您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

测试模型 Sysbench OLTP场景，默认提交的事务中包含18条SQL语句，具体执行语句和条数如下 : 主键SELECT语句：10条 plaintext SELECT c FROM ${randtablename} where id${randid}; 范围SELECT语句：4条 plaintext SELECT c FROM ${randtablename} WHERE id BETWEEN ${randidstart} AND ${randidend}; SELECT SUM(K) FROM ${randtablename} WHERE id BETWEEN ${randidstart} AND ${randidend}; SELECT c FROM ${randtablename} WHERE id BETWEEN ${randidstart} AND ${randidend} ORDER BY c; SELECT DISTINCT c FROM ${randtablename} WHERE id BETWEEN ${randidstart} AND ${randidend} ORDER BY c; UPDATE语句：2条 plaintext UPDATE ${randtablename} SET kk+1 WHERE id${randid} UPDATE ${randtablename} SET c${randstr} WHERE id${randid} DELETE语句：1条 plaintext DELETE FROM ${randtablename} WHERE id${randid} INSERT语句，1条： plaintext INSERT INTO ${randtablename} (id, k, c, pad) VALUES (${randid},${randk},${randstrc},${randstrpad}) 测试指标 TPS：Transaction Per Second，数据库每秒执行的事务数，每个事务中包含20条SQL语句。 QPS：Query Per Second，数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DELETE等。 95%：Latency95th percentile，前95%的请求的最大响应时间，单位：毫秒。 测试结果 OLTPREADONLY只读场景 DRDS实例规格 测试指标 并发数 DRDS实例规格 测试指标 64 128 256 512 1024 2048 4096 4C8G TPS 1280.25 1327.17 1356.68 1381.65 1395.19 1335.86 1277.14 4C8G QPS 17925.04 18583.42 19000.2 19356.3 19557.96 18754.53 17982.21 4C8G 95% 74.46 139.85 297.92 601.29 1191.92 2238.47 4855.31 8C16G TPS 2282.09 2527.38 2703.57 2886.65 2913.89 2831.05 2685.86 8C16G QPS 31950.95 35386.62 37856.53 40425.56 40820.92 39685.89 37706.2 8C16G 95% 41.1 75.82 150.29 297.92 612.21 1170.65 2362.72 16C32G TPS 3701.39 4147.48 4443.76 5307.56 6059.89 6491.95 6011.63 16C32G QPS 51821.13 58067.59 62219.21 74318.19 84863.76 90938.01 84260.71 16C32G 95% 24.38 44.17 240.02 282.25 376.49 590.56 1089.30 32C64G TPS 6021.84 8514.1 10656.21 12379.5 13408.14 14244.46 14506.27 32C64G QPS 84307.37 119200.85 149192.89 173325.28 187739.68 199470.72 203186.48 32C64G 95% 13.46 20 33.72 62.19 127.81 262.64 502.20

在使用全局日志Binlog前,您需要先创建全局日志节点,本文为您介绍具体的操作步骤。 前提条件 已创建DRDS实例。具体操作，请参见步骤一：购买DRDS实例。 约束限制 仅支持创建1个日志节点。 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录树，单击日志节点管理，进入全局Binlog日志节点管理界面。 5. 单击创建日志节点 ，然后在变更后配置区域，配置日志节点相关参数。 参数 描述 可用区 日志节点所在的可用区。 性能规格 日志节点的vCPU和内存配置。 存储类型 日志节点的存储类型。 注意 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的计算增强型和内存优化型云主机。 存储空间 日志节点的存储空间，取值范围：100GB32768GB。 账号 日志节点的账号，长度为232字符，由字母、数字或下划线组成，以字母开头，字母或数字结尾。 密码 日志节点的密码，密码长度为826位，需为字母、数字和特殊字符~!@

本文主要介绍了DRDS的数据库锁表查询功能。 使用场景 通过数据库锁表查询功能可以查看到DRDS关联的MySQL是否存在锁表情况。它可以用于监视和诊断DRDS关联的MySQL数据库中的锁定情况，帮助找出可能导致并发问题的锁定冲突。 注意 大量的锁表将导致数据库资源占用高，整体性能下降。 使用限制 支持的MySQL实例版本：5.7和8.0。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览 页面。 2. 在左侧导航栏，选择DRDS > 运维工具 ，进入数据库锁表查询页面。然后在顶部菜单栏，选择区域和项目。 3. 在页面上方选择目标DRDS实例、关联的MySQL实例和锁表类型，查看具体的锁表信息。 参数 参数说明 lockid 锁的唯一标识符，用于区分不同的锁。 locktrxid 拥有或持有该锁的事务ID（Transaction ID）。通过这个ID，可以将锁与持有锁的事务关联起来。 lockmode 锁的模式，指示锁是共享锁（S锁）还是排他锁（X锁）。 locktype 锁的类型，表示被锁定的资源类型。 locktable 锁定资源所属的表名。 lockindex 锁定资源所使用的索引名。 lockspace 锁定资源所属的表空间ID。 lockpage 锁定资源所在的页码。 lockrec 锁定资源所在的记录位置。 lockdata 包含有关锁定资源的额外信息。

Redis命令的常用规范 规范 规范说明 级别 备注 小心使用时间复杂度为O(N)的命令 对于时间复杂度为O(N)的命令如果N值较大，可能会导致Redis执行过慢，影响整体性能和稳定性 强制 例如：hgetall、lrange、smembers、zrange、sinter这些命令都是做全集操作，如果元素很多，是很耗性能的可使用hscan、sscan、zscan这些分批扫描的命令替代 命令禁用 部分命令是禁止使用的，需要最好提早了解清楚 强制 使用前，请参考Redis命令兼容性和WebCli命令兼容性 慎重使用select Redis多数据库支持较弱，多业务用多数据库实际还是单线程处理，会有干扰 建议 需要多DB的场合，建议拆分多个redis使用 CLUSTER集群实例不支持多DB 批量操作 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数免得导致执行过慢，占用Redis过多的资源 建议 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数mget、mset和pipeline的区别如下： mget和mset是原子操作，pipeline是非原子操作 pipeline可以打包不同的命令，mget和mset做不到 使用pipeline，需要客户端和服务端同时支持 lua脚本执行耗时 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码 强制 比如长时间的sleep、大的循环等语句 避免在lua脚本中使用随机函数 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致 强制 遵循CLUSTER集群实例使用lua的限制 遵循CLUSTER集群实例使用lua的限制 强制 cluster集群实例使用lua有如下限制： 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key，否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误 使用EVAL和EVALSHA命令时，cluster集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot 不要直接使用del命令删除大Key 删除大Key时，不要直接使用del命令因为del命令是阻塞的，也会同时阻塞其他客户端请求无法正常执行 强制 Redis 4.0后的版本可以通过UNLINK命令安全地删除大Key，该命令是异步非阻塞 对于 4.0之前的版本： 如果是Hash类型的大Key，推荐使用hscan + hdel 如果是List类型的大Key，推荐使用ltrim 如果是Set类型的大Key，推荐使用sscan + srem 如果是SortedSet类型的大Key，推荐使用zscan + zrem 的 控制pipeline命令个数 使用Pipeline时，建议不要一次太多命令因为会占用大量Redis资源和执行时间较长，可能会卡住其他请求无法执行 建议 单次建议不超过100，同时也需要考虑实际元素字节数大小情况 合理使用发布订阅命令 不建议将 Redis 当作消息队列使用Redis 当作消息队列使用，会有容量、网络、效率、功能方面的多种问题 建议 如需要消息队列，可使用高吞吐的Kafka或者高可靠的RabbitMQ Redis事务限制 Redis事务是不支持回滚的如果事务在中途某个命令失败了，那么前面的命令依然会执行成功 建议

本章介绍天翼云关系型数据库的测试基准。 TPC(TransactionProcessing PerformanceCouncil)是一家非营利性公司，旨在确定交易处理和数据库基准，并向业界传播客观、可验证的TPC性能数据。TPC包含多种测试基准，常见的有TPCA、TPCC和TPCH等，详细请参见官方文档。TPCC是一种在OLTP基准。由于TPCC具有多种事务类型，更复杂的数据库和总体执行结构，TPCC与TPCA不同且更为复杂。 本次采用TPCC测试基准。

本节主要介绍项目 每个区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以区域默认单位为项目进行授权，IAM用户可以访问您帐号中该区域的所有资源。 基于项目给用户组授权 以项目为单位进行授权，使得IAM用户仅能访问特定项目中的资源。 步骤 1 在用户组列表中，单击用户组右侧的“授权”，进入授权页面。 步骤 2 在授权页面中，勾选需要授予用户组的区域级项目权限，并单击“下一步”。 步骤 3 选择作用范围。此处选择区域项目，则还需要选择待授权的项目。 步骤 4 单击“确定”，完成授权。 说明 更多有关用户组授权的内容，请参见“创建用户组并授权”。 切换项目或区域 登录后需要先切换区域或项目，才能访问并使用授权的云服务，否则系统将提示没有权限。全局区域服务无需切换。 步骤 1 登录控制台。 步骤 2 进入具体的云服务页面，若云服务为项目级服务，则单击页面顶部区域下拉框，切换区域。

本节主要介绍创建主子账号并授权使用OBS的流程。 示例流程 操作步骤 步骤 1 使用云服务帐号登录管理控制台。 步骤 2 在顶部导航栏选择“服务列表>管理与部署>统一身份认证服务”，进入“统一身份认证服务”管理控制台。 步骤 3 创建用户组并授予OBS资源权限。 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您在IAM中创建的用户，需要加入特定用户组后，用户才具备用户组所拥有的权限。 1. 在左侧导航栏单击“用户组”，进入“用户组”界面。 2. 单击“创建用户组”。 3. 在“创建用户组”界面，输入“用户组名称”和“描述”，单击“创建”。用户组创建完成，界面自动返回用户组列表，列表中显示新建的用户组。 4. 单击所创建的用户组右侧操作列的“权限配置”。 5. 在用户组详情页，选择“权限管理”页签，单击“配置权限”。 6. 作用范围选择“全局服务”，根据需求选中权限，单击“确定”。 步骤 4 创建用户。 步骤 5 使用IAM用户登录OBS管理控制台，验证用户权限。

Zookeeper 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 系列能力对比 功能 单机版 集群版 可用性 多节点、多可用容灾 不支持 支持 可用性 全局风险自动识别 支持 支持 可用性 数据定时备份 支持 支持 安全性 ACL控制 支持 支持 安全性 SASL 支持 支持 安全性 TLS传输加密 不支持 支持 易用性 自动化运维 不支持 支持 易用性 迁移工具 支持 支持 易用性 基础监控告警 支持 支持 规格能力 主机类型 版本 支持实例数 X86通用型 单机版2C4G 500 X86通用型 集群版2C4G3节点 4000 X86通用型 集群版4C8G3节点 7000 X86通用型 集群版8C16G3节点 14000 X86通用型 集群版16C32G3节点 25000

Zookeeper 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 系列能力对比 功能 单机版 集群版 可用性 多节点、多可用容灾 不支持 支持 可用性 全局风险自动识别 支持 支持 可用性 数据定时备份 支持 支持 安全性 ACL控制 支持 支持 安全性 SASL 支持 支持 安全性 TLS传输加密 不支持 支持 易用性 自动化运维 不支持 支持 易用性 迁移工具 支持 支持 易用性 基础监控告警 支持 支持 规格能力 主机类型 版本 支持实例数 X86通用型 单机版2C4G 500 X86通用型 集群版2C4G3节点 4000 X86通用型 集群版4C8G3节点 7000 X86通用型 集群版8C16G3节点 14000 X86通用型 集群版16C32G3节点 25000

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，以验证配置的WAF防护规则是否生效，即验证配置防护规则的防护效果。本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 应用示例 例如，您的业务部署在“/product”路径下，由于生态开发，针对参数ID存在用户提交脚本或富文本的业务场景，为了确保业务正常运行，您需要对用户提交的内容进行误报屏蔽，以屏蔽误拦截的访问请求，提升WAF防护效果。 前提条件 防护网站已成功接入WAF。 已开启“Web基础防护”，且防护模式为“拦截”。同时，“常规检测”已开启。 操作步骤 步骤 1 下载并安装Postman。 步骤 2 在Postman上设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 步骤 3 处理误报事件。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域或项目。 3. 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 在防护事件页面，WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。 6. 在该防护事件所在行的“操作”列中，单击“更多 > 误报处理”。 7. 在弹出的“误报处理”对话框中，添加全局白名单（原误报屏蔽）规则。 8. 单击“确认添加”。防护规则生效需要5分钟左右。 步骤 4 在Postman上再次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求还是被拦截。 步骤 5 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110053”规则的误报防护事件。 步骤 6 在Postman上第三次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求仍被拦截。 步骤 7 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110060”规则的误报防护事件。 步骤 8 在Postman上第四次设置请求路径为“/product”，参数ID为普通测试脚本。此时，防护网站的访问请求不再被拦截，说明所有全局白名单规则都已生效。同时，查看“防护事件”页面，防护事件列表也没有新增的XSS攻击防护事件。 步骤 9 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他参数的XSS攻击事件。 1. 在Postman上设置请求路径为“/product”，参数item为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截参数item的XSS攻击事件。 步骤 10 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他路径的XSS攻击事件。 1. 在Postman上设置请求路径为“/order”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截“URL”为“/order”、参数ID的XSS攻击事件。

本节介绍了密码过期问题与处理方法。 TaurusDB 8.0版本支持通过设置全局变量“defaultpasswordlifetime”来控制用户密码的默认过期时间。 参数“defaultpasswordlifetime”的值为N，表示密码N天后过期，单位为天。默认值为0，表示创建的用户密码永不过期。 修改全局自动密码过期策略 您可以在云数据库TaurusDB界面，通过设置参数“defaultpasswordlifetime”的值，修改密码过期策略。 参数修改具体请参见编辑参数模板。 通过命令修改全局变量“defaultpasswordlifetime”的值。 mysql> set global defaultpasswordlifetime0; 查看当前所有用户的密码过期时间 执行以下命令： mysql> select user,host,passwordexpired,passwordlastchanged,passwordlifetime from user; 查看指定用户的密码过期策略 执行以下命令： mysql> show create user jeffrey @'localhost'; “EXPIRE DEFAULT”表示遵从全局到期策略。 设置指定用户的密码过期策略 创建用户的同时设置密码过期策略 create user ' script '@'localhost' identified by ' ' password expire interval 90 day; 创建用户后设置密码过期策略 ALTER USER ' script '@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; 设置密码永不过期 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE NEVER; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE NEVER; 设置密码遵从全局到期策略 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE DEFAULT; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE DEFAULT;

本文介绍公共算力服务的应用场景。 东数西算助力“算效提升” 适用场景 均衡东西部算力生态协同发展，如东数西训、东数西存、东数西渲等场景。 推荐方案 平台将区域内的算力资源进行并网和统一调度及交易，将东部算力需求有序引导至西部，促进东西部算力高效利用，降低业务成本，提升业务服务质量。 智能计算助力“AI创新” 适用场景 适用AI、科研实训、大模型等智算业务需求场景。 推荐方案 通过智算并网，引入大规模智算算力，根据应用场景，提供稳定可靠的智算算力资源。 通用计算助力“算力普惠化” 适用场景 适用于常规企业应用场景，基于算力并网实现对社会算力并网，算力云化，实现算力标准化、普惠化。 推荐方案 结合服务商管理、统一计量清算、算力运营等算力交易技术，实现“跨厂商算力统一交易、统一调度、统一运营”，高效合理调度全局算力和网络资源，为用户提供物美价廉的通用算力。

本章节介绍Zookeeper引擎的常见问题 为什么ZooKeeper会出现zxid溢出？ 本文介绍在使用ZooKeeper时，客户端出现zxid（ZooKeeper事务ID）溢出的问题现象、问题原因和解决方案。 问题现象 ZooKeeper集群强制选主，并重置zxid低32位的计数值。 问题原因 zxid是一个长64位的数字。高32位用来表示当前Leader的周期，低32位用来表示当前请求产生的事物在当前Leader周期内的位置。每产生一个新的事务，zxid的低32位就会自动加1。当zxid达到最大值，即zxid的低32位达到0xffffffff，就会触发集群强制选主，并重置zxid低32位的计数值（zxid高32位变为新Leader的周期，低32位变为0）。 解决方案 目前，Server没有规避zxid溢出的方法，请在业务侧提前规避。 对于使用ZooKeeper作为注册配置中心的使用场景：集群选主不会影响到正常使用，客户端在集群选主之后会自动重连恢复。 为什么ZooKeeper会出现APIError溢出？ 本文将介绍使用MSEZooKeeper时，客户端出现APIError报错的问题现象，问题原因和解决方案。 问题现象 使用ZooKeeper客户端出现APIError报错，如下所示： org.apache.zookeeper.KeeperException$APIErrorException: KeeperErrorCode APIError for /xxx。 问题原因 在使用MSE ZooKeeper时客户端触发了MSE ZooKeeper的限流策略。 解决方案 保障ZooKeeper单个会话创建的临时节点（ephemeral）数量少于2000个。 为什么ZooKeeper客户端会出现Connection Loss？ 本文将介绍使用MSE ZooKeeper时，客户端出现Connection Loss报错的问题现象，问题原因和解决方案。

此小节介绍云堡垒机认证设置。 认证策略 管理员登录并切换管理角色，打开“系统管理 > 认证设置”，该配置为全局认证策略，默认配置“本地认证”、“令牌认证”。 参数 参数说明 认证源 本地认证：不依赖外部网络或远程服务器的情况下，直接在设备或系统内部完成用户身份验证的过程。 AD认证：用户登录时，系统将账号密码发送到AD认证服务器进行验证，而非在本地校验。AD认证让云堡垒机“借用”了企业现有的、成熟的身份管理目录来识别用户是谁，并决定他们能做什么。 双因子认证 短信认证：使用手机短信验证码进行二次认证。 令牌认证：使用手机令牌进行认证。需下载天翼云App，详情请参见手机令牌。 全局生效 开启：所有用户均使用系统认证方式。 关闭：账号的“认证方式”配置为“跟随系统”的用户使用此处配置的“系统认证方式”，配置为“自定义”的用户使用自定义的认证方式。详情请参见新增用户账号。 AD配置 堡垒机支持与AD认证服务器对接，可将AD认证服务器用户同步到堡垒机作为堡垒机用户。 进入“认证策略”页面，勾选“AD认证”后，选择“AD配置”页签，开始AD配置。

本文为您介绍演应急切换大屏的相关内容 概要 应急切换大屏是应急切换的指挥中枢，通过集中可视化和实时态势感知，实现全局监控、快速定位、高效协同，旨在达成切换过程可控、风险前置的核心目标，全面提升容灾管理效能。 使用条件 仅当切换整体状态为执行中/终止中/已暂停/暂停中才能进入该切换的切换管理页面。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表操作列“切换管理”按钮，进入切换管理详情页。 7. 点击页面右上角“应急大屏”，进入应急切换大屏页面。

本文主要介绍弹性IP的约束与限制。 弹性IP使用限制 一个EIP只能绑定一个云资源使用。 只有未绑定状态的EIP才能进行绑定操作。 未绑定的弹性IP地址才可释放，已绑定的弹性IP地址需要先解绑定后才能释放。 资源欠费被冻结的EIP无法进行绑定、解绑等操作。 绑定云主机，对外有攻击行为等安全原因被冻结的EIP无法进行绑定、解绑等操作。 当绑定的带宽流量严重超限，或受到攻击时（一般是受到了DDoS攻击），EIP会被封堵，但不影响对EIP资源的绑定、解绑等操作。 弹性IP释放后，如果被其他用户使用，则无法找回。 弹性IP不支持跨账号转移。 弹性IP配额限制 配额类型 默认配额数量 提升配额方式 单资源池配额（二类节点） 10 请联系客户经理或提交工单申请 全局配额（二类节点） 20 请联系客户经理或提交工单申请 绑定的虚拟IP（二类节点） 0 请联系客户经理或提交工单申请 绑定的扩展弹性网卡（二类节点） 0 请联系客户经理或提交工单申请 绑定的辅助弹性网卡（二类节点） 0 请联系客户经理或提交工单申请 您已创建完成的弹性IP资源占用“全局配额”与当前资源池的“单资源池配额”余量。 您绑定在虚拟IP上的弹性IP数量，将占用当前资源池中“绑定的虚拟IP”的配额余量。 您绑定在扩展弹性网卡上的弹性IP数量，将占用当前资源池中“绑定的扩展弹性网卡”的配额余量。 您绑定在辅助弹性网卡上的弹性IP数量，将占用当前资源池中“绑定的辅助弹性网卡”的配额余量。 当您创建弹性IP时，需同时满足单资源池配额及全局配额数量限制，即您在“二类节点”资源池购买弹性IP时，需此资源池剩余配额大于0，且全局剩余配额大于0， 若您此资源池配额余量＞0，全局配额余量为0，则此资源池不可再创建弹性IP新资源，您其它“二类节点”资源池也不可再创建新弹性IP资源； 若您此资源池配额余量为0，全局配额余量＞0，则此资源池不可再创建弹性IP新资源，您可切换至其它资源池创建弹性IP资源。 当您需将弹性IP与虚拟IP进行绑定时，若您在此资源池中“绑定的虚拟IP”的配额余量为0，则您不可再将弹性IP与虚拟IP进行绑定。 当您需将弹性IP与扩展弹性网卡进行绑定时，若您在此资源池中“绑定的扩展弹性网卡”的配额余量为0，则您不可再将弹性IP与扩展弹性网卡进行绑定。 当您需将弹性IP与辅助弹性网卡进行绑定时，若您在此资源池中“绑定的辅助弹性网卡”的配额余量为0，则您不可再将弹性IP与辅助弹性网卡进行绑定。 若您需要调整“二类节点”资源池的弹性IP相关配额时，请您联系客户经理进行配额扩容申请，天翼云将满足合理的扩容需求。

本节主要介绍主备倒换任务 数据复制服务提供对灾备任务的主备倒换功能。RPO和RTO均为0时，表示数据已经完全迁移到灾备库，可以作为主备倒换的参考。 RPO（Recovery Point Objective），为业务数据库与DRS实例数据差的一种度量方式，RPO0时，意味着业务数据库的数据已经全部到达DRS实例。 RTO（Recovery Time Objective），处在传输中数据量的一种度量方式，RTO0时，意味着DRS实例上的事务已经全部在灾备数据库上执行完毕。 前提条件 已登录数据复制服务管理控制台。 已成功创建数据灾备任务。 主备倒换 步骤 1 在“实时灾备管理”页面，选择指定的灾备任务，单击任务名称进入“基本信息”页签。 步骤 2 在“基本信息”页签，单击“灾备监控”页签。 步骤 3 灾备中的任务可进行主备倒换。单击“本云数据库升主”，本云实例将升为业务数据库。单击“本云数据库降备”，本云实例将降为灾备数据库。 灾备为灾备关系，不支持多写的多主模式，主备倒换时请确保即将成为备节点的数据库已经停止数据写入，且作为备节点未来也不会有数据写入，备节点的数据只来自主节点的同步，任何其他地方的写入将会导致备库数据被污染，使得灾备出现数据冲突而无法修复。

本章节主要介绍操作类问题中的数据导入导出问题。 外表与GDS外表支持的数据格式有什么区别? OBS与GDS外表支持格式文件区别如下： OBS支持的文件格式：CSV、TEXT、ORC、CARBONDATA，缺省值为TEXT GDS支持的文件格式：CSV、TEXT，缺省值为TEXT 数据如何存储到数据仓库服务？ DWS支持多数据源高效入库，典型的入库方式如下所示。详细指导请参见《数据仓库服务数据库开发指南》中的“导入数据”章节。 从OBS导入数据 数据上传到OBS对象存储服务中，再从OBS中导入，支持CSV，TEXT格式数据。 通过INSERT语句直接插入数据 用户可以通过DWS提供的客户端工具（gsql）或者JDBC/ODBC驱动从上层应用向DWS写入数据。DWS支持完整的数据库事务级别的增删改(CRUD)操作。这是最简单的一种方式，这种方式适合数据写入量不太大， 并发度不太高的场景。 从MRS导入数据，将MRS作为ETL 通过COPY FROM STDIN方式导入数据。 通过COPY FROM STDIN命令写数据到一个表。 使用GDS从远端服务器导入数据到DWS 当用户需要将普通文件系统（例如，弹性云主机）中的数据文件导入到DWS时，可以使用DWS提供的GDS导入数据的功能。 数据仓库可以存储多少业务数据？ 数据仓库集群每个节点默认能够支持1.49TB、2.98TB、4.47TB、160GB、1.68TB、13.41TB六种规格的存储容量，一个集群支持的节点数范围为3～256，集群总的存储容量随集群规模等比例扩充。 为增强可靠性，每个节点都有一个副本，副本会占用一半的存储空间，选择容量时副本容量会自动翻倍存储。 数据仓库系统会备份数据，生成索引、临时缓存文件、运行日志等内容，并占用存储容量。每个节点实际存储的数据，大致为总存储容量的一半。

本章节主要介绍全局变量。 什么是全局变量 DLI支持在管理控制台设置全局变量，将作业开发过程中频繁使用的变量设置为全局变量，可以避免在编辑作业过程中重复定义，减少开发与维护成本。通过使用全局变量可以替换长难复杂变量，简化复杂参数，提升SQL语句可读性。 本节操作为您介绍如何创建全局变量。 创建全局变量 1. 在DLI控制台左侧导航栏中单击“全局配置 > 全局变量”。 2. 在“全局变量”页面，单击右上角“创建变量”，可创建新的全局变量。 创建变量参数说明 参数名称 描述 变量名称 所创建的全局变量名称。 变量值 全局变量的值。 3. 创建全局变量之后，在SQL语法中使用“{{xxxx}}”代替设置为全局变量的参数值即可，其中“xxxx”为变量名称。例如，在建表语句中，设置表名为全局变量abc，即可用{{abc}}代替实际的表名。 create table {{tablename}} (String1 String, int4 int, varchar1 varchar(10)) partitioned by (int1 int,int2 int,int3 int) 说明 不推荐在建表语句的OPTIONS关键字中使用全局变量。 修改全局变量 在“全局变量”页面，单击变量“操作”列中的“修改”，可修改对应的变量值。 说明 如果同帐号同项目下存在多个相同名称的全局变量时，需要将多余相同名称的全局变量删除，保证同帐号同项目下唯一，此时具备该全局变量修改权限的用户均可以修改对应的变量值。

本节介绍如何获取API接口URI参数。 集群ID(clusterId) 调用集群列表API，根据资源池、集群名称等过滤条件进行查询，通过 $.returnObj.records[].clusterId JSON路径可查询到clusterId。若集群名称为精确匹配，则只返回一条集群记录（集群名称全局唯一不重复）。 舰队ID(fleetId) 调用舰队列表API，根据资源池、舰队名称等过滤条件进行查询，通过 $.returnObj.records[].fleetId JSON路径可查询到fleetId。若舰队名称为精确匹配，则只返回一条舰队记录（舰队名称全局唯一不重复）。 联邦ID(federationId) 调用联邦列表API，根据资源池、联邦名称等过滤条件进行查询，通过 $.returnObj.records[].id JSON路径可查询到federationId。若联邦名称为精确匹配，则只返回一条联邦记录（联邦名称全局唯一不重复）。 资源池ID(regionId) 目前CCE One支持以下资源池 资源池 资源池ID（regionId） 华东1 bb9fdb42056f11eda1610242ac110002 华北2 200000001852 西南1 200000002368 华南2 200000002530

本页介绍天翼云TeleDB数据库死锁分析相关操作。 可诊断出数据库的最近一次历史死锁信息，看到死锁环和数据库回滚的事务信息。 以诊断近1天的死锁为例，单击立即诊断。 发现死锁信息，单击查看详情。 看到死锁日志记录。

本页介绍天翼云TeleDB数据库死锁分析相关操作。 可诊断出数据库的最近一次历史死锁信息，看到死锁环和数据库回滚的事务信息。 以诊断近1天的死锁为例，单击立即诊断。 发现死锁信息，单击查看详情。 看到死锁日志记录。

参数 说明 DatabaseName 数据库的名称。 MaxConnectionSize 最大连接数。 QueryTimeout SQL请求的超时时长。 TransactionQueryTimeout SQL事务的超时时长。 WaitThreadCount 当前等待获取连接的线程数。 ActivePeak 活跃连接峰值。 ActivePeakTime 活跃连接数量处于峰值的时间。 ActiveConnectionSize 活跃的连接数。 ErrorCount SQL请求的错误数。 ExecuteCount SQL请求的执行数。 CommitCount SQL请求的提交数。 RollBackCount SQL请求的回滚数。 PoolingCount 连接池中数据库连接的数量。 PoolingPeak 连接池中数据库连接数量的峰值。 PoolingPeakTime 连接池数量处于峰值的时间。

数据库账号及权限 数据库账号及权限如下表： 数据库 所需权限 参考赋权语句 源库 源库为MySQL5.7时： 对MySQL库的SELECT权限。 对待迁移库的SELECT权限。 部分全局权限： REPLICATION CLIENT REPLICATION SLAVE 如果是整实例迁移，需要对所有数据库的查询权限。 源库为MySQL8.0时： 对MySQL库的SELECT权限。 对待迁移库的SELECT权限。 部分全局权限： REPLICATION CLIENT REPLICATION SLAVE。 源库为MySQL5.7时： GRANT SELECT ON mysql. TO '迁移账号'@'%'; GRANT SELECT ON 待迁移的库. TO '迁移账号'@'%'; GRANT REPLICATION CLIENT, REPLICATION SLAVE ON . TO '迁移账号'@'%'; 源库为MySQL8.0时： GRANT SELECT ON mysql. TO '迁移账号'@'%'; GRANT SELECT ON 待迁移的库. TO '迁移账号'@'%'; GRANT REPLICATION SLAVE, REPLICATION CLIENT ON . TO '迁移账号'@'%'; 目标库 以下全局权限: SHOW USERS SHOW ROLES REMOTE 以下库级别权限: ALTER ALTER ADD COLUMN ALTER MODIFY COLUMN ALTER DROP COLUMN ALTER RENAME COLUMN CREATE DATABASE CREATE TABLE DROP TABLE TRUNCATE 一键授权: GRANT [ON CLUSTER 集群名称] SHOW USERS, SHOW ROLES, REMOTE, ALTER ADD COLUMN, ALTER MODIFY COLUMN, ALTER DROP COLUMN, ALTER RENAME COLUMN, CREATE DATABASE, CREATE TABLE, DROP TABLE, TRUNCATE ON . TO '迁移账号'; 注意 如果目标库ClickHouse不是集群部署，请将授权语句中的集群部分‘[ON CLUSTER 集群名称]’去掉。

433 [DBProxy]修复在表未设置分片时drop该表所在的数据库，出现未同步删除该表记录的问题。 538 修复Range分片算法兼容性导致的偶发性实例重启失败问题。 注意事项 在V5.1.20.0.13及以后版本，Giserver与DBProxy合并部署，不再区分DBProxy和Giserver两种实例，即购买UDAL实例时，将自动为该实例部署Giserver与DBProxy，不再支持单独创建GiServer。 在V5.1.20.0.13以前版本创建的存量GiServer实例不影响使用，您仍然可以在控制台的左侧导航栏选择DRDS > 全局索引，进入全局索引管理页面，管理您的GiSever实例。

本章主要介绍通用管理 全局设置 软件开发生产线中默认租户中的所有用户均可为自己设置昵称，若无需此功能，租户帐号可以关闭昵称设置功能。 步骤 1 进入软件开发生产线首页，单击页面右上角用户名，在下拉菜单中选择“租户设置”。 步骤 2单击导航“通用设置 > 全局设置”。 步骤 3 单击“关闭设置个人昵称”旁的开关。 步骤 4 刷新当前页面，进行设置昵称操作时，页面将提示不允许修改。 禁止设置昵称

本页介绍天翼云TeleDB数据库系统视图teledbvacuumadvice的内容。 1. 插件开启与关闭 开启：create extension pgvacuumadvice; 同时配置sharedpreloadlibriespgvacuumadvice； 关闭：drop extension pgvacuumadvice; 2. 插件表查找 plaintext select from teledbvacuumadvice; 3. 插件表字段 名称 类型 定义 tablename text 插件记录的表的名称 nodestr text 该表所在的DN节点 starttime timestamptz 上一次autovacuum开始时间 Endtime timestamptz 上一次autovacuum结束时间 systemusage text 上一次autovacuum用户态、内核态的CPU使用时间 ioreadrate real vacuum过程中磁盘读取速率；单位MB/s iowriterate real vacuum过程中磁盘写入速率；单位MB/s sizechange real vacuum前后表体积变化 failurereasonbigtable boolean 如果为t，系统中可能存在因表太大引起的autovacuum失效 failurereasonmanytables boolean 如果为t，系统中可能存在表数量太多引起的utovacuum失效 failurereasonmanytables boolean 如果为t，系统中可能存在表数量太多引起的utovacuum失效 failurereasonlongtransaction boolean 如果为t，系统中可能存在长事务引起的autovacuum失效 4. GUC参数解释与设置 pgvaccumadvice.longxactthreshold：如果事务持续时长超过该时间并阻塞autovacuum清理，则插件进行提示；单位分钟 pgvaccumadvice.bigrelthreshold ：如果表元组数超过该大小，并因此影响autovacuum触发，则插件进行提示 pgvaccumadvice.manyrelsthreshold：如果autovacuum清理过程中，收集到的表超过该数量，则插件进行提示

本页为权限类常见问题。 MySQL需要具备哪些权限才能完成数据传输？ 在使用DTS执行MySQL的数据传输时，需要区分是迁移还是同步任务，MySQL是源库还是目标库，根据不同的情况，来准备相关的权限。 数据迁移 数据库 所需权限 参考赋权语句 源库 源库为MySQL5.7时： 对MySQL库的SELECT权限。 对待迁移库的SELECT,EVENT,TRIGGER权限。 部分全局权限： REPLICATION CLIENT REPLICATION SLAVE SHOW VIEW PROCESS 如果是整实例迁移，需要对所有数据库的查询权限。 源库为MySQL8.0时： 对MySQL库的SELECT权限。 对待迁移库的SELECT, EXECUTE, EVENT,TRIGGER权限。 部分全局权限： PROCESS LOCK TABLES REPLICATION CLIENT REPLICATION SLAVE SHOW VIEW SHOWROUTINE 如果是整实例迁移，需要对所有数据库的查询权限。 源库为MySQL5.7时： GRANT SELECT ON mysql. TO '迁移账号'@'%'; GRANT SELECT, EVENT,TRIGGER ON 待迁移的库. TO '迁移账号'@'%'; GRANT REPLICATION CLIENT, REPLICATION SLAVE, SHOW VIEW, PROCESS ON . TO '迁移账号'@'%'; 源库为MySQL8.0时： GRANT SELECT ON mysql. TO '迁移账号'@'%'; GRANT SELECT, EXECUTE, EVENT, TRIGGER ON 待迁移的库. TO '迁移账号'@'%'; GRANT PROCESS, REPLICATION SLAVE, REPLICATION CLIENT, SHOW VIEW, SHOWROUTINE ON . TO '迁移账号'@'%'; 目标库 以下全局权限： ALTER ALTER ROUTINE CREATE CREATE ROUTINE CREATE TEMPORARY TABLES CREATE USER CREATE VIEW DELETE DROP EVENT EXECUTE INDEX INSERT PROCESS REFERENCES SELECT SHOW DATABASES SHOW VIEW TRIGGER UPDATE GRANT ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARY TABLES, CREATE USER, CREATE VIEW, DELETE, DROP, EVENT, EXECUTE, INDEX, INSERT, PROCESS, REFERENCES, SELECT, SHOW DATABASES, SHOW VIEW, TRIGGER, UPDATE ON . TO '迁移账号'@'%'; 数据同步 数据库 所需权限 参考赋权语句 源库 源库为MySQL5.7时： 对MySQL库的SELECT权限。 对待同步库的SELECT,EVENT,TRIGGER权限。 部分全局权限： REPLICATION CLIENT REPLICATION SLAVE SHOW VIEW PROCESS 如果是整库同步，需要对所有数据库的查询权限。 源库为MySQL8.0时： 对MySQL库的SELECT权限。 对待同步库的SELECT, EXECUTE, EVENT,TRIGGER权限。 部分全局权限： PROCESS REPLICATION CLIENT REPLICATION SLAVE SHOW VIEW SHOWROUTINE 如果是整库同步，需要对所有数据库的查询权限。 源库为MySQL5.7时： GRANT SELECT ON mysql. TO '同步账号'@'%'; GRANT SELECT , EVENT,TRIGGER ON 待同步的库. TO '同步账号'@'%'; GRANT REPLICATION CLIENT, REPLICATION SLAVE, SHOW VIEW, PROCESS ON . TO '同步账号'@'%'; 源库为MySQL8.0时： GRANT SELECT ON mysql. TO '同步账号'@'%'; GRANT SELECT, EXECUTE, EVENT, TRIGGER ON 待同步的库. TO '同步账号'@'%'; GRANT PROCESS, REPLICATION SLAVE, REPLICATION CLIENT, SHOW VIEW, SHOWROUTINE ON . TO '同步账号'@'%'; 目标库 以下全局权限: ALTER ALTER ROUTINE CREATE CREATE ROUTINE CREATE TEMPORARY TABLES CREATE USER CREATE VIEW DELETEDROP EVENTEXECUTE INDEX INSERT PROCESS REFERENCES SELECT SHOW DATABASES SHOW VIEW TRIGGER UPDATE GRANT ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARY TABLES, CREATE USER, CREATE VIEW, DELETE, DROP, EVENT, EXECUTE, INDEX, INSERT, PROCESS, REFERENCES, SELECT, SHOW DATABASES, SHOW VIEW, TRIGGER, UPDATE ON . TO '同步账号'@'%'; 注意 如果待迁移/同步对象包含用户自定义function，则在满足上述权限的基础上，目标端数据库同时需将logbintrustfunctioncreators设置为1，参考语句如下： set global logbintrustfunctioncreators 1;

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 plaintext ak : " " sk : " " endpoint : " " config : &aws.Config{ Credentials: credentials.NewStaticCredentials(ak, sk, ""), Endpoint: aws.String(endpoint), S3ForcePathStyle: aws.Bool(true), DisableSSL: aws.Bool(true), LogLevel: aws.LogLevel(aws.LogDebug), } sess : session.Must(session.NewSession(config)) svc : sts.New(sess) 获取临时token plaintext bucket : " " roleSessionName : " " arn : "arn:aws:iam:::role/xxxxxx" policy : {"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::%s","arn:aws:s3:::%s/"]}} policy fmt.Sprintf(policy, bucket, bucket) fmt.Println("policy: ", policy) out, err : svc.AssumeRole(&sts.AssumeRoleInput{ Policy: aws.String(policy), RoleArn: aws.String(arn), RoleSessionName: aws.String(roleSessionName), }) if err ! nil { fmt.Println("err, ", err) return } fmt.Println("assumeRole success, ", out) 请求参数 参数 类型 描述 是否必要 RoleArn string 角色的ARN，在控制台创建角色后可以查看 是 Policy string 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName string 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

水印内容 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“任务配置管理 > 水印内容 ”，进入“水印内容”页面。 说明 可通过“水印状态”列查看对应水印是否被被使用，处于使用状态的水印无法被删除。 具体水印的配置信息请见脱敏/水印任务章节。 3.单击页面左上角的“新增”，即可新增新的水印内容。 策略配置 本功能针对结构化脱敏任务提供黑、白名单功能。您若需使用该功能，可以在配置结构化任务时展开高级配置，勾选对应选项即可。 白名单策略配置 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“任务配置管理 > 策略配置 ”，进入“策略配置白名单”页面。 3.单击页面左上角的“新增”，即可开始新增白名单规则。 黑名单策略配置 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“任务配置管理 > 策略配置 ”，在页面左上角选择“黑名单”切换至黑名单页签。 3.单击页面左上角的“新增”，即可开始新增黑名单规则。 全局参数 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“任务配置管理 > 全局参数 ”，进入“全局参数”页面，可在此页面配置相关内容。

配置SWR服务 本文档使用SWR来保存环境镜像，需要首先配置SWR服务。 步骤 1 登录SWR服务控制台。 步骤 2 单击“登录指令”，页面弹框显示登录指令。 其中， u之后的字符串为用户名。 p之后的字符串为密码。 最后的字符串为SWR服务器地址，此地址即为后续配置并执行任务中的参数“dockerServer”。 步骤 2 单击“创建组织”，在弹框中输入组织名称“phoenix”（此名称全局唯一，若页面提示“组织已存在”，请自定义其它名称），单击“确定”保存。 这里的组织名称，即为后续配置并执行任务中的参数“dockerOrg”。 配置并执行任务 步骤 1 配置任务。 1. 进入“凤凰商城”项目，单击导航“持续交付 > 编译构建”。页面中显示样例项目内置的任务。 2. 在列表中找到任务“phoenixsampleci”。单击图标，在下拉列表中单击“编辑”进入编辑页面。 3. 选择“参数设置”页签，参照下表编辑参数值。 参数设置 参数名称 默认值 codeBranch master。 dockerOrg 输入在配置SWR服务中创建的组织。 version 1.0.0 dockerServer 输入在配置SWR服务中记录的SWR服务器地址。 说明 请务必确保参数“dockerOrg”、“dockerServer”的输入值是正确的，否则将导致任务失败。 步骤 3 单击“保存并执行”，在弹框中单击“确定”，启动构建任务。 当页面中显示时，表示任务执行成功。请记录以“