本章节会介绍如何什么是只读实例。 产品简介 目前，云数据库的实例支持只读实例和开通读写分离功能（自动读写分离目前在西安2、苏州、杭州、福州、广州4、石家庄资源池支持）。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。创建只读实例后，您可以开通读写分离功能，通过RDS的读写分离连接地址，写请求自动访问主实例，读请求按照读权重设置自动访问各个只读实例。 未开通读写分离时，您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有备节点），采用MySQL的原生复制功能，将主实例的更改同步到所有只读实例。只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 只读实例规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 注意 建议只读实例规格大于等于主实例规格，否则易导致只读实例创建失败、延迟高、负载高等现象。

请款合同申请 请款合同适用于购买天翼云产品前的请款，即未支付订单申请请款的线上合同。 线上申请的电子合同带有天翼云电子合同章，具有法律效力，可以直接使用。 前提条件 只有通过实名认证的客户，才可以申请线上合同。 仅适用于未支付的预付费产品订单。 操作流程 登录官网，在首页点击“管理中心费用发票与合同”，选择进入“合同管理”页面，可执行以下操作申请请款合同： 1、申请合同 进入合同管理页面，点击按钮“合同申请”。 2、选择“请款合同” 3、选择待支付订单 选择待支付的包年、包月资源申请请款合同。选择需申请请款合同的订单后，单击“下一步”。现支持选择多笔订单生成一份合同。 4、添加合同信息 确认要申请合同的订单，并添加您的合同信息。此信息即作为联系人地址、联系人姓名、联系人电话。甲方抬头系统默认为您的实名认证名称。 信息填写确认完毕后，您可以选择生成草稿合同或者正式合同。草稿合同支持下载，可预览您生成的合同内容。 5、完成 草稿合同创建成功后，您可以在完成页面下载，也可以在合同列表页找到该草稿合同进行下载。建议您预览草稿合同确认后，转正式合同。 如您发现草稿合同信息有误，可作废该草稿合同，重新申请。如草稿信息确认无误，可转为正式合同，正式合同盖有具备法律效力的电子签章。

本文带您快速熟悉开启获取客户端IP的操作步骤。 操作场景 HTTP请求和应答会在头字段携带一些信息，除了RFC 2616中定义的标准的HTTP头字段，还有一些非标准的HTTP标头可供应用程序自动添加和使用。 所有资源池均支持非标准的头字段XForwardedFor，创建监听时，XForwardedFor头字段可以获取来访者客户端IP地址。 如果您想要获取客户端的真实IP，您可以开启“获取客户端IP”功能。 注意 在四层转发TCP服务中，集群模式资源池和主备模式资源池支持通过配置TOA插件、Proxy protocol获取客户端真实源IP，具体可参考 实际情况以控制台展现为准。 在七层转发（HTTP/HTTPS）服务中，弹性负载均衡支持通过HTTP头中的XForwardedFor获取来访者真实IP。本文以下主要说明在七层转发（HTTP/HTTPS）服务中获取客户端IP的方式。 在创建监听器时开启获取客户端IP 操作步骤 1. 登录弹性负载均衡控制台。 2. 打开监听器配置向导，在负载均衡器实例页面添加监听器。 3. 在协议&监听器页面，负载均衡器协议/端口选择HTTP/HTTPS协议。 4. 开启获取客户端IP选项；开启后默认通过XForwardFor获取。 5. 点击“下一步”，按照监听器创建后端主机组的配置添加云主机，然后点击“下一步”进行负载方式&健康检查配置，并点击“立即创建‘则完成相关配置。 为已创建的监听器开启获取客户端IP

在虚拟机中制作好镜像后，还要完成下面任务才能在天翼云物理机上使用镜像。 转换镜像格式：虚拟机制作出来的镜像是qcow2格式，linux系统需要转换为天翼云物理机使用的squashfs格式，windows系统使用qcow2格式即可。 生成md5文件：使用md5sum命令生成镜像文件的md5校验和，避免传输过程中镜像损坏。 编写分区文件：不同于qcow2格式的镜像，squashfs格式的镜像中不包含分区表信息。需要使用额外的配置文件指定系统盘如何分区。这也使得修改系统盘镜像分区更灵活。 下面分别说明如何做这些任务。 1. 物理机镜像文件介绍 每个物理机镜像都需要4个镜像文件，同步至镜像服务后可使用该物理机镜像创建物理机。 1.1 Linux镜像文件 每个Linux镜像包含4个文件，镜像格式为squashfs，以CTyunOS23.01.2@2025镜像为例： 镜像文件命名规则: 镜像类型镜像版本镜像架构启动类型.squashfs 镜像类型：例如CentOS、 CTyunOS、Kylin等 镜像版本：例如 8.1、8.1@yunxiaonv535、8.1@gpu01等等 镜像架构：amd64、arm64。其中x8664设备的镜像架构名为amd64，arm设备使用的镜像架构名为arm64 启动类型：bios、uefi。其中x8664设备支持bios和uefi，具体看裸机配置（通常是uefi），arm设备支持uefi CTyunOS23.01.2@2025的4个镜像文件命名为： plaintext 文件1镜像文件：CTyunOS23.01.2@2025amd64uefi.squashfs 文件2镜像md5：CTyunOS23.01.2@2025amd64uefi.squashfs.md5 文件3镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.lvm 文件4镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.direct

本章介绍Adobe Font Manager库远程代码执行漏洞。 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。 对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 攻击者可通过多种方式利用此漏洞，包括诱导用户打开经特殊设计文档或在Windows预览窗格中查看。 漏洞编号 CVE20201020 CVE20200938 漏洞名称 Adobe Font Manager库远程代码执行漏洞 漏洞描述 对于除Windows 10之外的所有系统，成功利用远程代码执行漏洞的攻击者可以远程执行代码。 对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

安装依赖 plaintext pip3 install pahomqtt 代码示例 python import ssl import random from paho.mqtt import client as pahoclient 填入您在mqtt控制台创建的ACL账号密码。 USERNAME "yourusername" AUTHPASSWORD "yourpassword" 是否使用tls加密传输 isTls True class MQTTClient: def init(self): 填写mqtt云消息服务的接入点，去掉:{端口号}部分 self.broker "tcp://localhost" 指定连接客户端的id self.clientid "ctgmqttclienttest" self.client None def onconnect(self, client, userdata, flags, rc): 连接建立成功 if rc 0: print("Connected to MQTT Broker!") else: print(f"Failed to connect, return code {rc}") def ondisconnect(self, client, userdata, rc): 连接丢失 print(f"Disconnected with result code {rc}") 可以在这里添加重连逻辑 def onmessage(self, client, userdata, msg): 收到消息的回调 print(f"Received {msg.payload.decode()} from {msg.topic} topic") def onpublish(self, client, userdata, mid): 成功发送消息到服务端 print(f"Message {mid} published successfully") def connectmqtt(self): 创建客户端实例 self.client pahoclient.Client(clientidself.clientid) self.client.usernamepwset(USERNAME, AUTHPASSWORD) 设置回调函数 self.client.onconnect self.onconnect self.client.ondisconnect self.ondisconnect self.client.onmessage self.onmessage self.client.onpublish self.onpublish 设置TLS if isTls: 创建不验证证书的SSL上下文 context ssl.createdefaultcontext() context.checkhostname False context.verifymode ssl.CERTNONE self.client.tlssetcontext(context) 设置其他连接选项 self.client.connect(self.broker.replace("tcp://", "").replace("ssl://", ""), port8883 if isTls else 1883) self.client.loopstart()

高级配置 微服务治理 微服务治理设置服务注册与发现配置、无损上线等服务治理能力。 注册中心是在Java微服务架构中用于实现服务的注册与发现，能够屏蔽、解耦服务之间的相互依赖，以便对微服务进行动态管理的。目前平台只支持从云原生Stack中订购的注册配置中心NACOS产品实例。 无损上线是微服务治理中心产品提供的一种能力。针对应用启动的多个阶段提供了相应的保护能力，具体功能包含服务预热、服务延迟注册以及无损滚动发布等。 无损上线参数名称 无损上线参数含义 预热时长 应用实例下一次启动的预热时间。 预热曲线 基于已配置的预热时长，被预热的应用流量权重会根据配置的预热曲线呈指数型增长。 在指定预热时长内，预热曲线值越大被预热应用刚启动时分配的流量权重越小，以满足需要较长时间进行预热的复杂应用的预热需求。 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。 预热曲线设置范围为0~20。相同预热时间，预热曲线值越大，表示预热开始将接收的流量越小，临近预热结束时接收的流量增幅越大。 延迟注册时间 延迟注册到注册中心实例的时长。 无损滚动发布 通过就绪检查前完成服务注册：为应用无侵入提供54199端口用于检查微服务是否已经完成注册，如果已注册完成，端口返回200，否则返回500。 通过就绪检查前完成服务预热：为应用无侵入提供54199端口用于检查微服务是否已经完成预热，如果已预热完成，端口返回200，否则返回500。

本页介绍了关系数据库MySQL版的只读实例。 注意 I类型资源池（仅南京3、重庆2、海口2、合肥2、上海7资源池）和II类型资源池均支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 功能简介 云数据库的实例支持只读实例。在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。 只读实例为单个物理节点的架构（没有备节点），采用MySQL的原生复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步受网络延时的影响。 注意 您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 功能特点 规格可以与主实例不一致，但建议选择大于或等于主实例的规格，后续可以随时更改规格（没有时间限制），便于弹性升级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。关系数据库MySQL版服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 权限会自动同步，主实例中进行的权限调整会自动同步到备实例和只读数据库中。

前提条件 已收集需要安装Agent的所有虚拟机IP、密码，按照iplist.cfg格式整理好，并上传到已安装过ICAgent机器的/opt/ICAgent/目录下。iplist.cfg格式示例如下所示，IP与密码之间用空格隔开： 192.168.0.109 密码（请根据实际填写） 192.168.0.39 密码（请根据实际填写） 说明 iplist.cfg中包含您的敏感信息，建议您使用完之后清理一下。 如果所有弹性云服务器的密码一致，iplist.cfg中只需列出IP，无需填写密码，在执行时输入此密码即可；如果某个IP密码与其他不一致，则需在此IP后填写其密码。 批量安装功能依赖python2.7.版本，如果安装时提示找不到python请安装python版本后重试。 操作步骤 步骤 1 在已安装ICAgent的服务器上执行如下命令。 bash /opt/oss/servicemgr/ICAgent/bin/remoteInstall/remoteinstall.sh batchModeConfig /opt/ICAgent/iplist.cfg bash /opt/oss/servicemgr/ICAgent/bin/remoteInstall/remoteinstall.sh batchModeConfig /opt/ICAgent/iplist.cfg 根据脚本提示输入待安装机器的root用户默认密码，如果所有IP的密码在iplist.cfg中已有配置，则直接输入回车键跳过即可，否则请输入默认密码。 batch install begin Please input default passwd: send cmd to 192.168.0.109 send cmd to 192.168.0.39 2 tasks running, please wait... 2 tasks running, please wait... 2 tasks running, please wait... End of install agent: 192.168.0.39 End of install agent: 192.168.0.109 All hosts install icagent finish. 请耐心等待，当提示All hosts install icagent finish.时，则表示配置文件中的所有主机安装操作已完成。 步骤 2 安装完成后，在应用运维管理左侧导航栏中选择“配置管理 > Agent管理”，查看该服务器ICAgent状态。

本章节主要介绍翼MapReduce服务的术语解释。 节点 翼MR集群中每个节点即为一台云服务器，节点类型及节点功能如下所示。 节点类型 功能 master节点 翼MR集群管理节点，用于管理集群服务，主要负责ResourceManager和NameNode等控制进程的部署。master节点组默认采用反亲和技术，以此保证业务高可用性。 core节点 翼MR集群工作节点，主要负责存储和计算数据。 task节点 翼MR集群计算节点，主要负责计算数据，不存储数据（如HDFS 数据）。默认不开启，按需使用。 Doris Apache Doris是一个基于MPP架构的高性能、实时的分析型数据库，以极速易用的特点被人们所熟知，仅需亚秒级响应时间即可返回海量数据下的查询结果，不仅可以支持高并发的点查询场景，也能支持高吞吐的复杂分析场景。基于此，Apache Doris能够较好的满足报表分析、即席查询、统一数仓构建、数据湖联邦查询加速等使用场景，用户可以在此之上构建用户行为分析、AB实验平台、日志检索分析、用户画像分析、订单分析等应用。 Elasticsearch（仅存量支持） Elasticsearch是一个具备高扩展性的分布式全文检索引擎，能够近乎实时地存储、检索数据。它能集中存储您的数据，提供快速搜索、精细调整的相关性和强大的分析能力。 HBase HBase提供业务键值数据的结构化存储与检索能力，主要包括键值数据存储、键值数据查询功能，提供键值数据管理和键值数据库监测功能。兼容社区HBase接口，提供Java API，Restful接口形式。是一个分布式、数据多版本、面向列的NoSQL数据库。提供可弹性扩展的多维表格键值存储和即席查询能力。支持上亿行、可扩展列，具备强一致性、高扩展、高可用的特性。

KMS发布新的镜像版本后,您可以自行升级服务实例镜像版本。本文介绍如何升级KMS服务实例的镜像版本。 升级影响 升级时长约为30分钟，过程中可能会存在业务闪断，升级结束后自动恢复正常。因此建议您在业务低峰期进行升级。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，选择“服务管理”。 4. 在服务列表找到目标服务，点击进入服务详情页。 5. 查看镜像版本，如提示“升级版本”则表示KMS服务实例镜像可以升级，如提示“当前已是最新版 本”则表示无需升级。 6. 点击升级版本，查看新版本镜像的新功能说明，并配置升级。 说明 当前仅支持升级到镜像的最新版本，不支持指定升级到中间版本。 KMS支持如下两种升级方式： 自动升级：计划升级，设置升级时间点，到达既定时间系统自动执行升级。支持设置未来7天内的任意时间，您也可以在升级前取消当前升级计划，重新设置升级时间。 手动升级：立即升级，点击确定后立即执行升级。 7. 若您设置了自动升级，镜像版本进入等待升级状态，您可以在控制台查看具体的升级时间。若需要改变升级计划，可以点击“取消升级”，并重新配置升级计划。 8. 系统执行升级时，镜像版本状态变为“升级中”，此过程大概约30分钟。 9. 等待约30分钟后，查看镜像版本升级结果。镜像版本状态为“当前已是最新版本”，则表示升级成 功。提示“升级失败”时，请联系天翼云技术支持。

本文介绍子网ACL实例的相关功能。 子网ACL概述 子网ACL(Access Control List, ACL)是虚拟私有云网络VPC(Virtual Private Cloud, VPC)中的网络访问控制功能。可以通过自定义设置网络ACL规则，实现对子网中虚拟机实例流量的访问控制。 使用限制： 一个子网ACL实例可以关联多个子网，但一个子网同一时间只能关联一个子网 ACL。 关联子网后，子网ACL默认拒绝所有出入子网的流量。 默认放通同一子网内的流量及预留子网。 创建子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，点击左上角【创建子网ACL】。 3. 在创建子网ACL页面，配置以下参数，完成创建。 参数说明： 参数 说明 名称 输入子网ACL的名称。 描述 输入子网ACL的描述。 查看子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表，点击任意实例查看详情信息。 关联子网 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表。 3. 在子网ACL列表页点击【关联子网】进入到子网ACL详情页面。 4. 在【关联子网】页签，点击【关联子网】。 5. 勾选要关联的子网，点击【绑定】。 6. 查看子网ACL详情，显示关联的子网已完成绑定。 说明： 已被网络ACL关联的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再重新关联。 一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。

操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 单击库表恢复，并配置恢复参数。 支持按时间点 和按备份集进行恢复。您可以选择要恢复的库表，并修改或者使用默认的目标库表名。 6. 单击确定。 恢复实例Q&A 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果非运行中或异常，需要等待实例为运行中才可以进行恢复到当前实例。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 可检查目标实例的状态是否正常。 目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本，因为高内核版本的实例无法恢复到低内核版本的实例。 目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果不同，也无法恢复。 目标实例实例与源实例若备份类型为云硬盘，则需要注意目标实例与源实例的VPC需要一致，若为对象存储，则可以跨VPC恢复。 目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 目标实例如果为带只读的MGR实例，也无法进行恢复。 源实例具备tde功能，但是目标实例不具备，也将无法进行恢复。

本文主要介绍 容器引擎基础知识 容器引擎（Docker）是一个开源的引擎，可以轻松的为任何应用创建一个轻量级、可移植的应用镜像。 安装前的准备工作 在安装容器引擎前，请了解容器引擎的基础知识，具体请参见Docker Documentation。 选择容器引擎的版本 容器引擎几乎支持在所有操作系统上安装，用户可以根据需要选择要安装的容器引擎版本，具体请参见 说明 由于SWR支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 安装容器引擎 你可以根据自己的操作系统选择对应的安装步骤： Linux操作系统下安装 在Linux操作系统下，可以使用如下命令快速安装Docker的最新稳定版本。如果您想安装其他特定版本的Docker，可参考安装Docker。 curl fsSL get.docker.com o getdocker.sh sh getdocker.sh sudo systemctl daemonreload sudo systemctl restart docker EulerOS操作系统下安装 在EulerOS操作系统下，安装容器引擎的方法如下： a. 登录弹性云服务器。 b. 配置yum源。 如果您的机器上还没有配置yum源，首先配置本机的yum。 c. 安装并运行容器引擎。 i. 获取yum源里的dockerengine包。 yum search dockerengine ii. 使用yum install y命令安装上一步获取的dockerengine包，x86架构示例： yum install dockerengine.x8664 y iii. 设置开机启动Docker服务。 systemctl enable docker iv. 启动Docker。 systemctl start docker d. 检查安装结果。 docker version 回显如下类似信息，表示容器引擎安装成功。 Docker version 18.09.0, build 384e3e9

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本页介绍了三种规格文档数据库服务特性，以及新建并连接实例的操作流程。 三种规格特性及适用场景 文档数据库服务提供了集群版、副本集和单机版三种规格的实例，分别采用不同的部署架构，能够满足不同的业务场景。 集群版 分片集群提供Mongos、Shard、ConfigServer三类节点，每个Shard和ConfigServer基于副本集（每个副本集使用三节点主从模式）组成。 适用于高并发读写的场景，可以自由地选择Mongos和Shard节点的个数和配置，扩展性能及存储空间，构建不同性能的分片集群实例，满足不同的业务需求。 副本集 副本集提供不同角色的节点，一个可供读写的Primary节点，一个、三个或五个提供高可用的Secondary节点，一个隐藏的Hidden节点，0~5个只读的ReadOnly节点。 适用于需要保证高可用，读多写少的中小型业务系统，可按需增加Secondary节点和ReadOnly节点，扩展读性能。 单机版（单节点） 单机版仅部署一个节点在虚拟机上，没有高可用等高级特性，优点是性价比高。 适用于研发测试、学习培训、以及非企业核心数据存储的场景。 新建并连接数据库 1. 新建实例 根据业务需要定制相应计算能力和存储空间的实例。 2. 设置安全组 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云主机处于不同安全组时，或者使用公网连接实例时，需要配置安全组访问规则。 3. 绑定弹性IP（可选） 如果要使用公网地址连接实例，需要先申请并绑定弹性公网IP。 4. 连接实例 提供内网、公网、程序代码连接单机版（单节点）、副本集、分片集群实例的操作。

参数 是否必选 说明 基本属性 表名 是 数据表的名称。只能包含英文字母、数字、“ ”，不能为纯数字，不能以“ ”开头，且长度为1~63个字符。 别名 否 数据表的别名，只能包含中文字符、英文字母、数字、“ ”，不能为纯数字，不能以“ ”开头，且长度为1~63个字符。 数据连接 是 选择数据表所属的数据连接。 数据库 是 选择数据表所属的数据库。 模式 是 选择数据库的模式。 表描述 否 数据表的描述信息。 高级选项 否 提供以下高级选项： 选择数据表的存储方式 − 行存模式 − 列存模式 选择数据表的压缩级别 − 行存模式：压缩级别的有效值为YES/NO。 − 列存模式：压缩级别的有效值为YES/NO/LOW/MIDDLE/HIGH，还可以配置列存模式同一压缩级别下不同的压缩水平03（数值越大，表示同一压缩级别下压缩比越大）。 表结构 列名 是 填写列名，列名不能重复。 数据分类 是 选择数据类型的类别： 数值类型 货币类型 布尔类型 二进制类型 字符类型 时间类型 几何类型 网络地址类型 位串类型 文本搜索类型 UUID类型 JSON类型 对象标识符类型 类型 是 选择数据类型。 列描述 否 填写列的描述信息。 是否建ES索引 否 单击复选框时，表示需要建立ES索引。建立ES索引时，请同时在“CloudSearch集群名”中选择建立好的CSS集群。如何创建CSS集群，请参见《 ES索引数据类型 否 选择ES索引的数据类型： text keyword date long integer short byte double boolean binary 操作 否 单击 ，增加列。

当记录值有多个IP地址时，域名是如何解析的？ 当解析记录的“值”包含多个IP地址时，域名解析会返回所有的IP地址，但返回IP地址的顺序是随机的，浏览器默认取第一个返回的IP地址作为解析结果。根据大量测试数据显示，解析到各IP地址的比例接近相等。 内网DNS并发有什么限制？ 为保证内网域名的解析效率，内网DNS服务器会限制来自单个IP地址的解析流量，QPS最大不能超过2000。如果某个服务器请求DNS解析的频率特别高，超出了正常的业务访问量，即QPS超过2000，则超出部分的解析请求将会被清洗，内网DNS服务器将不会处理超出的这部分解析请求。 DNS是否同时支持IPv4和IPv6解析？ NS可以同时支持IPv4解析和IPv6解析。您可以在DNS上为域名同时添加A类型和AAAA类型的解析记录，实现IPv4和IPv6的解析。 例如，为域名example.com同时添加如下记录： 域名 记录集类型 记录集值 www.example.com A 192.168.1.2 www.example.com AAAA 2407:c080:0:ffff:ffff:fffe:0:1 怎样设置弹性云主机的私网IP的反向解析？ 反向域名解析提供通过IP地址查找域名的功能。 如果要设置ECS服务器私网IP的反向解析，可以通过在创建内网域名之后添加PTR记录集实现。 设置私网IP的反向解析，其域名格式是x.x.x.x.inaddr.arpa。 说明 inaddr.arpa是反向解析的顶级域。 例如，私网IP是192.168.1.10，其反向域名格式是10.1.168.192.inaddr.arpa。 可以创建内网域名192.inaddr.arpa，然后添加10.1.168.192.inaddr.arpa的PTR记录集来实现设置该私网IP的反向解析记录。

本章节主要介绍备份元数据。 操作场景 为了确保元数据信息安全，或者用户需要对元数据功能进行重大操作（如扩容缩容、安装补丁包、升级或迁移等）前后，需要对元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。元数据包含OMS数据、LdapServer数据、DBService数据和NameNode数据。备份Manager数据包含同时备份OMS数据和LdapServer数据。 默认情况下，元数据备份由“default”任务支持。该任务指导用户通过MRS Manager创建备份任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 需要准备一个用于备份数据的备集群，且网络连通。每个集群的安全组，需分别添加对端集群的安全组入方向规则，允许安全组中所有弹性云主机全部协议全部端口的访问请求。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“数据存放路径/LocalBackup/”是否有充足的空间。 操作步骤 创建备份任务 1. 在MRS Manager，选择“系统设置 > 备份管理”。 2. 单击“创建备份任务”。 设置备份策略 1. 在“任务名称”填写备份任务的名称。 2. 在“备份类型”选择备份任务的运行类型，“周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 创建周期备份任务，还需要填写以下参数： “开始时间”：表示任务第一次启动的时间。 “周期”：表示任务下次启动，与上一次运行的时间间隔，支持“按小时”或“按天”。 “备份策略”：表示任务每次启动时备份的数据量。支持“首次全量备份，后续增量备份”、“每次都全量备份”和“每n次进行一次全量备份”。选择“每n次进行一次全量备份”时，需要指定n的值。

本节主要介绍支持审计的关键操作列表 通过云审计服务，您可以记录与文档数据库服务相关的操作事件，便于日后的查询、审计和回溯。 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance ddsRestoreToOldInstance 创建实例 instance ddsCreateInstance 删除实例 instance ddsDeleteInstance 重启实例 instance ddsRestartInstance 扩节点 instance ddsGrowInstance 扩磁盘 instance ddsExtendInstanceVolume 重置数据库密码 instance ddsResetPassword 实例重命名 instance ddsRenameInstance 切换SSL instance ddsSwitchSsl 修改实例端口 instance ddsModifyInstancePort 创建备份 backup ddsCreateBackup 删除备份 backup ddsDeleteBackup 设置备份策略 backup ddsSetBackupPolicy 应用参数模板 parameterGroup ddsApplyConfigurations 复制参数模板 parameterGroup ddsCopyConfigurations 重置参数模板 parameterGroup ddsResetConfigurations 创建参数模板 parameterGroup ddsCreateConfigurations 删除参数模板 parameterGroup ddsDeleteConfigurations 更新参数模板 parameterGroup ddsUpdateConfigurations 绑定公网IP instance ddsBindEIP 解绑公网IP instance ddsUnBindEIP 修改标签 tag ddsModifyTag 删除实例标签 tag ddsDeleteInstanceTag 添加实例标签 tag ddsAddInstanceTag 扩容失败回退 instance ddsDeleteExtendedDdsNode 规格变更 instance ddsResizeInstance 实例解冻 instance ddsUnfreezeInstance 实例冻结 instance ddsFreezeInstance 修改内网地址 instance ddsModifyIP 修改内网域名 instance ddsModifyDNSName 设置集群均衡开关 instance ddsSetBalancer 内部通信方式切换 instance ddsSwitchInnerSsl 添加只读节点 instance AddReadonlyNode 集群开启shard/config IP instance ddsCreateIp 修改实例安全组 instance ddsModifySecurityGroup 迁移可用区 instance ddsMigrateAvailabilityZone 实例备注 instance ddsModifyInstanceRemark 可维护时间段 instance ddsModifyInstanceMaintenanceWindow 补丁升级 instance ddsUpgradeDatastorePatch 主备切换 instance ddsReplicaSetSwitchover 跨网段访问配置 instance ddsModifyInstanceSourceSubnet 实例参数修改 parameterGroup ddsUpdateInstanceConfigurations 实例导出参数模板 parameterGroup ddsSaveConfigurations 设置跨区域备份策略 backup ddsModifyOffsiteBackupPolicy 慢日志开启明文显示 instance ddsOpenSlowLogPlaintextSwitch 慢日志关闭明文显示 instance ddsCloseSlowLogPlaintextSwitch 下载错误/慢日志 instance ddsDownloadLog 实例开启审计策略 instance ddsOpenAuditLog 实例关闭审计策略 instance ddsCloseAuditLog 实例下载审计日志 instance ddsDownloadAuditLog 实例删除审计日志 instance ddsDeleteAuditLogFile 回收站策略 instance ddsModifyRecyclePolicy

本章节会介绍如何变更数据库代理的规格 操作场景 CPU/内存规格可根据业务需要进行变更，当实例的状态由“代理实例规格变更中”变为“正常”，则说明变更成功。 目前仅支持按需计费的数据库代理进行规格变更。 约束限制 主实例、只读实例和数据库代理的实例状态正常时才可进行规格变更。 当实例进行CPU/内存规格变更时，该实例不可被删除。 规格变更会重启数据库代理实例，请在业务低峰期进行规格变更。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称。 5、在“数据库代理”页面，“代理实例信息”模块的“代理实例规格”处，单击“规格变更”。 您可以根据自己的需求缩小或扩大规格。 规格变更时会提示“修改CPU/内存后，将会重启数据库代理实例。请选择业务低峰期，避免业务异常中断。” 如果切换时间选择“可维护时间段”，任务在变更期间会导致数据库代理实例重启，业务暂时中断。建议将变更时间段设置在业务低峰期，具体设置请参考设置可维护时间段。 6、进行规格确认。 如需重新选择，单击“上一步”，回到上个页面，修改规格。 按需计费模式的实例，单击“提交”，提交变更。 由规格变更产生的费用，您可在“费用中心 > 消费明细”中查看费用详情。 7、查看变更结果。 任务提交成功后，单击“返回云数据库RDS列表”，在实例管理页面，可以看到实例状态为“代理实例规格变更中”。稍后在对应的“数据库代理”页面，查看实例规格，检查修改是否成功。此过程需要13～15分钟。

本节介绍了变更备机可用区的内容。 操作场景 您可以将主备实例的备机迁移至同一区域内的其它可用区。 约束限制 RDS for MySQL 5.6、5.7、8.0版本的主备实例支持备机可用区迁移功能。 业务高峰期批量写操作可能会导致迁移失败，为确保迁移成功，请选择业务低峰期操作。 迁移期间将短暂停止DDL语句和event定时任务，请选择业务低峰期操作，避免业务异常中断。 如果备机迁移出现问题，任务中心会显示任务状态为失败，但是实例管理页面的运行状态一栏仍会显示“备机迁移中”，此时实例进入了锁保护状态，无法进行操作，您可以通过提交客服工单的方式来解决此问题。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 可用区迁移”，进入“可用区迁移”页面。 步骤 5 在“可用区迁移”页面，选择目标可用区，单击“提交”。 步骤 6 迁移可用区成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 可用区迁移过程中，状态显示为“备机迁移中”。您可以通过“任务中心”查看详细进度。具体请参见任务中心。 在实例列表的右上角，单击 刷新列表，可查看到可用区迁移完成后，实例状态显示为“正常”。 在“基本信息”页面的“可用区”处，可以查看到备机迁移后所在的可用区。 结束

功能名称 描述 解析IPsports 解析IP或端口 地址簿删除IP 地址簿删除IP 地址簿添加IP 地址簿添加IP 统计地址簿 统计地址簿数量和所用ip数量 删除地址簿 删除地址簿 查询地址簿 查询地址簿列表 地址簿详情 查询地址簿详情 添加地址簿 添加地址簿 地址簿ipport更新 地址簿更新内容（IP/端口） 安全告警告警详情 查询告警详情 安全告警标记已处理 安全告警标记已处理 安全告警流量日志列表 查询流量日志列表 安全告警查询告警列表 查询告警列表 安全告警告警统计 安全告警统计 报表管理订阅配置更新 更新报表订阅列表 报表管理订阅列表 查看报表订阅列表 报表管理统计 统计列表信息 报表管理列表 查看报表列表 查看nat列表 查询nat列表 查询云间高速列表 查询云间高速列表 查询云专线列表 查询云专线列表 查询对等连接列表 查询对等连接列表 vpc资产同步 东西向(vpc)资产同步 VPC边界统计 查询东西向(vpc)资产统计接口 查询所有东西向资产 查询东西向所有资产的列表 开启防护自动检查 开启防护的自动检查结果 一键创建子网路由表 一键创建子网路由表 关闭防护删除终端节点 关闭vpc资产防护 确认手动引流配置完成 确认手动引流配置完成 创建终端节点 创建终端节点 校验cidr合法 校验cidr是否合法 查询资源池规格 查询资源池规格 能否降低版本 防火墙能否降低版本 能否订购防火墙 能否订购防火墙 降配配额最低值 降配配额最低值 防火墙防火墙名称修改 修改防火墙名称 安全防护概览 查询安全防护概览接口 访问控制策略概览 查询访问控制策略概览接口 资产防护监控概览 查询资产防护监控概览接口 实例状态概览 查询实例状态概览接口 获取黑白名单规则的excel文件模板 获取黑白名单规则的excel文件模板 获取访问规则的excel文件模板 获取访问规则的excel文件模板 app应用查询应用大类和子类 查询apr支持的全部应用 ipsRule查询攻击类型 根据ips规则类型获取所有列表 日志管理操作日志excel导出 操作日志excel导出 日志管理流量日志excel导出 流量日志excel导出 日志管理入侵防御访问控制日志excel导出 入侵防御日志excel导出 修改日志存储类型 修改日志存储类型 修改本地日志储存时间 修改本地日志存储时间 查询日志内容 查询日志内容 统计日志数量 统计日志数量 查看日志存储容量 查询日志存储容量的情况 更新投递任务状态 更新投递任务状态 查看日志投递列表 查询日志投递列表 查询日志投递类型信息 查询日志投递类型信息 查询日志投递开始时间 查询日志投递开始时间 通知设置更新通知配置 更新通知设置 通知设置获取通知设置 获取通知设置 获取资产同步状态 提供获取资产同步状态接口 删除防护规则 删除防护规则接口 获取资产详情 提供获取资产详情接口 更新防护规则 更新防护规则接口 设置防护规则优先级 设置防护规则优先级接口 切换防护规则防护状态 切换防护规则防护状态接口 新增防护规则 新增防护规则接口 删除黑白名单 删除黑白名单接口 更新资产提示信息 提供更新资产的提示信息接口 新增黑白名单 新增黑白名单接口 同步资产 同步资产接口 切换资产防护状态 切换资产防护状态接口 查询黑白名单详情 查询黑白名单详情接口 切换黑白名单防护状态 提供切换黑白名单或白名单防护状态接口 更新黑白名单 提供更新黑名单或白名单接口 获取资产同步时间 获取资产同步时间接口 查询全部黑白名单 提供查询全部黑名单或白名单的接口 查询资产统计 查询资产统计接口 查询防护规则详情 提供查询防护规则详情的接口 查询日志配置详情 查询日志配置详情 查询防火墙流量日志 查询防火墙流量日志 查询防护规则 防护规则查询接口 定义防火墙的随机名称 给防火墙定义一个随机名称 判断防护能力是否升级 判断防护能力是否升级 查询资产 查询资产接口 查询防火墙的简要信息 查询防火墙的简要信息 查询黑白名单 查询黑白名单接口 获取vpc的子网列表 获取vpc的子网列表 获取用户的vpc列表 获取vpc的列表 获取防护规则统计数据 获取防护规则统计数据接口 获取ips规则类型列表 根据ips规则类型获取所有列表 查询防火墙详情 查询防火墙详情 查询ips规则 查询防火墙配置的ips规则 查询dpi详情 查询dpi配置详情 保存dpi配置 下发dpi配置并保存配置，实现配置持久化 查询操作日志 查询前端操作日志 查询全部应用 查询apr支持的全部应用

操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令：容器将会以该启动命令启动，请参见设置容器启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为“Entrypoint”和 "CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令 "Entrypoint"、"CMD"，规则如下： 表容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。设置方法请参见设置容器启动命令。 启动后处理 步骤 1 登录CCE控制台，在创建工作负载时，展开“生命周期”。 步骤 2 在“启动后处理”后，设置启动后处理的参数，如下表。 启动后处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /install.sh installagent 请在执行脚本中填写: /install installagent。这条命令表示容器创建成功后将执行install.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 停止前处理 步骤 1 登录CCE控制台，在创建工作负载配置生命周期过程中，选择“停止前处理”。 步骤 2 在“停止前处理”后，设置停止前处理的参数，如下表。 停止前处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /uninstall.sh uninstallagent 请在执行脚本中填写: /uninstall uninstallagent。这条命令表示容器结束前将执行uninstall.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 容器重启策略 Pod通过restartPolicy字段指定重启策略，重启策略类型为：Always、OnFailure和Never，默认为 Always。 restartPolicy仅指通过同一节点上的kubelet重新启动容器。 重启策略 说明 Always 当容器失效时，由kubelet自动重启该容器。 OnFailure 当容器终止运行且退出码不为0时，由kubelet自动重启该容器。 Never 不论容器运行状态如何，kubelet都不会重启该容器。 说明： 可以管理Pod的控制器有ReplicaSet Controller，Job，DaemonSet，及kubelet（静态Pod）。 RS和DaemonSet：必须设置为Always，需要保证该容器持续运行。 Job：OnFailure或Never，确保容器执行完后不再重启。 kubelet：在Pod失效的时候重启它，不论RestartPolicy设置为什么值，并且不会对Pod进行健康检查。 设置容器生命周期YAML样例 本节以nginx为例，说明kubectl命令设置容器生命周期的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为nginxdeployment.yaml的描述文件。其中，nginxdeployment.yaml为自定义名称，您可以随意命名。 vi nginxdeployment.yaml 在以下配置文件中，您可以看到postStart命令在容器目录/bin/bash下写了个install.sh 命令。 preStop执行uninstall.sh命令。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: restartPolicy: Always

AI 网关支持对MCP服务进行添加策略和配置插件,提高API的AI能力。 操作步骤 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入MCP服务详情页，切换到"策略与插件"页签。 4. 在启用策略/插件面板中，选择策略或插件进行配置。 策略配置 限流 当前实现为单机限流，基于时间窗口实现，可以配置时间窗口大小（秒）以及在一个时间窗口内限制的请求数。 配置 说明 时间窗口 进行限流统计的时间窗口 限制请求 时间窗口内允许的最大请求次数，超出的请求将会被拒绝 Header设置 Header配置支持对请求和响应的头部做修改。 配置 说明 开启状态 开启时策略才生效 Header类型 网关与后端交互时支持对请求和应答的头部做修改 操作类型 支持新增、修改、删除操作 新增：若header key已存在，则在末尾追加header value；否则新增 修改：若header key不存在，则新增header kv；否则覆盖已有header value值 删除：若header key存在，则删除；否则忽略该header key Header Key 头部Key Header Value 头部Value 跨域 AI网关支持跨域资源共享（CORS）。 CORS配置说明如下： 配置 说明 允许访问的来源 作用于AccessControlAllowOrigin头部，格式如：scheme://host:port，比如: 允许的方法 作用于AccessControlAllowMethods头部，表示允许的访问方法 允许的请求头部 作用于AccessControlAllowHeaders头部，允许跨域访问时请求方携带哪些CORS规范以外的Header，多个值使用','分割，''来表示所有Header均允许通过 允许的响应头部 作用于AccessControlExposeHeaders头部，允许浏览器和js脚本访问的响应头部 允许携带凭证 作用于AccessControlAllowCredentials头部 预检的过期时间 作用于AccessControlMaxAge头部 开启状态 开启时才生效

本节介绍云容器引擎的最佳实践: 开启控制面过载保护。 简介 容器集群控制面的资源是有限的，如果控制面处理的请求超出资源能力限制，会导致集群性能显著下降，无法正常工作，因此有必要对控制面进行过载保护，以确保控制面稳定性，提高集群的可用性和可靠性。 控制面过载保护策略及触发条件 Kubernetes 1.31.6及以上版本支持集群过载保护功能。 开启集群过载保护功能后，当集群控制平面资源压力较大时，系统将根据负载等级按比例拒绝外部流量，通过减少处理外部请求来缓解系统压力。 集群过载监控 在安装Prometheus插件的集群，查询apisreveroverloadlevel获取集群过载等级，操作指引参见 Prometheus监控指标探索。 指标值对应含义如下： 0: 正常，不拒绝外部流量 1: 轻度过载，拒绝25%外部流量 2: 中度过载，拒绝50%外部流量 3: 重度过载，拒绝75%外部流量 4: 熔断，拒绝所有外部流量 开启或关闭集群控制面过载保护操作步骤 1、订购集群时可选择开启过载保护（默认开启）。 2、创建集群后开启或关闭过载保护。 1）若当前集群未开启过载保护功能，在集群概览页面将会有跳转提示，若无提示说明当前集群已开启过载保护功能，可直接前往配置中心进行修改。 2）点击提示信息跳转到集群配置中心页面，选择开启或关闭过载保护点击“确认配置”。 3）确定更新并等待控制面更新重启完成。 注意 1、专有版集群暂不支持过载保护功能。 2、仅Kubernetes1.31.6及以上版本集群支持过载保护功能。 3、开启或关闭过载保护功能会导致控制面重启，期间会导致服务短暂不可用，请在业务低峰期时进行。

本文介绍了:云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本文主要 介绍 CCE发布Kubernetes 1.17版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.17版本所做的变更说明。 资源变更与弃用 apps/v1beta1和apps/v1beta2下所有资源不再提供服务，使用apps/v1替代。 extensions/v1beta1下daemonsets、deployments、replicasets不再提供服务，使用apps/v1替代。 extensions/v1beta1下networkpolicies不再提供服务，使用networking.k8s.io/v1替代。 extensions/v1beta1下podsecuritypolicies不再提供服务，使用policy/v1beta1替代。 extensions/v1beta1 ingress v1.20版本不再提供服务，当前可使用networking.k8s.io/v1beta1。 scheduling.k8s.io/v1beta1 and scheduling.k8s.io/v1alpha1下的PriorityClass计划在1.17不再提供服务，迁移至scheduling.k8s.io/v1。 events.k8s.io/v1beta1中event series.state字段已废弃，将在1.18版本中移除。 apiextensions.k8s.io/v1beta1下CustomResourceDefinition已废弃，将再1.19不在提供服务，使用apiextensions.k8s.io/v1。 admissionregistration.k8s.io/v1beta1 MutatingWebhookConfiguration和ValidatingWebhookConfiguration已废弃，将在1.19不在提供服务，使用admissionregistration.k8s.io/v1替换。 rbac.authorization.k8s.io/v1alpha1 and rbac.authorization.k8s.io/v1beta1被废弃，使用rbac.authorization.k8s.io/v1替代，v1.20会正式停止服务。 storage.k8s.io/v1beta1 CSINode object废弃并会在未来版本中移除。 其他废弃和移除 移除OutOfDisk node condition，改为使用DiskPressure。 scheduler.alpha.kubernetes.io/criticalpod annotation已被移除，如需要改为设置priorityClassName。 beta.kubernetes.io/os和beta.kubernetes.io/arch在1.14版本中已经废弃，计划在1.18版本中移除。 禁止通过nodelabels设置kubernetes.io和k8s.io为前缀的标签，老版本中kubernetes.io/availablezone该label在1.17中移除，整改为failuredomain.beta.kubernetes.io/zone获取AZ信息。 beta.kubernetes.io/instancetype被废弃，使用node.kubernetes.io/instancetype替代。 移除{kubeletrootdir}/plugins路径。 移除内置集群角色system:csiexternalprovisioner和system:csiexternalattacher。

与 NAS 相比，OSS 提供了便捷的工具以及控制台，支持可视化管理 Bucket，并在解决应用实例数据持久化和实例间数据分发问题的基础上，进一步降低成本。OSS适用于读多写少的场景，例如挂载配置文件或者前端静态文件等。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 挂载OSS指引 挂载OSS 展开持久化存储设置 区域，启用 OSS 对象存储 。配置Bucket、挂载目录、容器路径以及读写权限等相关信息。如需添加多条信息，请点击添加 。 取消挂载OSS 挂载 OSS 后，如果您不再使用 OSS 存储，可以取消挂载 OSS。在云应用引擎控制台取消挂载 OSS 后，您在 OSS 中所存储的数据仍然存在，不会被删除。具体操作为找到需要取消挂载的 OSS 配置条目，单击操作列的删除按钮。 配置项 说明 示例值 Bucket 已创建的 OSS Bucket。 bucketname 挂载目录 已创建的 OSS 目录或 OSS 对象。如果 OSS 挂载目录不存在，会触发异常。 示例如下： / tmp/osstest/ tmp/ossdemo.log 容器路径 CAE 的容器路径。如果路径已存在，会覆盖原有路径；如果路径不存在，会新建路径。 /home/admin/app/php/ 权限 容器路径对挂载目录资源的权限，取值如下： 只读 读写 只读

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 创建保密字典功能入口 1. 登录 CAE 控制台。 2. 在左侧导航栏选择配置管理 > 保密字典，进入保密字典管理页面。 3. 单击创建 ，在弹出的创建保密字典 面板，根据需求选择不同的保密字典类型，并根据下表说明完成参数配置 ，然后单击确认。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque 是默认的 Secret 类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque 类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储 TLS 证书相关的数据，当您的服务需要启用 HTTPS 访问时，可以使用这种类型的 Secret 来保存和管理 TLS 证书，以确保在 CAE 环境中的 Pod 中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得 Kubernetes 在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的 Secret 用于存储仓库用户名和密码或访问令牌，确保 CAE 在部署应用时能够拉取到私有镜像。