本章节介绍什么是主机迁移服务。 主机迁移服务是一种P2V/V2V迁移服务，可以帮您把X86物理服务器或者私有云、公有云平台上的虚拟机迁移到天翼云云主机上，从而帮助您轻松地把服务器上的应用和数据迁移到天翼云。 图 主机迁移服务工作原理 主机迁移服务工作原理 主机迁移服务的工作原理如下，其中第1步和第3步需要用户操作，其余步骤由主机迁移服务自动完成。 1. 用户在源端服务器上安装迁移Agent。 2. 源端服务器上的迁移Agent向主机迁移服务注册自身连接状态并将源端服务器信息上报到主机迁移服务，完成迁移可行性检查。 3. 用户创建迁移任务。 4. 迁移Agent获取并执行主机迁移服务发送的迁移指令。 5. 迁移源端服务器系统盘。 6. 迁移源端服务器数据盘。 7. 启动目的端。 说明 源端：指的是您计划进行迁移的X86架构的物理服务器，或者位于私有云、公有云平台上的虚拟机。 目的端：在创建迁移任务时，您可以选择一个ECS云主机作为目的端。目的端将承载源端迁移后的数据和应用程序，成为新的业务运行环境。在迁移过程中，源端服务器的数据会按照迁移策略进行传输，并覆盖目的端原有的数据。 服务端：指主机迁移服务。

本文为您介绍如何在Serverless集群中部署Jenkins并完成应用构建和部署。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 确保目标集群的安全组已经开放相关端口号。 确保kubectl工具已经连接目标集群。 操作步骤 1. 首先需要配置Jenkins Helm 仓库。 helm repo add jenkins helm repo update 2. 安装Jenkins。 1. 创建cicd命名空间。 kubectl create ns cicd 2. 创建存储卷，用于保存jenkins中的数据。 当您使用CSI插件来创建存储卷时，创建具体操作，请参见CSI插件安装。 3. 在cicd命名空间下部署jenkins应用。 helm n cicd install jenkins jenkins/jenkins set persistence.existingClaimpvccsi set controller.adminPassword"adminpwd" set controller.serviceType"LoadBalancer" persistence.existingClaimpvcnas：必选项，在cicd命名空间下创建的存储卷的PVC名称为pvccsi。 controller.adminPassword"admin"：可选项，默认将生成随机密码。 controller.serviceType"LoadBalancer"：可选项，默认为ClusterIP类型。 4. 上面步骤会创建1个jenkins的pod，查看jenkins的pod是否正常。 kubectl n cicd get po 5. 使用浏览器访问jenkins服务，输入账号密码进行登录。 3.创建流水线任务。 1. 登录Jenkins，在左侧菜单栏单击New Item。 2. 在Enter an item name区域，输入名称mypipeline，选择Pipeline类型，然后单击OK。 3. 在页面顶部单击Pipeline页签，选择Hello World模板，然后单击Save。 4. 点击Build Now执行构建。 5. 可以点击Build History，然后单击1

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

本文介绍如何通过Pod环境变量采集应用日志。 为了简化日志管理流程，天翼云提供一套完整的日志服务解决方案，让您免开发即可实现日志的快速获取、存储、检索和分析。在 Serverless集群中，借助其内置的日志服务托管功能，您可以通过设置相应的环境变量，轻松地将业务容器的标准输出和相关日志文件接入云日志服务。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：创建应用并配置日志服务 为了给容器指定采集配置，需要使用env来为容器增加采集配置，并根据采集配置，创建对应的volumeMounts和volumes。Pod YAML示例如下： shell apiVersion: v1 kind: Pod metadata: name: busyboxenvs spec: containers: name: busybox image: 'registryhuadong1.crsinternal.ctyun.cn/opensource/busybox:1.36' args: c mkdir p /var/log;while true; do echo hello world; date; echo hello als >> /var/log/test.log; sleep 1;done command: /bin/sh env: 配置环境变量 name: Ctyunlogsecilogstdout value: stdout name: Ctyunlogsecilogvarlog value: /var/log/.log name: Ctyunlogsecilogstdoutproject value: k8slogdemo name: Ctyunlogsecilogvarlogproject value: k8slogdemo name: Ctyunlogsecilogstdoutunit value: logstdout name: Ctyunlogsecilogvarlogunit value: logvarlog

需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码 单节点配置 eth0 10.218.14.144 22 idc1 teledb Car@87v5@K5 OssCenterMasterConfdbEtcd 这里是master 高可用三节点控制台的配置 eth0 10.218.14.144 22 idc1 teledb Car@87v5@K5 OssCenterMasterConfdbEtcd eth0 10.218.14.145 22 idc1 teledb Car@87v5@K5 OssCenterSlaveConfdbEtcd eth0 10.218.14.146 22 idc1 teledb Car@87v5@K5 OssCenterSlaveConfdbEtcd 高可用版本： 单机版本： 执行如下命令修改配置文件ossdcp.conf cd /app/teledbconsole centos.x8664/teledbxmgr/conf/oss/ vim ossdcp.conf 您可按照如下模版修改配置文件内容： ossdcp.conf文件说明 ZKCONNECTSTRING10.218.14.143:8035 填写zk的ip和端口 ZKNODEPATH/services/teledbx zk的注册信息 （可通过查询install.cfg 的registerRootPath行信息获取，使其保持一致） ZKSESSIONTIMEOUT60 不需要修改 ENABLEORDERREPLYtrue ORDERREPLYIP10.218.14.143 填写机器的IP ORDERREPLYPORT9011 不需要修改 ORDERREPLYURL/teledbdcp/v1/workorder/notifyResult 不修要修改 PUSHGATEWAYENABLEDfalse PUSHGATEWAYURL

本章节主要介绍数据架构概述。 数据架构简介 DataArts Studio数据架构以关系建模、维度建模理论支撑，实现规范化、可视化、标准化数据模型开发，定位于数据治理流程设计落地阶段，输出成果用于指导开发人员实践落地数据治理方法论。 数据架构作为数据治理的一个核心模块，承担数据治理过程中的数据加工并业务化的功能。数据架构主要包括数据调研、标准设计、模型设计和指标设计四个部分。数据架构支持DLI、POSTGRESQL、DWS、MRSHive数据连接类型。 DataArts Studio数据架构致力于： 构建统一的数据分类体系，用于目录化管理所有业务数据，便于数据的归类、查找、评价和使用。 构建统一的数据标准体系，基于国家或行业标准，用于标准化每一行数据，每一个字段的具体取值，提升数据质量和易用性。 构建统一的数据模型体系，通过规范定义和数据建模，自顶向下构建企业数据分层体系，沉淀企业数据公共层和主题库，便于数据的流通、共享、创造、创新，提升数据使用效率，极大的减少数据冗余、混乱、隔离、不一致以及谬误等。 模型设计方法概述 根据业务需求抽取信息的主要特征，模拟和抽象出一个能够反映业务信息（对象）之间关联关系的模型，即数据模型。数据模型也是可视化的展现企业内部信息如何组织的蓝图。数据模型应满足三方面要求：能比较真实地模拟业务（场景）；容易为人所理解；便于在IT系统中实现。 在DataArts Studio数据架构的数据建模过程中，用到的建模方法主要有以下两种：

本章节主要介绍升级集群。 升级集群 用户不需要自己操作DWS集群的修补或升级，因为DWS将自动处理版本升级。当DWS服务升级后，DWS将在集群的“可维护时间段”内，自动将集群升级到最新版本，无需人为操作。升级过程中会自动重启集群，在此期间集群将短时间无法提供服务，因此，请合理设置“可维护时间段”，建议用户选择连接用户数少、活跃任务数少的时间。 说明 集群升级到8.1.3及以上版本后，会进入升级观察期，可以观察老业务的运行情况，若发现问题，可快速回退到老版本。 升级集群对原有集群数据没有影响 集群版本说明如下图所示： 服务补丁升级 ：表示集群版本X.X.X最后一位数字的升级更新，例如，集群版本从1.1.0升级到1.1.1。 −持续时间：整个升级过程将花费不到10分钟。 −业务影响：在此期间，业务会中断1至3分钟。如果升级源版本为8.1.2及以上版本，则支持在线补丁，补丁升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。 服务升级 ：表示集群版本X.X.X前面两位数字的升级更新，例如，集群版本从1.1.0升级到1.2.0。 −持续时间：整个升级过程将花费不到30分钟。 −业务影响：在此期间，数据库无法访问。如果升级源版本为8.1.1及以上版本，则支持在线升级，升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。

本章节主要介绍数据治理中心DataArts Studio与其他服务的关系。 统一身份认证服务 DataArts Studio使用统一身份认证服务（Identity and Access Management，简称IAM）实现认证和鉴权功能。 云审计服务 DataArts Studio使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 弹性云主机服务 DataArts Studio使用弹性云主机（Elastic Cloud Server，简称ECS）进行CDM集群和数据服务集群的创建，另外DataArts Studio可以通过主机连接在ECS上执行Shell或Python脚本。 虚拟私有云服务 DataArts Studio使用虚拟私有云服务（Virtual Private Cloud，简称VPC）的创建隔离的网络环境。 弹性公网IP服务 DataArts Studio使用弹性公网IP服务（Elastic IP，简称EIP）打通与公网间的网络通信。 对象存储服务 DataArts Studio使用对象存储服务（Object Storage Service，简称OBS）的桶存储日志信息。 消息通知服务 DataArts Studio使用消息通知服务（Simple Message Notification，简称SMN）依据用户的订阅需求主动推送通知消息，使用户可以在触发告警（如质量监控）时能立即接收到通知。 云专线服务 DataArts Studio使用云专线服务（Direct Connect，简称DC）打通与第三方数据中心的网络通信。 API网关服务 DataArts Studio通过API网关服务（API Gateway，简称APIG）对外开放各组件的API接口。 数据湖探索服务 DataArts Studio支持将数据湖探索服务（Data Lake Insight，简称DLI）作为数据湖底座，进行数据集成、开发、治理与开放。

可能原因 HQL命令语法错误。 执行Hive on HBase任务时HBase服务异常。 执行Hive on Spark任务时Spark服务异常。 依赖的基础服务HDFS、Yarn、ZooKeeper等异常。 处理步骤 检查HQL命令是否符合语法 1.在FusionInsight Manager界面选择“运维 > 告警”，查看告警详情，获取产生告警的节点信息。 2.使用Hive客户端连接到产生该告警的HiveServer节点，查询Apache提供的HQL语法规范，确认输入的命令是否正确。详情请参见 是，执行步骤4。 否，执行步骤3。 说明 若想查看执行错误语句的用户，可下载产生该告警的HiveServer节点的HiveServerAudit日志，下载的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟。打开日志文件查找“ResultFAIL”关键字筛选执行错误语句的日志信息，再根据日志信息中的“UserName”查看执行错误语句的用户。 3.输入正确的HQL语句，观察命令是否正确执行。 是，执行步骤12。 否，执行步骤4。 检查HBase服务是否异常 4.与执行HQL命令的用户确认是否执行的是Hive on HBase任务。 是，执行步骤5。 否，执行步骤8。 5.在FusionInsight Manager界面选择“集群 > 待操作集群的名称 > 服务”，在服务列表查看HBase服务状态是否正常。 是，执行步骤8。 否，执行步骤6。 6.选择“运维 > 告警”，查看告警界面的HBase相关告警，参照对应告警帮助进行处理。 7.输入正确的HQL语句，观察命令是否正确执行。 是，执行步骤12。 否，执行步骤8。

本章节主要介绍 ALM12066 节点间互信失效。 告警解释 系统每一个小时检查一次主OMS节点和其他Agent节点间的互信是否正常，如果存在互信失效的节点，则发送告警。待客户修复改问题，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 12066 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 可能会导致管理面的一些操作异常。 可能原因 /etc/ssh/sshdconfig配置文件被破坏。 omm密码过期。 处理步骤 查看/etc/ssh/sshdconfig配置文件状态 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看告警详情中涉及的主机列表。 2.以omm用户登录主OMS管理节点。 3.依次在告警详情中的节点执行ssh 命令：ssh host2 （host2为告警详情中OMS节点之外的其它节点），看是否连接失败。 是，执行步骤4。 否，执行步骤6。 4.打开host2主机上的“/etc/ssh/sshdconfig”配置文件，查看另外节点是否配置在AllowUsers 、DenyUsers等白名单或者黑名单中。 是，执行步骤5。 否，联系OS专家处理。 5.修改白名单或者黑名单设置，保证omm用户在白名单中或者不在黑名单中。然后持续一段时间观察告警是否清除。 是，操作结束。 否，执行步骤6。

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

DRDS系统策略 DRDS默认提供两种系统策略供用户选择，策略仅包括数据库管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。DRDS的两种默认策略分别是管理员策略（DRDS admin），浏览者策略（DRDS viewer），两种策略的权限模型具体如下： 功能模块 权限名称 drds admin drds viewer 实例管理 DRDS查询实例节点 Y Y 实例管理 DRDS查看节点日志 Y Y 实例管理 DRDS检测节点运行状态 Y Y 实例管理 DRDS启动节点 Y 实例管理 DRDS重启节点 Y 实例管理 DRDS停止节点 Y 实例管理 DRDS设置节点属性 Y 实例管理 DRDS查询实例分组 Y Y 用户管理 DRDS查询实例用户列表 Y Y 用户管理 DRDS添加实例用户 Y 用户管理 DRDS编辑实例用户 Y 用户管理 DRDS修改实例用户密码 Y 用户管理 DRDS删除实例用户 Y 用户管理 DRDS查询用户关联的角色 Y Y 用户管理 DRDS添加用户关联的角色 Y 用户管理 DRDS修改用户关联的角色 Y 用户管理 DRDS删除用户关联的角色 Y 用户管理 DRDS查询用户权限 Y Y 用户管理 DRDS添加用户权限 Y 用户管理 DRDS修改用户权限 Y 用户管理 DRDS删除用户权限 Y 用户管理 DRDS获取所有用户密码策略列表 Y Y 用户管理 DRDS获取用户的分组权限 Y Y 角色管理 DRDS新增角色权限 Y 角色管理 DRDS删除角色权限 Y 角色管理 DRDS修改角色权限 Y 角色管理 DRDS查询角色权限 Y Y 角色管理 DRDS新增角色 Y 角色管理 DRDS修改角色 Y 角色管理 DRDS删除角色 Y 角色管理 DRDS查询角色 Y Y schema管理 DRDS获取集群所有的分组权限 Y Y schema管理 DRDS查询分组属性和schema属性 Y Y schema管理 DRDS设置分组属性值和schema属性值 Y schema管理 DRDS查询Schema列表 Y Y schema管理 DRDS获取Schema各种类型的表的数量 Y Y schema管理 DRDS查询Schema基本信息 Y Y schema管理 DRDS创建前检测Schema Y Y schema管理 DRDS创建Schema Y schema管理 DRDS删除Schema Y schema管理 DRDS导出Schema脚本 Y Y schema管理 DRDS查询schema分片 Y Y schema管理 DRDS查询全局序列列表 Y Y schema管理 DRDS新增全局序列 Y schema管理 DRDS修改当前序列值 Y schema管理 DRDS批量删除序列 Y schema管理 DRDS查看序列DDL语句 Y Y schema管理 DRDS查询schema库表 Y Y schema管理 DRDS创建schema库表 Y schema管理 DRDS删除schema库表 Y schema管理 DRDS验证建表DDL语句 Y Y schema管理 DRDS查看schemaDDL语句 Y Y schema管理 DRDS查询库表公共字段 Y Y schema管理 DRDS设置分片规则 Y schema管理 DRDS查询schema所有已设置分片规则的库表 Y Y schema管理 DRDS查看库表详情 Y Y schema管理 DRDS查询所有分片算法 Y Y 分组管理 DRDS查询DML审计规则 Y Y 分组管理 DRDS新增DML审计规则 Y 分组管理 DRDS更新DML审计规则 Y 分组管理 DRDS删除DML审计规则 Y 分组管理 DRDS查询DML审计日志 Y Y DDL审计 DRDS查询DDL审计规则 Y Y DDL审计 DRDS更新DDL审计规则 Y DDL审计 DRDS查询DDL审计日志 Y Y 分组管理 DRDS查询属性分组信息 Y Y 监控 DRDS查询实例TPS Y Y 监控 DRDS查询实例CPU Y Y 监控 DRDS查询实例前端连接 Y Y 监控 DRDS查询实例后端连接 Y Y 监控 DRDS查询语句执行情况 Y Y 统计分析 DRDS获取分片表统计数据 Y Y 统计分析 DRDS获取SQL执行统计数据 Y Y 统计分析 DRDS获取慢SQL统计数据 Y Y 统计分析 DRDS获取总SQL数 Y Y 统计分析 DRDS获取解释SQL语句 Y Y 统计分析 DRDS获取事务统计图表数据 Y Y 说明 上述表格进包含部分重要权限，如需查看全部权限请访问IAM平台。

本文介绍ECI实例概述。 本文主要介绍弹性容器实例ECI Pod的主要功能以及使用限制。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 Kubernetes应用限制 借助Kubernetes社区的Virtual Kubelet技术，天翼云ECI可以完美连接到Kubernetes，实现真正意义上的无缝连接。ECI实例并不会在一个集中式的真实节点上运行，而是分布在整个天翼云的资源池中。由于公共云的安全性和虚拟节点本身的限制，ECI目前还不支持Kubernetes中的一些功能，如DaemonSet。具体功能限制请参见下表： 不支持的功能 说明 HostPath 允许将宿主机（Node）上的文件或目录挂载到Pod中 HostNetWork 允许Pod使用宿主机的网络命名空间，而不是使用Kubernetes的网络隔离 DaemonSet 用于确保每个集群节点上自动运行一个指定的Pod副本 Privileged权限 允许容器几乎拥有宿主机级别的权限 typeNodePort的Service 通过在集群的节点上暴露一个静态端口，使得外部可以通过指定IP地址和该端口访问服务 核心功能 功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

请根据操作系统类型下载适当的SSL VPN客户端 根据操作系统类型（Windows 、Android、macOS、iOS ）选择适当的SSL VPN客户端进行安装： Windows 7及以上版本且为X86架构 Android 12.0及以上版本 macOS 11及以上版本 系统：iOS 18.4及以上版本 硬件：iphone 11及以上机型 版本号：3.1.11 版本号：3.1.12 版本号：3.1.5 版本号：3.1.3 发布时间：2026年3月23日 发布时间：2026年4月22日 发布时间：2026年4月17日 发布时间：2026年4月24日 立即下载 立即下载 立即下载 立即下载 说明 1、同一个客户端账号，暂不支持在多个终端同时登录。 2、macOS版本下，暂不支持使用中文路径进行软件安装及证书上传。 3、macOS版本下，如从V1版本升级至V3版本，需升级前自行备份VPN连接配置。 4、Windows版本下，为呈现最佳展示效果，建议将显示分辨率设置为 2K，并搭配 125% 的屏幕缩放比例。 开发者：开源软件 隐私政策：开源SDK隐私政策暂未发布 运营者：天翼云科技有限公司 有关APP运行时收集使用个人信息的规则、所需的权限列表及用途等，请参考《CTCloudConnect客户端隐私政策》。 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件： service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电 话： 4008109889 天翼云门户：管理中心工单新建工单；智能客服 天翼云APP：管理工具智能工单

说明：本章节会介绍如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文主要内容介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default 步骤 5 单击“确定”。

本页简要介绍分布式数据库V2.0.0版本更新说明。 版本说明 V2.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 2.0 2021年 07 月 新增和优化特性： 1. 新增软件包管理模块，包括查看软件包列表、上传软件包、删除软件包、搜索软件包和增加对软件包进行md5校验。 2. 新增主机管理模块，包括添加服务器、查看服务器列表、删除服务器列表、测试服务器连通性、检测服务器状态接口、编辑服务器信息和根据IP地址搜索服务器。 3. 新增资源模版管理，包括新建资源模版、查看模版列表、编辑资源模版、删除资源模版、检测模版是否被使用和根据模版名称搜索模版。 4. 新增服务器指标，包括服务器CPU使用率、服务器CPU负载、服务器内存占用率、服务器平均每次设备I/O操作服务时间、服务器平均设备I/O队列、服务器设备I/O操作等待时间、服务器入流量、服务器出流量、服务器TCP连接数、服务器数据库文件句柄数和服务器进程数。 5. 新增实例管理模块，包括实例操作、节点操作和健康检查。 6. 支持用户登录和退出数据库管理平台。 7. 新增参数管理和鉴权配置，包括查看数据库参数、自定义配置数据库参数、支持批量修改数据库参数、查看鉴权配置、修改鉴权配置、增加鉴权配置和删除鉴权配置。 8. 新增监控模块，包括集群预览、集群监控和节点监控。 9. 支持任务管理、用户管理和租户管理。 10. 新增备份恢复模块，包括备份策略、备份管理和恢复管理。 11. 新增分布式数据库能力，包括引入TeleDB分布式数据库内核和优化Oracle兼容性。 12. 优化Oracle兼容性。 修复漏洞 CVE20181115 漏洞名称：TeleDB：Quest DR Series Disk Backup软件操作系统命令注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE20181058 漏洞名称：TeleDB：PostgreSQL 提权漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE202132029 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201810915 漏洞名称：TeleDB：PostgreSQL SQL注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201910208 漏洞名称：TeleDB：Postgresql PostgreSQL SQL注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201712172 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201715098 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201715099 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE20201720 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201910130 漏洞名称：TeleDB：PostgreSQL 访问控制错误漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE20181052 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 修复缺陷 1. 在indexonly场景下，修复删除数据脱敏列功能不生效的问题。 2. 修复在聚合操作（带有去重）下添加一个排序节点的操作。 3. 在cn上vacuum表时，有cn计算frozenxid，保证集群范围内的统一xid回卷。 4. 修复因为释放的指针未置空导致coredump；优化过程中不能正确获取表的行数导致执行计划不准确的问题。 5. squeue故障时，consuer退出，CN回滚事务时，置空连接状态，避免无限的嵌套循环。 6. 修复查询串格式化时可能导致coredump的问题。 7. 修复等待轻量级锁（lwlock）的进程不进入pgstaterror处理的问题。 8. 修复分布式事务prepare时，未持久化2pc的上下文信息，导致pgclean无法清理一些二阶段事务问题。 9. 考虑空值和已删除的列，将已删除的属性、空值（NULL）以及缺失的值设置为NULL值。 10. 修复没有删除列的之间映射的bug。 11. 在pgsubscriptiontable中同步修改的bug。 12. 逻辑复制在master上新加入的表的数据变更到消费端直接被丢弃。 13. 逻辑复制ALTER SUBSCRIPTION xxx REFRESH PUBLICATION相关BUG。 14. 去掉Pooler调试过程无必要的sleep逻辑。 15. 确保在连接到连接池之前进行事务处理，并确保当前的事务状态是正确的。 16. 删除子表回归测例缺失。 17. 使用GCC版本7.3时遇到编译器错误。 18. 数据节点上通过VACUUM分区表产生的错误的索引信息。 19. 为gtm的 synchronousstandbynames 修正警告信息的if条件。 20. 修复TOAST表相关问题。 21. 修复空指针导致的core dump。 22. 修复一条日志"skip delete portal resowner"打印的if条件。 23. 修复一个在处理Gather 节点的左子树时，未能正确将目标（target）添加到其目标列表（targetlist）中的问题。 24. 在rtables（关系表列表）中搜索之前，没有正确检查变量的层级（level）的bug。如果变量是分布式列，并且其层级正确，那么函数返回 true。 25. 在构建初始快照时，避免recovery时的重复XIDs。 26. 在子事务precommit时使用独立的memorycontext，避免类似plpsql场景下因为子事务导致OOM。 27. 在cn节点调用pgclearnodecoldaccess函数会产生coredump。 28. 在poolerasyncbuildconnection中，在建立连接前检查管道中空间的bug。 29. 增加一条LOG信息，用于记录关于逻辑复制应用在特定数据库和表上的错误或问题的详细信息。 30. 支持在聚合算子下面增加sort算子。 31. 指针和数据的使用不当。 32. 指针和数据的释放函数使用不当。 33. copy tuple时置分片id相关问题。 34. FlushXlogTrack的coredump。 35. 修复GTM备机每次收到主机的时间戳位置都进行持久化的问题。 36. 修复GUC中的coordinatorlxid参数由于超出INTMAX的范围而导致的溢出问题。 37. 修复MergeAppend/Append算子下推时，如果有一个子算子下推到所有DN(nodes为NULL)，在通过并集计算之后反而会丢失部分DN节点，从而导致查询结果不完整的问题。

出现长连接请求超时如何处理？ 如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。 出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可联系我们进行配置。 出现Android客户端或小程序访问异常怎么办？ 域名接入边缘安全加速平台后如果出现部分客户端访问异常的情况，比如PC浏览器访问正常，但是Android版微信访问域名出现一片空白或者小程序访问异常，遇到这种情况可通过以下步骤排查： 排查HTTPS证书是否有问题 检查是否为HTTPS协议访问的域名，如果是请检查HTTPS证书是否有效，证书失效时要及时更新证书。同时检查证书链是否完整，如果证书链不完整，请重新上传证书链完整的证书。 判断请求是否被WAF拦截 如果请求返回403状态码，那有可能是被WAF防护引擎拦截了。在边缘安全加速控制台，通过日志与数据分析 > 数据分析 > 域名安全防护分析，查看每条拦截请求的攻击详细信息，通过日志判断被拦截的原因，如果确认为误拦截可添加对应的白名单规则放行。

iSCSI target iSCSI target是位于iSCSI服务器上的存储资源。它是一个通过IP网络基础设施来连接数据存储设备的协议，允许将远程存储设备映射到本地主机，提供了一种基于网络的存储解决方案。 iSCSI目标门户 iSCSI目标门户即HBlock服务器的目标门户，用于与HBlock不在同一局域网的Initiator通信。 如果与HBlock不在同一局域网的Initiator想访问HBlock某一服务器，需要先进行网络配置（如NAT等），确保Initiator可以通过该IP地址访问HBlock服务器，然后将该地址配置为HBlock服务器的目标门户，之后Initiator即可通过配置的目标门户访问HBlock服务器。 存储池 存储池：硬件提供的存储资源的集合，物理上通常指的是同一种介质的硬盘(跨多台服务器)的集合。也可以根据自己的需要将不同机房、机柜的服务器上的数据目录组成存储池。 基础存储池：初始化时默认创建的存储池为基础存储池。通过3.7之前的版本升级上来的物理资源也都属于基础存储池。 QoS策略 QoS（Quality of Service，服务质量）策略通过令牌桶算法精确调控IOPS与吞吐量，在拥塞出现前就完成流量整形，从源头避免网络拥塞。 该策略可以根据实际需求，应用下列场景： 关键业务保障：通过限制周边业务的I/O，间接保障核心业务服务质量。 存储分层优化：在不同性能层(如SSD和HDD)之间合理分配I/O资源，优化混合存储环境中的性能表现。 突发流量处理：允许短时间超出基准限制，平滑处理突发I/O而不直接拒绝请求。

本文介绍 AIuse 云电脑 SDK 中的核心对象和调用模型,帮助开发者理解 SDK 接入时的基本概念。 Client Client 是 SDK 的入口对象，用于保存服务地址、AccessKey、桌面编码等连接配置，并负责创建会话。 创建 Client 时通常需要传入以下参数： 参数 说明 apiKey 控制台 AccessKey ID apiSecret 控制台 AccessKey Secret desktopCode 云电脑桌面编码 serviceURL 服务地址，可选 示例： plaintext import Client from '@ctyun/desktopagentsdk'; const client new Client({ apiKey: process.env.AIUSEAPIKEY, apiSecret: process.env.AIUSEAPISECRET, desktopCode: process.env.AIUSEDESKTOPCODE }); Session Session 表示一次与云电脑的操作会话。创建会话后，可以通过会话对象调用 Computer Use 或 FileSystem 能力。 plaintext const session await client.createSession(); 任务结束后，应主动关闭会话： plaintext await session.close(); ComputerAPI ComputerAPI 用于执行 GUI 操作，典型方法包括： movemouse clickmouse pressmouse releasemouse dragmouse scroll presskey typetext screenshot getcursorposition FileSystemAPI FileSystemAPI 用于执行文件操作，当前版本开放的接口包括： createdirectory readfile writefile movefile searchfiles 会话生命周期 推荐的会话生命周期如下： 1. 创建 Client。 2. 创建 Session。 3. 调用工具方法。 4. 捕获并处理异常。 5. 在 finally 中关闭 Session。 plaintext let session; try { session await client.createSession(); await session.computer.typetext({ text: 'hello' }); } finally { if (session) { await session.close(); } }

挂载 当创建文件存储后，您可以使用物理机来挂载该文件存储，以实现多个主机共享使用文件存储的目的。 约束与限制 文件存储与主机须归属相同的VPC及子网。文件存储绑定VPC及子网操作参考上一步的“绑定、解绑VPC子网”。 操作步骤 1. 登录主机。以物理机为例，具体参考"裸金属"的登录操作。 2. 执行以下命令查询该主机是否安装NFS客户端，若没有返回安装结果，执行第3步进行安装。 plaintext rpm q nfsutils 3. 安装NFS客户端(需要连接公网)。安装时注意不同操作系统执行命令不同，以centos 7.7为例： plaintext cd /etc/yum.repos.d/ cp CentOSBase.repo CentOSBase.repobak sed i s/mirror.centos.org/mirrors.aliyun.com/g CentOSBase.repo sed i s/ baseurl/baseurl/g CentOSBase.repo yum update yum install y nfsutils 4. 创建本地挂载路径。以挂到“/path/to/example”为例，执行如下命令： plaintext mkdir p /path/to/example 5. 挂载文件存储。 进入通用文件存储详情页面，通过“挂载信息”查看挂载命令，将挂载命令中的本地挂载路径更换为目标路径（如/path/to/example），并执行命令进行挂载： plaintext mount t nfs o vers3,prototcp,rsize262144,wsize262144,hard,intr,timeo50 10.231.42.133:/efs12024681296054976 /path/to/example 6. 挂载之后执行 df h命令查看物理机空间使用情况，列表尾部应有已挂载的文件存储。

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑”，选择“映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹内容为文件系统的挂载地址，可在文件系统的详情页获取。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

优缺点 Cubecni容器网络优点如下： 同个VPC内，集群外部网络资源可与容器IP互通； 没有解封包和节点路由消耗，容器网络性能优于隧道网络； SLB可直通容器后端，无需经节点NodePort转发，性能更优； 容器访问VPC网络资源，其源IP是容器IP，无需经过节点SNAT，减少节点netfilter连接跟踪表消耗，性能更优且便于审计。 Cubecni容器网络缺点如下： Pod直接使用VPC的IP地址，数量受限于VPC子网的可用IP数，需提前规划。 应用场景 Cubecni容器网络适用如下场景： 适用于需pod能与VPC集群外网络资源互通的场景，如部分业务部署在云主机部分部署在容器的复杂系统，可能需要打通云主机网络和容器网络； 适用于对网络带宽和时延要求高的业务场景，例如游戏、直播类应用； 高性能计算场景，IPVLAN等使用的CPU资源少于隧道网络，为业务本身留出更多计算资源。 容器IP地址段分配 订购使用Cubecni容器网络插件的集群，需为Cubecni选择一个VPC子网。该子网用于为容器提供IP地址，其空闲IP数直接决定可创建pod数上限。建议选择一个大子网给集群使用，如下所示，创建一个掩码为18位的子网，其可用IP为16382个，可为16382个pod分配IP地址： 订购时选择大子网作为pod子网：

本节介绍了云容器引擎的最佳实践:通过特权容器配置内核参数。 前提条件 开通特权容器需要通过命令行模式连接到目标集群，所以需要先保存集群kubeconfig，并且配置好kubectl环境。 注意 修改主机的内核配置可能会对系统的稳定性和安全性产生影响，因此在进行这些操作时请谨慎考虑，并确保您具备足够的了解和经验。 后台操作流程 编写应用yaml，创建特权容器，示例如下： kind: DaemonSet apiVersion: apps/v1 metadata: name: daemonsettest labels: name: daemonsettest spec: selector: matchLabels: name: daemonsettest template: metadata: labels: name: daemonsettest spec: hostNetwork: true containers: name: daemonsettest image: nginx:alpine command: "/bin/sh" args: "c" while :; do time$(date);done imagePullPolicy: IfNotPresent lifecycle: postStart: exec: command: sysctl "w" net.ipv4.tcptwreuse1 securityContext: privileged: true imagePullSecrets: name: defaultsecret spec.spec.containers.lifecycle 字段是指容器启动后执行设置的命令；spec.spec.containers.securityContext.privileged: true是指开启特权容器。 使用以上yaml文件创建特权容器：kubectl apply f daemonsettest.yaml 执行后查看是否容器启动成功：kubectl get daemonset 当看到READY数量跟节点数量相同时，说明已经全部创建成功，则可以在当前主机执行kubectl get po grep daemonsettest 或者docker ps grep daemonsettest查找对应容器。 通过命令 docker exec it 356d0e5a831c /bin/sh 或 kubectl exec it podname bash 进入容器内部，然后执行命令sysctl a grep net.ipv4.tcptwreuse查看对应的内容是否有修改命令行终端确认修改系统参数成功。

补充说明 镜像制作时需要注意的几个事项： 1. 如果数据库配置文件需要修改，可以通过修改配置模版文件。 plaintext /opt/openGauss/share/postgresql/postgresql.conf.sample 2. 制作镜像前，删除测试的数据库和日志目录。 plaintext rm rf /opt/openGauss/data/ rm rf /opt/openGauss/logs/ chgrp wheel /opt/openGauss chmod R 775 /opt/openGauss 3. CTyunOS的默认LCTIME和LANG不一致，设置为一致。 plaintext vi /etc/locale.conf LANGenUS.UTF8 LCTIMEenUS.UTF8 4. 清理/etc/hosts 临时虚机残留内容。 相关常见问题 常见问题一：安装过程如果通过安装脚本install.sh会有"bash: ulimit: open files: cannot modify limit: Operation not permitted"报错 plaintext sudo ulimit n 1000000 常见问题二：gsctl start服务提示"Failed to parse cgroup config file" 该警告通常不影响数据库正常运行，可忽略。若需消除，可安装完整 cgroup 工具包或忽略日志。 常见问题三：如何修改数据库服务的监听IP地址 plaintext vim postgresql.conf 监听所有地址 listenaddresses 'localhost' > listenaddresses '' 重启服务 gsctl restart 常见问题四：客户端无法连接数据库 1. 先排查网络是否可达，检查安全组和iptables等规则。 2. 如果前面检查无任务问题，再检查本地服务是否运行。 plaintext gsctl status 3. 服务端配置数据库访问白名单。 plaintext vim pghba.conf 最后添加（可以配置多条） host all all 0.0.0.0/0 sha256

linux系统VNC登录界面如何翻页查看命令回显记录？ shift+pgup是向上翻页，shift+pgdn是向下翻页。 天翼云服务器能否更改BIOS？ 天翼云弹性云主机无法更改BIOS。 云主机能否安装在手机上面使用？ 主机不支持安装在手机使用，但可以使用手机进行远程。 VNC连接可选的分辨率太少，是否支持选择多种分辨率？ 无法更改，若对图像质量有硬性要求建议购买GPU云主机。 云主机Windows操作系统，哪个版本占用空间最小？ 系统占用空间相差不多。 如何注册天翼云账号？ 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 注册邮箱不可更改，请确保邮箱的准确性。一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 能否将一个账号下的云主机转移到另一个账号下？ 暂时无法提供账号资源转移的服务。 忘记天翼云账号密码怎么办？ 当用户忘记密码时，可通过登录页面点击“忘记密码”进行重置密码。 1. 进入天翼云官网，点击右上角“登录”，在登录页面点击右下角的“忘记密码”。 2. 填写需要找回的账号，并进行验证。填写邮箱，验证码会通过邮箱发送。填写手机号，验证码会通过手机发送。说明：邮箱需在管理中心基本信息完成邮箱验证后，方可接收验证码。 3. 验证成功后，设置新的登录密码。

使用私钥文件获取登录密码失败时,可以参考本文。 可能原因 1.出现获取密码失败一般原因是弹性云主机 cloudinit 失败，没有通过 cloudinit 注入密码。 2.Cloudinit 注入密码失败原因有： 网络原因导致弹性云主机无法连接到 cloudinit 服务器； 镜像上 cloudinit 没有获取密码相关配置； 弹性云主机上其他问题导致弹性云主机 cloudinit 无法获取。 处理办法 1. 检查弹性云主机的网络配置，是否导致弹性云主机 cloudinit 失败，操作如下： 弹性云主机所在安全组 80 端口的“出方向”和“入方向”是否放通。 2. 检查镜像上 cloudinit 是否配置了获取密码，当前 HEC 环境中的所有公共镜像均已正确配 置 cloudinit。 如果客户使用公共镜像则无需检查此项。 如果客户使用私有镜像创建弹性云主机，则需要确认镜像中已正确配置了 cloudinit。 3. 其他方面：大规格弹性云主机的虚拟内存导致客户弹性云主机 cloudinit 执行失败。 4. 通过查看日志检查原因，cloudinit 日志查看步骤如下： 将无法获取密钥的弹性云主机关机后，将系统盘卸载。 使用公共镜像创建一个临时 windows 弹性云主机，将上一步骤中卸载的卷挂载在此弹性云主机上。 登录临时创建的弹性云主机主机，打开主机管理器，选择“文件和存储服务 > 卷 > 磁盘”，单击鼠标右键选择“脱机”状态的磁盘，单击“联机”。 打开新联机的磁盘，查看“/Programe Files/Cloudbase Solution/CloudbaseInit/log”路径下的“cloudbaseinit”文件，通过日志查看原因。

计费项说明 本服务按订购时配置的存储容量大小计费。 按量付费为按预购容量的使用时长付费，起步500GB。开通后即开始按时长计费，并非按照实际使用容量计费。 在使用弹性文件服务过程中，除文件存储本身的存储容量费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将非天翼云数据迁移至弹性文件服务时，需要将文件系统挂载至一台连接公网的云主机上实现数据上传和下载，将占用弹性IP提供的公网带宽。具体费用信息，请参考弹性IP计费概述。 云专线费用 当您使用云专线服务接入本地数据中心时，将会收取云专线使用费用。具体费用信息，请参考计费项及计费方式云专线。 密钥管理费用 弹性文件服务部分地域支持加密服务，可创建加密文件系统，依赖于天翼云密钥管理服务。该服务提供一定免费额度的密钥对，超出额度后按量付费使用。具体费用信息，请参考密钥管理计费概述。 计费周期 计费模式 计费周期 扣费及出账时间 :: 按量付费 小时 账单出账时间通常在当前计费周期结束后下一小时，具体以系统实际出账时间为准 包年 月 账单出账时间通常在当前计费周期结束的下个自然月1日，具体以系统实际出账时间为准

本小节介绍SSL VPN的手机平板安装客户端操作方法。 安卓手机平板安装客户端 方法1 PC端访问SSL VPN客户端接入地址 （IP地址就是搭建SSL VPN 云主机的公网IP，默认的端口是443，如果TCP443端口改成了4433端口或其他端口，打开方式是 方法2 登录官网下载EasyConnect的App软件，官网下载地址见这里。 方法3 安卓手机平板上，打开浏览器输入SSL VPN客户端接入地址 VPN控制台管理页面，“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”里面勾选启用http端口。 苹果iOS手机平板 下载客户端 苹果iOS手机平板上，打开苹果手机上的App Store应用市场，搜索EasyConnect，然后下载安装。 使用方法 1. 手机平板上安装EasyConnect客户端软件后，在手机平板桌面找到“EasyConnect”的图标。 2. 打开运行，输入SSL VPN客户端的接入地址 VPN的用户名和密码，点击“登录”，如下图所示。 3. 接入显示成功后，就可以在资源列表中看到自己所访问的资源权限，然后手机平板上输入天翼云业务服务器的内网私有IP地址访问即可。

该任务用于指导软件工程师安装部署teledb管控服务。 该任务用于指导软件工程师安装部署teledb管控服务。 前提条件 已初始化环境，包括创建teledb用户，挂载磁盘，并给于sudo权限。 操作步骤 本次操作以X86安装包为例： 1. 创建根目录提供给挂载盘/data使用，并给于sudo权限。 plaintext mkdir p /data mount /dev/vdb /data echo "UUID"blkid /dev/vdbcut d '"' f2" /data xfs defaults 0 0" sudo tee a /etc/fstab 2. 上传并解压安装包 plaintext cd /app 上传teledbdeployx86centos.zip和teledbxossxxxi.x8664.rpm至app目录下。 unzip teledbdeployx86centos.zip cd teledbdeployx86centos/teledbxmirror/pgxzm cp teledbxossxxxi.x8664.rpm 3. 安装dos2unix 执行如下命令 plaintext cd /app/teledbdeployx86centos/teledbxmirror/deploy/utils/ rpm ivh dos2unix6.0.34.el7.x8664.rpm 出现如下回显信息。 plaintext cd /app chmod R 755 teledbdeployx86centos chown R teledb:teledb /app 4. 修改配置文件role.info和ossinit.conf。 执行如下命令修改role.info配置文件。 plaintext su teledb cd /app/teledbdeployx86centos/teledbxmgr/conf vim role.info 您可按照如下模版修改配置文件内容： 需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码

本页面介绍内存使用率高的问题排查处理方式。 查看内存使用率 实例内存使用率是关系数据库MySQL版实例的关键指标，您可以通过该实例的监控信息，获取内存使用率详情。具体操作，请参见查看监控指标。 注意 如果您的实例内存使用率过高，会有内存耗尽风险。 原因分析 下面为您介绍导致实例内存使用率高的常见原因： 参数innodbbufferpoolsize的值 通常InnoDBBufferPool的内存占用是最大的，Buffer Pool的内存占用上限受到Buffer Pool配置参数的限制，但是还有很多内存是在请求执行中动态分配调整的，例如内存临时表消耗的内存、哈希索引、行锁对象等。 多语句导致内存耗尽 关系数据库MySQL版支持将多个SQL语句用英文分号隔开，然后一起发给MySQL，MySQL会逐条处理SQL语句，但是某些内存需要等到所有的SQL语句执行结束才释放。 如果一次性发送的SQL语句非常多，例如达到数百兆，SQL语句实际执行过程中各种对象分配累积消耗的内存非常大，很可能会导致MySQL进程内存耗尽。 创建大量临时表导致内存突增 内存临时表大小受到参数tmptablesize 和maxheaptablesize限制，超过限制后将转化为磁盘临时表，如果瞬间有大量的连接创建大量的临时表，可能会造成内存突增。 解决方案

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。