本文主要介绍获取集群证书。 操作场景 通过控制台获取集群证书，使用该证书可以访问Kubernetes集群。 操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“集群信息”，在右边“连接信息”下证书认证一栏，单击“下载”。 图 获取证书 步骤 3 在弹出的“证书获取”窗口中，根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client.crt、ca.crt三个文件，请妥善保管您的证书，不要泄露。 集群中容器之间互访不需要证书。

云搜索服务的Elasticsearch实例默认提供Cerebro，无需另外安装部署，即可实现Cerebro访问。 前提条件 已开通天翼云云搜索服务Elasticsearch实例（1.2.0版本及以上）。 实例已绑定公网IP。具体可参考“实例公网访问”章节。 操作步骤 1. 登录云搜索服务控制台。 2. 在实例列表页，选择需要登录的实例，在操作列选择Cerebro,单击打开登录页。 3. 输入用户名和密码，用户名默认为admin，密码为创建实例时设置的管理员密码。 4. 使用自建Cerebro访问云搜索实例，应确保自建Cerebro与实例网络互通，连接实例填写

本节主要介绍如何使用API升级HBlock。 此操作用来升级HBlock。 说明 可以通过查询升级进度接口查询升级服务是否完成。 升级过程中系统会做检查，如果不符合升级条件，可能会导致升级失败，升级失败的原因可以在执行升级操作的服务器上查看日志upgrade.log（日志路径：HBlock安装目录/logs/ops/upgrade.log）。建议升级之前对系统进行检查，确保： 所有状态正常： 所有HBlock服务器连接正常，没有处于删除状态的服务器。 HBlock处于working、upgrading状态。 如果软件许可证是订阅模式，需在有效期内；如果软件许可证是永久许可模式，需在维保期限内；如果处于试用期，需试用期未结束。 如果卷是高可用类型，至少保证卷的主备连接正常。 没有处于失败或者任务进行中状态的卷。 系统整体数据冗余度不降级，正常数据百分比为100%。并且，可用故障域数量和健康数量大于所有卷的写入需求。 升级监听服务（stor:ua）正常。 协议解析服务（stor:ps）正常。 基础服务正常：元数据管理服务（stor:mdm）、日志服务（stor:ls）、协调服务（stor:cs）。 HBlock使用的磁盘不存在Error状态。 注意 执行升级HBlock前，确保每个服务器的HBlock安装路径对应的文件系统，存在至少1 GiB的可用空间。 如果集群由不同架构服务器组成，请添加所有架构的升级文件，并保持版本一致。 请求语法 同架构升级： plaintext PUT /rest/v1/system/upgrade HTTP/1.1 Date: date ContentType: application/zip ContentLength: length xupdateparameter: key1value1;key2value2 Host: ip:port Authorization: authorization 混合部署升级（仅集群版支持）： plaintext POST /rest/v1/system/upgrade HTTP/1.1 Date: date ContentType: multipart/formdata; boundaryvalue ContentLength: length ContentMD5: MD5 xupdateparameter: key1value1;key2value2 Host: ip:port Authorization: authorization upgradeFile1name:upgradeFile1 upgradeFile2name:upgradeFile2 ……

本章节介绍Eureka引擎的常见问题 如何解决Eureka连接失败问题？ 问题现象 使用Eureka客户端连接Eureka服务端时，报错Cannot execute request on any known server，如下图所示。 或是报错There is no known eureka server; cluster server list is empty，如下图所示。 问题原因 Eureka客户端无法连通任意您指定的Eureka服务端地址，或是您指定的Eureka服务端地址配置不符合标准格式。 解决方案 请检查您在客户端配置中指定的eureka.client.serviceurl.defaultZone配置项，确保所填写的服务端地址正确且在客户端侧能够telnet通。格式需为 如何诊断注册到Eureka服务的健康状态？ 注册到Eureka的服务有时可能会因为宕机或者网络原因而无法继续提供服务，Eureka提供了健康检测机制来保证消费者不会调用到不健康的服务。 您也可以在Eureka实例控制台服务管理服务列表，选择服务，点击详情按钮，查看当前服务实例的实时健康状态。当服务实例出现不健康的情况时，Eureka服务端会定期对其进行驱逐。若此类情况发生，请检查您服务的真实状态。 如何查看Eureka开源控制台UI？ 默认不支持查看您实例的Eureka开源控制台UI，您可以通过我们提供的Eureka实例控制台对Eureka的基本信息进行查询，并进行相关管理端操作，功能更加全面。 如何解决Eureka服务消费者获取不到服务提供者地址的问题？

本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

填写存储openapi使用的azName，必须与云硬盘所在的可用区一致。 persistentVolumeReclaimPolicy: "Delete" volumeMode: "Filesystem" 参数说明： volumeHandle：格式为0208{PVNAMESUFFIXLENTH}{PVNAMESUFFIX} DISKID表示P云硬盘的diskID，可以在云硬盘控制台获取。 DISKIDLENTH为16进制，表示diskID的长度。 例如DISKID是"5c1fae45d5f94088abaf4a59de3ffcce"，则DISKIDLENTH为24 执行以下命令，创建PV plaintext kubectl apply f pvexample.yaml 查看创建的PV：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷”，在持久卷列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvcdisk namespace: default spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi volumeMode: Filesystem volumeName: {YOURPVNAME} 替换PV名称 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1"kind: "StatefulSet"metadata: name: "teststs"spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcdisk" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

本页介绍了如何设置读写分离来提升性能。 节点角色说明 不论是副本集实例还是集群版实例，底层都是使用多副本的方式存储数据。多个副本组成一个副本集，正常来说包含 1 个 primary 节点，1 个 hidden 节点，1个或者多个 secondary 节点。 Primary 节点承担数据写入请求，secondary 和 hidden 节点通过 oplog 日志更新数据。 默认情况下，用户的读写请求都会发送到 primary 节点处理，此时整体性能受限于 primary 节点的资源。 用户可以通过下面的方法调整配置参数，将读请求发送给 secondary 节点。通过读写分离，可以很大程度上提升系统的性能。 使用只读节点提升读性能 文档数据库服务支持用户添加只读节点来提升读能力。只读节点实时同步最新数据并提供读访问，另外由于只读节点不会被选举，因此及时发生主从切换，只读节点也不会成为 primary 节点。 用户可以在控制台上添加只读节点，添加成功后，按照控制台给出的 URL 连接进行访问。 通过设置 readPreference 去读指定节点 文档数据库服务在开通时，默认就是 1 个primary，1 个 secondary 和 1 个 hidden 节点的架构。用户可以在连接上文档数据库服务实例之后，通过指定 readPreference 来配置读策略。目前 readPreference 支持的策略有： primary：默认规则，所有读请求发到primary 节点。 primaryPreferred：优先读 primary 节点，如果 primary 节点不可达，则请求 secondary 节点。 secondary：所有读请求发送到 secondary 节点。 secondaryPreferred：优先读 secondary 节点，如果 secondary 不可达，则请求 primary 节点。 nearest：客户端探测每个节点的网络记录，并将读请求均匀发送到最近的可达节点上。默认情况下，如果 2 个节点于客户端的网络距离差距不超过 15ms, 则认为是“一样近”。

约束条件 添加域名时配置错误将导致无法成功获取Web访问者请求的真实IP地址。 常规情况下，XForwardedFor字段中，第一个IP就是客户端真实IP，当IPV6地址长度超过XForwardedFor字段长度限制时，将读取不到IP地址；另外，nat64下，ELB是IPv4的监听器，也读不到ipv6地址。 通过WAF直接获取客户端真实IP 网站接入WAF后，WAF作为一个反向代理部署于客户端和服务器之间，实现网站安全防护。 在WAF中开启了代理，按以下顺序获取源IP： 1. 优先取“upstream”中配置的源IP头列表，即在域名的基本信息页面配置的“IP标记”，具体的操作请参见配置攻击惩罚的流量标识。如果未取到，执行[]( d1e7205)。 2. 取config中配置的源IP头列表“cdnsrcip”字段对应的值，未取到，执行[]( d1e7213)。 3. 取“xrealip”字段的值，未取到，执行[]( d1e7221)。 4. 取“xforwardedfor”字段左边开始第一个公网IP，未取到，执行[]( d1e7229)。 5. 取WAF看到的TCP连接IP，“remoteaddr”字段对应的值。 说明 如果想以TCP连接IP作为客户端IP，“IP标记”应配置为“remoteaddr”。 在WAF中未开启代理，直接取“remoteip”字段的值为真实IP。 下面为您介绍如何通过XForwardedFor和XRealIP变量获取客户端真实IP地址的方法： WAF使用XForwardedFor的方式获取客户端的真实IP地址。 WAF将“真实的客户端IP”放在HTTP头部的“XForwardedFor”字段，格式如下： 说明 当使用此方式获取客户端真实IP时，获取的第一个地址就是客户端真实IP。 各种语言通过调用SDK接口获取XForwardedFor字段的方式： ASP： plaintext Request.ServerVariables("HTTPXFORWARDEDFOR") ASP.NET(C

索引设计规范 单表的索引数量最好不超过5个，单个索引中的字段数最好不超过5个，避免因长时间锁定数据导致内存、连接消耗过多等问题。 确保索引字段长度固定且不宜过长。过长的索引字段会占用更多磁盘空间，并影响索引的性能。 避免冗余索引，即存在两个索引 (a,b) 和 (a) 的情况，若查询条件为a列，只需建立 (a,b) 索引即可，不需要额外建立 (a) 索引。 对于高过滤性的字段，考虑在其上加索引。高过滤性字段的索引可以提高查询效率。 注意选择性和数据类型。选择性高的字段和合适的数据类型可以提高索引效果和查询性能。 合理利用覆盖索引来减少I/O开销，通过创建包含所需列的复合索引，避免回表操作。 开发使用规范 在处理复杂运算或业务逻辑时，优先考虑在业务层实现，而非在SQL中进行。合理选择分页方式以提高分页效率，避免使用跳跃式分页。 在事务中使用更新语句时，尽量基于主键或唯一键进行操作，避免产生间隙锁和死锁。 尽量避免使用外键和级联更新，应该在应用层处理外键关系。 减少使用in操作，集合元素数量不应超过1000个。 对于批量数据操作，可以适度采用批量SQL语句，例如使用insert into...values语句批量插入数据，但不宜超过100个。 避免使用存储过程，存储过程难以调试、扩展和移植。 避免使用触发器、事件调度器和视图来实现业务逻辑，这些应该在业务层处理，避免对数据库产生逻辑依赖。 避免使用隐式类型转换，了解类型转换规则，确保比较操作符两边的数据类型一致，避免影响查询性能。 在一个事务中，尽量控制SQL语句的数量，不超过5个，避免长时间锁定数据、内存缓存问题和连接消耗过多。 利用覆盖索引来进行查询操作，避免回表。

介绍鉴权管理具体步骤。 功能说明 用户在连接文件系统时，需要获取鉴权信息进行相应的鉴权操作。 产品控制台系统鉴权信息管理，用户可通过控制台完成相关操作。 根据资源池不同，操作有所不用，请根据具体的资源池参考相关操作。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 以下操作除天津资源池2区、天津资源池3区外适用 CIFS资源通过资源连接时的账号密码进行控制，在创建后可以通过控制台对密码进行修改，操作步骤如下： 1.登录媒体存储控制台，进入文件空间界面，找到需要修改CIFS密码的存储文件空间，点击【修改CIFS密码】。 2.根据弹窗指引，输入原密码、新密码并确认密码，点击【保存】，完成修改CIFS密码操作。 以下操作适用于天津资源池2区、天津资源池3区 NFS协议 1. 进入文件系统列表操作栏，选择对应NFS文件空间，点击【 管理 】进入页面。 2. 进入页面后，选择对应的挂载点，点击【 管理权限组 】。 3. 在弹窗页面，对权限和用户客户端的映射更改，然后保存点击【确认】。 用户映射说明如下表： 选项 映射说明 nosquash 使用root用户访问文件系统映射为root用户。 rootsquash 以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash 无论以何种用户身份访问，均映射为nfsnobody用户。 用户映射说明配置建议如下： nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点。 选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。 若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。

类型 指标 描述 主要评价指标 整体性能 平均响应时间，该值越小，则响应时间越短。 主要评价指标 服务可用性 访问成功率，该值越高，则可靠性越强。 网络指标 DNS解析时间 通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。 网络指标 TCP建连时间 浏览器或客户端和WEB服务器建立TCP/IP连接的消耗时间。 网络指标 SSL握手时间（按需） 浏览器或客户端和WEB服务器建立安全套接层（SSL）连接的消耗时间。 网络指标 首包时间 浏览器或客户端发送HTTP请求结束开始，到收到WEB服务器返回的第一个数据包的消耗时间。 网络指标 内容下载时间 监测一个页面时，从页面角度看，浏览器或客户端接收WEB服务器返回第一个数据包，到所有内容传输完成的时间。 CDN平台指标 回源率 回源率分为回源请求数比例及回源流量比例两种。 1. 回源请求数比例：指CDN节点上没有缓存、缓存过期和不可缓存的请求占全部请求记录的比例。 注意 对于开启分片回源功能的域名，因为CDN回源做了分片，而用户访问CDN没有分片，可能会出现CDN节点回源请求数远大于用户访问CDN的请求数的情况。这种情况下回源请求率的数据将没有参考意义。 2. 回源流量比例：回源流量是CDN节点回源请求内容时产生的流量。回源流量比回源流量/用户请求访问的流量，比值越低，性能越好。 CDN平台指标 缓存命中率 缓存命中率包括流量命中率和请求命中率。CDN缓存命中率低，会导致源站压力大，静态内容访问效率低。 统计方式： 流量命中率 1 回源流量/流量（5分钟粒度）。 请求命中率 1 回源请求数/请求数（5分钟粒度）。

导出源库数据 步骤 1 登录到已准备的弹性云服务器或可访问源数据库的设备。 步骤 2 使用mongodump工具，备份源数据库中的数据。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslCAFile sslAllowInvalidCertificates ”即可。 ./mongodump host port authenticationDatabase u ssl sslCAFile sslAllowInvalidCertificates db collection gzip archive 表 参数说明 参数 说明 数据库地址。 数据库端口号。 数据库用户名。 存储 信息的数据库，一般为admin。 存放根证书的路径。 需要迁移的数据库名称。 需要迁移的数据库中的集合。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下，命令执行后，archive 指定的文件即为最终的备份文件，如下命令以backup.tar.gz为例。 ./mongodump host 192.168. xx . xx port 8635 authenticationDatabase admin u rwuser ssl sslCAFile/tmp/ca.crt sslAllowInvalidCertificates db test collection usertable gzip archivebackup.tar.gz 20190304T18:42:10.687+0800 writing admin.system.users to 20190304T18:42:10.688+0800 done dumping admin.system.users (1 document) 20190304T18:42:10.688+0800 writing admin.system.roles to 20190304T18:42:10.690+0800 done dumping admin.system.roles (0 documents) 20190304T18:42:10.690+0800 writing admin.system.version to 20190304T18:42:10.691+0800 done dumping admin.system.version (2 documents) 20190304T18:42:10.691+0800 writing test.testcollection to 20190304T18:42:10.691+0800 writing admin.system.profile to 20190304T18:42:10.692+0800 done dumping admin.system.profile (4 documents) 20190304T18:42:10.695+0800 done dumping test.testcollection (198 documents)

本节介绍了限制子账户只能看到具有权限的数据库清单的相关内容。 操作场景 使用存储过程，将某个自定义数据库的权限授予由rdsuser账户创建的指定子账户，并限制该账户对其他数据库的可见性。限制之后，子账户对不具权限的数据库不可见，也无法对其进行相关操作。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 约束 对于系统库，不可通过此存储过程进行授权给子账户。如果您试图为子账户授予系统库权限，系统将会有如下提示： plaintext Error DatabaseName. Please can not include in ('msdb','master','model','tempdb','rdsadmin') . 对于系统管理员账户，不可通过此存储过程进行授权。如果您试图为管理员账户授予任意数据库权限，系统将会有如下提示： plaintext Error Login. Please can not include in ('rdsadmin','rdsmirror','rdsbackup','rdsuser') . 若某个账户已经是指定数据库的用户，不可再通过此存储过程对该账户授予该数据库的权限。否则，系统将会有如下提示： plaintext The proposed new database owner is already a user or aliased in the database. 这种情况下，您可以通过管理账户“rdsuser”将该子账户从该数据库中删除之后，再通过执行此存储过程进行授权。 若某个账户具有Create Any Database权限，则此存储过程对该账户不生效。 操作步骤 执行以下命令，进行限制子账户查看数据库权限。 EXEC rdsadmin.dbo.rdsAUTHORIZATIONDatabaseForLogin ‘@DBName’, ‘@Login’; @ DBName：要授予权限的数据库。 @ Login：要授予权限的账户。 为“user1”账户授予数据库“testDB1”的权限，示例如下： EXEC rdsadmin.dbo.rdsAUTHORIZATIONDatabaseForLogin ‘testDB1’, ‘user1’; 授权成功之后，user1将具备testDB1的权限，对其可见并可对其进行操作；并且对其余无权限数据库保持不可见且不可操作。

添加主机 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“分布式事务”，在“分布式事务”页面单击“添加主机”。 步骤 6 在“添加主机”弹出框中，添加主机名称和主机IP，然后单击“测试连接”，当所有的主机地址测试连接成功后，单击“确认”即可添加成功。 主机名称：输入要与RDS实例建立分布式事务的主机名。主机名在1到64个字符之间，由字母、数字、中划线组成，不能包含其他特殊字符，且主机名字不可重复。 主机IP： 输入要与RDS实例建立分布式事务的主机IP。主机IP需要先配置安全组的出入规则。 说明 l如果添加的主机为ECS并且与RDS在相同VPC内，请填写ECS的私有IP。私有IP可以在ECS实例的实例详情页面查看。 l如果添加的主机为ECS并且与RDS在不同VPC内，请填写ECS的公网IP，并且请参考绑定和解绑弹性公网IP为RDS实例绑定EIP。 远程服务器上的名称解析（ECS设置） 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏单击“分布式事务”，在“分布式事务”页面获取到RDS实例信息。 步骤 5 将RDS实例信息配置到ECS的hosts文件中，路径为 “C:WindowsSystem32driversetchosts” 。

本文为您介绍如何评估迁移任务时间及测试传输速度。 介绍说明 迁移时长总数据量÷(带宽大小/8)1.25。 1.25为时间冗余量；由于云主机性能瓶颈、存在大文件改动多、小文件多等情况，可能存在无法跑满带宽与保持高速率传输，留存冗余，避免由于时间预估导致项目仓促；可根据情况自由调整误差系数。 说明 数据量与带宽单位需统一（GB/MB）。 数据量单位为Byte。 带宽单位（K/M/Gbps）。 iperf3测试结果bandwidth单位（Gbits/sec）等同于带宽Gbps，千兆比特每秒。 迁移带宽以迁移源出口带宽、目的端入口带宽、CMS平台中限制带宽中最小带宽为准。 操作步骤 若需要较为严格的时间预估建议通过软件进行测试： 1. 根据源端云主机的OS类型下载对应iperf版本。 2. 在源端云主机和目的端云主机（或者目的端云主机同一Region下的其他弹性云云主机）某一个目录下解压iperf工具。例如在Windows操作系统的iperf工具： 3. 在目的端云主机上，以命令行方式运行iperf（服务端模式运行，以Windows操作系统为例）： 执行以下命令，进入iperf目录。 cd /d path 其中，path指步骤2中iperf工具解压后在目的端云主机中的路径。 执行以下命令，以服务端运行iperf。 iperf3 p port s 其中，port表示iperf工具的服务端监听端口，建议Windows操作系统使用8900端口（8900为目的端云主机使用的数据传输端口），Linux操作系统使用22端口（22为目的端云主机使用的数据传输端口）。您测试的时候也可以使用其他端口，但要保证目的端云主机安全组规则允许开放该TCP或者UDP端口。更多的参数使用说明，请使用iperf h查看。 以Windows操作系统使用8900端口为例，当回显信息为Server listening on 8900时，表明服务端已经运行就绪。 4. 在源端云主机上，以命令行方式运行iperf（客户端模式运行），测试TCP带宽和UDP的抖动、丢包率和带宽（以Windows操作系统为例）。 执行以下命令，进入iperf目录 cd /d path 其中，path指步骤2中iperf工具解压后在源端云主机中的路径。 执行以下命令，运行iperf工具，测试TCP带宽。 iperf3 c targetIP p port t time 其中，c是客户端模式运行。 targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 port表示连接目的端云主机的端口（即3.b中 iperf监听端口）。 time表示测试总时间，默认单位为秒。 以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会进行带宽（Bandwidth）测试，测试结束后查看结果即可： 执行以下命令，运行iper测试UDP的抖动、丢包率和带宽。 iperf3 c targetIP p port u t time 其中，u表示测试UDP的抖动、丢包率和带宽。 targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 port表示连接目的端云主机的端口（即3.b中 iperf监听端口）。 time表示测试总时间，默认单位为秒。 以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会测试UDP的抖动（Jitter）、丢包率（Lost/Total Datagrame）和带宽（Bandwidth），测试结束后查看结果即可。 若需要测试网络时延，可以使用ping命令。 ping targetiP targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 需要配置目的端云主机所在的VPC的安全组规则，允许ICMP协议报文通过。 5. 执行以下命令，获取更多的iperf的使用帮助。或者参照官网指导获取相应的使用帮助。 iperf3 h

使用mysqldump迁移MySQL数据 说明：本章节会介绍如何使用mysqldump迁移MySQL数据库数据 迁移准备 关系型数据库服务支持开启公网访问功能，通过弹性公网IP进行访问。您也可通过弹性云服务器的内网访问关系型数据库。 1、准备弹性云服务器或可通过公网访问关系型数据库。 通过弹性云服务器连接关系型数据库实例，需要创建一台弹性云服务器。通过公网地址连接关系型数据库实例，需具备以下条件： （1）先对关系型数据库实例绑定公网地址。 （2）保证本地设备可以访问关系型数据库实例绑定的公网地址。 2、在准备的弹性云服务器或可访问关系型数据库的设备上，安装MySQL客户端。 该弹性云服务器或可访问关系型数据库的设备需要安装和RDS MySQL数据库服务端相同版本的数据库客户端，MySQL数据库或客户端会自带mysqldump和mysql工具。 导出数据 要将源数据库迁移到关系型数据库，需要先对其进行导出。 相应导出工具需要与数据库引擎版本匹配。 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 登录已准备的弹性云服务器，或可访问关系型数据库的设备。 使用mysqldump将元数据导出至SQL文件。 MySQL数据库是关系型数据库服务管理所必须的数据库，导出元数据时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldump databases singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u p h P sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > DBNAME为要迁移的数据库名称。 DBUSER为数据库用户。 DBADDRESS为数据库地址。 DBPORT为数据库端口。 BACKUPFILE为导出生成的文件名称。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u root p h 192.168.151.18 P 3306 sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > dumpdefs.sql Enter password: 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdefs.sql”文件，如下： [rds@localhost ~]$ ll dumpdefs.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdefs.sql 使用mysqldump将数据导出至SQL文件。 MySQL数据库是关系型数据库服务管理所必须的数据库，导出元数据时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldump databases singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggers u p h P r 上命令的参数说明如步骤2所示。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggers u root p h 192.168.151.18 P 8635 r dumpdata.sql 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdata.sql”文件，如下： [rds@localhost ~]$ ll dumpdata.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdata.sql 导入数据 通过弹性云服务器或可访问关系型数据库的设备，用相应客户端连接关系型数据库实例，将导出的SQL文件导入到关系型数据库。 如果源数据库中包含触发器、存储过程、函数或事件调用，则需确保导入前设置目标数据库参数logbintrustfunctioncreatorsON。 导入元数据到关系型数据库。 先用mysql工具连接关系型数据库实例，输入密码后，执行导入命令。

本节主要介绍修改实例安全组。 操作场景 GeminiDB Influx支持修改安全组。 使用须知 对于进行节点扩容中的实例，不可修改安全组。 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在左侧导航树，单击“连接管理”。 5. 在“内网安全组”区域，单击，选择实例所属安全组。 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 6. 稍后可在“安全组”区域，查看修改结果。

参数 描述 中间件IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库的用户名。 中间件密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 分片数据库 根据源库实际的分片数据库，填写对应的数据库信息。

本小节介绍服务器安全卫士操作类常见问题。 订购后如何部署？ 购买成功后，进入控制中心“服务器安全卫士”界面，点击“控制台”，进入控制台后，在通用功能系统设置Agent安装界面，根据页面提示安装Agent即可。 安全卫士是否支持双因子认证？ 服务器安全卫士不支持双因子，因为服务器安全卫士本身是通过登录天翼云账号跳转，直接登录的服务器安全卫士控制台，服务器安全卫士本身并没有账号，所以不支持双因子认证。 如何接收监测报告？ 服务器安全卫士支持以邮件的方式将报告发给客户指定邮箱（首次登录服务器安全卫士时控制台需要填写邮箱）。客户可在服务器安全卫士消息中心——消息接收配置界面，配置是否接收报告，也可添加接收人。 如何接收实时告警？ 服务器安全卫士支持邮件、短信、站内信方式将告警实时告知客户，客户需要在首次登录服务器安全卫士控制台时填入接收的邮箱和手机号，也可以在服务器安全卫士消息中心——消息接收配置界面，配置接收通知的消息类型、接收方式和接收人。 Windows客户端Agent安装失败？ 现象1： 安装时输出“http error code 28” 解决方案： 1. 检查与服务端的网络是否正常连通，测试方法：把安装URL填到浏览器，看看能否正常连接加载内容 2. 检查客户是否配置防火墙进行了拦截 3. 检查客户环境是否有WAF进行了拦截操作 现象2： 安装Windows Agent报NSIS错误。 解决方案： 客户系统是Windows英文版系统，存放安装包的目录带有中文，打开安装包就报错。将安装包移到纯英文目录下就可以正常安装。 现象3： 检查sys.log发现 Can't modify service config 3 解决方案： 是由于客户操作系统环境注册表写入问题，需要排查是否是禁用注册表写入或是杀毒拦截等原因。 现象4： 安装提示Error Launching installer 解决方案： 把安装程序放置到纯英文目录尝试再次安装。 现象5： 安装时提示错误：抽取，无法写入文件 解决方案：查看C盘磁盘是否已经满了，如果满了，清理一下磁盘 现象6： Windows服务器安装Agent报错下载文件失败 如下图： telnet server 所有端口都是通的，但是访问 telnet成功后按ctrl+c结束时会有400返回。 原因： 客户Windows服务器设置了网络代理，查看方式为打开IE浏览器，选择“设置 > Internet选项 > 连接 > 局域网设置”，如下图 ： 解决办法： 打开IE浏览器，选择“设置 > Internet选项 > 连接 > 局域网设置 > 高级”，在“对于下列字符开头的地址不使用代理服务器”中填写： ip;server ip，如下图： 完成配置后重新打开cmd执行安装命令。 现象7： Windows安装Agent时报错“文件或目录损坏且无法读取” 解决方案： 确认发现是客户使用账号没有权限写C盘目录，使用管理员权限问题解决。

adduser user01 根据提示设置新用户的密码。 设置user01的其他信息，该信息均为可选，如果不设置可以按回车键跳过，最后系统将提示您确认输入的信息是否正确无误。 正确输入"Y"。 7. 执行reboot命令，重启服务器。 8. 通过控制台提供的VNC登录方式连接主机，使用6中添加的子账号登录图形化界面。

set to true if target is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required tls false 6、在线迁移，同步数据。 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表同步完成： all done 7、迁移后验证。 数据同步结束后，可使用rediscli工具连接DCS 实例，通过dbsize查看Key数量，确认数据是否完整导入。 如果数据不完整，可使用flushall或者flushdb命令清理实例中的缓存数据后重新同步。 8、清理RedisShake配置文件。

set to true if target is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required tls false 6、在线迁移，同步数据。 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表同步完成： all done 7、迁移后验证。 数据同步结束后，可使用rediscli工具连接DCS 实例，通过dbsize查看Key数量，确认数据是否完整导入。 如果数据不完整，可使用flushall或者flushdb命令清理实例中的缓存数据后重新同步。 8、清理RedisShake配置文件。

云搜索服务的OpenSearch实例默认提供Cerebro，无需另外安装部署，即可实现Cerebro访问。 前提条件 已开通天翼云云搜索服务实例（1.2.0版本及以上）。 实例已绑定公网IP。具体可参考“实例公网访问”章节。 操作步骤 1. 登录云搜索服务控制台。 2. 在实例列表页，选择需要登录的实例，在操作列选择Cerebro，单击打开登录页。 3. 输入用户名和密码，用户名默认为admin，密码为创建实例时设置的管理员密码。 4. 使用自建Cerebro访问云搜索实例，应确保自建Cerebro与实例网络互通，连接实例填写

本节介绍了查看错误日志的相关内容。 操作场景 使用存储过程查询指定错误日志。 前提条件 成功连接RDS for SQL Server实例。 操作步骤 执行以下命令，查看错误日志。 EXEC master.dbo.rdsreaderrorlog @FileID, @LogType, '@FilterText', '@FilterBeginTime', '@FilterEndTime'; @FileID：指定日志序号，可选值为 0, 1, 2, ... @LogType：日志类型，1为错误日志，2为Agent日志。 @FilterText：指定过滤字符串。 @FilterBeginTime：指定所读取日志开始时间。 @FilterEndTime：指定所读取日志额结束时间。 获取 09/25/201809/30/2018的Agent日志，并指定过滤字符串为recovery，示例如下： EXEC master.dbo.rdsreaderrorlog 0, 1, 'recovery', '20180925', '20180930';

本章节主要介绍跨源连接相关问题中有关跨源分析的问题。 如何实现跨数据源查询 跨数据源查询步骤如下： 1. 假设数据存放在云上多个不同的地方，例如存放在OBS上。 2. 在DLI中创建数据表，数据表对应的位置配置为数据所在的位置，例如OBS的某个桶路径（该数据实际还是在OBS中，不用迁移）。 3. 在DLI中编写SQL直接查询分析这些数据。 如何实现跨区域访问数据 1. 打通不同区域间的VPC网络。 2. 在DLI中创建增强型跨源链接，绑定队列。 3. 添加DLI的路由。 创建DLI关联RDS表时，如果RDS表有自增主键或者其他自动填充的字段时，在DLI中插入数据时，对应字段如何填写？ 在DLI中插入数据时，ID字段填写NULL。

本文向您介绍如何为企业版VPN网关解绑弹性IP。 场景描述 用户创建VPN网关后，可以解绑已关联的弹性公网IP。 约束与限制 已创建VPN连接的EIP不支持解绑操作。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”列表页面，选择目标VPN所在行，单击操作列的“解绑EIP”。 如果VPN网关是双活模式，VPN网关支持解绑主EIP/主EIP2，请根据实际需要进行解绑配置。 如果VPN网关是主备模式，VPN网关支持解绑主/备EIP，请根据实际需要进行解绑配置。 4. 单击“是”，完成解绑。 注意 未绑定VPN网关的弹性IP会继续计费（弹性IP保有费），如果不再使用建议释放该弹性IP。

本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

参数 说明 处置粒度 支持根据设备，账号，公网IP三种类型作为处置粒度，会对所选粒度的访问行为进行统计和处置，其中设备是关联到账号的最小处置粒度 ，处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置，当处置粒度为账号时，在处置动作生效时期，该账号登录其他设备同样会被处置。 统计粒度 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数，支持按照域名+端口或协议+IP+端口两种粒度。 统计周期 单位秒。 访问次数 单位次数。 处置时间 单位秒。 处置动作 监控：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 提示语 针对不同处置动作均默认设置有对应提示语，可进行自定义修改。

本文为您介绍如何配置健康检查探测云专线的连通性,保障业务流量可用性。 健康检查功能介绍 在您将云专线（CDA）连接至云间高速实例后，通过云间高速的健康检查功能探测云专线（CDA）的物理线路的连通性。在云间高速和本地数据中心存在冗余链路的场景下，您可以配置健康检查，在探测到物理线路故障后支持自动切换到可用线路，保障流量传输不中断。 说明：健康检查功能仅支持CTYUN4.0资源池。 前提条件 您已经将物理专线关联的专线网关实例（CDA）连接至云间高速实例。具体操作，请参见加载云专线（CDA）网络实例 在云间高速中配置健康检查 1. 进入云间高速控制台。 2. 在左侧菜单选择“ 健康检查 ”，进入健康检查页面。 3. 单击页面右上角的按钮“配置健康检查”，进入健康检查配置页面。 4. 在健康检查配置页面，根据配置信息，单击“ 确定 ”，完成健康检查实例的配置。 参数 说明 云间高速 请选择云专线关联的云间高速实例。 云专线（CDA） 请选择需要探测的云专线实例。 云侧IP 云侧IP地址可以是任意一个没有被使用的IP地址，但不能与云间高速中要互通的IP地址冲突，也不能和云专线实例的云侧、客户侧IP地址冲突。 客户侧IP 客户侧IP地址为云专线实例中客户侧IP地址。 发包时间间隔 指定健康检查发送连续探测报文的时间间隔。单位：秒。取值范围：2~3。默认值：2。 探测报文数 指定健康检查发送连续探测报文的个数。单位：个。取值范围：3~8。默认值：8。 切换路由 是否开启健康检查的路由切换功能。默认选择开启。健康检查在探测到云专线链路故障时，如果云间高速实例中存在冗余链路，健康检查则会立即切换使用可用链路。若关闭本功能，请确保已设置其他冗余方案。否则，若物理专线链路发生故障，可能导致网络中断。

本节主要介绍如何使用API移除服务器(集群版适用)。 此操作用来从HBlock集群中移除服务器。 注意 如果移除服务器上有target，该target对应卷的高可用类型是ActiveStandby，移除服务器时，业务不会中断，此卷对应的target会切换到其他服务器上，客户端需要重新连接target对应的新服务器IP。 如果移除服务器上有target，该target对应卷的高可用类型是Disabled，移除服务器时，业务会中断，此卷对应的target会切换到其他服务器上，客户端需要重新连接target对应的新服务器IP。但服务器移除时，会有数据丢失风险。 如果执行日志采集后，产生的日志保存在服务器安装目录下，在服务器移除之后，该日志将被删除。如果产生的日志保存在HBlock的数据目录内，并且deleteLocalData为true，该日志也将被删除。 有服务器正在移除时，不能再移除其他服务器。如果必须移除，请使用强制移除，但有丢数据风险。 该节点的所有数据目录不属于任何存储池，允许移除该服务器。否则不能移除，如果必须移除，请使用强制移除，但有丢数据风险。 如果要移除服务器的某个数据目录属于基础存储池，且是基础存储池中仅剩的一个可用故障域中的节点，不允许移除。 如果服务器上有基础服务，不允许移除。 请求语法 plaintext DELETE /rest/v1/system/server/serverId?forceforce&deleteLocalDatadeleteLocalData HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 参数 类型 描述 是否必须 serverId String 要移除服务器的服务器ID。 是 force Boolean 是否强制移除服务器。 注意 强制移除服务器，可能造成数据丢失。 取值： true：是。 false：否。 默认值为false。 否 deleteLocalData Boolean 移除服务器时，是否删除服务器上HBlock数据目录中的数据。 取值： true：删除服务器上HBlock数据目录中的数据。 false：不删除服务器上HBlock数据目录中的数据。 默认值为false。 否

配置HTTPS证书 Ingress支持配置TLS证书，以HTTPS协议的方式对外提供安全服务。 当前支持使用配置在集群中的IngressTLS密钥证书，以及ELB服务中的证书。 说明 同一个ELB实例的同一个端口配置HTTPS时，需要选择一样的证书。 使用IngressTLS密钥证书 步骤 1 请参见通过kubectl连接集群，使用kubectl连接集群。 步骤 2 执行如下命令，创建名为“ ingresstestsecret.yaml ”的YAML文件，此处文件名可自定义。 vi ingresstestsecret.yaml YAML文件配置如下： apiVersion: v1 data: tls.crt: LS0tLS0tCg tls.key: LS0tL0tLS0K kind: Secret metadata: annotations: description: test for ingressTLS secrets name: ingresstestsecret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例，请获取真实密钥进行替换。tls.crt和tls.key的值为Base64编码后的内容。 步骤 3 创建密钥。 kubectl create f ingresstestsecret.yaml 回显如下，表明密钥已创建。 secret/ingresstestsecret created 查看已创建的密钥。 kubectl get secrets 回显如下，表明密钥创建成功。 NAME TYPE DATA AGE ingresstestsecret IngressTLS 2 13s 步骤 4 创建名为“ ingresstest.yaml ”的YAML文件，此处文件名可自定义。 vi ingresstest.yaml 说明 默认安全策略选择（kubernetes.io/elb.tlscipherspolicy）仅在1.17.17及以上版本的集群中支持。 自定义安全策略选择（kubernetes.io/elb.securitypolicyid）仅在1.17.17及以上版本的集群中支持。 以自动创建关联ELB为例，YAML文件配置如下： apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ingresstest annotations: kubernetes.io/elb.class: union kubernetes.io/ingress.class: cce kubernetes.io/elb.port: '443' kubernetes.io/elb.autocreate: '{ "type":"public", "bandwidthname":"ccebandwidth15511633796", "bandwidthchargemode":"bandwidth", "bandwidthsize":5, "bandwidthsharetype":"PER", "eiptype":"5bgp" }' kubernetes.io/elb.securitypolicyid: 99bec42b0dd4458398e9b05ce628d157

DRDS支持直接连接DBProxy执行DDL语句，本文为您介绍dbproxy索引相关的DDL语句。 注意 仅V5.1.20.0.13及以后版本的实例，支持使用本文介绍的DDL语句。 索引相关DDL语句包括：create index和drop index。create index、drop index会根据分片规则的设置在标准库和对应的分片库上执行。 create index 支持的语法： plaintext CREATE [UNIQUE FULLTEXT SPATIAL] INDEX indexname ON tablename (column1 [ASCDESC], column2 [...]); 支持索引类型有普通索引、全文索引、唯一索引，对于8.0以上的RDS版本支持空间索引。 drop index 支持的语法： plaintext DROP INDEX indexname ON tablename;