需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码 单节点配置 eth0 10.218.14.144 22 idc1 teledb Car@87v5@K5 OssCenterMasterConfdbEtcd 这里是master 高可用三节点控制台的配置 eth0 10.218.14.144 22 idc1 teledb Car@87v5@K5 OssCenterMasterConfdbEtcd eth0 10.218.14.145 22 idc1 teledb Car@87v5@K5 OssCenterSlaveConfdbEtcd eth0 10.218.14.146 22 idc1 teledb Car@87v5@K5 OssCenterSlaveConfdbEtcd 高可用版本： 单机版本： 执行如下命令修改配置文件ossdcp.conf cd /app/teledbconsole centos.x8664/teledbxmgr/conf/oss/ vim ossdcp.conf 您可按照如下模版修改配置文件内容： ossdcp.conf文件说明 ZKCONNECTSTRING10.218.14.143:8035 填写zk的ip和端口 ZKNODEPATH/services/teledbx zk的注册信息 （可通过查询install.cfg 的registerRootPath行信息获取，使其保持一致） ZKSESSIONTIMEOUT60 不需要修改 ENABLEORDERREPLYtrue ORDERREPLYIP10.218.14.143 填写机器的IP ORDERREPLYPORT9011 不需要修改 ORDERREPLYURL/teledbdcp/v1/workorder/notifyResult 不修要修改 PUSHGATEWAYENABLEDfalse PUSHGATEWAYURL

本章节主要介绍数据架构概述。 数据架构简介 DataArts Studio数据架构以关系建模、维度建模理论支撑，实现规范化、可视化、标准化数据模型开发，定位于数据治理流程设计落地阶段，输出成果用于指导开发人员实践落地数据治理方法论。 数据架构作为数据治理的一个核心模块，承担数据治理过程中的数据加工并业务化的功能。数据架构主要包括数据调研、标准设计、模型设计和指标设计四个部分。数据架构支持DLI、POSTGRESQL、DWS、MRSHive数据连接类型。 DataArts Studio数据架构致力于： 构建统一的数据分类体系，用于目录化管理所有业务数据，便于数据的归类、查找、评价和使用。 构建统一的数据标准体系，基于国家或行业标准，用于标准化每一行数据，每一个字段的具体取值，提升数据质量和易用性。 构建统一的数据模型体系，通过规范定义和数据建模，自顶向下构建企业数据分层体系，沉淀企业数据公共层和主题库，便于数据的流通、共享、创造、创新，提升数据使用效率，极大的减少数据冗余、混乱、隔离、不一致以及谬误等。 模型设计方法概述 根据业务需求抽取信息的主要特征，模拟和抽象出一个能够反映业务信息（对象）之间关联关系的模型，即数据模型。数据模型也是可视化的展现企业内部信息如何组织的蓝图。数据模型应满足三方面要求：能比较真实地模拟业务（场景）；容易为人所理解；便于在IT系统中实现。 在DataArts Studio数据架构的数据建模过程中，用到的建模方法主要有以下两种：

本章节主要介绍升级集群。 升级集群 用户不需要自己操作DWS集群的修补或升级，因为DWS将自动处理版本升级。当DWS服务升级后，DWS将在集群的“可维护时间段”内，自动将集群升级到最新版本，无需人为操作。升级过程中会自动重启集群，在此期间集群将短时间无法提供服务，因此，请合理设置“可维护时间段”，建议用户选择连接用户数少、活跃任务数少的时间。 说明 集群升级到8.1.3及以上版本后，会进入升级观察期，可以观察老业务的运行情况，若发现问题，可快速回退到老版本。 升级集群对原有集群数据没有影响 集群版本说明如下图所示： 服务补丁升级 ：表示集群版本X.X.X最后一位数字的升级更新，例如，集群版本从1.1.0升级到1.1.1。 −持续时间：整个升级过程将花费不到10分钟。 −业务影响：在此期间，业务会中断1至3分钟。如果升级源版本为8.1.2及以上版本，则支持在线补丁，补丁升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。 服务升级 ：表示集群版本X.X.X前面两位数字的升级更新，例如，集群版本从1.1.0升级到1.2.0。 −持续时间：整个升级过程将花费不到30分钟。 −业务影响：在此期间，数据库无法访问。如果升级源版本为8.1.1及以上版本，则支持在线升级，升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。

本章节主要介绍数据治理中心DataArts Studio与其他服务的关系。 统一身份认证服务 DataArts Studio使用统一身份认证服务（Identity and Access Management，简称IAM）实现认证和鉴权功能。 云审计服务 DataArts Studio使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 弹性云主机服务 DataArts Studio使用弹性云主机（Elastic Cloud Server，简称ECS）进行CDM集群和数据服务集群的创建，另外DataArts Studio可以通过主机连接在ECS上执行Shell或Python脚本。 虚拟私有云服务 DataArts Studio使用虚拟私有云服务（Virtual Private Cloud，简称VPC）的创建隔离的网络环境。 弹性公网IP服务 DataArts Studio使用弹性公网IP服务（Elastic IP，简称EIP）打通与公网间的网络通信。 对象存储服务 DataArts Studio使用对象存储服务（Object Storage Service，简称OBS）的桶存储日志信息。 消息通知服务 DataArts Studio使用消息通知服务（Simple Message Notification，简称SMN）依据用户的订阅需求主动推送通知消息，使用户可以在触发告警（如质量监控）时能立即接收到通知。 云专线服务 DataArts Studio使用云专线服务（Direct Connect，简称DC）打通与第三方数据中心的网络通信。 API网关服务 DataArts Studio通过API网关服务（API Gateway，简称APIG）对外开放各组件的API接口。 数据湖探索服务 DataArts Studio支持将数据湖探索服务（Data Lake Insight，简称DLI）作为数据湖底座，进行数据集成、开发、治理与开放。

可能原因 HQL命令语法错误。 执行Hive on HBase任务时HBase服务异常。 执行Hive on Spark任务时Spark服务异常。 依赖的基础服务HDFS、Yarn、ZooKeeper等异常。 处理步骤 检查HQL命令是否符合语法 1.在FusionInsight Manager界面选择“运维 > 告警”，查看告警详情，获取产生告警的节点信息。 2.使用Hive客户端连接到产生该告警的HiveServer节点，查询Apache提供的HQL语法规范，确认输入的命令是否正确。详情请参见 是，执行步骤4。 否，执行步骤3。 说明 若想查看执行错误语句的用户，可下载产生该告警的HiveServer节点的HiveServerAudit日志，下载的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟。打开日志文件查找“ResultFAIL”关键字筛选执行错误语句的日志信息，再根据日志信息中的“UserName”查看执行错误语句的用户。 3.输入正确的HQL语句，观察命令是否正确执行。 是，执行步骤12。 否，执行步骤4。 检查HBase服务是否异常 4.与执行HQL命令的用户确认是否执行的是Hive on HBase任务。 是，执行步骤5。 否，执行步骤8。 5.在FusionInsight Manager界面选择“集群 > 待操作集群的名称 > 服务”，在服务列表查看HBase服务状态是否正常。 是，执行步骤8。 否，执行步骤6。 6.选择“运维 > 告警”，查看告警界面的HBase相关告警，参照对应告警帮助进行处理。 7.输入正确的HQL语句，观察命令是否正确执行。 是，执行步骤12。 否，执行步骤8。

本章节主要介绍 ALM12066 节点间互信失效。 告警解释 系统每一个小时检查一次主OMS节点和其他Agent节点间的互信是否正常，如果存在互信失效的节点，则发送告警。待客户修复改问题，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 12066 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 可能会导致管理面的一些操作异常。 可能原因 /etc/ssh/sshdconfig配置文件被破坏。 omm密码过期。 处理步骤 查看/etc/ssh/sshdconfig配置文件状态 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看告警详情中涉及的主机列表。 2.以omm用户登录主OMS管理节点。 3.依次在告警详情中的节点执行ssh 命令：ssh host2 （host2为告警详情中OMS节点之外的其它节点），看是否连接失败。 是，执行步骤4。 否，执行步骤6。 4.打开host2主机上的“/etc/ssh/sshdconfig”配置文件，查看另外节点是否配置在AllowUsers 、DenyUsers等白名单或者黑名单中。 是，执行步骤5。 否，联系OS专家处理。 5.修改白名单或者黑名单设置，保证omm用户在白名单中或者不在黑名单中。然后持续一段时间观察告警是否清除。 是，操作结束。 否，执行步骤6。

本小节介绍SSL VPN的手机平板安装客户端操作方法。 安卓手机平板安装客户端 方法1 PC端访问SSL VPN客户端接入地址 （IP地址就是搭建SSL VPN 云主机的公网IP，默认的端口是443，如果TCP443端口改成了4433端口或其他端口，打开方式是 方法2 登录官网下载EasyConnect的App软件，官网下载地址见这里。 方法3 安卓手机平板上，打开浏览器输入SSL VPN客户端接入地址 VPN控制台管理页面，“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”里面勾选启用http端口。 苹果iOS手机平板 下载客户端 苹果iOS手机平板上，打开苹果手机上的App Store应用市场，搜索EasyConnect，然后下载安装。 使用方法 1. 手机平板上安装EasyConnect客户端软件后，在手机平板桌面找到“EasyConnect”的图标。 2. 打开运行，输入SSL VPN客户端的接入地址 VPN的用户名和密码，点击“登录”，如下图所示。 3. 接入显示成功后，就可以在资源列表中看到自己所访问的资源权限，然后手机平板上输入天翼云业务服务器的内网私有IP地址访问即可。

请根据操作系统类型下载适当的SSL VPN客户端 根据操作系统类型（Windows 、Android、macOS、iOS ）选择适当的SSL VPN客户端进行安装： Windows 7及以上版本且为X86架构 Android 12.0及以上版本 macOS 10.14及以上版本 系统：iOS 18.4及以上版本 硬件：iphone 11及以上机型 版本号：3.1.11 版本号：3.1.7 版本号：3.1.3 版本号：3.1.2 发布时间：2026年3月23日 发布时间：2026年3月23日 发布时间：2026年1月28日 发布时间：2026年3月23日 立即下载 立即下载 立即下载 立即下载 说明 1、同一个客户端账号，暂不支持在多个终端同时登录。 2、macOS版本下，暂不支持使用中文路径进行软件安装及证书上传。 3、macOS版本下，如从V1版本升级至V3版本，需升级前自行备份VPN连接配置。 4、Windows版本下，为呈现最佳展示效果，建议将显示分辨率设置为 2K，并搭配 125% 的屏幕缩放比例。 开发者：开源软件 隐私政策：开源SDK隐私政策暂未发布 运营者：天翼云科技有限公司 有关APP运行时收集使用个人信息的规则、所需的权限列表及用途等，请参考《CTCloudConnect客户端隐私政策》。 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件： service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电 话： 4008109889 天翼云门户：管理中心工单新建工单；智能客服 天翼云APP：管理工具智能工单

说明：本章节会介绍如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文主要内容介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default 步骤 5 单击“确定”。

本文介绍智能体引擎Agent Engine的应用场景 代码测试与安全分析 为智能体运行提供云端安全隔离的Agent沙箱，主要用于处理不可信或不确定的代码。如果代码在沙箱中崩溃或试图执行危险操作（如删除文件），可以立即阻断，避免污染开发环境。 测试AI生成的代码：在沙箱中运行AI生成的代码，进行单元测试或功能验证；大模型（如Cursor、Copilot）生成的代码可能存在语法错误、逻辑漏洞或安全风险（如SQL注入、命令注入） 恶意软件分析与逆向工程：将可疑文件放入沙箱中运行，观察其行为：是否修改注册表、是否连接暗网IP、是否加密文件；沙箱提供了“观察窗”，让分析师在不冒风险的情况下了解恶意软件的行为 智能体执行测试 目前最热门的应用场景，让Agent在智能体引擎的安全沙箱中运行，调用外部工具（如浏览器、计算器、终端）来完成任务；包含如下场景： UI自动化测试：通过浏览器沙箱运行自动化测试智能体，避免Agent的危险操作或恶意万战访问，无法危及用户的个人电脑或企业内网 终端命令执行：通过沙箱运行智能体执行终端命令，即使Agent的指令被恶意prompt注入（例如，用户诱导AI执行rm rf /），由于沙箱限制了文件系统权限（可能只允许操作Docker相关目录，或挂载了只读根文件系统），也能避免宿主机系统崩溃 多Agent协作：通过沙箱运行多个智能体，模拟协作任务或攻防演练；避免影响真实业务

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

优缺点 Cubecni容器网络优点如下： 同个VPC内，集群外部网络资源可与容器IP互通； 没有解封包和节点路由消耗，容器网络性能优于隧道网络； SLB可直通容器后端，无需经节点NodePort转发，性能更优； 容器访问VPC网络资源，其源IP是容器IP，无需经过节点SNAT，减少节点netfilter连接跟踪表消耗，性能更优且便于审计。 Cubecni容器网络缺点如下： Pod直接使用VPC的IP地址，数量受限于VPC子网的可用IP数，需提前规划。 应用场景 Cubecni容器网络适用如下场景： 适用于需pod能与VPC集群外网络资源互通的场景，如部分业务部署在云主机部分部署在容器的复杂系统，可能需要打通云主机网络和容器网络； 适用于对网络带宽和时延要求高的业务场景，例如游戏、直播类应用； 高性能计算场景，IPVLAN等使用的CPU资源少于隧道网络，为业务本身留出更多计算资源。 容器IP地址段分配 订购使用Cubecni容器网络插件的集群，需为Cubecni选择一个VPC子网。该子网用于为容器提供IP地址，其空闲IP数直接决定可创建pod数上限。建议选择一个大子网给集群使用，如下所示，创建一个掩码为18位的子网，其可用IP为16382个，可为16382个pod分配IP地址： 订购时选择大子网作为pod子网：

本章节主要介绍物理机的网络安全类的问题。 不同帐号下物理机内网是否可以互通？ 不同帐号，即不同租户的物理机内网是不通的。 我申请的物理机是否在同一子网？ 由于您可以自定义网络，所以无论是对于普通网络还是高速网络，物理机是否在一个子网，完全由您来控制。 我申请物理机可以和同VPC内的弹性云主机通信吗？ 可以。 您创建的VPC，可能存在多个子网，物理机和弹性云主机在同一个子网时进行二层通信，在不同网段时进行三层通信，不在同一个vpc内不能直接通信。 此外，物理机和弹性云主机可以在同一个子网中，并且物理机与弹性云主机通信时必须配置安全组规则。 如物理机有多个vpc网卡，则需要在物理机系统内配置策略路由。 在只能使用SSH登录物理机的情况下，如何修改物理机的网络配置或重启网络？ 由物理机自动分配的网络是禁止修改的，在只有SSH登录的情况下修改，有可能会导致物理机无法连接。如果物理机存在自定义vlan网络网卡，您可以配置或修改该网卡的网络。 物理机可以绑定多个弹性公网IP吗？ 一个网卡只能绑定一个EIP。您需要多个EIP时，可以将EIP绑定到扩展网卡，但扩展网卡绑定EIP以后，需要在物理机内根据实际网络情况做相应的操作，例如：增加策略路由或者命名空间等，来保证网络通信正常。

本文主要介绍证书管理。 负载均衡器支持两种类型的证书，云主机证书、CA证书。配置HTTPS监听器时，需要为监听器绑定云主机证书，如果开启双向认证功能，还需要绑定CA证书。 云主机证书：在使用HTTPS协议时，云主机证书用于SSL握手协商，需提供证书内容和私钥。 CA证书： 又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。 注意 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。 负载均衡器只支持原始证书，不支持对证书进行加密。 共享型负载均衡器和后端云主机不能同时使用证书，如果后端云主机使用了证书，那么对应的监听器就不能使用HTTPS协议，可以使用TCP监听器将HTTPS流量透传到后端云主机。独享型负载均衡不存在此限制。 可以使用自签名的证书，使用自签名证书和第三方机构颁发的证书对负载均衡器无区别，但是使用自签名证书会存在安全隐患，建议客户使用权威机构颁发的证书。 负载均衡器只支持PEM格式的证书，其它格式的证书需要转换成PEM格式后，才能上传到负载均衡。 目前ELB不支持对证书有效期等进行检查。 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

linux系统VNC登录界面如何翻页查看命令回显记录？ shift+pgup是向上翻页，shift+pgdn是向下翻页。 天翼云服务器能否更改BIOS？ 天翼云弹性云主机无法更改BIOS。 云主机能否安装在手机上面使用？ 主机不支持安装在手机使用，但可以使用手机进行远程。 VNC连接可选的分辨率太少，是否支持选择多种分辨率？ 无法更改，若对图像质量有硬性要求建议购买GPU云主机。 云主机Windows操作系统，哪个版本占用空间最小？ 系统占用空间相差不多。 如何注册天翼云账号？ 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 注册邮箱不可更改，请确保邮箱的准确性。一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 能否将一个账号下的云主机转移到另一个账号下？ 暂时无法提供账号资源转移的服务。 忘记天翼云账号密码怎么办？ 当用户忘记密码时，可通过登录页面点击“忘记密码”进行重置密码。 1. 进入天翼云官网，点击右上角“登录”，在登录页面点击右下角的“忘记密码”。 2. 填写需要找回的账号，并进行验证。填写邮箱，验证码会通过邮箱发送。填写手机号，验证码会通过手机发送。说明：邮箱需在管理中心基本信息完成邮箱验证后，方可接收验证码。 3. 验证成功后，设置新的登录密码。

计费项说明 本服务按订购时配置的存储容量大小计费。 按量付费为按预购容量的使用时长付费，起步500GB。开通后即开始按时长计费，并非按照实际使用容量计费。 在使用弹性文件服务过程中，除文件存储本身的存储容量费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将非天翼云数据迁移至弹性文件服务时，需要将文件系统挂载至一台连接公网的云主机上实现数据上传和下载，将占用弹性IP提供的公网带宽。具体费用信息，请参考弹性IP计费概述。 云专线费用 当您使用云专线服务接入本地数据中心时，将会收取云专线使用费用。具体费用信息，请参考计费项及计费方式云专线。 密钥管理费用 弹性文件服务部分地域支持加密服务，可创建加密文件系统，依赖于天翼云密钥管理服务。该服务提供一定免费额度的密钥对，超出额度后按量付费使用。具体费用信息，请参考密钥管理计费概述。 计费周期 计费模式 计费周期 扣费及出账时间 :: 按量付费 小时 账单出账时间通常在当前计费周期结束后下一小时，具体以系统实际出账时间为准 包年 月 账单出账时间通常在当前计费周期结束的下个自然月1日，具体以系统实际出账时间为准

补充说明 镜像制作时需要注意的几个事项： 1. 如果数据库配置文件需要修改，可以通过修改配置模版文件。 plaintext /opt/openGauss/share/postgresql/postgresql.conf.sample 2. 制作镜像前，删除测试的数据库和日志目录。 plaintext rm rf /opt/openGauss/data/ rm rf /opt/openGauss/logs/ chgrp wheel /opt/openGauss chmod R 775 /opt/openGauss 3. CTyunOS的默认LCTIME和LANG不一致，设置为一致。 plaintext vi /etc/locale.conf LANGenUS.UTF8 LCTIMEenUS.UTF8 4. 清理/etc/hosts 临时虚机残留内容。 相关常见问题 常见问题一：安装过程如果通过安装脚本install.sh会有"bash: ulimit: open files: cannot modify limit: Operation not permitted"报错 plaintext sudo ulimit n 1000000 常见问题二：gsctl start服务提示"Failed to parse cgroup config file" 该警告通常不影响数据库正常运行，可忽略。若需消除，可安装完整 cgroup 工具包或忽略日志。 常见问题三：如何修改数据库服务的监听IP地址 plaintext vim postgresql.conf 监听所有地址 listenaddresses 'localhost' > listenaddresses '' 重启服务 gsctl restart 常见问题四：客户端无法连接数据库 1. 先排查网络是否可达，检查安全组和iptables等规则。 2. 如果前面检查无任务问题，再检查本地服务是否运行。 plaintext gsctl status 3. 服务端配置数据库访问白名单。 plaintext vim pghba.conf 最后添加（可以配置多条） host all all 0.0.0.0/0 sha256

概述 API分组环境变量用于在不同的环境（生产，测试，开发）中引用同一个环境变量中不同的值，从而可以灵活引用变量。通常用于动态调整配置项，比如数据库连接、外部服务的 URL、认证密钥等。这减少了硬编码，并使得应用程序能够根据部署环境自动适应配置变化。 创建环境变量 1. 进入API托管>分组管理菜单页 2. 点击环境变量管理，进入环境变量管理页，在对应的环境tab页下点击新增环境变量按钮，填写变量名和变量值进行创建。 注意 每个环境下允许最多创建50个变量；创建同名环境变量时会覆盖已有环境变量值。 删除环境变量 用户可以对环境下的环境变量进行删除操作。注意：删除前请先确保该环境变量没有在API定义中使用。 使用环境变量 创建了环境变量后，可以在API定义中在请求Path、入参默认值、后端服务地址部分加入变量，以 变量名 表示，如请求path可以填写“/ version ”。 当该API定义发布到该环境时，API定义中的变量就会取值对应的变量值，即发布过程中变量标识会被相应环境的变量值替换。例如在生产环境中定义了变量version的值为v1，则上述API的请求path会被解析为/v1。 注意 1. 变量名严格区分大小写。 2. 如果在API定义中设置了变量，那么一定要在要发布的环境上配置变量名&变量值，否则变量无赋值，API将无法正常调用。 3. API调试暂不支持进行环境变量解析。

本节主要介绍产品定义。 GeminiDB Influx接口是一款基于计算存储分离架构，兼容InfluxDB生态的云原生NoSQL时序数据库。在云计算平台高性能、高可用、高可靠、高安全、可弹性伸缩的基础上，提供了一键部署、快速备份恢复、计算存储独立扩容、监控告警等服务能力。广泛应用于资源监控、业务监控分析、物联网设备实时监控、工业生产监控、生产质量评估和故障回溯等。提供大并发的时序数据读写，压缩存储和类SQL查询，并且支持多维聚合计算和数据可视化分析能力。 GeminiDB Influx接口具有高写入、灵活弹性、高压缩率和高查询的特点。 高写入性能 数据按“时间Range + 时间线Hash”两层打散，分布式并行写入,且最高每天处理万亿级时间点写入。 灵活弹性 计算独立按需扩展、扩容不迁移数据，分钟级完成集群节点扩缩容。 高压缩率 列式存储布局和专用压缩算法，相比开源版本压缩率可以提升5~10倍左右。 高查询性能 多节点多线程并行查询，可高效处理高并发大数据量分析任务。 典型应用 IoT传感器时序数据分析 物联网应用，规模和可靠性至关重要。GeminiDB Influx接口提供了高吞吐量和并发性，您可以通过快速的响应时间来支持大量的连接。因此非常适合要求苛刻的物联网应用。 优势 ： 超强写入：小批量写入场景性能为开源版本InfluxDB的4.5倍，大批量写入场景性能为开源版本InfluxDB的3.3倍。 弹性扩展：基于计算存储分离的分布式架构，分钟级计算节点扩容，应对业务高峰期。

产品优势 使用简单 可以通过控制台或者API等方式快速创建和管理VPC。 网络自定义 VPC提供了自定义的网络管理功能，可以按需划分子网，通过配置路由表和路由规则，实现云上网络定制化。 安全隔离 VPC之间基于隧道技术进行隔离，VPC之间默认不互通，同时基于网络ACL和安全组做多重安全防护。 网络扩展 基于不同的业务需求，创建一个或者多个VPC内不同的子网来部署不同的业务类型，同时结合相应的云网络产品实现不同VPC之间互通、VPC与公网互通以及VPC和本地IDC互通，实现网络的扩展。 应用场景 根据业务需求通过VPC创建云上网络环境用于部署云上资源，并通过子网做进一步的网络细化管理，结合自定义路由功能对路由做精确控制，结合安全组和网络ACL做安全访问控制。 通过VPC对等连接或者VPN网关实现同地域下不同VPC或者不同地域下不同VPC的内网互通。 通过弹性公网IP、公网NAT和公网SLB实现VPC和公网之间的互通。 通过云专线或者VPN网关实现VPC和本地IDC之间的互通。 使用限制 限制 说明 VPC网段范围 使用10.0.0.0/8、192.168.0.0/16、172.16.0.0/12及其子网，其中子网最大的掩码支持28。 子网CIDR范围 子网CIDR的掩码范围最小为VPC网段的最小掩码，最大为29。 子网可用IP 每个子网网段中第一个、第二个和最后一个地址为预留地址，其他地址皆为可用地址。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

本节介绍了云容器引擎的最佳实践：通过特权容器配置内核参数。 前提条件 开通特权容器需要通过命令行模式连接到目标集群，所以需要先保存集群kubeconfig，并且配置好kubectl环境。 注意 修改主机的内核配置可能会对系统的稳定性和安全性产生影响，因此在进行这些操作时请谨慎考虑，并确保您具备足够的了解和经验。 后台操作流程 编写应用yaml，创建特权容器，示例如下： kind: DaemonSet apiVersion: apps/v1 metadata: name: daemonsettest labels: name: daemonsettest spec: selector: matchLabels: name: daemonsettest template: metadata: labels: name: daemonsettest spec: hostNetwork: true containers: name: daemonsettest image: nginx:alpine command: "/bin/sh" args: "c" while :; do time$(date);done imagePullPolicy: IfNotPresent lifecycle: postStart: exec: command: sysctl "w" net.ipv4.tcptwreuse1 securityContext: privileged: true imagePullSecrets: name: defaultsecret spec.spec.containers.lifecycle 字段是指容器启动后执行设置的命令；spec.spec.containers.securityContext.privileged: true是指开启特权容器。 使用以上yaml文件创建特权容器：kubectl apply f daemonsettest.yaml 执行后查看是否容器启动成功：kubectl get daemonset 当看到READY数量跟节点数量相同时，说明已经全部创建成功，则可以在当前主机执行kubectl get po grep daemonsettest 或者docker ps grep daemonsettest查找对应容器。 通过命令 docker exec it 356d0e5a831c /bin/sh 或 kubectl exec it podname bash 进入容器内部，然后执行命令sysctl a grep net.ipv4.tcptwreuse查看对应的内容是否有修改命令行终端确认修改系统参数成功。

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑”，选择“映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹内容为文件系统的挂载地址，可在文件系统的详情页获取。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

出现长连接请求超时如何处理？ 如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。 出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可联系我们进行配置。 出现Android客户端或小程序访问异常怎么办？ 域名接入边缘安全加速平台后如果出现部分客户端访问异常的情况，比如PC浏览器访问正常，但是Android版微信访问域名出现一片空白或者小程序访问异常，遇到这种情况可通过以下步骤排查： 排查HTTPS证书是否有问题 检查是否为HTTPS协议访问的域名，如果是请检查HTTPS证书是否有效，证书失效时要及时更新证书。同时检查证书链是否完整，如果证书链不完整，请重新上传证书链完整的证书。 判断请求是否被WAF拦截 如果请求返回403状态码，那有可能是被WAF防护引擎拦截了。在边缘安全加速控制台，通过日志与数据分析 > 数据分析 > 域名安全防护分析，查看每条拦截请求的攻击详细信息，通过日志判断被拦截的原因，如果确认为误拦截可添加对应的白名单规则放行。

iSCSI Target iSCSI Target是位于iSCSI服务器上的存储资源。它是一个通过IP网络基础设施来连接数据存储设备的协议，允许将远程存储设备映射到本地主机，提供了一种基于网络的存储解决方案。 iSCSI目标门户 iSCSI目标门户即HBlock服务器的目标门户，用于与HBlock不在同一局域网的Initiator通信。 如果与HBlock不在同一局域网的Initiator想访问HBlock某一服务器，需要先进行网络配置（如NAT等），确保Initiator可以通过该IP地址访问HBlock服务器，然后将该地址配置为HBlock服务器的目标门户，之后Initiator即可通过配置的目标门户访问HBlock服务器。 存储池 存储池：硬件提供的存储资源的集合，物理上通常指的是同一种介质的硬盘(跨多台服务器)的集合。也可以根据自己的需要将不同机房、机柜的服务器上的数据目录组成存储池。 基础存储池：初始化时默认创建的存储池为基础存储池。通过3.7之前的版本升级上来的物理资源也都属于基础存储池。 QoS策略 QoS（Quality of Service，服务质量）策略通过令牌桶算法精确调控IOPS与吞吐量，在拥塞出现前就完成流量整形，从源头避免网络拥塞。 该策略可以根据实际需求，应用下列场景： 关键业务保障：通过限制周边业务的I/O，间接保障核心业务服务质量。 存储分层优化：在不同性能层(如SSD和HDD)之间合理分配I/O资源，优化混合存储环境中的性能表现。 突发流量处理：允许短时间超出基准限制，平滑处理突发I/O而不直接拒绝请求。

本文介绍了云防火墙（原生版）产品的流量日志功能。 约束条件 最多支持查看最近7天的日志。 流量日志将在网络会话连接断开后被上报。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 流量日志”，进入流量日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、协议、目的端口、动作、源IP地址、源端口、目的IP地址、方向进行筛选。 5. 流量日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、方向、动作、请求流字节数、请求流报文数、响应流字节数、响应流报文数、规则名。 流量日志参数说明 参数 说明 发生时间 流量日志上报的时间。 源IP地址 该条流量的源IP地址。 源端口 该条流量的源端口。 目的IP地址 访问的目的IP。 目的端口 该条流量的目的端口。 协议 该条流量的协议类型。 应用 该条流量所属应用。 方向 该条流量会话是入方向或是出方向。仅互联网边界防火墙有该参数。 动作 该条流量被拦截或放行。 请求流字节数 客户端发送到服务器的字节总数。 请求流报文数 客户端发送到服务器的数据包数量。 响应流字节数 服务器返回给客户端的总字节数。 响应流报文数 服务器返回给客户端的数据包数量。 规则名 该条流量匹配到的防护规则名称。

section1588682602717 " ")QPS计算方式。 QPS（Queries Per Second）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。 发送/接收字节数 域名访问的占用带宽。 发送、接收字节数是通过requestlength，upstreambytesreceived按时间进行累加统计，与EIP上监控的网络带宽值存在差异。此外，造成两者差异的原因，还可能跟网页压缩、连接复用、TCP重传等因素相关。 响应码 可以查看“WAF返回客户端”和“源站返回给WAF”对应响应码以及响应次数。 响应码的数量是按照图表下方响应码的顺序（从左至右）累加进行显示，对应响应码的数量是为两条线的差值（如果某个响应码值为0，会与前一个的响应码显示的线重合）。 事件分布 查看攻击事件类型。 单击“事件分布”中的任意一个区域，可查看指定域名被攻击的类型、攻击的次数、以及攻击占比。 受攻击域名 Top10 受攻击统计次数Top 10的域名以及各域名受攻击的次数。 单击“查看更多”，可以跳转到“防护事件”页面，查看更多防护数据。 攻击源IP Top10 攻击次数Top 10的攻击源IP以及各源IP发起的攻击次数。 单击“查看更多”，可以跳转到“防护事件”页面，查看更多防护数据。 受攻击URL Top10 受攻击统计次数Top 10的URL以及各URL受攻击的次数。 单击“查看更多”，可以跳转到“防护事件”页面，查看更多防护数据。

DRDS支持直接连接DBProxy执行DDL语句，本文为您介绍dbproxy支持授权和回收权限的GRANT/REVOKE语句。 注意 仅V5.1.20.0.13及以后版本的实例，支持使用本文介绍的DDL语句。 GRANT语句 支持的语法： plaintext 授权库表权限给用户或者角色 [UDAL] GRANT { 权限列表 ALL } ON { SCHEMA TABLE } '对象名称' TO { USER ROLE } '授权对象'; 授权角色权限给用户 [UDAL] GRANT ROLE '角色列表' to USER 'username'; 语法说明： 权限列表：目前支持填写ALL代表拥有所有权限，以及可选权限：SELECTDELETEUPDATEINSERTTRUNCATEDECRYPT，当需要同时设置多个权限，用逗号进行隔开，必填 对象名称：当需要授权库权限时填写库名，当需要授权表权限时填写表名格式为schemaname.tablename，目前仅支持对单个表或者库进行授权，必填 授权对象：填写用户名或者表名，必填 角色列表：赋予用户的角色，可以是多个角色，如果是同时赋予多个角色，需要用逗号分开并用单引号或双引号包括起来，必填 username：需要赋权的用户名，必填 使用示例： plaintext 授权库权限给用户test UDAL GRANT ALL ON SCHEMA 'bugtest' TO USER 'test'; 授权表权限给用户test UDAL GRANT SELECT,INSERT ON TABLE 'bugtest.sharding1' TO USER 'test'; 授权角色权限给用户test UDAL GRANT ROLE 'role1, role2' to USER 'test'; 授权库权限给角色role1 UDAL GRANT all on schema 'bugtest' to role 'role1'; 授权表权限给角色role1 UDAL GRANT delete on table 'bugtest.sharding1' to role 'role1';

本节主要介绍 锁&事务 。 InnoDB锁等待 该功能展示了当前时刻(实时)数据库的DML操作之前的锁等待的信息，可以快速帮助定位多个会话因同时更新同一条数据，而产生的会话等待和阻塞，并且支持快速终止持有锁的源头会话，从而恢复被阻塞的操作。 说明 DDL锁(Metadata Lock, MDL)，不在当前功能的范围之内，可以使用元数据锁进行分析和查看。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 选择“锁&事务”下的“InnoDB锁等待”，即可查看是否存在锁等待。 元数据锁 元数据锁(Metadata Lock, MDL)，其作用是用于解决DDL操作与DML操作的一致性。通常DDL操作需要获取MDL写锁，并且MDL锁一旦发生，可能会影响数据库的性能，因为后续对该表的任何Select、DML、DDL操作都会被阻塞，造成连接积压。 该功能展示了当前时刻(实时)数据库的MDL锁的信息，可以快速帮助定位MDL问题、终止持有MDL锁的会话，从而恢复被阻塞的操作。

创建MySQL实例时，系统默认开启自动备份策略，您可以参考本文操作根据实际情况修改备份策略，修改后，系统将按照您设置的备份策略对数据库进行备份。 操作场景 MySQL服务的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。备份以压缩包的形式存储在对象存储服务上，以保证数据的机密性和持久性。 注意 由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。 设置自动备份策略后，会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，备份文件将按照策略中的保留天数进行存放，备份时长和备份文件占用的存储空间和实例的数据量有关。 关系数据库MySQL版支持自动备份，您可以根据业务需要自定义备份策略。关系数据库MySQL版会帮助您自动完成数据备份。 约束限制 备份时长与实例数据量大小成正比，如果数据量较大，备份需消耗的时间会较长。 全量备份时不允许重启数据库，请谨慎选择备份时间段。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败： 备份所属的实例正在执行DDL操作。 从备份所属的实例获取备份锁失败。 全量备份会占用节点资源，尤其是磁盘带宽。可能会导致实例吞吐量下降，复制时延等问题。

该任务用于指导软件工程师安装部署teledb管控服务。 该任务用于指导软件工程师安装部署teledb管控服务。 前提条件 已初始化环境，包括创建teledb用户，挂载磁盘，并给于sudo权限。 操作步骤 本次安装以X86安装包为例： 1. 创建根目录提供给挂载盘/data使用，并给于sudo权限。 plaintext mkdir p /data mount /dev/vdb /data echo "UUID"blkid /dev/vdbcut d '"' f2" /data xfs defaults 0 0" sudo tee a /etc/fstab 2. 上传并解压安装包 plaintext cd /app 上传teledbdeployx86centos.zip和teledbxossxxxi.x8664.rpm至app目录下。 unzip teledbdeployx86centos.zip cd teledbdeployx86centos/teledbxmirror/pgxzm cp teledbxossxxxi.x8664.rpm 3. 安装dos2unix 执行如下命令 plaintext cd /app/teledbdeployx86centos/teledbxmirror/deploy/utils/ rpm ivh dos2unix6.0.34.el7.x8664.rpm 出现如下回显信息。 plaintext cd /app chmod R 755 teledbdeployx86centos chown R teledb:teledb /app 4. 修改配置文件role.info和ossinit.conf 执行如下命令修改role.info配置文件 plaintext su teledb cd /app/teledbdeployx86centos/teledbxmgr/conf vim role.info 您可按照如下模版修改配置文件内容： 需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码