本文为您介绍如何使用云迁移服务(CMS)对不同账号下的云主机(CTECS)或同账户下不同区域的云主机(CTECS)进行迁移。 介绍说明 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下, 或者将同账户不同区域的CTECS资源整合到同一个区域下时，可以采用主机迁移服务实现CTECS实例间的快速迁移。主机迁移服务支持同一区域或者不同区域的源端到目的端的迁移，下面为您介绍天翼云CTECS实例间的实现逻辑和操作步骤。 实现逻辑 CMS基础实现逻辑是在目标端部署PE轻量系统，在CMS控制台处进行任务配置与下发，通过协同CMSAgent与CMSPE实现迁移； 仅需通过确定PE轻量系统开通的账户与区域，即可限定迁移目标端的账户与区域。需要注意迁移过程中需要保证账户余额充足与目标区域已加载迁移专用镜像，未加载镜像区域不支持CMS迁移服务。 操作步骤 跨账号CTECS迁移（账户A迁移至B账户） 1. 在A账户下的ECS云主机下，使用B账户的云迁移服务AK/SK安装CMSAgent。具体步骤请参见在源端安装Agent。 2. A账户主机即会被上报至B账户迁移平台，接下来可以进行迁移目标机设置。具体步骤请参见创建目标机，检测目标机和绑定目标机。 3. 绑定成功后可以配置并启动迁移任务。具体步骤请参见迁移任务配置与开始全量迁移。 4. 迁移任务配置完成后，单击“开始迁移”正常执行后续迁移操作，即可实现ECS云主机跨账户迁移。

本文介绍弹性伸缩设置。 弹性伸缩能够根据业务需求的变动经济地调整弹性计算资源。容器引擎服务目前主要提供扩缩容Pod个数的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），并支持自动伸缩策略配置及手动伸缩两种触发方式，以应对业务高峰时期，提高业务处理能力，从而保证业务能够正常提供服务。 弹性伸缩设置 容器引擎平台目前支持设置应用级别的伸缩策略，用于容器组（Pod）的弹性伸缩，通过设置伸缩指标可实现自动弹性伸缩。以无状态应用为例，其它应用操作步骤一致。用户可通过应用列表的【伸缩】操作进入配置界面，也可以通过应用详情页的【伸缩】页签进入配置界面。 操作步骤 1.点击控制导航栏【工作负载】>【无状态】，进入无状态应用列表界面，选择需要设置伸缩策略的应用名称，点击进入应用详情页； 2.在应用详情页，点击【伸缩】页签，切换到伸缩策略配置界面，点击【添加伸缩策略】，将弹出伸缩策略设置界面； 3.依次完成【策略名称】、【策略类型】及【指标】等信息的选择与填写，各参数详情参考下表： 参数 参数说明 :: 策略名称 输入策略的名称，伸缩策略名称必须符合163个字符，由小写字母、数字、横线（）和点（.）组成， 且必须以字母和数字开头结尾 策略类型 选择自动伸缩策略类型，目前支持告警策略，告警策略基于检测的告警数据进行判断触发应用伸缩。 根据设定的监控周期，周期性的去判断指标是否满足触发条件，且连续n个周期都满足触发条件，将会执行操作。 指标 指标包括cpu使用率、物理内存使用率两种。触发条件为触发伸缩条件的阈值，高于所设阈值则扩展， 低于所设阈值则收缩 触发条件 设置触发指标的阈值，单位为% 最大实例数 伸缩时允许达到的最大实例数，最大值为100 最小实例数 伸缩时允许达到的最小实例数，最小可设置为1 4.设置完成后，下方记录设置的伸缩策略，并记录该策略触发的事件，同时可通过【修改】>【删除】操作，对已配置的伸缩策略进行修改。

本章节主要介绍 鉴权策略。 安全模式 大数据平台用户完成身份认证后，系统还需要根据实际权限管理配置，选择是否对用户进行鉴权，确保系统用户拥有资源的有限或全部权限。如果系统用户权限不足，需要由系统管理员为用户授予各个组件对应的权限后，才能访问资源。安全模式或者普通模式集群均提供鉴权能力，组件的具体权限项在两种模式中相同。 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源的时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 安全版本的集群所有组件默认统一对及访问进行鉴权，不支持关闭鉴权功能。 普通模式 普通模式的集群不同组件使用各自原生开源的鉴权行为，详细鉴权机制下表所示。 在安装了Ranger服务的普通模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 普通模式组件鉴权一览表 服务 是否鉴权 是否支持开关鉴权 ClickHouse 鉴权 不支持修改 Flume 无鉴权 不支持修改 HBase 无鉴权 支持修改 HDFS 鉴权 支持修改 Hive 无鉴权 不支持修改 Hue 无鉴权 不支持修改 Kafka 无鉴权 不支持修改 Loader 无鉴权 不支持修改 Mapreduce 无鉴权 不支持修改 Oozie 鉴权 不支持修改 Spark2x 无鉴权 不支持修改 Storm 无鉴权 不支持修改 Yarn 无鉴权 支持修改 ZooKeeper 鉴权 支持修改

本文介绍URL鉴权的适用场景和配置方法。 功能介绍 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 1、需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用。 2、请求的资源都具有一定的时效性，超过时效则不允许访问。 注意事项 1、配置URL鉴权需要客户端跟产品服务配合一起开启。 2、配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。 3、当鉴权规则（含算法、秘钥、鉴权参数等）发生变更时，需要通知安全与加速产品配合更改，否则将导致用户请求异常。 4、如果您的鉴权URL中含有中文或特殊字符，需先进行URL转码（即Encode）后使用。 配置说明 天翼云提供三种鉴权方式供您参考配置，以下为详细的鉴权原理及配置说明。 （一）鉴权方式A 1、原理说明 鉴权方式A访问URL构成： 鉴权字段说明： 字段 描述 DomainName 服务域名。 Filename 实际回源访问的URL，鉴权时Filename需以/开头。不包含？后面的参数。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 鉴权服务器生成鉴权URL的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间总秒数 ，十进制整数。 备注：与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+配置的鉴权URL有效时长。 rand 随机数。0 64位随机字符串，由大小写字母与数字组成，例如：477b3bbcf6711128c7bec。 uid 用户ID，暂未使用，设置成0即可。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(Filenametimestampranduidkey)。 备注1：md5加密元素分隔符默认中划线（），也可自定义。 备注2：这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

本文介绍Redis 4.0支持的新特性说明 模块 Redis 4.0.0最大的功能之一是期待已久的模块系统。模块系统提供了一个API，用于扩展Redis，主要在C中动态加载模块。模块API提供了多个级别的API，供开发人员为Redis添加新的特性和功能。 使用Redis模块，开发人员可以在现有数据类型中添加新的操作，引入新的数据类型，如JSON，或使用搜索或神经网络等新流程扩展Redis。 新的API使开发人员能够构建在使用Lua构建时不切实际或性能不足的扩展。正如Redis.io上的模块文档中所提到的，“Redis模块使使用外部模块扩展Redis功能成为可能，以与核心内部类似的速度和功能实现新的Redis命令。” 缓存优化 4.0.0版本增加了最不频繁使用（LFU）的最大内存策略，为用户提供了另一种在Redis达到最大内存阈值时驱逐KEY的算法。LFU缓存为许多应用程序提供了比最近最少使用（LRU）缓存更好的命中率。 Redis中LFU缓存的实现是通过近似算法完成的，以提供对KEY访问频率的准确估计，而不添加大量的内存开销来跟踪访问计数。与当前的LRU缓存策略一样，LFU缓存只能应用于易失性KEY（过期KEY）或所有KEY 内存相关命令 新增MEMORY命令向用户提供Redis实例的内存消耗信息。MEMORY USAGE命令为用户提供给定KEY使用的精确内存量，而MEMORY DOCTOR提供了一个框架（类似于LATENCY DOCTOR命令），用于观察实例的总体内存消耗。

第三步：获取鉴权信息 说明 业务系统终端集成协同签名模块后，需要填写鉴权信息才可调用协同签名系统的能力，请将应用的鉴权信息提取后交付终端开发人员 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“应用登录 > 应用管理”，进入“应用管理”页面。 3.选择需要获取鉴权信息的应用，单击“操作”列的“密码”按钮，在弹出的对话框中输入管理员密码进行认证。 4.在弹出的对话框中输入管理员密码进行认证并获取应用信息。 5.将获取的信息同步至业务系统终端开发人员，在业务系统终端人员中按照SDK集成文档将鉴权信息内置。

资源名称 数量 软件开发生产线CodeArts 开通基础版即可。 云容器引擎CCE 1 云主机ECS 1

本节介绍了在同一个实例中采用手动和自动方式进行跨命名空间同步容器镜像的用户指南。 在同一个实例中，不同的开发团队限定使用着各自的命名空间，当某些镜像需要跨命名空间分享时，可以配置同步规则，实现同实例跨命名空间同步。 前置条件 使用自动或手动方式同步镜像时，请确保您使用的实例是企业版。个人版实例不支持此功能。 自动同步镜像 通过配置自动同步规则，实现在源命名空间下符合条件的镜像仓库中上传镜像后，自动触发同步操作，将镜像从源命名空间同步到目标命名空间。 注意 自动同步操作只会同步设置规则后符合条件的镜像，对于规则设置前已经存在的镜像，无法实现自动同步。 设置自动同步镜像规则步骤如下： 1. 登录容器镜像控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择需要同步的实例。 4. 在企业版实例管理页面的左侧菜单上选择"分发交付" "实例同步"，选择自动同步规则选项卡，点击左上角的创建同步规则。 5. 在创建同步规则对话框中，配置同步规则，然后点击确定按钮，实现规则创建。各配置参数说明如下： 参数 说明 名称 自定义同步规则的名称 描述 自定义同步规则的补充描述信息，备注信息等 同步内容 同步的内容，可选择“镜像”或“Chart” 源实例 固定为当前实例 源命名空间 选择源实例中的命名空间，此项为必填 源仓库 选择源命名空间下的镜像仓库，可为空，为空时则包含命名空间下的所有镜像仓库 源版本 选择需要同步的镜像版本，可为空，为空时则同步所有版本的镜像 同步场景 选择“同账号同步”或“跨账号同步”，由于是同实例跨命名空间同步，此处选择“同账号同步” 目标实例 选择目标实例所在的地域和实例名称，由于是同实例跨命名空间同步，此处选择当前实例 目标命名空间 选择要同步到的命名空间 覆盖 遇到同一镜像仓库下、同一版本的镜像时，是否进行覆盖，可选是或否 6. 当有新的容器镜像推送到符合上述规则的仓库中，会自动触发同步任务。 7. 在企业版实例管理页面的左侧菜单上选择"分发交付" "实例同步"， 选择自动同步规则选项卡，点击对应的同步规则。在规则详情页的下方查看任务执行情况。 注意 对于同实例跨命名空间的自动同步规则设定，目标命名空间不能作为其他规则的目标命名空间和不能作为其他规则的源命名空间。例如目前有两个命名空间proj1与proj2，分别定为规则1的源命名空间与目标命名空间，当后续设定其他规则时，proj1可继续设定为源命名空间，但不能设定为目标命名空间；proj2则既不能设定为源命名空间，也不能设定为目标命名空间。

本章节介绍如何获取长期有效的登录指令,长期有效登录指令的有效期为永久。 操作场景 本章节介绍如何获取长期有效的登录指令，长期有效登录指令的有效期为永久。 说明 l 为保证安全，获取登录指令过程建议在开发环境执行。 操作步骤 步骤 1 获取区域项目名称、镜像仓库地址。 登录SWR管理控制台。 将鼠标移至页面右上角用户名称上，在下拉菜单中，单击“我的凭证”。 图 我的凭证 在项目列表中找到您的虚拟机的所属区域及项目： 图 区域与项目 您可以按照获取到的项目信息拼接镜像仓库地址，拼接方式为: registry.区域项目名称.ctyun.cn 如用户虚拟机所在区域为苏州，那么对应的镜像仓库地址为：registry.cnjssz 1.ctyun.cn 。 步骤 2 获取AK/SK访问密钥。 注意 访问密钥即AK/SK（Access Key ID/Secret Access Key），表示一组密钥对，用于验证调用API发起请求的访问者身份，与密码的功能相似。如果您已有AK/SK，可以直接使用，无需再次获取。 登录IAM管理控制台，将鼠标移到用户名处，单击“我的凭证”。 在左侧导航栏中选择“访问密钥”，单击“新增访问密钥”。 输入描述信息，单击“确定”。 在弹出的提示页面单击“立即下载”。 下载成功后，在“credentials”文件中即可获取AK和SK信息。 表 credentials文件示例 User Name Access Key Id Secret Access Key a RVHVMX H3nPwzgZ 说明 为防止访问密钥泄露，建议您将其保存到安全的位置。 步骤 3 登录一台Linux系统的计算机，执行如下命令获取登录密钥。 printf "AK" openssl dgst binary sha256 hmac "SK" od An vtx1 sed 's/[ n]//g' sed 'N;s/n//' 请将AK 替换为步骤2 credentials文件 的 Access Key Id ，SK 替换为步骤2 credentials文件 的 Secret Access Key 。 示例： printf "RVHVMX" openssl dgst binary sha256 hmac "H3nPwzgZ" od An vtx1 sed 's/[ n]//g' sed 'N;s/n//' 执行上面的命令后，我们得到的登录密钥如下： cab4ceab4a1545 说明 以上密钥仅为示例，请以实际获得的密钥为准。 步骤 4 使用如下的格式拼接登录指令。 docker login u [区域项目名称] @ [AK] p [登录密钥] [镜像仓库地址] 其中，区域项目名称和镜像仓库地址在步骤1中获取，AK在步骤2中获取，登录密钥为步骤3的执行结果。 示例： docker login u cnjssz1@RVHVMX p cab4ceab4a1545 registry.cnjssz1.ctyun.cn 当显示“Login Succeeded”，即为登录成功。 说明 l 登录密钥字符串是经过加密的，无法逆向解密，从p无法获取到SK。 l 获取的登录指令可在其他机器上使用并登录。 步骤 5 （可选）当您退出仓库时，请使用以下命令删除您的认证信息。 cd /root/.docker/ rm f config.json 步骤 6 （可选）使用history c命令清理相关使用痕迹，避免隐私信息泄露。

应用场景 场景一：基于用户请求将匹配的业务流量切分到新版本 假设在当前线上环境中，您已经有一套服务Service v1对外提供7层服务，此时开发了一些新的功能，现需发布新版本Service v2服务。但又不想直接替换Service v1服务，而是希望将请求头包含 “foobar” 或者Cookie包含 “foobar” 的客户端请求转发到Service v2服务中，验证一下新版本功能是否正常，待稳定运行后，再逐步全量切到Service v2服务，平滑下线Service v1服务。示意图如下： 场景二：基于服务权重将业务流量切分到新版本 假设当前线上环境，您已经有一套服务Service v1对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service v2。但又不想将所有客户端流量切换到新版本Service v2中，而是希望将20%的流量灰度到Service v2，待稳定运行后，逐步全量切到Service v2，平滑下线Service v1。示意图如下： 操作步骤 场景一：基于用户请求将匹配的业务流量切分到新版本 步骤一：部署旧版本Service v1和常规Ingress 这里使用Ingress作为service v1应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v1”。 1. 创建配置configmap，key为index.html，value为v1。 2. 创建nginx工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30080。 3. 创建旧版本service v1的常规ingress。灰度ingress一栏选择否，在域名路径规则一栏填写域名，指定服务名称以及端口等。 4. 检查通过Ingress域名能正常访问旧版本service v1服务。 步骤二：部署新版本Service v2 这里同样使用Ingress作为service v2应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v2”。 1. 创建配置configmap，key为index.html，value为v2。 2. 创建Ingress工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30081。 步骤三：创建灰度ingress，在灰度发布新版本 1. 基于Header创建新版本service v2的Ingress。 2. 在灰度Ingress一栏选择是；在生产ingress一栏选择旧版本service v1的常规Ingress；在流量切换方式一栏选择灰度，基于Header的区分方式，填写Header key为foo，Header value为bar，精确匹配；在域名路径规则一栏填写域名，指定服务名称和端口等。 执行命令进行访问测试， 为Nginx Ingress对外暴露的IP：

本章节主要介绍新建一个对账作业实例的操作。 场景说明 数据对账对于数据开发和数据迁移流程中的数据一致性至关重要，而跨源数据对账的能力是检验数据迁移或数据加工前后是否一致的关键指标。本章分别以DLI和DWS作为数据源，介绍如何通过DataArts Studio中的数据质量模块实现跨源数据对账的基本一致性校验。 环境准备 需要准备好对账的数据源，即通过管理中心分别创建数据连接，用于跨源数据对账。 操作步骤 1.建立跨源数据连接。 a.创建DLI数据连接。在DataArts Studio管理中心模块，单击创建数据连接，数据连接类型选择“数据湖探索（DLI）”，输入数据连接名称，单击“测试”，提示连接成功，单击“确定”。 b.创建DWS数据连接。在DataArts Studio管理中心模块，单击创建数据连接，数据连接类型选择“数据仓库服务（DWS）”，输入数据连接名称，设置其他参数，如下图所示，单击“测试”，提示连接成功，单击“确定”。 2.创建对账作业。 a.在DataArts Studio数据质量模块，单击左侧导航菜单“对账作业”。 b.单击“新建”，配置对账作业的基本信息，如下图所示。 c.单击“下一步”，进入规则配置页面。您需要点击规则卡片中的，然后配置对账规则，如下图所示。 说明 要分别配置源端和目的端的信息。 配置告警条件，其中点击左侧的表行数 （${11}）表示左侧源端选中表的行数，点击右侧表行数 （${21}）表示目的端表行数。此处配置告警条件为 ${11}!${21}，表示当左侧表行数与右侧表行数不一致时，触发报警并显示报警状态。 d.单击“下一步”，配置订阅信息，如下图所示。 说明 勾选触发告警表示作业报警时发送通知到对应的smn主题，勾选运行成功表示不报警时发送通知到SMN主题。 e.单击“下一步”，配置调度方式，如下图所示。 说明 单次调度表示需要手动触发运行，周期性调度表示会按照配置定期触发作业运行。此处以当天配置为例，设置每15分钟触发运行一次对账作业为例的配置。 3.查看对账作业 a.单击对应的对账作业操作列中的运行链接，运行对账作业后，自动跳转到运维管理页面。 b.单击结果&日志查看运行结果和运行日志，等待作业运行结束后，如下图所示。

本章节主要介绍如何运行Kafka作业。 用户可将自己开发的程序提交到MRS中，执行程序并获取结果。本章节教您在Kafka主题中产生和消费消息。 暂不支持通过界面提交Kafka作业，请通过后台功能来提交作业。 通过后台提交作业 先查询ZooKeeper和Kafka的实例地址，再运行Kafka作业。 查询实例地址（3.x版本） 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.请参考访问FusionInsight Manager（MRS 3.x及之后版本），跳转至FusionInsight Manager页面。然后选择“服务 > ZooKeeper > 实例”，查看ZooKeeper角色实例的IP地址。记录ZooKeeper角色实例中任意一个的IP地址即可。 4.选择“服务 > Kafka > 实例”，查看Kafka角色实例的IP地址。记录Kafka角色实例中任意一个的IP地址即可。 查询实例地址（3.x之前版本） a. 登录MRS管理控制台。 b. 选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 c. 在MRS集群详情页面，选择“组件管理 > ZooKeeper > 实例”，查看ZooKeeper角色实例的IP地址。记录ZooKeeper角色实例中任意一个的IP地址即可。 d. 选择“组件管理 > Kafka > 实例”，查看Kafka角色实例的IP地址。记录Kafka角色实例中任意一个的IP地址即可。 运行Kafka作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.在集群信息页面的“节点管理”页签中单击Master2节点名称，进入弹性云主机管理控制台。 2.单击页面右上角的“远程登录”。 3.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 4.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 5.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit MRS集群用户 例如, kinit admin 6.执行如下命令，创建kafka topic。 kafkatopics.sh create zookeeper ZooKeeper角色实例IP:2181/kafkapartitions 2 replicationfactor 2 topic 7.在topic test中产生消息。 首先执行命令kafkaconsoleproducer.sh brokerlist Kafka角色实例IP:9092 topic producer.config /opt/Bigdata/client/Kafka/kafka/config/producer.properties 。 然后输入指定的内容作为生产者产生的消息，输入完成后按回车发送消息。如果需要结束产生消息，使用“Ctrl + C”退出任务。 8.消费topic test中的消息。 kafkaconsoleconsumer.sh topic bootstrapserver Kafka角色实例IP:9092 consumer.config/opt/Bigdata/client/Kafka/kafka/config/consumer.properties 说明 如果集群开启Kerberos认证，则执行如上两个命令时请修改端口号9092为21007，详见

本文介绍分布式容器云平台的产品定义。 产品定义 分布式容器云平台是面向多云、多集群等场景推出的企业级容器云平台，支持连接并管理异构的 Kubernetes 集群，提供一致管理体验与云原生兼容接口，实现对集群、应用、数据、服务与策略的统一管控。 基本概念 在使用分布式容器云平台前，需理解该产品所涉及的概念。 术语 解释 注册集群 支持天翼云、三方云和本地IDC集群，通过注册集群实现分布式集群统一纳管和运维。 容器舰队 根据业务自定义编排容器舰队，实现多集群统一管理，包括：权限管理、应用编排、服务治理、流量分发等。 集群联邦 提供跨云、跨地域集群联邦能力，实现多集群的统一管理、应用部署、服务发现、弹性伸缩、故障迁移。

本服务有哪些订购方式？ 本服务支持客户自主订购或委托客户经理订购 本服务与一站式智算服务平台有何关系？ 在客户已经基于一站式智算服务平台下单的情况下，若智算服务平台提供的已适配的模型清单能满足客户需求，则客户无需开通模型适配服务；若不满足，则可享受折扣下单模型适配专家服务产品。 开通服务是否有硬性算力购买要求？ 无购买高规格算力的硬性要求，基于国产化算力即可提供服务。

天翼云为您提供多活容灾服务平台等级条款说明，请您点击查看。 天翼云多活容灾服务平台等级条款

云点播(CTXVOD)是集音视频上传、媒体资源管理于一体的音视频服务,帮助企业和开发者快速搭建视频点播应用。

本节介绍了登录他人共享的数据库实例的相关内容。 登录他人共享给我的数据库实例 假如有人给您共享数据库实例后，您可登录被共享数据库实例。 步骤 1 使用子账号登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧导航栏中，单击“开发工具”，进入开发工具页面。 步骤 5 选择“他人共享给我的数据库实例连接”页签。 步骤 6 找到他人共享给我的数据库实例信息，单击操作列的“登录”，即可登录被共享数据库实例。 结束

分布式容器云平台 CCE One 是面向多云、多集群等场景推出的企业级容器云平台,实现对集群、应用、数据、服务与策略的统一管控。

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，以验证配置的WAF防护规则是否生效，即验证配置防护规则的防护效果。本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 应用示例 例如，您的业务部署在“/product”路径下，由于生态开发，针对参数ID存在用户提交脚本或富文本的业务场景，为了确保业务正常运行，您需要对用户提交的内容进行误报屏蔽，以屏蔽误拦截的访问请求，提升WAF防护效果。 前提条件 防护网站已成功接入WAF。 已开启“Web基础防护”，且防护模式为“拦截”。同时，“常规检测”已开启。 操作步骤 步骤 1 下载并安装Postman。 步骤 2 在Postman上设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 步骤 3 处理误报事件。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域或项目。 3. 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 在防护事件页面，WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。 6. 在该防护事件所在行的“操作”列中，单击“更多 > 误报处理”。 7. 在弹出的“误报处理”对话框中，添加全局白名单（原误报屏蔽）规则。 8. 单击“确认添加”。防护规则生效需要5分钟左右。 步骤 4 在Postman上再次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求还是被拦截。 步骤 5 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110053”规则的误报防护事件。 步骤 6 在Postman上第三次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求仍被拦截。 步骤 7 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110060”规则的误报防护事件。 步骤 8 在Postman上第四次设置请求路径为“/product”，参数ID为普通测试脚本。此时，防护网站的访问请求不再被拦截，说明所有全局白名单规则都已生效。同时，查看“防护事件”页面，防护事件列表也没有新增的XSS攻击防护事件。 步骤 9 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他参数的XSS攻击事件。 1. 在Postman上设置请求路径为“/product”，参数item为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截参数item的XSS攻击事件。 步骤 10 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他路径的XSS攻击事件。 1. 在Postman上设置请求路径为“/order”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截“URL”为“/order”、参数ID的XSS攻击事件。

数据库SQL开发规范 在程序中，建议使用预编译语句进行数据库操作。预编译只编译一次，以后在该程序中就可以调用多次，比SQL效率高。 避免数据类型的隐式转换，隐式转换会导致索引失效。禁止在where从句中对列进行函数转换和计算，会导致索引失效。 避免使用双%号或前置%号的查询条件，这样无法利用到索引。 禁止在查询中使用 select 语句。原因如下： 1. 使用 select 会消耗更多的CPU和IP以及网络带宽资源。 2. 使用 select 无法使用覆盖索引。 3. 不使用 select 可以减少表结构变更对代码带来的影响。 避免使用子查询，子查询会产生临时表，临时表没有任何索引，数据量大时严重影响效率。建议把子查询转化成关联查询。 避免使用JOIN关联太多的表，建议不要超过5个表的JOIN操作。需要JOIN的字段，数据类型必须绝对一致。每JOIN一个表会多占用一部分内存（由“joinbuffersize”控制），会产生临时表操作，影响查询效率。避免使用自然连接（natural join）。 尽量减少同数据库的交互次数，数据库更适合处理批量操作。 使用IN代替OR IN操作可以有效的利用索引，IN的值不要超过500个。 不使用反向查询，如：NOT IN、NOT LIKE 禁止使用 ORDER BY RAND() 进行随机排序。该操作会把表中所有符合条件的数据装载到内存中进行排序，消耗大量的CPU和IO及内存资源。推荐在程序中获取一个随机值，然后根据随机值从数据库获取数据。 在不需要去重的情况下，要使用UNION ALL代替UNION。UNION ALL不需要对结果集再进⾏行排序。 合并多个相同操作到一起，可以提高处理效率，数据库更适合处理批量操作。通过批量操作减少同数据库交互次数。 超过100万行的批量写操作，要分批多次进行操作。大批量写操作可能会造成严重的主从延迟。 如果有ORDER BY的场景，请注意利用索引的有序性。ORDER BY最后的字段是组合索引的一部分，并且放在索引组合顺序的最后。避免出现filesort的情况，影响查询性能。正例： where a? and b? order by c; ，索引：abc反例：索引中有范围查找，那么索引有序性无法利用，如： WHERE a>10 ORDER BY b; ，索引ab无法排序。 尽量使用ANSI SQL标准语法进行DML操作，而不是用MySQL扩展的SQL语法。常见的MySQL扩展SQL语法有： 1. REPLACE INTO 2. INSERT ... ON DUPLICATE KEY UPDATE 不建议使用存储过程，存储过程难以调试和扩展，更没有移植性。 不建议使用触发器，事件调度器（event scheduler）和视图实现业务逻辑，这些业务逻辑应该在业务层处理，避免对数据库产生逻辑依赖。 不建议使用大事务，业务允许的情况下，事务里包含SQL语句越少越好，尽量不超过5个。因为过长的事务会导致锁数据较久，以及MySQL内部缓存、连接消耗过多等问题。 TRUNCATE TABLE比DELETE速度快，且使用的系统和日志资源少，如果删除的表上没有TRIGGER，且进行全表删除，建议使用TRUNCATE TABLE。

本节介绍了登录云数据库 GeminiDB控制台的相关步骤。 前提条件 如果您已经拥有云平台账号，可直接登录管理控制台，访问云数据库 GeminiDB。 如果您未拥有云平台账号，请在官网申请。申请成功后，该账号可访问云平台的所有服务，包括云数据库 GeminiDB。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上方的 ，选择区域和项目。 步骤 3 在“服务列表”中，选择“数据库 > 云数据库 GeminiDB”，进入控制台信息页面。 结束

资源类型 添加方式 主机资源 添加单个主机资源 Excel文件批量导入 按照Excel模板要求配置主机基本信息，可选择配置主机账户信息。 录入主机资源账户后，不再生成Empty资源账户。 从云平台批量导入 选择与CBH网络通畅的云平台，导入云平台主机信息和主机账户信息。 导入主机全部资源账户，且不再生成Empty资源账户。 自动发现 通过IP地址或地址段，自动发现与CBH网络通畅的主机。 自动发现主机只能添加主机信息，需另添加主机资源账户。 应用资源 添加单个应用资源

目标云环境 目标云环境指的是迁移后应用程序和数据所在的云平台，也就是迁移到的目标位置。 迁移工具 迁移工具用于将业务应用程序和数据从本地环境迁移到云平台。在云迁移服务平台工具中心包括服务器迁移工具、数据库迁移工具、数据迁移工具及华为提供异构迁移工具。 迁移报告 迁移报告是一份记录和总结迁移过程的报告，其中包含了迁移组名称、迁移组描述、资源数量、迁移计划个数、计划创建时间、完成时间、备注等信息。

本文介绍查询知识库切分策略详情。 接口描述 获取某个知识库的切片策略 请求方法 GET 接口要求 无 URI /openapi/v1/infobases/chunkconfig 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求头Query参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Int 知识库id 143 请求代码示例 plaintext Curl X GET " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 chunkConfigs Array[Object] 切分策略列表 详情见“创建知识库”接口的chunkConfig对象定义 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": { "chunkConfigs": [ { "chunkMode": "length", "chunkSize": 2159, "chunkOverlap": 812, "separator": "nn", "enablecontextExpansion": true, "contextChunkMode": "length", "contextChunkSize": 406, "contextChunkOverlap": 38, "contextSeparator": "n", "supportFileTypes": ["all"] } ] } } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40004 业务异常 业务异常，详情见message 40005 知识库不存在

步骤 1 下载kubectl 在kubernetes版本发布页面，根据集群版本单击对应链接，然后单击 Client Binaries ，选择对应平台软件包下载即可。如需通过命令行方式安装kubectl，请参考安装kubectl。 图 下载kubectl 步骤 2 获取kubectl配置文件 在集群信息页中的“连接信息”版块，单击kubectl后的“点击查看”按钮，查看kubectl的连接信息，并在弹出页面中下载配置文件。 图 下载配置文件 说明 kubectl配置文件（kubeconfig.json）用于对接认证集群，请您妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。 当前集群默认不开启域名双向认证说明，可通过kubectl config usecontext externalTLSVerify 命令开启双向认证。对已经绑定了EIP的集群，如果在使用双向认证时出现认证不通过的情况（x509: certificate is valid），需要重新绑定EIP并重新下载kubeconfig.json IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 如果Linux系统里面配置了KUBECONFIG环境变量，kubectl会优先加载KUBECONFIG环境变量，而不是$home/.kube/config，使用时请注意。 步骤 3 配置kubectl 以Linux环境为例安装和配置kubectl。 1. 拷贝步骤1中下载的kubectl及步骤2中下载的配置文件到您客户端机器的/home目录下。 2. 登录到您的客户端机器，配置kubectl。如果已经安装 kubectl，则跳过此步骤。 cd /home chmod +x kubectl mv f kubectl /usr/local/bin 3. 登录到您的客户端机器，配置kubectl 配置文件。 cd /home mkdir p $HOME/.kube mv f kubeconfig.json $HOME/.kube/config 4. 根据使用场景，切换kubectl的访问模式。 VPC内网接入访问请执行： kubectl config usecontext internal 互联网接入访问请执行（集群需绑定公网地址）： kubectl config usecontext external 互联网接入访问如需开启双向认证请执行（集群需绑定公网地址）： kubectl config usecontext externalTLSVerify 关于集群双向认证的说明请参见域名双向认证。 域名双向认证

本文主要介绍查询类目详情内容。 接口描述 查询当前租户下的类目详情 请求方法 GET 接口要求 无 URI /openapi/v1/categorys/detail 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求代码示例 plaintext Curl X GET " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 id Int 类目ID 299 name String 类目名称 默认类别 createTime String 创建时间 20230508T15:14:00Z updateTime String 更新时间 20230508T15:14:00Z 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": "200", "error": null, "message": "Success", "returnObj": { "id": 124, "name": "通用文档库", "createTime": "20250916T17:09:34+08:00", "updateTime": "20250916T17:09:34+08:00" } } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40007 类目不存在 用户不存在可用类目 40014 类目不唯一 用户类目不唯一，属于异常情况，联系技术支持

支持的加密算法 天翼云证书管理服务签发的SSL证书支持RSA、ECC、SM2三种加密算法： RSA是目前应用最广泛的非对称加密算法。在三种算法中兼容性最佳，支持主流浏览器及各类操作系统平台。 ECC是基于椭圆曲线结构的非对称加密算法。相较于 RSA，ECC 加密速度更快、效率更高、服务器资源消耗更低，已在主流浏览器中广泛推广，正逐渐成为新一代主流算法。 SM2是中国国家密码管理局发布的商用密码算法，基于椭圆曲线密码（ECC）体系，是中国商用密码体系中用于替代RSA的国产算法。 不同类型的证书支持的加密算法如下： 证书版本 证书种类 域名类型 支持的加密算法 标准版 域名型DV 通配符、单域名、多域名 国际标准：RSA/ECC 国密标准：SM2 标准版 企业型OV 通配符、单域名 国际标准：RSA/ECC 国密标准：SM2 国际+国密：SM2、RSA/ECC 标准版 企业型OV 单IP 国际标准：RSA/ECC 标准版 企业型OV 多域名 国际标准：RSA/ECC 国密标准：SM2 标准版 增强型EV 单域名、多域名 国际标准：RSA/ECC SecureSite 企业型证书（OV） 通配符、单域名、多域名、单IP 国际标准：RSA/ECC SecureSite 企业型专业版（OVPro） 单域名、多域名、单IP 国际标准：RSA/ECC GeoTrust 企业型证书（OV） 通配符、单域名、多域名、单IP 国际标准：RSA/ECC GeoTrust 增强型证书（EV） 单域名、多域名 国际标准：RSA/ECC GlobalSign 域名型证书（DV） 通配符、单域名 国际标准：RSA/ECC GlobalSign 企业型证书（OV） 通配符、单域名、多域名、单IP 国际标准：RSA/ECC GlobalSign 增强型证书（EV） 单域名、多域名 国际标准：RSA/ECC CFCA 企业型证书（OV） 通配符、单域名、多域名 国际标准：RSA 国密标准：SM2 CFCA 企业型证书（OV） 单IP 国际标准：RSA CFCA 企业型基础版（OVBasic） 通配符、单域名、多域名、单IP 国际标准：RSA CFCA 增强型证书（EV） 单域名、多域名 国际标准：RSA CFCA 增强型基础版（EVBasic） 单域名、多域名 国际标准：RSA TrustAsia 域名型证书（DV） 通配符、单域名、多域名 国际标准：RSA/ECC 国密标准：SM2 TrustAsia 企业型证书（OV） 通配符、单域名、多域名 国际标准：RSA 国密标准：SM2 TrustAsia 企业型证书（OV） 单IP 国际标准：RSA TrustAsia 增强型证书（EV） 单域名、多域名 国际标准：RSA

模型评估旨在对平台精调生成的大模型输出效果进行评估，当前支持对“模型精调”运行完成的模型进行评估。 前置条件 数据准备：创建支持评估的指令微调标注数据集，并发布成功，详见标注数据集。 模型准备：您可从模型广场选择支持评估的模型直接发起评估；也可在支持评估的模型完成模型精调后，再在评估页面创建评估任务。 新建评估任务 1. 您可通过以下方式使用： 1. 入口1：进入“模型广场” ，在支持评估的模型卡片上点击【评估】按钮，进入到创建评估页面； 2. 入口2：进入“模型工具”>“模型评估”菜单，进入评估任务列表，点击【新建评估任务】，进入创建页面； 3. 入口3：进入“智算资产”>“我的模型”菜单，在我的模型菜单页面中，找到支持评估的模型，点击【评估】按钮，进入到创建评估页面。 2. 进入创建评估任务页面后，填写相关配置： 类型 字段 说明 基本信息 任务名称 评估任务名称，仅支持英文、汉字、数字、、，且只能以中英文、数字开头，不超过60个字符，不可重名 基本信息 模型类型 选择评估的模型类型，目前支持大语言模型 基本信息 描述 该任务的描述，300个字符以内 评估配置 待评估模型 选择待评估的模型，支持从模型广场精调后的带有评估标签的模型，目前支持Qwen27BInstruct、Qwen272BInstruct、Qwen1.532BChat。 评估配置 评估数据集 选择用于评估的数据集，目前仅支持标注模板为指令微调且发布成功的标注数据集 评估配置 评估标准 指对模型评估的效果指标，支持准确率、ROUGE1、ROUGE2、ROUGEL、BLEU4，指标的具体含义可见页面解释 评估配置 停用词表 评估时自动忽略的停用词，为避免特殊字符及单词对模型效果评估的影响，可按照示例设置停用词表，评估时将自动过滤 资源部署信息 集群 选择适合的集群 资源部署信息 队列 选择可用资源配额 资源部署信息 资源规格 选择资源规格类型，不同的算力规格对应不同的价格 资源部署信息 实例数量 相应资源规格的数量 3. 点击开始评估，创建评估任务。

本文主要介绍 JMeter工程使用类问题 性能测试的JMeter引擎和开源JMeter有什么异同？ 性能测试的JMeter引擎，基于开源Apache JMeter实现，默认版本为5.4，可以兼容5.2、5.3版本（需用户自行上传）。 性能测试的JMeter引擎，相对于本地开源JMeter，主要有以下优势： 自动化的分布式调度。 测试结果的汇聚能力和可视化。 分布式的多阶段能力。 性能测试的JMeter引擎支持哪些脚本？ 未使用任何第三方插件的5.2版本5.4版本的JMeter创建的jmx脚本。 使用了第三方插件，但是插件可以以jar包形式上传，且未修改ThreadGroup实现的大部分脚本（性能测试不确保此类脚本可以正常使用，需要在性能测试平台进行调试）。 性能测试的JMeter引擎不支持脚本中哪些操作？ 性能测试不支持日志输出，仅支持请求日志。 性能测试不支持线程组配置页面使用变量。 上传JMeter脚本/CSV/第三方jar包/安装包等出错怎么办？ 如果上传时出错，请确保是在公网中使用性能测试工具，不是在内网中使用性能测试工具。 应用于性能测试的脚本，有哪些使用建议？ 性能测试不建议脚本中有各种结果查看器。 因为性能测试不使用结果查看器，且结果查看器会对压测性能造成影响，不同结果查看器对性能的影响也不一致，若使用，请自行评估。 使用性能测试压测，当脚本的并发总和大于1000，或在“任务 > 高级配置 > 执行器数”配置中配置了执行器数，需要考虑脚本中的各类属性能否应用于分布式场景（即多台机器同时运行脚本）。 不建议使用常数吞吐量定时器。 JMeter的常数吞吐量定时器性能较差，会影响压测执行机的性能，造成压测结果不准确。建议使用JMeter的准确的吞吐量定时器来进行替代。若一定使用常数吞吐量定时器，其对执行机性能的影响需用户自行考虑，评估。 使用各类吞吐量控制器时，性能测试的JMeter工程的调试功能，结果可能不符合预期。 其原因是性能测试的调试只执行脚本一次，此场景建议使用一定数量的并发，小规模短时间的执行替代调试。

如何在一个Flink作业中将数据写入到不同的Elasticsearch集群中？ 在对应的Flink作业中添加如下SQL语句。 create source stream ssource(xx); create sink stream es1(xx) with (xx); create sink stream es2(xx) with (xx); insert into es1 select from ssource; insert into es2 select from ssource; Flink作业重启后，如何保证不丢失数据？ DLI Flink提供了完整可靠的Checkpoint/Savepoint机制，您可以利用该机制，保证在手动重启或者作业异常重启场景下，不丢失数据。 为了避免系统故障导致作业异常自动重启后，丢失数据： −对于Flink SQL作业，您可以勾选“开启Checkpoint”，并合理配置Checkpoint间隔（权衡执行Checkpoint对业务性能的影响以及异常恢复的时长），同时勾选“异常自动重启”，并勾选“从Checkpoint恢复”。配置后，作业异常重启，会从最新成功的Checkpoint文件恢复内部状态和消费位点，保证数据不丢失及聚合算子等内部状态的精确一致语义。同时，为了保证数据不重复，建议使用带主键数据库或者文件系统作为目标数据源，否则下游处理业务需要加上去重逻辑（最新成功Checkpoint记录位点到异常时间段内的数据会重复消费）。 −对于Flink Jar作业，在代码中开启Checkpoint，同时如果有自定义的状态需要保存，您还需要实现ListCheckpointed接口，并为每个算子设置唯一ID。然后在作业配置中，勾选“从Checkpoint恢复”，并准确配置Checkpoint路径。 说明 Flink Checkpoint机制可以保证Flink平台可感知内部状态的精确一致，但对于自定义Source/Sink或者有状态算子，需要合理实现ListCheckpointed接口，来保证业务数据需要的可靠性。 为了避免因业务修改等需要，手动重启作业后，不丢失数据： −对于无内部状态的作业，您可以配置kafka数据源的启动时间或者消费位点到作业停止之前。 −对于有内部状态的作业，您可以在停止作业时，勾选“触发保存点”。成功后，再次启动作业时，开启“恢复保存点”，作业将从选择的savepoint文件中恢复消费位点及状态。同时，由于Flink Checkpoint和Savepoint生成机制及格式一致，因而，也可以通过Flink作业列表“操作”列中的“更多”>“导入保存点”，导入OBS中最新成功的Checkpoint，并从中恢复。

网络类型 使用场景 准备工作 VPC网络 适合云上同区域数据库之间的同步。 源数据库所在的区域要和目标数据库实例所在的区域保持一致。 源数据库可以和目标数据库在同一VPC内，也可以在不同VPC内。 当源数据库和目标数据库处于同一个VPC内的时候，默认网络是连通的，不需要单独设置安全组。 当源数据库和目标数据库不在同一个VPC内的时候，要求源数据库和目标数据库所处的子网处于不同网段，不能重复或交叉， 此时需要通过对等连接实现网络互通。针对这种情况，DRS会在测试连接时自动按照单IP最小范围打通建立路由。 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据同步。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合通过公网网络把其他云下或其他平台的数据库同步到目标数据库 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则 源数据库需要将DRS同步实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS同步实例可以连通。 由于目标数据库和DRS同步实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS同步实例创建成功后，可在“源库及目标库”页面获取DRS同步实例的弹性公网IP。 在选择公网网络进行同步时，如果没有开启SSL安全连接加密同步链路的功能，请确保待同步的数据为非机密数据，再进行数据同步。

本章节主要介绍登录共享数据库实例 假设我有一个数据库实例，想让另一个帐号或者同一个主帐号下的子帐号登录这个实例，并且不允许另一个帐号或者子帐号看到数据库列表中的其他数据库实例，也不想让其他用户知道数据库密码，还是可以登录实例。您可以使用共享数据库登录特性。 前提条件 两个帐号或一个帐号下两个子帐号。 已获取子帐号的UID（User ID）。 使用须知 获得共享数据库登录的用户不能新增数据库、新增用户。 被共享数据库中不包括数据追踪与回滚和后台任务特性。 操作步骤 1、使用子帐号登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择“他人共享给我的数据库登录”页签。 6、单击“查看我的用户ID”，复制UID。 7、使用主帐号登录管理控制台。 8、单击管理控制台右上角的，选择区域和项目。 9、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 10、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 11、在“由我创建的数据库登录”页面，选择需要共享的数据库，单击共享用户数下面的数字。 12、在“查看共享数据库登录的用户”窗口单击“添加共享”。 13、在“添加共享用户”窗口选择添加方式。 手动录入：输入需要被共享用户的UID，添加多个用户时，用分号隔开。 同步子帐号：选择当前登录主帐号下的其他子帐号。 同步EPS用户：选择企业下的分组，在待选用户中添加需要共享的用户。 14、确认信息无误后，单击“确定”。 15、返回子帐号所在数据管理服务控制台，查看是否添加成功。 16、单击操作列的登录，即可登录被共享数据库。