RabbitMQ on QingCloud 支持 Region 多可用区部署

Posted on 6月 7, 2019 by crystal

为帮助用户便捷地构建高可用的业务架构，青云对 AppCenter上 RabbitMQ 进行了升级，用户可以在 Region 内实现跨可用区部署，实现系统架构的多可用区部署，构建多活及灾备业务架构。本次更新包括如下：

RabbitMQ on QingCloud：立即使用→

新增 Region 跨区部署功能，实现同城多活，增强业务容灾能力；
修复 VIP 偶尔丢失的问题；

PostgreSQL V1.0.10版本 Release Notes

Posted on 6月 6, 2019 by crystal

PostgreSQL（立即使用→）为了提高产品稳定性，同时增强用户体验，在 V1.0.10 版本中，修复了之前版本的一些bug，并新增了多项服务，具体情况如下：

PG9.6-高可用版-V1.0.10

磁盘扩容最大支持2T

增加zh_CN.UTF-8支持
支持TimescaleDB
修复从备份恢复集群从库启动失败问题
增强自动化运维能力
支持wal2json插件

PG10-高可用版-V1.0.10

增强自动化运维能力
支持wal2json插件

私有网络Vxnet支持ACL进出流量控制

Posted on 6月 6, 2019 by yunify

网络访问控制功能包括网络 ACL 和基础网络安全策略。网络 ACL 是私有网络（Vxnet）的进出流量控制表，您可以在这里创建和配置 ACL 规则， ACL 规则中声明了哪些流量可以进/出私有网络（Vxnet），所以可以通过 ACL 控制进出流量。基础网络安全策略则定义了在青云 QingCloud 环境中，用户自身的基础网络是否对其他用户开放，默认禁用也就是默认用户的基础网络内的资源只受防火墙限制。

网络 ACL 与防火墙的功能类似，但是网络 ACL 绑定给私有网络，防火墙一般直接绑定给主机或者负载均衡器，网络 ACL 中更适合配置私有网络 Vxnet 通用的安全规则。

创建和配置网络 ACL

点击`安全`中的`网络访问控制`进入网络 ACL 列表

点击`创建`,弹出创建的页面，您可以自定义网络 ACL 的名称

点击提交，ACL 就创建成功了，页面自动转到新创建的网络 ACL 的详情页面，可以看到网络 ACL 的所有规则。为了避免网络 ACL 影响网络的连通，所以新创建的网络 ACL 默认对所有地址开放。您可以在网络 ACL 的详情页面查看、添加、修改、删除、禁用 ACL 规则、应用修改。在左上角`基础属性`栏，可以看到网络 ACL 的名称 / ID / 绑定的资源和创建时间。

修改网络 ACL 配置

点击`添加规则`，用户可以定义要添加的规则。填写规则名称、优先级（数字越小优先级越高，最多可添加 100 条规则），选择方向（上行或者下行），行为(允许或者拒绝)、IP 版本( IPv4 / IPv6 )，源 IP (下行) / 目的 IP （上行）。

点击规则右侧的`修改`按钮可以修改现有的规则，点击`禁用/启用`按钮可以将相应的规则禁用或启用。

点击`应用修改`使配置修改生效

网络 ACL 绑定到私有网络 Vxnet

在网络 ACL 列表页，可以右键 – 网络 – 绑定 / 解绑私有网络

先选择对应的 VPC ，然后选择私有网络 Vxnet

点击提交，网络 ACL 就成功绑定到私有网络 Vxnet

VPC 和私有网络 Vxnet 相关的网络 ACL 配置和操作

为了方便用户使用，我们在 VPC 和私有网络 Vxnet 页面中也增加了网络 ACL ，您可以查看相关的网络 ACL 配置，并进行一定的操作。因为网络 ACL 可以绑定多个私有网络 Vxnet，所以在网络 ACL 绑定给多个私有网络时，请您谨慎增删或者修改规则，建议您在复制后的网络 ACL 中修改。网络 ACL 绑定多个私有网络时，网络 ACL 的应用修改会同步给所有绑定的私有网络。

在 VPC 下私有网络页面中配置和操作

在 VPC 的`私有网络`界面下，每个私有网络都新增了`网络 ACL `页面，您可以在资源列表中查看当前 ACL 中的全部资源。

点击`网络 ACL `，就进入私有网络的网络 ACL 页面，您可以查看、添加、修改、禁用、删除当前绑定的网络 ACL 中的规则。

您还可以点击提示中的`创建或管理 ACL `快速跳转到网络 ACL 页面。

当有规则没有应用修改时，您可以点击`应用修改`将规则的修改应用到所有关联的 Vxnet。

在私有网络页面中绑定和解绑网络 ACL

您可以在私有网络页面看到每个私有网络 Vxnet 绑定的网络 ACL

您还可以通过私有网络右键 – 网络 ACL – 绑定 / 解绑来对私有网络的 ACL 进行操作

高性能列式数据库 ClickHouse on QingCloud 上线

Posted on 6月 6, 2019 by crystal

ClickHouse 是一款高性能的、面向联机分析处理(OLAP)的、开源的、列式数据库，ClickHouse on QingCloud 是云化版本的 ClickHouse 集群应用。立即使用→

ClickHouse on QingCloud 的主要功能：

兼容目前 ClickHouse 所有支持的数据引擎；
支持横向增加节点、集群节点升降配置等弹性功能；
提供集群内数据重分布等高级集群管理功能；
您可以像单节点一样使用、管理整个云端集群。

KubeSphere® 容器平台高级版 2.0.0 Release Notes

Posted on 5月 19, 2019 by calvin

KubeSphere® 简介

KubeSphere® 是基于 Kubernetes 构建的企业级分布式多租户容器管理平台，目的是为个人和企业用户提供更好的 Kubernetes 集群运维、基于容器的 CI/CD，微服务治理，应用生命周期管理等功能。

关于 KubeSphere® 高级版

KubeSphere® 共提供社区版、易捷版以及高级版三个版本，其中社区版和易捷版主要提供多租户管理、集群运维、应用管理等功能，而高级版主要针对企业用户，目的是满足企业内不同角色用户、提供多种以容器为资源载体的的业务功能模块。

关于 2.0.0

KubeSphere® 高级版 2.0.0 基于 Kubernetes 1.13.5 开发，并验证过 1.10.5 及以上小版本、1.12.5及以上小版本，初始安装请参考安装部署指南，原有的基于 KubeSphere® 高级版 1.0.x 搭建的环境可以通过官方 Installer 无缝升级到 2.0.0。

1.0.x Release Notes 参考链接

1.0.0 Release Notes 1.0.1 Release Notes

高级版 2.0.0 更新详情列表

组件升级

支持 Kubernetes 升级至 Kubernetes 1.13.5
集成 QingCloud Cloud Controller，安装后可通过 KubeSphere 控制台创建 QingCloud 负载均衡器并自动绑定后端工作负载
集成 QingStor CSI v0.3.0 存储插件，支持物理 NeonSAN 存储系统，可提供高可用、高性能 SAN 存储服务

集成 QingCloud CSI v0.2.1 存储插件，支持 QingCloud 单副本硬盘，容量型、性能型、超高性能型、基础型、企业型、NeonSAN 硬盘
可选安装组件 Harbor 升级至 1.7.5
可选安装组件 GitLab 升级至 11.8.1
Prometheus 升级至 2.5.0

微服务治理

集成 Istio 1.1.1，支持图形化创建包含多个微服务组件的应用
支持为项目（外网访问）和应用开启/关闭应用治理
内置微服务治理示例 Bookinfo
支持流量治理
支持流量镜像

基于 istio 可提供微服务级别的负载均衡功能
支持金丝雀发布
支持蓝绿部署
支持熔断
支持链路追踪

DevOps

CI/CD 流水线提供邮件通知模板
CI/CD 图形化编辑流水线增强
提供基于 SonarQube 7.4 的代码漏洞扫描功能
提供 Source to Image 功能，基于代码无需 Dockerfile 直接构建应用负载并发布运行

监控

提供 Kubernetes 组件独立监控页，包括 etcd、kube-apiserver 和 kube-scheduler
优化若干监控指标算法
优化监控资源占用，减少 Prometheus 内存及磁盘使用量 80% 左右

日志

提供根据租户权限过滤的统一日志检索控制台
支持精确和模糊日志检索
支持实时和历史日志检索
支持组合条件日志检索，包括：项目、工作负载、容器组、容器、关键字和时间范围
支持单条日志直达日志详情页，并可切换不同容器组以及容器组下不同容器
支持日志详情页直达容器组或者容器详情页
基于自研 FluentBit Operator 提供灵活的日志收集配置：可添加 Elasticsearch、Kafka 和 Fluentd 作为日志接收者，并可按需激活/关闭；在发送给日志接收者前，可灵活输入过滤条件筛选出感兴趣的日志

告警和通知

支持针对集群节点和工作负载资源的邮件通知
支持组合通知规则：可组合多种监控资源，制定不同的告警级别、检测周期、推送次数和阈值
可配置通知时间段和通知人
支持针对不同通知级别设置独立的通知重复规则

安全

修复 runc 容器逃逸漏洞
修复 Alpine 镜像 shadow 漏洞
支持单点和多点登录配置项
多次无效登录后强制要求输入验证码
账户密码策略增强，阻止创建弱密码的账户
其他若干安全增强

其他

支持 etcd 备份及恢复
支持 docker 镜像定期清理
多处用户体验优化
更正多处中英文页面文案

高级版 2.0.0 bug 修复详情列表

修复删除页面资源页面未及时更新问题
修复删除 HPA 工作负载后残留脏数据问题
修复任务（Job）状态显示不正确的问题
更正资源配额、Pod 用量、存储指标算法
调整 CPU 用量结果精度
其他若干 bug 修复

快速入门

快速入门请参考 https://docs.kubesphere.io/advanced-v2.0/zh-CN/quick-start/quick-start-guide/

2.0.0 新功能快览

Kubernetes 组件监控页

统一日志检索页

SonarQube 代码漏洞扫描

Source to Image

流量治理&熔断

链路追踪

灰度发布

【安全公告】Windows 远程桌面服务（RDP）漏洞风险通告

Posted on 5月 16, 2019 by yunify

近日，微软官方发布安全补丁，修复了 Windows 远程桌面服务（RDP）的远程代码执行漏洞 CVE-2019-0708，此漏洞是预身份验证且无需用户交互（无需验证系统账户密码）下即可远程触发，这就意味着这个漏洞可以通过网络蠕虫的方式被利用，影响极大。

影响范围：
该漏洞影响了如下 Windows Server 系统：
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003

注意事项：
1. 请勿在公网开放 Windows 远程桌面服务（RDP），即 3389 端口。如必须开放，请升级之后再开放，并增加必要的防火墙安全策略。
2. 青云会定期给客户发送高危端口开放的风险提示，请大家关注并根据邮件指引采取相应措施。

修复办法：
微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁：
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

参考资料：
[CVE-2019-0708]
(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)

MySQL Plus 支持创建高级权限账户及开启更多调优参数等

Posted on 4月 30, 2019 by crystal

MySQL Plus 为了增加用户体验，在 1.5.2 版本中，新增了多项服务，并同时提供标准版和对企业级分布式 SAN—NeonSAN 支持的两种版本，其中NeonSAN 版本中每个节点的硬盘容量可支持最高 50 TB，具体新增功能如下：

MySQL Plus：立即使用→

支持创建高级权限账户，并展示用户权限类型；

支持指定同步日志月数

控制台新增 MySQL 参数 binlog_cache_size、binlog_stmt_cache_size

MySQL 内核升级至 5.7.25-28

主机及 SD-WAN 光盒等资源列表支持目录视图

Posted on 4月 24, 2019 by yunify

QingCloud云平台在云资源管理方面，不断为用户提供多场景的资源管理形式。从资源全局管理层面上，引入「Project」功能；从资源多维度查看管理层面上，加入「监控视图」功能。同时为了满足用户更多的资源管理需求，特新增资源列表上的「目录视图」功能，以提供更加便利地、基于资源列表的结构化分组功能。该功能适用于资源数量较多、需要对资源进行多级分类管理的业务场景。

目录视图特性

目录结构树为全局功能，可跨不同区、不同资源通用。
一个资源仅属于一个目录，点击某个资源所在目录的上一级目录，也会在资源列表展示该资源，但是「分组」项内会将具体的所属目录名称显示出来。

操作方式

下面以「主机」资源列表的「目录」视图为例，介绍该功能的具体使用方式。

「目录视图」位于主机资源列表右上方，如下图所示：

用户首次进入时，会看到列表左侧出现自定义目录结构的空白区，用户可在此区域内进行目录结构的创建。未编辑前，系统默认将所在区内所有的资源都归在根目录–「全部」内，如下图所示。

基于（2）的初始状态，用户可开始编辑目录视图区的内容。如需要建立子目录可右键根目录「全部」，选择「新建子目录」，即可完成。目录结构视图区内，所有的子目录创建方式都一致，如下图所示：

注：此时可自定义目录名称，并且从根目录以下的目录开始，均支持「重命名」、「删除」功能，如下图所示：

完成上述对目录结构视图区内的基本编辑后，可操作「将资源进行对应目录的分组」操作。在资源列表上的复选框内，选择需要归入一个子目录上的资源，点击「更多操作」内的「移动到目录」选项，选择对应的目录，点击提交即可完成，如下图所示：

如上述操作，选择了三个在「全部」内的资源，将其移动至了「业务1」目录内。用户可将资源添加到任意需要归入的目录内，不限目录结构关系。

现已将部分资源移入了子目录「业务 1」内，那么此时「全部」目录下的资源列表上“所属目录”列内，会出现两类信息：“业务1” 与“位分类”。如下图所示：

注：「未分类」的定义为，仅以其下一级为参考，不关注其下一级以下的具体目录细分，如，对「全部」目录对应的资源列表上，「未分类」资源的定义为，只要不在「业务 1」内的资源都为「未分类」，而不再关注其下「业务 1」目录里的资源是否有再被「业务子系统1」或者「业务子系统2」再分类。

自定义统一监控看板 Dashboard 上线

Posted on 4月 23, 2019 by yunify

一、功能概述

监控 Dashboard 为用户提供了可跨资源类型、跨指标类型、跨可用区的自定义集中监控服务，用户可根据业务需求，将各类维度的数据集中在同一个面板下，进行统一可视化监控。

监控 Dashboard 支持丰富的监控时间周期，在每种监控周期下对应的的监控间隔粒度都有所不同，用户可根据监控场景选择符合需求的时间周期。同时，若需要对某一个时间周期下的关键时间点进行进一步操作，可选择‘暂停’刷新的设置，面板将停止自动刷新。

二、核心功能

监控面板
监控面板是可供用户自定义编辑的监控视图区，可向监控面板内加入不同区域、不同资源、不同指标的监控图表。

监控图表
用户可自行创建某个可用区内，某类资源的多个实例、单个指标集成的数据图形。创建完成后，可对已创建的图表进行查看、修改、数据导出、删除等操作。

面板全屏
用户可在面板图表生成之后进行集中监控，若暂时不再操作图表以及面板的其他功能，仅需要盯屏查看监控图表以及数据，可选择“全屏”显示模式，进入全屏式面板。全屏式面板的监控可视化图表效果更佳，同时依然可以支持在监控面板上的数据查看、时间周期切换等功能。

三、创建监控面板

操作步骤

登录控制台。
点击左侧导航栏“运维与管理”，选择“监控 Dashboard ”即可进入。
进入监控 Dashborad 后，系统默认为用户创建一个面板，用户可直接在该面板上进行监控图表的创建。如下图：

用户也可以点击上图“创建面板”按钮，重新创建一个空面板。

四、修改监控面板

操作步骤

进入监控Dashboard内，在左侧监控 Dashboard 面板目录管理列内，可对需要修改的面板进行操作。
如下图，鼠标悬浮在需要修改的面板名称上，点击右侧按钮，可选择具体要执行的修改操作 – 重命名。

五、删除监控面板

操作步骤

按上一步操作方式，可在修改操作功能上选择“删除”，可删除所选面板。
注：该操作会同步删除面板内的所有图表。

六、创建监控面板

操作步骤

点击面板内“创建图表”按钮。
选择资源所属区域，如下图：
选择需要集中监控的具体资源类型，如，选择“计算 – 主机”，如下图：

选择需要集中监控的具体资源的指标，如，选择对主机的CPU利用率的监控，如下图：
为了同时创建多张监控图表，在本步骤 – 指标选择上，支持同时选择多个指标（不限制同时可创建的指标数量），即可批量创建图表，如下图：
选择需要集中监控的具体资源实例，如，选择了“主机”的指标监控，那么所选区域下的具体资源实例，在创建流程的最下方会自动筛选出来，用户可以自行勾选，最多可选择10个实例，如下图：
资源实例勾选完成后，所选实例的监控指标预览图会在创建流程中实时展示出来，供用户参考，如下图：
点击“创建”按钮，即创建完成。可前往所属面板上，查看监控结果。

七、查看监控图表

操作步骤

面板上的图表根据所选时间周期，联动展示具体的监控时间间隔与监控粒度，如下图：
将鼠标悬浮于某个图表上，点击某一个时间刻度，会自动展开图表上的所有监控数据，如下图，点击图表上的一个时间点，下方自动展开资源详情信息，可查看具体数据：
基于上一步已展开的资源详情页，可继续对指标数据信息进行排序，点击最后一列指标列名上的排序按钮，可按监控指标的升序/降序排列出所监控的实例，如下图所示：
基于第二步已展开的资源详情页，若监控实例的指标数据分布过于密集，不便于定位问题，可取消部分资源的指标数据显示。在资源详情页内点击某实例行，即可取消此条折线，如下图，取消后两个实例的监控，图表内只剩一个实例的指标数据信息，再次点击可恢复数据：