本文带您了解云间高速(标准版)的功能特性。 云间高速（标准版）(CECStd, Express Connect Standard)为您提供一种能够快速构建同域、跨域VPC之间的高速、优质、稳定的网络能力，帮助您打造一张具有企业级规模和通信能力的云上网络。云间高速（标准版）具备大规模灵活组网、网络资源互通、路由自主学习和分发，跨区域互通带宽配置及与SDWAN混合组网等功能特性。 大规模灵活组网 每个地域可以创建云企业路由器，集中连接网络实例，组网可控、可管、易扩展。 简化拓扑 网路实例（VPC、云专线、跨账号VPC、VPN、云桌面网络）均集中连接到云企业路由器，简化点到点连接的管理成本，提高组网扩展性。 灵活可控 灵活定义互通、隔离、引流策略，提高网络安全性。 网络资源互通 任意网络实例间互通，提供高速、可靠、稳定的网络质量。 支持多网络实例互通 网络实例包括VPC、云专线、跨账号VPC、VPN和云桌面网络。 将同一账号下同域或跨域VPC加载到云间高速（标准版），可以实现VPC之间的互通。 将云专线加载到云间高速（标准版），可以实现云下IDC与云上多VPC互通，构建混合云。 涉及跨账号的同域或跨域VPC互联，首先需要跨账号授权网络实例，授权完成后，将跨账号网络实例加载到云间高速（标准版），即可实现跨账号同域或跨域VPC互通。 低时延 任意两点网络实例之间以最短路径私网互通，高速率，低时延。

本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

本文主要介绍手工搭建LAMP环境(CentOS 7.8 PHP7.0)。 简介 LAMP是由Linux、Apache、MySQL和PHP建立的web应用平台。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LAMP平台的web环境。该指导具体操作以CentOS 7.8 64位操作系统为例。 前提条件 1、弹性云主机已绑定弹性公网IP。 2、弹性云主机所在安全组添加了如下表所示的安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 资源规划 本次实践所用的资源配置及软件版本如下表中所示。当您使用不同的硬件规格或软件版本时，本指导中的命令及参数可能会发生改变，需要您根据实际情况进行调整。 资源 资源说明 成本说明 弹性云主机 计费模式：按需计费 规格：c7n.large.2 镜像：CentOS 7.8 64bit 系统盘：40G 弹性公网IP：自动分配 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用： · 云主机 · 云硬盘 · 弹性公网IP Apache 是一个开放源码的Web服务器。 免费 MySQL 是一款开源的关系数据库软件。获取方式：< 免费 PHP 是一款开源软件，用于Web开发。获取方式：< 免费

前提条件 仅限来源为天翼云RDS的PostgreSQL数据库。 仅支持西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7资源池。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 SQL治理 > 慢SQL，进入慢SQL界面。 3. 在左上方选择PostgreSQL数据库实例，进入对应实例的慢SQL界面。 注意事项 慢SQL日志记录可保存近三十天。 功能介绍 慢SQL支持查看执行趋势、总耗时分布、统计分析、明细。 说明 选择时间范围时，查询开始时间需早于结束时间，慢SQL分析时间间隔不能超过一天，支持最近三十天内的日志信息。 执行趋势 选择需要查看的时间段和节点，查看对应的SQL执行次数 、平均耗时的趋势图。 参考指标 主要联动展示了CPU使用率、连接数、TPS等关键指标。 统计分析 以SQL模板 列表进行聚合统计展示，支持自定义列排序、自定义列展示以及xlsx格式文件下载到本地查看，点击诊断 ，可以查看该类SQL模板的SQL诊断、明细耗时分布 、活跃用户 和高频请求客户地址。 明细 选择需要查看的时间段和节点，查看对应的慢SQL明细列表，支持自定义列排序、自定义列展示以及xlsx格式文件下载到本地查看。

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本章节介绍云容器集群节点进程挂起故障演练。 背景介绍 在云容器引擎（CCE）环境中，有时进程并不会被直接终止，而是因系统调试、资源冻结或异常信号而进入挂起状态。这同样会导致其提供的服务中断，并且比直接终止更隐蔽，因为它不会释放占用的内存等资源。本演练模拟节点上的任意进程被挂起的场景，帮助您检验 Kubernetes 的健康检查能否发现这种假死状态，并评估业务系统对服务无响应的容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节主要介绍通用类问题 什么是应用编排服务？ 应用编排服务（Application Orchestration Service，简称CTAOS）可以帮助您将应用一键式部署到云上，简化相关云服务管理操作。AOS通过模板来描述和编排应用及相关云服务，实现自动化部署应用、创建云服务，提供云容器应用全生命周期运维管控能力。 什么是堆栈？ 堆栈是应用程序、云服务资源的集合。堆栈将应用、云服务作为一个整体来进行创建、升级、删除等。 在AOS中，通过创建堆栈可以把应用程序一键式部署到云上，并有序的管理所依赖的云服务资源。 什么是模板？ 模板是一种遵循AOS语法规范的文本文件，描述了应用属性、云服务配置以及应用与云服务之间的依赖关系。您可以像管理代码一样来管理模板，也可像通过git、svn等代码管理工具一样来管理不同版本的模板。通过模板的方式来管理应用和云服务，可以简化应用系统上云设计，轻松复制和搭建开发、测试、生产环境，确保应用系统可配置、可演进、可回溯。 什么是TOSCA模板？ TOSCA（Topology and Orchestration Specification for Cloud Application）是开放标准联盟OASIS管理的独立技术委员会之一，其发布的云应用拓扑及编排描述规范（简称TOSCA规范）目标是规范云应用生命周期管理流程。 表 应用拓扑模型节点及关系说明 操作名称 说明 Resource 资源类节点，如VM、容器等。 AppGroup 云应用组，由一个或多个云应用组成，可整体进行生命周期操作，如部署、升级。也可对应到客户产品、业务系统/子系统等。 Application 运行在资源上的云应用，是对最小可部署对象的一种描述。其中，MicroService也是一种Application。 SoftwareComponent 软件组件，云应用组件的组成部分，即软件包。也可以作为Application的属性，是可选节点。 Service 应用所依赖的服务。服务是对按需取用的功能对象的一种描述。 DependsOn 节点间的依赖关系，决定了创建顺序，为基础关系。 HostedOn 只能用于Application与Resource之间，表示应用运行在资源上。 ConsistsOf 表示组合关系。例如，AppGroup由Application组成。 ConnectsTo 表示调用或连接关系。例如，Application和Application之间，资源与资源之间。 PackageConsistsOf 应用和软件组件之间的组合关系 。

云容器引擎 CCE 智算版是利用云原生架构和技术,在云容器引擎上快速定制化构建AI生产系统,提供智算场景下的调度策略(共享GPU调度、批作业调度、拓扑感知调度)、GPU/RDMA异构资源管理和GPU资源监控基础能力,为用户提供AI数据集管理,AI模型开发、训练、评测,以及模型推理等服务。

本章介绍使用同一VPC内弹性云主机ECS上的C Redis客户端连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的C Redis客户端连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装gcc编译环境。 操作步骤 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 步骤 2 登录弹性云主机。 弹性云主机操作系统，这里以Window为例。 步骤 3 在弹性云主机安装VS 2017社区版。 步骤 4 启动VS 2017，新建一个工程。 工程名自定义，这里设置为“redisdemo”。 步骤 5 使用VS的nuget管理工具安装C Redis客户端StackExchange.Redis。 按照如下图操作，进入程序包管理器控制台，在nuget控制台输入：InstallPackage StackExchange.Redis Version 2.2.79 。（版本号可以不指定） 进入程序包管理器控制台 步骤 6 编写如下代码，并使用String的set和get测试连接。 using System; using StackExchange.Redis; namespace redisdemo { class Program { // redis config private static ConfigurationOptions connDCS ConfigurationOptions.Parse("10.10.38.233:6379,password,connectTimeout2000"); //the lock for singleton private static readonly object Locker new object(); //singleton private static ConnectionMultiplexer redisConn; //singleton public static ConnectionMultiplexer getRedisConn() { if (redisConn null) { lock (Locker) { if (redisConn null !redisConn.IsConnected) { redisConn ConnectionMultiplexer.Connect(connDCS); } } } return redisConn; } static void Main(string[] args) { redisConn getRedisConn(); var db redisConn.GetDatabase(); //set get string strKey "Hello"; string strValue "DCS for Redis!"; Console.WriteLine( strKey + ", " + db.StringGet(strKey)); Console.ReadLine(); } } } 其中，10.10.38.233:6379分别为Redis实例的IP地址以及端口。IP地址和端口获取见步骤1，请按实际情况修改后执行。 为创建Redis实例时自定义的密码，请按实际情况修改后执行。 步骤 7 运行代码，控制台界面输出如下，表示连接成功。 Hello, DCS for Redis! 关于客户端的其他命令，可以参考StackExchange.Redis。

参数 参数类型 说明 示例 下级对象 cgwID String 云企业路由器实例ID 55450584fe8f49b09e09ef915caeee10 region String Integer地域信息，不填默认查询全部 取值如下 1：中国大陆 2:亚太 1 cgwName String 云企业路由器名称 gatewaybeijing cgwDescription String 云企业路由器描述 北京云企业路由器 ecID String 云间高速实例ID 82c40584fe8f49b09e09ef915caeee10 dcID String 资源池ID信息 81f7728662dd11ec810800155d307d5b dcType String 资源池类型， 取值范围: "CNP":CNP资源池 "MAZ":MAZ资源池 MAZ dcName String 资源池名称 内蒙演示环境 rtbCnt Integer 路由表数量 2 routeCnt Integer 路由数量 2 policyCount Integer 流量策略数量 2 insCnt Integer 连接实例数量 2 createDate String 创建时间 20220919 02:05:28 defaultRtbID String 云企业路由器默认路由表ID 66720584fe8f49b09e09ef915caeee10 hasMonitor Boolean 是否支持监控 true:支持，false:不支持 false

本文帮助您快速熟悉虚拟IP的定义、特点、组网模式,以及应用场景等内容。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云服务器网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云服务器。 您可以通过将虚拟IP与主备弹性云服务器绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 详细信息可参考：虚拟私有云虚拟IP。

云日志服务与其他服务之间关系，如表1所示。 表 1 与其他服务之间关系 交互功能 相关服务 通过CTS服务，您可以记录与云日志服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，简称CTS） 通过OBS服务，您可以将需要长期存储的日志转储至OBS桶中，确保日志不丢失，实现数据持久化。 对象存储服务（Object Storage Service，简称OBS） 通过AOM服务，可以进行站点访问统计，可以将相关日志上报给AOM，对其进行监控与告警。 应用运维管理（Application Operations Management，简称AOM） 通过IAM服务，您可以给账号中的子用户授予使用云日志服务的权限。 统一身份认证服务（Identity and Access Management，简称IAM）

本文主要介绍专属云（存储独享型）的基本操作流程 专属云（存储独享型）的基本操作流程如下图所示。 1. 使用专属云（存储独享型）服务前，需要先申请存储池，请参见申请存储池。一个专属云下可申请多个存储池。 2. 使用专属云（存储独享型）服务的存储能力由磁盘实现，存储池申请成功后，需要在存储池中创建磁盘后才可使用，请参见创建磁盘。 3. 将创建的磁盘挂载至云主机，请参见： 挂载非共享磁盘 挂载共享磁盘 4. 磁盘挂载至云主机后，还不能直接使用，需要登录云主机初始化后才可以使用。初始化场景介绍及方法请参见： 初始化数据盘场景及磁盘分区形式介绍 Windows： 初始化Windows数据盘（Windows 2008） 初始化Windows数据盘（Windows 2016） 初始化容量大于2TB的Windows数据盘（Windows 2008） 初始化容量大于2TB的Windows数据盘（Windows 2012） Linux 初始化Linux数据盘（fdisk） 初始化Linux数据盘（parted） 初始化容量大于2TB的Linux数据盘（parted）

1. 首先需要在弹性云主机上搭建FTP站点。具体操作参见弹性云主机－搭建FTP。 2. 以CentOS 7.6操作系统为例，执行以下命令安装ftp。 yum y install ftp 3. 执行以下命令连接云主机。 ftp 云主机弹性公网IP 　　并根据提示，输入FTP服务的用户名和密码。 4. 上传文件 　　执行以下命令，将本地文件上传至云主机中。 put 本地主机文件地址

可信服务功能介绍 什么是可信服务 可信服务是指可与组织管理服务集成，提供组织级相关能力的云服务。管理账号及主账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启云防火墙为可信服务后，云防火墙可以获取组织单元及成员账号信息，统一为整个组织提供基于云防火墙的产品服务。 什么是委托管理员 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号为某个可信服务的委托管理员账号。成为委托管理员账号后，该成员账号下的用户可以使用对应可信服务的组织级管理能力。例如，某一个成员账号成为云防火墙的委托管理员后，可以共享云防火墙服务在组织成员账号内共同防护。 当前支持可信服务的云产品 可信服务 功能介绍 是否支持委派管理员账号 相关文档 云防火墙 云防火墙集成组织管理后，能够统一管理多账号的公网IP资产，统一配置防御策略，实现集中安全管控。 是 多账号管理 启用或禁用可信服务 登入企业组织管理员账号后，您可以在“企业中心可信服务”界面，对支持可信服务的产品进行开启或禁用。 组织管理员禁用某个云服务的可信访问后，此云服务便不能给成员账号创建此服务的"服务关联委托”。 服务启用可信后才可以设置委托管理员。

轻量型云主机的套餐包含CPU、内存、系统盘、网络带宽、公网IP,本文将为您介绍各计费项的价格。 轻量型云主机的套餐包含CPU、内存、系统盘、网络带宽、公网IP。具体计费项及价格如下： CPU、内存 规格 包月标准价格（元/月） :: 2C4G 136.98 2C8G 194.04 4C8G 273.87 4C16G 388.08 8C16G 547.74 8C32G 776.16 注意 以上表格仅是轻量型云主机cpu、内存的价格，实际控制台的套餐还包含系统盘、带宽等产品费用。 轻量型云主机的CPU、内存具有包年优惠政策，包1、2、3、4、5年的年付月价为标准月价8.5折，使用时长较长的用户，可以年为单位进行购买。 系统盘 规格 包月标准价格（元/G/月） :: 高IO（SAS） 0.4 数据盘 规格 包月标准价格（元/G/月） 普通IO（SATA） 0.3 高IO（SAS） 0.4 通用型SSD 0.7 超高IO（SSD） 1.2 注意 云硬盘还享受包年一次性付费折扣，折扣如下：1年8.5折、2年7折、3年5折、4年4.5折、5年4折。

本章主要介绍停用/启用追踪器。 操作场景 云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后对已有的操作记录没有影响。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后，操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，也能查看新的操作记录和接收关键事件通知，但是您无法转储事件至OBS/LTS。 前提条件 已开通云审计服务。 操作步骤 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在管理类追踪器信息右侧，单击操作下的“停用”。 6. 单击“确定”，停用追踪器。追踪器停用成功后，操作下的“停用”切换为“启用。 7. 如果您需要重新启用管理类追踪器，单击“启用 > 确定”。

安全组规则 为了更好地管理安全组的入出方向，您可以设置安全组规则，去控制云服务器的出入向流量。通过配置适当的规则，控制和保护加入安全组的弹性云服务器的访问。 安全组规则可分为入向规则和出向规则。入向规则用于控制流入服务器实例的流量，出向规则用于控制从服务器实例流出的流量。默认安全组会自带一些默认规则，您也可以自定义添加安全组规则。 安全组规则主要遵循白名单机制，具体说明如下： 入方向规则：入方向指外部访问安全组内的云服务器的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且授权策略为“允许”时，允许该请求进入，其他请求一律拦截。通常情况下，您一般不用在入方向配置授权策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的云服务器访问外部的指定端口。在出方向中放通全部协议和端口，配置全零IP地址，并且策略为“允许”时，允许所有的内部请求出去。0.0.0.0/0表示所有IPv4地址，::/0表示所有IPv6地址。 地域资源池： 对于地域资源池来说，系统会为每个用户默认创建一个安全组，默认安全组包含一系列默认规则，主要是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 默认安全组规则如下表2： 表2 地域资源池默认安全组规则 方向 授权策略 类型 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 Any Any 默认安全组ID (例如：sgxxxxx) 仅允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv6 Any Any 默认安全组ID (例如：sgxxxxx) 仅允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv4 TCP 22 0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 TCP 3389 0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv4 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的通讯状况。 可用区资源池： 对于可用区资源池来说，系统会为每个VPC默认创建一个安全组，默认安全组包含一系列默认规则，主要是在出方向上的数据报文全部放行，入方向访问受限。 默认安全组规则如下表3： 表3 可用区资源池默认安全组规则 方向 授权策略 类型 优先级 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 100 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 100 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 99 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的IPv4地址通讯状况 入方向 允许 IPv6 99 ICMP Any ::/0 使用ping程序测试云服务器之间的IPv6地址通讯状况 入方向 允许 IPv4 99 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 99 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 99 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 99 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 拒绝 IPv4 100 Any Any 0.0.0.0/0 禁止所有IPv4类型的入站流量的数据报文通过。 入方向 拒绝 IPv6 100 Any Any ::/0 禁止所有IPv6类型的入站流量的数据报文通过。

本节介绍了云容器引擎的最佳实践: 自定义存储资源对象。 自定义云存储StorageClass 默认存储类 存储插件cstorcsi安装完成后，会默认根据当前资源池已上线云存储产品情况创建默认存储类，用户可以使用默认存储类创建持久卷声明。 默认创建的存储类名称、对应驱动及应用场景等参见cstorcsi插件中“插件使用”介绍。 自定义存储类 当默认存储类不满足业务需求，比如用户是从自建Kubernetes或其他Kubernetes服务迁移到到天翼云云容器引擎时，期望使用与云业务同名StorageClass或者用户期望自定义存储类的参数时，用户可以选择自定义云存储类型StorageClass。 通过自定义存储类，用户可以实现定制StorageClass名称、云存储类型、绑定策略、挂载选项等。具体各云存储产品描述如下： 云硬盘：通过控制台或通过kubectl命令行自定义存储类参见使用云盘动态存储卷； 弹性文件：通过控制台或通过kubectl命令行自定义存储类参见使用SFS动态存储卷； 对象存储：通过控制台或通过kubectl命令行自定义存储类参见使用ZOS动态存储卷。 自定义通用StorageClass 云容器引擎除支持通过cstorcsi插件使用云存储产品之外，也支持用户定制安装CSI，并自定义创建存储类。

本文介绍DSC针对云上数据使用异常行为实时告警与审计的方法 数据安全中心DSC对云上数据使用提供异常行为的实时告警与审计，可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据，并且DSC将异常事件数据保留180天。DSC服务还能够检测敏感数据的访问、操作、管理等相关的异常行为，并且提供告警提示信息，用户可以确认和处理异常事件。以下行为被视为异常事件： 合法用户访问、下载、修改、权限更改、权限删除敏感数据。 合法用户更改、删除与敏感数据存储桶相关的权限。 非法用户在未经授权的情况下访问、下载敏感数据。 访问敏感数据的用户登录终端存在异常情况。 前提条件 当前异常事件处理页面含有异常事件。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > 数据使用审计”，进入“数据使用审计”页面，参数说明请参考下表。 在列表的右上角，可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期，事件类型以及事件状态来展示您想要的异常行为事件信息。 参数名称 参数说明 用户ID 资源所有者对应的ID。 事件类型 DSC将异常事件分成了三种类型： 数据访问异常： 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常： 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常： 添加桶时，检测到桶为公共读或公共读写桶。 添加桶时，检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 敏感文件的对象出现ACL更改、删除操作。 事件名称 导致异常事件发生的具体事件。 告警时间 异常事件发生的具体时间。 状态 状态说明如下： “待处理”：异常事件未进行处理。 “违例确认”：已处理异常事件为违例确认。 “违例排除”：已处理异常事件为违例排除。 4. 在异常事件的操作列，单击“查看详情”，查看该事件的详细信息。 您可以根据异常事件的详细信息判断该事件是否为违例事件，从而确定如何来处理该事件，具体的处理方法请参见处理异常行为检测事件。

本章节介绍云主机内存高负载故障演练。 背景介绍 当云主机的内存被异常占用（例如，由应用内存泄漏、缓存数据无限制膨胀或资源配额不足引起），其内存使用率会飙升。一旦可用内存耗尽，系统可能会频繁进行内存交换，甚至触发 OOM Killer（OutOfMemory Killer）来强制终止进程，导致服务中断。本演练模拟内存资源被持续占用的高负载场景，帮助您检验系统的内存监控告警、评估应用的内控管理能力，并验证 OOM Killer 触发时的系统行为。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：取值范围为0100。注意：设置过高的占用率可能出现无法自动恢复的情况，可在云主机控制台操作重启机器恢复。

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 设备标签键，取值范围参考 uuid value 是 Array of Strings 设备标签键所对应的值，最大数量限制为10。 以云主机为例，该字段为云主机的instanceID。 ['9dc489794e1945e2b5235d3c70d516b3']

本文主要介绍如何添加云数据库。 前提条件 已登录数据管理服务。 已加入团队。 操作步骤 1. 点击 数据资产 >实例管理 ，进入实例列表界面。 2. 点击 添加实例 按钮，弹出右侧抽屉进行编辑。 3. 在数据来源选择 云数据库 ，录入实例相关信息，参数说明如下。 添加云数据库参数说明 参数项 说明 所属团队 实例添加成功后的归属团队。 实例名称 实例在DMS中展示的别名。 自动同步实例名称 勾选后开启，可同步实例控制台侧的实例名称。 环境 环境标识，例如开发、测试、预发、生产等。 数据来源 实例的来源，如云数据库，公网/直连数据库 数据库类型 数据类型，如MySQL、PostgreSQL、SQL Server、DRDS、DDS。 地域/资源池 云数据库的所属资源池。 云数据库 云数据库的基本信息，含IP、端口，可勾选隐藏实例地址。 数据库账号 用于登录该实例的数据库账号。 数据库密码 登录账号的密码。 管控规则 仅限组织为企业版时显示，可设置当前实例的管控规则。 SQL规范 仅限组织为企业版时显示，可设置当前实例的SQL规范。 最大连接数 可设置当前用户能获取到的数据库最大连接数。 4. 完成以上信息的填写后，点击 测试连接 按钮。 5. 弹出 连接成功 的提示后，点击 确定 按钮完成云数据库的添加。 说明 测试连接功能只有在输入了数据库账号和密码的时候可以使用。 输入正确的数据库账号和密码，点击 确定 按钮后会自动登录并同步元数据。否则，仅录入实例信息，不进行登录也不会自动同步元数据。 普通用户录入实例后将自动作为实例Owner。实例Owner默认拥有编辑、删除、禁用、启用该实例的权限。 开启SSL的实例可能会添加失败。 所属团队下拉列表有创建新团队选项，便于用户快速新建团队并且完成回填。

本页介绍天翼云TeleDB数据库元数据pgdatamaskmap的内容。 存储管理和配置数据脱敏策略。 名称 类型 定义 relid Oid 表的OID attnum int16 列号（属性编号） enable bool 是否启用数据掩码 option int32 数据掩码选项（见 DATAMASKKINDVALUE、DATAMASKKINDSTRPREFIX、DATAMASKKINDSTRPOSTFIX） datamask int64 数据掩码值 nspname NameData 模式的名称 tblname NameData 表的名称 maskfunc Oid 用户定义对象类型的数据掩码函数 defaultval text 默认值

返回数据 名称 类型 示例值 描述 :::: code String OK 请求状态码。 返回OK代表请求被成功接收。 实际短信发送状态，通过配置短信状态报告回调地址异步返回，错误码详见错误码列表。 message String success 状态码描述。 requestId String cknkbmqflsojbf48h8ng 请求ID。多个手机号码的请求ID使用","隔开。 示例 请求示例 json { "action": "SendSms", "signName": "天翼云", "phoneNumber": "13301110000", "templateCode": "SMS73419576145", "templateParam": "{"code":"123456","time":"1"}", "extendCode": "123" } 正常返回示例 json { "code": "OK", "message": "success", "requestId": "cknkbmqflsojbf48h8ng" }

参数 参数类型 说明 示例 下级对象 productType String 本参数表示产品类型。取值范围：vm：云主机。根据以上范围取值。 vm inspectionType Integer 本参数表示巡检类型。取值范围：1：资源健康评估。2：资源风险识别。根据以上范围取值。 1 inspectionItem Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1 level Integer 本参数表示重要等级。取值范围：1：低。2：中。3：高。根据以上范围取值。 2 description String 巡检项描述 云主机磁盘空间耗尽风险 inspectionResult Boolean 本参数表示巡检结果。取值范围：true：正常。false：异常。根据以上范围取值。 true anomalyCount Integer 异常数量 10

本章节介绍如何进行Ingress配置接入 前置条件 1. 开通云容器引擎集群 2. 开通MSE云原生网关实例，绑定公网ELB 3. 需要部署的镜像已经上传到镜像仓库 云原生网关配置 1. 配置云容器引擎服务来源，安装Ingress controller（注意配置我们要监听的命名空间的标签，这里我们只监听带有mseingresswatching的命名空间） 创建完成后可以看到云容器引擎上Ingress controller安装成功 2. 部署应用 给demo应用添加标签mseingresswatching 在demo命名空间下部署我们的测试应用（请确保镜像已经推送到镜像仓库），这里我们使用istio的bookinfo说明，部署完成后demo命名空间下的应用列表如下： 如果需要正常访问bookinfo应用需要配置以下路由规则： 路径精确匹配：/productpage，/login，/logout 路径前缀匹配：/static/，/api/v1/products/ 访问后端productpage服务 其中/productpage 路径是我们应用的访问入口 此时我们访问云原生网关的ELB地址： 由于此时我们还没有创建服务和路由规则，访问会返回404错误

本章节介绍磁盘的约束与限制。 场景 限制项 限制说明 创建磁盘 磁盘模式 磁盘的磁盘模式在创建完成后不支持更改。 创建磁盘 共享盘 磁盘的共享属性在创建完成后不支持更改。 创建磁盘 加密磁盘 磁盘的加密属性在创建完成后不支持更改。 挂载磁盘 非共享盘可同时挂载的云主机数量 1台 挂载磁盘 共享盘可同时挂载的云主机数量 16台 扩容磁盘 扩容磁盘 支持扩大磁盘容量，不支持缩小磁盘容量。 扩容磁盘 扩容非共享盘 部分云主机操作系统支持非共享盘处于“正在使用”状态扩容。 扩容磁盘 扩容共享盘 扩容时必须从云主机卸载，共享盘处于“可用”状态扩容。 扩容磁盘 扩容步长 1GB 卸载磁盘 卸载系统盘 系统盘目前支持离线卸载，即云主机处于“关机”状态，才可以卸载系统盘。 卸载磁盘 卸载数据盘 数据盘支持离线或者在线卸载，即云主机处于“关机”或“运行中”状态进行卸载。 删除磁盘 当磁盘状态为“可用”、“错误”、“扩容失败”和“恢复数据失败”时，才可以删除磁盘。 对于共享盘，必须卸载所有的挂载点之后才可以删除。 磁盘容量 单个系统盘最大支持容量 高IO：1024 GB 超高IO：1024 GB 磁盘容量 单个数据盘最大支持容量 高IO：32768 GB 超高IO：32768 GB 磁盘容量 MBR磁盘分区形式支持的磁盘最大容量 2 TB 磁盘容量 GPT磁盘分区形式支持的磁盘最大容量 18 EB

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量（即版本、资产规格、存储扩容）。 支持跨版本变更实例的资产规格。例如，由标准版10资产升级到企业版20资产。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 仅支持云堡垒机升级，暂不支持降级。 不支持升级实例类型（不支持由单机版升级到主备版）。若需要升级实例类型，请先备份相关数据，退订单机版后重新订购主备版。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 2. 在“VPN网关”界面，单击“创建VPN网关”，并根据界面提示配置参数。 3. VPN网关参数说明如表11所示。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“双活”。 双活 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 主EIP2 VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 2. 在“VPN对端网关”界面，单击“创建对端网关”，并根据界面提示配置参数。

本章主要介绍创建追踪器的创建。 云审计服务提供的追踪器分两类，包括管理类事件追踪器和数据类事件追踪器。 管理类事件追踪器用于记录管理事件，即针对所有云资源的操作日志，例如创建、登录、删除等。 数据类事件追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 用户首次进入云审计服务时，在追踪器页面单击“开通云审计服务”，系统会自动为您创建一个名为system的管理类事件追踪器。管理类事件追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。 1. 使用限制 CTS仅记录最近7天内的操作事件，您需要配置追踪器转储至OBS或LTS服务来保存更长时间的事件，否则将无法追溯7天前的操作事件。配置转储后，追踪器会将事件持续保存到您指定的OBS桶或LTS日志流中。 管理类追踪器只能有一个，删除后依旧会保留历史事件操作记录，重新开通云审计服务后可恢复管理类追踪器。

本章节向您介绍在企业路由器中添加CFW连接。 在企业路由器中添加“云防火墙（CFW）”连接，即创建VPC边界防火墙时选择企业路由器，则会在企业路由器的连接列表中看到对应的“云防火墙（CFW）”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制，可以实现VPC内业务互访活动的可视化与安全防护。 您需要通过云防火墙控制台添加CFW连接，具体操作请参见云防火墙用户指南“开启VPC边界流量防护 > VPC边界防火墙”。