表名，表分区个数。 Hive HQL的Map数 Hive周期内执行的HQL与执行过程中调用的Map数统计，展示的信息包括：用户、HQL语句、Map数目。 Hive HQL访问次数 周期内HQL访问次数统计信息。 Kafka Kafka磁盘使用率分布 Kafka集群的磁盘使用率分布统计。 Spark2x HQL访问次数 周期内HQL访问次数统计信息，展示信息包括用户名，HQL语句，执行该语句的次数。 Yarn 资源使用（按任务） l 任务使用的CPU核数和内存。 l 可选择“按内存”或“按CPU”观察。 Yarn 资源使用（按租户） l 租户所使用的CPU核数和内存。 l 可选择“按内存”或“按CPU”观察。 Yarn 资源使用比例（按租户） l 租户所使用的CPU核数和内存的比例。 l 可选择“按内存”或“按CPU”观察。 Yarn 任务耗时排序 对Yarn任务耗时进行排序显示。 Yarn ResourceManager RPC连接数（按用户） 统计连接到RM的Client RPC请求中，各个用户的连接数。 Yarn 操作数 统计Yarn每种操作类型对应的操作数及占比。 Yarn 队列中任务资源使用排序 l 在界面上选择某个队列（租户）后，显示在该队列中正在运行任务的消耗资源排序。 l 可选择“按内存”或“按CPU”观察。 Yarn 队列中用户资源使用排序 l 在界面上选择某个队列（租户）后，显示在该队列中正在运行任务的用户消耗的资源排序。 l 可选择“按内存”或“按CPU”观察。 ZooKeeper 资源使用（按二级Znode） l ZooKeeper服务二级znode资源状况。 l 可选择“按Znode数量”或“按容量”观察 ZooKeeper 连接数（按客户端IP） ZooKeeper客户端连接资源状况。

本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 背景信息 VPC和本地IDC的网络配置如下： 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 您已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 配置IKEv1 VPN 协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP 操作步骤 1. 登录防火墙设备的命令行配置界面。 2. 配置isakmp策略。 crypto isakmp policy 1 authentication preshare encryption aes hash sha group 2 lifetime 86400 3. 配置预共享密钥。 crypto isakmp key aa123bb address 121.XX.XX.113 4. 配置IPsec安全协议。 crypto ipsec transformset ipsecpro64 espaes espshahmac mode tunnel 5. 配置ACL（访问控制列表），定义需要保护的数据流。 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255 如果本地网关设备配置了多网段，则需要分别针对多个网段添加ACL策略。 6. 配置IPsec策略。 crypto map ipsecpro64 10 ipsecisakmp set peer 121.XX.XX.113 set transformset ipsecpro64 set pfs group2 match address 100 7. 应用IPsec策略。 interface g0/0 crypto map ipsecpro64 8. 配置静态路由。 ip route 192.168.10.0 255.255.255.0 121.XX.XX.113 ip route 192.168.11.0 255.255.255.0 121.XX.XX.113 9. 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

download Npcap not found 数据库安全审计支持双向审计吗？ 数据库安全审计支持双向审计。双向审计是对数据库的请求和响应都进行审计。 数据库安全审计默认使用双向审计。 数据库安全审计可以审计不同VPC的数据库吗？ 数据库安全审计支持审计不同VPC的数据库。当您需要审计不同VPC的数据库时，需要VPC互相通信，可以通过在VPC间建立对等连接的方式实现。请参考创建同一账户下的对等连接进行配置。 数据库安全审计支持TLS连接的应用吗？ 不支持。TLS（Transport Layer Security）连接的应用是加密的，无法使用数据库安全审计功能。 数据库安全审计的审计数据可以保存多久？ 数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。 您可以在数据库安全审计的“总览”界面，通过选择数据库和审计周期，查看对应时间段的审计数据。 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：16GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQ语句存储 50亿条归档SQ语句存储 专业版 最多支持6个数据库实例 CPU：8U 内存：32GB 硬盘：1T 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQ语句存储 100亿条归档SQ语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：64GB 硬盘：2T 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQ语句存储 600亿条归档SQ语句存储 说明 l 数据库实例通过数据库IP+数据库端口计量。 如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。 例如：用户有2个数据库资产分别为IP1和IP2，IP1有一个数据库端口，则为1个数据库实例；IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 l 不支持修改规格。若要修改，请退订后重购。 l 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。

本节介绍了分布式消息服务RabbitMQ的定义和主要产品优势。 分布式消息服务RabbitMQ是基于高可用、分布式集群技术，完全兼容RabbitMQ开源社区，支持消息路由、事务消息、优先级队列、延迟队列、死信队列、镜像队列等功能的消息云服务。用户可开箱即用，无需部署免运维，从而实现快速上云。 产品示意图 分布式消息服务RabbitMQ发布订阅基本流程如下： 1、生产者生产的消息，通过TCP连接的信道首先发布到指定的交换机上； 2、交换机通过路由键(RoutingKey)的匹配，选择对应的队列进行投递； 3、消费者订阅队列，消费队列的消息。 核心概念 对照产品示意图，分布式消息服务RabbitMQ的核心概念如下： Producer：消息生产者，即消息的发布方, 生产者生产的消息，首先发布到指定的交换机上，交换机通过路由键(RoutingKey)的匹配，选择对应的队列进行投递。消费者订阅队列，消费队列的消息。 Connection：客户端与Broker间的TCP连接。 Channel：信道，每个连接采用多路复用，包含多个信道。Producer与Broker间采用信道传递数据。 Broker：RabbitMQ服务节点，集群由多个节点组成。 Vhost：虚拟机，一个节点下包含多个Vhost，Vhost间的Exchange，Queue相互隔离。就好比一台物理机上(Broker)部署多台虚拟机(Vhost)，虚拟机采用不同的用户名密码登录，实现多租户。 Exchange：交换机，消息首先会传递到交换机，由交换机匹配路由键(RoutingKey)决定投递到哪个Queue。 Queue：队列，存储消息的数据结构。类比小区的快递柜。 Binding：绑定，交换机与队列间通过路由键(RoutingKey)进行绑定起来。 Consumer，消费者，即消息的接受方。 更多信息请参见名词解释。

本文简述HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 例如： 未启用HSTS时，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点会将该HTTP请求强制跳转到HTTPS，如果用户首次以HTTP协议访问边缘节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 启用HSTS后，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点节点会将该HTTP请求强制跳转到HTTPS，此时边缘节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问边缘节点，此后浏览器将直接使用HTTPS协议访问边缘节点，不再需要HTTP协议强制跳转HTTPS协议了。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法请参见新增证书。 在HSTS生效前，可配置强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。

本节为您介绍自建MySQL为源的迁移任务源端配置。 前提条件 （1）自建MySQL数据库的源端版本为5.6、5.7、8.0版本。 （2）自建MySQL数据库源端已关闭大小写敏感。 （3）自建MySQL数据库源端已开启binlog 且格式为row。 （4）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 使用限制 待迁移的表需具备主键，否则会导致该表无法进行增量迁移和稽核修复； 不支持迁移mysql、informationschema、performanceschema等MySQL系统库； 目标库非自建MySQL的情况下，结构迁移仅支持迁移表结构； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据。 源端权限要求 由于权限查询需要设计到mysql.user及mysql.db两张系统表。所以需要先授予用户以上两张表的SELECT权限。 迁移模式 所需权限 基础权限 SELECT 全量迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER和全局级别:PROCESS权限 结构迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER，CREATE ROUTINE, SUPER (根据不同的结构，所需权限也不同) 增量迁移 需具备基础权限，且具备全局级别REPLICATION CLIENT,REPLICATION SLAVE权限，并开启binlog row模式 稽核修复 需具备基础权限 源端配置： 数据源类型 选定为MySQL，可迁移版本范围内的MySQL数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名

照通过kubectl命令行使用云盘快照 1、创建快照类（VolumeSnapshotClass） 使用kubectl连接集群，创建示例yaml文件vscexample.yaml： plaintext apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshotClass metadata: name: {名称} annotations: snapshot.storage.kubernetes.io/isdefaultclass: "false" 是否默认存储类 driver: disk.csi.cstor.com parameters: snapshotType: "STANDARD" 快照类型有STANDARD和FAST两种 快照存储库名字，当snapshotType为STANDARD时必填，当为FAST时无需填写 snapshotRepository: {仓库名} deletionPolicy: {删除策略} 执行以下命令，创建VolumeSnapshotClass： plaintext kubectl apply f vscexample.yaml 查看创建的VolumeSnapshotClass： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群，进入主菜单“存储”——“快照与备份”，在快照类列表查看。 2、创建快照（VolumeSnapshot） 使用kubectl连接集群，创建示例yaml文件vsexample.yaml： plaintext apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshot metadata: name: {名称} namespace: {命名空间} spec: volumeSnapshotClassName: {快照类} source: persistentVolumeClaimName: {PVCname} 执行以下命令，创建VolumeSnapshot： plaintext kubectl apply f vsexample.yaml 查看创建的快照： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群，进入主菜单“存储”——“快照与备份”，在快照列表查看。 3、基于快照创建PVC 使用kubectl连接集群，创建示例yaml文件pvcvsexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: {名称} namespace: {命名空间} spec: storageClassName: {存储类名称} dataSource: name: {VolumeSnapshot名称} kind: VolumeSnapshot apiGroup: snapshot.storage.k8s.io accessModes: {访问模式} resources: requests: storage: {容量} volumeMode: {卷模式} 执行以下命令，创建PVC： plaintext kubectl apply f pvcvsexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群，进入主菜单“存储”——“持久卷声明”，在列表查看。

本节主要介绍如何使用API迁移iSCSI target。 此操作用来迁移iSCSI target，修改iSCSI target对应的服务器。 说明 一次只允许迁移iSCSI target对应的一个服务器。 注意 执行迁移iSCSI target之前，需要保证集群处于working状态，同时目的服务器需要处于正常已连接状态。 目前仅支持强制迁移iSCSI target，强制迁移iSCSI target可能会造成数据丢失。 如果被迁移的iSCSI target已被卷连接，且该卷已经被客户端挂载，迁移iSCSI target前，需要客户端与原iSCSI target IQN断开；迁移后，确保原iSCSI target IQN不能被发现，客户端重新连接迁移后的iSCSI target IQN。 迁移完成后，请检查并调整target允许访问列表配置，确保符合访问控制要求。 请求语法 plaintext PUT /rest/v1/block/target/targetName/migrate?forceforce HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "server": [ { "source": sourceserverID, "dest": destserverID } ] } 请求参数 参数 类型 描述 是否必填 targetName String iSCSI target名称。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 force Boolean 是否强制迁移iSCSI target。 注意 目前仅支持强制迁移iSCSI target，强制迁移iSCSI target可能会造成数据丢失。 取值：true：强制迁移iSCSI target。 是 server Array of server 迁移的源和目的服务器集合，详见“表1 请求参数server说明”。 是 表1 请求参数server说明 参数 类型 描述 是否必填 source String iSCSI target的源服务器ID。 是 dest String iSCSI target的目标服务器ID。 是

数据库安全审计操作类常见问题。 如何配置数据库安全审计？ 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计的配置操作流程如下图所示。 如何关闭数据库SSL？ 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。 以MySQL数据库自带的客户端为例说明，操作步骤如下： 1. 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。 2. 执行以下命令，查看MySQL数据库连接的方式。 s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 SSL: Not in use 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行步骤3。 SSL: Cipher in use is XXXXXXXXXXXXXXX 3. 以SSL模式登录MySQL数据库。 执行以下命令，退出MySQL数据库。 exit 以root用户重新登录MySQL数据库。 在登录命令后添加以下参数： sslmodeDISABLED 或 ssl0 注意 须知：以SSL模式登录MySQL数据库，只能关闭本次SSL。当需要使用数据库安全审计功能时，请以本步骤登录MySQL数据库。 3. 执行以下命令，查看MySQL数据库连接的方式。如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 SSL: Not in use 如何设置数据库安全审计的INSERT审计策略？ 在添加风险操作时，您可以添加INSERT审计策略，如下图所示。

访问控制 通过主/子帐号和安全组实现访问控制。创建关系型数据库实例时，关系型数据库服务会为租户同步创建一个数据库主帐户，根据需要创建数据库实例和数据库子帐户，将数据库对象赋予数据库子帐户，从而达到权限分离的目的。可以通过虚拟私有云对关系型数据库实例所在的安全组入站、出站规则进行限制，从而控制可以连接数据库的网络范围。 传输加密 通过TLS加密、SSL加密实现传输加密。使用从服务控制台上下载的CA根证书，并在连接数据库时提供该证书，对数据库服务端进行认证并达到加密传输的目的。 存储加密 通过静态加密、表空间加密、同态加密对数据进行加密。关系型数据库服务支持对存储到数据库中的数据加密后存储，加密密钥由KMS进行管理。 数据删除 删除关系型数据库实例时，存储在数据库实例中的数据都会被删除，任何人都无法查看及恢复数据。安全删除不仅包括数据库实例所挂载的磁盘，也包括备份数据的存储空间（通常为廉价的对象存储系统）。 防DDoS攻击 当用户使用外网连接和访问关系型数据库实例时，可能会遭受DDoS攻击。当关系型数据库安全体系认为用户实例正在遭受DDoS攻击时，会首先启动流量清洗的功能，如果流量清洗无法抵御攻击或者攻击达到黑洞阈值时，将会进行黑洞处理，保证关系型数据库整体服务的可用性。 安全防护 关系型数据库处于多层防火墙的保护之下，可以有力地抗击各种恶意攻击，保证数据安全，防御DDoS攻击、防SQL注入等。建议用户通过内网访问关系型数据库实例，可使关系型数据库实例免受DDoS攻击风险。 高可靠性

概述 默认情况下，ZooKeeper集群不会对客户端进行强制身份认证，任何客户端都可以访问ZooKeeper数据，存在安全隐患。目前，MSE ZooKeeper支持SASL身份认证，通过用户名和密码对客户端进行身份认证，提升Zookeeper数据的安全性。 前提条件 创建微服务引擎MSE，参考章节：创建ZooKeeper引擎； 开通引擎版本为3.8.1.9及以上的ZooKeeper实例，并且实例状态正常； 操作步骤 1.登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2.在左侧导航栏，选择注册配置中心 > 实例列表； 3.在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4.在左侧导航栏，选择权限管理> SASL认证； 5.在用户管理页面，单击创建用户。在创建用户面板中输入用户名、密码和确认密码，然后单击确定即可增加新的用户身份信息配置； 6.单击对应用户操作列中的复制配置，以下内容会被复制到粘贴板，密码需要手动补充，然后将其保存在客户端的任意文件中（如jaas.conf）； java Client { org.apache.zookeeper.server.auth.DigestLoginModule required usernametest password""; }; 7.对于Java使用Zookeeper原生SDK或者Apache Curator框架的应用时，需要进行以下操作： 假设之前已经保存的配置文件路径为/path/to/jaas.conf，在Java应用启动的时候，指定以下系统属性。 Djava.security.auth.login.config/path/to/jaas.conf // 填写配置保存的文件的路径 重启客户端应用后，客户端会自动读取认证信息配置并向Zookeeper服务端进行身份认证。 8.客户端配置完成之后，在左侧导航栏，选择参数管理。在参数管理页面，将requireClientSASLAuth的值设置为true，即可强制要求客户端连接服务端时进行SASL身份认证； 9.用户创建成功后，可以在用户列表的操作列，按需执行如下操作； 重置密码：点击重置密码，在密码重置面板中输入用户名、新密码和确认密码。当用户密码发生变更后，以该用户身份连接服务端的客户端将会断开连接； 删除用户：单击删除，弹出框提示确认需要删除的用户名称，点击确认即可删除用户。当用户被删除后，以该用户身份连接服务端的客户端将会断开连接；

本节介绍了:DNS最佳实践的用户指南。 DNS最佳实践 DNS是Kubernetes集群中至关重要的基础服务之一，在客户端设置不合理、集群规模较大等情况下DNS容易出现解析超时、解析失败等现象。本文介绍Kubernetes集群中DNS的最佳实践，帮助您避免此类问题。 前提条件 创建Kubernetes集群 获取集群KubeConfig并通过kubectl工具连接集群 优化域名解析请求 DNS域名解析请求是Kubernetes最高频的网络行为之一，其中很多请求是可以优化和避免的。您可以通过以下方式优化域名解析请求： （推荐）使用连接池：当一个容器应用需要频繁请求另一服务时，推荐使用连接池。连接池可以将请求上游服务的链接缓存在内存中，避免每次访问时域名解析和TCP建连的开销。 （推荐）使用DNS缓存：当您的应用无法改造成通过连接池连接另一服务时，可以考虑在应用侧缓存DNS解析结果。 优化resolv.conf文件：由于resolv.conf文件中ndots 和search两个参数的机制作用，容器内配置域名的不同写法决定了域名解析的效率。 优化域名配置：当容器内应用需要访问某域名时，可以最大程度减少域名解析尝试次数，继而减少域名解析耗时。 使用合适的容器镜像 Alpine容器镜像内置的musl libc库与标准glibc的实现存在以下差异： 3.3及更早版本Alpine不支持search参数，不支持搜索域，无法完成服务发现。 并发请求/etc/resolv.conf中配置的多个DNS服务器，导致NodeLocal DNSCache优化失效。 并发使用同一Socket请求A和AAAA记录，在旧版本内核上触发Conntrack源端口冲突导致丢包问题。 当Kubernetes集群中部署的容器采用了Alpine作为基础镜像时，可能会因为上述musl libc特性而无法正常解析域名，建议尝试更换基础镜像，如Debian、CentOS等。

本文介绍插件管理相关概念。 态势感知（专业版）支持将安全编排流程中使用的插件进行统一管理。 名词解释 插件 ：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集 ：是具有相同业务场景的插件集合。 函数 ：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器 ：是用于连接数据源，将告警、事件等安全数据接入态势感知（专业版），包括事件触发和定时触发两种连接器类型。 公共库 ：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

步骤3：创建迁移任务 步骤 1 登录分布式缓存服务控制台。 步骤 2 单击左侧菜单栏的“数据迁移”。页面显示迁移任务列表页面。 步骤 3 单击右上角的“创建备份导入任务”。 步骤 4 设置迁移任务名称和描述。 步骤 5 “源Redis”区域中，“数据来源”选择“OBS桶”，在“OBS桶名”中选择已上传备份文件的OBS桶。 步骤 6 单击“添加备份文件”，选择需要迁移的备份文件。 步骤 7 在“目标Redis”区域，选择步骤1：准备目标Redis实例中准备的“目标Redis实例”。 步骤 8 如果目标Redis是密码访问模式，请输入密码后，单击“测试连接”，检查密码是否正确。免密访问的实例，请直接单击“测试连接”。 步骤 9 单击“立即创建”。 步骤 10 确认迁移信息，然后单击“提交”，开始创建迁移任务。 可返回迁移任务列表中，观察对应的迁移任务的状态，迁移成功后，任务状态显示“成功”。

权限 微服务云应用平台MSAP系统管理员 微服务云应用平台MSAP资源管理员 微服务云应用平台MSAP资源运维人员 微服务云应用平台MSAP应用管理员 微服务云应用平台MSAP应用运维人员 管理企业项目 √ √ √ √ √ 查看环境 √ √ √ √ √ 创建环境 √ √ x x x 更新环境 √ √ √ x x 删除环境 √ √ √ x x 查看集群 √ √ √ √ √ 管理集群 √ √ √ √ √ 查看项目 √ √ √ √ √ 创建项目 √ √ x x x 更新项目 √ √ √ x x 删除项目 √ √ √ x x 查看应用 √ √ √ √ √ 管理应用 √ x x √ √ 查看应用分组 √ √ √ √ √ 管理应用分组 √ √ √ √ √ 查看技术栈 √ √ √ √ √ 管理技术栈 √ √ √ √ √ 查看制品库 √ √ √ √ √ 管理制品库 √ x x √ √ 查看应用实例 √ √ √ √ √ 创建应用实例 √ x x √ x 管理应用实例 √ x x √ √ 删除应用实例 √ x x √ √ 配置应用实例 √ √ √ √ √ 查看Kubernetes配置 √ √ √ √ √ 配置Kubernetes √ √ √ √ √ 查看Ingress路由 √ √ √ √ √ 管理Ingress路由 √ √ √ √ √ 批量运维 √ √ √ √ √ 查看微服务配置 √ √ √ √ √ 管理微服务配置 √ √ x √ √ 查看全链路流量控制 √ √ √ √ √ 管理全链路流量控制 √ x x √ √ 主子账号 √ x x x x 查看服务连接 √ √ √ √ √ 管理服务连接 √ √ √ √ √ 审计日志 √ x x x x

本文为您介绍更新Palworld幻兽帕鲁的最佳实践。 如果您进入游戏时遇到如图报错，请参考本文对游戏进行更新。 Ubuntu 启动云主机时可以触发后台的自动检查游戏版本，如需更新游戏，在云主机控制台点击“重启”即可。 Windows 自动更新 启动云主机时可以触发后台的自动检查游戏版本，如需更新游戏，在云主机控制台点击“重启”即可。 手动更新 1. 在本地Windows电脑搜索远程桌面连接，并输入云主机的公网IP地址。 2. 使用设置的密码进行登录，用户为Administrator，密码输入设置的云主机密码并连接。 3. 打开任务管理器，找到Pal进程，右键点击并选择结束任务。

安装GRID驱动并配置License 1. 以Windows操作系统GPU加速型实例为例，选择合适版本的GRID驱动进行安装。 说明 微软的远程登录协议不支持使用GPU的3D硬件加速能力，如需使用请安装VNC/PCoIP/NICE DCV等第三方桌面协议软件，并通过相应客户端连接GPU实例，使用GPU图形图像加速能力。 2. 使用第三方桌面协议连接后，在Windows控制面板中打开NVIDIA控制面板 。 3. 在一级许可证服务器中填入部署的License server的IP和端口，并点击应用。当出现“您的系统已获GRID vGPU许可”则代表安装GRID驱动成功，并且可以在License Server管理控制台Licensed Clients中看到已安装GRID驱动并使用了License的GPU实例的MAC地址。 图 License Server管理控制台

本节主要介绍下载下载SSL默认证书。 操作场景 SSL证书是一种遵守SSL协议的服务器数字证书，可以在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 为了提高数据安全性，GeminiDB Influx实例提供默认的SSL证书，创建实例时您可以开启SSL安全连接，待实例创建成功后，可通过SSL方式连接实例。 本章节主要介绍获取GeminiDB Influx提供的SSL默认安全证书的方法。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定实例，单击实例名称，进入“基本信息”页面。 4. 在“数据库信息”区域的SSL处，单击，下载SSL安全证书。 图1 下载SSL证书

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 1. 打开本地远程桌面连接（MSTSC）工具。 2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 3. 单击“连接”，在登录页面完成登录。 username： 堡垒机用户登录名 @Windows主机资源账户名@Windows主机资源IP:Windows 远程端口（默认3389 ） ，例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。 password：输入当前堡垒机的用户密码。

本页介绍了python操作文档数据库服务的完整代码示例。 from pymongo import MongoClient 指定数据库的连接URI uri "mongodb://username:password@hostname:port/databasename?authSourceadmin" 创建客户端 client MongoClient(uri) 获取数据库实例 database client["testdb"] 获取集合实例 collection database["testcollection"] 创建集合 goldmemberconllection database.createcollection("goldmember") 插入文档 document {"name": "ff", "age": 30, "email": "ff11@ctyun.com"} goldmemberconllection.insertone(document) 删除数据 result collection.deleteone({'name': 'ff'}) 删除collection database.dropcollection("test") 查询文档 query {"name": "ff"} result collection.findone(query) print(result) 运行命令 database.command("collstats","test") database.command("buildinfo") 计数 count goldmemberconllection.find().count() 排序 results goldmemberconllection.find().sort('name', pymongo.ASCENDING) 创建索引 resultdatabase[goldmemberconllection].createindex([('name',1)]) 关闭连接 client.close()

本节介绍了如何通过命令行创建数据库。 操作场景 创建实例后，您可根据实际需要，创建数据库，可以指定模板库，并为数据库设置不同的字符集、本地化collate等属性。本节将介绍通过psql工具连接数据库，使用命令行创建数据库的方法。 语法格式 CREATE DATABASE name [[WITH] [ OWNER [] username ] [ TEMPLATE [] template ] [ ENCODING [] encoding ] [ STRATEGY [] strategy ] [ LOCALE [] locale ] [ LCCOLLATE [] lccollate ] [ LCCTYPE [] lcctype ] [ ICULOCALE [] iculocale ] [ LOCALEPROVIDER [] localeprovider ] [ COLLATIONVERSION [] collationversion ] [ TABLESPACE [] tablespacename ] [ ALLOWCONNECTIONS [] allowconn ] [ CONNECTION LIMIT [] connlimit ] [ ISTEMPLATE [] istemplate ] [ OID [] oid ]] 操作流程 1.登录连接实例。 2.创建数据库，执行如下命令，其中dbname为数据库名称。 create database dbname; 3.实现结果如下图所示。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 统一身份认证服务（Identity and Access Management, IAM） 针对位于公有云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。

本节包含授予库级dbowner角色权限的相关内容。 操作场景 将目标数据库的dbowner角色权限授予指定用户。 注意事项 存储过程只允许rdsuser或者创建出的主账号执行，创建出的主账号具有和rdsuser相同的权限。创建主账号详细内容请参见创建主账号。 目标数据库不能为系统数据库，系统数据库包括msdb、master、model、tempdb、rdsadmin和resource。 支持将dbowner角色权限授予rdsuser账号。 前提条件 成功连接RDS for SQL Server实例。通过SQL Server客户端连接目标实例。 操作步骤 执行以下命令，授予dbowner角色权限 EXEC master.dbo.rdsadddbowner @dbname, @user; @dbname：目标数据库。 @user：指定用户。 示例 将目标数据库testdb的dbowner角色权限授予testuser，示例如下： EXEC master.dbo.rdsadddbowner @dbname'testdb',@user'testuser';

本节介绍了更新警报通知的相关内容。 操作场景 使用存储过程更新警报通知的通知方法。 前提条件 成功连接RDS for SQL Server实例。通过SQL Server客户端连接目标实例。 操作步骤 执行以下命令，更新警报通知。 EXEC [msdb].[dbo].[rdsupdatenotification] @alertname 'alert', @operatorname 'operator', @notificationmethod notification; 表 参数说明 参数 说明 'alert' 与该通知关联的警报的名称。警报是sysname，无默认值。 'operator' 将出现警报时通知的操作员。运算符是sysname，无默认值。 notification 依据通知操作员的方法。通知是tinyint，无默认值，并且可以是一个或多个值。 值为1，电子邮件。 值为2，寻呼程序。 值为4，net send。 值为7，所有方法。 执行成功后，系统将会如下提示： plaintext Commands completed successfully. 示例 回显如下所示：

本节介绍了设置警报通知的相关内容 操作场景 使用存储过程设置警报通知。 前提条件 成功连接RDS for SQL Server实例。通过SQL Server客户端连接目标实例。 操作步骤 执行以下命令，设置警报通知。 EXEC [msdb].[dbo].[rdsaddnotification] @alertname'alert', @operatorname'operator', @notificationmethod notificationmethod; 表 参数说明 参数 说明 'alert' 通知的警报。警报是sysname，无默认值。 'operator' 当出现警报时通知的操作员。运算符是sysname，无默认值。 notificationmethod 依据通知操作员的方法。notificationmethod是tinyint，无默认值。notificationmethod可以是一个或多个值结合OR逻辑运算符。 值为1，电子邮件。 值为2，寻呼程序。 值为4，net send。 执行成功后，系统将会如下提示： plaintext Commands completed successfully. 示例 回显结果如下：

其他建议 连接数限制：3000 消息大小：不能超过10MB 使用saslssl协议访问Kafka：确保DNS具有反向解析能力，或者在hosts文件配置kafka所有节点ip和主机名映射，避免Kafka client做反向解析，阻塞连接建立。 磁盘容量申请超过业务量 副本数的2倍，即保留磁盘空闲50%左右。 业务进程JVM内存使用确保无频繁FGC，否则会阻塞消息的生产和消费。

create database teledbmul owner teledbuser CONNECTION LIMIT 50 template template0 encoding 'utf8' lccollate 'C'; CREATE DATABASE 修改数据库配置 修改数据库名称 plaintext teledb alter database teledbdb rename to teledbdbnew; ALTER DATABASE 修改连接数 plaintext teledb alter database teledbdbnew connection limit 50; ALTER DATABASE 修改数据库所有者 plaintext teledb alter database teledbdbnew owner to teledb; ALTER DATABASE 配置数据默认searchpath plaintext teledb alter database teledbdbnew set searchpath to public, pgcatalog; ALTER DATABASE alter database不支持修改的项目 项目 备注 encoding 编码 lccollate 排序规则 lcctype 分组规则 删除数据库 plaintext 删除数据库teledbdbnew teledb drop database teledbdbnew; 仍有会话连接数据库时，会报错 ERROR: database "teledbdbnew" is being accessed by other users DETAIL: There is 1 other session using the database. 停止该数据库的所有连接，后重新删除数据库 teledb select pgterminatebackend(pid) from pgstatactivity where datname'teledbdbnew'; pgterminatebackend t (1 row) teledb drop database teledbdbnew; DROP DATABASE

修改已有白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组，进入白名单与安全组管理页面。 5. 选择想要修改的白名单分组，单击修改 或者删除。 设置IP白名单情况下连接MySQL实例 1. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 2. 上传客户端安装包到linux系统。 3. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 4. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 5. 返回访问报错。

服务器IP地址变更后，原SSL证书是否仍可用？ 如果申请的是域名证书，只要部署的域名匹配，域名解析的IP更改不会影响证书，可以继续使用； 如果申请的是IP证书，部署的IP更改，证书IP和部署IP不一致，证书不匹配不可以继续使用。 浏览器提示SSL证书不可信怎么办？ 导致浏览器提示ssl证书不可信/不安全的原因是多样的，简单的原因有以下几种： 访问到的证书是否与访问的域名一致，若不一致一般是部署的证书不匹配，重新部署对应匹配域名证书即可。 服务端部署的证书不完整，缺乏中间证书链，重新部署完整证书即可。 客户若自行无法判断原因，可反馈至技术支持排查处理。 部署了SSL证书后，为什么通过域名无法访问网站？ 导致域名无法访问的原因是多样的，如端口问题/域名解析问题/证书部署问题。若客户自行无法判断原因，可反馈至技术支持排查处理。 为什么安装了SSL证书后，https访问速度变慢了？ 安装SSL证书后，HTTPS访问速度变慢可能是由以下几个原因引起的： 加密和解密过程：SSL证书用于加密在网络中传输的数据，以确保安全性。加密和解密数据的过程需要计算资源和时间，因此会对访问速度产生一定的影响。尤其是在服务器端，需要对大量的数据进行加密和解密操作，可能导致响应时间延长。 握手过程：在建立HTTPS连接时，客户端和服务器之间需要进行SSL握手过程，以协商加密算法和密钥等信息。这个握手过程会增加连接建立的时间和网络延迟，从而影响访问速度。 证书验证：在建立HTTPS连接时，客户端需要验证服务器端的SSL证书的合法性。这涉及到证书链的验证、OCSP状态、证书吊销列表（CRL）的检查等操作，这些额外的验证步骤可能会增加连接建立的时间。 响应大小增加：SSL加密会使数据包的大小增加。加密后的数据包通常会比明文数据包更大，这意味着在网络上传输需要更多的带宽和时间。 服务器处理负载增加：由于SSL加密需要计算资源，服务器在处理大量HTTPS请求时可能会承受更大的负载。如果服务器的计算能力有限或配置不当，可能导致HTTPS访问速度变慢。 但整个tls握手、获取ocsp状态所耗时间可以忽略不计。 如果您说的访问速度过慢，可以排查下是否其他因素，如服务器资源加载以及网络原因。

操作场景 本章介绍如何在控制台创建集群实例、以及创建后如何设置安全组、并通过内网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 图 内网访问数据库实例

本章节主要介绍如何登录翼MR集群节点。 本章节介绍如何使用翼MR管理控制台上提供的节点远程连接（VNC方式）和如何使用密码方式（SSH方式）登录翼MR集群中的节点，远程连接主要用于紧急运维场景，远程登录主机进行相关维护操作。其他场景下，优先推荐用户使用SSH方式登录集群节点。 说明 如果需要使用SSH方式登录集群节点，需要在集群的安全组规则中手动添加入方向规则：其中源地址为“客户端公网IPV4地址/32”，端口为22，具体请参见“帮助中心>虚拟私有云>安全组>[ 登录主机（VNC方式） 1. 登录翼MapReduce服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 说明 1、初始密码为创建集群时所设定的集群密码。 2、自2.16版本起，若忘记密码，可通过基础信息页的重置密码功能修改云主机密码，物理机暂不支持修改。 登录主机（SSH密钥方式） 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux主机，可以按照下面方式登录主机。下面步骤以Xshell为例。 1. 登录翼MR服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“更多”，选择“绑定弹性IP”，可以为该节点选择一个已存在且未绑定使用的弹性公网IP或者可以单击“+创建弹性公网IP”跳转至弹性IP控制台完成弹性IP购买后，再完成弹性公网IP绑定操作，若已绑定弹性公网IP请跳过该步骤。 5. 运行Xshell。 6. 选择“新建会话”。 7. 名称：选择你认为合适的会话名称，用于方便管理。 8. 协议：使用默认的“SSH”。 9. 主机：输入主机所绑定的弹性公网IP。 10. 端口号：使用默认的“22”，详见下图： 单击“Session”。 11. 单击“连接”，按照提示步骤，分别完成登录用户（默认为root）、密码的输入并保存，即可完成远程登录操作。

kubectl get clusterrolebinding NAME ROLE AGE clusterroleclusteradmingroup0c96fad22880f32a3f84c009862af6f7 ClusterRole/clusteradmin 61s kubectl get clusterrolebinding clusterroleclusteradmingroup0c96fad22880f32a3f84c009862af6f7 oyaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: annotations: CCE.com/IAM: "true" creationTimestamp: "20210623T09:15:22Z" name: clusterroleclusteradmingroup0c96fad22880f32a3f84c009862af6f7 resourceVersion: "36659058" selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/clusterroleclusteradmingroup0c96fad22880f32a3f84c009862af6f7 uid: d6cd43e9b4ca4b56bc52e36346fc1320 roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: clusteradmin subjects: apiGroup: rbac.authorization.k8s.io kind: Group name: 0c96fad22880f32a3f84c009862af6f7 使用被授予用户连接用户连接集群，如果能正常查询PV、StorageClass的信息，则说明权限配置正常。 kubectl get pv No resources found kubectl get sc NAME PROVISIONER RECLAIMPOLICY VOLUMEBINDINGMODE ALLOWVOLUMEEXPANSION AGE csidisk everestcsiprovisioner Delete Immediate true 75d csidisktopology everestcsiprovisioner Delete WaitForFirstConsumer true 75d csinas everestcsiprovisioner Delete Immediate true 75d csiobs everestcsiprovisioner Delete Immediate false 75d csisfsturbo everestcsiprovisioner Delete Immediate true 75d