本文介绍直播截图配置自定义图片存储路径。 直播截图支持自定义图片存储路径。配置截图模板时，视频直播提供对应的变量，您可以根据实际需求，配置对应的截图存储路径。 支持变量： ${appname}指执行截图任务的直播流的发布点。 ${streamname}指执行截图任务的直播流的流名。 ${taskstarttime}指任务开始的UTC时间戳。 配置示例如下： pic/{appname}/{streamname}/${taskstarttime} 如果未配置，则默认的路径为：snapshot/{appname}/{streamname}/

YAML样例 本节以nginx为例，说明kubectl命令设置容器生命周期的方法。 在以下配置文件中，您可以看到postStart命令在容器目录/bin/bash下写了个install.sh 命令。 preStop执行uninstall.sh命令。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: image: nginx command: sleep 3600 启动命令 imagePullPolicy: Always lifecycle: postStart: exec: command: /bin/bash install.sh 启动后命令 preStop: exec: command: /bin/bash uninstall.sh 停止前命令 name: nginx imagePullSecrets: name: defaultsecret

使用非法的JWT访问，可以看到返回了401错误： kubectl exec "$(kubectl get pod l appsleep n bookinfo o jsonpath{.items..metadata.name})" c sleep n bookinfo curl " sS o /dev/null H "Authorization: Bearer invalidToken" w "%{httpcode}n" 401 不带JWT头部时会放过请求（返回200）： kubectl exec "$(kubectl get pod l appsleep n bookinfo o jsonpath{.items..metadata.name})" c sleep n bookinfo curl " sS o /dev/null w "%{httpcode}n" 200 创建授权策略，要求请求带有合法的JWT才允许访问： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: requirejwt namespace: bookinfo spec: selector: matchLabels: app: httpbin action: ALLOW rules: from: source: requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"] 再次不带JWT访问返回了403： kubectl exec "$(kubectl get pod l appsleep n bookinfo o jsonpath{.items..metadata.name})" c sleep n bookinfo curl " sS o /dev/null w "%{httpcode}n" 403 使用已经生成好的token验证访问，可以看到返回了200状态码： TOKEN eyJhbGciOiJSUzI1NiIsImtpZCI6IkRIRmJwb0lVcXJZOHQyenBBMnFYZkNtcjVWTzVaRXI0UnpIVV8tZW52dlEiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjQ2ODU5ODk3MDAsImZvbyI6ImJhciIsImlhdCI6MTUzMjM4OTcwMCwiaXNzIjoidGVzdGluZ0BzZWN1cmUuaXN0aW8uaW8iLCJzdWIiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyJ9.CfNnxWP2tcnR9q0vxyxweaF3ovQYHYZl82hAUsn21bwQd9zP7cLS9qdvpdLG4Tn1A15NxfCjp5f7QNBUoKC9PJqYpgGbaXhaGx7bEdFWjcwv3nZzvc7MZpaCERdwU7igUmJqYGBYQ51vr2njU9ZimyKkfDe3axcyiBZde7G6dabliUosJvvKOPcKIWPccCgefSjGNfwIip3SsFdlR7BtbVUcqRyvXOxJ3Uc1MI0tz3uMiiZcyPV7sNCU4KRnemRIMHVOfuvHsU60GhGbiSFzgPTAa9WTltbnarTbxudbYEOx12JiwYToeX0DCPb43W1tzIBxgm8NxUg kubectl exec "$(kubectl get pod l appsleep n bookinfo o jsonpath{.items..metadata.name})" c sleep n bookinfo curl " H "Authorization: Bearer $TOKEN" sS o /dev/null w "%{httpcode}n" 200

对比类 对比项 分布式消息服务Kafka 开源Kafka 简单易用 立等可用 即开即用，可视化操作，自助创建，自动化部署，分钟级创建实例，立即使用，实时查看和管理消息实例。 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 易出错。 简单API 提供简单的实例管理RESTFul API，使用门槛低。 无 成本低廉 按需使用 提供多种规格，按需使用，支持一键式在线进行实例代理个数、磁盘存储空间和代理规格扩容。 搭建消息服务本身需要费用，而且即使没有使用，所占用资源本身依旧要收费。 成本低廉 完全托管 租户不需要单独采购硬件资源，直接使用就绪的服务，无需额外成本。 需要购买硬件资源，自行搭建整个消息服务，使用和维护成本高。 实践验证 成熟度高 经受电商网站大规模访问考验，并且已经在云服务平台许多产品中使用，广泛部署运行在分布于世界各地的电信级客户云业务系统里。满足严苛的电信级故障模式库标准。紧随社区主流版本，修复开源bug，持续上线新功能，进行版本升级。 使用开源软件成熟度低，无法保证关键业务，商业案例少；自研周期长，并需要长时间进行验证。 实践验证 能力强大 100%兼容开源，支持一键扩容，深度优化开源代码提升性能和可靠性，支持消息查询等高级特性。 功能不完善，需额外投入进行开发。 稳定可靠 稳定高可用 支持跨AZ部署，提升可靠性。故障自动发现并上报告警，保证用户关键业务的可靠运行。 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 稳定可靠 无忧运维 后台运维对租户完全透明，整个服务运行具有完备的监控和告警功能。有异常可以及时通知相关人员。避免724小时人工值守。 需要自行开发完善运维功能，尤其是告警及通知功能，否则只能人工值守。 稳定可靠 安全保证 VPC隔离，支持SSL通道加密。 需要自行进行安全加固。

[root@p19c02 ~] [root@p19c02 ~] [root@p19c02 ~] cat /etc/udev/rules.d/99oracleasmdevices.rules KERNEL"vd",ATTR{serial}"965fcbe94f9c4aa09",SYMLINK+"asmocr",OWNER"grid",GROUP"asmadmin",MODE"0660" KERNEL"vd",ATTR{serial}"9367ac9eccf14e9d8",SYMLINK+"asmdata",OWNER"grid",GROUP"asmadmin",MODE"0660" [root@p19c02 ~] 注意：两个节点均需执行。 3. avahidaemon 配置。 yum install y avahi systemctl disable avahidaemon.service 注意：两个节点均需执行。 4. 系统参数配置。 配置参数文件如下所示： memTotal$(grep MemTotal /proc/meminfo awk '{print $2}') totalMemory$((memTotal / 2048)) shmall$((memTotal / 4)) if [ $shmall lt 2097152 ]; then shmall2097152 fi shmmax$((memTotal 1024 1)) if [ "$shmmax" lt 4294967295 ]; then shmmax4294967295 fi cat >/etc/sysctl.conf fs.aiomaxnr 1048576 fs.filemax 6815744 kernel.shmall $shmall kernel.shmmax $shmmax kernel.shmmni 4096 kernel.sem 250 32000 100 128 net.ipv4.iplocalportrange 9000 65500 net.core.rmemdefault 262144 net.core.rmemmax 4194304 net.core.wmemdefault 262144 net.core.wmemmax 1048576 net.ipv4.conf.eth0.rpfilter 1 net.ipv4.conf.eth1.rpfilter 2 EOF 生效系统参数： sysctl p 5. 系统资源限制配置。 配置limits.conf： cat >/etc/security/limits.conf oracle soft nofile 1024 oracle hard nofile 65536 oracle soft stack 10240 oracle hard stack 32768 oracle soft nproc 2047 oracle hard nproc 16384 oracle hard memlock 134217728 oracle soft memlock 134217728 grid soft nofile 1024 grid hard nofile 65536 grid soft stack 10240 grid hard stack 32768 grid soft nproc 2047 grid hard nproc 16384 EOF 配置pam.d/login： cat >/etc/pam.d/login session required pamlimits.so session required /lib64/security/pamlimits.so EOF 6. 用户及组、目录创建。 用户组创建： /usr/sbin/groupadd g 54321 oinstall /usr/sbin/groupadd g 54322 dba /usr/sbin/groupadd g 54323 oper /usr/sbin/groupadd g 54324 backupdba /usr/sbin/groupadd g 54325 dgdba /usr/sbin/groupadd g 54326 kmdba /usr/sbin/groupadd g 54327 asmdba /usr/sbin/groupadd g 54328 asmoper /usr/sbin/groupadd g 54329 asmadmin /usr/sbin/groupadd g 54330 racdba 用户grid/oracle创建： /usr/sbin/useradd u 11012 g oinstall G asmadmin,asmdba,asmoper,dba,racdba,oper grid /usr/sbin/useradd u 54321 g oinstall G asmdba,dba,backupdba,dgdba,kmdba,racdba,oper oracle echo "oracle" passwd oracle stdin echo "oracle" passwd grid stdin id grid id oracle udevadm control reloadrules udevadm trigger ll /dev grep asm 创建软件目录： mkdir p /u01/app/19.3.0/grid mkdir p /u01/app/grid mkdir p /u01/app/oracle/product/19.3.0/db mkdir p /u01/app/oraInventory mkdir p /backup mkdir p /home/oracle/scripts chown R oracle:oinstall /backup chown R oracle:oinstall /home/oracle/scripts chown R grid:oinstall /u01 chown R grid:oinstall /u01/app/grid chown R grid:oinstall /u01/app/19.3.0/grid chown R grid:oinstall /u01/app/oraInventory chown R oracle:oinstall /u01/app/oracle chmod R 775 /u01 注意：两个节点均需执行。 7. 环境变量配置。 用户grid环境变量： cat >/home/grid/.bashprofile

本文为您介绍如何集群外Ingress访问请求会话保持。 背景信息 7层的模式下可以开启基于http cookie和app cookie的会话保持 ，在ingress上开启基于cookie的会话保持需要满足以下条件： 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：创建工作负载 创建一个nginx工作负载，并确保工作负载的实例个数大于1，部署2个副本，工作负载不需要其他的额外特殊配置。 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“工作负载”下的“无状态”，点击“创建deployment”。 也可以使用yaml创建工作负载，创建nginx工作负载参考如下： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine imagePullPolicy: Always name: nginx ports: containerPort: 80 protocol: TCP 步骤二：创建service服务 为nginx工作负载创建service，注意Session Affinity不需要设置，保持默认值即可。参考如下： apiVersion: v1 kind: Service metadata: name: nginxservice namespace: default spec: ports: port: 30003 protocol: TCP targetPort: 80 selector: app: nginx type: ClusterIP

特殊场景说明 天翼云提供的弹性IP默认为电信单线IP，和异网互通时需要通过其他运营商的互联互通节点，高峰期可能存在因网络拥塞导致的偶现丢包、带宽衰减等现象。 注意 从2025年9月起，天翼云EIP将不再保留或传递数据包中的DSCP值，出入公网流量的DSCP字段将被清零，请提前评估影响并调整策略。 绑定云主机/物理机实例限制 在绑定EIP时需要满足以下条件 云主机/物理机实例的地域必须与弹性IP的地域相同。 云主机/物理机实例必须为正常及稳定状态，正在运行或已停止，订单状态未完成或者已冻结/已过期时，不可执行绑定操作。 从2023年10月15日起，根据您云服务器的 vCPU 配置差异，单台云服务器对弹性IP的绑定操作受到云服务器支持绑定的弹性 IP 数量上限控制，具体如下表所示： 云服务器的vCPU核数 支持绑定的弹性IP个数上限（包含通过网卡及虚拟IP 绑定的弹性IP ） 15 2 611 3 1217 4 18 23 5 24 29 6 30 35 7 36 41 8 42 47 9 ≥ 48 10 注意 若您在功能生效前云服务器已绑定了超限额的弹性IP，将不会对您的弹性IP进行解绑，仅对您的绑定操作进行限制。

本文主要介绍采集器管理。 日志采集器lmtagent安装成功后，支持查看lmtagent状态、卸载lmtagent操作。 查看lmtagent 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“主机管理”“主机”，进入主机管理页面。 3. 主机列表中可查看目标主机的lmtagent状态。 卸载lmtagent 注意 云主机上的lmtagent被卸载后，会影响该云主机的日志采集，请谨慎操作！ Linux云主机卸载lmtagent 支持控制台界面卸载与登录云主机卸载两种方式： 控制台界面卸载 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“主机管理”“主机”，进入主机管理页面。 3. 勾选一个或多个待卸载lmtagent的云主机，单击上方的“卸载lmtagent”。 4. 二次确认后即开始卸载，卸载预计需要1分钟左右，请耐心等待。卸载完成后在主机列表中lmtagent状态将会显示“未安装”。 登录云主机卸载 1. 登录云主机服务器。 2. 从系统服务中禁用采集器。参考以下命令： plaintext systemctl disable lmtagent systemctl stop lmtagent 3. 删除安装目录。采集器的默认安装目录为/app/cams/lmtgent/。 Windows云主机卸载lmtagent Windows云主机不支持通过界面卸载lmtagent。请到采集器安装目录 C:Program FilesCtyunlmtagentcmd，点击uninstall.bat 脚本，提示Uninstallation completed，表示卸载成功。

本文介绍如何设置容器健康检查探针。 功能说明 ECI Pod支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 1. 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 2. 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置示例 可以通过容器的readinessProbe 和 readinessProbe字段配置应用存活探针和应用业务探针，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 设置Liveness Probe livenessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 设置readinessProbe readinessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

工作原理 目前，天翼云CDN加速产品开放使用的是七层协议的QUIC，其工作原理如下图所示，主要应用在客户端与CDN加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 客户端要求 QUIC属于双边协议，需客户端支持才可发起，客户端要求如下： 浏览器：如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 自研App：您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 适用场景 如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入CDN加速平台。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 QUIC版本号 配置需开启的QUIC版本，例如：H3v1

禁用远程桌面服务用户限制到单独的远程桌面服务会话 1. 打开组策略编辑器：使用Win+R快捷键打开“运行”程序，输入“gpedit.msc”。 2. 在本地策略组选择选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 连接”，进入服务器连接配置页面。 3. 选择“将远程桌面服务用户限制到单独的远程桌面服务会话”，打开设置窗口。 4. 勾选“已禁用”。 5. 单击“确定”完成配置。 更新组策略 1. 使用Win+R快捷键打开“运行”程序，输入“cmd”。 2. 在窗口中输入：”gpupdate /force“完成组策略更新。 远程设置 1. 选择“计算机”，右键选择“属性”。 2. 在“系统属性”窗口，选择“远程”，勾选“允许远程连接到此计算机”。 RemoteAPP程序发布 您若要使用云堡垒机访问应用服务器，需要在应用发布服务器中安装RemoteAppProxy跳板工具。 2.8及以上版本堡垒机请选择openappmstsc.exe。 2.8及以下版本堡垒机请选择openappmstsc.exe。 堡垒机版本请参考：关于系统章节。 下载步骤： 1. 使用管理员账号登录服务器。 2. 在服务器中，将RemoteAPP程序拷贝到“C:tool”目录中，若没有则手动创建该目录。 3. 将对应文件放到上述的目录中即可开始使用。

本节为Oracle RAC搭建最佳实践的Database软件安装进行说明。 database安装包 将database安装包，解包到 /u01/app/oraclehome/ 目录下，并刷新 oraclehome/ 目录下的文件属性。 cd /u01/app/oraclehome/ unzip LINUX.X64193000dbhome.zip cd .. chown R oracle:oinstall oraclehome/ 静默安装 默认的database安装response文件位于: /u01/app/oraclehome/install/response/dbinstall.rsp 。一些配置如： oracle.install.optionINSTALLDBSWONLY ：仅进行database软件的安装。 oracle.install.db.InstallEditionEE ：软件安装的版本。 oracle.install.db.CLUSTERNODESracnode01,racnode02 ：指定软件安装的集群节点。 准备好response文件后，可以先进行预安装检查（切换到oracle用户，并切换到/u01/app/oraclehome目录）。 [oracle@racnode01 oraclehome]$ ./runInstaller executePrereqs silent responseFile install/response/dbinstall.rsp 预检查通过后，直接通过response文件进行database软件的安装。安装执行仍可能会失败，需要检查执行日志文件，处理失败项。如依然存在非关键失败项，可以使用ignorePrereqFailure参数跳过依赖项。 直接进行安装： [oracle@racnode01 oraclehome]$ ./runInstaller silent responseFile install/response/dbinstall.rsp 跳过非关键失败项： [oracle@racnode01 oraclehome]$ ./runInstaller silent ignorePrereqFailure responseFile install/response/dbinstall.rsp 安装后执行脚本 安装完成之后，执行输出会提示需要以root账号执行脚本，分别在各个节点上执行： [root@racnode01 ~] /u01/app/oraclehome/root.sh

前置条件 已开通服务网格实例，控制面部署在主集群，我们称为C1。 在网格中添加另外一个集群，我们称为C2。 部署应用 在集群C1中创建命名空间bookinfo kubectl create ns bookinfo； kubectl label nsbookinfo istioinjectionenabled； 部署bookinfo应用的productpage、details、rating以及reviews（版本v1）服务（yaml文件参考快速入门部署bookinfo应用到CSM实例）。 部署完成后，C1集群pod如下： 在集群C2中创建命名空间bookinfo kubectl create ns bookinfo； kubectl label ns bookinfo istioinjectionenabled； 部署reviews服务的v2和v3版本（yaml文件参考快速入门部署bookinfo应用到CSM实例）。 部署完成后，C2集群pod如下： 在C1中部署sleep应用，验证访问 plaintext apiVersion: v1 kind: ServiceAccount metadata: name: sleep apiVersion: v1 kind: Service metadata: name: sleep labels: app: sleep service: sleep spec: ports: port: 80 name: http selector: app: sleep apiVersion: apps/v1 kind: Deployment metadata: name: sleep spec: replicas: 1 selector: matchLabels: app: sleep template: metadata: labels: app: sleep spec: terminationGracePeriodSeconds: 0 serviceAccountName: sleep containers: name: sleep image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/curl command: ["/bin/sleep", "infinity"] imagePullPolicy: IfNotPresent volumeMounts: mountPath: /etc/sleep/tls name: secretvolume volumes: name: secretvolume secret: secretName: sleepsecret optional: true 通过sleep应用多次访问productpage服务： kubectl exec it n bookinfo sleep7fb478946b44t5x c istioproxy curl svo/dev/null

参数 类型 必选 示例值 描述 ContentType String 是 application/json json格式 Authorization String 是 Bearer APPKEY 请求鉴权的 App Key，由平台提供。Bearer 开头

本章节介绍API网关的消费者(应用)管理功能 应用列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 创建应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击创建应用按钮，填写应用名称、AppKey、AppSecret、AppCode、描述等信息；AppKey、AppSecret、AppCode为空时，将自动生成； 编辑应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 选择某个应用，点击应用的编辑按钮 ，可修改应用的名称和描述信息；确定后完成编辑； 查询应用信息 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击应用名称，进入应用详情页，可以查看当前应用有哪些授权的路由、API，查看应用的AppKey、AppSecret，支持重置AppSecret、AppCode； 添加应用授权 应用授权需要在路由或者API的视角下完成，且只有路由、API的认证方式为APP时才允许进行授权操作。 注意 ：Mock路由中对应用设置过期时间的使用限制参见云原生网关常见问题说明

避免使用ServcieAccount Secret Token访问集群 Kubernetes 1.21以前版本的集群中，Pod中获取token的形式是通过挂载ServiceAccount的Secret来获取的，这种方式获得的token是永久的，Pod被删除后token仍然存在Secret中，一旦泄露可能导致安全风险。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该token，保证Pod始终拥有有效的token，并且当挂载的Pod被删除时这些token将自动失效。该方式通过Bound ServiceAccount TokenVolume特性实现，能够提升服务账号（ServiceAccount）token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本client的用户尽快升级至高版本，否则业务将存在故障风险。 基于Secret的ServiceAccount Token由于token由于具有上述的安全风险。1.23版本以及以上版本云容器引擎集群推荐使用Bound Servcie Account Token，该方式支持设置过期时间，并且和Pod生命周期一致，可减少凭据泄露风险。例如： apiVersion: apps/v1 kind: Deployment metadata: name: tokenexample namespace: tokenexample spec: replicas: 1 selector: matchLabels: app: tokenexample label: tokenexample template: metadata: labels: app: tokenexample label: tokenexample spec: serviceAccountName: boundsatoken containers: image: nginx imagePullPolicy: Always name: tokenexample volumes: name: testsecurity projected: defaultMode: 420 sources: serviceAccountToken: expirationSeconds: 3600 path: token configMap: items: key: ca.crt path: ca.crt name: kuberootca.crt downwardAPI: items: fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace

指定监听协议为TCP、服务端口为80的端口配置 "protocol":"HTTP", 指定健康检查协议为HTTP "interval":"5", "timeout":"10", "maxRetry":"3", "path":"/healthz", "expectedCodes":"http2xx" }, ]' spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 protocol: TCP port: 90 targetPort: 90 type: LoadBalancer 配置访问控制黑/白名单 plaintext kind: Service apiVersion: v1 metadata: name: nginx annotations: service.beta.kubernetes.io/ctyunloadbalancerid: "${YOURLOADBALANCERID}" service.beta.kubernetes.io/ctyunloadbalanceraclflag: "white" 白名单控制 service.beta.kubernetes.io/ctyunloadbalanceraclstatus: "on" 开启访问控制 service.beta.kubernetes.io/ctyunloadbalanceraclid: "${YOURACLID}" ELB的访问策略组ID spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 type: LoadBalancer 为TCP监听配置Proxy Protocol协议 plaintext kind: Service apiVersion: v1 metadata: name: nginx annotations: service.beta.kubernetes.io/ctyunloadbalancerid: "${YOURLOADBALANCERID}" service.beta.kubernetes.io/ctyunloadbalancerproxyprotocolflag: "on" spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 type: LoadBalancer 开启客户端源地址保持 plaintext kind: Service apiVersion: v1 metadata: name: nginx annotations: service.beta.kubernetes.io/ctyunloadbalancerid: "${YOURLOADBALANCERID}" service.beta.kubernetes.io/ctyunloadbalancerpreservesourceip: "true" spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 type: LoadBalancer externalTrafficPolicy: Local

本文主要介绍云日志服务如何使用edrop函数或ekeep函数过滤日志。 您可以使用edrop函数或ekeep函数过滤日志，也可以使用eif函数与edrop()参数、eifelse函数与edrop()参数过滤日志。 常用规则如下所示： ekeep(ehas(...) )：满足条件时保留，不满足条件时丢弃。 edrop(ehas(...) )：满足条件时丢弃，不满足条件时保留。 eifelse(ehas("..."), ekeep(), edrop())：满足条件时保留，不满足条件时丢弃。 eif(ehas("not ..."), edrop())：满足条件时丢弃，不满足条件时保留。 eif(ehas("..."), ekeep())：无意义的加工规则。 示例 原始日志 日志1 tag:observedts: 1597214851 entry: appview id: 8412 selftag: testok 日志2 entry: h5view id: 8415 selftag: testok2 加工规则 丢弃没有entry字段和tag:observedts字段的日志。 eif(enothas("entry"),edrop()) eif(enothas("tag:observedts"),edrop()) 加工结果 tag:observedts: 1597214851 entry: appview id: 8412 selftag: testok

本节为Oracle RAC搭建最佳实践的Oracle数据库初始化进行说明。 静默安装 与grid和database安装相同，预先准备response文件，然后以静默安装的方式进行Oracle数据库的配置。 response文件位于：/u01/app/oraclehome/assistants/dbca/dbca.rsp 。 切换到oracle用户，并切换到 /u01/app/oraclehome ，执行dbca命令： [oracle@racnode01 oraclehome]$ dbca silent createDatabase responseFile assistants/dbca/dbca.rsp 以上安装命令可能会失败，需要检查执行日志文件，处理失败项，然后跳过非关键问题后继续执行： [oracle@racnode01 oraclehome]$ dbca silent ignorePrereqFailure createDatabase responseFile assistants/dbca/dbca.rsp 检查状态 检查配置的ora.racdb.db是否正常 ONLINE 。 [root@racnode01 ~] crsctl stat res t ... ora.racdb.db 1 ONLINE ONLINE racnode01 Open,HOME/u01/app/o raclehome,STABLE 2 ONLINE ONLINE racnode02 Open,HOME/u01/app/o raclehome,STABLE 安装完成之后，可以通过Oracle相关测试工具（如 swingbench ），进行功能、性能、稳定性测试。

首页路由，返回 Flask 版本 @app.route('/') def home(): flaskversion flask.version return f"Hello, 欢迎使用 Flask！当前版本为 {flaskversion}" 带参数的路由 @app.route('/greet/ ') def greet(name): return f"Hello, {name}!" API 路由，支持 POST 请求 @app.route('/api/data', methods['POST']) def apidata(): data request.getjson() 从请求中获取 JSON 数据 response { "message": "数据接收成功", "datareceived": data } return jsonify(response) if name 'main': app.run(debugTrue) 3. 在函数详情页面，选择配置页签。 4. 选择左侧层 页签，单击编辑 ，在编辑函数层面板选择添加层 > 添加官方公共层 ，如下图所示选择官方公共层（Flask3） 和层版本（1） ，最后单击部署。 5. 待函数状态为部署成功后，在函数详情页面，选择测试 页签。单击测试函数按钮，将得到以下结果。

本文介绍直播截图配置自定义图片名称。 直播截图支持自定义文件名。配置截图模板时，视频直播提供对应的变量，您可以根据实际需求，配置对应的截图文件名。 支持变量： ${appname}指执行截图任务的直播流的发布点。 ${streamname}指执行截图任务的直播流的流名。 ${filestarttime}指截图文件开始生成的UTC时间戳。 配置示例如下： Pic${appname}${streamname}${filestarttime} 如果未配置该参数，则默认文件命名规则为： ${filestarttime} 以保存截图文件为jpg格式为例，如果未配置文件名，则文件名默认为： ${filestarttime}.jpg 新的截图文件不会覆盖原有的截图文件。如果使用默认的存储路径为： snapshot/${appname}/${streamname}/ 文件名配置为： Pic${appname}${streamname} 则会覆盖掉原有的截图文件。

本章主要介绍调用API流程。 作为API调用者调用API，您需要完成以下流程： 1. 为简易认证添加AppCode 从API提供者中获取API和文档信息。 2. 创建应用并获取授权 使用APP认证的API，需要在API网关中创建一个应用，并且绑定API后，才可以使用APP认证调用API。 3. 为简易认证添加AppCode 使用简易认证，API网关也仅校验AppCode。 4. 调用API 为简单起见，此处使用接口测试工具，通过APP认证方式中的凭证来实现对API的调用。

本小节介绍证书管理服务应用场景。 公众服务类网站、小程序、APP等满足安全技术要求 适用客户：通过互联网向公众提供服务的政府、金融、中小企业等客户。 解决问题：面向公众提供服务的各类网站、小程序、APP，解决用户在浏览器打开网页时提示“不安全”，导致用户无法访问网站信息或APP/小程序无法上架的问题，可验证企业身份，满足行业安全要求，确保站点安全，屏蔽钓鱼网站，提升搜索引擎收录排名 等保、密评等合规监管场景 适用场景：政府、医疗、央国企等领域需要通过等保、密评的客户。 解决问题：满足合规监管机构要求，适用等保、密评场景，可通过国密证书实现传输机密性和完整性保护。

测试带宽及吞吐量 1. 执行以下命令，发送端采用 TX only 模式启动 testpmd， 接收端启用 rxonly 模式。 发送端： plaintext /root/dpdk/build/app/testpmd txd128 rxd128 txq16 rxq16 nbcores1 forwardmodetxonly txpkts1430 statsperiod1 接收端： plaintext /root/dpdk/build/app/testpmd txd128 rxd128 txq48 rxq48 nbcores16 forwardmoderxonly statsperiod1 2. 执行以下命令，测试 pps（UDP 64B 小包）。 发送端： plaintext /root/dpdk/build/app/testpmd txd128 rxd128 txq16 rxq16 nbcores3 forwardmodetxonly txpkts64 statsperiod1 接收端： plaintext /root/dpdk/build/app/testpmd txd128 rxd128 txq48 rxq48 nbcores16 forwardmoderxonly statsperiod1 得出如下图所示测试结果： 网络带宽计算 可根据接收端 PPS 和测试包长来计算当前网络的接收带宽，公式如下： PPS × packet length × 8bit/B × 10^9 带宽 结合测试得出数据，可得当前带宽为： 4692725pps × 1430B × 8bit/B × 10^9 ≈ 53Gbps

了解什么是存储资源盘活系统。 HBlock是中国电信天翼云自主研发的存储资源盘活系统（Storage Resource Reutilization System，简称SRRS），是一款轻量级存储集群控制器，实现了全用户态的软件定义存储，将通用服务器及其管理的闲置存储资源转换成高可用的虚拟磁盘，通过标准 iSCSI 协议提供分布式块存储服务，挂载给本地服务器（或其他远程服务器）使用，实现对资源的集约利用。同时，产品拥有良好的异构设备兼容性及场景化适配能力，支持数据上传到对象存储，提供软件和一体机两种产品形态。 在非联网模式下，HBlock软件可被视为本地盘阵的替代品，用于本地数据存储；在联网模式下，HBlock软件还可以作为本地与云端存储之间的桥梁，将全量数据自动同步到对象存储中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

本文介绍如何设置容器健康检查探针。 功能说明 ECI Pod支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 1. 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 2. 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置示例 可以通过容器的readinessProbe 和 readinessProbe字段配置应用存活探针和应用业务探针，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 设置Liveness Probe livenessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 设置readinessProbe readinessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

本小节主要介绍安装Linux应用服务器。 基础环境要求 系统要求：CentOS release 7.9最小安装系统。 网络要求：服务器需要有公网访问权限（绑定弹性EIP）。 防火墙要求：开放2376（docker服务）端口和3500040000端口。 前提条件 已获取Linux服务器root帐号密码。 操作步骤 1 使用root账号登录Linux服务器。 2 在Linux服务器中，下载Linux环境apppublisherx8664xxx.tar.gz（xxx为版本号）压缩包。 3 在Linux服务器中，执行以下命令，将apppublisherx8664xxx.tar.gz（xxx为版本号）压缩包进行解压。 tar xvf apppublisher.tar.gz cd apppublisher 4 环境之前是否已安装过firefox应用发布服务器 是，执行以下命令，把之前安装的firefox docker镜像删除。 docker rmi 127.0.0.1:5000/psmfirefox:0.2 删除后，继续执行步骤5。 否，执行步骤5。 5 执行以下命令，部署脚本。 /bin/bash install.sh 6 执行以下命令，检查服务状态。 active (running)表示应用发布服务器安装成功。 7 创建share目录（仅针对堡垒机V3.3.26.0版本）。 mkdir /opt/autorun/share 8 （可选）重启应用发布服务器。

GPU节点标签 创建GPU节点后，CCE会给节点打上对应标签，如下所示，不同类型的GPU节点有不同标签。 $ kubectl get node L accelerator NAME STATUS ROLES AGE VERSION ACCELERATOR 10.100.2.179 Ready 8m43s v1.19.10r0CCE21.11.1.B00621.11.1.B006 nvidiat4 在使用GPU时，可以根据标签让Pod与节点亲和，从而让Pod选择正确的节点，如下所示。 apiVersion: apps/v1 kind: Deployment metadata: name: gputest namespace: default spec: replicas: 1 selector: matchLabels: app: gputest template: metadata: labels: app: gputest spec: nodeSelector: accelerator: nvidiat4 containers: image: nginx:perl name: container0 resources: requests: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 申请GPU的数量 limits: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 GPU数量的使用上限 imagePullSecrets: name: defaultsecret

操作步骤 步骤一：安装nginxingresscontroller插件 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“插件”下的“插件市场”，点击安装nginxingresscontroller插件。 3. 提交安装插件，稍后会在集群中创建2个nginxingresscontroller pod。 4. 查看nginxingresscontroller是否正常运行。 5. 您可以根据业务流量水平修改nginxingresscontroller deployment的副本数量。 步骤二：创建前端应用 这里使用nginx代表前端应用，部署2个副本。 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“工作负载”下的“无状态”，点击“创建deployment”。 也可以使用yaml创建工作负载，创建nginx工作负载参考如下： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine imagePullPolicy: Always name: nginx ports: containerPort: 80 protocol: TCP 步骤三：创建service服务 1. 为前端nginx工作负载创建service，参考如下： apiVersion: v1 kind: Service metadata: name: nginxservice namespace: default spec: ports: port: 30003 protocol: TCP targetPort: 80 selector: app: nginx type: ClusterIP 2. 为nginxingresscontroller pod创建service，创建LoadBalance类型的service，并绑定ELB，参考如下： apiVersion: v1 kind: Service metadata: name: ngixningresssvc namespace: kubesystem spec: ports: name: nginxingress port: 30002 protocol: TCP targetPort: 80 selector: k8sapp: nginxingresscontroller type: LoadBalance

本文为您介绍云搜索服务产品功能和访问方式。 产品简介 云搜索服务是一款全托管的在线分布式搜索服务，为结构化/非结构化数据提供低成本、高性能及高可靠性的检索分析服务能力。基于云上产品可以实现快速地对大量文本数据进行全文搜索，向量检索等高级搜索功能，从而快速搭建商品检索、企业文档检索、APP搜索等各种检索分析服务。 产品功能 兼容开源 提供Elasticsearch和OpenSearch引擎，100%兼容开源和生态。提供自研增强内核，支持全文检索、向量检索、混合检索等多元搜索方式，具备分析、聚合、高亮显示等能力，实时可靠。 便捷操作 通过云搜索服务控制台，可以一键订购实例，开箱即用，主要操作一键可达，实例便捷操作。 灵活迁移 支持实例之间的数据迁移，可以从自建集群、低版本集群轻松迁移上云。 访问方式 公有云提供了Web化的服务管理平台，即天翼云官网管理控制台。用户可以注册天翼云账号登录使用，目前云搜索服务提供主子账号可访问管理控制台共享主账号订购的实例管理权限，请在统一身份认证处进行相关授权操作。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和可用区的亲和性 > 与可用区的反亲和性”前的。 步骤 2 单击工作负载不希望部署到的可用区。 当前创建的工作负载不会部署到已选择的可用区中。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见[](file:///C:/Users/shuan/Downloads/%E4%BA%91%E5%AE%B9%E5%99%A8%E5%BC%95%E6%93%8E%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97202105%20(1).docx section155246177178 " ")通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和可用区反亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: failuredomain.beta.kubernetes.io/zone