通过控制台设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 在无状态工作负载或有状态工作负载列表中，单击工作负载名称进入详情页，在“调度策略”页签下，单击 “自定义调度策略”。 步骤 3 在节点亲和性设置中，依据节点中的标签进行业务需求的设置。 须知：节点亲和性调度支持必须满足和尽量满足（硬约束Required/软约束Preferred），以及可以设置相应的匹配关系（In, NotIn, Exists, DoesNotExist, Gt, and Lt）： 必须满足：即硬约束，设置必须要满足的条件，对应于requiredDuringSchedulingIgnoredDuringExecution，您可以添加多条必须满足的规则，多条规则间是一种“或”的关系，即只需要满足一条规则即会进行调度。 尽量满足：即软约束，设置尽量满足的条件，对应于preferredDuringSchedulingIgnoredDuringExecution，您可以添加多条尽量满足的规则，无论是满足其中一条或者是都不满足都会进行调度。另外可以为规则设置权重值，权重值越高会被优先调度。 选择器：对应于matchExpressions，您可以添加多条选择器，多条选择器之间是一种“与”的关系，即需要满足全部选择器才能依据此条规则进行调度。 标签名：对应节点的标签，可以使用默认的标签也可以用户自定义标签。 匹配关系：即操作符，可以设置六种匹配关系（In, NotIn, Exists, DoesNotExist. Gt, and Lt）。In和NotIn操作符可以添加单个值或者多个value值（多值使用；进行划分），Exists和DoesNotExist判断某个label是否存在，不需设置value值。Gt和Lt判断label的值大于或者小于某个值（value值要求整数）。 通过kubectl命令行设置 本节以nginx为例，创建节点的亲和性。 前提条件 已有使用nginx容器的工作负载和节点。 操作步骤 使用内置节点标签kubernetes.io/hostname，并添加相应的节点，同时设置操作符为In，最后单击“确定”提交。 设置后的工作负载节点亲和性所得的yaml如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: kubernetes.io/hostname operator: In values: 192.168.6.174

本章节会介绍MySQL读写分离的功能 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。创建只读实例后，您可以开通读写分离功能，通过RDS的读写分离连接地址，写请求自动访问主实例，读请求按照读权重设置自动访问各个实例。 Proxy负载均衡基于负载的自动调度策略，实现多个只读节点间的负载均衡。 备注：目前支持的局点有华北、广州4、苏州、深圳。 功能限制 注意 由于开启读写分离时，系统会自动删除已有的帐户rdsProxy，然后自动创建新的rdsProxy帐户，关闭读写分离时，系统也会自动删除已有的帐户rdsProxy。因此，建议您不要创建rdsProxy帐户，防止被系统误删除。 开启读写分离功能，需要RDS for MySQL为主备实例，并且主实例规格大于或等于4U8GB。 读写分离地址都是内网地址，只能通过内网连接。 开通读写分离时必须保证至少有一个只读实例，且主实例和只读实例必须处于同一Region。 开启读写分离功能后，删除RDS for MySQL主实例，会同步删除只读实例，并关闭读写分离功能。 开启读写分离功能后，主实例和只读实例均不允许修改数据库端口、安全组和内网地址，建议先修改完端口或内网地址后再启用读写分离。 读写分离功能不支持SSL加密。 读写分离功能不支持压缩协议。 读写分离不支持事务隔离级别READUNCOMMITTED。 如果执行了MultiStatements，当前连接的后续请求会全部路由到主节点，需断开当前连接并重新连接才能恢复读写分离。 使用读写分离的连接地址时，事务请求都会路由到主实例，不保证非事务读的一致性，业务上有读一致性需求可以封装到事务中。 使用读写分离的连接地址时， LASTINSERTID() 函数仅支持在事务中使用。 使用读写分离的连接地址时，show processlist命令的执行结果不具有一致性。 使用读写分离的连接地址时，不支持使用show errors和show warnings命令。 使用读写分离的连接地址时，不支持用户自定义变量，如SET @variable语句。 使用读写分离的连接地址时，如果存储过程(procedure)和函数(function)中依赖了用户变量，即@variable，则运行结果可能不正确。

类别 影响 大Key 造成规格变更失败。 Redis集群变更规格过程中会进行数据rebalance（节点间迁移数据），单个Key过大的时候会触发Redis内核对于单Key的迁移限制，造成数据迁移超时失败，Key越大失败的概率越高，大于512MB的Key可能会触发该问题。 大Key 造成数据迁移失败。 数据迁移过程中，如果一个大Key的元素过多，则会阻塞后续Key的迁移，后续Key的数据会放到迁移机的内存Buffer中，如果阻塞时间太久，则会导致迁移失败。 大Key 容易造成集群分片不均的情况。 各分片内存使用不均。例如某个分片占用内存较高甚至首先使用满，导致该分片Key被逐出，同时也会造成其他分片的资源浪费。 各分片的带宽使用不均。例如某个分片被频繁流控，其他分片则没有这种情况。 大Key 客户端执行命令的时延变大。 对大Key进行的慢操作会导致后续的命令被阻塞，从而导致一系列慢查询。 大Key 导致实例流控。 对大Key高频率的读会使得实例出方向带宽被打满，导致流控，产生大量命令超时或者慢查询，业务受损。 大Key 导致主备倒换。 对大Key执行危险的DEL操作可能会导致主节点长时间阻塞，从而导致主备倒换。 热Key 容易造成集群分片不均的情况。 造成热Key所在的分片有大量业务访问而同时其他的分片压力较低。这样不仅会容易产生单分片性能瓶颈，还会浪费其他分片的计算资源。 热Key 使得CPU冲高。 对热Key的大量操作可能会使得CPU冲高，如果表现在集群单分片中就可以明显地看到热Key所在的分片CPU使用率较高。这样会导致其他请求受到影响，产生慢查询，同时影响整体性能。业务量突增场景下甚至会导致主备切换。 热Key 易造成缓存击穿。 热Key的请求压力过大，超出Redis的承受能力易造成缓存击穿，即大量请求将被直接指向后端的数据库，导致数据库访问量激增甚至宕机，从而影响其他业务。

本节介绍翼加密的创建加密策略的流程，以及相关配置项的说明。 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

本文主要介绍SQL Server实例的计费项、计费方式等信息。 计费项 SQL Server的计费项由数据库版本、实例类型、实例规格、存储空间和备份空间、对象存储流量来决定。其中，数据库版本包括标准版和企业版；实例类型包括单机版和主备版；实例规格包含CPU和内存；存储空间用于存放您的数据；备份空间用于存放您的备份数据；对象存储流量中，公网流出流量和跨区域复制流量按需计费，其他流量如公网流入流量等免费。 计费的公式是根据每个计费项的单价乘以购买时长。了解每种计费项的具体信息、计费公式等，请参考计费项。 计费方式 SQL Server实例的计费方式包括包年包月和按需计费。 注意 备份空间为对象存储类型时，备份空间和对象存储的流量仅支持按需计费。即使实例为包年包月，备份空间和对象存储的流量也是按需计费。 包年包月 ● 预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 ● 计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣。 按需计费 ● 预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 ● 计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。

按需付费产品是否支持更换配置？ 支持更换配置，您创建Redis实例后后，仍可根据您的需求变更规格或类型，可将实例单副本变更为双副本，以满足更高的可靠性、稳定性需求。 注意 变更功能目前白名单开发，请联系技术支持。只有当分布式缓存Redis缓存实例处于“运行中”状态，才能执行此操作。 到期后是否可自行续订? 包年/包月计费模式支持开通时选择到期自动续费，也可开通后用户侧主动发起续订申请。详细操作请参考费用中心续订管理自动续订。 注意 为避免由于未及时对资源采取续订操作，资源被到期冻结或超期释放，客户购买包月包年产品后，可设置开通自动续订。开通自动续订后，系统将在资源到期前自动续订，无需客户再手动操作。 计费模式是否支持变更？ 支持计费模式变更，具体请参考按需与包周期互转 说明 计费模式为按需计费的用户，可以对实例进行“转包周期”操作，变更实例计费模式为包年/包月。 计费模式为包年/包月计费的用户，可以对实例进行“转按需”，包年/包月到期后变更实例计费模式为按需计费。 实例类型可选择哪些？ 可选单机、主备、集群单机、集群主备实例类型，具体请参考实例类型 目前支持的实例规格包括标准版单机、标准版主备、集群版单机、集群版主备，可根据业务场景选用不同规格的实例。通过自研的aof+rdb持久化机制，所有产品系列都支持数据持久化，满足高性能的同时兼顾数据可靠。

核心功能 功能说明 专业版 企业版 服务查询 支持查看应用下服务的提供者、消费者和接口元数据等信息。 √ √ 微服务可观测 支持查看最近5分钟的监控数据。 √ √ 金丝雀发布 支持在应用发布时，可以为新版本的应用打上gray的标签，通过按流量比例路由或按内容路由的方式，将灰度流量引入带有gray标签的应用中，从而达到小规模验证的目的。 √ √ 标签路由 支持将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转。 √ √ 无损上下线 无损上线：支持在服务上线时，提供服务预热、延迟注册服务的能力解决流量损失问题。 无损下线：保证应用在下线、重启时流量零损耗。 √ √ 错误注入 支持模拟微服务间异常调用。 √ √ 离群实例摘除 支持监测下游实例的可用性，并摘除异常实例。 √ √ 推空保护 支持当注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。 √ √ 服务鉴权 支持为提供者的服务设置鉴权规则，允许或拒绝某个消费者访问服务。 √ √ 服务测试 支持在控制台填写调用参数、发起服务调用，并得到服务调用的结果。 √ √ 自动化回归 支持通过用例管理和用例集管理能力实现功能快速回归。 √ √ 服务Mock 支持模拟真实后端服务。 √ √ 事件中心 支持通过事件类型和事件来源维度查询事件记录，感知微服务治理事件。 √ √ 操作日志 支持记录关键治理中心操作日志。 √ √ 流量防护 支持以流量为切入口，对请求流量进行流量控制、熔断降级和系统保护等操作。 × √ 网关防护 支持针对SpringCloud Gateway和Zuul应用实现流量控制。 × √ 全链路灰度 支持将多个相同版本的应用划分为同一个泳道，通过全链路流量控制的功能将相同版本的应用隔离成一个独立的运行环境（泳道）。 × √ 功能开关 提供了一个轻量级的动态配置框架，可以在项目中快速接入配置，并在控制台实时管理配置项。 × √ 数据库治理 支持SQL监控统计、SQL流量防护、连接池治理、数据库灰度、数据库读写路由等功能。 × √ 全局鉴权 支持通过创建鉴权规则，实现多个微服务之间通信的身份验证。 × √

关系建模 关系建模是用实体关系（EntityRelationship，ER）模型描述企业业务，它在范式理论上符合3NF，出发点是整合数据，将各个系统中的数据以整个企业角度按主题进行相似性组合和合并，并进行一致性处理，为数据分析决策服务，但是并不能直接用于分析决策。 用户在关系建模过程中，可以从以下三个层次去设计关系模型，这三个层次是逐层递进的，先设计概念模型，再进一步细化设计出逻辑模型，最后设计物理模型。 概念模型 ：是从用户的视角，主要从业务流程、活动中涉及的主要业务数据出发，抽象出关键的业务实体，并描述这些实体间的关系。 逻辑模型 ：是概念模型的进一步细化，通过实体、属性和关系勾勒出企业的业务信息蓝图，是IT和业务人员沟通的桥梁。逻辑数据模型是一组规范化的逻辑表结构，逻辑数据模型是根据业务规则确定的，关于业务对象、业务对象的数据项及业务对象之间关系的基本蓝图。 物理模型 ：是在逻辑数据模型的基础上，考虑各种具体的技术实现因素，进行数据库体系结构设计，真正实现数据在数据库中的存放，例如：所选的数据仓库是DWS或MRSHive。 维度建模 维度建模是从分析决策的需求出发构建模型，它主要是为分析需求服务，因此它重点关注用户如何更快速地完成需求分析，同时具有较好的大规模复杂查询的响应性能。 多维模型是由数字型度量值组成的一张事实表连接到一组包含描述属性的多张维度表，事实表与维度表通过主/外键实现关联。 典型的维度模型有星形模型，以及在一些特殊场景下使用的雪花模型。 在DataArts Studio数据架构中，维度建模是以维度建模理论为基础，构建总线矩阵、抽象出事实和维度，构建维度模型和事实模型，同时对报表需求进行抽象整理出相关指标体系，构建出汇总模型。 数据架构总览 在DataArts Studio控制台首页，选择对应工作空间的“数据架构”模块，进入数据架构页面，查看“总览”，详见下图：数据架构总览。

本章主要介绍翼MapReduce的恢复NameNode数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对NameNode进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对NameNode进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复NameNode任务并恢复数据。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的NameNode数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 恢复数据后需要重启NameNode，重启完成前NameNode不可访问。 恢复数据后可能导致元数据与业务数据无法匹配，HDFS进入安全模式且HDFS服务启动失败。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 登录FusionInsight Manager，请参见登录管理系统。 在FusionInsight Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件保存路径是否保存在主管理节点“ 数据存放路径 /LocalBackup/”。

参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 限速 自定义的最大迁移速度，迁移过程中的迁移速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制迁移速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为全天限流，您也可以根据业务需求自定义时段限流。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 不限速 对迁移速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则迁移对源数据库将造成80MB/s的读操作IO消耗。 说明 限速模式只对全量迁移阶段生效，增量迁移阶段不生效。 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”。 是 当您选择迁移用户时，请参见 迁移用户章节进行数据库用户、权限及密码的处理。 否 迁移过程中，将不进行数据库用户、权限和密码的迁移。 过滤DROP DATABASE 实时迁移过程中，为了降低迁移数据的风险，数据复制服务提供了过滤删除数据库操作的功能。 是，表示实时迁移过程中不会迁移用户在源数据库端执行的删除数据库的操作。 否，则表示实时迁移过程中将相关操作迁移到目标库。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角 ，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。

本节主要介绍创建OBS自建桶备份迁移任务 支持的源和目标数据库 表 支持的数据库 备份文件版本 目标数据库版本 本地及其他云Microsoft SQL Server数据库备份文件版本： Microsoft SQL Server 2000 Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2012 Microsoft SQL Server 2014 Microsoft SQL Server 2016 Microsoft SQL Server 2017 RDS for Microsoft SQL Server Microsoft SQL Server 2008 Microsoft SQL Server 2012 Microsoft SQL Server 2014 Microsoft SQL Server 2016 Microsoft SQL Server 2017 前提条件 已登录数据复制服务控制台。 满足备份迁移支持的数据库类型和版本，详情请参见 备份迁移。 使用须知 介绍Microsoft SQL Server数据库备份迁移使用上的限制。 表 使用须知 类型名称 使用和操作限制 数据库权限设置 在创建备份迁移任务前，请确定操作账号具有相应的OBS服务权限和桶权限。 待还原数据库名称要求 待还原数据库名不能重复，且不能为以下名称（不区分大小写）： msdb master model tempdb rdsadmin resource OBS自建桶的待还原数据库名称长度为1~256个字节，组成为中文、字母、数字、下划线、中划线。 数据库新名称要求 数据库新名称不能重复，且不能为以下名称（不区分大小写）： msdb master model tempdb rdsadmin resource 数据库新名称长度为1~128个字节，组成为字母、数字、下划线、中划线。 本地备份文件限制 备份文件上传OBS的后缀名必须为“.bak”，否则在OBS备份文件列表中无法选中非“.bak”后缀的文件。 备份文件名称长度为：1~100个字符长度。 备份文件名称组成为：字母，数字，下划线，中划线。 备份文件可支持全量备份文件和日志备份文件。 数据库备份文件的来源 OBS自建桶：上传至OBS自建桶目录下的数据库备份文件。 操作须知 OBS桶所在区域必须跟实例所在区域相同。 目标数据库的可用磁盘空间大小至少为待还原数据库总数据量大小的1.5倍。 待还原数据库名称，必须跟备份文件中数据库名称一致（区分大小写）。 不支持高版本的数据库备份文件在低版本实例数据库上进行还原（例如从2017版本>2016版本的还原）。 企业版>标准版>Web版的还原存在一定失败的风险（取决于是否开启高版本的特性）。 迁移过程中，实例显示处于迁移状态，当前正在迁移的目标数据库默认取消高可用状态（如果是覆盖还原），迁移完成后自动恢复高可用状态。 迁移过程中正在还原的数据库请停止写入事务。 当RDS实例异常引发目标数据库发生主备切换时，会导致备份迁移失败，该情况下的迁移任务不可恢复。

本节介绍翼加密的加密策略管理的流程，以及相关配置项的说明。 创建加密策略 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

本节介绍开通翼甲卫士的操作说明。 操作步骤： 1.登录AI云电脑（政企版）控制台，点击“协同套件”菜单栏，找到翼甲卫士点击开通。 2.根据用户实际需求，选择开通翼甲卫士所需的资源进行开通。 防护的VPC/带宽：每台翼甲只能绑定一个VPC，支持对同一VPC下的多个带宽进行防护。 上网行为管理：支持对用户访问网站的行为进行管控审计。 费用扣减：目前翼甲卫士仅支持资源包方式订购。 扣费结构为：翼甲卫士费用主机费用（必须）+防火墙日志存储费用（可选）+短信告警服务费用（可选）。其它部分自费信息参照下表： 性能项目 性能指标 价格 备注 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 750元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 1400元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 防火墙日志存储 高IO 8元/100GB/月 短信告警服务 / 0.2元/条

名称 描述 所属队列 默认选择“共享队列”，可以按需选择自定义的队列。 应用程序 用户自定义的程序包。在选择程序包之前需要将对应的Jar包上传至OBS桶中，并在“数据管理>程序包管理”中创建程序包，具体操作请参考 主类 指定加载的Jar包类名，如KafkaMessageStreaming。 默认：根据Jar包文件的Manifest文件指定。 指定：必须输入“类名”并确定类参数列表（参数间用空格分隔）。 说明 当类属于某个包时，主类路径需要包含完整包路径，例如：packagePath.KafkaMessageStreaming 参数 指定类的参数列表，参数之间使用空格分隔。 Flink参数支持全局变量替换。例如，在“全局配置”>“全局变量”中新增全局变量windowsize，Flink Jar作业就可以添加参数windowsSize {{windowsize}}。 依赖jar包 用户自定义的依赖程序包。依赖的相关程序包将会被放置到集群classpath下。 在选择程序包之前需要将对应的Jar包上传至OBS桶中，并在“数据管理>程序包管理”中创建程序包，包类型选择“jar”。具体操作请参考 其他依赖文件 用户自定义的依赖文件。其他依赖文件需要自行在代码中引用。 在选择依赖文件之前需要将对应的文件上传至OBS桶中，并在“数据管理>程序包管理”中创建程序包，包类型没有限制。具体操作请参考 ClassName.class.getClassLoader().getResource("userData/fileName") Flink版本 选择Flink版本前，需要先选择所属的队列。 优化参数 用户自定义的优化参数。参数格式为keyvalue。 Flink优化参数支持全局变量替换。例如，在“全局配置”>“全局变量”中新增全局变量phase，Flink Jar作业就可以添加优化参数table.optimizer.aggphase.strategy{{phase}}。

本文介绍当源站响应302时，CDN针对不同场景可采用的相关处理手段来保障用户体验。 源站响应302时，可能有如下两种场景，分别对应不同解决方案： 场景一： 客户网站使用CDN加速后，用户的请求会经由CDN节点回源，此时如果源站基于用户的某些属性做了不同的跳转处理，例如针对PC端大屏用户返回页面A，针对手机端用户302跳转至页面B，此时如果CDN节点缓存了源站的302跳转页面，可能会导致PC端大屏用户访问到CDN节点时，也302跳转至页面B，与客户预期不匹配。 解决方案：如客户未在CDN加速控制台配置302缓存规则，则CDN节点一般遵循源站的缓存相关头部执行缓存策略。针对上述情况，可在源站增加不缓存头的方式（不缓存头包括CacheControl：nocache/private/nostore；Pragma：nocache），实现302响应在CDN节点不缓存；同时在CDN加速控制台上配置302跳转后的页面在CDN节点缓存。通过如上方式来确保客户源站对不同用户的302跳转策略生效的同时，仍能充分利用CDN的缓存特性，提升用户体验和感知。 场景二： 1. 部分客户源站做了请求粒度的负载均衡，即对不同CDN回源请求可能会302跳转至不同的源站地址。如果CDN直接把源站302跳转地址透传给用户，则用户会访问到客户源站，非客户预期。 2. 部分客户源站对CDN节点请求返回302，只是因为该文件内容转移到相同域名另外的地址，如果CDN直接把源站302地址透传给用户，则会增加用户与CDN节点间的302交互次数，增加用户获取内容的时延，影响用户体验。 解决方案：如要避免上述问题，可以配置回源302/301跟随功能。功能开启后，CDN节点会代替用户去处理源站给出的302/301状态码内容，即CDN节点会直接到源站302/301响应中的Location地址请求资源并缓存，同时将其返回给用户。回源302/301跟随功能的具体介绍及配置说明，详情请见：回源302/301跟随。

本章主要介绍翼MapReduce的更新omm用户ssh密钥功能。 操作场景 在安装集群时，系统将自动为omm用户生成ssh认证私钥和公钥，用来建立节点间的互信。在集群安装成功后，如果原始私钥不慎意外泄露或者需要使用新的密钥时，系统管理员可以通过以下操作手动更改密钥值。 前提条件 已停止集群。 修改时禁止同时进行其他管理类操作。 操作步骤 1.以omm用户登录到需要替换ssh密钥的节点。 如果该节点是Manager管理节点，务必在主管理节点上执行相关操作。 2.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 3.执行以下命令，为节点生成新的密钥： 如果当前节点是Manager管理节点，执行以下命令： sh ${CONTROLLERHOME}/sbin/updatesshkey.sh 如果当前节点是非管理节点，执行以下命令： sh ${NODEAGENTHOME}/bin/updatesshkey.sh 执行上述命令时界面提示“Succeed to update ssh private key.”信息，表示ssh密钥生成成功。 4.执行以下命令将该节点的公钥拷贝到主管理节点： scp ${HOME}/.ssh/idrsa.pub omsip:${HOME}/.ssh/idrsa.pubbak omsip：表示主管理节点IP。 根据提示输入omm用户密码完成文件拷贝。 5.以omm用户登录到主管理节点。 6.执行以下命令，防止超时退出： TMOUT0 7.执行以下命令，切换目录： cd ${HOME}/.ssh 8.执行以下命令添加新的公钥信息： cat idrsa.pubbak >> authorizedkeys 9.执行以下命令移动临时公钥文件到其他目录，例如，移动到“/tmp”目录。 mv f idrsa.pubbak /tmp 10.拷贝主管理节点的authorizedkeys文件到集群内其他节点： scp authorizedkeys nodeip:/${HOME}/.ssh/authorizedkeys nodeip：集群内其他节点IP，不支持多个IP。 11.执行以下命令无需输入密码确认私钥替换完成： ssh nodeip nodeip：集群内其他节点IP，不支持多个IP。 12.登录FusionInsight Manager，在“主页”中单击待操作集群名称后的“ > 启动”，启动集群。

本章主要介绍翼MapReduce的备份Hive业务数据功能。 操作场景 为了确保Hive日常用户的业务数据安全，或者系统管理员需要对Hive进行重大操作（如升级或迁移等），需要对Hive数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份Hive任务。支持创建任务自动或手动备份数据。 Hive备份恢复功能不支持识别用户的Hive表、索引、视图等对象在业务和结构上存在的关联关系。用户在执行备份恢复任务时，需要根据业务场景管理统一的恢复点，防止影响业务正常运行。 Hive备份恢复功能不支持Hive on RDB数据表，需要在外部数据库中单独备份恢复原始数据表。 已创建的Hive备份任务且包含Hive on HBase表，如果本次备份任务在备集群的备份数据丢失，当下次执行增量备份时备份任务将失败，需要重新创建Hive的备份任务。若下次执行全量则备份正常。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以“hdfs”用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。

本节主要介绍项目 每个区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以区域默认单位为项目进行授权，IAM用户可以访问您帐号中该区域的所有资源。 基于项目给用户组授权 以项目为单位进行授权，使得IAM用户仅能访问特定项目中的资源。 步骤 1 在用户组列表中，单击用户组右侧的“授权”，进入授权页面。 步骤 2 在授权页面中，勾选需要授予用户组的区域级项目权限，并单击“下一步”。 步骤 3 选择作用范围。此处选择区域项目，则还需要选择待授权的项目。 步骤 4 单击“确定”，完成授权。 说明 更多有关用户组授权的内容，请参见“创建用户组并授权”。 切换项目或区域 登录后需要先切换区域或项目，才能访问并使用授权的云服务，否则系统将提示没有权限。全局区域服务无需切换。 步骤 1 登录控制台。 步骤 2 进入具体的云服务页面，若云服务为项目级服务，则单击页面顶部区域下拉框，切换区域。

吊销SSL证书后，若需要再使用证书，可以重新申请证书。 约束限制 证书状态为“已吊销”，且吊销时间距签发时间满足如下要求，支持重新申请证书。 GlobalSign证书：吊销时间距签发时间5天内，支持重新申请。 标准版、SecureSite、GeoTrust、CFCA证书：吊销时间距签发时间28天内，支持重新申请。 注意事项 吊销后重新申请的证书不支持进行二次吊销及退订。 操作步骤 1. 选择待重新申请的证书，选择“操作”列的“更多 > 重新申请”。 2. 在右侧弹出的证书申请窗口中配置相关信息，参数说明请参见申请SSL证书。

本文对云搜索服务的节点选型方案进行描述，帮助您判断云搜索服务购买时不同场景的型号选择方案。 天翼云云搜索服务，支持根据业务需求，灵活选择合适的实例配置。我们根据天翼云搜索团队丰富的实际业务经验，在此提供一些搜索引擎常见使用场景下，配置选择的建议。您可以根据业务的读写请求、数据存算和搜索与分析等需求进行参考。当然，也需要您根据业务的实际使用情况逐步去探索。 实例版本： 我们同时提供Elasticsearch和OpenSearch两种选择。 天翼云基于Elasticsearch7.10.2，默认搭配同版本的Kibana使用，并在开源版本做了大量的能力增强，包括压缩算法、中文分词、SQL兼容、异步搜索、向量检索、跨实例复制、索引管理、拼音分词、简繁体转换、HDFS存储等，并进行了安全漏洞修复、BUG修复、性能优化等。 天翼云OpenSearch基于OpenSearch2.19.1版本打造，默认搭配同版本OpenSearch Dashboards使用。在开源版本的基础上也做了大量的能力增强和优化，包括中文分词优化、流量控制、监控告警、对象存储适配、拼音分词、简繁体转换等。 规划实例可用区 天翼云云搜索服务支持多可用区部署，多可用区部署可以在某个可用区全部不可用的情况下，保证实例的主节点可正常选举，从而为防止数据丢失，并确保在服务中断情况下能降低实例的停机时间，最终能增强实例的健壮性和高可用性。 Elasticsearch/OpenSearch 实例中，主节点（Master Node）负责管理集群元数据（如索引分片分配、节点状态等）。主节点通过选举产生，遵循过半原则（Quorum），即候选节点需要获得超过半数的投票才能成为主节点。 奇数节点原则：若主节点部署在 3 个可用区（AZ），每个可用区部署 1 个主节点，则总数为奇数。当单个可用区故障时，剩余两个可用区的节点仍可形成多数票（2/3 > 50%），确保选举出新的主节点。 ​​避免脑裂：跨可用区部署主节点时，若网络分区导致节点间通信中断，奇数节点设计能确保只有一个子集群满足过半条件，避免多个主节点同时存在的脑裂问题。 天翼云云搜索服务支持单AZ部署和多AZ部署，如果用户需要某个AZ不可用时，实例仍然可以提供服务，那就需要多AZ部署。 在跨三个AZ部署中，为了保证其中任意一个AZ不可用时，剩余的AZ可以继续提供服务，因此索引的副本数至少要为1个。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

解决办法 原因一： 用户获取主机资源“剪切板”权限，分别需要开启主机“剪切板”功能和授权用户“剪切板”使用权限。 原因二： 重载或重启Windows主机中rdpclip.exe剪切板程序。 无法拷贝超长文本到Windows主机 问题现象 从用户本地拷贝文本到Windows主机资源，提示“粘贴文本超长，建议使用文件管理功能”。 可能原因 云堡垒机“复制/粘贴” 有字符数限制，不支持从用户本地 “复制/粘贴”超过8万字符的文本。 解决办法 1. 用户获取主机资源“文件管理” 权限，分别需要开启主机 “文件管理” 功能和授权用户 “文件管理”权限。 1. 主机资源开启“文件管理”功能。 2. 授权用户“文件管理”权限。 2. 用户将文本先复制到文本文件中，再将文件从本地上传到“主机网盘”。打开Windows主机的G盘目录，获取文件中超长文本内容。 资源运维过程有哪些常见报错？ 通过云堡垒机登录资源，运维过程系统发出请求后，若遇到错误，会在响应中包含响应的错误码，以及描述错误信息。 CBH系统的常见错误码，以及错误排查方法如下表所示。 错误码 错误提示 排查方法 ::: ERRORCLIENT514 文件传输响应时间过长，请重试或联系系统管理员 1. 检查CBH系统与FTP服务的网络，是否存在传输丢包现象； 2. 本地登录FTP服务器，检查是否能正常上传文件； 3. 检查本地网络，是否限制上传文件的大小； 4. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT515 运维资源过程中遇到一个错误，请重试或联系系统管理员 1. 尝试本地登录故障主机资源，或者登录同网段的其他资源进行测试； 2. 检查主机/etc/hosts.deny文件配置，是否将CBH系统IP加入了黑名单，详细解决办法请参见Code：C515错误； 3. 检查CBH系统与故障主机的网络层，是否有服务协议拦截CBH系统IP； 4. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT519 由于资源连接失败或不可达，当前无法访问。如果持续出现该问题，请通知系统管理员或检查系统日志 1. 检查CBH系统与主机资源的网络是否互通； 2. 本地登录主机资源，输入命令route n，检查目标主机的路由表，是否存在丢失CBH路由现象； 3. 请填写工单反馈问题现象，联系技术支持。 详细解决办法请参见Code：C519错误。 ERRORCLIENT520 由于RDP拒绝了此次连接或等待数据出错，资源无法访问。如果持续出现该问题，请通知系统管理员或检查系统日志 1. 检查Windows主机资源的远程配置，是否开启远程桌面； 2. 本地MSTSC方式登录主机资源，检查是否可以正常登录； 3. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT521 由于其他用户登录导致连接发生冲突，请稍后重试 1. 本地登录Windows主机资源，输入命令gpedit.msc，设置“限制链接的数量”，修改已启用的最大链接数；或关闭“限制每个用户只能进行一个会话”选项。 2. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT522 由于RDP闲置时间超时，连接已断开，如果不是本人意愿，请通知系统管理员或检查系统设置 1. 本地登录Windows主机资源，输入命令gpedit.msc，修改“为断开的会话设置时间”选项； 2. 本地MSTSC方式登录主机资源，检查是否出现RDP超时错误； 3. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT523 由于连接被管理员断开、账户被注销或登录资源时长达到上限，连接已断开，如果不是本人意愿，请通知系统管理员或检查系统日志 1. 检查RDP连接是否被管理员强制断开； 2. 检查系统用户是否被服务器管理员注销； 3. 检查系统用户登录时长是否超过限制。 ERRORCLIENT769 登录失败，有可能是账户名、密码或密钥错误，请尝试重新连接 1. 本地登录故障主机资源，检查资源账户和密码是否正确； 2. 检查主机资源是否开启双因子认证； 3. 检查主机资源是否拒绝root账户登录； 4. 请填写工单反馈问题现象，联系技术支持。 详细解决办法请参见Code：C769错误。 ERRORCLIENT771 请联系管理员授予从账户访问权限，或检查您的系统设置 检查主机资源是否开启目标账户远程登录权限。 ERRORCLIENT776 由于浏览器长时间无响应，连接已断开，请检查您的网络并重试 检查本地浏览器运行状态，推荐使用Chrome浏览器。 ERRORCLIENT797 连接数超过使用限制，请关闭一个或多个连接后重试 本地登录Windows主机资源，输入命令gpedit.msc，设置“限制链接的数量”，修改已启用的最大链接数。 ERRORTUNNEL514 由于服务器长时间无响应，连接已断开，请检查您的网络并重试 1. 检查CBH系统与主机资源间网络是否稳定； 2. 检查CBH系统与主机资源的网络是否互通； 3. 请填写工单反馈问题现象，联系技术支持。 详细解决办法请参见Code：T514错误。 ERRORTUNNEL520 由于H5服务器H5代理服务器拒绝了此次连接，请检查您的网络并重试 1. 检查主机资源IP地址或端口等配置是否正确； 2. 检查主机资源是否开启guacd服务； 3. 检查主机资源guacd服务是否接受CBH系统IP的连接； 4. 请填写工单反馈问题现象，联系技术支持。

级别 最小磁盘 容错能力 可用容量 适用场景 RAID0 2 无 100% 临时数据/高速缓存 RAID1 2 单磁盘故障 50% 系统盘/关键服务 RAID5 3 单磁盘故障 (N1)/N 文件服务器 RAID6 4 双磁盘故障 (N2)/N 大容量存储 RAID10 4 镜像组内故障 50% 高负载数据库

参数 是否必选 说明 作业类型 是 选择“Flink自定义作业”。 jar包路径 是 用户自定义的程序包。在选择程序包之前，您需要将对应的jar包上传至OBS桶中，并在“资源管理”页面中新建资源，具体操作请参考 入口类 是 指定加载的Jar包类名，如KafkaMessageStreaming。 默认：根据Jar包文件的Manifest文件指定。 指定：需要输入类名并确定类参数列表（参数间用空格分隔）。 说明 当类属于某个包时，需携带包路径，例如：packagePath.KafkaMessageStreaming。 入口参数 是 指定类的参数列表，参数之间使用空格分隔。 DLI队列 是 默认选择“共享队列”，用户也可以选择自定义的独享队列。 说明 当子用户在创建作业时，子用户只能选择已经被分配的队列。 作业特性 否 选择自定义镜像和对应版本。仅当DLI队列为容器化队列类型时，出现本参数。自定义镜像是DLI的特性。用户可以依赖DLI提供的Spark或者Flink基础镜像，使用Dockerfile将作业运行需要的依赖（文件、jar包或者软件）打包到镜像中，生成自己的自定义镜像，然后将镜像发布到SWR（容器镜像服务）中，最后在此选择自己生成的镜像，运行作业。自定义镜像可以改变Spark作业和Flink作业的容器运行环境。用户可以将一些私有能力内置到自定义镜像中，从而增强作业的功能、性能。 CUs 是 一个CU是1核4G的资源配置。 管理节点CU数量 是 设置管理单元的CU数，支持设置1~4个CU数，默认值为1个CU。 并发数 是 并发数是指同时运行Flink SQL作业的任务数。 说明 并发数不能大于计算单元（CUs1）的4倍。 异常自动启动 否 设置是否启动异常自动重启功能，当作业异常时将自动重启并恢复作业。 作业名称 是 填写DLI Flink作业的名称，只能包含英文字母、数字、“”，且长度为1~64个字符。默认与节点的名称一致。 作业名称添加工作空间前缀 否 设置是否为创建的作业添加工作空间前缀。 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。

本文主要介绍如何配置分布式消息服务RabbitMQ必须的监控告警。 本章节主要介绍部分监控指标的告警策略，以及配置操作。在实际业务中，建议按照表1告警策略，配置监控指标的告警规则。 表1 RabbitMQ实例配置告警的指标 指标名称 告警策略 指标说明 解决方案 内存高水位状态 告警阈值：原始值>1 连续触发次数：1 告警级别：致命 告警阈值为1表示触发内存高水位，会阻塞消息生产 加快消费 采用生产者确认的发送模式，并监控生产端消息生产速度和时长，当消息生产时长有明显增加时进行流控措施 磁盘高水位状态 告警阈值：原始值>1 连续触发次数：1 告警级别：致命 告警阈值为1表示触发磁盘高水位，会阻塞消息生产 减少惰性队列的消息堆积 减少持久化队列的消息堆积 删除队列 内存使用率 告警阈值：原始值>业务预期使用率（推荐30%） 连续触发次数：连续3~5个周期 告警级别：重要 该指标需要分别为每个节点设置内存使用率告警，避免触发内存高水位阻塞生产 加快消费 采用生产者确认的发送模式，并监控生产端消息生产速度和时长，当消息生产时长有明显增加时进行流控措施 CPU使用率 告警阈值：原始值>业务预期使用率（推荐70%） 连续触发次数：连续3~5个周期 告警级别：重要 该指标需要分别为每个节点设置CPU使用率告警，CPU使用率过高可能会影响生产速度 减少镜像队列个数 对于集群实例，建议扩容节点个数，然后进行节点间重平衡 可消费消息数 告警阈值：原始值>业务预期可消费消息数 连续触发次数：1 告警级别：重要 可消费消息数过多表示消息堆积 请参考消息堆积的解决办法 未确认消息数 告警阈值：原始值>业务预期未确认消息数 连续触发次数：1 告警级别：重要 未确认消息数过多可能会导致消息堆积 检查消费者是否异常 检查消费者逻辑是否消耗时间过长 连接数 告警阈值：原始值>业务预期连接数 连续触发次数：1 告警级别：重要 连接数突增可能是流量变大的预警 需检查业务是否正常，可参考其他告警 通道数 告警阈值：原始值>业务预期通道数 连续触发次数：1 告警级别：重要 通道数突增可能是流量变大的预警 需检查业务是否正常，可参考其他告警 Erlang进程数 告警阈值：原始值>业务预期进程数 连续触发次数：1 告警级别：重要 进程数突增可能是流量变大的预警 需检查业务是否正常，可参考其他告警

本页为使用数据传输服务DTS进行PostgreSQL实例间数据双向同步的详细介绍,包括双向同步支持的源库、目标库,支持的同步的SQL操作,数据库账号权限说明,源库、目标库要求,操作须知,冲突检测,操作步骤等。 支持的源和目标数据库 源数据库 目标数据库 RDS for PostgreSQL 自建PostgreSQL 9.6/10/11/12/13/14/15/16/17 RDS for PostgreSQL 自建PostgreSQL 9.6/10/11/12/13/14/15/16/17 说明 自建PostgreSQL/RDS PostgreSQL数据库版本为9.6/10/11/12/13/14/15/16/17，且源数据库和目标数据库的大版本需保持一致。 支持同步的SQL操作 DML INSERT、UPDATE、DELETE。 DDL 增量同步的DDL操作仅支持CREATE TABLE、ALTER TABLE、DROP TABLE、CREATE SEQUENCE、ALTER SEQUENCE、DROP SEQUENCE、CREATE VIEW、ALTER VIEW、DROP VIEW、CREATE INDEX、ALTER INDEX、DROP INDEX。 注意 暂不支持 CREATE TABLE 表名 AS SELECT 语句。 RENAME表名之后，向更改名称后的表插入新的数据时，DTS不会同步新的数据到目标库，因可能会导致任务中断异常或数据不一致。 暂不支持以注释开头的DDL语句的同步。 仅正向同步（源库同步至目标库）支持DDL，反向同步（目标库同步至源库）不支持同步DDL，将自动过滤DDL操作。 数据库账号及权限 数据库 所需权限 参考赋权语句 源库 正向同步（源库同步至目标库）所需权限： 模式的USAGE权限制。 待迁移对象的SELECT权限包含增量时，需具备SUPERUSER权限。 反向同步（目标库同步至源库）所需权限： schema的创建权限。 正向同步（源库同步至目标库）参考赋权语句： 授予username用户schemaname模式的usage权限： GRANT USAGE ON SCHEMA schemaname TO username； 授予username用户objectname对象的select权限： GRANT SELECT ON objectname TO username； 授予username用户超级权限： ALTER USER username WITH SUPERUSER; 反向同步（目标库同步至源库）参考赋权语句： 授予用户username在数据库databasename下的schema创建权限： GRANT CREATE ON DATABASE databasename TO username; 目标库 正向同步（源库同步至目标库）所需权限： schema的创建权限。 反向同步（目标库同步至源库）所需权限： 模式的USAGE权限。 待迁移对象的SELECT权限包含增量时，需具备SUPERUSER权限。 正向同步（源库同步至目标库）参考赋权语句： 授予用户username在数据库databasename下的schema创建权限： GRANT CREATE ON DATABASE databasename TO username; 反向同步（目标库同步至源库）参考赋权语句： 授予username用户schemaname模式的usage权限： GRANT USAGE ON SCHEMA schemaname TO username； 授予username用户objectname对象的select权限： GRANT SELECT ON objectname TO username； 授予username用户超级权限： ALTER USER username WITH SUPERUSER;

本文介绍天翼云AOne会议其他相关问题。 AOne会议目前支持最多多少人同时参会？ AOne会议提供免费版、标准版、旗舰版 三种套餐，单会议室分别支持最多10人、100人、300人同时参会。如需更高并发容量 ，可额外订购大型会议室服务，支持扩展至500人、1000人、2000人 ，适用于员工大会、线上发布会等大规模会议场景。若有超大规模需求（2000人以上），建议开通直播观看时长服务，将会议以直播形式分享给观众观看。 AOne会议如何更新到最新版本？ AOne会议更新版本方式如下： 通过官网。进入 “关于”，单击“检查更新”，已是最新版本会提示当前是最新版，非最新版可以下载安装。

本节介绍了数据库复制的相关内容。 操作场景 使用存储过程，备份某个数据库，并恢复成一个新的数据库。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 执行此存储过程的必须是拥有[CREATE ANY DATABASE]权限的用户。如果不具备此权限的用户尝试执行该存储过程，系统将会如下提示： plaintext Database restores can only be performed by database logins with [CREATE ANY DATABASE] permissions. 对自定义数据库进行备份，执行账户必须是该数据库的“dbowner”或“dbbackupoperator”角色组成员。如不具备相应权限的用户对数据库进行备份，系统将会有如下提示： plaintext Database backups can only be performed by members of dbowner or dbbackupoperator roles in the source database 约束 对于系统库，不可通过此存储过程进行复制操作。如果您试图复制系统库，系统将会如下提示： plaintext Error DBNameSource or DBNameTarget. Please can not include in ('msdb','master','model','tempdb','rdsadmin','resource') . 对于需要恢复的目标数据库，必须是不存在的，且不与源数据库同名的数据库，否则，系统将会如下提示： plaintext Database 数据库名 already exists. Cannot restore database with the same name. 操作步骤 执行以下命令，进行数据库复制。 EXEC msdb.dbo.rdscopydatabase '@DBNameSource', '@DBNameTarget'; @ DBNameSource：源数据库，指定要备份的数据库名。 @ DBNameTarget：目标数据库，指定要恢复的数据库名。 将数据库testDB1复制出一个新的数据库testDB2，示例如下： EXEC msdb.dbo.rdscopydatabase 'testDB1', 'testDB2'; 说明 数据库版本为RDS for SQL Server 2012（标准版、企业版、Web版）的用户，请使用名称为msdb.dbo.rdscopydatabase2012的存储过程进行数据库备份。 数据库版本为RDS for SQL Server 2016（标准版、企业版、Web版）的用户，请使用名称为msdb.dbo.rdscopydatabase2016的存储过程进行数据库备份。 数据库版本为RDS for SQL Server 2017企业版的用户，请使用名称为msdb.dbo.rdscopydatabase2017的存储过程进行数据库备份。

download Npcap not found 数据库安全审计支持双向审计吗？ 数据库安全审计支持双向审计。双向审计是对数据库的请求和响应都进行审计。 数据库安全审计默认使用双向审计。 数据库安全审计可以审计不同VPC的数据库吗？ 数据库安全审计支持审计不同VPC的数据库。当您需要审计不同VPC的数据库时，需要VPC互相通信，可以通过在VPC间建立对等连接的方式实现。请参考创建同一账户下的对等连接进行配置。 数据库安全审计支持TLS连接的应用吗？ 不支持。TLS（Transport Layer Security）连接的应用是加密的，无法使用数据库安全审计功能。 数据库安全审计的审计数据可以保存多久？ 数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。 您可以在数据库安全审计的“总览”界面，通过选择数据库和审计周期，查看对应时间段的审计数据。 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：16GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQ语句存储 50亿条归档SQ语句存储 专业版 最多支持6个数据库实例 CPU：8U 内存：32GB 硬盘：1T 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQ语句存储 100亿条归档SQ语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：64GB 硬盘：2T 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQ语句存储 600亿条归档SQ语句存储 说明 l 数据库实例通过数据库IP+数据库端口计量。 如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。 例如：用户有2个数据库资产分别为IP1和IP2，IP1有一个数据库端口，则为1个数据库实例；IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 l 不支持修改规格。若要修改，请退订后重购。 l 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。

指标名称 告警策略 指标说明 解决方案 内存高水位状态 告警阈值：原始值>1 连续触发次数：1 告警级别：致命 告警阈值为1表示触发内存高水位，会阻塞消息生产 加快消费 采用生产者确认的发送模式，并监控生产端消息生产速度和时长，当消息生产时长有明显增加时进行流控措施 磁盘高水位状态 告警阈值：原始值>1 连续触发次数：1 告警级别：致命 告警阈值为1表示触发磁盘高水位，会阻塞消息生产 减少惰性队列的消息堆积 减少持久化队列的消息堆积 删除队列 内存使用率 告警阈值：原始值>业务预期使用率（推荐30%） 连续触发次数：连续3~5个周期 告警级别：重要 该指标需要分别为每个节点设置内存使用率告警，避免触发内存高水位阻塞生产 加快消费 采用生产者确认的发送模式，并监控生产端消息生产速度和时长，当消息生产时长有明显增加时进行流控措施 CPU使用率 告警阈值：原始值>业务预期使用率（推荐70%） 连续触发次数：连续3~5个周期 告警级别：重要 该指标需要分别为每个节点设置CPU使用率告警，CPU使用率过高可能会影响生产速度 减少镜像队列个数 对于集群实例，建议扩容节点个数，然后进行节点间重平衡 可消费消息数 告警阈值：原始值>业务预期可消费消息数 连续触发次数：1 告警级别：重要 可消费消息数过多表示消息堆积 请参考 未确认消息数 告警阈值：原始值>业务预期未确认消息数 连续触发次数：1 告警级别：重要 未确认消息数过多可能会导致消息堆积 检查消费者是否异常 检查消费者逻辑是否消耗时间过长 连接数 告警阈值：原始值>业务预期连接数 连续触发次数：1 告警级别：重要 连接数突增可能是流量变大的预警 需检查业务是否正常，可参考其他告警 通道数 告警阈值：原始值>业务预期通道数 连续触发次数：1 告警级别：重要 通道数突增可能是流量变大的预警 需检查业务是否正常，可参考其他告警 Erlang进程数 告警阈值：原始值>业务预期进程数 连续触发次数：1 告警级别：重要 进程数突增可能是流量变大的预警 需检查业务是否正常，可参考其他告警

数据卷使用原则 一个Pod可以挂载多个Volume。 一个Pod可以挂载多种类型的Volume。 每个被Pod挂载的Volume卷，可以在不同的容器间共享。 Kubernetes环境推荐使用PVC和PV方式挂载Volume。 虽然单Pod可以挂载多个Volume，但是并不建议给一个Pod挂载过多数据卷。 说明 数据卷（Volume）生命周期和Pod一致，即Pod被删除的时候，数据卷（Volume）也一起被删除（Volume中的数据是否丢失取决于Volume的具体类型）。 PV和PVC Kubernetes 引入了 PV（持久卷 PersistentVolume） 和 PVC（持久卷声明 PersistentVolumeClaim）两个资源对象，用于定义和管理存储资源。它们提供了抽象层，使应用程序能够声明存储需求，而无需关注底层基础设施。 PV：是集群中的一块存储空间，可由管理员预先配置或通过存储类（Storage Class）动态分配。作为集群级别的资源，PV 与节点类似，其生命周期独立于使用它的 Pod。PV 同样基于卷插件实现，但需注意：手动删除 PV 并不会自动清除后端存储资源。因此建议遵循“谁创建谁删除”原则：用户创建的 PV 应设置为保留回收策略并由创建者手动清理；动态创建的 PV 则由 CSI 驱动自动回收。 PVC：表示用户对存储资源的请求。其概念类似于 Pod：Pod 消耗节点资源，而 PVC 消耗 PV 资源。Pod 可申请特定量的 CPU 和内存，PVC 则可指定所需的存储容量和访问模式。 以下是对PV及PVC典型字段说明： 类型 字段 说明 PV 访问模式 定义 PV 的访问模式，包括： 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载。 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载。 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载。 PV 回收策略 PV对象的回收策略表示当PVC释放时如何处理该数据卷。 回收策略包括： Retained（保留）：用户需手动回收存储资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。注意，用户如果手动删除PV，而不是由CSI自动删除，并不会导致后端存储资源被删除，设置为“删除”策略时，强烈建议用户勿手动删除PV。 PV 容量 定义 PV 的容量大小。 PV 卷模式 Kubernetes 支持两种卷模式： 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。目前仅云硬盘支持该功能。 PV 挂载选项 可以指定持久卷被挂载到节点上时使用的附加挂载选项。Kubernetes 不对挂载选项执行合法性检查。如果挂载选项是非法的，挂载就会失败。 说明 并非所有持久卷类型都支持挂载选项。 PV 标签 标签（labels）是用于对 PV 对象进行标记和分类的元数据属性，可以赋予 PV 以自定义的属性或标识。 PVC 访问模式 PVC（PersistentVolumeClaim）可以指定对持久化存储的访问模式需求。 在绑定 PV 时，系统将尝试找到访问模式满足 PVC 需求的PV，否则PVC 将无法绑定到 PV。 PVC 卷模式 Kubernetes 支持两种卷模式： 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 PVC 表示PVC指定的容量。 说明 当 PVC 与 已有PV 绑定时，PV 的容量必须大于或等于 PVC 所需的容量。否则，PV 将无法满足 PVC 的需求，绑定将失败。 PVC 存储类 可以通过为 storageClassName 属性设置 StorageClass 的名称来请求特定的存储类。 只有所请求的类的 PV 卷，即 storageClassName 值与 PVC 设置相同的 PV 卷， 才能与该PVC绑定。