本文为您介绍CC攻击防护最佳实践。 当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定网站已遭受CC攻击，可以利用WAF阻断CC攻击，保障网站业务的正常运行。 CC攻击防护策略 在大规模CC攻击中，单台傀儡机发包的速率往往远超过正常用户的请求频率。针对这种场景，直接对请求源设置限速规则是最有效的办法。推荐您自定义CC防护策略，对具体的访问源配置限速策略，具体操作，请参见CC防护。 在实际场景中，您需要根据自身业务需求调整防护路径和触发防护的阈值，并选择合适的处置动作，以达到更有针对性、更精细化的防护效果。 例如：为了预防登录接口受到恶意高频撞库攻击的影响，您可以配置登录接口的地址（示例：使用path字段作为匹配条件，将匹配内容设置为/login.php），并设置30秒内超过10次请求则进行封禁。

项目 描述 时间选择 删除量查询的时间段，可以选择查看下列时间段的删除量： 今日。 昨日。 近7日。 近30日。 根据日历按钮，选择查询任意90天内删除量。 时间粒度 删除量查询的时间粒度，可以选择： 按五分钟查询：统计信息按每5分钟展示，可以选择查询今日、昨日或按日历选择任意1天的数据。 按小时查询：统计信息按每小时展示，可以查询今日、昨日、近7日或按日历选择任意7天内的数据。 按天查询：统计信息按天展示，可以查询今日、昨日、近7日、近30天或按日历按钮选择任意90天内的数据。 数据位置 删除量查询的数据位置，可以选择： 全部数据位置：展示所有数据位置的删除量之和。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的删除量。 存储桶 删除量查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的删除量之和。 具体存储桶：根据显示的存储桶，选择查看对应存储桶的删除量。 存储类型 选择删除量查询的类型： 全部存储类型：分别展示标准存储和低频访问存储的删除量。 标准类型：标准存储的删除量。 低频访问存储：低频访问存储的删除量。

智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品。依托天翼云遍布全国的资源节点,可实现设备上云全链路的就近接入、就近存储、就近分发及就近分析,通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。

智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品。依托天翼云遍布全国的资源节点,可实现设备上云全链路的就近接入、就近存储、就近分发及就近分析,通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。

版本 免费版 企业版 版本说明 完全免费，最多可接入10个Agent在线，每过15天需要用户重新激活 所有功能完全开放 数据存储时长 7天 30天 应用拓扑 √ √ 调用链 √ √ 跨Region调用链跟踪 √ √ 指标监控 √ √ URL跟踪分析 √ √ 告警 √ √ CMDB √ √ 说明（是否支持，√表示支持，x表示不支持）

产品规格 标准资费（元） 单位 基础服务安装部署 7000 实例 基础服务健康巡检 7000 实例 基础服务应急响应 9000 实例 基础服务性能调优 9000 实例 保驾护航高级专家 15000 天 保驾护航资深专家 20000 天 数据库增值服务包 500 实例月 数据库增值服务包 6000 实例年

本文说明如何配置应用启动参数。 若您的应用exe程序启动时需要支持免登录、连接数据库等功能，可以在应用发布时输入您需要的启动参数，本文说明如何查看您的应用启动参数。 操作步骤 1. 进入云渲染控制台。 2. 在应用列表选择您需要配置的应用，点击修改 。 3. 填写完成后单击确定 ，即完成启动参数配置。 填写说明 注意： 当您的应用在开通服务后显示启动异常，您可以检查是否exe启动时需要配置启动参数 1. 进入任务管理器的详细信息，选中命令行。 2. 在任务管理器找到您的exe进程，查看可执行程序名后面的参数 ，如果有的话，需要填入启动参数。 3. 选择相应进程（路径含Win64），使用ctrl+c可以拷贝整行信息，然后选择 exe后面的信息作为启动参数填入 。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 注意 以CNAME方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改，详细操作请参见修改域名DNS。 域名接入时，WAF回源是否需要放行所有客户端IP？ 根据您的业务情况，您可以只放行WAF回源IP段，也可以放行所有客户端IP。 对于Web业务，建议您只放行WAF回源IP，实现源站保护。详细操作请参见放行WAF回源IP段。 对于客户端IP，如果有白名单需要，建议您通过WAF白名单配置进行放行，不建议直接放行所有客户端IP。 说明 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

您可以根据需求查看设备上某个应用、应用组的流量情况。 操作场景 用户查看某个设备上的应用/应用组的流量情况。 前提条件 设备已绑定天翼云SDWAN； 已经在设备中开启“DPI”功能。 操作步骤 1. 登录管理与部署控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN操作列的“查看监控项”； 3. 单击“应用识别”，选择需要查看监控的目标智能网关； 4. 选择查询时间间隔； 5. 可查看目标智能网关上应用组的流量占比、应用上下行top5流量、以及最近100个具有上网行为的应用。

本节主要介绍通过PVC创建克隆卷的步骤。 前提条件 CSI中已经存在HBlock相关的PVC，且对应的HBlock卷为Local模式。 在执行此操作之前，请确保源卷（PVC）的所有数据已持久化，即如果源卷已被客户端挂载，需确保客户端的数据都已经同步到卷上。创建克隆卷前： 如果是block模式的卷：在客户端执行sync命令。 如果是filesystem模式的卷：如果客户端支持sync f（可以通过sync help命令查看是否支持），在客户端执行sync f命令；否则在客户端执行sync命令。 操作步骤 1. 创建克隆卷的StorageClass配置文件（可选）。 说明 如果下列参数在克隆卷的StorageClass和源卷StorageClass都存在，但是取值不同，则以克隆卷StorageClass中的取值为准。 plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: csistorsclocal provisioner: stor.csi.k8s.io parameters: clusterID: clusterID storageMode: Local sectorSize: sectorSize localStorageClass: localStorageClass minReplica: minReplica redundancyOverlap: redundancyOverlap ECfragmentSize: ECfragmentSize highAvailability: highAvailability writePolicy: writePolicy isMultipath: isMultipath pool: pool cachePool: cachePool flattenVolumeFromSnapshot: "false" maxCloneDepth: maxCloneDepth maxSessions: maxSessions serverNumbers: serverNumbers faultDomains: faultDomains chapEnable: "false" chapUser: username chapPassword: password reclaimPolicy: Delete volumeBindingMode: Immediate allowVolumeExpansion: true 克隆卷的StorageClass配置文件参数： 参数 描述 是否必填 metadata.name StorageClass的名称。 是 provisioner HBlock CSI驱动名称。 取值：HBlock CSI安装时的驱动名称。 是 parameters.clusterID csiconfigMap.yaml中配置的HBlock的标识。需要与源卷的clusterID保持一致。 是 parameters.storageMode 卷的存储类型。 取值：Local。默认与源卷保持一致。 否 parameters.sectorSize 扇区大小。根据客户端文件系统 I/O 操作的最小单位设定卷扇区大小。 取值："512"、"4096"，单位是bytes。默认值为源卷的扇区大小。 否 parameters.localStorageClass 本地存储冗余模式。单机版不能设置此参数。 注意 如果设置了克隆卷的minReplica或redundancyOverlap，则必须同时指定该参数。 取值： singlecopy：单副本； 2copy：两副本； 3copy：三副本； EC N+M：纠删码模式。其中N、M为正整数，N>M，且N+M<128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的卷冗余模式。 否 parameters.minReplica 最小副本数（仅集群版支持）。 注意 如果指定该参数，则必须指定克隆卷的localStorageClass。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。 如果没有指定克隆卷的localStorageClass：默认值为源卷的最小副本数。 如果指定了克隆卷的localStorageClass：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 否 parameters.redundancyOverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localStorageClass。 取值：整数。 如果没有指定克隆卷的localStorageClass：默认值为源卷的折叠副本数。 如果指定了克隆卷的localStorageClass：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 否 parameters.ECfragmentSize 纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 否 parameters.highAvailability 是否选择高可用模式。单机版不能设置此参数。 取值： ActiveStandby：启动主备，该卷关联对应Target下的所有IQN。 Disabled：禁用高可用模式，该卷关联对应Target下的一个IQN。 默认值为源卷的高可用类型。 否 parameters.writePolicy 卷的写策略。 取值： WriteBack：回写，即数据写入到内存后，立刻返回给客户端写成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，即数据同时写入内存和磁盘，并在两处都写成功后，再返回客户端写成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，即数据写入磁盘后即释放相应内存，写入磁盘成功后，立刻返回客户端写成功。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为源卷的写策略。 否 parameters.isMultipath 是否使用Multipath。 取值： "true"。 "false"。 默认值为"true"。 注意 这里需要输入字符串，即"true"或"false"。 如果HBlock集群版使用的HBlock卷没有启用高可用模式，即highAvailability为Disabled，此处需要设置为"false"，否则会导致pod启动失败。 如果是HBlock单机版，此处需要设置为"false"。 条件 parameters.path 指定存储卷数据的数据目录（仅单机版支持）。 如果创建卷时不指定数据目录，默认与源卷配置保持一致。 否 parameters.pool 存储池名称，表示最终存储池，卷数据最终落在该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 parameters.cachePool 存储池名称，表示高速缓存存储池，卷数据首先写入该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 parameters.flattenVolumeFromSnapshot 是否断开克隆卷与快照的关系链。 取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 否 parameters.maxCloneDepth 最大克隆卷深度，当超过设置的最大深度时，新创建的克隆卷会自动执行断链。 取值：整数，取值范围是[0, 15]，默认值为5。 否 parameters.maxSessions iSCSI Target允许建立的最大会话数。 取值：整数，取值范围是[1, 1024]，默认值为1。 注意 卷模式为filesystem，取值只能为1。 否 parameters.serverNumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。默认值为2。 否 parameters.faultDomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 否 parameters.chapEnable 是否使用CHAP认证，取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 否 parameters.chapUser CHAP认证的用户名。如果配置文件csisecretdecrypt.yaml中的decryptFlag为true，需要对CHAP认证的用户名使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见配置加密模式。 加密前取值：字符串形式，长度范围是3~64，只能由字母、数字、句点( . )、短横线( )、下划线( )、冒号( : )组成，字母区分大小写，且仅支持以字母或数字开头。 否 parameters.chapPassword CHAP认证的密码。如果配置文件csisecretdecrypt.yaml中的decryptFlag为true，需要对CHAP认证的密码使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见配置加密模式。 加密前取值：字符串形式，长度范围是12~16，必须包含大写字母、小写字母、数字、下划线()中的至少两种字符，字母区分大小写。 否 parameters.IOPS 每秒能够进行读写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 parameters.readIOPS 每秒能够进行读操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 parameters.writeIOPS 每秒能够进行写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 parameters.Bps 每秒可传输数据量的最大值。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 parameters.readBps 读带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 parameters.writeBps 写带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 parameters.IOPSBurst 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：只有当IOPS大于等于1时，此项设置为1或(IOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 parameters.readIOPSBurst 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：只有当readIOPS大于等于1时，此项设置为1或(readIOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 parameters.writeIOPSBurst 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：只有当writeIOPS大于等于1时，此项设置为1或(writeIOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 parameters.BpsBurst 使用Burst功能时，每秒可传输的数据量最大值。 取值：只有当Bps大于等于1时，此项设置为1或(Bps, 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 parameters.readBpsBurst 使用Burst功能时，读带宽上限。 取值：只有当readBps大于等于1时，此项设置为1或(readBps, 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 parameters.writeBpsBurst 使用Burst功能时，写带宽上限。 取值：只有当writeBps大于等于1时，此项设置为1或(writeBps, 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 parameters.IOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.readIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在read IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.writeIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在write IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.BpsBurstSecs 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.readBpsBurstSecs 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在read Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.writeBpsBurstSecs 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在write Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 2. 创建克隆卷的配置文件。 plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: clonepvcfrompvcblock

本章节介绍如何将部署在ECS的应用,通过安装MSE Agent的方式接入微服务治理中心 概述 部署在ECS的应用，可以通过安装MSE Agent的方式接入微服务治理中心，使用微服务治理中心提供的一系列服务治理能力。 环境规划 1.开通微服务云应用平台MSAP 开通 微服务云应用平台。 2.环境信息配置 使用微服务治理中心前，需要为应用提前规划环境、项目和分组信息。您可通过进入微服务治理控制台>应用治理>应用接入>ECS集群进行配置，也可跳转至微服务云应用平台创建。 网络通路 1.DNS配置 上报域名为内网域名，需要在DNS配置文件（/etc/resolv.conf）首行添加nameserver 100.95.0.1 才生效。 2.创建VPC终端节点 使用微服务治理中心前，需要在目标VPC中创建终端节点。创建路径：微服务治理中心控制台>应用治理>应用接入>ECS集群>网络通路。 进入应用接入页面。 点击ECS集群，选择VPC，点击创建终端节点。 点击确定授权并创建VPC终端节点。 点击确定后，刷新页面，显示VPC的终端节点状态为已创建。

本节主要介绍创建用户组并授权 管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 创建用户组 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见移除用户组权限。 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“用户组”，单击待添加授权用户组右侧的 “授权”。 步骤 4 用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 步骤 5 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，下表为IAM提供的所有授权范围方案。 表 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 步骤 6 单击“确定”，完成用户组授权。

本节主要介绍申请开通 已实名认证的天翼云企业类型帐号可申请开通企业项目管理。 前提条件 请确保您已拥有天翼云企业帐号，若您还没有帐号，请先进行注册。 请确保您的企业账号已完成实名认证。 开通步骤 步骤 1 企业管理员使用已注册的天翼云企业帐号登录天翼云网门户。 步骤 2 单击顶部右侧“管理中心”，在管理中心页面单击页面顶部右侧“工单”。 步骤 3 在工单中心业务，单击左侧导航菜单“新建工单”。 步骤 4 在新建工单页面，所属产品选择“会员账号”，单击卡片右侧的“提问”按钮。 步骤 5 问题分类点选“其它问题”，在创建工单业务，填写工单标题/工单内容为“申请开通企业项目管理”。 步骤 6 填写联系方式等信息，单击“确认提交”完成企业项目管理开通申请。

本文详细介绍天翼云支持用户账单查询相关操作。 天翼云支持用户查询账单概览、流水账单、账单详情及导出记录，详情请见：账单概览。 消费概况 汇总账单可以展示不同汇总维度下的应付金额、扣费明细等数据，每个产品只展示一条汇总数据。 流水账单 流水账单可以展示按照不同计费模式下的每一笔订单和每个计费周期维度构成的数据，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 账单详情 自定义账单可以通过多维度展示客户账单的详细信息，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 导出记录 用户选择导出后，可以在“导出记录”页面点击下载，也可查看已导出的全部文件记录。 查询步骤 1、登录天翼云账户，单击右上角【我的】，再单击【费用中心】。 2、选择【账单管理】，分别单击【账单概览】、【流水账单】、【账单详情】、【导出记录】查询不同维度的账单。 套餐内流量使用情况查询 如果您订购的套餐的计费方式是流量，可以参考以下方式查看套餐内流量的使用情况： 1. 登录 边缘安全加速平台控制台。 2. 在【计费详情】进入产品服务页面可查询到套餐内流量的使用情况。

本文将指引您搭建一个IPv6网段的VPC,并在VPC中创建一个带有IPv6地址的集群和节点,使节点可以访问Internet上的IPv6服务。 简介 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前集群中的工作节点（如ECS）使用IPv4，那么启用IPv6后，工作节点可在双栈模式下运行，即工作节点可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务，则您可使用：IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，则您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，则您必须使用IPv6双栈。 使用IPv6双栈请参考IPv4/IPv6双栈网络、IPv6弹性公网IP。 搭建IPv4/IPv6双栈集群步骤 步骤 1 创建虚拟私有云，且创建已开启了IPv6的子网。若没有，则参考创建虚拟私有云和子网。 1. 创建VPC时需开启IPv6 2. 创建子网并开启IPv6 步骤 2 创建集群 1. 登录CCE控制台，在右上角中选择“创建集群”。 2. 网络配置请按如下设置，其余配置可参考订购集群： 虚拟私有云：选择已开启IPv6的VPC。 所在子网：仅支持选择已开启了IPv6的子网。 启用IPv6：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 Pod子网：仅支持选择已开启了IPv6的子网。 Service CIDR：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 Service CIDRV6：该网段决定了支持 IPv6 地址的 Service 资源的上限，创建后不可修改，默认为fc00::/112。如需自定义该网段，需要满足以下要求，详情请参考如何设置Service CIDRV6网段： Service CIDRV6网段需属于fc00::/8网段内。 IPv6地址前缀长度范围为112120，您可以通过调整前缀数值，调整地址个数，地址数最多可支持65536个

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 云容器引擎服务对接了应用运维管理服务AOM，支持容器日志采集、查看、检索功能。使用该功能前首先要配置日志采集路径，本章节向您介绍如何采集容器内路径日志。 如果您需要通过不做任何配置的方式采集容器标准输出日志，请参见采集容器标准输出日志。 注意事项 ICAgent只采集.log、.trace和.out类型的文本日志文件。 AOM默认会采集容器标准输出日志，您不用做任何配置。 在CCE中添加日志策略 步骤 1 在CCE中创建无状态负载(Deployment)时，添加容器后，展开“容器日志”配置区域。 步骤 2 单击“添加日志策略”，设置自定义日志参数，配置日志策略，以nginx为例，不同工作负载根据实际情况配置。 步骤 3 存储类型有“主机路径”和“容器路径”两种类型可供选择： 主机路径：可将主机上的路径挂载到指定的容器路径。日志策略配置参数如下： 添加日志策略主机路径 参数 参数说明 存储类型 设置为“主机路径”。将主机上的路径挂载到指定的容器路径。 添加容器挂载 主机路径 输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意： 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 容器路径：日志仅输出到容器路径，无需挂载主机路径。日志策略配置参数如下： 添加日志策略容器路径 参数 参数说明 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 说明： 此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 步骤 4 单击“确定”，并完成创建工作负载。 查看日志 日志采集路径配置和工作负载创建完成后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。 待采集完成后，进入工作负载详情页，单击右上角的“日志”按钮查看日志详情并进行分析。 说明： 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

前提条件 已经参考向量检索的集群规划完成集群创建，集群必须是7.6.2 或7.10.2版本。 根据实际需要参考本章节下方“集群高级配置”完成集群高级设置。 创建向量索引 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择需要启用向量检索的集群，单击操作列“Kibana”，登录Kibana界面。 3.单击左侧导航栏的“Dev Tools”，执行如下命令创建向量索引。 创建一个名为“myindex”的索引，该索引包含一个名为“myvector”的向量字段和一个名为“mylabel”的文本字段。其中，向量字段创建了GRAPH图索引，并使用欧式距离作为相似度度量。 PUT myindex { "settings": { "index": { "vector": true } }, "mappings": { "properties": { "myvector": { "type": "vector", "dimension": 2, "indexing": true, "algorithm": "GRAPH", "metric": "euclidean" }, "mylabel": { "type": "text" } } } } 创建索引参数说明 类型 参数 说明 Index settings参数 vector 当需要使用向量索引加速时，需要设置该值为true。 Field mappings参数 type 字段类型，“vector”表示该字段为向量字段。 Field mappings参数 dimension 向量数据维度。 取值范围：[1, 4096] Field mappings参数 indexing 是否开启向量索引加速。 可选值： l false：表示关闭向量索引加速，向量数据仅写入docvalues，只支持使用ScriptScore以及Rescore进行向量查询。 l true：表示开启向量索引加速，系统将创建额外的向量索引，索引算法由"algorithm"字段指定，写入数据后可以使用VectorQuery进行查询。 默认值：false。 Field mappings参数 algorithm 索引算法。仅当“indexing”为“true”时生效。 可选值： l FLAT：暴力计算，目标向量依次和所有向量进行距离计算，此方法计算量大，召回率100%。适用于对召回准确率要求极高的场景。 l GRAPH：图索引，内嵌深度优化的HNSW算法，主要应用在对性能和精度均有较高要求且单shard中文档数量在千万个以内的场景。 l GRAPHPQ：将HNSW算法与PQ算法进行了结合，通过PQ降低原始向量的存储开销，能够使HNSW轻松支撑上亿规模的检索场景。 l IVFGRAPH：算法将IVF与HNSW结合，对全量空间进行划分，每一个聚类中心向量代表了一个子空间，极大地提升检索效率，同时会带来微小的检索精度损失。适用于数据量在上亿以上同时对检索性能要求较高的场景。 l IVFGRAPHPQ：PQ算法与IVFHNSW的结合，PQ可以通过配置选择与HNSW结合和IVF结合，进一步提升系统的容量并降低系统开销，适用于shard中文档数量在十亿级别以上同时对检索性能要求较高的场景。 默认值：GRAPH。 说明 当选择IVFGRAPH或者IVFGRAPHPQ索引时，需要额外进行预构建中心点索引以及注册等步骤，具体内容请参考 （可选）预构建与注册。 Field mappings参数 见下表“可选参数说明” 当使用向量索引加速时（即“indexing”为“true”时），为了获得更高的查询性能以及查询精度，ES提供了与向量索引相关的可选参数配置。 Field mappings参数 metric 计算向量之间距离的度量方式。 可选值： l euclidean：欧式距离。 l innerproduct：内积距离。 l cosine：余弦距离。 l hamming：汉明距离。 默认值：euclidean 可选参数说明 类型 参数 说明 GRAPH类索引配置参数 neighbors 图索引中每个向量的邻居数，默认值为64，值越大查询精度越高。索引越大，构建速度以及后续的查询速度也会变慢。 取值范围：[10, 255] GRAPH类索引配置参数 shrink 构建hnsw时的裁边系数，默认值1.0f。 取值范围：(0.1, 10) GRAPH类索引配置参数 scaling 构建hnsw时上层图节点数的缩放比例，默认值50。 取值范围：(0, 128] GRAPH类索引配置参数 efc 构建hnsw时考察邻居节点的队列大小，默认值为200，值越大精度越高，构建速度将会变慢。 取值范围：(0, 100000] GRAPH类索引配置参数 maxscannum 扫描节点上限，默认值为10000，值越大精度越高，索引速度变慢。 取值范围：(0, 1000000] PQ类索引配置参数 centroidnum 每一段的聚类中心点数目，默认值为255。 取值范围：(0, 65535] PQ类索引配置参数 fragmentnum 段数，默认值为0，插件自动根据向量长度设置合适的段数。 取值范围：[0, 4096]

本节介绍了节点重置的用户指南。 节点重置是指将Kubernetes集群中的节点恢复到初始状态。这通常用于节点出现故障时的修复操作。在云容器引擎控制台节点功能中，您可以通过控制台来重置节点。 注意事项 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的 K8S 标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍函数计算的服务内联委托。 什么是服务内联委托 在某些场景下，函数计算为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，函数计算创建了与云服务内联委托，即服务内联委托CtyunServiceDelegateRoleForFC。函数计算支持CtyunServiceDelegateRoleForFC和FaaS函数的绑定，实现最小授权范围内授予函数访问其他云服务的权限。 使用函数计算时，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunServiceDelegateRoleForFC 系统权限策略：CtyunServiceInlineDelegateRolePolicyForFC CtyunServiceDelegateRoleForFC 服务内联委托CtyunServiceDelegateRoleForFC可以获取访函数列表、函数详情、创建函数、删除函数、更新函数以及调用函数的权限。 服务内联委托CtyunServiceDelegateRoleForFC被授予权限策略CtyunServiceInlineDelegateRolePolicyForFC，该权限策略的内容如下。 json { "Version": "1", "Statement": [ { "Action": [ "cf:inst:CreateFunction", "cf:inst:UpdateFunction", "cf:inst:ListFunction", "cf:inst:GetFunction", "cf:inst:InvokeFunction", "cf:inst:DeleteFunction" ], "Resource": "", "Effect": "Allow" } ] } 以下是使用函数计算时，需要创建和使用服务内联委托的场景： 为函数计算配置专有网络VPC、交换机或弹性网卡等，提升数据安全性，实现VPC内的网络互通。 访问容器镜像仓库拉取镜像创建容器镜像函数，能够利用容器镜像资源灵活部署函数。 配置消息队列或事件总线等消息服务的访问权限，使用函数计算监听消息源的事件。当有新的消息或事件产生时，可以直接触发函数执行，实现事件驱动的计算模型。 配置日志服务相关权限，允许自动收集函数执行日志，便于日志的搜索、分析和可视化展示，帮助用户快速定位问题。

关机、重启 在卡片/列表视图，点击“关机”、“重启”，可对AI云电脑进行“关机”、“重启”操作。 5. 自动进入 在卡片/列表视图，勾选“自动进入”成功后，对应桌面默认排在第一位，下次登录自动进入对应桌面。若需取消自动进入功能，取消勾选即可。 6. 配置 在卡片/列表视图，点击“配置”，查看AI云电脑信息ID、名称以及修改名称、AI云电脑的CPU、内存、系统盘、数据盘配置等信息。 7. 快捷应用 快应用即web应用，通用浏览器访问。在桌面列表通过客户端内嵌浏览器打开；在桌面内控制中心或悬浮球，则通过桌面内浏览器打开。 原生应用：无论是在桌面列表，还是在控制中心和悬浮球的原生应用，点击原生应用后，拉起AI云电脑里面已安装的应用。 注意：瘦终端统一通过桌面内的浏览器打开。 添加/编辑快捷应用：快捷应用分为AI云电脑已安装的本机软件和系统推荐的应用模板2类，用户可根据使用需求添加。 注意：如用户添加的应用，AI云电脑内未安装，将会通过应用市场唤起应用详情，用户点击安装即可。

方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

本文主要介绍了更换邮箱的注意事项和操作流程。 用户可以通过“账号中心安全设置”更换邮箱。 注意事项 提前准备1个待更换的新邮箱，且可正常接收使用。 新邮箱不能与其他已存在的天翼云账号邮箱相同。 云网账号不支持邮箱更换。 云电脑APP注册的账号不支持邮箱更换。 当前登录账号为子账号不支持邮箱更换。 账号处于冻结、锁定期不支持邮箱更换。 邮箱变更一个自然年内不能超过3次，且30天内仅支持变更1次。 操作步骤 1、登录天翼云官网，在首页点击“我的个人中心”进入账号中心的“安全设置”页面，在基本设置 绑定邮箱右侧点击“立即修改“。 2、选择验证方式，验证后可进行更换操作。 注意 若邮箱未验证，选择“通过邮箱验证码修改”时需要先进行邮箱验证。 3、填写验证码后， 设置新的邮箱并验证。填写验证码验证本人操作后，需要设置新邮箱并验证邮箱可正常接收使用。 如果手机号或邮箱都无法验证身份， 可以进入工单页面，选择 “新建工单>会员账号 >账号相关问题”，提交工单处理。 （1）请在工单中上传如下材料： 企业客户 法定代表人与被授权人所需材料任选一种上传即可。 法定代表人：企业证件、法定代表人身份证正反面及手持身份证照片 被授权人：企业证件、加盖企业公章的授权书（授权委托书.docx）、被授权人身份证正反面及手持身份证照片 个人客户 个人身份证件正反面及手持身份证照（个人身份证件信息需与实名认证的身份证件信息一致）。 （2）经天翼云审核通过后，天翼云会将原来绑定的邮箱替换成工单中填写的邮箱。您可以在登录页面，单击忘记密码，然后使用新绑定的邮箱重置密码。 （3）如果您提供的帐户情况特殊，天翼云客服人员会根据实际情况进一步核实，请按客服回复提供所需资料。

欠费说明 欠费后天翼云数据库审计会自动停止，您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云数据库审计的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用天翼云数据库审计服务，请务必及时删除存储于数据库审计的数据。 续费说明 若是已购买资源包后欠费，请在15天内再次订购相应的资源包或保证帐号中的余额充足。 若是未购买资源包后欠费，请在15天内充值补足欠款并保证帐号中的余额充足。

本文主要介绍系统盘（将扩容部分的容量增加到C盘） 系统盘原有容量为50GB，通过管理控制台将系统盘扩容22GB后，登录云主机将22GB新增容量增加到C盘中。操作完成后，C盘有72GB的空间可用作系统盘。 步骤1 在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 步骤2 在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面，如下图所示。 图 磁盘管理（系统盘） 说明 若此时无法看到扩容部分的容量，请选中“磁盘管理”，右键单击“刷新”后即可。 步骤3 在“磁盘管理”界面，选择需要扩大分区的磁盘，磁盘显示扩容前的容量大小。 步骤4 在所选磁盘上右键单击，选择“扩展卷”，如下图所示。 图 选择扩展卷 步骤5 在弹出的“扩展卷向导”界面中选择“下一步”，如下图所示。 图 扩展卷向导 步骤6 在弹出的“扩展卷向导”界面中的“选择空间量(MB)(E)：”行中输入需要扩容的磁盘容量，单击“下一步”，如下图所示。 图 选择空间量 步骤7 单击“完成”，关闭向导。 扩容成功后显示磁盘的容量将大于扩容前磁盘的容量，如下图所示。 图 扩容成功

本章节向您介绍如何在路由表中添加路由。 操作场景 每个路由表会自带系统默认路由，用来控制子网内实例访问云上公共服务，或者VPC内不同子网的内网通信。除了系统默认路由，您可以根据需要添加自定义路由，控制子网的流量走向。 约束与限制 通常情况下，自定义路由的目的地址不能与系统添加的Local路由的目的地址重叠。Local路由的目的地址一般有子网网段地址，以及系统内部通信的网段地址。 您无法在VPC路由表中添加目的地址相同的两条自定义路由，即使路由的下一跳类型不同也不行。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。进入虚拟有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 路由表”，进入路由表列表页面。 4. 在路由表列表中，找到目标路由表，并单击路由表名称超链接，进入路由表详情页面。 5. 单击“添加路由”，按照提示配置参数，单击“新增”按钮，可以依次增加多条路由。 下表是路由参数说明表。 参数 说明 取值样例 目的地址类型 必选参数。 目的地址类型支持“IP地址”，表示可以填写单个IP地址或者IP网段。 IP地址 目的地址 必选参数。 此处输入路由的目的地址，支持单个IP地址或者IP网段，格式为“IP地址/掩码”。 IPv4: 192.168.0.0/16 下一跳类型 必选参数。 选择下一跳资源类型。 对等连接 下一跳 必选参数。 选择下一跳资源。下拉列表包含资源将基于您所选的资源类型进行展示。 peerAB 描述 可选参数。 您可以根据需要在文本框中输入路由的描述信息。 6. 单击“确定”，完成添加，返回路由列表，可以看到刚添加的路由信息。

此小节介绍资产运维。 在您配置好运维设置后，可在“资产访问“模块，运维已授权访问的资产。 前提条件 管理员已经成功新增资产，并通过资产访问授权或工单审批对运维人员授予访问权限。 访问字符资产 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“字符”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如xshell、putty等)，即可单点登录访问字符资产。 说明 仅企业版/高级版支持H5运维。标准版不支持H5运维。 做H5运维操作前请先放通18443端口，参见安全组策略设置。可使用telnet 堡垒机IP 18443命令验证端口是否放通。 访问图形资产 注意 MacOS系统目前仅支持使用VNC客户端或H5方式进行运维。 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“图形”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如mstsc、H5等)，即可单点登录访问图形资产。 说明 仅企业版/高级版支持H5运维。标准版不支持H5运维。 做H5运维操作前请先放通18443端口，参见安全组策略设置。可使用telnet 堡垒机IP 18443命令验证端口是否放通。

本文主要介绍云日志服务中如何查询Log4j日志。 本文以最常见的Java项目为例，介绍Log4j的日志分析操作流程。 背景信息 Log4j是Apache的一个开放源代码项目，通过Log4j可以控制日志的优先级、输出目的地和输出格式。日志级别从高到低为ERROR、WARN、INFO、DEBUG，日志的输出目的地指定了将日志打印到控制台还是文件中，输出格式控制了输出的日志内容格式。类似的组件还用logback等。 例如某个Java项目，希望查询某段时间的异常信息，来查看是否存在相关系统错误，以便快速定位故障。针对此需求，云日志服务提供快捷的查询功能。比如某Java的日志信息如下： level: ERROR location: cn.ctyun.log4jtest.getUserInfo message: get connection from pool timeout, pool is busy, reject task time: 20230720 10:20:30.437 前提条件 已采集Log4j日志。 已定义采集规则配置。 操作步骤 1. 登录日志服务控制台。 2. 在日志单元项目中，选择日志存储所属的项目。 3. 在所属项目中，选择或者过滤出对应的日志单元。 4. 在自定义语句模式下，输入 ERROR进行查询，设置查询分析的时间范围，即可统计所选时间段的错误信息。 5. 或者在检索框输入其他业务相关的特定关键字进行快速检索。 6. 点击上下文检索图标可以快速定位到日志所在行的上下文信息。以便于排查日志信息得到系统运行状态。 7. 可进行SQL查询与分析，如：统计最近7天内错误类型的分布，SQL查询分析语句如下所示 SELECT Level, count() as Number group by Level

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。

工作负载的DNS配置介绍 Kubernetes集群内置DNS插件KubeDNS/CoreDNS，为集群内的工作负载提供域名解析服务。业务在高并发调用场景下，如果使用到域名解析服务，可能会触及到KubeDNS/CoreDNS的性能瓶颈，导致DNS请求概率失败，影响用户业务正常运行。在Kubernetes使用的过程中，在有些场景下工作负载的域名解析存在冗余的DNS查询，使得高并发场景更容易触及DNS的性能瓶颈。根据业务使用场景，对工作负载的DNS配置进行优化，能够在一定程度上减少DNS请求概率失败的问题。 更多DNS相关信息请参见CoreDNS（系统资源插件，必装）或通过kubectl配置kubedns/CoreDNS高可用。 Linux 系统域名解析文件配置项的介绍 在Linux系统的节点或者容器里执行cat /etc/resolv.conf命令，能够查看到DNS配置，以Kubernetes集群的容器DNS配置为例： nameserver 10.247.x.x search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 配置项说明： nameserver：容器解析域名时查询的DNS服务器的IP地址列表。如果设置为10.247.x.x说明DNS对接到KubeDNS/CoreDNS，如果是其他IP地址，则表示采用DNS或者用户自建的DNS。 search：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。对于CCE集群来说，容器的搜索域列表配置3个域，当解析一个不存在的域名时，会产生8次DNS查询，因为对于每个域名需要查询两次，分别是IPv4和IPv6。 options：定义域名解析配置文件的其他选项，常见的有timeout、attempts和ndots等等。Kubernetes集群容器的域名解析文件设置为options ndots:5，该参数的含义是当域名的“.”个数小于ndots的值，会先把域名与search搜索域列表进行组合后进行DNS查询，如果均没有被正确解析，再以域名本身去进行DNS查询。当域名的“.”个数大于或者等于ndots的值，会先对域名本身进行DNS查询，如果没有被正确解析，再把域名与search搜索域列表依次进行组合后进行DNS查询。如查询www.ctyun.cn域名时，由于该域名的“.”个数为2，小于ndots的值，所以DNS查询请求的顺序依次为：www.ctyun.cn.default.svc.cluster.local、www.ctyun.cn.svc.cluster.local、 www.ctyun.cn.cluster.local和www.ctyun.cn，需要发起至少7次DNS查询请求才能解析出该域名的IP。可以看出，这种配置在访问外部域名时，存在大量冗余的DNS查询，存在优化点。 说明：完整的Linux域名解析文件配置项说明可以参考文档： Kubernetes 集群应用的DNS 相关配置项介绍 前面已经分析过，应用在某些场景下会出现冗余的DNS查询。Kubernetes为应用提供了与DNS相关的配置选项，通过对应用进行DNS配置，能够在某些场景下有效地减少冗余的DNS查询，提升业务并发量。目前应用配置中与DNS相关的字段有dnsPolicy 和dnsConfig。 dnsPolicy 字段说明： dnsPolicy字段是应用设置的DNS策略，默认值为“ClusterFirst”。基于dnsPolicy策略生成的域名解析文件会与dnsConfig设置的DNS参数进行合并，合并规则将在“dnsConfig字段说明”中说明，dnsPolicy当前支持四种参数值： − ClusterFirst：应用对接KubeDNS/CoreDNS（CCE集群的KubeDNS/CoreDNS默认级联DNS）。这种场景下，容器既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。由于该配置下，域名解析文件设置了search搜索域列表和ndots: 5，因此当访问外部域名和集群内部长域名（如kubernetes.default.svc.cluster.local）时，大部分域名都会优先遍历search搜索域列表，导致至少有6次无效的DNS查询，只有访问集群内部短域名（如kubernetes）时，才不存在无效的DNS查询。 − ClusterFirstWithHostNet：对于配置主机网络的应用，默认配置kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS）。当dnsPolicy设置为“ClusterFirstWithHostNet”时，应用对接KubeDNS/CoreDNS。该配置下，容器的域名解析文件与“ClusterFirst”一致，也存在无效的DNS查询。 − Default：容器的域名解析文件使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS），没有配置search搜索域列表和options。该配置只能解析注册到互联网上的外部域名，无法解析集群内部域名，且不存在无效的DNS查询。 − None：Kubernetes v1.9（Beta in v1.10）中引入的新选项值。设置为None之后，必须设置dnsConfig，此时容器的域名解析文件将完全通过dnsConfig的配置来生成。 dnsConfig 字段说明： dnsConfig为应用设置DNS参数，设置的参数将合并到基于dnsPolicy策略生成的域名解析文件中。当dnsPolicy为“None”，应用的域名解析文件完全由dnsConfig指定；当dnsPolicy不为“None”时，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 − nameservers：DNS的IP地址列表。当应用的dnsPolicy设置为“None”时，列表必须至少包含一个IP地址，否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中，并删除重复的地址。 − searches：域名查询时的DNS搜索域列表，此属性是可选的。指定后，提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中，并删除重复的域名。Kubernetes最多允许6个搜索域。 − options：DNS的配置选项，其中每个对象可以具有name属性（必需）和value属性（可选）。该字段中的内容将合并到基于dnsPolicy生成的域名解析文件的options字段中，dnsConfig的options的某些选项如果与基于dnsPolicy生成的域名解析文件的选项冲突，则会被dnsConfig所覆盖。 工作负载的DNS配置实践 前面介绍了Linux系统域名解析文件以及Kubernetes为应用提供的DNS相关配置项，下面将举例介绍应用如何进行DNS配置。 场景1 对接kubernetes 内置的KubeDNS/CoreDNS 场景说明： 这种方式适用于应用中的域名解析只涉及集群内部域名，或者集群内部域名+外部域名两种方式，应用默认采用这种配置。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: ClusterFirst 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景2 直接对接DNS 场景说明： 这种方式适用于应用只访问注册到互联网的外部域名，该场景不能解析集群内部域名。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: Default //使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS） 该配置下容器的域名解析文件将如下所示： nameserver 10.125.x.x 场景3 主机网络模式的应用对接KubeDNS/CoreDNS 场景说明： 对于配置主机网络模式的应用，默认对接DNS，如果应用需要对接KubeDNS/CoreDNS，需将dnsPolicy设置为“ClusterFirstWithHostNet”。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: template: metadata: labels: app: nginx spec: hostNetwork: true dnsPolicy: ClusterFirstWithHostNet containers: name: nginx image: nginx:1.7.9 ports: containerPort: 80 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景4 自定义应用的域名配置 场景说明： 用户可以完全自定义配置应用的域名解析文件，这种方式非常灵活，dnsPolicy和dnsConfig配合使用，几乎能够满足所有使用场景，如对接用户自建DNS的场景、串联多个DNS的场景以及优化DNS配置选项的场景等等。 示例1 ：对接用户自建DNS 该配置下，dnsPolicy为“None”，应用的域名解析文件完全根据dnsConfig配置生成。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "None" dnsConfig: nameservers: 10.2.3.4 //用户自建DNS 的IP 地址 searches: ns1.svc.cluster.local my.dns.search.suffix options: name: ndots value: "2" name: timeout value: "3" 该配置下容器的域名解析文件将如下所示： nameserver 10.2.3.4 search ns1.svc.cluster.local my.dns.search.suffix options timeout:3 ndots:2 示例2 ：修改域名解析文件的ndots 选项，减少无效的DNS 查询 该配置下，dnsPolicy不为“None”，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "ClusterFirst" dnsConfig: options: name: ndots value: "2" //该配置会将基于ClusterFirst 策略生成的域名解析文件的ndots:5 参数改写为ndots:2 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:2

本章节会介绍如何使用MySQL命令行公网连接实例 当不满足通过内网IP地址访问RDS实例的条件时，可以使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for MySQL实例。 提供两种连接方式通过MySQL客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 公网连接时支持弹性公网IP或NAT访问，当同时设置NAT和弹性公网IP时，会优先使用弹性公网IP访问。 前提条件 1. 绑定弹性公网IP并设置安全组规则 。 1. 对目标实例绑定弹性公网IP。 2. 获取本地设备的IP地址。 3. 设置安全组规则。 4. 使用ping命令连通绑定的弹性公网IP，确保本地设备可以访问该弹性公网IP。 2. 使用客户端连接实例 。 在Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。 SSL连接 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、单击实例名称进入“基本信息”页面。 5、在“数据库信息”模块的“SSL”处，查看SSL开关状态。 开关打开。 6、单击“SSL”处的，下载“Certificate Download”压缩包，解压后获取根证书（ca.pem）和捆绑包（cabundle.pem）。 将根证书（ca.pem）导入弹性云主机Linux操作系统。 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 CA证书路径，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本文主要介绍如何连接分布式消息服务RabbitMQ的管理地址。 在浏览器中输入RabbitMQ管理地址，访问开源RabbitMQ的集群管理工具。 操作步骤 一、获取实例管理地址。 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 > RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称，进入实例详情页面，获取Web界面UI地址和用户名。 图1 获取实例Web界面UI地址（未开启公网访问） 图2 获取实例Web界面UI地址（开启公网访问） 说明 用户名和密码为创建RabbitMQ实例时自定义的内容。 二、确认实例安全组规则是否配置正确。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 三、在浏览器中打开Web界面UI地址，进入Web登录页面。 说明 如果RabbitMQ实例开启了公网访问，可直接在公网环境下的浏览器访问Web页面。 如果RabbitMQ实例未开启公网访问，您需要购买一台与RabbitMQ实例网络相通的Windows弹性云主机，然后登录弹性云主机访问Web页面。 购买弹性云主机操作，请参考 图3 登录实例Web页面 四、单击“Login”，登录完成。

poweroff Connection closed by foreign host. Disconnected from remote host at 11:08:54. Type help´ to learn how to use Xshell prompt. e. 用此新私有镜像发放云主机，系统盘指定50GB为例，重新登录后，执行如下命令查看分区扩容情况。 parted l /dev/xvda 回显信息如下所示，此时root分区已完成自动扩容。 Model: Xen Virtual Block Device (xvd) Disk /dev/xvda: 53.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos NumberStartEndSizeTypeFile systemFlags 1 1049kB 4296MB 4295MB primary linuxswap(v1) 2 4296MB 53.7GB 49.4GB primary ext4 boot f.执行如下命令，检查磁盘挂载是否成功。 df Th 回显信息如下所示。 Filesystem Type Size Used Avail Use% Mounted on /dev/xvda2 ext4 49.4G 2.6G 46.8G 4% /dev/shm tmpfs tmpfs 4295M 0 4295M 0% / root 分区在非末尾分区（例如：/dev/xvda1: root ，/dev/xvda2: swap ） 以CentOS 7.3 64bit系统盘为40GB为例，介绍root分区在非末尾分区时如何自定义可自动扩容root分区的Linux私有镜像的配置方法。 a. 执行如下命令查看/dev/xvda的磁盘分区。 parted l /dev/xvda 回显信息如下所示，此时，第一个分区是root分区，大小为40.9GB。第二个分区是swap分区。 Model: Xen Virtual Block Device (xvd) Disk /dev/xvda: 42.9GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number Start End Size Type File system Flags 1 1049kB 41.0GB 40.9GB primary ext4 boot 2 41.0GB 42.9GB 2000MB primary linuxswap(v1) b. 执行如下命令，查看/etc/fstab文件的配置。 tail n 3 /etc/fstab 回显信息如下所示，可以看到两个分区的UUID信息。