本节主要介绍会话。 紧急Kill会话 您可以在以下场景使用Kill会话功能： 紧急救助通道：在实例的连接数达到上限，无法正常登录时，该功能提供了一个特殊连接通道，可以查看和执行Kill会话的操作。 历史急救日志：查看您在急救通道执行过的Kill操作历史记录。 前提条件 GaussDB(for MySQL)5.6的内核版本要大于等于5.6.43.3，5.7的内核版本要大于等于5.7.25.3。 不支持ECS自建库，不支持创建中、冻结、异常实例。 请务必在紧急情况下使用该功能，您的Kill操作将会以日志的形式被记录下来。 当您的实例能够通过DAS正常登录时，请勿使用该功能，您可以登录实例，通过实时会话功能执行相关操作。 rdsadmin、rdsbackup、rdsmetric、rdsRepl等敏感用户的会话禁止Kill。 当CPU或者连接数打满的情况下，kill会话请求有一定概率会下发超时，此时请重新下发kill会话请求。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择所需实例，单击“详情”，进入DBA智能运维总览页面。 在“会话”页签下选择“紧急Kill会话”，会话列表默认按照会话持续时间倒叙排列会话信息。 选择待Kill的会话，单击“Kill会话”。 在“Kill实例会话”弹窗中确认会话信息，单击“是”。 单击“历史急救日志”页签，您可获取在急救通道执行过的Kill操作信息。 实时会话 实时会话功能提供当前数据库会话快照查询，并支持排序过滤展示。可基于用户、访问主机、库等多维度快速过滤识别到自定义慢SQL会话、活跃会话等。Kill会话能应对紧急实例恢复，保障数据库的可用性。

参数 说明 登录名 自定义登录系统的用户名。 创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 本地：系统默认方式，即通过系统自身的帐号管理系统进行身份认证。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 若需启用AD域、LDAP、RADIUS、Azure AD远程认证方式的用户，需先在系统配置远程认证服务器信息，详细操作请参见：远程认证管理。 域名 “认证类型”选择“Azure AD”时，需要配置此项。 需输入在Azure平台用户注册时的后缀。 密码/确认密码 仅“认证类型”选择“本地”时，需要配置用户登录系统的密码。 可自定义生成密码，也可随机生成密码。 认证服务器 仅“认证类型”选择“AD域”和“LDAP”时，需要选择服务器名称。 姓名 自定义用户姓名。 用户帐号使用人员的姓名，便于区分不同的用户。 手机 输入手机号码。 用户帐号系统预留手机号码，用于手机短信登录或找回密码。 邮箱 输入邮箱地址。 用户帐号系统预留邮箱地址，用于通过邮箱接收系统消息通知。 角色 选择用户的角色，一个用户仅能配置一个角色。 缺省情况下，系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员：负责部门管理，除“用户管理”和“角色管理”模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员：负责策略权限的配置，拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员：负责系统和运维数据的审计，拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员：系统普通用户和资源操作人员，拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 自定义的角色：仅admin可自定义新角色或编辑默认角色的权限范围，详细介绍请见：角色管理。 所属部门 选择用户所属部门组织。如何创建系统部门，请参见：系统部门。 用户描述 （可选）对用户情况的简要描述。

现象二 访问网站时，返回的不是“现象一”所示的页面，而是其他的404页面。 原因 ：网站页面不存在或已删除。 解决办法 ：请排查网站问题。 502 Bad Gateway 现象：完成WAF配置之后网站访问正常，但过一段时间，访问页面返回502，或者大概率出现502。 说明 如果您的网站不是部署在云上，建议您咨询服务器服务商，该服务器是否存在默认的防护拦截并要求服务商解除默认拦截。 这种情况一般有三种原因： 原因一 原因：您的网站使用了其他的安全防护软件（如360、安全狗、云锁或云盾等安全防护软件），这些软件把WAF的回源IP当成了恶意IP，拦截了WAF转发的请求，导致不能正常访问。 解决办法： 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。 原因二 原因：网站的后端配置了多个服务器，其中某个源站不通。 按以下方法检测源站配置是否正确： 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击编辑图标，进入“修改服务器信息”页面，确保对外协议、源站协议、源站地址、端口等信息配置正确。 5. 在主机上执行curl命令检测各个源站是否能正常访问。 curl kvv xx.xx.xx.xx代表源站服务器的源站IP地址，yy代表源站服务器的源站端口，xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 如果显示“connection refused”表示源站不通，不能正常访问网站。按以下方法处理： 检测服务器是否运行正常，如果运行不正常，请尝试重启服务器。 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。

本页介绍了文档数据库服务常用调整参数以优化性能的示例。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。列举了部分重要参数说明。 如需通过控制台界面修改参数值，请参见参数组管理。 connPoolMaxConnsPerHost 作用：设置每个主机的最大连接数。适当增加连接池的大小可以提高并发处理能力。 默认值：600 cursorTimeoutMillis 作用：设置游标的超时时间，可以根据查询模式和数据访问模式调整，以避免游标过期导致查询中断。 默认值：600000 failIndexKeyTooLong 作用：控制索引键过长时是否拒绝创建索引。如果索引键超过16MB的限制，可以设置为false，允许创建超过限制的索引。 默认值：true operationProfiling.mode 作用：启用操作性能分析，并设置其模式，以收集慢查询和所有查询的性能信息。 默认值：slowOp storage.engine 作用：选择MongoDB的存储引擎，可以选择WiredTiger或MMAPv1。WiredTiger通常在性能和存储方面更优越。 默认值：wiredTiger storage.journal.enabled 作用：启用或禁用日志记录，如果对性能要求较高，可以考虑禁用日志记录。 默认值：true storage.syncPeriodSecs 作用 ：设置数据同步到磁盘的间隔时间。较小的值可以增加数据的耐久性，但可能影响写入性能。 storage.wiredTiger.engineConfig.directoryForIndexes 作用：设置WiredTiger引擎的索引目录，可以优化索引性能。 wiredTigerConcurrentWriteTransactions 作用：设置并发写事务的数量，以提高并发性能。 默认值：128 wiredTigerConcurrentReadTransactions 作用：设置并发读事务的数量，以提高并发性能。 默认值：128 operationProfiling.slowOpThresholdMs 作用：设置慢查询的时间阈值，超过该时间的查询将被记录下来，以便性能分析和优化。 默认值：100 storage.wiredTiger.engineConfig.cacheSizeGB 作用：设置WiredTiger缓存的大小，以充分利用内存资源提高查询性能。 注意 在进行参数调优时，需要根据应用程序的实际情况和需求来选择适当的参数值。对于每个参数的影响和最佳设置，需要在测试环境中进行实验和性能测试，以便确定最适合你的环境和应用程序的配置。另外，文档数据库服务的版本和部署架构也会影响参数的选择和调整。建议在进行参数调优时仔细阅读官方文档和最佳实践指南。

本节主要介绍会话。 紧急Kill会话 您可以在以下场景使用紧急Kill会话功能： 紧急救助通道：在实例的连接数达到上限，无法正常登录时，该功能提供了一个特殊连接通道，可以查看和执行Kill会话的操作。 历史急救日志：查看您在急救通道执行过的Kill操作历史记录。 使用须知 不支持ECS自建库，不支持创建中、异常实例。 RDS for MySQL5.6的内核版本要大于等于5.6.43.3，5.7的内核版本要大于等于5.7.25.3。 请务必在紧急情况下使用该功能，您的Kill操作将会以日志的形式被记录下来。 当您的实例能够通过DAS正常登录时，请勿使用该功能，您可以登录实例，通过实时会话功能执行相关操作。 rdsadmin、rdsbackup、rdsmetric、rdsRepl等敏感用户的会话禁止Kill。 当CPU或者连接数打满的情况下，kill会话请求有一定概率会下发超时，此时请重新下发kill会话请求。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称筛选实例。 选择所需实例，单击“详情”，进入DBA智能运维总览页面。 在“会话”页签下选择“紧急Kill会话”，会话列表默认按照会话持续时间倒叙排列会话信息。 选择待Kill的会话，单击“Kill会话”。 在“Kill实例会话”弹窗中确认会话信息，单击“是”。 单击“历史急救日志”页签，您可获取在急救通道执行过的Kill操作信息。 实时会话 实时会话功能提供当前数据库会话快照查询，并支持排序过滤展示。可基于用户、访问主机、库等多维度快速过滤识别到自定义慢SQL会话、活跃会话等。Kill会话能应对紧急实例恢复，保障数据库的可用性。

runningacommandinashell " ")。 容器的生命周期与启动命令的生命周期一致，即启动命令执行完成后容器的生命周期结束。 下面将以启动一个nginx 为例，介绍容器启动命令典型的三个使用场景： 示例代码如下： nginx c nginx.conf 场景一：容器的“运行命令”和“运行参数”均作设置，界面截图如下： 运行命令和运行参数均设置 所生成的YAML样例如下： command: nginx args: 'c' nginx.conf 场景二：仅设置容器的“运行命令”，界面截图如下： 仅设置运行命令 说明： 运行命令中前后要加英文双引号""，若不加则会按照空格将命令拆分成多条执行。 所生成的YAML样例如下： command: nginx c nginx.conf args: 场景三：仅设置容器的“运行参数”，界面截图如下： 仅设置运行参数 说明： 如果运行命令没有添加到系统路径中，可以使用/bin/sh来执行命令，命令需要加英文双引号""。 所生成的YAML样例如下： command: /bin/sh args: 'c' '"nginx c nginx.conf"' 步骤 3 您可以通过如下方式检查或修改YAML： 创建工作负载时，在“高级设置”步骤中，单击右侧的“YAML创建”。 工作负载创建完成后，在工作负载列表中，单击工作负载名称后的“更多 > 编辑YAML”。 工作负载创建完成后，进入工作负载详情页面，单击右上角的“编辑YAML”。 设置容器启动命令YAML样例 本节以nginx为例，说明通过kubectl设置容器启动命令的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载时，容器启动命令的参数设置如下所示，详细请参见kubernetes官方文档。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx command: sleep '3600'

以下提供云审计服务所收集事件的两个页面样例，并对其中常用的观察点进行了描述，以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 创建弹性云主机实例 json { "time": "2016/12/01 11:07:28 GMT+08:00", "user": { "name": "aaa/opservice", "id": "f2fe9fac63414a35a7d03108d5f1ea73", "domain": { "name": "aaa", "id": "1f9b9ba51f6b4061bd5c1736b28469f8" } }, "request": { "server": { "name": "asconfig15f1XWO68TFC", "imageRef": "b2b2c7dcbbb04d6b81ddf0904023d54f", "flavorRef": "m1.tiny", "personality": [], "vpcid": "e4c374b93675482c9b814acd59745c2b", "nics": [ { "subnetid": "fff8913288d44e5b9e27d9001167d24f", "nictype": null, "ipaddress": null, "binding:profile": null, "extradhcpopts": null } ], "adminPass": "", "count": 1, "metadata": { "opsvcuserid": "26e96eda18034ae9a44130bacb967b96" }, "availabilityzone": "az1.dc1", "rootvolume": { "volumetype": "SATA", "extendparam": { "resourceSpecCode": "SATA" }, "size": 40 }, "datavolumes": [], "securitygroups": [ { "id": "dd597fd7d1194994a22c891fcfc54be1" } ], "keyname": "KeyPair3e51" } }, "response": { "status": "SUCCESS", "entities": { "serverid": "42d39b4a19b74ee2b01ba9f1353b4c54" }, "jobid": "4010b39d58b855980158b8574b270018", "jobtype": "createSingleServer", "begintime": "20161201T03:04:38.437Z", "endtime": "20161201T03:07:26.871Z", "errorcode": null, "failreason": null }, "servicetype": "ECS", "resourcetype": "ecs", "resourcename": "asconfig15f1XWO68TFC", "resourceid": "42d39b4a19b74ee2b01ba9f1353b4c54", "sourceip": "", "tracename": "createSingleServer", "tracestatus": "normal", "tracetype": "SystemAction", "apiversion": "1.0", "recordtime": "2016/12/01 11:07:28 GMT+08:00", "traceid": "4abc3a67b77311e684128f0ed3cc97c6" } 在以上信息中，可以重点关注如下字段： "time"：记录了事件发生的时间，本例中为12月1日上午11点07分28秒。 "user"：记录了操作用户的信息，本例中操作用户为企业帐户（domain字段）aaa下的用户（name字段）aaa。 "request"：记录了创建ECS服务器的请求，可以抽取该ECS服务器的简单信息，如name为asconfig15f1XWO68TFC，资源id为e4c374b93675482c9b814acd59745c2b。 "response"：记录了创建ECS服务的返回结果，可以抽取其中的关键信息，如创建结果（status字段）为Success，错误码（errorcode字段）和失败原因（failreason字段）均为空（null）。

本章介绍天翼云关系型数据库在操作中的常见问题及解决办法。 可以通过创建模板的方式创建实例吗 目前不支持实例模板。可通过备份恢复功能将备份文件恢复到新实例上。 云数据库如何进行主备切换 关系型数据库（Relational Database Service，简称RDS）服务提供高可用类型，推荐您选择主备模式。 故障切换 也叫计划外的切换。当主机出现故障时，系统会在1～5分钟内自动切换到备机，主备实例的连接IP不变，整个过程无需人工干预。切换过程中不可访问，需要您设置好程序跟关系型数据库服务的自动重连，避免因为切换导致服务不可用。 手动切换 也叫计划内的切换。当实例运行正常时，用户可以自主手动触发主备切换，以满足业务需求。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的主备实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在“基本信息”页面中“数据库信息”模块的“实例类型”处，单击“主备切换”。 您也可以在“基本信息”页面，单击“实例拓扑图”模块的。进行主备切换。 注意 主备切换可能会造成几秒或几分钟的服务闪断（闪断时间与复制时延有关），并有可能在主备同步时延过大的情况下，导致少量数据丢失。 主备切换后，请注意对业务进行预热，避免业务高峰期出现阻塞。 在“主备切换”弹框，单击“是”进行主备实例的切换。 在“复制状态”为“正常”的情况下，复制时延大于300s，主备切换任务无法下发。 主备切换成功后，单击“返回实例列表”，用户可以在“实例管理”页面对其进行查看和管理。 切换过程中，状态显示为“主备切换中”。 在实例列表的右上角，单击刷新列表，可查看到主备切换完成后，实例状态显示为“正常”。

在监控Go应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍如何通过OpenTelemetry Go SDK上报Go应用数据。 前提条件 完成vpce接入。 背景信息 OpenTelemetry Go SDK提供了Go语言的分布式链路追踪能力，您可以直接使用OTLP gRPC或者HTTP协议向APM服务端上报数据。 接入步骤 1. 添加OpenTelemetry Go依赖。 plaintext package main import ( "context" "flag" "go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace" "go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp" "go.opentelemetry.io/otel" "go.opentelemetry.io/otel/baggage" "go.opentelemetry.io/otel/exporters/otlp/otlptrace" "go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptracehttp" "go.opentelemetry.io/otel/sdk/resource" sdktrace "go.opentelemetry.io/otel/sdk/trace" semconv "go.opentelemetry.io/otel/semconv/v1.17.0" "go.opentelemetry.io/otel/trace" "io" "log" "net/http" "net/http/httptrace" "time" ) 2. 查看接入点信息。 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”和“通过 gRPC 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3. 初始化OpenTelemetry Go SDK。 （注意需将token和endpoint替换成相应地域的接入点信息。） 注意 需将token和endpoint替换成相应地域的接入点信息。 方式1：使用HTTP协议上报数据。 plaintext func initProvider() func() { ctx : context.Background() auth : map[string]string{ "xctgauthorization": " ", // 替换成token信息 } path : flag.String("path", "/v1/traces", "path") traceClient : otlptracehttp.NewClient( otlptracehttp.WithEndpoint(" "), // 替换成otel http的上报地址。 otlptracehttp.WithURLPath(path), otlptracehttp.WithHeaders(auth), otlptracehttp.WithInsecure()) otlptracehttp.WithCompression(1) log.Println("start to connect to server") traceExp, err : otlptrace.New(ctx, traceClient) handleErr(err, "Failed to create the collector trace exporter") res, err : resource.New(ctx, resource.WithFromEnv(), resource.WithProcess(), resource.WithTelemetrySDK(), resource.WithHost(), resource.WithAttributes( // 在APM控制台显示的服务名称。 semconv.ServiceNameKey.String("otelgoclientdemo"), // 在APM控制台显示的主机名称。 semconv.HostNameKey.String("yourhostname"), // 在APM控制台显示的服务端地址。 semconv.NetSockHostAddr("serviceaddr"), // 在APM控制台显示的客户端地址。 semconv.NetSockPeerAddr("clientaddr"), ), ) handleErr(err, "failed to create resource") bsp : sdktrace.NewBatchSpanProcessor(traceExp) tracerProvider : sdktrace.NewTracerProvider( sdktrace.WithSampler(sdktrace.AlwaysSample()), sdktrace.WithResource(res), sdktrace.WithSpanProcessor(bsp), ) otel.SetTracerProvider(tracerProvider) return func() { cxt, cancel : context.WithTimeout(ctx, time.Second) defer cancel() if err : traceExp.Shutdown(cxt); err ! nil { otel.Handle(err) } } } 方式2：使用gRPC协议上报数据。 plaintext func initProviderGrpc() func() { ctx : context.Background() auth : map[string]string{ "xctgauthorization": " ", //接入流程里面获取token信息 } traceClient : otlptracegrpc.NewClient( otlptracegrpc.WithInsecure(), otlptracegrpc.WithEndpoint(" "), //替换成grpc接入信息 otlptracegrpc.WithHeaders(auth), otlptracegrpc.WithDialOption(grpc.WithBlock())) log.Println("start to connect to server") traceExp, err : otlptrace.New(ctx, traceClient) handleErr(err, "Failed to create the collector trace exporter") res, err : resource.New(ctx, resource.WithFromEnv(), resource.WithProcess(), resource.WithTelemetrySDK(), resource.WithHost(), resource.WithAttributes( // 在APM控制台显示的服务名称。 semconv.ServiceNameKey.String("otelgoclientdemoprovider"), // 在APM控制台显示的主机名称。 semconv.HostNameKey.String("yourhostname"), // 在APM控制台显示的服务端地址。 semconv.NetSockHostAddr("serviceaddr"), // 在APM控制台显示的客户端地址。 semconv.NetSockPeerAddr("clientaddr"), ), ) handleErr(err, "failed to create resource") bsp : sdktrace.NewBatchSpanProcessor(traceExp) tracerProvider : sdktrace.NewTracerProvider( sdktrace.WithSampler(sdktrace.AlwaysSample()), sdktrace.WithResource(res), sdktrace.WithSpanProcessor(bsp), ) otel.SetTracerProvider(tracerProvider) return func() { cxt, cancel : context.WithTimeout(ctx, time.Second) defer cancel() if err : traceExp.Shutdown(cxt); err ! nil { otel.Handle(err) } } } 4. client端上报例子。 plaintext func sendReq(url string, ctx context.Context) { // 构造一个trace client client : http.Client{ Transport: otelhttp.NewTransport( http.DefaultTransport, otelhttp.WithClientTrace(func(ctx context.Context) httptrace.ClientTrace { return otelhttptrace.NewClientTrace(ctx) }), ), } tr : otel.Tracer("example/client") err : func(ctx context.Context) error { ctx, span : tr.Start(ctx, "say hello", trace.WithAttributes(semconv.PeerService("ExampleService"))) defer span.End() ctx httptrace.WithClientTrace(ctx, otelhttptrace.NewClientTrace(ctx)) req, : http.NewRequestWithContext(ctx, "GET", url, nil) res, err : client.Do(req) if err ! nil { panic(err) } , err io.ReadAll(res.Body) res.Body.Close() return err }(ctx) if err ! nil { log.Fatal(err) } } func doClient(url string, ctx context.Context) { // 不断请求数据 for { sendReq(url, ctx) time.Sleep(3 time.Second) } } func main() { shutdown : initProvider() defer shutdown() url : flag.String("server", " "server url") flag.Parse() bag, : baggage.Parse("usernamexxx") ctx : baggage.ContextWithBaggage(context.Background(), bag) doClient(url, ctx) } 5. 服务端上报例子。 plaintext func handler() { uk : attribute.Key("username") //加点属性 helloHandler : func(w http.ResponseWriter, req http.Request) { ctx : req.Context() //继续调用下一个服务最终效果是client》hello》hello1 sendReq(" ctx) } helloHandler1 : func(w http.ResponseWriter, req http.Request) { ctx : req.Context() span : trace.SpanFromContext(ctx) bag : baggage.FromContext(ctx) span.AddEvent("handling this...", trace.WithAttributes(uk.String(bag.Member("username").Value()))) , io.WriteString(w, "Hello, world!n") } otelHandler : otelhttp.NewHandler(http.HandlerFunc(helloHandler), "Hello") otelHandler1 : otelhttp.NewHandler(http.HandlerFunc(helloHandler1), "Hello1") http.Handle("/hello", otelHandler) http.Handle("/hello1", otelHandler1) } func main() { flag.Parse() shutdown : initProvider() defer shutdown() handler() err : http.ListenAndServe(":" + serverPort, nil) //nolint:gosec // Ignoring G114: Use of net/http serve function that has no support for setting timeouts. if err ! nil { log.Fatal(err) } } 6. 通过以上步骤，最后就在APM控制台的应用列表页面选择目标应用，查看监控数据。

操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。 访问通道、容器端口与访问端口映射如下图所示。 图集群内访问 工作负载创建时设置 您可以在创建工作负载时通过CCE控制台设置Service访问方式，如下： 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“集群内访问 ( ClusterIP )”。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 2 单击“下一步”进入“高级设置”页面，直接单击“创建”。 步骤 3 单击“查看工作负载详情”，在“访问方式”页签下获取访问地址，例如10.247.74.100:8080。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 4 设置集群内访问参数。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 5 单击“创建”。工作负载已添加“集群内访问 ( ClusterIP )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 登录工作负载所在集群的任意节点。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。您可以通过IP或者域名的方式来验证。 方式一：通过IP 地址验证。 curl 10.247.74.100:8080 其中10.247.74.100:8080为步骤3中获取的访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 方式二：进入容器，在容器内通过域名验证。 curl nginx.default.svc.cluster.local:8080 其中nginx.default.svc.cluster.local为步骤3中获取的域名访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在“更新Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 3 更新集群内访问参数。 Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 4 单击“更新”，工作负载已更新Service。

本文向您介绍IPv6网络应用场景及资源规划。 如果您的ECS规格支持IPv6，那么您可以使用IPv4/IPv6双栈网络。 不同区域、不同可用区支持IPv6双栈的ECS规格不同。查询ECS规格是否支持IPv6，请参考弹性云主机 > 产品介绍 > 实例规格。 图IPv4/IPv6双栈网络应用场景及资源规划 表IPv4/IPv6双栈网络应用场景及资源规划 应用场景 场景示例 条件 子网网段类型 ECS IPv4内网通信 在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPv4进行内网互访。 实例未绑定弹性公网IP。 IPv4网段 IPv4私网地址：支持IPv4内网通信。 IPv4公网通信 在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPv4进行公网互访。 实例绑定弹性公网IP。 IPv4网段 IPv4私网地址：支持IPv4内网通信。 IPv4公网地址：支持IPv4公网通信。 IPv6内网通信 在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPv6进行内网互访。 VPC的子网开启IPv6。 创建ECS时，网络配置如下： 规格：选择支持IPv6网络的ECS规格。 VPC和子网：选择已开启IPv6的子网及子网所属的VPC。 选择“自动分配IPv6地址”。 共享带宽：暂不配置。 IPv4网段 IPv6网段 IPv4私网地址+IPv4弹性IP：实例绑定IPv4弹性IP，支持IPv4公网通信。 IPv4私网地址：实例不绑定IPv4弹性IP，支持IPv4内网通信。 IPv6地址：IPv6地址不加入共享带宽，支持IPv6内网通信。 IPv6公网通信 搭建IPv6网络，使ECS可以访问公网上的IPv6服务。 VPC的子网开启IPv6。 创建ECS时，网络配置如下： 规格：选择支持IPv6网络的ECS规格。 VPC和子网：选择已开启IPv6的子网及子网所属的VPC。 选择“自动分配IPv6地址”。 共享带宽：选择一个共享带宽。 IPv4网段 IPv6网段 IPv4私网地址+IPv4弹性IP：实例绑定IPv4弹性IP，支持IPv4公网通信。 IPv4私网地址：实例不绑定IPv4弹性IP，支持IPv4内网通信。 IPv6地址+共享带宽：同时支持IPv6公网通信和IPv6内网通信。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

参数 说明 取值样例 名称 子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 subnet DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。最多支持2个IP地址，多个IP地址以英文逗号隔开。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务 100.125.x.x 域名 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 test.com IPv4 DHCP租约时间 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 NTP服务器地址 NTP时间服务器IP地址，非必填项。 您可以根据需要为子网新增NTP服务器IP地址，该地址不会影响默认NTP服务器地址。该地址为空，表示不新增NTP服务器IP地址。 最多允许输入4个格式正确且不重复的IP地址，多个IP地址请用半角逗号隔开。新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 描述 子网的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“<”和“>”。

方法一：使用fdisk命令查看分区形式和文件系统 步骤 1 执行以下命令，查看云主机挂载的所有磁盘情况。 lsblk 回显类似如下信息： [root@ecstest0001 ~] lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 40G 0 disk └─vda1 253:1 0 40G 0 part / vdb 253:16 0 150G 0 disk └─vdb1 253:17 0 100G 0 part /mnt/sdc 本示例中数据盘“/dev/vdb”扩容前已有分区“/dev/vdb1”，将数据盘扩容50GB后，新增的容量还未划分磁盘分区，因此“/dev/vdb”显示150GB，“/dev/vdb1”显示100GB。 步骤 2 执行以下命令，查看当前磁盘分区的分区形式。 fdisk l 回显类似如下信息： [root@ecstest0001 ~] fdisk l Disk /dev/vda: 42.9 GB, 42949672960 bytes, 83886080 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x000bcb4e Device Boot Start End Blocks Id System /dev/vda1 2048 83886079 41942016 83 Linux Disk /dev/vdb: 161.1 GB, 161061273600 bytes, 314572800 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x38717fc1 Device Boot Start End Blocks Id System /dev/vdb1 2048 209715199 104856576 83 Linux “system”为“Linux”表示分区形式为MBR。“system”为“GPT”表示分区形式为GPT。 若回显中没有列出所有的磁盘分区，和步骤1中的信息不符合。可能原因是：磁盘已有分区为GPT，并且扩容后存在未分配分区的空间，此时使用fdisk l无法查看所有分区的信息，请参考方法二：使用parted命令查看分区形式和文件系统重新确认磁盘分区形式和文件系统。 若回显中列出了所有的磁盘分区，和步骤1中的信息符合，则继续执行以下操作。 步骤 3 执行以下命令，查看磁盘分区的文件系统格式。 blkid 磁盘分区 命令示例： blkid /dev/vdb1 “TYPE”为“ext4”：表示为/dev/vdb1的文件系统是ext4。 步骤 4 执行以下命令，确认文件系统的状态。 ext：e2fsck n 磁盘分区 xfs：xfsrepair n 磁盘分区 以“ext4” 为例： e2fsck n /dev/vdb1 回显类似如下信息： [root@ecstest0001 ~]

本章节介绍DWS和DDS创建的云数据库数据添加到DSC。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通DWS或者DDS服务，且DWS或者DDS中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在数据库资产列表左上角，单击“添加云数据库”。 6. 在弹出的“添加云数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 举例 资产名称 自定义参数。 dsctest 区域 默认为当前帐号登录的区域。 云数据库类型 可选择“DWS实例”和“DDS实例”。 DWS实例 DWS实例 “云数据库类型”选择“DWS实例”时，配置此参数。 在下拉框中选择本帐号下已在DWS里创建的数据库实例。 DDS实例 “云数据库类型”选择“DDS实例”时，配置此参数。 在下拉框中选择本帐号下已在DDS里创建的数据库实例。 版本 已选数据库实例对应的版本号，默认参数，不支持修改。 5.7 主机 在下拉框中选择数据库服务器IP地址。 192.168.0.233 端口 数据库服务器的端口号，默认参数，不支持修改。 3306 数据库名称 在DWS里创建的数据库，支持下拉框选择和手动输入。 用户名 输入访问数据库服务器的用户名，与DWS里创建的保持一致。 密码 输入访问数据库服务器的密码，与DWS里创建的保持一致。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

对比项 关系数据库MySQL版 自购服务器搭建数据库服务 服务可用性 提供高可用架构，支持主备架构，保证服务可用性和容错性。弹性云主机可用性请参见 自建数据库的可用性受到自身技术水平和硬件设备的限制，难以保证高可用性和容错性。 数据可靠性 提供数据备份和恢复，支持多种备份存储和备份策略，保障数据的可靠性和完整性。存储可靠性请参见 自建数据库需自行实现备份和恢复，备份存储和备份策略不够完善，存在数据丢失的风险。 系统安全性 提供多种安全措施，包括数据加密、访问控制、网络隔离等，保障数据的安全性。 自建数据库受开发人员技能、安全配置和风险管理等限制，安全性更难保障。 数据库备份 提供灵活的备份和恢复策略，支持自动备份、手动备份和增量备份，为用户提供高效的数据备份和恢复。 备份和恢复策略繁琐复杂，备份失败率高，难以保证数据备份和恢复的效率和完整性。 软硬件投入 用户无需购买数据库软硬件设备和托管设备，通过付费模式即可获得完善的数据库服务。 需要花费大量时间和成本购买软硬件设备和托管设备，并且需要承担维护设备、维护数据库等额外成本。 系统托管 天翼云提供完善的托管服务，包括应用部署、监控检测、资源调度和故障处理等，降低用户的运维成本。 需要用户自行承担系统托管和维护等工作，投入较大的人力资源和时间成本。 维护成本 天翼云提供高性能、高可用性、高安全性的MySQL云服务，用户只需关注业务需求，降低维护成本。 维护成本较高，需要购买和维护硬件设备、数据库软件，以及承担数据库的维护和升级等额外成本。 部署扩容 提供弹性扩容和收缩服务，根据业务需求自动分配和回收资源，避免资源浪费和运营成本增加。 需要用户自行实现部署和扩容，扩容过程繁琐，并且需要承担额外的硬件资源和运维成本。 资源利用率 提供可弹性调度的资源池，提高数据库资源的利用率并且降低成本。 资源利用率不尽如人意，容易造成资源浪费，增加成本。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

方法一：使用fdisk命令查看分区形式和文件系统 步骤1 执行以下命令，查看云主机挂载的所有磁盘情况。 lsblk 回显类似如下信息： plaintext [root@ecstest0001 ~] lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 40G 0 disk └─vda1 253:1 0 40G 0 part / vdb 253:16 0 150G 0 disk └─vdb1 253:17 0 100G 0 part /mnt/sdc 本示例中数据盘“/dev/vdb”扩容前已有分区“/dev/vdb1”，将数据盘扩容50GB后，新增的容量还未划分磁盘分区，因此“/dev/vdb”显示150GB，“/dev/vdb1”显示100GB。 步骤2 执行以下命令，查看当前磁盘分区的分区形式。 fdisk l 回显类似如下信息： plaintext [root@ecstest0001 ~] fdisk lDisk /dev/vda: 42.9 GB, 42949672960 bytes, 83886080 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x000bcb4eDevice Boot Start End Blocks Id System /dev/vda1 2048 83886079 41942016 83 LinuxDisk /dev/vdb: 161.1 GB, 161061273600 bytes, 314572800 sectors Units sectors of 1 512 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x38717fc1Device Boot Start End Blocks Id System /dev/vdb1 2048 209715199 104856576 83 Linux “system”为“Linux”表示分区形式为MBR。“system”为“GPT”表示分区形式为GPT。 若回显中没有列出所有的磁盘分区，和步骤1中的信息不符合。可能原因是：磁盘已有分区为GPT，并且扩容后存在未分配分区的空间，此时使用fdisk l无法查看所有分区的信息，请参考方法二：使用parted命令查看分区形式和文件系统重新确认磁盘分区形式和文件系统。 若回显中列出了所有的磁盘分区，和步骤1中的信息符合，则继续执行以下操作。 步骤3 执行以下命令，查看磁盘分区的文件系统格式。 blkid 磁盘分区 命令示例： blkid /dev/vdb1 “TYPE”为“ext4”：表示为/dev/vdb1的文件系统是ext4。 步骤4 执行以下命令，确认文件系统的状态。 ext：e2fsck n 磁盘分区 xfs：xfsrepair n 磁盘分区 以“ext4” 为例： e2fsck n /dev/vdb1 回显类似如下信息： plaintext [root@ecstest0001 ~]

本实践将为您介绍如何扩容云硬盘扩展逻辑卷的容量。 操作场景 当逻辑卷容量不能满足用户需求时，可以扩展逻辑卷的容量。 本指导假设您前期挂载了两个大小为10GB的数据盘，创建了一个卷组，并使用19GB创建了一个逻辑卷，还有1GB未分配的空间。此时逻辑卷容量已不能满足您的使用需求，需要通过扩容云硬盘的方式来扩展逻辑卷的容量。 操作步骤 步骤一：在控制台扩容云硬盘 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 找到待扩容的云硬盘，扩容云硬盘。关于扩容云硬盘的详细操作，请参见扩容云硬盘。 步骤二：扩展逻辑卷的容量 1. 以root用户登录弹性云主机。 2. 执行 fdisk l 命令，查看系统是否正确识别扩容后的磁盘。具体回显如图所示： 扩容前/dev/vdb的容量是10GB，扩容后为20GB。 3. 执行pvdisplay命令，查看LVM的物理卷相关信息。具体回显如图所示： /dev/vdb的容量是10GB，说明物理卷容量未增加。 4. 执行 pvresize v 磁盘设备名，扩容该云硬盘对应的物理卷。此处执行命令pvresize v /dev/vdb，具体回显如图所示： 说明/dev/vdb对应的物理卷扩容成功。 5. 如果还需要对现有分区进行扩容，执行 lvextend l +100%FREE 逻辑卷路径，扩容对应逻辑卷。 此处执行命令lvextend l +100%FREE /dev/vgdata/lvdata，具体回显如图所示： 6. 执行 resize2fs 逻辑卷路径，扩展磁盘分区文件系统的大小。此处执行命令resize2fs /dev/vgdata/lvdata，具体回显如图所示： 7. 执行lvdisplay命令，查看扩容最终结果。具体回显如图所示： 可以看到，逻辑卷容量“LV Size”已经增加10GB。

本文将为您介绍资源栈展示的信息。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 资源栈管理。 4. 单击资源栈，进入资源栈详情。 资源栈详情 基本信息 1. 展示资源栈基本信息，展示当前资源栈的模板及版本信息、企业项目、资源并发量。展示最近一次部署成功的执行计划信息。 2. 支持设置失败时回滚： 开启： 资源栈创建失败时，将删除已成功创建的资源，资源栈回滚至上一次创建成功的状态。 关闭： 资源栈创建失败时，将保留已成功创建的资源。 3. 支持设置删除保护：删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 4. 支持设置跳过资源预检：开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查（refresh），直接按模板执行 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 资源列表 展示最近一次部署成功的资源栈内所有资源。 通过一个实际的模板示例，解释名词如下： 云资源类型：指通过部署资源栈实际创建出来的资源类别，例如虚拟私有云、子网、弹性云主机、裸金属等 逻辑资源名称：指模板中定义的资源名称，即“vpclogicName” 逻辑资源类型：指模板中定义的资源类型，即“ctyunvpc” 实体资源名称/ID：指通过部署资源栈实际创建出来的资源，例如在虚拟私有云控制台上可查看到的vpc资源。 实体资源参数：指根据模板中定义的资源参数，实际赋值给实体资源的参数，即“name、cidr、description、enableipv6”都是实体资源参数 java resource "ctyunvpc" "vpclogicName" { name var.vpcname cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true }

规格名称 版本 服务内容 交付物 收费方式 标准价格 等保咨询等保二级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 20000元/次 等保咨询等保二级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 20000元/次 等保咨询等保二级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 《等保测评技术指导》 按次计费 120000元/次 等保咨询等保二级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 《差距分析评估》 按次计费 120000元/次 等保咨询等保二级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 120000元/次 等保咨询等保三级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 30000元/次 等保咨询等保三级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 30000元/次 等保咨询等保三级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 180000元/次 等保咨询等保三级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 180000元/次 等保咨询等保三级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 180000元/次 扩展包 超过20台云主机或者所处行业监管要求特殊的客户，请选择扩展包，具体需要增加多少请与天翼云安全专家沟通后确定 按次计费 5000元/个

本章节主要介绍翼MapReduce服务如何缩容task节点。 当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 约束与限制 1. V2.20版本起支持task节点缩容功能。 2. 当前仅支持对按需计费模式的task节点进行缩容，包年/包月集群暂不支持该方式缩容。 3. 仅支持对状态为“运行中”的集群进行节点缩容操作。 注意 节点缩容生效后，会立刻销毁对应的主机与硬盘，无法恢复，请慎重操作！缩容前请确保已备份或迁移所需数据。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“更多”，点击“节点缩容”按钮。 4. 翼MR支持“指定数量”与“指定节点”两种方式进行缩容: 指定数量：缩容方式选择“指定数量”后，请设置需要缩容的节点数量，系统将基于节点状态，优先选择状态异常的节点进行缩容。 指定节点：缩容方式选择“指定节点”后，可以在节点列表中勾选需要缩容的节点。 5. 指定缩容的数量或勾选指定节点后，点击“下一步”，系统将对缩容节点进行校验。为避免影响业务运行，缩容后需保障剩余节点上的角色实例数满足组件最小使用需求。 服务名称 角色实例 校验规则 YARN NodeManager 缩容后，至少保有3个NodeManager角色实例 Flume Flume 缩容后，至少保有1个Flume角色实例 Trino TrinoWorker 缩容后，至少保有1个TrinoWorker角色实例 6. 校验时，若识别到即将缩容的节点上存在运行中的任务，请及时检查是否需要更换缩容的节点，若选择正确，提前做好备份和迁移工作。建议完成上述工作后，停止运行中的任务，并观察影响，确认无误后再行缩容。 7. 缩容节点前，请阅读协议并确认是否对列表中的节点进行缩容，勾选协议后，“确认销毁”按钮亮起，点击后将立刻执行销毁动作，请谨慎操作。 8. 缩容成功后，缩减的节点将不在节点管理页面内展示。

本页介绍了使用Java如何连接文档数据库服务。 使用SSL证书连接 1. 您可以在“实例管理”页面，单击实例名称进入“基本新消息”页面，确认开启了SSL后，单击“实例信息”模块“SSL”处的，下载证书。 2. 通过Java连接文档数据库服务，代码中的Java链接格式如下： 1. 连接到单节点： mongodb:// : @ : / ?authSourceadmin&ssltrue 2. 连接到副本集： mongodb:// : @ : / authSourceadmin&replicaSetreplica&ssltrue 3. 连接到集群： mongodb:// : @ : / ?authSourceadmin&ssltrue 参数 说明 username 当前用户名。 password 当前用户的密码。 instanceip 如果通过弹性云服务器连接，“instanceip”是主机IP，即“基本信息”页面该实例的“内网地址”。 如果通过连接了公网的设备访问，“instanceip”为该实例已绑定的“弹性公网IP”。 instanceport 端口，默认8030，当前端口，参考“基本信息”页面该实例的“数据库端口”。 databasename 数据库名，即需要连接的数据库名。 authSource 鉴权用户数据库，取值为admin。 ssl 连接模式，值为true代表是使用ssl连接模式。 3. 连接文档数据库服务的Java代码，可参考以下示例： import com.mongodb.MongoClient; import com.mongodb.MongoClientOptions; import com.mongodb.MongoCredential; import com.mongodb.ServerAddress; ​ import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; ​ public class MongoDBSSLExample { public static void main(String[] args) throws Exception { //用户名 String username ""; //数据库 String databaseName ""; //密码 String password ""; //证书路径 String certPath ""; //连接地址 String host ""; //端口 int port 8030; // 创建MongoCredential对象 MongoCredential credential MongoCredential.createCredential(username, databaseName, password.toCharArray()); // 加载证书 CertificateFactory certificateFactory CertificateFactory.getInstance("X.509"); X509Certificate certificate (X509Certificate) certificateFactory.generateCertificate(new FileInputStream(certPath)); // 创建SSL上下文 SSLContext sslContext SSLContext.getInstance("TLS"); KeyStore keyStore KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null, null); keyStore.setCertificateEntry("mongodbcert", certificate); TrustManagerFactory trustManagerFactory TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(keyStore); sslContext.init(null, trustManagerFactory.getTrustManagers(), null); ​ // 创建MongoClient实例 MongoClientOptions options MongoClientOptions.builder() .sslEnabled(true) .sslInvalidHostNameAllowed(true) .sslContext(sslContext) .build(); MongoClient mongoClient new MongoClient(new ServerAddress(host, port), credential, options); } }

适用计费项 计费项目 计费项说明 峰值并发 运行任务支持的最大并发用户数，请根据测试需求预估。 包周期时长 购买性能测试服务包周期套餐包的时长。 计费项 计费说明 性能测试服务的费用包括两部分：所使用资源的费用和使用性能测试服务的费用。 所使用资源的费用：包括计算（云容器引擎CCE和弹性云主机ECS）、网络（弹性负载均衡ELB和弹性公网EIP）和存储（对象存储服务OBS）等资源的费用，此费用由对应的云服务计费，性能测试服务不再单独收费。 使用性能测试服务的费用：性能测试服务按压测所消耗的VUM收费。 性能测试服务提供按需计费模式和按套餐包计费模式，其中按套餐包计费模式分为按需套餐包和包周期套餐包。 按需模式计费项信息表 计费项目 计费项说明 适用的计费模式 计费公式 :::: 产品单价（元/VUM） VUM指任务对资源的消耗数，表示每虚拟用户每分钟。计算公式为VUMVU（虚拟并发用户数）M（压测时长，单位为分钟）。 按需计费。 产品单价压测时长 压测时长（分） 使用性能测试服务压测的时间长度，单位为分钟，精确到秒。 按需套餐包模式计费项信息表 计费项目 计费项说明 适用的计费模式 计费公式 :::: 峰值并发 运行任务支持的最大并发用户数，请根据测试需求预估。 按需套餐包计费。 使用时依照压测所消耗的VUM扣除套餐包额度。已消耗VUM测试任务总并发数压测时长。剩余VUMVUM额度已消耗VUM。 VUM额度 按需套餐包生效期间，使用时优先扣除按需套餐包内的VUM额度，超出按需套餐包的部分以按需计费模式进行结算。 压测时长（分） 使用性能测试服务压测的时间长度，单位为分钟，精确到秒。 包周期套餐包模式计费项信息表 计费项目 计费项说明 适用的计费模式 计费公式 :::: 峰值并发 运行任务支持的最大并发用户数，请根据测试需求预估。 包周期套餐包计费。 在包周期时长内，VUM不限量。 包周期时长 购买性能测试服务包周期套餐包的时长。购买时长为1年时，可享受实付85折优惠。

本章节主要介绍配置存算分离集群（委托方式） 。 MRS支持用户将数据存储在OBS服务中，使用MRS集群仅做数据计算处理的存算模式。MRS通过IAM服务的“委托”机制进行简单配置，实现使用ECS自动获取的临时AK/SK访问OBS。避免了AK/SK直接暴露在配置文件中的风险。 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源，请根据实际业务场景需求确认是否需要配置委托。 MRS提供如下访问OBS的配置方式，请选择其中一种配置即可（推荐使用委托方式）： 通过为MRS集群绑定ECS委托方式访问OBS，避免了AK/SK直接暴露在配置文件中的风险，具体请参考本章节。 在MRS集群中配置AK/SK，AK/SK会明文暴露在配置文件中，请谨慎使用，具体请参考配置存算分离集群（AKSK方式）。 集群的Hadoop、Hive、Spark、Presto、Flink组件支持该功能。 1.创建具有访问OBS权限的ECS委托 说明 MRS在IAM的委托列表中预置了MRSECSDEFAULTAGENCY委托，可在集群创建过程中可以选择该委托，该委托拥有对象存储服务的OBS OperateAccess权限和在集群所在区域拥有CESFullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。同时请勿在IAM修改MRSECSDEFAULTAGENCY委托。 如需使用预置的委托，请跳过创建委托步骤。如需使用自定义委托，请参考如下步骤进行创建委托（创建或修改委托需要用户具有Security Administrator权限）。 1. 登录管理控制台。 2. 在服务列表中选择“管理与监管 > 统一身份认证服务”。 3. 选择“委托 > 创建委托”。 4. 设置“委托名称”。例如：mrsecsobs。 5. “委托类型”选择“云服务”，在“云服务”中选择“弹性云主机ECS 裸金属服务器BMS”，授权ECS或BMS调用OBS服务。 6. “持续时间”选择“永久”并单击“下一步”。 7. 在弹出授权页面的搜索框内，搜索“OBS OperateAccess”策略，勾选“OBS OperateAccess”策略。 8. 单击“下一步”，选择权限范围方案，默认选择“所有资源”，单击“展开其他方案”，选择“全局服务资源”。 9. 在弹出的提示框中单击“知道了”，开始授权。界面提示“授权成功。”，单击“完成”，委托成功创建。

本文为您介绍Windows环境下对Palworld游戏世界参数进行修改的最佳实践。 操作场景 本文以Windows操作系统为例，为您介绍通过Palworld专有镜像一键部署Palworld服务器后对游戏世界参数进行修改的具体操作。 操作步骤 1. 进入C:PalServerPalSavedConfigWindowsServer 路径。 2. 使用记事本打开PalWorldSettings.ini文件。 3. 根据参数对应表修改自己喜欢的世界参数，修改完成后点击“保存”。 4. 重启云主机，配置的参数即可生效。 参数对照表 Difficulty 英文 中文 DayTimeSpeedRate Day time speed 白天时间流逝速度 NightTimeSpeedRate Night time speed 夜晚时间流逝速度 ExpRate EXP rate 经验获取倍率 PalCaptureRate Pal capture rate 帕鲁捕获率 PalSpawnNumRate Pal appearance rate 帕鲁刷新倍率 PalDamageRateAttack Damage from pals multipiler 帕鲁攻击力倍率 PalDamageRateDefense Damage to pals multipiler 帕鲁防御力倍率 PlayerDamageRateAttack Damage from player multipiler 玩家攻击力倍率 PlayerDamageRateDefense Damage to player multipiler 玩家防御力倍率 PlayerStomachDecreaceRate Player hunger depletion rate 玩家饥饿消耗率 PlayerStaminaDecreaceRate Player stamina reduction rate 玩家体力减少率 PlayerAutoHPRegeneRate Player auto HP regeneration rate 玩家自动HP回复率 PlayerAutoHpRegeneRateInSleep Player sleep HP regeneration rate 玩家睡眠HP回复率 PalStomachDecreaceRate Pal hunger depletion rate 帕鲁饥饿消耗率 PalStaminaDecreaceRate Pal stamina reduction rate 帕鲁体力减少率 PalAutoHPRegeneRate Pal auto HP regeneration rate 帕鲁自动HP回复率 PalAutoHpRegeneRateInSleep Pal sleep health regeneration rate (in Palbox) 帕鲁睡眠HP回复率（帕鲁终端中） BuildObjectDamageRate Damage to structure multipiler 建筑物血量 BuildObjectDeteriorationDamageRate Structure determination rate 建筑物风化速率 CollectionDropRate Getherable items multipiler 采集物掉落率 CollectionObjectHpRate Getherable objects HP multipiler 采集物回复率 CollectionObjectRespawnSpeedRate Getherable objects respawn interval 采集物刷新率 EnemyDropItemRate Dropped Items Multipiler 击败敌人物品掉落率 DeathPenalty Death penalty None : No lost, Item : Lost item without equipment, ItemAndEquipment : Lost item and equipment, All : Lost All item, equipment, pal(in inventory) 死亡惩罚None ：没有丢失；Item ：丢失物品，不丢失帕鲁；ItemAndEquipment ：丢失的物品和装备：All ：丢失所有物品、装备、帕鲁（背包中） GuildPlayerMaxNum Max player of Guild 公会最大玩家数 PalEggDefaultHatchingTime Time(h) to incubate massive egg 孵化巨大蛋的时间(h) BaseCampWorkerMaxNum Max worker in camp 每个据点工作帕鲁数量上限 WorkSpeedRate Rate of working speed 工作效率 ServerPlayerMaxNum Maximum number of people who can join the server 服务器最多可加入人数 ServerName Server name 服务器名称 ServerDescription Server description 服务器描述 AdminPassword AdminPassword 管理员密码 ServerPassword Set the server password. 设置服务器密码(仅作为社群服务器时有效) PublicPort Public port number 公共端口号 PublicIP Public IP 公共IP RCONEnabled Enable RCON 启用RCON RCONPort Port number for RCON RCON的端口号

本节主要介绍安装GPU指标与RAID指标采集插件（Linux） 操作场景 本章节指导用户安装指标采集插件，用于采集GPU类指标和RAID类指标。 说明 ECS支持GPU类指标，BMS暂不支持。 BMS支持RAID类指标，ECS暂不支持。 若Agent升级到1.0.5及以上版本，对应插件需使用最新的版本，否则会出现指标采集异常。 前提条件 已安装Agent并处于正常运行状态。 GPU类指标采集需弹性云主机支持GPU。 操作步骤 1. 使用root帐号，登录ECS。 说明 若要监控BMS的软RAID指标，请登录BMS。 以下以安装GPU插件为例，安装监控软RAID插件类似。 2. 执行以下命令，进入Agent安装路径。 cd /usr/local/telescope 3. 执行以下命令，创建plugins文件夹。 mkdir plugins 4. 执行以下命令，进入plugins文件夹。 cd plugins 5. 执行如下命令，下载采集插件脚本（以下以GPU插件为例）。 wget 说明 RAID插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1 插件包地址为： GPU插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1, 插件包地址为： 6. 执行如下命令，添加脚本执行权限。 chmod 755 gpucollector 7. 执行如下命令，新建conf.json文件并添加配置内容，配置插件路径和指标采集周期crontime（单位：秒）。 vi conf.json GPU指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/gpucollector", "crontime": 60 } ] } RAID指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/raidmonitor.sh", "crontime": 60 } ] } 说明 path路径后的参数为gpucollector和raidmonitor.sh分别为GPU插件和RAID插件配置内容。 插件采集周期为60s，若采集周期配置错误，会导致指标采集异常。 插件路径path请勿私自修改，否则指标采集异常。 8. 打开/usr/local/telescope/bin路径下的confces.json文件，新增配置项"EnablePlugin"：true，开启插件采集开关。 { "Endpoint": "所在区域地址，默认无需修改", "EnablePlugin": true } 9. 执行如下命令，重启Agent。 /usr/local/telescope/telescoped restart

产品规格、计费单位、价格及应用场景说明,帮助您快速了解产品总体计费模式。 本产品按照服务的类型、人员数、服务周期及服务资产数进行收费。 注意 购买基础版、企业版前，应至少已订购主机安全、WAF、云防火墙安全产品。 本产品一经订购无法退订，请核对完信息后下单。 服务项 细分项 资产数 单位 价格 应用场景 备注 基础版 基础版接入服务 元/年 40800 基础费用，包含服务接入、资源配置等 基础版 基础版资产 1 元/台/年 720 单个资产托管费用 企业版 托管基础服务 元/年 60000 基础费用，包含服务接入、资源配置等 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 企业版 托管资产 1 元/台/年 1800 单个资产托管费用 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 护航版 前期评估 150 元/天 10000 对资产、网络、应用进行重保前的整体安全评估，协助用户完成安全加固 最低5天 护航版 重保服务 150 元/天 12000 提供724小时不间断人工重保服务，持续进行安全监控及应急响应 护航版 防护资产扩展包 50 元/天/个 8000 扩展重保服务监控资产数量 每新增1个资产扩展包，安全检查最低天数增加1天 护航版 蓝军攻击服务（3人5天） 元/次 450000 提供3人5天的蓝军攻击服务，提供攻击报告 应急响应服务 应急响应服务 120 元/次 35000 提供远程应急响应服务，受影响范围为120个资产 应急响应服务 应急响应服务 21100 元/次 36000 提供远程应急响应服务，受影响范围为21100个资产 应急响应服务 应急响应服务 101200 元/次 39600 提供远程应急响应服务，受影响范围为101200个资产 应急响应服务 应急响应服务 201500 元/次 52000 提供远程应急响应服务，受影响范围为201500个资产 安全评估 安全评估服务 元/次 30000 对云上资产、应用、网络进行整体安全评估，提供评估报告，提供加固建议 全流量分析服务 元/月 3500 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。 全流量分析服务 元/年 35000 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本小节介绍微隔离防火墙功能特性。 工作负载标签化管理 零信任访控需要面向身份，微隔离的控制需要面向业务，这二者的关联是什么？对于“非人实体”而言，他的身份其实是他的业务角色，这一点其实与“真人实体”并没有什么差异（小张、小李不是身份，这个人的业务角色才是授予他权限的依据）。 工作负载标签化管理，是指基于多维属性标签，刻画工作负载业务角色、标定工作负载资产身份的管理设计。标签化是实现基于业务的互访流量可视化、面向业务的访问控制和自适应策略计算的基础能力； 通常情况下，可通过工作负载的位置、环境、应用、角色等属性定义标签； 在进行策略配置时，我们是通过标签的组合来设定策略控制的范围的。所以，从工作负载本身到角色，到带有多维标签的身份、再到使用多维标签的策略范围，我们通过五层实体、四次动态映射实现了安全策略与基础设施解耦（即面向业务而非基础设施）。 微隔离访问控制 支持内部云主机之间的微隔离访问控制（东西向），基于拓扑设置安全策略、可减少内部安全策略总数的90%。 当我们理清了内部连接的基线模型后，就要开始进行策略配置了。东西向流量的策略配置复杂度比较高，我们也进行了针对性的设计： 首先，上面提到策略是基于标签而配置的，一方面实现了安全策略面向业务（而非基础设施），另一方面则大幅减少了基于IP地址的策略规模，降低了系统运算量及性能开销； 其次，我们的策略具有多种模式，具备建设、测试、防护3种策略生效模式，最大化的降低安全策略部署过程中的业务影响； 第三，我们可以通过多种方式配置策略，比如在可视化视图中点击连接线，向导式的快速放通某个连接，又比如我们可以提供一个策略生成器，将当前的策略效果与实际发生的连接进行匹配，帮助客户分析出目前的策略配置没有覆盖到的连接，进而快速、批量的生成策略，最大化降低使用难度。 第四，对于有特殊需求的终端，我们也支持基于IPSec协议实现点到点的加密，最大化实现灵活管控。

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

什么是实例？ SQL Server的最小管理单元是实例，一个实例代表了一个独立运行的关系数据库。用户可以在关系数据库系统中自助创建及管理各种数据库引擎的实例。实例的系列、规格、引擎、版本和状态，请参见实例说明。 什么是实例类型？ SQL Server的实例分为单机版和主备版两种类型，通过不同的架构，分别提供不同的服务特性，请参见实例类型。 单机版和主备版支持不同的实例规格，请参见实例规格的性能规格。 什么是实例规格？ SQL Server的实例规格主要是由云主机的性能类型、vCPU和内存三个重要属性组成，请参见实例规格。 什么是自动备份？ 创建实例时，SQL Server默认开启自动备份策略。实例创建成功后，您可对自动备份策略进行修改，数据库实例将根据您的配置自动创建全量或增量备份。 什么是手动备份？ 手动备份是由用户手动操作启动对数据库实例进行的全量备份，它会一直保存，直到用户主动删除。 什么是企业项目？ 企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，通过授权用户组来限制用户使用企业项目内的云资源权限。 什么是区域和可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 目前，天翼云已在全国多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。