本节主要介绍网关访问保留源IP 操作场景 服务通过网关访问时，默认情况下，目标容器中看到的不是客户端的源IP，如果需要保留源IP，请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面，istiosystem命名空间下，更新服务所关联的网关服务，将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能（当前为默认开启）。 externalTrafficPolicy：表示此Service是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项：Cluster（默认）和Local。Cluster隐藏了客户端IP，可能导致第二跳到另一个节点，但具有良好的整体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳，但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“xforwardfor”字段中可以看到源IP，httpbin是一个HTTP Request & Response Service，可以向他发送请求，他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 1. 登录ASM应用服务网格控制台，选择一个可用的测试网格并单击进入。 2. 选择左侧“网格配置”查看其关联的集群。 3. 单击集群名称进入集群详情页，单击对应集群右上角第三个图标“工作负载”进入“工作负载”页签。 4. 配置工作负载的信息。 5. 单击右下角“确定”完成服务创建。 6. 单击右下角“创建工作负载”完成工作负载创建。 7. 在集群详情页选择左侧“服务发现”页签，可在服务列表中查看到所创建的httpbin服务。 8. 返回ASM应用服务网格，选择左侧“服务管理”页签，在服务管理中可查看到httpbin的配置诊断显示为异常。 9. 单击此服务配置诊断中的“处理”按钮，按照弹出“配置诊断”页面对应的修复指导进行修复。 10. 选择左侧“网关管理”页签，单击右上角“添加网关”，在弹出“添加网关”页面输入配置信息。 11. 单击“确定”完成网关添加。 12. 选择左侧“服务管理”页签，可以在“访问地址”查看到所创建路由的外部访问地址。 13. 单击之前添加路由时设置映射的外部访问地址，可以在“xforwardfor”字段中查看网关获取的IP为容器段IP。 14. 返回集群详情页，选择左侧导航栏“服务发现”，更改服务所关联的网关服务的配置。方法如下： 下拉上方“命名空间”列表选择“istiosystem”。 展开服务后方“更多”选项，单击“更新”，在弹出“更新服务”页面将“服务亲和”更改为“节点级别”，单击“确定”。 15. 返回13中访问的外部地址并刷新，若设置之后“xforwardfor”字段中显示的网关获取IP的结果为本机源IP，则完成验证。

本文简述应用加速回源相关配置内容。 功能介绍 域名回源配置信息，主要包括添加源站、选择合适的回源策略、配置端口信息。 回源配置涉及的相关功能如下： 源站： 配置源站IP/域名、角色（主/备）、层级（主源支持1层，备源支持5层）、权重。 回源策略： 选择“择优回源”时，优先回最快的源站，忽略权重；选择“按权重回源”时，按照配置的权重回源；选择“保持登录”时则基于客户端IP哈希回源。 端口信息： 配置tcp请求端口和回源端口、udp请求端口和回源端口，请求端口支持配置多个，回源端口仅支持配置1个。 配置说明 新增域名，配置域名回源配置步骤： 1.登录客户控制台。 2.在域名列表页面，点击右上角“添加域名”。 3.填写回源配置，包括填写源站IP/域名、选择回源策略、填写端口信息等。 编辑域名，修改域名回源配置步骤： 1.登录客户控制台。 2.在域名列表页面，点击编辑目标域名。 3.修改对应的回源配置，包括修改源站IP/域名、修改回源策略、修改端口信息等。 注意 一个加速域名的源站IP/域名最多可以添加60个。 配置界面 新增域名，回源配置界面： 编辑域名，修改回源配置界面：

本文将为您介绍什么是云硬盘扩容以及如何在控制台上实现扩容。 操作场景 当云硬盘空间不足时，用户可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 本文主要对方式二进行介绍。在该方式中，您可以对状态为“已挂载”或者“未挂载”的云硬盘进行扩容。状态为“已挂载”的云硬盘，即当前需要扩容的云硬盘已经挂载给云主机。状态为“未挂载”的云硬盘，即当前需要扩容的云硬盘未挂载至任何云主机。系统盘支持的最大容量为2TB，数据盘支持的最大容量为32TB（X系列数据盘的最大容量为64TB），最小扩容容量为1GB，扩容步长为1GB。 约束与限制 若扩容的云硬盘处于“已挂载”状态： 云硬盘为非共享盘，则其挂载的云主机状态必须为“运行中”或“关机”才支持扩容。 云硬盘为共享盘，则其挂载的所有云主机状态必须都为“运行中”或“关机”才支持扩容。 注意 按需云主机支持“节省关机模式”，此模式下关闭云主机，云主机也处于“关机”状态，同样支持扩容云硬盘。 使用公共镜像创建的系统盘及使用公共镜像制作的私有镜像创建的系统盘支持在“已挂载”状态下扩容。 云硬盘扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 当磁盘已经投入使用后，请在扩容前务必检查磁盘的分区形式，具体说明如下： 分区形式 注意事项 MBR分区 容量最大支持2TB（2048GB），超过2TB的部分无法使用。 GPT分区 容量最大支持18EB（19327352832 GB）。云硬盘服务支持的最大数据盘容量为32TB（32768 GB），即您最大可将数据盘扩容至32TB。 MBR分区需扩容至2TB以上 必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

为更加顺利的进行 用户在进行远程登陆之前，需要执行以下准备： 用户在进行远程登陆前需要进行密码设置或确定密钥已保存，如用户已忘记密码或丢失密钥，可以使用【重置密码】操作重新设置密码，具体操作如下： 1、单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 2、进入轻量型云主机列表界面，在目标轻量型云主机“操作”列下拉“更多”选择“重置密码”。 3、出现重置密码弹框，用户需要在弹窗内输入“密码”及“确认密码”两项，“确认密码”需与“密码”一致。 4、核对后单击“确定”完成密码修改，密码重置后，用户无须重启主机，即可生效新密码。 注：若用户为Windows操作系统，则需要用户先开启远程桌面协议Windows操作系统需开启远程桌面协议

操作场景 通过设置节点告警规则，用户可自定义监控目标与通知策略，及时了解节点运行状况，从而起到预警作用。 设置节点的告警规则包括设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。本节介绍了设置告警规则的具体方法。 操作步骤 步骤 1 登录管理控制台。 步骤 1 单击“管理与部署 > 云监控服务”。 步骤 2 选择“告警 > 告警规则”。 步骤 3 单击“创建告警规则”。 步骤 4 在“创建告警规则”界面，根据界面提示配置参数。 1. 根据界面提示，配置规则信息参数。 图 配置规则信息 表 配置规则信息 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 2. 选择监控对象，配置告警内容参数。 表12 配置告警内容 参数 参数说明 取值样例 ::: 资源类型 配置告警规则监控的服务名称。 弹性云主机 维度 用于指定告警规则对应指标的维度名称 云服务器 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 选择指定资源时，勾选具体的监控对象，单击 将监控对象同步到右侧对话框。 指定资源 选择分组 当监控范围为资源分组时需配置此参数。 选择类型 根据需要可选择从模板导入或自定义创建。 说明 当监控范围为指定资源时可选择从模板导入。 自定义创建 模板 选择需要导入的模板。 告警策略 触发告警规则的告警策略。 当资源类型选择站点监控、日志监控、自定义监控、具体的云服务时，告警策略为一个周期性的动作。当资源类型选择事件监控时，具体的事件为一个瞬间的操作动作，而不是周期性动作。 例如：CPU使用率，监控周期为5分钟，连续三个周期平均值≥80% 挂载点 当监控指标为细颗粒度的磁盘类监控指标时需配置该参数。 Windows系统请输入对应的驱动器号，比如C、D或者E等，Linux系统请输入对应的挂载点，比如/dev、/opt等。 /dev 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 3. 根据界面提示，配置告警通知参数。 表 配置告警通知 参数 参数说明 :: 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 主题通知 需要发送告警通知的主题名称。 当发送通知选择“是”时，需要选择已有的主题名称，若此处没有需要的主题则需先创建主题，该功能会调用消息通知服务（SMN），创建主题请参见《消息通知服务用户指南》。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。 4. 配置完成后，单击“立即创建”，完成告警规则的创建。 告警规则添加完成后，当监控指标触发设定的阈值时，云监控服务会在第一时间通过消息通知服务实时告知您云上资源异常，以免因此造成业务损失。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RocketMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RocketMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RocketMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RocketMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RocketMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文向您介绍云主机网络延迟和丢包,如何定位的解决方案。 问题概述 当您的云主机出现网络延迟和丢包的问题，可能出现以下三种情况。 云主机被入侵：云主机如果发生被黑客入侵或者中毒情况，那么可能病毒程序可能会频繁发送数据包造成带宽超出上限，从而导致丢包现象，严重的情况下可能会使远程登录服务无法使用。 云主机本地网络故障：系统中可能存在业务进程传输io过大导致网络丢包，比如云主机在大量传输文件等。 云主机应用运行异常：应用运行异常会导致网络丢包，如某个应用占用很高的CPU、内存，造成云主机资源不足。 解决方案 云主机被入侵的排查方式： 可以通过 netstat anpt 命令查看系统是否存在异常连接。 可以通过查询图中Foreign Address字段中的IP地址归属判断云主机是否存异常连接，如果IP地址归属为国外地址或者非业务访问连接地址，那么云主机有可能被攻击或中毒。这种情况下建议在云主机中安装专业杀毒软件或者重装云主机系统，并对云主机做相关基于业务场景的安全加固，确保不会再次发生中毒现象。 本地网络故障的排查方式 以CentOS 7.6为例，执行以下命令，安装iotop工具。 plaintext yum install y iotop 可通过图中DISK READ和DISK WRITE字段以及COMMAND字段判断某个进程的读写情况。若存在IO流量值很大的情况，需要考虑对相应进程进行整改以确保网络稳定性。比如关闭正在传输的进程，或者分批次进行文件传输等。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本节为您介绍云迁移服务CMS数据迁移工具删除数据源操作。 进入“数据迁移工具”，点击“数据源管理管理”界面。 找到对应的源节点/目标节点，点击“删除”按钮。

本页介绍天翼云TeleDB数据库备份概念。 全量备份 ：通过在备份服务端调用pgBackRest命令，将PG实例的数据并行拷贝到备机指定的数据目录。 增量备份 ：通过在备份服务端调用pgBackRest命令，将PG实例的数据并行拷贝到备机指定的数据目录。与全量备份区别在于：全量备份用于备份所有文件，增量备份用于备份自动上一次备份后的全部改动和新文件。 备份压缩： 通过gzip工具实现全量备份以及wal日志的压缩。 手动备份： 提供手动创建备份和复制已有全量备份的功能。 恢复备份 ：通过在实例客户端调用pgBackRest命令。将匹配的基础备份数据发送目标PG实例，并通过配置恢复文件，重放wal日志到达一致性点，完成目标实例的恢复。 全量恢复 ：支持基于选定全量备份进行恢复。 基于时间点恢复 ：支持基于选定时间点进行恢复，前提是开启了增量日志备份。 注意 基于时间点恢复原理是先找到离时间点最近的全量备份为基础，再重新以基础备份的Checkpoint点为起点，顺序加载WAL日志直到达到指定时间点，所以如果想使用基于时间点恢复需要开启定时备份全量数据以及WAL日志文件。 恢复指定实例 ：支持恢复到指定实例，推荐恢复到全新的实例，避免造成wal日志覆盖。 自动备份维护 ：支持在线配置备份策略，自动删除过期的WAL备份文件。 本地集中存储 ：支持单个备份机本地存储多个PG实例的备份数据的功能。 wal日志归档 ：通过设置PG实例archivecommand命令，在发生日志切换时自动推送wal日志到备机指定的数据目录。

本页介绍天翼云TeleDB数据库备份相关概念。 全量备份 ：通过在备份服务端调用pgBackRest命令，将PG实例的数据并行拷贝到备机指定的数据目录。 增量备份 ：通过在备份服务端调用pgBackRest命令，将PG实例的数据并行拷贝到备机指定的数据目录。与全量备份区别在于：全量备份用于备份所有文件，增量备份用于备份自动上一次备份后的全部改动和新文件。 备份压缩： 通过gzip工具实现全量备份以及wal日志的压缩。 手动备份： 提供手动创建备份和复制已有全量备份的功能。 恢复备份 ：通过在实例客户端调用pgBackRest命令。将匹配的基础备份数据发送目标PG实例，并通过配置恢复文件，重放wal日志到达一致性点，完成目标实例的恢复。 全量恢复 ：支持基于选定全量备份进行恢复。 基于时间点恢复 ：支持基于选定时间点进行恢复，前提是开启了增量日志备份。 注意 基于时间点恢复原理是先找到离时间点最近的全量备份为基础，再重新以基础备份的Checkpoint点为起点，顺序加载WAL日志直到达到指定时间点，所以如果想使用基于时间点恢复需要开启定时备份全量数据以及WAL日志文件。 恢复指定实例 ：支持恢复到指定实例，推荐恢复到全新的实例，避免造成wal日志覆盖。 自动备份维护 ：支持在线配置备份策略，自动删除过期的WAL备份文件。 本地集中存储 ：支持单个备份机本地存储多个PG实例的备份数据的功能。 wal日志归档 ：通过设置PG实例archivecommand命令，在发生日志切换时自动推送wal日志到备机指定的数据目录。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

您可以在控制台页面右上角的地域切换下拉菜单中，选择要使用的OOS地域。对象存储网络是天翼云推出的最新对象存储服务。对象存储网络中包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、文件（Object）、访问密钥（AccessKeyId和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。您可以在控制台页面右上角的地域切换下拉菜单中，选择对象存储网络。OOS推荐您使用对象存储网络来进行文件的管理。除对象存储网络之外的其他地域，存储桶、文件、访问密钥信息是不互通的。各个地域对应的Endpoint列表，参见域名（Endpoint）列表。

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本章介绍函数工作流的基本使用流程。 函数工作流FunctionGraph是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。 函数使用流程 函数使用流程如下图所示。 1. 用户编写业务程序代码，打包上传至FunctionGraph函数，添加事件源（如SMN、OBS和APIG等），完成应用程序构建部署。 2. 通过RESTful API或者云产品事件源触发函数，生成函数实例，实现业务功能，函数在运行过程中的资源调度由FunctionGraph来管理。 3. 用户可以查看函数运行日志和监控信息，按照代码运行情况收费，代码未运行时不产生费用。 1. 编写代码：用户编写代码，目前支持Node.js、Python、Java、Go等语言。 2. 上传代码：目前支持在线编辑、上传ZIP或JAR包，从OBS引用ZIP包等。 3. API和云产品事件源触发函数执行：通过API和云产品事件源触发函数执行。 4. 弹性执行：函数在执行过程中，会根据请求量弹性扩容，支持请求峰值的执行，此过程用户无需配置，由FunctionGraph完成。 5. 查看日志：FunctionGraph函数实现了与云日志服务的对接，您无需配置，即可查看函数运行日志信息。 6. 查看监控：FunctionGraph函数实现了与云监控服务的对接，您无需配置，即可查看图形化监控信息。 7. 计费方式：函数执行结束后，根据函数请求执行次数和执行时间计费。

本文将为您介绍什么是云硬盘扩容以及如何在控制台上实现扩容。 操作场景 当云硬盘空间不足时，用户可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 本文主要对方式二进行介绍。在该方式中，您可以对状态为“已挂载”或者“未挂载”的云硬盘进行扩容。状态为“已挂载”的云硬盘，即当前需要扩容的云硬盘已经挂载给云主机。状态为“未挂载”的云硬盘，即当前需要扩容的云硬盘未挂载至任何云主机。系统盘支持的最大容量为2TB，数据盘支持的最大容量为32TB（X系列数据盘的最大容量为64TB），最小扩容容量为1GB，扩容步长为1GB。 约束与限制 若扩容的云硬盘处于“已挂载”状态： 云硬盘为非共享盘，则其挂载的云主机状态必须为“运行中”或“关机”才支持扩容。 云硬盘为共享盘，则其挂载的所有云主机状态必须都为“运行中”或“关机”才支持扩容。 注意 按需云主机支持“节省关机模式”，此模式下关闭云主机，云主机也处于“关机”状态，同样支持扩容云硬盘。 使用公共镜像创建的系统盘及使用公共镜像制作的私有镜像创建的系统盘支持在“已挂载”状态下扩容。 云硬盘扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 当磁盘已经投入使用后，请在扩容前务必检查磁盘的分区形式，具体说明如下： 分区形式 注意事项 MBR分区 容量最大支持2TB（2048GB），超过2TB的部分无法使用。 GPT分区 容量最大支持18EB（19327352832 GB）。云硬盘服务支持的最大数据盘容量为32TB（32768 GB），即您最大可将数据盘扩容至32TB。 MBR分区需扩容至2TB以上 必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

获取WAF回源IP段 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“域名详情”页Web应用防火墙信息栏中，复制WAF回源IP地址。 放行WAF回源IP段 将获取到的WAF回源IP地址添加到源站安全软件的白名单中。 注意 为了保证您的业务安全性，建议您在放行回源IP段时，仅配置入方向的放行策略，将回源IP段加入白名单，这样能够保证出方向的数据依然能够被WAF检测，从而避免攻击者绕过WAF直接对源站进行攻击。 请注意，如果没有将回源IP段添加到白名单列表，将会导致通过WAF回源的正常业务请求被拦截，导致业务无法正常提供服务。

本节介绍如何升级基础版服务托管资产数量。 基础版支持升级托管资产数，在服务概览界面，点击升级进入基础版升级页面进行托管资产数升级，用户可在【升级内容】模块根据自身需求选择要增加的资产数。然后点击立即购买并支付。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击基础版服务列表内的“升级”按钮，跳转到基础版升级界面。 3. 在基础版升级页面，输入“扩展托管云主机”数量，并点击“立即购买“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看扩展结果。

服务 认证方式 ClickHouse simple认证 Flume 无认证 HBase WebUI：无认证 客户端：simple认证 HDFS WebUI：无认证 客户端：simple认证 Hive simple认证 Hue 用户名密码认证 Kafka 无认证 Loader WebUI：用户名密码认证 客户端：无认证 Mapreduce WebUI：无认证 客户端：无认证 Oozie WebUI：用户名密码认证 客户端：simple认证 Spark2x WebUI：无认证 客户端：simple认证 Storm 无认证 Yarn WebUI：无认证 客户端：simple认证 ZooKeeper simple认证

本文介绍全站加速是否支持上传加速。 全站加速支持上传加速，包括 POST、PUT等请求的加速。 使用上传加速后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 需要做上传加速的域名在控制台添加域名时，域名类型请选择“全站加速上传加速”，即可享受上传加速服务。详见：上传加速。

请修改该路径到client.crt的绝对路径 export PGSSLKEY"/YOUR/PATH/OF/client.key" 请修改该路径到client.key的绝对路径 将根证书cacert.pem文件放至客户端用户home目录下的.postgresql目录下（如果没有请创建该目录），并将cacert.pem重命名为root.crt，文件权限设置为600。 同时将数据源中的Sslmode选项调整至“require”。 步骤 5 配置环境变量。 vim ~/.bashrc 在配置文件中追加以下内容。 export LDLIBRARYPATH/usr/local/lib/:$LDLIBRARYPATH export ODBCSYSINI/usr/local/etc export ODBCINI/usr/local/etc/odbc.ini 步骤 6 执行如下命令使设置生效。 source ~/.bashrc 步骤 7 执行以下命令，开始连接数据库。 isql v GaussODBC GaussODBC为数据源名称 如果显示如下信息，表明配置正确，连接成功。 + Connected! sqlstatement help [tablename] quit + SQL> 若显示ERROR信息，则表明配置错误。请检查上述配置是否正确。 在Windows下使用ODBC连接数据库 Windows操作系统自带ODBC数据源管理器，无需用户手动安装管理器便可直接进行配置。 步骤 1 替换客户端云数据库GaussDB 驱动程序 将GaussDBKernelV500R001C20WindowsOdbcX86.tar.gz解压后，根据需要，点击psqlodbc.msi（32位）或者psqlodbcx64.msi（64 位）进行驱动安装。 步骤 2 打开驱动管理器。 在配置数据源时，请使用对应的驱动管理器（假设操作系统安装盘符为C盘，如果是其他盘符，请对路径做相应修改）： 64位操作系统上进行64位程序开发，安装64位驱动程序后，使用64位的驱动管理器：C:WindowsSystem32odbcad32.exe 请勿直接使用“控制面板 > 管理工具 > 数据源(ODBC)”。 说明： WoW64的全称是"Windows 32bit on Windows 64bit"，C:WindowsSysWOW64存放的是64位系统上的32位运行环境。而C:WindowsSystem32存放的是与操作系统一致的运行环境，具体的技术信息请查阅Windows的相关技术文档。 64位操作系统上进行64位程序开发，安装64位驱动程序后，使用64位的驱动管理器：C:WindowsSystem32odbcad32.exe 请勿直接使用“控制面板 > 管理工具 > 数据源(ODBC)”。 32位操作系统请使用：C:WindowsSystem32odbcad32.exe 或者点击“计算机 > 控制面板 > 管理工具 > 数据源(ODBC)”打开驱动管理器。 步骤 3 配置数据源。 在打开的驱动管理器上，选择“用户DSN > 添加 > PostgreSQL Unicode”（如果是64位驱动，将会有64位标识），然后进行配置： 须知： 此界面上配置的用户名及密码信息，将会被记录在Windows注册表中，再次连接数据库时就不再需要输入认证信息。但是出于安全考虑，建议在单击"Save"按钮保存配置信息前，清空相关敏感信息；在使用ODBC的连接API时，再传入所需的用户名、密码信息。 步骤 4 SSL模式。 将client.crt、client.key、client.key.cipher、client.key.rand文件放至%APPDATA%postgresql(该目录需手动建立)目录下，并且将文件名中的client改为postgres，例如client.key修改为postgres.key；将cacert.pem文件放至%APPDATA%postgresql目录，并更名为root.crt。 说明： %APPDATA% 该值在安装时由客户指定，默认位置在C:Users[username]AppData。 同时将步骤2中的设置窗口的“SSL Mode”选项调整至“require”。 表 sslmode的可选项及其描述 sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用，则可以使用SSL安全加密连接，但不验证数据库服务器的真实性。 prefer 可能 如果数据库支持，那么首选使用SSL安全加密连接，但不验证数据库服务器的真实性。 require 是 必须使用SSL安全连接，但是只做了数据加密，而并不验证数据库服务器的真实性。 verifyca 是 必须使用SSL安全连接，并且验证数据库是否具有可信证书机构签发的证书。当前windows ODBC不支持cert方式认证。 verifyfull 是 必须使用SSL安全连接，在verifyca的验证范围之外，同时验证数据库所在主机的主机名是否与证书内容一致。当前windows odbc不支持cert方式认证。 步骤 5 点击Test进行测试连接。 如果显示如下，则表明配置正确，连接成功。 若显示ERROR信息，则表明配置错误。请检查上述配置是否正确。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本章节主要介绍配置存算分离集群（委托方式） 。 MRS支持用户将数据存储在OBS服务中，使用MRS集群仅做数据计算处理的存算模式。MRS通过IAM服务的“委托”机制进行简单配置，实现使用ECS自动获取的临时AK/SK访问OBS。避免了AK/SK直接暴露在配置文件中的风险。 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源，请根据实际业务场景需求确认是否需要配置委托。 MRS提供如下访问OBS的配置方式，请选择其中一种配置即可（推荐使用委托方式）： 通过为MRS集群绑定ECS委托方式访问OBS，避免了AK/SK直接暴露在配置文件中的风险，具体请参考本章节。 在MRS集群中配置AK/SK，AK/SK会明文暴露在配置文件中，请谨慎使用，具体请参考配置存算分离集群（AKSK方式）。 集群的Hadoop、Hive、Spark、Presto、Flink组件支持该功能。 1.创建具有访问OBS权限的ECS委托 说明 MRS在IAM的委托列表中预置了MRSECSDEFAULTAGENCY委托，可在集群创建过程中可以选择该委托，该委托拥有对象存储服务的OBS OperateAccess权限和在集群所在区域拥有CESFullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。同时请勿在IAM修改MRSECSDEFAULTAGENCY委托。 如需使用预置的委托，请跳过创建委托步骤。如需使用自定义委托，请参考如下步骤进行创建委托（创建或修改委托需要用户具有Security Administrator权限）。 1. 登录管理控制台。 2. 在服务列表中选择“管理与监管 > 统一身份认证服务”。 3. 选择“委托 > 创建委托”。 4. 设置“委托名称”。例如：mrsecsobs。 5. “委托类型”选择“云服务”，在“云服务”中选择“弹性云主机ECS 裸金属服务器BMS”，授权ECS或BMS调用OBS服务。 6. “持续时间”选择“永久”并单击“下一步”。 7. 在弹出授权页面的搜索框内，搜索“OBS OperateAccess”策略，勾选“OBS OperateAccess”策略。 8. 单击“下一步”，选择权限范围方案，默认选择“所有资源”，单击“展开其他方案”，选择“全局服务资源”。 9. 在弹出的提示框中单击“知道了”，开始授权。界面提示“授权成功。”，单击“完成”，委托成功创建。

创建DRDS实例后,您可以根据实际情况设置备份策略,系统将按照您设置的备份策略对实例进行备份与备份清理。 注意事项 由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。设置自动备份策略后，会按照策略中的备份时间段和备份周期进行备份。 DRDS的备份策略将覆盖其关联的MySQL的备份策略。设置完成后请勿在MySQL控制台修改备份策略，避免备份失败。 保留天数限制取决于底层MySQL的限制，MySQL实例备份类型为对象存储的实例最多支持保留180天，MySQL实例备份类型为云硬盘的实例最多支持保留7天。详情参考MySQL官网文档。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入【备份列表】页面。 5. 单击【备份策略】页签，然后单击备份策略右侧的【编辑】。 6. 在备份策略面板中，设置如下备份参数。 【备份方式】：选择【快速备份】或【一致性备份】。 【备份周期】：选择周一至周日任意天数，可重复勾选。 【数据备份保留天数】：数据备份的保留天数。 【备份开始时间】：选择备份开始时间，支持设置的范围为00:00~24:00。 7. 勾选【此备份策略将覆盖其关联的RDS的备份策略。设置完成后，请勿修改RDS上的备份策略，避免备份失败】，然后单击【确定】。 您可以在【备份策略】页签下，查看当前实例的备份策略。

本页介绍了文档数据库服务开发相关规范。 数据库连接 在使用文档数据库服务进行应用程序开发时，为了保证数据库连接的安全性和可靠性，需要遵守一些数据库连接规范。以下是一些常用的文档数据库服务连接规范： 使用URI进行连接：文档数据库服务支持使用URI（Uniform Resource Identifier）格式的连接字符串进行连接，这种格式可以简化连接参数的设置，例如： mongodb://username:password@hostname:port/database 其中，username 和 password 是登录数据库的用户名和密码，hostname 和 port 是文档数据库服务的服务器的地址和端口号，database 是要连接的数据库名称。 使用连接池：为了提高连接的效率和性能，可以使用连接池技术对文档数据库服务连接进行管理。连接池可以缓存连接对象，并在需要时重复利用，避免频繁创建和销毁连接对象。客户端连接数据库的时候，要计算业务一共有多少个客户端，每个客户端配置的连接池大小是多少，总的连接数不要超过当前实例能承受的最大连接数的80%。 不要使用过期的连接：文档数据库服务连接对象具有一定的生命周期，在使用完毕后应该及时关闭连接，避免占用过多的系统资源。同时，不要使用已经过期的连接对象，应该重新创建一个新的连接对象进行操作。 设置合适的超时时间：在连接文档数据库服务时，应该设置合适的超时时间，避免连接过程中出现异常或超时而导致应用程序出现问题。可以设置连接超时、读取超时、写入超时等不同类型的超时时间。 避免使用过多的连接：在应用程序中，应该避免使用过多的文档数据库服务连接，以免占用过多的系统资源。可以通过使用连接池、设置连接超时等方式来优化连接的使用。 使用SSL/TLS进行加密：为了提高数据库连接的安全性，可以使用SSL/TLS等加密协议对文档数据库服务连接进行加密传输，避免数据被窃取或篡改。

本章节主要介绍操作类问题中有关客户端使用的问题。 怎么关闭ZooKeeper SASL认证？ 1.登录FusionInsight Manager。 2.选择“集群 > 服务 > ZooKeeper > 配置 > 全部配置”。 3.在左侧导航栏选择“quorumpeer > 自定义”添加参数名称和值：zookeeper.sasl.disable false。 保存配置后，重启ZooKeeper服务。 在MRS集群外客户端中执行kinit报错“Permission denied”如何处理？ 问题现象 在MRS集群外节点上安装了客户端后并执行kinit命令报错如下： bash kinit Permission denied 执行java命令也报错如下： bash: /xxx/java: Permission denied 执行 ll / java 安装路径 /JDK/jdk/bin/java命令查看该文件执行权限信息正常。 原因分析 执行mount column t查看挂接的分区状态，发现java执行文件所在的挂载点的分区状态是“noexec”。当前环境中将安装MRS客户端所在的数据盘配置成“noexec”，即禁止二进制文件执行，从而无法使用java命令。 解决方法 1.以root用户登录MRS客户端所在节点。 2.移除“/etc/fstab”文件中MRS客户端所在的数据盘的配置项“noexec”。 3.执行umount 命令卸载数据盘，然后再执行mount a重新挂载数据盘。

本文主要介绍如何删除IP地址组。 操作场景 本章节指导用户删除IP地址组。 说明 删除IP地址组，也将删除IP地址组使用的安全组规则和网络ACL规则。 删除IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“删除”，删除IP地址组。删除IP地址组会同时删除该地址组关联的安全组规则。

本文为您介绍如何查看评估任务的详细信息。 操作场景 您要查看已创建的评估任务的详细信息。 前提条件 评估任务列表中，您要查看的评估任务已经成功创建。 操作指导 1.登录控制中心，点击控制中心左上角的，选择地域（服务入口目前仅开放“华东1”地域）。 2.单击“对象存储>对象存储迁移服务>迁移评估”进入迁移服务的迁移评估控制台，您可以通过评估任务列表来查看和管理您创建的评估任务。评估任务列表展示的信息如下： 信息 说明 : 任务名称 任务的自定义名称。 源端 展示任务的源端。 目的端 展示任务的目的端，即天翼云对象存储ZOS。 任务状态 展示任务的状态，包括：排队中、评估中、暂停、任务失败、任务结束。 说明 排队中：任务创建成功在排队等待自动执行。 评估中：任务正在执行评估。 暂停：任务暂停。 任务失败：评估任务执行失败。 任务结束：评估任务结束。 任务创建时间 展示任务创建的时间。 任务完成时间 展示任务完成的时间。 评估结果 展示任务源端待迁移的对象数量。 3.在评估列表中，点击您想查看的评估任务的名称，即可在“任务详情”弹窗中，查看评估任务的详细信息。详细信息的内容说明如下： 信息 说明 任务名称 任务的自定义名称。 任务ID 迁移服务中每个任务都有唯一的任务ID。 源端信息 展示任务的源端信息，包括：源端、EndPoint、存储桶等源端配置信息。 目的端信息 展示目的端信息。 任务整体情况 展示已扫描对象数。 对象大小分布 展示任务扫描到的源端不同量级的对象的个数。 评估结果 展示任务源端待迁移的对象数量。

本文帮助您快速熟悉虚拟私有云创建子网的操作流程。 操作场景 子网默认配置DHCP协议，即使用该VPC的弹性云主机启动后，会通过DHCP协议自动获取到IP地址。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“虚拟私有云 > 子网”。 4. 单击“创建子网”。进入“创建子网”页面。 5. 根据界面提示配置参数。 6. 单击“确定”。 注意事项： 子网创建成功后，有5个系统保留地址您不能使用。以192.168.0.0/24的子网为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围开始，不作分配 192.168.0.1：网关地址 192.168.0.253：系统接口，用于VPC对外通信 192.168.0.254：DHCP服务地址 192.168.0.255：广播地址 如果您在创建子网时选择了自定义配置，系统保留地址可能与上面默认的不同，系统会根据您的配置进行自动分配。