本章介绍如何停用/启用追踪器。 操作场景 云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后，系统将不再记录新的操作，但是您依旧可以查看已有的操作记录。 本节介绍如何停用/启用追踪器。 使用限制 停用数据类追踪器后，操作事件无法上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，但是您无法查看新的操作记录、转储事件至OBS/LTS。 前提条件 已在云审计服务中成功创建数据类追踪器。 停用/启用数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“停用”。 6. 单击“确定”，停用追踪器。追踪器停用成功后，操作下的“停用”切换为“启用”。 7. 如果您需要重新启用追踪器，单击“启用 > 确定”，则系统重新开始记录新的操作。

本节介绍了云容器引擎的产品功能。 功能特性 强大的集群管理 单集群支持数千节点规模 高性能自研网络插件，VM与容器直连互通，性能提升20% 丰富的集群插件，开箱即用 一站式容器应用管理 支持原生5种类型工作负载 内置应用模板，支持一键部署Helm应用 支持灰度发布，蓝绿发布，应用弹性伸缩 极致弹性&高效调度 支持HPA/CronHPA伸缩策略 支持基于历史指标/事件驱动的弹性伸缩 提供负载感知调度，解决原生k8s调度不均问题 企业级的安全稳定 支持3Master高可用，镜像服务高可用能力 提供集群备份恢复插件，支持多种存储介质 支持安全容器，提供镜像签名和镜像扫描 功能列表 一级分类 二级分类 功能点 功能点描述 核心功能 集群 一键快速部署 支持界面化订购，自动开通Kubernetes集群，兼容原生Kubernetes 核心功能 集群 节点管理 支持界面化进行扩缩容，支持节点标签、调度设置 核心功能 集群 命名空间 支持资源配额设置、支持网络隔离设置 核心功能 集群 运行时 支持Docker、Containerd 核心功能 工作负载 生命周期管理 支持应用创建、启停、扩缩容、注销等生命周期操作 核心功能 工作负载 工作负载 支持界面化发布有状态、无状态、守护进程、任务、定时任务等工作负载 核心功能 工作负载 多容器 支持一个Pod中发布多个容器，支持设置特权级容器 核心功能 工作负载 探针 支持界面化自定义策略检测应用的可用性 核心功能 工作负载 滚动升级 支持业务不中断平滑升级 核心功能 工作负载 亲和性/反亲和 支持主机及应用的亲和性与反亲和性调度 核心功能 工作负载 资源管控 支持容器级别的资源需求和限额设置，防止资源的浪费 核心功能 弹性调度 Pod弹性伸缩 支持自动伸缩规则设置，基于CPU/内存等资源自动伸缩应用，支持HPA、CronHPA和基于事件的弹性策略 核心功能 弹性调度 节点弹性伸缩 支持节点弹性伸缩 核心功能 弹性调度 负载感知调度 支持调度Pod时考虑节点的实际负载 核心功能 路由 多协议支持 支持TCP、UDP、HTTP以及HTTPS等协议 核心功能 路由 Service支持 支持NodePort、ClusterIP，LB等对外提供访问、支持无头服务 核心功能 路由 Ingress支持 支持Nginx Ingress 核心功能 路由 灰度/蓝绿发布 支持支持灰度/蓝绿发布，支持应用的多个版本在线运行 核心功能 配置管理 配置项 支持配置项 核心功能 配置管理 Secret 支持保密字典、凭证等 核心功能 网络 网络插件 支持高性能网络插件Calico 核心功能 网络 网络插件 支持自研网络插件CubeCNI实现容器与虚拟机网络直通 核心功能 网络 网络策略 支持容器访问策略和流控限制 核心功能 存储 多类型存储 支持Local、NFS、Ceph常见持久存储类；支持csi驱动程序，集成天翼云的云硬盘、弹性文件、对象存储等云存储 核心功能 存储 持久卷声明 支持界面化创建持久卷声明，支持监控存储使用量 核心功能 存储 持久卷 支持界面化创建持久卷，支持持久卷的动态生成 核心功能 日志管理 日志中心 支持容器日志的采集、存储和检索，支持集成三方开源日志解决方案 核心功能 监控与告警 监控中心 支持集群、节点、容器多级别的监控与告警配置，支持审计日志，支持集成三方开源监控解决方案 核心功能 系统管理 接入平台 作为平台组件对外提供服务，支持订单方式进行集群的开通、扩缩容、删除等 核心功能 系统管理 权限管理 多租户支持，租户资源隔离，用户角色授权，支持集群和命名空间的授权 高级功能 应用 插件市场 支持通过Chart对插件打包发布到插件市场，界面化一键部署监控等插件，通过插件与其他产品集成 高级功能 应用 模板市场 支持通过Chart对应用打包发布到模板市场，界面化安装部署等 高级功能 应用 有状态应用 支持挂载持久化存储，实现有状态应用容器化部署 高级功能 能力开放 OpenAPI 支持开放API，对接持续集成和私有部署系统 高级功能 高可用部署 Kubernetes高可用 支持Kubernetes高可用部署 容器镜像服务 镜像 镜像仓库 支持对接多镜像中心，支持界面化创建仓库 容器镜像服务 镜像 租户隔离 支持公开仓库的可见性及私有仓库的不可见性 容器镜像服务 镜像 镜像管理 支持管理海量镜像，支持多版本镜像 容器镜像服务 镜像 镜像收藏 支持快速检索镜像并收藏 容器安全 授权 权限管理 支持基于k8s RBAC授权 容器安全 配置安全 容器安全策略 支持SecurityContext配置

本文帮助您更快了解如何规划子网网段和数量。 相关描述 子网是虚拟私有云内的IP地址块，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重叠。 默认情况下，同一个VPC的所有子网内的云主机均可以进行内网通信，不同VPC的云主机不能进行内网通信。 注意： 子网创建成功后，不支持修改网段，请提前合理规划好子网网段。 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。 不同子网之间网段不能相同、不能有交集。 如何通过业务用途划分子网 建议在同一个VPC下的业务内可按照业务模块分别划分子网，例如子网1用于Web层，子网2用于逻辑层，子网3用于数据层，有利于结合网络ACL进行访问控制和过滤。 如果只是VPC的子网规划，不涉及和本地IDC的网络通信，则可以使用VPC网段中的子网段进行新建子网。 如果要通过VPN/云专线与线下IDC进行互通，本端网段（子网网段）和对端网段（您的IDC侧子网网段）不能重叠，请合理规划VPC及子网网段。 在划分网段时还应考虑该网段的IP容量，即有多少可用的IP数。

本文帮助您更快了解如何规划子网网段和数量。 相关描述 子网是虚拟私有云内的IP地址块，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重叠。 默认情况下，同一个VPC的所有子网内的云主机均可以进行内网通信，不同VPC的云主机不能进行内网通信。 注意： 子网创建成功后，不支持修改网段，请提前合理规划好子网网段。 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。 不同子网之间网段不能相同、不能有交集。 如何通过业务用途划分子网 建议在同一个VPC下的业务内可按照业务模块分别划分子网，例如子网1用于Web层，子网2用于逻辑层，子网3用于数据层，有利于结合网络ACL进行访问控制和过滤。 如果只是VPC的子网规划，不涉及和本地IDC的网络通信，则可以使用VPC网段中的子网段进行新建子网。 如果要通过VPN/云专线与线下IDC进行互通，本端网段（子网网段）和对端网段（您的IDC侧子网网段）不能重叠，请合理规划VPC及子网网段。 在划分网段时还应考虑该网段的IP容量，即有多少可用的IP数。

本文介绍如何通过内网及psql命令行客户端连接实例。 RDSPostgreSQL支持客户通过PostgreSQL客户端在内网连接实例。 前提条件 1.登录弹性云主机 创建并登录弹性云主机。 通过弹性云主机连接RDSPostgreSQL实例，需要具备以下条件： 该弹性云主机与目标实例在同一个VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例安全组为default，则无需特别设置。(仅部分资源池支持实例安全组变更，其余资源池默认为default安全组规则)。 如果目标实例安全组为非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作参考VPC安全组配置指引。 2.安装PostgreSQL客户端 请参见数据库基本使用如何安装PostgreSQL客户端。 命令行连接 登录云主机后执行如下命令： psql h p U d 参数说明： ：主机IP，即控制台页面的“实例列表”页面该集群对应的实例列表中，您想连接的实例“vip”列信息。 ：数据库端口，为“实例详情”页面中的数据库端口。 ：用户名，即 RDSPostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即RDSPostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

本页介绍什么是关系数据库MySQL版。 MySQL是全球流行的开源关系型数据库管理系统之一，具有良好的跨平台能力。天翼云关系数据库MySQL版（CTRDS MySQL）是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备和只读四种实例类型，并具备完善的安全防护措施和性能监控体系，提供了专业的数据库管理控制台，方便用户使用数据库。通过关系数据库MySQL版服务的管理控制台，用户可以方便快捷地执行所有必需任务，有效降低运营难度和运维成本，只需专注开发应用和业务发展。关系数据库MySQL版优势如下： 资源弹性调度：支持根据业务需求对实例资源进行弹性调度。用户可以根据需要进行升级或降级，以满足不同业务场景下的需求，提高资源的利用效率。 管理简单：通过简单易用的控制台和API，提供丰富的管理功能，包括备份和恢复、性能监控、访问控制等，为用户提供高效的管理体验。 高可扩展性：支持只读实例，从而将读请求分担到只读实例上，提高服务的可扩展性。 高可用性和容错性：支持主备架构，保证数据的备份和在主库故障情况下的无缝切换，提高服务的可用性和容错性。 安全可靠：提供全面的安全性支持，包括数据加密和网络隔离等，保障数据的安全可靠。 当前关系数据库MySQL版支持版本，请参见存储引擎和版本。

本文为您介绍安全体检的权限管理能力，支持通过IAM实现对安全体检的访问控制、权限分配。 安全体检通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制安全体检服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 安全体检IAM策略说明 天翼云为安全体检提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 安全体检管理者admin 安全体检管理员策略，拥有产品所有操作权限。 系统策略 全局级 安全体检查看者viewer 安全体检查看者策略，只具备查看权限。 系统策略 全局级

问题描述 云主机密码遗忘，需要在控制台快速重置密码。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“产品服务列表 > 弹性云主机”。 4. 选择需重置密码云主机右侧的更多，选择下拉选项中的“重置密码”。 5. 按照提示的密码要求输入符合要求的密码。

分布式消息服务Kafka引擎类型云原生引擎调整为白名单特性，更多了解请查看快速入门创建实例引擎类型说明。 调整时间 2024年7月5日 影响范围 所有区域 调整影响 新用户默认不开放云原生引擎订购开通，如需要该特性，请联系技术支持开通后使用。 已购买云原生引擎实例的用户，原实例仍可正常使用，续费、扩容等操作不受影响。

本节为您介绍访问控制的组成部分、使用限制。 天翼云SDWAN服务提供访问控制功能，您可以为智能网关设备设置访问白名单或黑名单。 组成部分 访问控制规则由以下参数组成： 参数 说明 规则方向 可选出方向、入方向。 授权策略 授权策略：可选允许、拒绝，允许对应白名单，拒绝对应黑名单。 协议类型 可选ICMP、TCP、UDP，具体以控制台为准。 地址类型 仅支持IPv4。 源网段 填写单一IP地址或者CIDR网段格式。 源端口范围 取值范围1到65535;设置格式例女“1/200”、“80”、“1/1”代表不限制端口。 目的网段 填写单一IP地址或者CIDR网段格式。 目的端口范围 取值范围1到65535;设置格式例女“1/200”、“80”、“1/1”代表不限制端口。 优先级 取值范围：[1,100]，1为最高优先级两条不同的规则，优先级高的优先生效，如果优先级相同，则先下发的规则优先生效。 使用限制 创建访问控制实例后，不支持修改访问控制实例的实例类型。 一个智能网关硬件版只能关联一个访问控制规则。 一个天翼云账号默认可以创建50个访问控制规则。 每条规则默认可以添加50条规则项。

本章节介绍云容器集群节点网络丢包故障演练。 背景介绍 网络拥塞、物理链路故障、设备缓冲区溢出或配置错误，都可能导致数据包在云容器引擎（CCE）集群的节点间或节点与外部服务间被丢弃。对于 TCP 连接，丢包会触发超时重传机制，导致通信延迟增加和有效吞吐量下降；对于 UDP 连接，丢包则意味着数据的永久丢失。本演练模拟节点级别的网络丢包场景，帮助您评估应用的容错能力、检验超时和重传策略的有效性，并验证监控告警的灵敏度。 基本原理 通过增加TC和Netem规则模拟Node内网络丢包。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络包乱序故障演练。 背景介绍 在云容器引擎（CCE）集群中，由于多路径传输、网络插件策略或底层网络设备的差异，数据包可能不会按照其发送顺序到达目标节点。虽然 TCP 协议设计了重排序机制来处理这种情况，但严重的乱序仍然会增加接收端节点的CPU开销、导致有效吞吐量下降和应用层延时增加。本演练模拟节点级别的网络包乱序场景，帮助您评估应用协议的健壮性和系统在非理想网络条件下的性能表现。 基本原理 通过增加TC和Netem规则模拟Node内网络包乱序。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点内存高负载故障演练。 背景介绍 当云容器引擎（CCE）节点的内存被异常占用（例如，由应用内存泄漏、缓存数据无限制膨胀或资源限制配置不当引起），其内存使用率会飙升。一旦可用内存耗尽，系统可能会频繁进行内存交换，甚至触发 OOM Killer（OutOfMemory Killer）强制终止 Pod，导致服务中断。本演练模拟节点内存资源被持续占用的高负载场景，帮助您检验 Pod 的资源限制和服务质量配置、评估 kubelet 的驱逐策略，验证 HPA（水平Pod自动伸缩）的有效性。 基本原理 启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

如远程登录提示密码错误，可通过 "重置密码" 功能设置新密码。 您可以通过弹性云主机控制台重置密码，点击更多重置密码更改密码，使用新密码再进行登录。具体操作步骤如下： 1. 打开弹性云主机控制台页面。 2. 选择您需要重置密码的弹性云主机，点击“更多”按钮。 3. 在弹出的下拉菜单中，选择“重置密码”选项。 4. 在弹出的重置密码窗口中，您需要输入一个新的密码，并确认一遍输入正确的密码。请注意密码的规则为8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@$%^&+{}[]:;'<>,.?/ 中的特殊符号），且不能以斜线号（/）开头，不能包含连续字符。 5. 点击“确定”按钮，系统会提示您，重置密码成功。 6. 使用新密码登录弹性云主机控制台，进行后续操作。 更多可以参考在控制台重置密码。

本节介绍了用户未修改密码,正常使用弹性云主机一段时间后无法登录的处理方法。 处理方法 检查弹性云主机远程连接是否能显示登录界面。 如果不能显示登录界面，表示可能是GuestOS在弹性云主机上的进程异常，请联系客服进行定位。 如果可以显示登录界面，需要使用单用户模式进入操作系统内部进行排查，操作步骤如下： 检查单用户模式下是否可以修改密码。 如果可以修改密码，修改成功后，请联系客服排查弹性云主机是否遭受攻击被恶意修改密码。 如果单用户模式修改密码后不生效，请检查“/etc/security/limits.conf”中的 “hard ”和 “soft”的设置，建议不要超过65535。 如果值过大，可以适当调小，在单用户模式下修改密码后再尝试登录。

云审计CTS与LTS进行系统对接后，系统自动在云日志服务控制台创建的日志组和日志流，如果需要将CTS的日志转储至OBS中，您需要进行以下操作： 1. 在云审计服务管理控制台，单击左侧导航栏中的“追踪器”。 2. 单击追踪器“system”操作列的“配置”。 3. 进入基本信息页面，单击下一步。 4. 在“配置转储”页面，选择转储到OBS的相关信息和开启转储到LTS，单击下一步。 5. 确认信息正确后，单击配置即可完成。 6. 在云日志服务管理控制台，选择左侧导航栏中的“日志转储”，单击“配置转储”，完成将CTS日志转储至OBS的配置。 其中日志组名称选择“CTS”，日志流名称“systemtrace”。 7. 转储成功后在OBS控制台所选OBS桶中可以看到已转储的CTS日志。

本章节介绍云容器集群Pod进程停止故障演练。 背景介绍 在 CCE 中，Pod 容器内进程若意外终止，可能导致业务中断和 Pod 重建。本演练模拟进程终止，评估系统容错及自愈与告警能力。 基本原理 通过kill 9停止节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

本章节介绍云容器集群Pod进程挂起故障演练。 背景介绍 在 CCE 环境中，容器内进程可能因系统调度、资源冻结或异常信号进入挂起状态。此类故障隐蔽且会导致服务中断，同时进程仍占用资源。本演练通过模拟容器内进程挂起，验证业务在此类异常下的表现与容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程挂起动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod内存高负载故障演练。 背景介绍 在 CCE 环境中，Pod 运行在共享资源的节点上。内存高负载常因泄漏、数据膨胀或缓存失控引起，可能触发 Kubernetes 的 OOM 机制，导致 Pod 重启、请求失败，甚至影响同节点其他服务。 基本原理 启动自定义程序不断申请内存，模拟Pod内存负载升高。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod进程挂起故障演练。 背景介绍 在 CCE 环境中，容器内进程可能因系统调度、资源冻结或异常信号进入挂起状态。此类故障隐蔽且会导致服务中断，同时进程仍占用资源。本演练通过模拟容器内进程挂起，验证业务在此类异常下的表现与容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程挂起动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod Java方法抛自定义异常。 背景介绍 在 CCE 环境中，业务系统多以 Java 应用运行在资源 Pod 中。本演练通过在 Pod 内注入 Java 方法自定义异常，模拟生产中的调用异常故障。 基本原理 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择JAVA类方法抛自定义异常动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：java进程的关键词。 类名：注入延迟的类名，带全包名。 方法名：注入延迟的方法名。 延迟时间：注入的延迟时间，单位是毫秒。 容器名称：java进程所在容器名称。

本节介绍了变更弹性云主机规格时的问题描述和处理流程。 操作场景 Linux弹性云主机变更规格时，可能会发生磁盘挂载失败的情况，因此，变更规格后，需检查磁盘挂载状态是否正常。本节操作介绍变更规格后检查磁盘挂载状态的操作步骤。 操作步骤 1. 以root用户登录云主机。 2. 执行以下命令，查询磁盘信息。 fdisk l grep 'Disk /dev/' 图 查询磁盘信息 如上图所示，云主机共有3块磁盘：/dev/vda、/dev/vdb、/dev/vdc。 3. 执行以下命令，查看磁盘挂载情况。 df h grep '/dev/' 图 查询磁盘挂载情况 如上图所示，云主机只挂载了1块磁盘/dev/vda。 4. 对比2和3中查询的磁盘个数是否一致。 − 是，表示变更成功，结束。 − 否，表示存在磁盘挂载失败，执行5。 5. 使用mount命令挂载磁盘。 示例： mount /dev/vbd1 /mnt/vbd1 其中，/dev/vbd1是待挂载的磁盘，/mnt/vbd1是待挂载磁盘的路径。 注意 待挂载磁盘的文件夹/mnt/vbd1必须是空文件夹，否则会挂载失败。 6. 再次执行以下命令，对比查询的磁盘个数是否一致。 fdisk l grep 'Disk /dev/' df h grep '/dev/' − 是，结束。 − 否，请联系客服获取技术支持。 图 检查磁盘个数是否一致 如上图所示，使用两个命令查询的云主机磁盘个数一致，分别是：/dev/vda、/dev/vdb、/dev/vdc。

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

IPv6带宽可绑定多种云资源,本文向您介绍将IPv6带宽绑定至云资源的操作步骤。 如果您所购买的双栈云主机需要绑定IPv6带宽，实现IPv6地址访问公网能力，您可以参考此说明。 前提条件 要绑定的云资源与该IPv6带宽为同一资源池； 被绑定的IPv6带宽没有绑定其他云资源，且为正常状态。 操作须知 绑定IPv6带宽不需要对虚拟机进行关机，绑定成功后实时生效。 操作步骤 1. IPv6带宽可绑定云主机、物理机及负载均衡，其中，仅有支持双栈网卡的主机可绑定IPv6带宽。 2. 搭建IPv6专有网络，需要在创建VPC之前，根据具体的业务需求规划VPC的数量、子网的数量和IP网段划分等。 3. 登录控制台虚拟私有云页面，创建VPC，在对子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭，暂不支持自定义设置IPv6网段。 4. 开通云主机的IPv6网络访问能力，则需要在创建云主机时，网卡绑定开启了IPv6地址的VPC及子网，将自动为该网卡分配IPv6地址。 5. 要使该主机具备访问IPv6互联网的能力，则需将该实例与IPv6带宽进行绑定。进入网络控制台，在IPv6带宽列表找到待绑定IPv6带宽，单击操作列中的【绑定】按钮； 6. 在弹窗中的资源列表中，选择需要绑定的主机网卡，选择完毕后点击【确定】完成绑定操作，如下图所示：

安装后验证 服务器上架成功，实例开通成功，确认部署完成。 卸载服务 1. 删除实例 在控制台停止实例、删除实例，具体步骤参见管理平台开发手册停止实例和删除实例章节。 2. 如需卸载环境 1. 下架服务器，下架前确保没有实例部署在服务器上。 2. 停止服务器上的Agent服务。 3. 清空数据目录。 4. 删除teledb账号。 5. 回收服务器。

安装后验证 服务器上架成功，实例开通成功，确认部署完成。 卸载服务 1. 删除实例 在控制台停止实例、删除实例，具体步骤参见管理平台开发手册停止实例和删除实例章节。 2. 如需卸载环境 1. 下架服务器，下架前确保没有实例部署在服务器上。 2. 停止服务器上的Agent服务。 3. 清空数据目录。 4. 删除teledb账号。 5. 回收服务器。

安装后验证 服务器上架成功，实例开通成功，确认部署完成。 卸载服务 1. 删除实例 在控制台停止实例、删除实例，具体步骤参见管理平台开发手册停止实例和删除实例章节。 2. 如需卸载环境 1. 下架服务器，下架前确保没有实例部署在服务器上。 2. 停止服务器上的Agent服务。 3. 清空数据目录。 4. 删除teledb账号。 5. 回收服务器。

按天循环 json { "regionID": "81f7728662dd11ec810800155d307d5b", "groupID": 494, "name": "aspolicy4321", "cycle": 3, "executionTime": "20221017 10:44:00", "effectiveFrom": "20221017 10:44:00", "effectiveTill": "20221116 11:44:00", "action": 1, "operateUnit": 1, "operateCount": 1 } 响应示例 json { "returnObj": { "ruleID": 197 }, "errorCode": "", "message": "SUCCESS", "description": "成功", "statusCode": 800 } 错误码 errorCode 描述 Scaling.Rule.RuleNumberMoreThanLimit 伸缩组中的伸缩策略数量超过限制 Scaling.Rule.RuleNameConflict 弹性伸缩策略名称冲突 Scaling.Rule.ParamsError 弹性伸缩策略参数错误 Scaling.Rule.DayRequired 弹性伸缩策略参数day必填

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知（专业版）来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 当态势感知（专业版）检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在态势感知（专业版）告警管理界面中。

本文主要介绍 将Prometheus的数据上报到AOM 如果您已经部署并正在使用开源prometheus，可直接进行步骤3。 本章主要介绍通过部署Prometheus将AccessCode配置到Prometheus的配置文件并使之生效。 前提条件 已创建弹性云主机ECS。 操作步骤 步骤 1 安装并启动Prometheus，具体操作请参见Prometheus官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 登录ECS，找到prometheus的配置文件。 示例：如果通过以下命令启动 ./prometheus config.fileprometheus.yml 则找到prometheus.yml并将以下配置添加到末尾： remotewrite:url: ' tlsconfig: insecureskipverify: true bearertoken: '{accesscode}' 参数说明： regionname为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的名称不同。 projectid 为项目的ID。 一个完整的配置示意如下，您需要配置斜体部分： my global configglobal: scrapeinterval: 15s