本节介绍虚拟机可配置设备规则策略。 操作场景 管理员可为组织内的虚机配置以允许/拒绝某些设备的连接，规则优先级高于基础策略。 新建设备规则 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“设备规则管理”，进入“设备规则管理”页面； 3.点击“新建”，弹出新建设备规则窗口； 4.根据需求选择“设备类型”，“规则名称”，“厂商ID”等信息； 5.单击“确定”，即完成设备规则的新建。

界面 1. 列表栏说明： 名称：显示该备份集发现对应的规则名称。 状态：显示该备份集发现规则的状态。 调度中：表示该规则处于生效状态，已加入调度服务器的队列中，等待执行。 执行中：表示该规则正在执行。 完成：表示任务运行完成，备份策略类型为一次性或者立即执行时，备份完成后展示此状态。 禁用：表示该规则不生效，不会触发备份集发现任务，已经发起的任务不受影响。 任务类型：显示该备份集发现规则对应的任务类型（仅发现或自动导入）。 存储单元：显示该备份集发现规则指定的存储单元。 存储单元类型：显示该备份集发现规则指定的存储单元类型。 最近任务开始时间：显示最近一次发现任务的开始时间。 最近任务消耗时间：显示最近一次发现任务执行所消耗的时间。 发现备份集数量：显示最近一次发现任务所发现的备份集数量。 2. 操作列说明： 手动执行：当规则处于“调度中”或“完成”状态，可执行 “手动执行”操作，让任务立即执行一次。 禁用/启用：当规则处于“禁用”时，此处显示“启用”；当规则处于“调度中&执行中”时，此处显示“禁用”。 修改：修改该备份集发现任务。 删除：删除该备份集发现任务。 3. 操作栏说明： 新建：新建备份集复制任务。 删除：删除备份集复制任务。 刷新：刷新当页备份集复制任务。 备份集导入 备份集导入页面，将显示通过备份集发现后获取到的备份集，针对已发现的备份集，用户可根据自己的需求，选择导入全部或部分备份集。 备份集导入完成后： 导入的备份集将从备份集导入页面删除； 当前备份域（备份集管理页面）将自动生成已导入完成的备份集。 该备份集后续可实现正常的备份数据生命周期管理（如备份集数据恢复、备份集复制/归档）。

执行计划状态 状态 状态类型 说明 等待创建 中间状态 执行创建任务和“创建中”之间的瞬时状态，准备好后状态将变为“创建中”。 队列中 中间状态 执行创建任务和“创建中”之间的瞬时状态，准备好后状态将变为“创建中”。 创建中 中间状态 创建执行计划时的状态，创建完成后，状态将变为“创建成功，待部署”或“创建失败” 创建过程中，您可单击取消创建，取消创建成功后状态将变为“取消创建”。 创建失败 稳定状态 创建执行计划失败后的状态，此时仅是创建执行计划失败，对资源栈本身没有影响。 此时可以通过两种方式解决问题： 方式一，请参考帮助文档常见问题进行自助修复； 方式二，请提交工单，由技术人员协助解决问题。 创建成功，待部署 稳定状态 创建执行计划成功的状态，此时您可单击部署 ，执行部署操作，参考部署资源栈。 已触发部署 中间状态 执行部署操作和“部署中”之间的瞬时状态，准备好后状态将变为“部署中”。 部署中 中间状态 部署执行计划时的状态，部署完成后，状态将变为“部署失败”或“部署成功” 部署过程中，您可单击取消部署，取消部署成功后，转台将变为“取消部署”。 部署成功 稳定状态 部署成功后的正常状态，用户可正常进行相关业务。 部署失败 稳定状态 部署失败后的状态，此时资源栈中的资源可能与计划不一致。用户更新并部署资源栈后，将重新流转部署状态。 此时可以通过两种方式解决问题： 方式一，请参考帮助文档常见问题进行自助修复； 方式二，请提交工单，由技术人员协助解决问题。 取消部署 稳定状态 用户执行取消部署后的状态。 取消创建 稳定状态 用户执行取消创建后的状态。

maintenanceworkmem (integer) 指定在维护性操作（例如VACUUM、CREATE INDEX和ALTER TABLE ADD FOREIGN KEY）中使用的 最大的内存量。其默认值是 64 兆字节（64MB）。因为在一个数据库会话中，一个时刻只有一个这样的操作可以被执行，并且一个数据库安装通常不会有太多这样的操作并发执行， 把这个数值设置得比workmem大很多是安全的。 更大的设置可以改进清理和恢复数据库转储的性能。注意当自动清理运行时，可能会分配最高达这个内存的 autovacuummaxworkers倍，因此要小心不要把该默认值设置得太高。通过独立地设置autovacuumworkmem 可能会对控制这种情况有所帮助。 replacementsorttuples (integer) 当要被排序的元组数比这个数字小时，排序将会使用替换选择而不是快速排序来产生其第一个输出。在内存受限的环境中这可能会有用，这种环境中被输入到大型排序操作中的元组具有很强的物理逻辑关联。注意，这不包括具有逆相关的输入元组。替换选择算法可能会产生一次不需要合并的长时间运行，其中使用默认策略会导致很多次运行并且必须被合并来产生最终的有序输出。这可以允许排序操作更快完成。默认是150,000 个元组。注意，更高的值通常不会更有效，并且可能产生反效果，因为优先队列对于可用的 CPU 高速缓存的尺寸很敏感，然而默认策略会使用一种高速缓存透明算法运行。这种性质允许默认的排序策略自动且透明地利用可用的 CPU 高速缓存。把maintenanceworkmem设置为其默认值通常会阻止工具命令外部排序（例如CREATE INDEX用来构建 B树索引的排序）使用替换选择排序，除非外部元组非常宽。

导入作业 导入作业功能依赖于OBS服务，如无OBS服务，可从本地导入。 在作业目录中导入一个或多个作业 1. 单击作业目录中的 > 导入作业，选择已上传至OBS或者本地中的作业文件，以及重名处理策略。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 详见下图：导入作业定义及依赖 2. 单击“下一步”，根据提示导入作业。 说明 在导入作业过程中，若作业关联的数据连接、dli队列、ges图等在数据开发模块系统中不存在时，系统会提示您重新选择。 操作示例 背景信息： 在数据开发模块系统中创建一个DWS的数据连接“doctest” 在作业目录中创建实时作业“doc1”，作业中添加节点“DWS SQL”，配置节点的“数据连接”为“doctest”，配置“SQL脚本”和“数据库”。 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 作业开发”。 3. 在作业搜索框中搜索作业“doc1”，导出作业到本地，并上传作业至OBS文件夹中。 4. 在数据开发模块系统中删掉作业关联的dws数据连接“doctest”。 5. 单击作业目录中的 > 导入作业，选择上传至OBS文件夹中的作业，并设置重名处理策略。 6. 单击“下一步”，根据导入作业页面的提示重新选择数据连接。 7. 单击“下一步”，再单击“关闭”。

本章节主要介绍Spark作业相关问题中有关作业运维报错的问题。 Spark作业访问OBS数据时报ResponseCode: 403和ResponseStatus: Forbidden错误 问题现象 Spark程序访问OBS数据时上报如下错误。 Caused by: com.obs.services.exception.ObsException: Error message:Request Error.OBS servcie Error Message. ResponseCode: 403, ResponseStatus: Forbidden 解决方案 Spark程序访问OBS数据时，需要通过配置AK、SK的访问进行访问。具体访问方式可以参考上方：通用队列操作OBS表如何设置AK/SK。 有访问OBS对应的桶的权限，但是Spark作业访问时报错 verifyBucketExists on XXXX: status [403] 请排查“全局配置 > 作业配置” 对应OBS桶是否被设置为了DLI日志桶。 日志桶不能用于DLI的其他业务功能中。 Spark作业运行大批量数据时上报作业运行超时异常错误 Spark作业程序访问大批量数据，如访问DWS大批量数据库数据时，建议设置并发数，启动多任务的方式运行，避免作业运行超时。 使用Spark作业访问sftp中的文件，作业运行失败，日志显示访问目录异常 Spark作业不支持访问sftp。 建议将文件数据上传到OBS，再通过Spark作业进行读取和分析。 执行作业的用户数据库和表权限不足导致作业运行失败 问题现象 Spark作业运行报数据库权限不足，报错信息如下： org.apache.spark.sql.AnalysisException: org.apache.hadoop.hive.ql.metadata.HiveException: MetaException(message:Permission denied for resource: databases.xxx,action:SPARKAPPACCESSMETA) 解决方案 需要给执行作业的用户赋数据库的操作权限，具体操作参考如下： 1. 在DLI管理控制台左侧，单击“数据管理”>“库表管理”。 2. 单击所选数据库“操作”栏中的“权限管理”，将显示该数据库对应的权限信息。 3. 在数据库权限管理页面右上角单击“授权”。 4. 在“授权”弹出框中，选择“用户授权”或“项目授权”，填写需要授权的用户名或选择需要授权的项目，选择相应的权限。 5. 单击“确定”，完成授权。

Spark作业访问MySQL数据库的方案 通过DLI Spark作业访问MySQL数据库中的数据有如下两种方案： 方案1：在DLI中购买按需专属队列，创建增强型跨源连接，再通过跨源表读取MySQL数据库中的数据，该方案需要用户自行编写java代码或scala代码。 方案2：先使用云数据迁移服务CDM将MySQL数据库中的数据导入OBS桶中，再通过Spark作业读取OBS桶中的数据，如果用户已有CDM集群，该方案比方案1简单，且不会对现有数据库造成压力。 如何通过JDBC设置spark.sql.shuffle.partitions参数提高并行度 操作场景 Spark作业在执行shuffle类语句，包括group by、join等场景时，常常会出现数据倾斜的问题，导致作业任务执行缓慢。 该问题可以通过设置spark.sql.shuffle.partitions提高shuffle read task的并行度来进行解决。 设置spark.sql.shuffle.partitions参数提高并行度 用户可在JDBC中通过set方式设置dli.sql.shuffle.partitions参数。具体方法如下： Statement st conn.stamte() st.execute("set spark.sql.shuffle.partitions20") Spark jar 如何读取上传文件 Spark可以使用SparkFiles读取 –file中提交上来的文件的本地路径，即：SparkFiles.get("上传的文件名")。 说明 lDriver中的文件路径与Executor中获取的路径位置是不一致的，所以不能将Driver中获取到的路径作为参数传给Executor去执行。 lExecutor获取文件路径的时候，仍然需要使用SparkFiles.get(“filename”)的方式获取。 lSparkFiles.get()方法需要spark初始化以后才能调用。 代码段如下所示 package main.java import org.apache.spark.SparkFiles import org.apache.spark.sql.SparkSession import scala.io.Source object DliTest { def main(args:Array[String]): Unit { val spark SparkSession.builder .appName("SparkTest") .getOrCreate() // driver 获取上传文件 println(SparkFiles.get("test")) spark.sparkContext.parallelize(Array(1,2,3,4)) // Executor 获取上传文件 .map( > println(SparkFiles.get("test"))) .map( > println(Source.fromFile(SparkFiles.get("test")).mkString)).collect() } }

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

服务名称 计费模式 产品规格 价格 单位 密钥管理(KMS) 按需计费 密钥实例 0.015458 元/小时 密钥管理(KMS) 按需计费 密钥管理API（API请求次数小于等于2万次） 0 元/万次 密钥管理(KMS) 按需计费 密钥管理API（API请求次数大于2万次） 0.6 元/万次 专属加密(DHSM) 包年/包月 专属加密基础版 2000 元/月

本节介绍如何配置重保防护的黑白名单规则。 重保防护支持配置全局IP黑白名单，对经过云WAF防护域名的访问源IP进行黑白名单设置，来自黑白名单中的IP地址/IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。 支持添加IPv4、IPv6地址，支持添加IP地址段。 重保防护提供的全局IP黑白名单，检测逻辑优先级高于IP黑白名单检测；内部检测逻辑，白名单高于黑名单。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 重保防护场景”，进入重保防护配置页面。 5. 单击“新建黑白名单”，弹出新建黑白名单规则窗口，配置黑白名单规则参数，参数说明如下。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 生效范围 支持选择“全部防护对象”或“特定防护对象”。 全部防护对象：配置的黑白名单规则对所有已接入的域名生效。 特定防护对象：配置的黑白名单规则仅对所选域名生效，可以选择多个域名。 说明 不支持独享版防护对象和监听器防护对象。 6. 配置完成后，单击“确定”。可以在列表中查看已新建的黑白名单规则。

此章节为您介绍数据库审计购买常见的问题。 每个资源池最多支持购买几个数据库审计实例？ 根据你购买的数据库审计版本而决定。 标准版：3个 高级版：6个 企业版：12个 旗舰版：30个 如何为数据库审计实例续费？ 在数据库审计实例到期前，用户可以通过续费操作继续使用数据库审计。 续费步骤 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待续费的数据库审计实例的“操作”列，选择“更多 > 续订”。 4.在续费页选择续订时长。 5.确认订单无误并阅读《天翼云数据库审计产品服务协议》后，勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 6.在后续操作中完成支付即可正常续费数据库审计。 如何退订数据库审计实例？ 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待退订的数据库审计实例的“操作”列，选择“更多 > 退订”。 4.在弹出的对话框中单击“确定”。 5.在“退订申请”页面中选择退订原因和确认后，单击“退订”，即完成数据库审计实例的退订。

本小节介绍日志审计(原生版)风险处置用户指南。 您可以添加风险通知规则，配置规则后，发生相应的事件日志审计服务可以第一时间通过邮件或短信的形式通知到您。 新增风险通知规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险处置”，进入“风险处置”页面。 3. 单击“新增规则”按钮，在跳转的新增规则页面填写相关参数。 分类 参数 参数说明 基础信息 规则名称 自定义风险规则名称。 基础信息 有效开始时间 选择新建风险规则开始生效的日期。 基础信息 有效结束时间 选择新建风险规则失效的日期。 告警来源 来源 选择风险规则的事件来源，目前仅支持选择“告警”。 告警来源 过滤规则 请您根据业务实际需求填写。 处置方式 发送时间范围 选择发送通知的时间范围。例如：周一17:00:0018:00:00。 处置方式 工单时限 选择工单存在的时间范围，单位为“小时”。 处置方式 通知方式 可选择邮件或短信通知。 处置方式 通知限制 相同告警信息，x分钟内仅发送一次通知。 取值范围：5~10000。 邮件通知模板 邮件标题 自定义标题。 邮件通知模板 通配符 用于添加需要的告警信息到内容描述。 邮件通知模板 内容描述 结合通配符编写通知内容。 邮件通知模板 响应人邮箱地址 多个邮箱使用英文逗号隔开。 短信通知模板 短信模版 下拉选择“告警通知通用模版”。 短信通知模板 模版内容 自动填入模版内容，不可填写。 说明 短信通知告警暂不支持自定义模板。 短信通知模板 响应人手机号 输入手机号，多个手机号用英文逗号隔开。 4. 单击“确认”，完成风险规则配置。

本文介绍了云防火墙（原生版）互联网边界防火墙配置访问控制策略最佳实践。 原理：在互联网到所有云上资产的公网出入路径进行统一访问控制。 默认策略：默认全部放行。 推荐配置步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 >互联网边界规则”。 3. 在互联网边界规则页面，配置互联网入向流量。 放行所有在互联网开放的必要端口，比如http（80）、https（443）服务等。 有限放行运维或高安全风险的端口，比如ssh（22）、mysql（3306）等端口。 默认禁止互联网的高危服务端口，比如smb（445）端口等。 配置Any到Any的默认放行策略，启用状态为开，配合流量日志观察无误后再切换启用状态为关。 4. 验证策略是否满足需求。 在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断，可以结合实际测试结果验证策略是否满足要求。 5. 完善互联网边界访问控制策略。 验证没有误拦截情况后，可以考虑将Any到Any的默认策略的启用状态从开切换到关。 注意 此步骤需要评估风险后再操作。 6. 检查所有业务的可用性。 在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断情况，可以结合实际测试结果验证策略是否满足要求。 7. 配置主动外联访问控制策略（出向规则）。 请参考以下配置逻辑：对主动外联有访问控制需求时，可以在“访问控制 > 互联网边界规则 > 出向规则”处配置。 推荐只放行到特定目的IP的请求。默认拦截其它所有主动外联流量（可以先观察一段时间确认所有外联需求）。

本文介绍pgAdmin如何通过可视化界面对关系数据库PostgreSQL版进行备份恢复。 备份恢复是关系数据库PostgreSQL版的常用功能，作用对象可以是database、schema、table等具有存储意义的对象。pgAdmin可以以可视化界面实现该功能，以下以database的备份恢复为例。 备份 打开数据库Server连接，选择指定的database，右键选择Backup...，弹出备份选项框，如下图所示： 其中各项含义为： General：备份的元数据，包括生成Filename、备份方式、编码方式等，必填项。 Data/Objects：选择备份的数据范围，包括是否只保存数据或是否只保存schema之类，需要用户根据自身需求选择。 Options：其余选项，选择是否选择oid、是否选择DDL操作等，需要用户根据自身需求选择。 点击Backup，后台会开始执行备份，备份文件存在于一开始填写的Filename。执行结果会在结束时于右下角显示。 恢复 pgAdmin的恢复操作与备份操作互为逆操作，操作类似。打开数据库Server连接，选择指定的database，右键选择Restore...，弹出备份选项框。 General：包括恢复文件的格式、文件名等，用于恢复备份生成的文件。 Data/Objects：与备份类似，即是否选择从备份文件中恢复某项数据。 Options：与备份类似，即是否选择恢复操作的某些特定选项，如恢复某语句失败是否继续进行恢复等。 点击Restore，后台会开始从给定文件进行恢复，执行结果会在结束时于右下角显示。

关系数据库MySQL版服务支持设置透明数据加密TDE，在数据落盘时对数据进行加密，从而保证数据的安全性，用户业务对此加密过程无感知。本文介绍关系数据库MySQL版服务如何设置透明数据加密TDE。 注意 仅西南1、华东1、杭州7、华南2II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 注意 开启非默认密钥管理服务将会产生扣费，具体扣费详情可见账单。具体计费信息，请参见计费说明。 如果您退订了数据库实例，记得退订相关的密钥管理服务，否则密钥管理服务会一直进行扣费。 开启TDE的实例，无论恢复到新实例，还是已有实例，表都会解密，可以重新为实例的库表数据进行加密操作（前提已开启TDE）。 主实例开启TDE后，主实例的所有只读实例会跟随开启TDE。 只读实例不支持单独开启TDE。 开启TDE需要用户已开启天翼云KMS服务，请确保已开启天翼云KMS服务。 开启TDE后，若用户首次首个实例开启TDE，会帮用户创建一个用户主密钥，该用户主密钥不可删除，否则会导致TDE不可用，数据丢失！ 开启TDE后，可能会影响内核大版本升级，内核小版本升级，迁移可用区等功能。

当面临死锁问题时，您可使用死锁分析功能，直观的查看且分析数据库发生的死锁问题，从而定位及解决问题，以确保数据库的稳定运行。 注意 仅西南1等II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 关系数据库MySQL版具有死锁检测功能，当多个用户访问同一资源，即两个或多个进程互相等待对方释放资源，导致所有进程无法继续执行。此时其中一进程将被终止，其他进程得以继续执行事务。 死锁分析页面将提供最近的死锁问题详情，可以通过该页面查看发生的多种类型的死锁。死锁详情页面展示了事务执行的时间，死锁涉及的表，事务id，死锁模式，等待锁，持有锁，事务SQL等详细信息，帮助您迅速定位和优化引发死锁的SQL及异常。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击死锁分析，进入死锁分析列表页面。 支持按照时间进行查询。 5. 单击详情，可以查看死锁问题相关细节。

本文主要介绍使用DDoS高防（边缘云版）后出现访问异常如何初步排查。 问题概述 当使用DDoS高防（边缘云版）后出现访问异常如何初步排查是天翼云节点造成的异常还是源站自身异常导致的。 排查步骤 步骤一：确认客户端网络环境是否正常 例如，通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。 可以通过搜索引擎搜索在线诊断工具，来获取方便定位客户端自身信息的工具。如客户端网络环境正常，则继续查看下一步。 步骤二：确认是否为边缘节点异常 通过浏览器F12开发者工具，我们可以轻松得到访问到的节点IP。 得到节点IP后，可提交工单给天翼云客服，确认IP是否属于天翼云。 如果IP不属于天翼云，进一步判断域名解析是否正常：可以通过nslookup（Windows）或者dig（Linux）来验证域名解析是否正常。 如果解析不符合预期情况且您域名的DNS配置无误，那么大概率遭遇DNS劫持。推荐您使用公共的DNS规避此问题。 如果IP归属于天翼云，那么进一步确认源站情况是否正常。

本文将介绍爬虫情报规则，从背景信息、相关配置项、相关操作帮助您更好地理解爬虫情报规则。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 注意 目前控制台尚未开放爬虫情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 边缘云WAF安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本章节介绍缓存容灾策略。 DCS缓存实例都存储着大量关键数据，不论是作为数据库前端缓存，还是作为数据存储引擎，数据的可靠性与服务的连续可用性是DCS服务设计上为客户考虑的核心因素，下图展示了DCS在数据和服务方面的容灾架构设计演进。 DCS灾备架构演进 根据对数据与服务的不同可靠性要求，您可以选择将缓存实例部署在单可用区内（单机房），或者跨可用区（同城灾备）。 实例单可用区高可用 同一机房即单可用区。单可用区灾备策略主要包括进程/服务高可用，数据持久化到磁盘，以及实例节点间热备三种不同层次。 在单可用区内，单机实例通过进程守护的方式确保服务高可用，当DCS监测到缓存实例进程故障，马上拉起一个新的进程继续提供服务。 单可用区内单机实例高可用 主备实例配置了数据持久化，数据持久化到主节点磁盘外，还会增量同步到备节点，同时备节点也会持久化一份数据。因此，主备实例实现了节点热备和持久化文件多个备份。 单可用区内主备实例高可用 集群版实例类似主备实例，每个条带（实例进程）有持久化文件，也都有对应的副本（备进程及其持久化文件。） 单可用区内集群版实例高可用

本节介绍iVPN app的带宽管理。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“调整带宽大小”，进入iVPN app 调整带宽大小管页面； 4.在调整带宽大小页面中，可拖动进度条或填写具体数字设置带宽。

本节介绍iVPN app的带宽管理。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“调整带宽大小”，进入iVPN app 调整带宽大小管页面； 4.在调整带宽大小页面中，可拖动进度条或填写具体数字设置带宽。

本文主要向您介绍VPN连接服务的计费模式、计费项等信息。 计费模式 VPN连接提供按需计费模式，以满足根据业务需求灵活调整资源使用场景下的用户需求。 按需计费是一种后付费模式，即先使用再付费，按照实际使用时长或流量大小计费。 计费项 企业版VPN：计费项由VPN网关费用、VPN连接费用、EIP带宽费用和ER费用（可选）组成。 经典版VPN：公测状态，计费项由网关关联的EIP带宽费用组成。 欠费 在使用VPN时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响VPN资源的正常运行，需要及时充值。 停止计费 当VPN资源不再使用时，可以将他们退订或删除，从而避免继续收费。

本章节介绍网关扩容功能 概述 节点扩容可以满足业务规模增长的需求；云原生网关目前支持高可用版的节点扩容，基础版不支持扩容能力；扩容的大概过程如图所示，集群扩容后，将更新ELB与网关实例的绑定关系，在此过程中，通过ELB作负载均衡来实现无损节点扩容。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 选择需要扩容 的实例 ，点击扩容，跳转扩容订单页； 实例信息部分展示变更前实例原有的基本信息 实例扩容部分为变更后的总节点数 5. 在实例扩容栏目， 选择新节点数 ，提交订单，完成付款； 新节点表示实例扩容完成后集群具有的总节点数 6. 返回微服务引擎MSE控制台，单击左侧导航栏云原生网关 > 网关列表 ； 7. 查看实例当前状态（扩容中） ，此时实例不可进行路由等资源的配置，但不影响已有路由转发； 8. 扩容完成后， 实例状态恢复为正常 ，实例可以正常访问； 9. 查看实例基本信息，实例节点数、连接信息都已经更新完成；

此小节介绍云堡垒机的管理登录手机令牌。 云堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证，用户配置“手机令牌”多因子认证后，需同时输入用户密码和6位手机令牌验证码，才能登录云堡垒机系统。 目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。 内置手机令牌：微信小程序手机令牌； RADIUS手机令牌：APP版手机令牌Google Authenticator和FreeOTP。 需确保系统时间与手机时间一致，精确到秒，否则可能提示绑定失败。 绑定失败后，修改系统时间与手机时间一致，刷新页面重新生成二维码，重新绑定手机令牌。 本小节主要介绍如何绑定和解绑手机令牌。 绑定手机令牌 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面 3. 选择“手机令牌”页签，进入个人手机令牌管理页面。 4. 按照界面提示和实际令牌类型，执行绑定操作。 1. 微信小程序手机令牌：打开手机微信，依次按照操作指导，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 2. APP版手机令牌：打开已安装好的手机令牌APP，扫描页面操作指导步骤2的二维码，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 5. “手机令牌”页签更新为已绑定手机令牌页面

本文介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“云堡垒机”产品。 4. 在云堡垒机监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云堡垒机（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云堡垒机实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](/document/10261769/11086138

步骤2：进行快照备份 自动快照备份 注意 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开通云硬盘备份的存储库。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，然后单击备份策略页签。 5. 单击快照备份策略右侧的编辑图标。 在备份策略中设置保留天数（1180天）、备份周期、备份开始时间和存储库等。 选择已创建的存储库，打开备份配置开关。 注意 备份配置开关是开启自动快照备份的开关，如果关闭，依然可以进行手动的快照备份。 6. 单击确定。 手动快照备份 注意 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开通云硬盘备份的存储库。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页面。 5. 单击左上角的创建备份。 6. 配置如下备份参数，然后单击确定。 备份类型 ：选择快照备份。 备份名称：设置备份文件名称。 描述：设置备份操作描述信息。

本页面主要介绍关系数据库MySQL版内测,邀测功能(Beta)开放的原因、影响和建议。 原因 为了更快地为您提供前沿的数据库能力，并持续提升产品创新速度，天翼云关系数据库MySQL版会将部分新功能以内测或者邀测（Beta）的形式开放体验。这些功能会在控制台清晰标注“内测”、“邀测”标识，您在充分了解规则后，可自行选择是否开启。 内测或者邀测期间，我们会正常收取费用，以覆盖产品研发与底层资源的必要投入。同时，我们也非常期望收到您的真实使用反馈，以便我们打磨功能，推动其尽快成熟转正。 影响 具体影响如下： 计费影响 ：开启或使用内测、邀测功能会产生相应费用，具体计费规则请以控制台展示和计费文档为准。费用会正常出账，请您留意资源用量。 服务等级协议（SLA）影响 ：内测、邀测功能暂处于快速迭代与验证阶段，不会提供任何可用性保证 。凡是由邀测功能引发的不可用、异常等问题，均不计入 您实例的整体可用性计算，也不适用 服务赔偿条款，具体协议说明可参考天翼云关系数据库服务协议。请您放心，实例中非内/邀测的标准功能仍受原有SLA的完整保护。具体的协议可参考天翼云关系数据库服务等级协议。 功能标识与启停：内测、邀测功能入口均带有“内测”、“邀测”标签，帮助您清晰辨识。 具体功能： 快照备份，备份类型转换，后续可能新增其他内侧、邀测功能，以控制台展示为准。

本章节介绍Redis节点内存高负载故障演练。 背景介绍 Redis 性能受节点可用内存限制。当内存异常占用时，Redis 可能触发内存淘汰、拒绝写入，甚至被操作系统终止。本演练模拟高内存占用场景，帮助您验证内存淘汰策略、应用容错能力及监控告警效果。 基本原理 在节点启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 预留资源 ：强烈建议将目标内存占用率设置在90%以下，为操作系统内核和关键系统进程（如SSH服务）预留足够的内存。若内存被完全耗尽，可能导致主机失去响应，需要通过控制台强制重启才能恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。 内存占用率：指定内存负载百分比（取值 0100）。

本文介绍了自定义集群APIServer证书SAN的用户指南。 操作场景 主题备用名称（Subject Alternative Name，缩写SAN）允许将IP地址、域名等值与证书关联。SAN通常用于TLS握手阶段客户端校验服务端证书中的SAN是否与客户端实际访问的IP地址或域名匹配。 当客户端无法直接访问集群内网私有IP地址或公网IP地址，如域名访问、DNAT访问等场景，此时可将能直接访问的IP地址或域名通过SAN的方式签入集群服务端证书，以支持客户端开启双向认证，提高安全性。 此外，跨域访问或代理访问场景可通过自定义SAN实现。域名访问场景的典型使用方式如下： 配置容器组的hostAliases或配置主机/etc/hosts，添加域名映射； 内网DNS使用，云解析服务支持配置集群弹性IP与自定义域名的映射关系； 自建DNS服务器，自行添加A记录。 添加自定义SAN 1. 登录CCE控制台； 2. 在集群列表中单击集群名称，进入集群信息页； 3. 点击“自定义证书SAN”旁的编辑按钮，在弹窗中添加IP地址或域名，然后单击“确认”。 4. 专有版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般3到10分钟后可看到修改后的端口范围，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。 5. 托管版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般耗时3到10分钟，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。

本章节介绍Redis节点内存高负载故障演练。 背景介绍 Redis 性能受节点可用内存限制。当内存异常占用时，Redis 可能触发内存淘汰、拒绝写入，甚至被操作系统终止。本演练模拟高内存占用场景，帮助您验证内存淘汰策略、应用容错能力及监控告警效果。 基本原理 在节点启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 预留资源 ：强烈建议将目标内存占用率设置在90%以下，为操作系统内核和关键系统进程（如SSH服务）预留足够的内存。若内存被完全耗尽，可能导致主机失去响应，需要通过控制台强制重启才能恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。 内存占用率：指定内存负载百分比（取值 0100）。

本文描述云防火墙（原生版）用户身份认证与访问控制介绍 用户身份、角色、策略说明 用户在天翼云注册后自动创建主用户，该用户对其所拥有的资源具有完全的访问权限，拥有重置用户密码、分配用户等权限。若需多人共同使用天翼云资源，为确保账号安全，建议创建子用户来进行日常管理工作。子用户是由拥有IAM权限的用户在用户管理中心创建，创建初期是没有任何权限，需要先创建用户组授予相应的策略并把创建的用户加到用户组，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权分为角色、委托和策略。 角色：权限控制针对所有天翼云用户，IAM需要识别访问者的角色身份并赋予相应的委托权限策略。 委托：包括用户和用户之间的委托等操作用户的资源属于委托的范畴。 策略：是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 云防火墙的身份认证与访问控制 天翼云云防火墙（原生版）已经对接了统一身份认证服务（Identity and Access Management，IAM）服务。通过IAM的权限定义可实现对云资源权限的访问控制。 通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对云资源的访问范围，也可以将用户加入到企业项目中，为用户赋予企业项目的权限。

如果您已完成跨地域备份数据，可以使用备份文件将数据恢复到跨地域备份所在地域或者本地的新实例上。本文介绍关系数据库MySQL版跨地域恢复功能。 注意 仅西南1、华东1、华北2II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 开启跨地域备份且要恢复的备份文件已成功同步至目标地域。 开启透明加密的实例不支持恢复操作。 待恢复资源池新订购的实例规格不能小于原实例。 操作步骤 按备份集恢复 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 单击跨域备份列表页签。 您可以在跨域备份列表中查看备份文件。 6. 找到目标备份文件，单击操作 列的恢复。 7. 在实例恢复 面板中，设置恢复到新实例并选择地域，单击提交。 8. 提交后跳转到订单支付页面，支付后，将会恢复到跨区域备份文件所在的地域，您可以在新地域看到新实例。 说明 开启跨域备份后，如果不想恢复到异地，可以在基础备份列表中选择备份集，恢复到本地资源池。