步骤三：启动 Spark workers Spark workers 启动时需要 Master service处于运行状态，您可以通过修改replicas来设定worker数目（比如设定 replicas: 4，即可建立4个Spark Worker）。您可以为每一个worker节点设置了CPU和内存的配额，保证Spark的worker应用不会过度抢占集群中其他应用的资源。sparkworkerdeployment.yaml可参考如下： sparkworkerdeployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: sparkworkercontroller namespace: sparkcluster spec: replicas: 4 selector: matchLabels: component: sparkworker template: metadata: labels: component: sparkworker spec: containers: name: sparkworker image: index.caicloud.io/spark:1.5.2 imagePullPolicy: Always command: ["/startworker"] ports: containerPort: 8081 resources: requests: cpu: 100m $ kubectl create f sparkworkerdeployment.yaml deployment "sparkworkercontroller" created 查看 workers是否正常运行，通过kubectl查询状态（可看到sparkworker都已经正常运行）： $ kubectl get pods nsparkcluster NAME READY STATUS RESTARTS AGE sparkmastercontrollerb3gbf 1/1 Running 0 1d sparkworkercontrollerill4z 1/1 Running 1 2h sparkworkercontrollerj29sc 1/1 Running 0 2h sparkworkercontrollersiue2 1/1 Running 0 2h sparkworkercontrollerzd5kb 1/1 Running 0 2h 通过WebUI查看： worker就绪后应该出现在UI中。 步骤四：提交Spark任务 1. 通过Sparkclient，可以利用sparksubmit来提交复杂的Python脚本、Java/Scala的jar包代码。 $ kubectl get pods nsparkcluster grep worker NAME READY STATUS RESTARTS AGE sparkworkercontroller1h0l7 1/1 Running 0 4h sparkworkercontrollerd43wa 1/1 Running 0 4h sparkworkercontrollerka78h 1/1 Running 0 4h sparkworkercontrollersucl7 1/1 Running 0 4h $ kubectl exec sparkworkercontroller1h0l7 it bash $ cd /opt/spark

本文主要介绍IP地址组。 IP地址组是多个IP地址的集合，用来统一管理具有相同安全要求或需要频繁修改的IP地址。 对于需要使用黑名单和白名单，在监听器上设置访问控制策略的用户，开启白名单或黑名单时必须选择一个IP地址组，从而实现允许或者限制IP地址组中的IP访问负载均衡的监听器。 同一个IP地址组，最多可以关联50个监听器。目前IP地址组既支持IPv4地址又支持IPv6地址。 天翼云部分二类节点正在升级，以支持IP地址组能力，敬请用户随时关注。 创建IP地址组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“IP地址组”界面，单击“创建IP地址组”。 5. 配置IP地址组参数。 IP地址组参数说明表 参数 说明 样例 名称 IP地址组的名称。 ipGroup01 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 IP地址 需要通过白名单或黑名单进行访问控制的IP地址。每行一个IP地址或一个网段，以回车结束； 每个IP地址或者网段都可以用“”分隔添加备注，如“192.168.10.10丨ECS01”， 备注长度范围是0到255字符，不能包含<>；每个IP地址组最多可添加300个IP地址和网段。 说明：如果IP地址组未包含任何IP地址，当访问控制选择白名单时，则对应的负载均衡监听器禁止任何IP地址访问。 10.168.2.24 10.168.16.0/24 描述 IP地址组相关信息的描述说明。 6. 确认参数配置，单击“确定”。

本章节将为您详细介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 日志审计（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“日志审计（原生版）”产品。 4. 在日志审计（原生版）监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 日志审计（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 日志审计实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](

本章节主要介绍如何进行滚动重启。 在修改了大数据组件的配置项后，需要重启对应的服务来使得配置生效，使用普通重启方式会并发重启所有服务或实例，可能引起业务断服。为了确保服务重启过程中，尽量减少或者不影响业务运行，可以通过滚动重启来按批次重启服务或实例（对于有主备状态的实例，会先重启备实例，再重启主实例）。滚动重启方式的重启时间比普通重启时间久。 使用限制 请在低业务负载时间段进行滚动重启操作。例如：在滚动重启Kafka服务时候， 如果Kafka服务业务吞吐量很高（100M/s以上的情况下），会出现Kafka服务滚动重启失败的情况。例如：在滚动重启HBase服务时候，如果原生界面上每个RegionServer上每秒的请求数超过1W，需要增大handle数来预防重启过程中负载过大导致的RegionServer重启失败。 重启前需要观察当前HBase的负载请求数（原生界面上每个rs的请求数如果超过1W，需要增大handle数来预防到时候负载不过来）。 在集群Core节点个数小于6个的情况下，可能会出现业务短时间受影响的情况。 滚动重启集群服务 1. 在控制台集群详情页面，单击“前往翼MR Manager”。 2. 进入到翼MR Manager操作界面，单击“集群服务”菜单。 3. 选择指定集群服务，单击集群服务ICON进入到集群服务的详情页面。 4. 单击“运维操作”，单击“滚动重启集群服务”。 5. 弹出确认滚动重启集群服务操作弹框，单击确定。 6. 进入到滚动重启集群服务操作页面，依次点击“下一步”，滚动重启任务完成后，单击“完成”。

实例概览功能支持实例健康度评分、新增异常趋势与相关性能监控，方便用户快速定位数据库实例存在的缺陷。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 注意事项 实例的健康评分根据异常信息计算得出，具体详见评分规则。 已退订实例若仍在DMS实例列表中，将予以保留，删除操作详见删除实例。 单用户仅支持最多500个实例的健康排行。 单次创建健康报告仅支持最多100个实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 实例概览，进入实例概览界面，查看异常趋势与健康排行。 功能介绍 实例排行功能支持用户查看指定时间区间的实例健康评分与新增异常趋势，快速定位数据库实例存在的缺陷。 异常趋势 1. 单击右上角时间筛选框，选定查询开始时间与结束时间，单击查询。 2. 支持统计查询时间范围内未解决和已解决的异常数量，并统计近24小时的新增异常趋势。 3. 支持展示查询时间范围内未解决的异常通知项。 健康排行 1. 单击右上角时间筛选框，选定查询开始时间与结束时间，单击查询。 2. 查看实例在指定时间区间的状态、健康评分与性能监控，并根据健康评分从小到大排序。 3. 支持根据资源池地址、数据库类型、实例名称与节点IP筛选实例。 4. 支持选中多个实例创建健康报告，生成的报告支持在线预览与下载导出。 说明 健康度评级规则 健康：分数 > 90 危险：60 < 分数 ≤ 90 高危：分数 ≤ 60

本节主要介绍使用HBlock Cinder驱动插件的前置条件。 安装部署HBlock 3.5.0或以上版本，详细安装过程可以参考服务器端部署。 如果对接HBlock集群版，Cinder、Glance、Nova所在节点需要安装iSCSI工具及配置MPIO。 安装iSCSI工具： 如果操作系统是CentOS/RHEL，请安装iscsiinitiatorutils，安装命令如下： plaintext yum y install iscsiinitiatorutils 注意 安装iSCSI initiator 6.2.087410 或以上版本。 如果操作系统是Ubuntu Ubuntu/Debian，安装命令如下： plaintext apt install openiscsi 配置MPIO步骤： 1. 安装 MPIO 说明 如果已安装MPIO，可以忽略此步骤。 对于CentOS plaintext yum install devicemappermultipath devicemappermultipathlibs 对于Ubuntu plaintext apt install multipathtools 2. 配置 MPIO 1. 复制 /usr/share/doc/devicemappermultipathX.Y.Z/multipath.conf（其中X.Y.Z为multipath的实际版本号，请根据实际情况查找multipath.conf）到 /etc/multipath.conf。 2. 在/etc/multipath.conf中增加如下配置： 注意 配置文件multipath.conf中，如果multipath部分与devices部分中有相同参数，multipath中的参数值会覆盖devices中的参数值。为了正常使用HBlock卷，需要删除multipath中的与下列字段相同的参数。 plaintext defaults { userfriendlynames yes findmultipaths yes uidattribute "IDWWN" } devices { device { vendor "CTYUN" product "iSCSI LUN Device" pathgroupingpolicy failover pathchecker tur pathselector "roundrobin 0" hardwarehandler "1 alua" rrweight priorities nopathretry queue prio alua } } 3. 重启multipathd服务 对于CentOS plaintext systemctl restart multipathd systemctl enable multipathd 对于Ubuntu plaintext systemctl restart multipathtools.service systemctl enable multipathtools.service

本文为您介绍如何在控制台上为Schema或表进行DDL一致性检测。 前提条件 实例状态为运行中。 已创建Schema或表。 背景信息 通过DDL一致性检测功能，可以确保数据库和表的结构在分布式环境中保持正确性和一致性，避免因结构不一致而导致的数据错误、服务中断或其他异常情况。 约束限制 仅V5.1.20.0.11及以后版本创建的实例，支持DDL一致性检测。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览 页面。 2. 在左侧导航栏，选择DRDS > 实例管理 ，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息 页面。 4. 单击Schema管理 ，进入目标实例的Schema 管理页面。 5. 对Schema或表进行一致性检测： Schema： 1. 在Schema列表中，找到目标Schema，然后在操作 列选择更多 > 一致性检测。 表： 1. 单击目标schema操作 列的管理 ，然后单击库表管理，进入库表管理页面。 2. 在库表列表中，找到目标库表，然后在操作 列选择更多 > 一致性检测。 6. 等待检测结果： 如果检测结果正常，则会提示success。 如果检测结果异常，您可以根据界面提示进行处理，然后重新进行一致性检测，直至检测结果正常。 以检测test为例，检测结果异常示例如下，其中，test为表名称，twee2为检测不通过的分片节点名称。 plaintext [test] 一致性检查失败!异常dn : twee2:check failed: table column check failed! primary key check failed! table index check failed

参数设置建议 maxTotal、maxIdle、minIdle的关系 这些参数在连接池中的含义是：maxTotal是连接池的容量，包括空闲连接和使用中的连接。将连接归还给连接池时，如果空闲连接数超过maxIdle，会被直接释放。同时连接池还要保证其中至少要有minIdle个空闲连接，如果不足也会新建连接加入其中。 maxTotal 想合理设置maxTotal（最大连接数）需要考虑的因素较多，如： 业务要求的Redis并发量； 命令执行时间； Redis连接数限制，例如 客户端连接池个数 maxTotal不能超过Redis的最大连接数 资源开销, 不希望有多余的空闲连接浪费资源，但也不希望连接不够导致创建连接造成不必要的开销 假设一次命令时间，包括获取连接、发送请求到得到响应(含网络耗时）的平均耗时约为1ms。 一个连接的QPS大约是1sec / 1ms 1000，而业务期望的单个Redis的QPS是10000，那么理论上需要的连接池大小（即MaxTotal）是10000 / 1000 10。 但理论值也仅需参考，因为实际的运行情况和业务压力是动态变化的。 可能遇到突发的高压力的场景，需要更多的TPS。也可能Redis遇到出现大命令导致阻塞，即使设置再大的资源池也无济于事。 maxIdle和minIdle maxIdle和minIdle是最影响业务的参数， 分别控制可用连接数的上下限。 连接池的最佳性能是maxTotal maxIdle ，这样就避免了连接池伸缩带来的性能干扰。如果您的业务存在突峰压力，建议设置这两个参数的值相等；如果redis请求的压力不大，则会导致不必要的连接资源浪费。 总的来说， 可以根据实际总QPS和调用Redis的客户端规模整体评估每个节点所使用的连接池大小。

本文介绍Redis实例受限使用命令 Cluter集群(直连模式)命令限制 Cluster集群实例支持多个Key的命令，但要求保持与开源Redis Cluster的行为一致，不支持跨SLOT访问REDIS命令。具体来说如下： 1.不支持多db,只能select 0。不支持select其他db。 2.要求单个命令操作的KEY都分布在同一个SLOT上。为了保证这个效果，建议可以使用hash tag等。 3.支持事务和PUB/SUB订阅，但要求相关操作的KEY都在同一个SLOT上。 表1 Cluster集群实例受限使用的Redis命令： 命令类型 命令 Strings MSETNX Set SINTER Set SINTERSTORE Set SUNION Set SUNIONSTORE Set SDIFF Set SDIFFSTORE Set SMOVE Sortedset ZUNIONSTORE Sortedset ZINTERSTORE HyperLogLog PFCOUNT HyperLogLog PFMERGE Keys RENAME Keys RENAMENX Keys BITOP Keys RPOPLPUSH 经典版集群命令限制 经典版集群模有如下的不同。 1.支持多DB,可以SELECT命令。 2.支持MSET,MSET等跨SLOT的多个KEY命令支持。 具体参考下面的表2。 3.不支持CLUSTER KEYSLOT以外CLUSTER的命令。 4.Client KILL和CLIENT LIST命令只能操作当前代理的客户端信息，不代表整个实例的。 5.代理模式下的事务、脚本执行都是按slot拆分发到对应节点执行的，同一个slot的事务不会被拆分，但不能保证跨SLOT事务一致性。 表2 代理模式集群支持多SLOT命令: 命令类型 命令 SCRIPTING SCRIPT SCRIPTING EVAL SCRIPTING EVALSHA GENERIC SCAN GENERIC DEL GENERIC UNLINK GENERIC DBSIZE STRING MSET STRING MGET SET SUNION SET SUNIONSTORE SET SDIFF SET SDIFFSTORE SET SINTER SET SINTERSTORE: PUB/SUB SUBSCRIBE PUB/SUB PSUBSCRIBE PUB/SUB PUBLISH PUB/SUB UNSUBSCRIBE PUB/SUB PUNSUBSCRIBE PUB/SUB PUBSUB CHANNELS PUB/SUB PUBSUB NUMPA PUB/SUB PUBSUB NUMSU STREAM XGROU STREAM XINFO STREAM XREAD STREAM XREADGROUP

主机迁移服务是否支持将阿里云、腾讯云等其他云服务商服务器迁移到天翼云？ 支持。主机迁移服务支持的云服务商有阿里云、腾讯云、AWS、Azure及其他云服务商，同时也支持将本地服务器、物理服务器、VM虚拟机等迁移到天翼云弹性云服务器。原则上只要是兼容操作系统列表内的x86架构服务器都可以迁移到天翼云。 是否支持将天翼云弹性云服务器迁移到本地或其他云服务商？ 您好，不支持将天翼云弹性云服务器迁移到本地或其他云服务商。您可以导出镜像并下载到本地或上传到其他云服务商。 天翼云技术人员是否可以帮我进行迁移？ 您好，RDA迁移服务不直接参与您的业务迁移，迁移前您可以查看产品帮助中心，然后实施迁移。如果需要专业的迁移方案和专属工具支持，您可以使用天翼云其他的上云专业迁移服务。帮助您平滑迁移业务，缩短整体业务云化周期，解除您的顾虑，让您聚焦于业务发展。 是否支持从一个账号下的弹性云服务器迁移到另一个账号下？ 支持，原账号作为迁移源端，新账号作为迁移目的端。目的端账号要求为二类节点资源池。 迁移过程中对源端是否会有影响，是否会中断业务？ 主机迁移过程中对源端的影响主要体现在网络方面，而对cpu、内存等其他资源影响较小，不会对现有业务产生中断。因迁移数据量通常比较大，所以会比较消耗带宽资源，迁移前建议评估当前带宽及现有业务对带宽的占用情况，合理分配带宽资源给主机迁移服务。

本页介绍天翼云TeleDB数据库定时任务管理。 操作场景 TeleDB支持对数据库实例执行定时任务，该功能主要通过内置如下函数对数据库实例执行定时任务管理。用户可自行调整对定时任务的执行频率以及查看执行记录。 TeleDBX内置了如下函数，所有函数会根据执行频率自动执行任务。 collectdbstatistic：用于数据库实例更新统计信息。 pgcleantwophase：用于数据库实例清理两阶段残留事务。 deleteossstatistics：用于删除配置库存储过期的节点监控数据。 checkxlogbkp：用于检查备份的增量日志的连续性。 checkfgaaudit：用于检查细粒度审计是否采集到数据。 deletesnapshot：用于删除管控的实例配置库中存储过期的实例运行快照数据。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表。 2. 单击目标实例所在行的详情 ，进入实例详情页面。 3. 进入实例详情页面，单击定时任务 。 4. 您可通过控制定时任务开关管理是否定时执行该任务。 5. 单击实例详情操作列的配置 ，出现配置执行频率对话框。 6. 在配置执行频率对话框，输入频率 和周期 ，单击确定 ，完成执行频率的修改。 7. 单击历史记录 可以查看以往执行该任务详情。 8. 单击立即执行 ，出现提示信息对话框。 9. 在提示对话框中，单击确定 可立即执行定时任务。

本页介绍天翼云TeleDB数据库定时任务管理。 操作场景 TeleDB支持对数据库实例执行定时任务，该功能主要通过内置如下函数对数据库实例执行定时任务管理。用户可自行调整对定时任务的执行频率以及查看执行记录。 TeleDBX内置了如下函数，所有函数会根据执行频率自动执行任务。 collectdbstatistic：用于数据库实例更新统计信息。 pgcleantwophase：用于数据库实例清理两阶段残留事务。 deleteossstatistics：用于删除配置库存储过期的节点监控数据。 checkxlogbkp：用于检查备份的增量日志的连续性。 checkfgaaudit：用于检查细粒度审计是否采集到数据。 deletesnapshot：用于删除管控的实例配置库中存储过期的实例运行快照数据。 操作步骤 1. 以用户名和密码登录分布式数据库 TeleDB控制台，在左侧导航单击实例列表。 2. 单击目标实例所在行的详情，进入实例详情页面。 3. 进入实例详情页面，单击定时任务。 4. 您可通过控制定时任务开关管理是否定时执行该任务。 5. 单击实例详情操作列的配置，出现配置执行频率对话框。 6. 在配置执行频率对话框，输入频率 和周期 ，单击确定，完成执行频率的修改。 7. 单击历史记录可以查看以往执行该任务详情。 8. 单击立即执行，出现提示信息对话框。 9. 在提示对话框中，单击确定可立即执行定时任务。

本章节为您介绍如何通过数据库审计审计云上RDS数据库。 背景说明 在云计算环境中，部分云上的关系型数据库服务（RDS）所依托的宿主机基于一系列安全策略与架构设计的考量，不允许数据库审计相关的产品部署Agent程序。 天翼云关系数据库MySQL版支持通过免Agent安装的方式进行数据库审计。 其他不支持免Agent安装的云上数据库，您可以通过在使用云上数据库的应用端云主机安装数据库审计Agent的方式来获取数据库流量，以便您对数据库进行审计。 通过免Agent的方式审计天翼云关系数据库MySQL版 注意 通过免Agent方式审计RDS数据库之前，首先需要开启SQL审计日志功能，具体操作请参考：关系型数据库MySQL版开启SQL审计日志。（II类资源池中仅支持一类节点的资源池） 1.登录数据库审计实例。 2.在左侧导航栏选择“系统管理 > 系统配置 > 日志采集方式”，确认是否已开始天翼云RDS日志采集。 3.确认完成后，需要在“资产 > 资产管理”下添加对应的RDS数据库资产，类型需选择“天翼云RDS > TeledbMySQL > 所有版本”，实例ID请参考关系数据库MySQL版控制台“实例名称/实例ID”。 注意 实例ID项只可以填实例ID，切勿填写自定义的RDS实例名称。 4.剩余配置项完成后，单击“保存”即可纳管RDS数据库并审计，需要配置审计规则请参考：审计规则配置章节。

本文介绍如何使用云硬盘静态存储卷。 使用云盘静态存储卷，即使用预先在云硬盘控制台已建好的云盘实例，通过手动创建PV，创建PVC时使用已有PV的方式，实现容器内挂载云盘存储。 该模式下需要用户自建云盘及PV资源，一定程度上增加操作和管理复杂性，一般推荐使用动态创建存储的方式。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。若已有Serverless集群，无需重复操作。 已在插件市场安装存储插件cstorcsi，且插件正常运行。 已在云硬盘控制台创建云盘。 确保kubectl工具已经连接目标集群。 使用云盘静态存储卷（kubectl） 步骤一：创建持久卷（PV） 1. 创建示例yaml文件pvstaticdisk.yaml： shell apiVersion: v1 kind: PersistentVolume metadata: annotations: pv.kubernetes.io/provisionedby: disk.csi.cstor.com name: pvc{PVNAME} PV的名称，以pvc开头 spec: accessModes: ReadWriteOnce 访问模式 capacity: storage: 10Gi 云盘容量 csi: driver: disk.csi.cstor.com fsType: ext4 挂载类型 volumeAttributes: diskUUID: {YOURDISKUUID} 替换云盘ID driverType: disk.csi.cstor.com mode: VBD shared: "false" 是否共享盘 type: SATA 磁盘类型 volumeHandle: 0103{PVNAMELENTH}{PVNAME} PVNAMELENTH为PVNAME长度的十六进制表示，比如PVNAME是"pvstaticdisk"，则PVNAMELENTH为0E mountOptions: discard nodeAffinity: required: nodeSelectorTerms: matchExpressions: key: topology.disk.csi.cstor.com/zone operator: In values: 替换为您待部署应用的节点所在的可用区，例如cnhuadong1jsnj1Apublicctcloud volumeMode: Filesystem 卷模式 2. 执行以下命令，创建pv： shell kubectl apply f pvstaticdisk.yaml

介绍配置服务端加密的具体步骤。 适用场景 媒体存储支持服务端加密，当用户对存储桶配置服务端加密后，XOS将上传到该桶的对象进行加密，再将加密对象持久化保存。当用户通过GetObject请求下载对象时，XOS自动将加密对象解密后返回给用户，并在响应头中返回xamzserversideencryption，用于声明该对象进行了服务器端加密。 注意 本功能仅会对开启服务端加密之后上传的对象进行加密，不会改变已有对象的加密状态。关闭服务端加密，也不会影响已有对象的加密状态。 产品支持XOS完全托管，即密钥完全托管于服务端。 控制台仅支持配置AES256加密算法。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 配置桶默认加密 创建桶配置服务端加密 在创建桶的弹窗中，选择服务端加密方式以及对应的加密算法。创建桶的具体操作可参考：新建Bucket。 已创建的存储桶开启服务端加密 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要设置服务端加密的存储桶，进入【基础配置】标签页。 3. 在【服务端加密】设置项，点击【编辑】。 4. 在弹窗中选择【XOS完全托管】以及对应的加密算法，点击【确定】完成操作。 关闭桶默认加密 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要关闭服务端加密的存储桶，进入【基础配置】标签页。 3. 在【服务端加密】设置项，点击【编辑】。 4. 在弹窗中选择【无】，点击【确定】。

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

本文介绍HLS标准加密改写功能的工作原理及配置说明。 功能介绍 HLS标准加密改写功能，是指CDN节点回源获取到M3U8文件内容后，改写其中的 EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 背景信息 视频播放场景中通常都很关注防盗链以及版权保护，HLS协议提供了标准加密方案。 HLS协议中用到很多标签，这些标签存在于M3U8索引文件中，其中 EXTXKEY标签用于显示TS文件是否加密。如携带该标签，且值不为空，则代表TS文件有加密，客户端播放器需要对其进行解密后播放。 常见的 EXTXKEY标签格式： EXTXKEY:METHODAES128,URI" 其含义为：使用AES128算法，秘钥通过 整个过程技术原理如下： 1. 客户端播放器向CDN服务器发起形如： 2. CDN服务器对该请求进行token鉴权，鉴权通过后，若无缓存，则向源站获取原始M3U8文件内容，并对其body部分进行改写，在标签中插入如下内容：

本章节主要介绍查看集群基本信息/修改集群配置。 操作场景 CDM集群已经创建成功后，您可以查看集群基本信息，并修改集群的配置。 查看集群基本信息： 集群信息：集群版本、创建时间、项目ID、实例ID和集群ID等。 节点配置：集群规格、CPU和内存配置等信息。 网络信息：网络配置。 支持修改集群的以下配置： 消息通知：CDM的迁移作业（目前仅支持表/文件迁移的作业）失败时，或者EIP异常时，会发送短信或邮件通知用户。 用户隔离：控制其他用户是否能够操作该集群中的迁移作业、连接。 1. 开启该功能时，该集群中的迁移作业、连接会被隔离，云帐号下的其他IAM用户无法操作该集群下的作业、连接。 2. 关闭该功能时，该集群中的迁移作业、连接信息可以用户共享，云帐号下的所有拥有相应权限的IAM用户可以查看、操作。 注意 用户隔离关闭后需要重启集群VM才能生效。 管理CDM集群标签： 支持新增、修改及删除CDM集群的标签。使用标签可以标识多种云资源，后续在TMS标签系统中可筛选出同一标签的云资源。 说明 一个CDM集群最多可新增10个标签。 前提条件 已创建CDM集群。 查看集群基本信息 1.登录CDM管理控制台。单击左侧导航上的“集群管理”，进入集群管理界面。详见下图：集群列表 说明 “创建来源”列仅通过DataArts Studio服务进入数据集成界面可以看到。 2.单击集群名称，可查看集群的基本信息。详见下图：CDM集群的配置信息

设置SSL连接 前提条件 修改安全配置参数并保存生效可能需要重启集群，将导致集群暂时不可用。 修改集群安全配置必须同时满足以下两个条件： −集群状态为“可用”或“非均衡”。 −任务信息不能处于“创建快照中”、“节点扩容”、“配置中”或“重启中”。 操作步骤 1. 登录DWS 管理控制台。 2. 在左侧导航树中，单击“集群管理”。 3. 在集群列表中，单击指定集群的名称，然后单击“安全设置”。 默认显示“配置状态”为“已同步”，表示页面显示的是数据库当前最新结果。 4. 在“SSL连接”区域中，单击“服务器端是否强制使用SSL连接”的设置开关进行设置，建议开启。 ：开启，设置参数requiressl 1，表示服务器端强制要求SSL连接。 ：关闭，设置参数requiressl 0，表示服务器端对是否通过SSL连接不作强制要求，默认为关闭。设置requiressl参数详情请参见下方“客户端和服务器端SSL连接参数组合情况”章节中的“•requiressl（服务器）”。 说明 如果使用DWS提供的gsql客户端或ODBC驱动，DWS支持的SSL协议为TLSv1.2。 如果使用DWS提供的JDBC驱动，支持的SSL协议有SSLv3、TLSv1、TLSv1.1、TLSv1.2。客户端与数据库之间实际使用何种SSL协议，依赖客户端使用的JDK（Java Development Kit）版本，一般JDK支持多个SSL协议。 5. 单击“应用”。 系统将自动应用保存SSL连接设置，在“安全设置”页面，“配置状态”显示“应用中”。当“配置状态”显示为“已同步”，表示配置已保存生效。

本文主要介绍DMS for Kafka 消费者poll的优化。 场景介绍 在DMS提供的原生Kafka SDK中，消费者可以自定义拉取消息的时长，如果需要长时间的拉取消息，只需要把poll(long)方法的参数设置合适的值即可。但是这样的长连接可能会对客户端和服务端造成一定的压力，特别是分区数较多且每个消费者开启多个线程的情况下。 如图所示，Kafka队列含有多个分区，消费组中有多个消费者同时进行消费，每个线程均为长连接。当队列中消息较少或者没有时，连接不断开，所有消费者不间断地拉取消息，这样造成了一定的资源浪费。 图 Kafka消费者多线程消费模式 优化方案 在开了多个线程同时访问的情况下，如果队列里已经没有消息了，其实不需要所有的线程都在poll，只需要有一个线程poll各分区的消息就足够了，当在polling的线程发现队列中有消息，可以唤醒其他线程一起消费消息，以达到快速响应的目的。如图所示。 这种方案适用于对消费消息的实时性要求不高的应用场景。如果要求准实时消费消息，则建议保持所有消费者处于活跃状态。 图 优化后的多线程消费方案 说明 消费者（Consumer）和消息分区（Partition）并不强制数量相等，Kafka的poll(long)方法帮助实现获取消息、分区平衡、消费者与Kafka broker节点间的心跳检测等功能。 因此在对消费消息的实时性要求不高场景下，当消息数量不多的时候，可以选择让一部分消费者处于wait状态。

本章节主要介绍ALM24010 Flume证书文件非法或已损坏的告警。 告警解释 Flume每隔一个小时，检查当前Flume证书文件是否合法（证书是否存在，证书格式是否正确），如果证书文件非法或已损坏，产生该告警。证书文件恢复合法时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24010 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Flume证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 Flume证书文件非法或损坏。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24010 Flume证书文件非法或已损坏 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中证书文件是否有效，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入Flume服务证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行命令 ls l ，查看“flumesChat.crt”文件是否存在。 是，执行步骤5。 否，执行步骤6。 5.执行命令 openssl x509 in flumesChat.crt text noout ，查看是否正常显示证书具体信息。 是，执行步骤9。 否，执行步骤6。 6.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 7.执行以下令重新生成证书，等待一个小时，观察此告警是否被清除。 sh geneJKS.sh f sNetty12@ g cNetty12@ 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

本章节主要介绍ALM27005 数据库连接数使用率超过阈值的告警。 告警解释 系统每30秒周期性检查DBServer节点的数据库连接数使用率，并把实际数据库连接数使用率和阈值相比较，当数据库连接数的使用率连续5次（可配置，默认值为5）超过设定阈值时，系统将产生此告警，数据库连接数使用率的阈值设为90%（可配置，默认值为90%）。 平滑次数可配置，当平滑次数为1，数据库连接数使用率小于或等于阈值时，该告警恢复；当平滑次数大于1，数据库连接数使用率小于或等于阈值的90%时，该告警恢复。 告警属性 告警ID 告警级别 是否自动清除 27005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 可能导致上层服务无法连接DBService的数据库，影响正常业务。 可能原因 数据库连接数使用过多。 数据库连接数最大值设置不合理。 告警阈值配置或者平滑次数配置不合理。 处理步骤 检查数据连接数是否使用过多 1. 在FusionInsight Manager主页，单击左侧服务列表的DBService服务，进入DBService监控页面。 2. 观察数据库用户已使用的连接数图表，如下所示，用户根据业务场景评估，适当降低数据库用户连接数的使用。 数据库用户已使用的连接数图表 3. 等待2分钟查看告警是否自动恢复。 是，处理完毕。 否，执行步骤4。

本章节主要介绍ALM24013 Flume MonitorServer证书文件非法或已损坏的告警。 告警解释 MonitorServer每隔一个小时，检查当前MonitorServer证书文件是否合法（证书是否存在，证书格式是否正确），如果证书文件非法或已损坏，产生该告警。证书文件恢复合法，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24013 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 MonitorServer证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 MonitorServer证书文件非法或损坏。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24013 MonitorServer证书文件非法或已损坏 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中证书文件是否有效，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入MonitorServer证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行命令 ls l ，查看mssChat.crt文件是否存在。 是，执行步骤5。 否，执行步骤6。 5.执行命令 openssl x509 in mssChat.crt text noout ，查看是否正常显示证书具体信息。 是，执行步骤9。 否，执行步骤6。 6.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 7.执行以下命令重新生成证书，等待一个小时，观察此告警是否被清除。 sh geneJKS.sh m sKitty12@ n cKitty12@ 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

参数名 描述 用户名 指定当前的用户名，长度为3~32个字符，可包含数字、字母、下划线（）、中划线（）和空格。 “用户名”不能与集群各节点所有操作系统用户名相同，否则此用户无法正常使用。 不支持创建两个名称相同但大小写不同的用户。例如已创建用户“User1”，无法创建用户“user1”。使用“User1”时请输入正确的用户名。 用户类型 可选值包括“人机”和“机机”。 “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。选择该值需同时填写“密码”和“确认密码”。 “机机”用户：用于应用开发的场景。选择该值用户密码随机生成，无需填写。 密码 选择“人机”用户需填写“密码”。密码必须包含8~64个字符，至少包含以下类型字符中的四种：大写字母、小写字母、数字、特殊字符和空格。不能与用户名或倒序的用户名相同。 确认密码 再次输入密码。 用户组 单击“添加”，选择对应用户组将用户添加进去。 如果用户组添加了角色，则用户可获得对应角色中的权限。 例如，为新用户分配Hive的权限，请将用户加入Hive组。 主组 选择一个组作为用户创建目录和文件时的主组。下拉列表包含“用户组”中勾选的全部组。 角色 单击“添加”为用户绑定租户的角色。 说明 若一个用户想要获取使用“tenant1”租户包含的资源，且能够为“tenant1”租户添加/删除子租户，则需要同时绑定“Managertenant”和“tenant1 集群ID ”两个角色。 如果租户关联了HBase服务且当前集群启用了Ranger鉴权，用户需要通过Ranger界面配置HBase相关执行权限。 描述 配置当前用户的描述信息。

版本 说明 3.1.2.0 新功能 连接池增强异常处理，增加DN节点的failfast特性（默认关闭）。 强化分片变更数据校验性能。 优化内存设置。 支持ANALYZE TABLE语句。 全局二级索引重建（白名单特性）。 3.1.1 新功能 支持全局二级索引（白名单特性）。 支持SSL加密连接。 3.1.0 新功能 新增Show Processlist和Kill Sessionid支持增加过滤条件。 新增支持MySQL 8.0 Online DDL相关关键字。 修复问题 修复执行使用DATESUB函数进行update语句后出现毫秒值丢失。 优化部分复杂查询下的字段别名显示。 修复Rename操作混在其他ddl语句后面操作成功后，新表无法使用。 修复Sequence并发插入报错问题。 3.0.9 新功能 支持对Sequence自增进度查询能力。 支持单条大小超过16M的记录查询。 支持MariaDB Connector/J驱动。 优化读写分离中的事务拆分功能，事务中连接未发生事务更新时可根据读写分离权重决定路由到主实例或只读实例。 3.0.8 新增功能 新增支持ROW表达式的路由计算。 新增支持表级回收站能力。 新增支持METADATA备份恢复能力。 修复问题 优化DDM MetaDb链接池。 优化DDM进程监控机制。 优化Show Processlist显示。 优化Reload获取元数据的流程。 优化增量回放如果遇到XA ROLLBACK时报错流程。 3.0.6 新增功能 支持分片变更内核讲METADATA链接统一使用链接池。 修复问题 修复对执行中的DDL命令做Ctrl+C操作, 无法记录结束状态问题。 优化客户端大数据查询下，进程Kill场景下CPU使用率高。 3.0.4 修复问题 修复部分异常场景下的读写分离报错问题。 优化groupconcat函数在数据量下的执行。

本章节介绍如何在控制台下载备份文件。 操作场景 用户可以下载手动备份和自动备份文件，用于本地存储备份或者恢复数据库。 说明 下载备份需要该节点具备OBS商用能力。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“备份管理”页面，选择需要下载的可用备份，单击操作列中的“下载”。 您也可进入目标实例的“基本信息”页面，在左侧导航栏选择“备份恢复”，单击操作列中的“下载”。 步骤 5 在弹出框中选择下载方式。 说明 若备份文件大于400MB，建议您使用OBS Broswer下载。 1、在弹出框中，单击“OBS Browser下载”，单击“确定”，通过OBS Browser客户端下载RDS备份文件 。 下载客户端工具OBS Browser。 解压并安装OBS Browser。 登录客户端工具OBS Browser。 登录对象存储客户端相关操作，请参见《对象存储客户端指南》的“登录客户端”章节。 配置OBS Browser不启用证书校验。 配置OBS Browser相关操作，请参见《对象存储工具指南》中“系统配置”的内容。 挂载外部桶相关操作，请参见《对象存储客户端指南》的“配置挂载外部桶”章节。 下载备份文件 在OBS Browser界面，单击添加成功的外部桶的桶名，进入对象列表页面，在右侧搜索栏，输入关系型数据库“下载备份文件”页面中提示的下载备份存储文件名称并检索，选中待下载的文件后，单击“下载”。 备份文件下载完成后，配置OBS Browser启用证书校验。 2、在弹出框中，单击“直接下载”，单击“确定”，通过浏览器直接下载数据库实例的备份文件 。 步骤 6 您可根据业务需要，参考7.5.7 通过备份文件恢复数据(SQL Server)，在本地进行数据恢复。

约束条件 对于主备实例，复制延迟大于300秒无法升级小版本。 升级主备实例时，升级顺序依次是备实例、主实例。 实例中存在异常节点，无法升级小版本。 云数据库RDS for MySQL暂不支持已开启事件定时器功能的实例升级内核小版本，若您想使用该功能，请先关闭事件定时器。具体操作请参考开启或关闭事件定时器。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击主实例名称。 步骤 5 在“基本信息”页面的“数据库引擎版本”处，单击“补丁升级”。 步骤 6 在弹出框中，选择升级方式，单击“确定”。 立即升级：系统会立即升级您的数据库内核版本到当前最新版本。 可维护时间段内升级：系统会在您设置的可维护时间段内，升级您的数据库内核版本到当前最新版本。 结束 后续操作 返回实例列表，在左侧导航栏，选择“任务中心”，查看版本升级任务的执行进度。 对于升级方式为“立即升级”的任务： 在“即时任务”页签，搜索“MySQL实例版本升级”任务，查看执行进度。即时任务不支持取消。 对于升级方式为“可维护时间段内升级”的任务： 在“定时任务”页签，搜索实例ID，查看该实例下版本升级的任务执行情况。 如果任务为“待执行”状态，单击“取消”，取消执行该升级任务。 更多操作，请参见查看任务。

本节介绍了设置同区域备份策略的操作场景、约束限制、操作步骤等相关内容。 操作场景 创建关系型数据库实例时，系统默认开启自动备份策略，安全考虑，实例创建成功后不可关闭。您可根据业务需要设置自动备份策略，关系型数据库服务按照您设置的自动备份策略对数据库进行备份。 关系型数据库服务的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。备份以压缩包的形式存储在对象存储服务上，以保证用户数据的机密性和持久性。由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。 设置自动备份策略后，会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，按照策略中的保留天数进行存放，备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟或一定数据量时会自动生成增量备份，用户不需要设置。生成的增量备份可以用来将数据恢复到指定时间点。 约束限制 当数据库实例被删除时，实例的自动备份将被同步删除，手动备份不会被删除。 全量备份时不允许重启数据库，请谨慎选择备份时间段。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。 − 备份所属的实例正在执行DDL操作。 − 从备份所属的实例获取备份锁失败。 全量备份会占用节点资源，尤其是磁盘带宽。可能会导致实例吞吐量下降，复制时延等问题。

比较项 开源Redis DCS Redis 服务搭建 从自行准备服务器资源到Redis搭建，需要0.5~2天。 Redis3.0版本5~15分钟完成创建。 Redis4.0及以上版本，采用容器化部署，8秒完成创建。 版本 深度参与开源社区，及时支持最新Redis的版本。目前支持Redis 3.0、Redis 4.0、Redis 5.0、Redis 6.0版本。 安全 自行保证网络与服务器的安全。 使用云上虚拟私有云与安全组，确保网络安全。 主备与集群多副本、定时备份，确保数据高可靠。 性能 单节点达10万QPS（Query Per Second）。 监控 提供简单的信息统计。 提供30余项监控指标，并支持用户自定义监控阈值和告警策略。 指标类型丰富 常见的外部业务监控和统计：命令数、并发操作数、连接数、客户端数、拒绝连接数等。 常见的资源占用监控和统计：cpu占用率、物理内存占用、网络输入/输出流量等。 常见的关键内部监控和统计：键个数、键过期个数、容量占用量、pubsub通道个数、pubsub模式个数、keyspace命中、keyspace错过。 自定义监控阈值及告警提供基于各项监控制定阈值告警，支持客户自定义，便于及时发现业务异常。 备份恢复 支持。 提供定时与手动备份数据能力，支持备份文件下载到本地。 支持控制台一键恢复数据。 可视化维护缓存参数 不具备，需要自行开发。 web控制台可视化维护。 可在线修改配置参数。 支持在web控制台连接并操作数据。 可扩展性 需要中断服务。首先为服务器调整运行内存，然后调整Redis内存配置并重启操作系统与服务。 提供不中断服务的在线扩容或缩容能力。 规格可根据实际需要，在DCS支持的规格范围内进行扩容或者缩容。

策略2:配置防盗链策略 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 配置URL鉴权 提供三种鉴权方式供您参考配置。您可参考配置指引：URL鉴权配置 策略3:异常行为智能识别 盗链的行为一般有如下特征： 1.多客户端集中请求资源：攻击者为了占用服务器资源和连接，通常会通过控制或模拟众多僵尸机向网站发起请求，该行为符合CC攻击特征，可采用CC防护对客户端进行校验，只允许校验成功的客户端请求资源，拦截非法客户端。配置详情参见：设置CC安全防护 2.单客户端请求多资源：基于大数据离线分析等技术，建立正常基线，对客户端请求持续性多维度的上下文分析，识别出异常的客户端进行拦截，如某客户端IP具备高频的请求行为，并且请求的URL数量众多等。配置详情参见：异常行为识别 策略4:API滥用检测 API接口作为一种应用广泛，但安全性却容易被忽略的暴露面，经常被利用作为爬虫或攻击的对象。AOne能够帮助用户自动发现并梳理API资产，同时为这些资产筑起一道安全防线，防止恶意用户通过API接口高频、大量获取资源。配置详情参见：API安全

本节主要介绍Cinder驱动插件常见问题。 创建实例超时 修改计算节点的/etc/nova/nova.conf配置文件。 plaintext [DEFAULT] 块设备允许重试最大次数。 blockdeviceallocateretries 600 块设备允许每次重试间隔时间，单位是秒。 blockdeviceallocateretriesinterval 6 Dashboard session超时 修改/etc/keystone/keystone.conf配置文件。 plaintext [DEFAULT] 令牌应保持有效的时间，单位是秒。 expiration7200 设置QoS规格，消费者为前端或两者时，同时设置totalbytessec与readbytessec/writebytessec报错 设置QoS规格，消费者选择前端（frontend）或两者（both）时，如果同时设置totalbytessec与readbytessec/writebytessec，由于openstack本身的限制，会出现报错。 创建QoS规格时，您必须选择所需的消费者。消费者决定您要应用QoS限制的位置，并确定哪些QoS属性键可用于定义QoS限值。cinder支持以下QoS规范使用者： 前端：当卷附加到实例时，计算服务(nova)将应用QoS限制。计算服务支持块存储服务提供的所有 QoS 属性键。 后端：关联卷类型的后端驱动程序应用QoS限制。每个后端驱动程序都支持自己的一组QoS属性键。 两者：使用者尽可能应用 QoS 限制。因此，这个消费者类型支持以下 QoS 属性键： 当卷附加到实例时，您可以使用计算服务和后端驱动程序都支持的每个QoS属性键。 当卷未附加到实例时，您只能使用后端驱动程序支持的 QoS 属性键。 所以，如果选择前端（frontend）或两者（both）时，设置QoS相关规则报错，请查看openstack官网关于QoS规格的限制。

本章节介绍数据库治理中的数据库读写路由 概述 读写路由可以减轻单个节点的压力，实现数据负载均衡，提高系统的可伸缩性和容错能力。数据库读写路由功能无需改变代码，同时提供接口级别的读写访问控制以及主从一致性确认。 应用场景 读多写少的应用场景下，引入读写路由方案，使从库分担主库的数据读取压力，避免锁的竞争，在数据库访问的维度提升微服务的性能。 某些业务对数据库的查询访问过多，侵占主要业务的数据库资源，影响数据库实例的稳定性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择数据库治理，在数据库读写路由页签下单击开启数据库读写分离右侧的编辑图标，配置正确的只读实例URL，开启读写路由分离开关，单击确认。 5. 单击新增规则，配置相关规则参数，单击新建。 规则参数说明 参数 说明 接口类型 需要进行读写流量路由接口的类型。 接口名称 需要进行读写流量路由接口的名称。 是否需要强一致性保证 开启强一致性保证，MSE会异步校验数据库主从实例的同步状态，保证当前接口的读请求在主从状态一致的条件下，才会路由至只读实例。 是否开启 接口级别的读写分离开关，当存在读写流量路由规则时，只有开启状态下的规则内所涉及的接口会被路由。