfs" 确保 root 权限 if [[ $EUID ne 0 ]]; then echo "请使用 root 运行此脚本！" exit 1 fi for i in "${!devices[@]}"; do device"${devices[$i]}" mountpoint"${mountpoints[$i]}"

本章节介绍故障演练服务中演练任务管理功能。 概述 演练是指通过向系统的特定目标注入指定故障，并观察其影响，从而验证和提升系统可用性与韧性的过程。 新建演练 在目标应用的演练管理 页面，单击新建演练按钮，即可开始编排一个新的演练任务。 1、填写基本信息 在基本信息 页面，填写演练名称 、演练描述 和关联应用等。 说明 配置关联应用 可在当前演练任务中选择关联应用的资源进行故障演练。 2、配置演练对象 单击下一步 进入演练对象配置 页面。在此页面，可以配置一个或多个动作组，它们是故障注入的基本流程单元。 2.1 配置动作组 填写动作组名称 和描述。 单击动作组 右上角的复制图标，可以快速克隆出一个新的动作组。 说明 一个演练任务 可创建多个动作组。 2.2 添加实例到动作组 为动作组 选择一个资源类型（如弹性云主机）。 单击添加实例，在弹出的对话框中选择需要执行演练的资源对象。 说明 同一个动作组内仅可针对同一资源类型进行故障注入操作，不同资源类型可选择的实例个数也有不同的限制。 2.3 添加故障动作到动作组 在动作列表 中单击立即添加 ，选择需要注入的故障动作。 在弹出的对话框中，配置该故障动作的具体参数。

协议服务提供标准 NFS 协议访问HPFS文件系统的能力,本文介绍查询协议服务的场景说明和操作步骤。 场景说明 您可以查看文件系统下协议服务的基本信息，支持按协议服务 ID 或描述关键字查看指定的协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务 HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击协议服务页签，即可进入协议服务页面。 4. 在协议服务列表页查看所有协议服务的基本信息，参数说明如表所示： 参数 说明 协议服务 ID 协议服务的 ID，创建时自动生成，不支持修改。 状态 协议服务状态： 创建中、创建失败、可用、删除中、异常。 规格 通用型。 协议类型 NFS 协议，默认支持 NFSv3 和 NFSv4。 VPC 挂载地址 导出的 NFS 的挂载地址。 VPCE 挂载地址 若创建时选择开启终端节点（VPCE），则展示 VPCE 挂载信息，返回通常需要 1~3 分钟。 注意 如果您删除了终端节点，则 VPCE 的挂载地址将会失效。 VPC 名称/ID 协议服务绑定的虚拟私有云（VPC），VPC 的名称可以点击跳转到对应详情页面。 创建时间 协议服务的创建时间。 描述 协议服务的描述信息。 操作 仅支持删除操作。

具体步骤 首先，需进行告警规则的配置及启用，步骤同上，下文主要介绍创建共享带宽及弹性IP加入该共享带宽的步骤。 一、创建共享带宽 1. 登录网络控制台。 2. 在系统首页，单击“网络>虚拟私有云”。 3. 在网络控制台选择“共享带宽”，进入共享带宽页面。 4. 在共享带宽页面，单击“购买共享带宽”，进入订购页面，按照提示配置参数。 二、将弹性IP加入共享带宽 1. 登录网络控制台。 2. 在顶部菜单栏，选择地域。 3. 在左侧导航栏，选择“共享带宽”，进入共享带宽页面，找到目标共享带宽实例，在操作列单击添加弹性IP。 4. 在添加弹性IP对话框，根据以下信息添加弹性IP，然后单击确定 。 注意 已创建弹性IP且计费方式为按量付费。 弹性IP的地域与要加入的共享带宽的地域相同。 弹性IP与共享带宽线路类型需一致。 场景二： 场景说明 若用户当前使用按固定带宽计费的弹性IP或共享带宽实例已经达到默认的带宽配额上限，可通过提交工单的方式提升带宽配额上限，详见下方说明。 配额说明 产品 计费方式 默认配额 提升配额 弹性IP 包周期/按需按带宽计费 [1Mbps，300Mbps] 提交工单，最大值可提至2000Mbps 共享带宽 包周期/按需计费 [5Mbps，1000Mbps] 提交工单，最大值可提至2000Mbps

本节介绍集群联邦概述。 集群联邦 集群联邦基于多云容器编排能力，旨在管理跨云、跨地域场景下的多集群应用，为您提供多集群统一管理、应用部署、服务发现、弹性伸缩、故障迁移等能力。 功能优势 完全兼容Kubernetes原生API，支持从单集群到多集群零改造升级，无缝集成现有Kubernetes工具链生态。 丰富的多集群调度策略：集群亲和性调度、多集群拆分/再平衡调度，多维度的高可用部署，包括多Region、多AZ、多集群、多云供应商 。提供自动化的多集群故障优雅迁移能力，对故障集群实例进行集中式或分散式的迁移，保证服务实例不跌零 多集群流量分发：多集群Service实现跨集群的服务发现和访问。多集群Ingress提供跨集群的负载均衡和流量路由机制，支持自动切流，可自动摘除故障集群上的流量，保障服务的可用性 。 多集群弹性伸缩：基于工作负载的系统指标变动、自定义指标变动或固定的时间周期，实行多集群统一的负载伸缩策略，提升工作负载的可用性和稳定性 。 全域容器智能分析：实时监控应用及资源，采集各项指标及事件等数据以分析应用健康状态，提供多集群统一的全栈监控视图，对业务提供端到端追踪和可视化，提供集群健康诊断能力，缩短问题分析定位时间 。

本文主要介绍弹性负载均衡健康检查常见问题。 健康检查为什么会导致负载均衡器会频繁向后端云主机发送探测请求？ ELB是高可用集群部署的，集群内的所有的转发节点会同时向后端云主机发送探测请求，检查间隔用户可配，健康检查会根据检查间隔一直探测，所以每隔几秒会有访问。您可以通过修改健康检查配置的周期来控制访问后端云主机的频率。 健康检查什么时候启动？ 后端云主机新加入后，在第一个周期内随机一个时间开始检测，后续按照“检查间隔”启动。 “最大重试次数”是否包括健康检查失败的场景？ 是，最大重试次数既是健康最大重试次数，也是不健康最大重试次数。 如何处理健康检查导致的大量日志？ 可以增加健康检查间隔时间，但延长健康检查的间隔时间后，后端云主机出现故障时，负载均衡发现故障云主机的时间也会增长。 可以关闭健康检查，但关闭健康检查后，负载均衡不再检查后端云主机，一旦某台后端云主机发生故障，则无法实现访问流量自动切换至其它正常的后端云主机。 切换健康检查协议，配置方法： 进入控制台，选择弹性负载均衡，选择需要配置的实例，选择后端云主机，点击配置健康检查配置，切换健康检查协议。 但负载均衡将只检查监听端口状态，不检查HTTP状态，会导致负载均衡无法实时获知HTTP应用是否出现问题。

2.1 环境准备 2.1.1 安装Apptainer（Galaxy相关镜像环境默认已安装，可跳过此步骤） 根据操作系统类型选择对应安装方式（以Ubuntu为例）： 安装依赖 sudo aptget update && sudo aptget install y libseccompdev squashfstools 下载并安装Apptainer wget sudo dpkg i apptainer1.2.81amd64.deb 2.1.2 下载测试工具 创建工作目录并获取EvalScope容器镜像： mkdir p /root/ctyun/log cd /root/ctyun wget （需联系公有云事业部，获取sif文件） 2.2 全量测试脚本配置与执行 2.2.1 脚本参数说明 编辑 run.sh脚本（vim run.sh，可按需调整参数）： !/bin/bash 定义日志输出路径 logdir"/root/ctyun/log" 请替换为实际的日志存储路径 mkdir p "$logdir" 如果目录不存在，则创建 定义parallel的取值 parallelvalues(1 10 20 32 40 64 128) 定义inputtokens和outputtokens的取值 tokenpairs("255 256" "255 1024" "255 2048" "511 512" "511 1024" "1023 1024" "1023 2048" "2047 2048" "4095 1024" "4095 4096") tokenpairs("20480 8192") 获取当前时间戳，格式为 YYYYMMDDHHMMSS timestamp$(date +"%Y%m%d%H%M%S") 外循环：遍历inputtokens和outputtokens的取值 for tokens in "${tokenpairs[@]}"; do

智慧工地 适用于管理系统与安防系统不配套，信息化程度较低，员工管控便利性不足，无法投入大量人力保障工地现场的场景。通过纳管所有工地视频，AI算法高效识别现场情况，预防事故的发生，有效降低事故率，助力实现“云监工”。智能视图服务具备以下优势： 建设周期短，成本低廉，云端汇聚组网方式更加简单明了，可用性更强，后续运维简单可靠。 大规模部署推流接入点，就近接入，满足多种形态视频资源的稳定接入。 集成AI内容审核，进行人脸识别，人员聚集检测、车辆牌号检索等工地现场管控。 智慧零售 适用于门店分散、加盟店多、人员管理难；客流客群数据统计难，难以判断市场动向；难以判断营销活动效果的门店智慧化改造。通过视频信息的数据化采集与应用为业务运营降本增效，积累行业智慧数据，快速支撑连锁门店的运营决策，提高企业收益率。智能视图服务具备以下优势： 前端设备、平台公网/专线接入，设备统一接入与管理。 根据业务特点，随时随地播放实时流、历史流，查看截图，支持监控内容的按需播放与调取，实现远程巡店。 支持多种算法部署升级、算力弹性扩容，智能统计分析客流情况，智能预警。

本小节介绍日志审计的网络环境需求。 若日志审计绑定了EIP，在用户通过EIP访问日志审计实例之前需要配置安全组策略，编辑入向策略，才可通过EIP直接访问日志审计实例。 说明 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和日志审计实例提供访问策略。 为了保障日志审计的安全性和稳定性，在使用日志审计实例之前，您需要设置安全组，添加规则允许需访问日志审计的IP地址和端口。 日志审计实例开放端口说明 一类节点 说明 在订购时会自动生成以下安全组，保证页面访问和日志传输。 端口 协议 方向 用途 说明 514 UDP 入方向 Syslogudp采集 来源IP限制为支持上报采集的网段。 162 UDP 入方向 Snmptrap采集 来源IP限制为支持上报采集的网段。 8181 TCP 入方向 门户端口 来源IP限制为实例控制台地址，如果不开放，则无法访问Web界面。 433 HTTPS 出方向 日志审计实例心跳上报、授权许可同步到控制台 如果不开放，则会导致无法正常完成在线升级、升配操作。 53 UDP 出方向 日志审计实例心跳上报、授权许可同步到控制台需要的DNS解析 如果不开放，则会导致无法正常完成在线升级、升配操作