管理Ingress 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“网络” ，然后单击“路由” 。 5. 在路由详情页面中，可以在目标路由的操作列中进行更新、删除以及查看YAML等操作。 6. 在路由详情页面中可以查看所有已经创建路由，点击目标路由名称可进一步看到该路由详情。 方式二：Kubectl操作指导 创建Ingress 1. 创建 testingress.yaml文件，示例内容如下： YAML apiVersion: apps/v1 kind: Deployment metadata: name: myapp spec: replicas: 3 selector: matchLabels: app: myapp template: metadata: labels: app: myapp spec: containers: name: myapp image: nginx:latest ports: name: http containerPort: 8080 apiVersion: v1 kind: Service metadata: name: myappservice spec: selector: app: myapp ports: name: http port: 8080 targetPort: 8080 type: ClusterIP apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: myappingress spec: rules: host: myapp.example.com http: paths: path: /myapp/ pathType: Prefix backend: service: name: myappservice port: number: 8080 2. 执行以下命令对相关对象进行创建。 PowerShell kubectl apply f testingress.yaml 查看Ingress 执行以下命令查看Ingress。 PowerShell kubectl get ingress 更新Ingress 执行以下命令更新Ingress。 PowerShell kubectl edit ingress myappingress

说明：本章节会介绍如何对数据库实例绑定公网IP 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“弹性公网IP”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“弹性公网IP”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

说明：本章节会介绍通过内网连接MySQL实例的流程 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云服务器上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图：通过内网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

接口描述：调用本接口查询域名的IP地址，及ip对应的区域，运营商信息 请求方式：post 请求路径：/auxiliarytools/queryvipsdetailbydomain 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 ::::: domain list 是 域名列表 最多支持５个 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码 message string 是 描述信息 result list 否 返回结果数组 result[].domain string 否 域名 result[].details list 否 域名对应的vip列表信息 result[].details[ ].vips string 否 vip信息，多个用逗号“,”分割 result[].details[ ].cityName string 否 城市名称 result[].details[ ].nodename string 否 节点名称 result[].details[ ].provinceName string 否 省份名 result[].details[ ].ispName string 否 运营商名称 示例： 请求路径： 请求参数： { "domain":[ "test.ctyun.cn" ] } 返回结果： { "code": 100000, "message": "success", "result": [ { "domain": "test.ctyun.cn", "details": [ { "vips": "xx.xx.xx.xx,xx:xx:xx:xx::", "cityName": "呼和浩特市", "nodename": "xxx1", "provinceName": "内蒙古自治区", "ispName": "中国电信" }, { "vips": "xx.xx.xx.xx,xx:xx:xx:xx::", "cityName": "通州区", "nodename": "xxx2", "provinceName": "北京市", "ispName": "中国电信" } ] } ] } 错误码请参考：参数code和message含义

本节介绍如何在下一代防火墙v1.0中进行Syslog日志外发配置。 前提条件 已购买下一代防火墙v1.0资源，且资源状态为“运行中”。 配置日志外发 1. 登录云等保专区控制台，在左侧导航栏，选择“下一代防火墙 > 下一代防火墙v1.0”，在目标资源右侧操作列单击“配置”，进入下一代防火墙界面。 2. 在下一代防火墙导航栏，选择“系统 > 基本配置 > 系统日志”。 3. 单击“新建”，在弹窗中填写日志主机相关信息后，单击“确定”，即可完成系统日志的外发配置。 日志主机：外发的目的地IP地址或主机名称。 端口号：外发目的地的端口号。 4. 在导航栏选择“系统 > 基本配置 > 快速日志”。 5. 单击“新建”，在弹窗中填写日志主机相关信息后，单击“确定”，即可完成快速日志的外发配置。 日志主机：外发的目的地IP地址或主机名称。 端口号：外发目的地的端口号。 勾选需要发送的日志（建议勾选NAT日志、入侵防御）。 说明 NAT日志外发前提是需要开启NAT日志（默认不开启），详细开启方式见“[开启NAT日志](

短信服务支持根据用户需求创建符合要求的签名，一般建议将签名设置为账号主体所在机构的全称或简称。发送短信时，短信平台会将已审核通过的短信签名添加到短信内容中，再发送给短信接收方。本文将为您介绍个人用户如何添加签名。 前提条件 已开通短信服务。 当前登录账号已实名认证。 注意:个人认证用户和企业认证用户权限不同，具体区别，请参见 认证模式。 注意事项 用户短信签名名称已上线App名称、已在工信部备案的网站名称的，建议先用企业名称作为签名，待品未上线建议上线后再申请新的签名。 添加签名 1. 登录云通信控制台。 2. 在左侧导航栏中，单击签名管理 。 3. 在签名管理 页面左侧单击创建签名 。 4. 填写签名用途 、签名名称、签名类型等必填信息。 5. 填写场景说明 ，此信息是签名审核的参考信息之一，请详细描述签名的用途、场景等信息。信息完善的申请说明会提高签名的审核效率。 6. 单击提交，提交审核。审核流程，请参见流程签名审核。

本章介绍函数工作流如何给不同的用户做权限隔离。 如果您需要对FunctionGraph的函数资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制公有云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有FunctionGraph的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用FunctionGraph，但是不允许删除的权限策略，控制他们对FunctionGraph资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了FunctionGraph的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 说明 当添加了FunctionGraph FullAccess权限的子帐号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： APIG、当前不支持细粒度鉴权，需要添加对应admin权限。 更多触发器及相关功能需要的权限，请参见下表所示。 表 触发器及相关功能的权限 触发器/服务功能 权限 APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate DDS dds:instance:get dds:instance:list DMS/Kafka dms:instance:get dms:instance:list LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get 下表列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × × √ 查询函数 √ √ √ 修改函数 × × √ 删除函数 × × √ 调用函数 × √ √ 查看函数日志 √ √ √ 查看函数指标数据 √ √ √

本文主要介绍SQL统计语法。 SQL是用于访问和处理数据库的标准计算机语言，云日志服务SQL提供了查询日志单元中结构化数据的语句。 在自定义语句模式下，您可以编写SQL语句进行统计分析，云日志服务将根据SQL语句返回统计分析结果。具体操作步骤请参考SQL统计分析概述。 语法格式 plaintext SELECT [ ALL DISTINCT ] { exprs } FROM { } [ WHERE wherecondition ] [ GROUP BY [ collistname ] [ HAVING expr ] [ ORDER BY expr [ ASC DESC ], expr [ ASC DESC ], ... ] [ LIMIT limit ] 语句说明 语句 说明 示例 SELECT 从表中选取数据，默认从当前日志单元中获取符合检索条件的数据内容。可省略后续的FROM log。 SELECT visitCount FROM log DISTINCT 返回去重后的结果。 SELECT DISTINCT visitCount AS 为列名称指定别名。 SELECT visitCount AS pv FROM 表示当前查询数据的源数据集， 可以是当前日志单元的结构化数据，该情况下FROM后只能接log，也可以是当前日志单元结构化数据的一个子集。不加FROM的时候默认从当前日志单元结构化数据查询，如果查询的数据源是一个子集，您需要编写子查询语句。 SELECT visitCount SELECT visitCount FROM log WHERE 指定查询的过滤条件，支持算术运算符、关系运算符和逻辑运算符。具体过滤条件可填在wherecondition处。 SELECT visitCount WHERE visitCount > 0 GROUP BY 指定作为分组依据的结构化字段，支持根据单字段或多字段分组。具体的结构化字段列表可填入collistname处。 SELECT host, count() AS pv WHERE visitCount > 0 GROUP BY host HAVING 只能与GROUP BY配合使用。指定用于过滤GROUP BY结果的结构化字段。 SELECT host, count() AS pv GROUP BY host HAVING pv > 10 ORDER BY 后面的字段必须是用于GROUP BY分组的字段，对GROUP BY的查询结果进行排序，用于排序的可以是任意一个结构化字段。 SELECT host, count() AS pv GROUP BY host ORDER BY pv ASC/DESC ASC为升序，DESC为降序，默认为ASC。 SELECT host, count() AS pv GROUP BY host ORDER BY pv DESC LIMIT 对查询结果进行限制，用于限制返回的结构化日志条数。一次查询最多返回20000条结构化日志。说明：如果不使用LIMIT语句，默认返回查询结果中最新的100条数据。 SELECT host LIMIT 100 注意 1. SQL 语句对大小写不敏感，如SELECT 等效于 select。 2. 使用SELECT从日志单元中获取数据时，默认最大获取100行数据，如需获取更多数据请使用LIMIT语法指定需要获取的行数，最多可获取2万行。 3. 字符串必须使用单引号''包裹，无符号包裹或被双引号""包裹的字符表示字段或列名。例如'status'表示字符串 status，status或"status"表示日志字段 status。字符串内本身包含单引号'时，需使用''（两个单引号）代表单引号本身。 4. SELECT中字段名称需符合列名规范，不符合该规范时，需使用双引号""包裹。 5. 每次只能执行一个sql语句。 6. 统计分析语句中默认不需要填写FROM子句和WHERE子句，默认统计当前日志单元中的数据。 7. 不需要在统计分析语句末尾加分号表示结束。

本文主要介绍测试报告说明 性能测试提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。 测试报告由报告总览和SLA报告构成。 报告总览：显示测试用例的各项测试指标。 SLA报告：显示已配置的SLA规则详情，以及触发SLA规则的事件详情。 报告总览 测试报告说明如下表所示。 测试报告展现了测试过程中被测系统在模拟高并发用户的响应性能，为了更好阅读测试报告，请参考以下信息： 统计维度： 测试报告的TPS、RPS、响应时间、并发等统计维度均为单个用例，如用例中有请求多个报文，只有在多个请求报文均正常返回会认为成功，响应时间也是多个请求报文的求和值。 响应超时： 出现该情况是在设置的响应超时时间内（默认5s），对应的TCP连接中没有响应数据返回时，会将本次用例请求统计为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败： 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 解析失败： 响应报文已全部接收完成，但是部分报文丢失导致整个用例响应不完整，这种情况一般需要考虑网络丢包。 带宽统计： 本报告统计的是性能测试服务执行端的带宽，上行表示从性能测试服务发出的流量，下行表示接收到的流量。如果是外网压测场景，您需要关注执行机的EIP带宽是否可以满足上行带宽的要求。而下行带宽需要关注单台执行机是否超过1GB。 TPS： TPS是指云性能测试服务在统计周期内每秒从被测服务器获取到的响应用例实时统计，TPS统计周期内的正常返回数/统计周期。 RPS： RPS是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 如何判断被测应用优劣： 根据应用本身的服务质量定义，理想状态是没有任何响应失败、校验失败的情况，如果有，需要在服务质量定义范围之内，通常情况下不超过1%，同时响应时间越低越好（2s内体验较好，5s内可以接受，超过5s则需要考虑优化），TP90、TP99指标可以客观反映出90%、99%用户的体验响应时间。 测试报告说明 参数 参数说明 :: 各项指标总量 所有用例各项指标总量的汇总。 最大并发：最大并发操作的虚拟用户数。 RPS：是指云性能测试服务在统计周期内平均每秒发送到被测服务器的请求数统计。 响应时间：指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应码：记录压测任务进行中响应码分布的情况。 带宽：记录压测任务运行所消耗的实时带宽变化。 SLA事件：SLA中定义的事件发生情况。 正常返回：如设置了检查点，检查点通过的用例响应数，如未设置默认为返回2XX的用例响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 平均RPS 是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 平均RT 某一秒发出的所有请求的平均响应时间。 并发数 记录压测任务运行时，当前并发操作的虚拟用户数的变化。 带宽（KB/S） 记录压测任务运行所消耗的实时带宽变化。 上行带宽：从性能测试测试执行机往外发送出去数据的速度。 下行带宽：性能测试测试执行机接收到数据的速度。 响应状态分布 正常返回、解析失败、校验失败、响应超时的每秒处理用例数，该项指标与思考时间、并发用户、服务器响应能力均有关，比如思考时间为500ms，如果服务器对于当前用户的上个请求响应时间小于500ms，则该用户每秒请求2次。 正常返回：如设置了检查点，检查点通过的用例响应数，如未设置默认为返回2XX的用例响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 解析失败：HTTP响应无法被正常解析的数量。 校验失败：如设置了检查点，检查点未通过的用例响应数，如未设置，返回不是2XX的用例响应数。 响应超时：在请求报文发送5S内未收到服务器响应的用例请求数量。 连接被拒绝：发送报文建立连接时，服务器拒绝连接数。 其他错误：不属于以上几种错误的数量。 响应码分布 1XX/2XX/3XX/4XX/5XX。 响应时间区间比例 用例的响应时间区间比例。 TP最大响应时间 指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取对应的百分比的那个值作为TPXX的最大响应时间。 TP50：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第50%的那个值作为TP50的值。 TP75：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第75%的那个值作为TP75的值。 TP90：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第90%的那个值作为TP90的值。 TP95：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第95%的那个值作为TP95的值。 TP99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99%的那个值作为TP99的值。 TP99.9：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.9%的那个值作为TP99.9的值。 TP99.99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.99%的那个值作为TP99.99的值。

本文主要介绍云日志服务如何使用edrop函数或ekeep函数过滤日志。 您可以使用edrop函数或ekeep函数过滤日志，也可以使用eif函数与edrop()参数、eifelse函数与edrop()参数过滤日志。 常用规则如下所示： ekeep(ehas(...) )：满足条件时保留，不满足条件时丢弃。 edrop(ehas(...) )：满足条件时丢弃，不满足条件时保留。 eifelse(ehas("..."), ekeep(), edrop())：满足条件时保留，不满足条件时丢弃。 eif(ehas("not ..."), edrop())：满足条件时丢弃，不满足条件时保留。 eif(ehas("..."), ekeep())：无意义的加工规则。 示例 原始日志 日志1 tag:observedts: 1597214851 entry: appview id: 8412 selftag: testok 日志2 entry: h5view id: 8415 selftag: testok2 加工规则 丢弃没有entry字段和tag:observedts字段的日志。 eif(enothas("entry"),edrop()) eif(enothas("tag:observedts"),edrop()) 加工结果 tag:observedts: 1597214851 entry: appview id: 8412 selftag: testok

本节介绍了：黑盒监控的用户指南。 应用场景 云容器引擎监控体系集成黑盒监控能力，黑盒监控即以用户的身份测试服务的外部可见性，常见的黑盒监控包括HTTP探针、TCP探针等用于检测站点或者服务的可访问性，以及访问效率等。 前提条件 已创建集群，具体操作请参见用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 应用接入黑盒监控 工作负载接入黑盒监控 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 在工作负载菜单中选择一种工作负载，本文以无状态为例：选择 工作负载 > 无状态 > 创建Deployment 进入工作负载创建页面。 点击工作负载选项中的显示 高级设置展开工作负载高级设置，点击接入黑盒监控按钮进入监控注解设置界面。可以选择HTTP探针和TCP探针，填写端口和路径后点击确认就会自动生成相关注解。 填写工作负载的其他信息后点击提交 创建工作负载。创建好的工作负载就已经接入黑盒监控了。

本节主要介绍删除按需实例。 操作场景 对于“按需计费”模式的实例，您可根据业务需要，在“实例管理”页面手动删除实例来释放资源。（对于包年/包月的实例，您需要进行订单退订后才可删除实例，详细操作请参见退订包周期实例）。 使用须知 正在执行操作的实例不能手动删除，只有在实例操作完成后，才可删除实例。 “按需计费”类型的实例删除后将不再产生费用，实例生成的自动备份会被同步删除，保留的手动备份会继续收取费用。 实例删除后，该实例上的数据以及相关的自动备份将全部被清除，且不可恢复，请谨慎操作。建议您在删除实例前先创建备份，具体操作请参见创建手动备份。 实例删除后，实例下所有节点将同步被删除。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定的实例，选择“删除”或“更多 > 删除实例”。 4. 若您已开启操作保护，在“删除实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 5. 在弹出框中，单击“是”。

本节为您介绍云迁移服务资源管理。 1. 在左侧导航栏中选择资源规划点击【资源管理】按钮，进入资源管理页，单击资源发现，填写对应表单，图1所示。 图1 资源管理列表页面 2. 进入发现方式选择 离线采集：您可通过调研模板向此功能模块导入源端资源信息；在资源确认后，平台将源端资源录入，进行后续的资源映射匹配，组迁移设置，迁移计划设置等管理。 在线采集：您可通过输入AccessKey、SecretKey在线采集源端资源信息；在资源确认后，平台将源端资源录入，进行后续的资源映射匹配、组迁移设置，迁移计划设置等管理，如图2所示。 图2 资源发现选择列页面。 3. 信息收集 进入 [信息收集] 页面，依次编辑新建任务名称>选择源端类型>文件上传，图3所示。 图3 信息收集编辑页面。 4. 填写完信息进入资源确认界面，如图所示。 5. 点击【资源确认】按钮，进入[完成]界面，可在列表进行展示。

说明：本章节会介绍如何在控制台配置和修改数据库内网地址 操作背景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 配置内网IP 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 修改内网IP 对于创建完成的关系型数据库实例，支持更改内网地址。 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”页面中，在“连接信息”模块“内网地址”处，单击“修改”。 在“修改内网地址”弹出框中进行修改。单击“确定”，保存修改内容。 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 已使用IP地址列表中使用情况为“待使用”的IP地址表示已被占用，不允许被当前实例使用。

本页面介绍云数据库ClickHouse的配置变更。 根据包周期计费和按需计费这两种方式，以下是对配置升级后的计费规则的总结： 包周期计费： 对于包周期计费方式，用户通常选择一定时长的套餐，如包年或包月计费。 配置升级后的计费规则在包周期计费下可能有以下变化： 节点机器费用：如果升级增加了节点数量或改变了计算节点单价，在升配完成后将根据新的节点数量和单价进行计费。 存储空间费用：如果升级增加了存储空间大小，在升配完成后将根据新的存储空间大小进行计费。 订单升配标准费用（新规格当日产品标准天单价原规格当日产品标准天单价）（原规格订单总天数已使用天数）。 按需计费 按需计费方式根据实际使用的资源和时长进行计费，没有固定的套餐时长。 配置升级后的计费规则在按需计费下可能有以下变化： 节点机器费用：升级后的节点数量和计算节点单价将直接应用于新的使用时段，按照实际使用的节点数量和时长计费。 存储空间费用：升级后的存储空间大小将直接应用于新的使用时段，按照实际使用的存储空间和时长计费。

本文主要介绍智能边缘云资源实例退订的方式。 自助退订 如果您的资源实例确认不再需要，请在ECX控制台的对应类型资源板块，进行自助退订、删除或销毁操作。涉及计费的资源也可以在【天翼云官网>我的>费用中心>订单管理>退订管理】操作退订，也可以联系客户经理进行退订。 资源实例一旦被退订，将无法恢复，请提前导出、备份您的资源，避免造成损失。 实例到期 包年包月资源到期后，将被冻结无法使用，并在15天后自动释放，具体时间以您收到的邮件或短信提示为准。为避免影响您的正常使用，请及时在【天翼云官网>我的>费用中心>订单管理>续订管理】，手动续订或开通自动续订。 账户欠费 若您的账户出现欠费，按需计费的资源将被冻结无法使用，并在15天后自动释放，具体时间以您收到的邮件或短信提示为准。为避免影响您的正常使用，请确保账户余额充足。 如遇欠费，请及时充值，欠款缴清后，实例将被自动解冻。充值完成后，请在ECX控制台检查实例的运行和绑定状态，部分产品解冻后可能需要手动开机或重新绑定以恢复运行。 包年包月资源为预付费，不受账户欠费影响。

如果您已经完成MRS资产委托授权，可参考本章节对MRS创建的Hive数据进行相关操作的授权。 前提要求 已完成MRS资产委托授权，参考云资源委托授权/停止授权进行操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“MRS > 待授权”，进入待授权MRS资产列表页面。 5.在需要授权的MRS资产所在行的“操作”列，单击“授权”。 6.在弹出的“MRS授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 资产名称 用户自定义的MRS实例的名称。 数据库名称 和MRS实例中的数据库名称保持一致。 用户名 输入访问数据库服务器的用户名，与MRS里创建的保持一致。 密码 输入访问数据库服务器的密码，与MRS里创建的保持一致。 7.单击“确定”，数据库添加完成，并展示在已授权的MRS资产列表中。

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者购买云间高速服务。 Kafka实例是否支持不同的子网？ 支持。客户端与实例在相同VPC内，可以跨子网段访问。同VPC下不同子网之间默认互通。更多子网信息请参见虚拟私有云介绍。 Kafka是否支持Kerberos认证，如何开启认证？ 不支持Kerberos认证。kafka支持SASLPLAINTEXT安全接入点接入。 开启公网访问后，在哪查看公网IP地址？ 可以在实例列表设置公网IP窗口查看各节点绑定的公网IP地址。 Kafka支持服务端认证客户端吗？ Kafka 支持通过 SASL（Simple Authentication and Security Layer）等认证机制实现服务端对客户端的主动认证。SASL 是一种用于通信安全的框架，它允许在客户端和服务器之间进行认证和授权。 客户端单IP连接的个数为多少？ Kafka目前对单个IP连接数没有限制，主要取决于实例连接数，具体可参见常见问题kafka实例连接数有限制吗？ Kafka实例的内网连接地址可以修改吗？ 在实例创建后，内网连接地址不支持修改。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 1. 设置后端主机组名称。 2. 选择后端主机类型，仅可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考HTTP监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。 完成步骤三后，点击“立即创建”，完成HTTP监听器创建。 HTTP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数；最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTP协议的会话保持方式支持如下重写Cookie/植入Cookie。植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。重写Cookie：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入Cookie时，可设置会话保持超时时间。缺省3600s。选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’。 HTTP方法 可选GET或HEAD。 WebSocket支持 选用HTTP监听时，默认支持无加密版本WebSocket协议（WS协议）。仅集群资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本章节指导您如何编辑识别任务。 前提条件 已完成识别任务的创建。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4. 在待编辑敏感数据识别任务所在行的“操作”列，单击“更多 > 编辑”。 5. 在“编辑任务”对话框中，编辑检测任务的具体参数，相关参数说明如下表所示。 参数 参数说明 取值样例 开启任务 是否开启敏感数据识别任务，系统默认开启任务。 任务名称 您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 任务名称不能与已有的任务名称重复。 数据类型 选择识别的数据类型。可多选。 OBS，添加OBS资产，参考添加OBS资产章节。 数据库，添加云数据库资产，参考添加云数据库章节。 大数据，添加大数据源资产，参考添加大数据源资产章节。 MRS，添加Hive资产，参考添加MRS资产。 数据库 识别规则组 选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 识别模式 选择检测任务的扫描模式： 快速识别：根据规则组进行扫描，实现数据分布快速识别。 全量识别：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。 快速扫描 识别周期 选择任务的识别周期： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，需要设置“启动时间”，即在每天的固定时间执行该识别任务。 每周：选择该选项，需要设置“启动时间”，即在设定的时间以及每周这一时间点执行该识别任务。 每月：选择该选项，需要设置“启动时间”，即在设定的时间以及每月这一时间点执行该识别任务。 单次 执行计划 “扫描周期”选择“单次”时，显示该参数。 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。 定时启动：在指定时间执行一次该识别任务。 立即执行 启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。 设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 告警通知的具体操作请参见告警通知。 6. 单击“确定”。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

此章节为您介绍如何选购云密评专区的相关业务。 若您需要购买云密评专区的相关业务，可参考本章节进行选购。 说明 您在控制台购买云密评专区业务前，请先提交工单申请开通购买白名单。 操作步骤 1. 登录云密评专区管理控制台。 2. 单击右上角的“订购密评专区”，跳转至订购页面。 3. 选择您业务所需要的部署地域和可用区。 4. 选择需要购买的产品和规格。 配置项 配置项说明 密码产品 综合安全网关服务 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用。 密码产品 密钥管理服务 提供安全、可靠的密钥管理服务，密钥管理购买后保存的密钥请在密钥管理服务中查询。 密码产品 数据加密网关服务 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 密码产品 协同签名服务 每个服务支持1000并发，可叠加，最多支持购买10个。 密码产品 数字证书认证系统 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 国密浏览器 选择需购买的国密浏览器个数，兼容主流国产操作系统，满足国密安全传输要求。 国密套件 智能密码钥匙 选择需购买的密钥钥匙个数。 国密套件 协同签名客户端 支持IOS、Android、Windows、Linux等操作系统，每个客户端占1个配额，最多支持购买10000个。 国密套件 证书管理服务 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 密评服务 密评咨询服务 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评服务 密评测评服务 支持1个应用密码应用安全性评估。 密评服务 密码改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。 5. 购买密码产品，还需要配置企业项目、网络信息。 配置项 配置项说明 企业项目 选择此次购买的密评服务所属的企业项目，方便您进行管理。 虚拟私有云 选择密码产品实例所要配置的虚拟私有云。 注意 成功创建后，VPC不可更换，请谨慎选择。 安全组 选择密码产品实例所在的安全组。 子网 选择密码产品实例所属的子网。 6. 购买密码产品，还需要配置密码产品管理员账号初始账密。 配置项 配置项说明 用户名 设置购买的密码产品实例管理员初始账号。 密码 设置购买的密码产品实例管理员初始密码。 确认密码 二次确认购买的密码产品实例管理员初始密码。 7. 选择购买密码产品、证书管理服务的时长。 支持开启“到期自动续费”。开启自动续费后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 配置完成后，勾选“我已阅读并同意《天翼云云密评专区服务协议》《隐私政策声明》”后，单击“提交订单”。

本节介绍网页防篡改（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

本章节介绍如何使用K8s配置项替换配置文件 概述 当您选择使用Kurbenetes进行容器化部署时，可以使用配置项去保存一些不需要加密的配置信息，如JVM堆内存、JVM属性参数等，在创建或者部署应用时，系统会自动将配置信息直接注入到容器中。 在微服务云应用平台场景下，这种配置管理方式变得更加灵活和强大。微服务云应用平台不仅支持上述的配置注入，还允许您将配置项以文件的形式直接挂载到容器内的指定目录。这意味着，除了能够动态调整应用的运行参数外，您还可以确保这些配置信息以文件的形式存在，这不仅方便了日常的管理和维护工作，也使得在需要时更新配置或进行故障排查变得更为直观和高效，从而显著提升了整体的运维体验和工作效率。 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 常用使用场景 覆盖目录下已经存在的文件 这里以常用的nginx镜像举例，在官方的nginx镜像中，/etc/nginx目录下的nginx.conf文件是需要配置的，并且在不同的环境下，该文件内容也不相同。此时，可以使用将配置项以文件形式挂载到容器指定目录下，覆盖原文件，来实现不同环境使用不同配置的效果。 首先需要创建K8s配置项，左侧导航栏，选择容器应用实例 > Kubernetes配置，进入到配置列表，点击左上角创建配置项。需要注意的是：配置项下的键值对映射，键是文件名称，值为文件内容。 挂载配置项，左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表选择需要覆盖的应用，进入应用详情界面，点击上方新增版本按钮，进入应用配置界面，在配置管理模块下配置文件挂载。 在配置管理中，可以通过挂载文件的方式，向容器中注入配置信息。需要注意的是，在挂载文件路径中，需要填写到文件名称。如下图所示： 参数 描述 配置类型 目前只支持配置项。 挂载类型 挂载到文件。 挂载源 挂载到应用容器文件系统中的配置项的名称。 挂载主目录 设置容器的挂载主目录，必须以斜杠（/）开头。 文件挂载方式 保留原文件：保留原目录下的文件，添加本次挂载文件。注意，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的Key：需要挂载到应用容器文件系统中的配置项指定的Key。挂载文件路径：相对挂载主目录的子路径。

本文为您提供天翼云AOne SDK版本发布记录。 天翼云AOne SDK介绍 天翼云AOne SDK主要提供SDK的能力，用于有开发能力的企业，可以将自身APP和AOne SDK进行集成，实现边缘安全加速平台零信任服务的移动端零信任内网访问能力。 天翼云AOne SDK 隐私政策详见：天翼云AOne SDK隐私和信息处理规则，合规指南详见：天翼云AOne SDK合规使用指南。 Android SDK版本 SDK 版本号 SDK包名 使用说明 主要功能 工程文件MD5 开发者 发布时间 更新内容 Android SDK V1.0.10 SDKAndroid1.0.10 AOne Android SDK接入文档 提供零信任内网访问能力 863788b29e25b3a46266d5b0fb332159 AOne移动端团队 20250620 1. 提供零信任访问能力 2. 修复已知问题 iOS SDK 版本 SDK 版本号 SDK包名 使用说明 主要功能 工程文件MD5 开发者 发布时间 更新内容 iOS SDK V1.0.9 SDKiOS1.0.9 AOne iOS SDK接入文档 提供零信任内网访问能力 6824ecb5b3012d3b52f09b49179e68ed AOne移动端团队 20250620 1. 提供零信任访问能力 2. 修复已知问题

本节主要描述在使用云容器引擎前，需理解该产品所涉及的概念，以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载间的亲和性 > 与工作负载的亲和性”下的“添加”。 步骤 2 勾选希望部署到相同节点的工作负载，单击“确定”。 当前创建的工作负载会和已勾选的工作负载部署在相同节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载.docx section155246177178 " ")或通过kubectl命令行创建有状态工作负载.docx section113441881214 " ")，工作负载间亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: app

本文介绍如何基于Serverless集群和容器镜像服务部署helloworld应用。 在这篇文章中，我们将介绍如何基于Serverless集群和容器镜像服务来快速部署helloworld应用，您可以选择使用控制台来完成应用部署。 前提条件 确保您已经成功创建了Serverless集群。 已创建容器镜像服务实例，且容器镜像服务实例和Serverless集群处于同一地域。 操作步骤 步骤一：上传helloworld应用镜像 将本地编译构建好的helloworld应用镜像或者从docker hub拉取helloworld应用镜像上传到容器镜像服务实例镜像仓库中。 步骤二：在Serverless集群中部署helloworld应用 1. 登录云容器引擎管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写Deployment名称、副本数量等。 4. 在实例内容器项填写容器名称、镜像、镜像版本、cpu/内存限制等。 在上一步骤中，helloworld镜像已经上传到容器镜像服务实例，点击选择镜像选择helloworld镜像即可。 5. 在服务配置下，点击“+”创建服务。选择负载均衡类型的服务，并增加一条端口映射。 6. 返回无状态页面，确认应用创建成功。

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 功能入口 创建配置项 1. 登录云应用引擎控制台。 2. 在左侧导航栏单击“配置管理”>“保密字典”，进入保密字典管理页面。 3. 单击“创建”，在右侧弹出的创建保密字典面板，根据需求选择不同的保密字典类型并根据下表说明完成参数配置，然后单击“确认”。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque是默认的Secret类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储TLS证书相关的数据，当您的服务需要启用HTTPS访问时，可以使用这种类型的Secret来保存和管理TLS证书，以确保在SAE环境中的Pod中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得Kubernetes在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的Secret用于存储仓库用户名和密码或访问令牌，确保SAE在部署应用时能够拉取到私有镜像。 Opaque类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择Opaque类型 Opaque 配置映射 单击“添加变量”，在对话框中输入敏感信息的Key和Value 变量名：env 变量值：test TLS证书类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择TLS证书类型 TLS证书 Cert TLS证书的公钥 Key TLS证书的私钥 私有镜像仓库登录秘钥类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择私有镜像仓库登录密钥类型 私有镜像仓库登录密钥 镜像仓库地址 镜像仓库地址 默认 用户名 镜像仓库的用户名 admin 密码 镜像仓库的密码 123456 说明 1. 修改保密字典后，生成的新版本仅对新创建的实例生效。 2. 删除保密字典可能导致关联应用无法正常运行。请务必先在关联应用中解除该保密字典的使用，再执行删除操作。 创建的保密字典将显示在 保密字典 页面，您可以在保密字典列表的 操作 列进行 编辑 、复制 和 删除 操作。

本文帮助您了解云间高速带宽包的购买操作流程。 操作场景 为实现跨区域VPC互通，用户需要先购买相应的带宽包，并绑定到相应的云间高速（标准版）实例中。云间高速（标准版）实例提供了快速、高效的网络连接，能够确保跨区域的数据传输畅通无阻。 说明 同一区域（资源池）内的网络实例（例如：VPC）在连接到云企业路由器后，在默认配置下，即可实现内网互通，无需额外购买带宽包。 操作步骤 1. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 2. 在控制台首页，单击目标云间高速（标准版）实例操作列的“管理 ”或单击目标云间高速（标准版）实例名称。 3. 进入目标实例详情页面。单击“带宽包管理 ”，然后单击“购买带宽包”。 4. 进入购买带宽包页面。根据页面提示，选择需要绑定带宽包的云间高速（标准版）实例、带宽包类型、带宽大小，输入带宽包名称，并选择购买时长。 5. 单击“下一步”，进入订单详情页面。 6. 确认带宽包信息后，单击“确认下单 ”。支付成功后，完成带宽包购买；单击“上一步”，可返回修改订单信息。