本页介绍了分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP产品。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP 产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读相关产品协议，确认协议内容，同意则勾选协议。 4. 点击【确认订单】跳转到支付页面，可以看到所需开通实例的配置信息，包括开通页面中所选则的配置信息、购买量、资源池及购买时长，确认支付费用，确认无误后点击【立即支付】。 5. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本页面提供了如何在管理控制台创建实例、连接实例的具体操作流程。 请按照以下流程操作云数据库ClickHouse： 1. 创建实例： 创建包年/包月或按需计费的云数据库ClickHouse集群 2. 创建账号并获取连接地址： 在产品控制台中的账号管理页面创建管理员的数据库账号（参考：创建账号），以便管理云数据库ClickHouse集群。 按需配置云数据库ClickHouse集群的访问限制（参考：账号管理）。 从控制台页面获取端口，从而获得连接地址（实例管理 > 点击已开通实例 > 实例详情 > 连接地址查看）。 3. 客户端连接： 云数据库ClickHouse支持多种连接方式，包括JDBC连接、HTTP连接、命令行客户端连接、MySQL客户端连接。 4. 经典场景示例——创建数据库并导入数据进行使用： 使用clickhouseclient工具，将特定的数据集（hitsv1）导入到已创建的分布式表中，实现数据导入和管理。 云数据库ClickHouse提供单副本、双副本类型集群架构，用户可以根据实际情况选择合适的架构类型： 测试或一般业务场景 ：无严格高可用场景需求（或高业务连续性需求，且对资源要求不高），可选择使用单副本集群。单副本集群一方面无需单独部署ZK集群节点（与计算存储节点混合部署），更少资源需求。另一方面，可以支持最小1个节点，扩容节点时可按新增最小1个计算进行扩容，对资源要求较低。 重要及核心业务场景 ：有严格的高可用场景需求，建议使用双副本集群。ClickHouse提供副本机制，将数据冗余存储至2台或多台主机上，以提高数据的可靠性和冗余容错能力。与此同时，副本保证了数据的备份和故障恢复，当一个节点出现故障时，可以切换到其他副本节点，可以确保数据的持久性和可用性，有效应对主机故障场景。 配置建议： 架构 最小节点数 最小配置 节点推荐配置 单副本 1个计算节点 计算规格：4C16G 存储空间：100 GB 8C32G及以上，存储空间500GB及以上（根据实际业务需求进行测试和评估） 双副本 3个协调节点 2个计算节点 协调节点规格：4C16G 协调节点存储空间：100GB 计算节点规格：4C16G 计算节点存储空间：100GB 协调节点：8C32G，存储空间200GB+ 计算节点：8C32G/16C64G/32C128G，1TB及以上（根据实际业务需求进行测试和评估）

漏洞描述 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。 Linux kernel中的mm/mempolicy.c文件的‘dogetmempolicy’函数存在安全漏洞。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务（内存错误引用）。 基本信息 · CVE编号：CVE201810675 · 漏洞类型：拒绝服务攻击 · 危险等级：高危 · 受影响应用版本：(不同操作系统影响的应用版本不同，具体以检测结果为准) · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20180502 · 风险特征：内核风险 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 修复建议 1.将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，内核补丁修复可能存在风险，修复需谨慎，建议测试验证无误后进行升级操作。 2.参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 kerneltools，则漏洞修复命令为 sudo yum update y kerneltools

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server 存在环境问题漏洞，该漏洞源于 Apache HTTP Server 在丢弃请求正文时无法关闭入站连接，从而导致请求夹带（request smuggling）。 基本信息 · CVE编号：CVE202222720 · 漏洞类型：敏感信息泄露 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.52 · 检测方式：版本对比 · 公布时间： 20220314 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.53 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为 RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.5，则漏洞修复命令为 sudo yum update y httpd

工作空间 工作空间（Workspace）属于态势感知（专业版）顶层工作台，单个工作空间可绑定普通项目、企业项目和Region，可支撑不同场景下的工作空间运营模式。 数据空间 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一负载均衡策略。 数据管道 数据传输消息主题和存储索引组合为数据管道。

功能说明 跨域资源共享 (CORS) 定义了在一个域中加载的客户端 Web 应用程序与另一个域中的资源交互的方式。利用 CORS 支持，您可以构建丰富的客户端 Web 应用程序，同时可以选择性地允许跨源访问您的资源。 您可以通过getBucketCors接口获取桶跨域访问配置。 代码示例 php public function GetBucketCors() { $res $this>s3Client>getBucketCors([ 'Bucket' > ' ', ]); echo "getBucketCors success " . $res . "n"; } 请求参数 参数 类型 说明 是否必要 Bucket string 桶名称 是 返回结果 参数 类型 说明 CORSRules CORSRules 跨域访问规则 关于CORSRules一些说明 参数 说明 AllowedMethods 允许的请求方法 AllowedOrigins 允许的请求源 AllowedHeaders 允许的请求头 ExposedHeaders 允许返回的Response Header MaxAgeSeconds 跨域请求结果的缓存时间 删除桶跨域访问配置 功能说明 跨域资源共享 (CORS) 定义了在一个域中加载的客户端 Web 应用程序与另一个域中的资源交互的方式。利用 CORS 支持，您可以构建丰富的客户端 Web 应用程序，同时可以选择性地允许跨源访问您的资源。 您可以通过deleteBucketCors接口删除桶跨域访问配置。 示例代码 php public function DeleteBucketCors() { $this>s3Client>deleteBucketCors([ 'Bucket' > ' ', ]); echo "deleteBucketCors successn"; }

设置跨域资源共享 跨域资源共享CORS（CrossOrigin Resource Sharing）简称跨域访问，浏览器限制脚本内发起跨源HTTP请求，即同源策略。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。通过配置CORS，可以解决不同域相互访问的问题，CORS定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式。 OOS支持根据需求灵活配置CORS规则，实现允许或者拒绝相应的跨域请求。例如，您希望仅允许来源为www.ctyun.cn、跨域请求方法为GET的请求，则CORS规则配置如下： 避免使用顺序前缀的方式命名文件 当您上传大量文件时，如果使用顺序前缀（如时间戳或字母顺序）、日期、数字ID等可以被遍历的方式来命名文件，攻击者可通过总结规律以及编写脚本的方式获取全部的文件，最终造成数据泄露。强烈建议您通过向文件名添加十六进制哈希前缀或以反转文件名的方式命名文件，从而有效降低文件名被遍历的风险。

终端安全EDR是否可以支持U盘文件、网络共享路径下的文件进行查杀？ 终端安全EDR支持对U盘文件扫描查杀，不支持对网络共享路径下的文件进行查杀。 电脑性能不足，终端安全EDR下发病毒扫描时，CPU使用率高？ 打开终端安全EDR管理平台“终端管理 > 策略中心 >病毒查杀”，开启“资源优化模式”，如下图。 如何测试云数据库审计与互联网连通？ 进入云数据库审计管理页面，可控制网口运行状态，更改管理口（eth0）配置。点击“部署方式”，进行管理口配置，填写子网掩码和网关并保存。 堡垒机运维Windows时界面一闪就消失？ 检查输入的账号密码是否正确，确认账号正确请在弹出远程桌面连接时稍等几秒钟待账号密码完成更新，并且确定不能勾选保存密码，堡垒机登录运维每次都会自动生成账号密码，不能进行保存。 无法通过堡垒机登录Xftp？ 确认Xftp的工具地址填写正确，并且只能直接从堡垒机直接调用工具，不能登录Xshell后进行跳转。 安全专区遇到复杂故障怎么处理？ 您可以致电客服或者创建工单，我们有专业团队为您及时处理问题。

参数 类型 描述 是否必须 upgradeFile 无 升级安装包的文件流。 如果集群使用的混合部署，需要上传集群中所有架构的升级安装包。 是

说明：本章节会介绍如何在控制台设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 n 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 n 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 登录管理控制台。 在系统首页，单击“网络 > 虚拟私有云”。 在左侧导航树选择“访问控制 > 安全组”。 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 根据界面提示配置安全组规则。 单击“确定”。

本文介绍存储资源盘活系统的软件许可证订购操作。 软件许可证订购途径 1. 天翼云官网：在存储资源盘活系统产品详情页点击“订购软件”，进入订购存储资源盘活系统页面，进行订购。本节仅介绍此种订购方式。 2. 中国电信数字化原子能力平台：请在平台帮助指引下进行操作。 前提条件 您已经成功安装存储资源盘活系统，执行命令./stor info，获取HBlock序列号，用于进行软件许可证的申请。 注意 生成的软件许可证仅能用于该序列号对应的HBlock系统，不能在其他环境中使用。 操作步骤 1. 在存储资源盘活系统产品详情页点击“订购软件”，进入订购存储资源盘活系统页面，进行订购。 2. 在“订购存储资源盘活系统”页面中，选择许可证类型，输入序列号，设置容量和订购时长等信息。 订购参数 描述 许可证类型 许可证类型： 订阅模式：控制产品提供的本地卷的存储容量以及有效时长，按照容量和时长收费，到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 永久模式：控制产品提供的本地卷的存储容量以及维保时间，按照容量和维保收费，到期后软件可以正常使用，但是不再提供售后支持。 具体详见计费模式。 HBlock序列号 用于生成软件许可证的HBlock环境信息。 说明 请确保已完成HBlock安装，执行./stor info命令可查询HBlock序列号。生成的软件许可证仅能用于该序列号对应的HBlock系统，不能在其他环境中使用。 HBlock名称 HBlock环境的描述信息。 容量设置 控制软件许可证可以支持的所有本地卷的总的存储容量。 说明 支持通过“自定义容量”和“容量包”叠加的方式进行设置。最后按照“总容量”进行软件许可证的生成。 有效时长 仅针对订阅模式。到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 维保时长 仅针对永久模式。到期后软件可以正常使用，但是不再提供售后支持。 3. 确认无误后勾选“我已阅读，理解并同意《天翼云存储资源盘活系统服务协议》”，再单击“立即购买”，完成支付，等待天翼云工作人员和您联系，确认许可证的信息，并进行许可证的交付。

下载SDK 在天翼云官网下载xosgosdk.zip，下载地址： xosgosdk.zip 获取访问密钥 AccessKey（AK）和SecretAccessKey（SK）是用户访问媒体存储服务的密钥，密钥的管理和获取方式请查阅 天翼云媒体存储 密钥管理 。 获取Endpoint EndPoint的获取方式请查阅天翼云媒体存储 基础信息查看。 创建工程 下面过程以实现列出媒体存储服务中的bucket功能为例，说明了如何使用媒体存储gosdk进行应用开发。 1. 初始化go mod 新建一个项目文件夹gosdkdemo，在该文件夹路径下执行命令go mod init {moduleName}生成go.mod文件，例如： go mod init sdkdemo 2. 导入sdk代码 将下载的媒体存储gosdk代码解压，获得vendor文件夹。在项目文件夹下执行命令导入依赖： go mod edit requiregithub.com/aws/awssdkgo@v1.35.5 执行命令将依赖替换为本地包： go mod edit replacegithub.com/aws/awssdkgo@v1.35.5{path of vendor}/github.com/aws/awssdkgo 其中{path of vendor}是vendor文件夹在本地的路径，例如： go mod edit replacegithub.com/aws/awssdkgo@v1.35.5C:/Users/admin/Desktop/vendor/github.com/aws/awssdkgo 下载sdk所需依赖： go mod download github.com/jmespath/gojmespath 3. 新建一个demo.go文件，其内容为： plaintext package main import ( "fmt" "github.com/aws/awssdkgo/aws" "github.com/aws/awssdkgo/aws/credentials" "github.com/aws/awssdkgo/aws/session" "github.com/aws/awssdkgo/service/s3" ) ​ const ( Endpoint " " AccessKey " " SecretAccessKey " " ) ​ func BuildClient() s3.S3 { conf : &aws.Config{ Endpoint: aws.String(Endpoint), S3ForcePathStyle: aws.Bool(false), DisableSSL: aws.Bool(true), Credentials: credentials.NewStaticCredentials(AccessKey, SecretAccessKey, ""), LogLevel: aws.LogLevel(aws.LogDebug)} sess : session.Must(session.NewSessionWithOptions(session.Options{Config: conf})) svc : s3.New(sess) return svc } ​ func main() { svc : BuildClient() result, err : svc.ListBuckets(&s3.ListBucketsInput{}) if err ! nil { fmt.Printf("fail to list buckets. %vn", err) } else { fmt.Println(result) } } 4. 执行命令以下运行程序并查看结果。 plaintext go mod tidy go mod vendor go run ./demo.go 整个项目的内容层次如下： gosdkdemo/ ├── demo.go ├── go.mod ├── go.sum └── vendor

参数 参数说明 sql语句 用户提交的sql语句。 已执行时间（秒） 连接持续时间。 schema 所使用数据库schema。 用户名 连接使用的用户名。 客户端地址 前端连接对应的客户端主机地址。 物理数据库 后端数据库对应的物理数据库。 是否自动提交 标记是否自动提交。 编码 sql语句使用的编码方式。 事务级别 sql语句的事务级别类型。 处理器名 该sql语句使用的处理器。 前端连接标识 用于标识前端连接的标识符号。 前端连接持续时间（秒） 前端连接的连接时长。 前端连接待写数据包数 可以查看当前的前端连接中待发送数据包个数。 前端连接接收缓冲区大小 查看前端连接的发送缓冲区大小。 后端连接持续时间（秒） 后端连接的连接时长。 后端连接待写数据包数 可以查看当前的后端连接中待发送数据包个数。 后端连接是否关闭 标识后端连接是否已关闭。 后端连接是否使用中 标识后端连接是否在使用中。

安装并启动GDS 1.以root用户登录GDS服务器，创建存放GDS工具包的目录/opt/bin/dws。 mkdir p /opt/bin/dws 2.将GDS工具包上传至上一步所创建的目录中。 以上传redhat版本的工具包为例 ，将GDS工具包“dwsclient8.1.xredhatx64.zip”上传至上一步所创建的目录中。 3.在工具包所在目录下，解压工具包。 cd /opt/bin/dws unzip dwsclient8.1.xredhatx64.zip 4.创建用户gdsuser及其所属的用户组gdsgrp。此用户用于启动GDS，且需要拥有读取数据源文件目录的权限。 groupadd gdsgrp useradd g gdsgrp gdsuser 5.修改工具包以及数据源文件目录属主为创建的用户gdsuser及其所属的用户组gdsgrp。 chown R gdsuser:gdsgrp /opt/bin/dws/gds chown R gdsuser:gdsgrp /inputdata 6.切换到gdsuser用户。 su gdsuser 若当前集群版本为8.0.x及以前版本，请跳过步骤7，直接执行步骤8。 若当前集群版本为8.1.x版本，则正常执行以下步骤。 7.执行环境依赖脚本。（仅8.1.x版本适用） cd /opt/bin/dws/gds/bin source gdsenv 8.启动GDS。 /opt/bin/dws/gds/bin/gds d /inputdata/ p 192.168.0.90:5000 H 10.10.0.1/24 l /opt/bin/dws/gds/gdslog.txt D 命令中的斜体部分请根据实际填写。 d dir ：保存有待导入数据的数据文件所在目录。本教程中为“/inputdata/”。 p ip:port ：GDS监听IP和监听端口。默认值为：127.0.0.1，需要替换为能跟DWS通信的万兆网IP。监听端口的取值范围：1024~65535。默认值为：8098。本教程配置为：192.168.0.90:5000。 H addressstring ：允许哪些主机连接和使用GDS服务。参数需为CIDR格式。此参数配置的目的是允许DWS集群可以访问GDS服务进行数据导入。所以请保证所配置的网段包含DWS集群各主机。 l logfile ：存放GDS的日志文件路径及文件名。本教程为“/opt/bin/dws/gds/gdslog.txt”。 D ：后台运行GDS。仅支持Linux操作系统下使用。

该任务用于指导用户完成实例服务器初始化及实例开通。 前提条件 每台主机均已进行环境初始化。 操作步骤 1. 以用户名和密码登录TeleDB控制台。 2. 创建实例开通租户用户 1. 将鼠标置于分布式数据库TeleDB控制台右上角头像图标，在出现的下拉框，选择系统管理，进入租户列表页面。 2. 在租户列表页面，单击创建租户 ，出现新增租户对话框。 3. 在新增租户 对话框，填写租户名称 、租户编码 和租户描述 ，单击确定完成创建租户。 租户名称：必选，可自定义，根据业务需求填写。 租户编码：必选，可自定义，根据业务需求填写。 租户描述：可选，根据业务需求填写。 4. 您可单击目标租户所在行操作列编辑，修改租户信息。 5. 您可单击目标租户所在行操作列删除，删除租户。 3. 添加服务器 1. 切换至实例管理页面，在左侧导航树选择资源管理 > 服务器管理，进入服务器管理页面。 2. 在服务器管理页面，单击添加服务器 ，出现新增服务器对话框。 3. 在新增服务器对话框，根据下表填写基本信息，单击测试连通及硬件检测 ，若出现绿色标识，单击确定，完成服务器添加。 参数名称 说明 服务器IP地址 根据部署规划填写。 SSH账号 根据实际情况填写。 SSH密码 根据实际情况填写。 SSH端口 根据部署规划填写，确保端口不被占用。 是否创建teledb用户 根据业务需求勾选是或否。 用户home目录 根据部署规划填写。 是否安装Agent 根据业务需求勾选是或否。 服务器管理进程端口 根据部署规划填写，确保端口不被占用。 操作系统 根据实际情况选择。 CPU架构 根据实际情况选择。 磁盘数据目录 根基业务需求填写。 4. 新建资源模板 1. 在左侧导航树选择资源管理> 资源模板，进入资源模板页面。 2. 在资源模板页面，单击新建模板，出现新建模板对话框。 3. 在新建模板对话框，填写如下信息，单击确定，完成新建模板创建。 模板名称：必填，可自定义。 CPU核数（核）：必填，可根据业务需求填写。 内存容量（GB）：必填，可根据业务需求填写。 磁盘容量（GB）：必填，可根据业务需求填写。 模板描述：选填，可根据实际情况填写。 4. 你可单击目标资源模板所在行的编辑，修改资源模板。 5. 你可单击目标资源模板所在行的删除，删除资源模板。 5. 添加VIP 1. 在左侧导航树上选择资源管理 > VIP管理 ，出现添加VIP对话框。 2. 在VIP对话框，填写VIP地址 和子网掩码 ，单击确定完成VIP添加。 6. 导入软件包 1. 在左侧导航树选择资源管理> 软件包管理 ，进入软件包管理页面。 2. 在软件包管理页面，单击添加软件包 ，出现添加软件包对话框。 3. 在添加软件包 对话框，单击点击上传 ，选择已准备好的软件包上传。输入软件包MD5值 ，单击确定 ，完成软件包添加。 说明 上传文件的文件名请遵循teledbx{版本号}{数据块大小}.{cpu架构}.tar.gz格式，其中数据块大小：8k,16k,32k;cpu架构：x8664x86架构，aarcharm架构。 您可执行md5sum 软件包名命令查找MD5。 7. 实例开通 1. 在左侧导航树选择实例列表 ，进入实例列表页面，单击创建实例，进入基本信息页面。 2. 参考下表，您可根据业务需求填写基本信息。 参数名称 说明 实例名称 自定义，可根据业务需求填写。 实例系列 您可根据业务需求选择如下两种版本。 企业版：全局事务管理器、协调节点一主一备，主备自动切换，企业业务生产首选。 灾备版：全局事务管理器、协调节点一主两备，支持两地三中心部署模式，达到金融级高可用。 协调节点数 可根据业务需求填写。 数据节点系列 您可根据业务需求选择如下三种方式： 一主一备 一主两备 一主三备 数据节点数 您可根据业务需求选择如下两种规格： test(1C2G) common(1C1G) GTM节点规格 您可根据业务需求选择如下两种规格： test(1C2G) common(1C1G) 软件包 根据业务实际需求选择软件包。 主备复制模式 您可根据业务需求选择如下几种模式： 全异步 全同步 Any1 Any2 First1 First2 字符集 您可根据业务需求选择如下几种字符集： UTF8 LATIN1 EUCCN SQLASCII 坏盘检测 可根据业务需求检测是或否。 3. 单击下一步 ，进入主机选择页面。 4. 在主机选择页面，根据业务需求，选择GTM节点的主节点和备节点、协调节点的主节点或备节点或VIP、数据节点的主节点和备节点，单击提交 ，跳转到实例列表页面，查看任务状态。 5. 当状态显示为运行中，则实例成功开通。

该任务用于指导用户完成实例服务器初始化及实例开通。 前提条件 每台主机均已进行环境初始化。 操作步骤 1. 以用户名和密码登录TeleDB控制台。 2. 创建实例开通租户用户 1. 将鼠标置于分布式数据库TeleDB控制台右上角头像图标，在出现的下拉框，选择系统管理，进入租户列表页面。 2. 在租户列表页面，单击创建租户 ，出现新增租户对话框。 3. 在新增租户 对话框，填写租户名称 、租户编码 和租户描述 ，单击确定完成创建租户。 租户名称：必选，可自定义，根据业务需求填写。 租户编码：必选，可自定义，根据业务需求填写。 租户描述：可选，根据业务需求填写。 4. 您可单击目标租户所在行操作列编辑，修改租户信息。 5. 您可单击目标租户所在行操作列删除，删除租户。 3. 添加服务器 1. 切换至实例管理页面，在左侧导航树选择资源管理 > 服务器管理，进入服务器管理页面。 2. 在服务器管理页面，单击添加服务器 ，出现新增服务器对话框。 3. 在新增服务器对话框，根据下表填写基本信息，单击测试连通及硬件检测 ，若出现绿色标识，单击确定，完成服务器添加。 参数名称 说明 服务器IP地址 根据部署规划填写。 SSH账号 根据实际情况填写。 SSH密码 根据实际情况填写。 SSH端口 根据部署规划填写，确保端口不被占用。 是否创建teledb用户 根据业务需求勾选是或否。 用户home目录 根据部署规划填写。 是否安装Agent 根据业务需求勾选是或否。 服务器管理进程端口 根据部署规划填写，确保端口不被占用。 操作系统 根据实际情况选择。 CPU架构 根据实际情况选择。 磁盘数据目录 根基业务需求填写。 4. 新建资源模板 1. 在左侧导航树选择资源管理> 资源模板，进入资源模板页面。 2. 在资源模板页面，单击新建模板，出现新建模板对话框。 3. 在新建模板对话框，填写如下信息，单击确定，完成新建模板创建。 模板名称：必填，可自定义。 CPU核数（核）：必填，可根据业务需求填写。 内存容量（GB）：必填，可根据业务需求填写。 磁盘容量（GB）：必填，可根据业务需求填写。 模板描述：选填，可根据实际情况填写。 4. 你可单击目标资源模板所在行的编辑，修改资源模板。 5. 你可单击目标资源模板所在行的删除，删除资源模板。 5. 添加VIP 1. 在左侧导航树上选择资源管理> VIP管理 ，出现添加VIP对话框。 2. 在VIP对话框，填写VIP地址 和子网掩码 ，单击确定完成VIP添加。 6. 导入软件包 1. 在左侧导航树选择资源管理> 软件包管理，进入软件包管理页面。 2. 在软件包管理页面，单击添加软件包，出现添加软件包对话框。 3. 在添加软件包 对话框，单击点击上传 ，选择已准备好的软件包上传。输入软件包MD5值 ，单击确定，完成软件包添加。 说明 上传文件的文件名请遵循teledbx{版本号}{数据块大小}.{cpu架构}.tar.gz格式，其中数据块大小：8k,16k,32k;cpu架构：x8664x86架构，aarcharm架构。 您可执行md5sum 软件包名命令查找MD5。 7. 实例开通 1. 在左侧导航树选择实例列表 ，进入实例列表页面，单击创建实例，进入基本信息页面。 2. 参考下表，您可根据业务需求填写基本信息。 参数名称 说明 实例名称 自定义，可根据业务需求填写。 实例系列 您可根据业务需求选择如下两种版本。 企业版：全局事务管理器、协调节点一主一备，主备自动切换，企业业务生产首选。 灾备版：全局事务管理器、协调节点一主两备，支持两地三中心部署模式，达到金融级高可用。 协调节点数 可根据业务需求填写。 数据节点系列 您可根据业务需求选择如下三种方式： 一主一备 一主两备 一主三备 数据节点数 您可根据业务需求选择如下两种规格： test(1C2G) common(1C1G) GTM节点规格 您可根据业务需求选择如下两种规格： test(1C2G) common(1C1G) 软件包 根据业务实际需求选择软件包。 主备复制模式 您可根据业务需求选择如下几种模式： 全异步 全同步 Any1 Any2 First1 First2 字符集 您可根据业务需求选择如下几种字符集： UTF8 LATIN1 EUCCN SQLASCII 坏盘检测 可根据业务需求检测是或否。 3. 单击下一步 ，进入主机选择页面。 4. 在主机选择页面，根据业务需求，选择GTM节点的主节点和备节点、协调节点的主节点或备节点或VIP、数据节点的主节点和备节点，单击提交，跳转到实例列表页面，查看任务状态。 5. 当状态显示为运行中，则实例成功开通。

功能说明 Get Bucket CORS用来请求获取桶的跨域资源共享权限配置。 请求消息样式 plaintext GET /{Bucket}?cors HTTP/1.1 Host: xxx.zos.ctyun.cn xamzdate: Date xamzcontentsha256: ContentSHA256 Authorization: Auth String ContentLength: ContentLength 请求消息参数 参数名称 参数描述 类型 是否必须 Bucket 参数解释： 桶的名称。 String 是 请求消息头 该请求使用公共的请求消息头，请参见如何调用API构造请求请求消息头。 请求消息元素 该请求消息中不带消息元素。 响应消息样式 plaintext HTTP/1.1 Status Code xamzrequestid: Request Id ContentType: ContentType ContentLength: ContentLength Date: Date Connection: KeepAlive string ... string ... string ... string ... string integer ... 响应消息头 该请求的响应消息使用公共的响应消息头，请参见如何调用API响应结果响应消息头。 响应消息元素 该响应中将桶的跨域资源共享权限配置信息以消息元素的形式返回，元素的具体含义如下表所示： 参数名称 参数描述 类型 CORSConfiguration 参数解释： 描述存储桶中对象的跨源访问配置。 Container 表CORSConfiguration 参数名称 参数描述 类型 CORSRule 参数解释： 为指定bucket配置的所有跨域规则的集合。 约束限制： 最多允许配置100条规则。 Contanier 表CORSRule 参数名称 参数描述 类型 ID 参数解释： 跨域规则的ID。 约束限制： 最长长度为255个字符。 String AllowedHeader 参数解释： 允许浏览器发送CORS请求时携带的自定义HTTP请求头部。 约束限制： 不区分英文大小写，单条CORSRule可以配置多个AllowedHeader。 String AllowedMethod 参数解释： 允许该源执行的HTTP方法列表。 约束限制： 只能填入GET、PUT、HEAD、POST和DELETE，单条规则可以配置多个方法。 String AllowedOrigin 参数解释： 允许能够访问该bucket的一个或多个源,支持 通配符，表示所有域名都允许访问，不推荐。 约束限制： 一条CORSRule可以配置多个AllowedOrigin。 String ExposeHeader 参数解释： 允许浏览器获取的CORS请求响应中的头部。 约束限制： 不区分英文大小写，单条CORSRule可以配置多个 ExposeHeader。 String MaxAgeSeconds 参数解释： 跨域资源共享配置的有效时间，单位为秒，对应CORS请求响应中的AccessControlMaxAge头部。 约束限制： 单条CORSRule只能配置一个MaxAgeSeconds。 Integer

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server存在缓冲区溢出漏洞，由于 modlua 解析 multipart 内容时可能出现缓冲区溢出，攻击者利用该漏洞可通过精心设计的HTTP请求进行缓冲区溢出攻击。 基本信息 · CVE编号：CVE202144790 · 漏洞类型：命令执行 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.51 · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20211220 · 风险特征：远程利用 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.52 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.4，则漏洞修复命令为 sudo yum update y httpd

本文对企业中心功能做概述 企业中心主要为客户提供多账号上云环境下的便捷管理与运维工具。围绕“人、财、物”的统一管理，提供组织权限、资源运营、财务管理等能力，帮助企业庞大的业务系统顺滑上云用云，满足企业深度用云需求。 当前企业中心功能包括组织管理、资源管理、财务管理、云SSO、资源共享等。

本节主要介绍怎么创建公网NAT网关。 操作场景 如果您要通过公网NAT网关访问公网或为公网提供服务，则需要购买公网NAT网关。 前提条件 购买公网NAT网关必须指定公网NAT网关所在VPC、子网。 由于需要放通到公网NAT网关的流量，即在VPC中需要有指向公网NAT网关的路由，因此在购买公网NAT网关时，会自动在VPC的默认路由表中添加一条0.0.0.0/0的默认路由指向所购买的公网NAT网关。如果在购买公网NAT网关前，VPC默认路由表下已经存在0.0.0.0/0的默认路由，则会导致自动添加该默认路由指向公网NAT网关失败，此时需要在公网NAT网关购买成功后，手动为此网关添加一条不同的路由或在新路由表中创建0.0.0.0/0的默认路由指向该网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击“创建公网NAT网关”，进入公网NAT网关购买页面。 图 创建NAT网关页面 4. 根据界面提示，配置公网NAT网关的基本信息，配置参数请参见下表。 表 参数说明 参数 参数说明 计费模式 公网NAT网关支持按需计费。 区域 公网NAT网关所在的区域。 名称 公网NAT网关名称。最大支持64个字符，仅支持数字、字母、（下划线）、（中划线）。 虚拟私有云 公网NAT网关所属的VPC。VPC仅在购买公网NAT网关时可以选择，后续不支持修改。 子网 公网NAT网关所属VPC中的子网。子网至少有一个可用的IP地址。子网仅在购买公网NAT网关时可以选择，后续不支持修改。 规格 公网NAT网关的规格。公网NAT网关共有小型、中型、大型、超大型四种规格类型，可通过“了解更多”查看各规格详情。 描述 公网NAT网关信息描述。最大支持255个字符。 5. 单击“立即购买”，在“规格确认”页面，您可以再次核对公网NAT网关信息。 6. 确认无误后，单击“提交”，开始创建公网NAT网关。 7. 在“公网NAT网关”列表，查看公网NAT网关状态。 公网NAT网关创建成功后，查看该公网NAT网关所在的VPC的默认路由表下是否存在0.0.0.0/0的默认路由指向该公网NAT网关，如果不存在，请在默认路由表中添加一条指向该公网NAT网关的路由，或创建一个自定义路由表并在自定义路由表中添加0.0.0.0/0的默认路由指向该公网NAT网关。如下步骤以在自定义路由表中添加路由为例。

本节主要介绍怎么创建公网NAT网关。 操作场景 如果您要通过公网NAT网关访问公网或为公网提供服务，则需要购买公网NAT网关。 前提条件 购买公网NAT网关必须指定公网NAT网关所在VPC、子网。 由于需要放通到公网NAT网关的流量，即在VPC中需要有指向公网NAT网关的路由，因此在购买公网NAT网关时，会自动在VPC的默认路由表中添加一条0.0.0.0/0的默认路由指向所购买的公网NAT网关。如果在购买公网NAT网关前，VPC默认路由表下已经存在0.0.0.0/0的默认路由，则会导致自动添加该默认路由指向公网NAT网关失败，此时需要在公网NAT网关购买成功后，手动为此网关添加一条不同的路由或在新路由表中创建0.0.0.0/0的默认路由指向该网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击“创建公网NAT网关”，进入公网NAT网关购买页面。 图 创建NAT网关页面 4. 根据界面提示，配置公网NAT网关的基本信息，配置参数请参见下表。 表 参数说明 参数 参数说明 计费模式 公网NAT网关支持按需计费。 区域 公网NAT网关所在的区域。 名称 公网NAT网关名称。最大支持64个字符，仅支持数字、字母、（下划线）、（中划线）。 虚拟私有云 公网NAT网关所属的VPC。VPC仅在购买公网NAT网关时可以选择，后续不支持修改。 子网 公网NAT网关所属VPC中的子网。子网至少有一个可用的IP地址。 子网仅在购买公网NAT网关时可以选择，后续不支持修改。 规格 公网NAT网关的规格。公网NAT网关共有小型、中型、大型、超大型四种规格类型，可通过“了解更多”查看各规格详情。 描述 公网NAT网关信息描述。最大支持255个字符。 5. 单击“立即购买”，在“规格确认”页面，您可以再次核对公网NAT网关信息。 6. 确认无误后，单击“提交”，开始创建公网NAT网关。 7. 在“公网NAT网关”列表，查看公网NAT网关状态。 公网NAT网关创建成功后，查看该公网NAT网关所在的VPC的默认路由表下是否存在0.0.0.0/0的默认路由指向该公网NAT网关，如果不存在，请在默认路由表中添加一条指向该公网NAT网关的路由，或创建一个自定义路由表并在自定义路由表中添加0.0.0.0/0的默认路由指向该公网NAT网关。如下步骤以在自定义路由表中添加路由为例。

本章节主要介绍如何下载Linux gsql客户端。 DWS 提供了与集群版本配套的客户端工具包，用户可以在DWS 管理控制台下载客户端工具包。 客户端工具包包含以下内容： 数据库连接工具Linux gsql和测试样例数据的脚本 Linux gsql是一款运行在Linux环境上的命令行客户端，用于连接DWS 集群中的数据库。 测试样例数据的脚本是执行入门示例时用的。 Windows版本gsql Windows gsql是一款运行在Windows环境上的命令行客户端，用于连接DWS 集群中的数据库。 说明 仅8.1.3.101及以上版本支持在console控制台下载。 GDS工具包 GDS工具包是数据服务工具。用户可以使用GDS工具将普通文件系统中的数据文件导入到DWS 数据库中，GDS工具包需要安装在数据源文件所在的服务器上。数据源文件所在的服务器称为数据服务器，也称为GDS服务器。 下载客户端 1. 登录DWS 管理控制台，详情请参见 集群配置章节中的 登录DWS管理控制台。 2. 在左侧导航栏中，单击“连接管理”。 3. 在“gsql命令行客户端”的下拉列表中，选择对应版本的DWS 客户端。 请根据集群版本和安装客户端的操作系统，选择对应版本。 “Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 “SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 “Euler Kunpeng64”客户端工具支持在以下系统中使用： EulerOS 2.8 “RedhatKunpeng64”客户端工具支持在以下系统中使用： CentOS 7.5,7.6 NeoKylin 7.6 “Microsoft Windows”客户端工具支持在以下系统中使用： Windows 7及以上 Windows Server 2008及以上 4. 单击“下载”可以下载与现有集群版本匹配的gsql。单击“历史版本”可根据集群版本下载相应版本的gsql。 如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的客户端工具。如果当前没有集群，单击“下载”时将下载到低版本的客户端工具。DWS 集群可向下兼容低版本的客户端工具。 下表列出了下载的Linux gsql工具包中的文件和文件夹。 Linux gsql工具包目录及文件说明 文件或文件夹 说明 bin 该文件夹中包含了gsql在Linux中的可执行文件。其中包含了gsql客户端工具、GDS并行数据加载工具以及gsdump、gsdumpall和gsrestore工具。 gds 该文件夹中包括了GDS数据服务工具的相关文件，GDS工具用于并行数据加载，可将存储在普通文件系统中的数据文件导入到DWS数据库中。 lib 该文件夹中包括执行gsql所需依赖的lib库。 sample 该文件夹中包含了以下目录或文件： setup.sh：在使用gsql导入样例数据前所需执行的配置AK/SK访问密钥的脚本文件。 tpcdsloaddatafromobs.sql：使用gsql客户端导入TPCDS样例数据的脚本文件。 querysql目录：查询TPCDS样例数据的脚本文件。 gsqlenv.sh 在运行gsql前，配置环境变量的脚本文件。 下表列出了下载的Windows gsql工具包中的文件和文件夹。 Windows gsql工具包目录及文件说明 文件或文件夹 说明 x64 该文件夹中包含了64位Windows gsql执行二进制和动态库。 x86 该文件夹中包含了32位Windows gsql执行二进制和动态库。 在“集群管理”页面的集群列表中，单击指定集群的名称，再选择“集群详情”页签，可查看集群版本。

集群内节点安装客户端 1. 获取软件包。 访问FusionInsightManager（MRS3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. “选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： −x8664：可以部署在X86平台的客户端软件包。 −aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须与待安装节点的架构匹配，否则客户端会安装失败。 3. 勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件。 文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 当用户无法获取root用户权限，需要用omm用户操作。 如需安装客户端至集群内其他节点，则执行以下命令复制客户端到待安装客户端的节点： scp p / tmp/FusionInsightClient /FusionInsightCluster1ServicesClient.tar待安装客户端节点的IP地址:/opt/Bigdata/client 4. 以userclient用户登录将要安装客户端的服务器。 5. 解压软件包。 进入安装包所在目录，例如“/tmp/FusionInsightClient”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 6. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar:OK 7. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 8. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/client”目录。 cd /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/client命令，等待客户端安装完成（以下只显示部分屏显结果）。 Thecomponent client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/client”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/client o命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。

当天翼云升级了物理机相关的监控能力，已开通的物理机需要通过更新监控Agent的方式来使用最新的监控能力。天翼云会提供包含更新后的监控Agent的物理机公共镜像，客户可以通过一键重装的方式更新公共镜像来更新监控能力。但是，一键重装需要先把物理机进行关机。如果客户不期望进行关机操作，那么可以手动安装监控Agent。 一、安装包下载 公网下载： 二、Linux 操作系统 2.1 解压安装包 登录物理机，执行以下命令解压安装包 telegrafmonitor.tar.gz，解压完成后得到一个 baremetal 文件夹。 plaintext tar zxvf telegrafmonitor.tar.gz 2.2 判断操作系统架构 进入到 baremetal 文件中的 Linux 文件夹中，使用以下命令判断系统的架构： plaintext arch 2.3 拷贝安装包 2.3.1 昇腾NPU物理机 若操作系统架构为 x8664 或者amd64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./amd64/telegrafnpu telegraf cp ./amd64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf 若操作系统架构为arm64 或 arch64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./arm64/telegrafnpu telegraf cp ./arm64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf

当天翼云升级了物理机相关的监控能力，已开通的物理机需要通过更新监控Agent的方式来使用最新的监控能力。天翼云会提供包含更新后的监控Agent的物理机公共镜像，客户可以通过一键重装的方式更新公共镜像来更新监控能力。但是，一键重装需要先把物理机进行关机。如果客户不期望进行关机操作，那么可以手动安装监控Agent。 一、安装包下载 公网下载： 二、Linux 操作系统 2.1 解压安装包 登录物理机，执行以下命令解压安装包 telegrafmonitor.tar.gz，解压完成后得到一个 baremetal 文件夹。 plaintext tar zxvf telegrafmonitor.tar.gz 2.2 判断操作系统架构 进入到 baremetal 文件中的 Linux 文件夹中，使用以下命令判断系统的架构： plaintext arch 2.3 拷贝安装包 2.3.1 昇腾NPU物理机 若操作系统架构为 x8664 或者amd64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./amd64/telegrafnpu telegraf cp ./amd64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf 若操作系统架构为arm64 或 arch64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./arm64/telegrafnpu telegraf cp ./arm64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

漏洞描述 polkit是一个在类 Unix操作系统中控制系统范围权限的组件。通过定义和审核权限规则，实现不同优先级进程间的通讯。 polkit存在本地权限提升漏洞，由于pkexec无法正确处理调用参数计数，攻击者可利用该漏洞通过精心设计环境变量诱导pkexec执行任意代码，具有低权限的攻击者可以利用此漏洞绕过pkexec自带的安全保护措施，获取目标机器的ROOT权限。 基本信息 · CVE编号：CVE20214034 · 漏洞类型：本地提权 · 危险等级：高危 · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20220125 · 风险特征：存在EXP本地提权 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 漏洞利用链接 修复建议 将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，补丁修复可能存在docker网络断开风险，修复需谨慎，建议测试验证无误后进行升级操作。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RedHat/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 polkit，当前安装版本为 0.11226.el7，对应漏洞修复版本为 0.11226.el79.1，则漏洞修复命令为 sudo yum update y polkit

状态 说明 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

分类 预检查项 检查项详情 权限类 源数据库权限 全量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT。 全量+增量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 用户迁移时，账户需要有mysql.user的SELECT权限。 权限类 目标数据库权限 提供的目标数据库账号必须拥有如下权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。 用户迁移时，需要有mysql库的SELECT、INSERT、UPDATE、DELETE权限。 版本类 源数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 目标数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 迁移版本检查 仅支持目标数据库版本等于或高于源数据库版本。 参数类 GTID状态 源数据库GTID状态建议为开启状态，源数据库实例没有开启GTID的情况下不支持主备倒换，DRS任务会因为位点不续接而中断导致无法恢复。 参数类 性能参数 源数据库建议开启skipnameresolve，减少连接超时的可能性。 参数类 性能参数 源数据库logslaveupdates参数需设置为开启状态，否则会导致迁移失败。 参数类 性能参数 源数据库的binlogrowimage参数需设置为full，否则会导致迁移失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，源库maxallowedpacket参数过小可能会导致任务失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，目标库的maxallowedpacket参数值过小导致目标库数据无法写入造成全量迁移失败。 参数类 sqlmode取值检查 迁移的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致迁移失败。 增量迁移类 Binlog开启 增量迁移时，源数据库的Binlog日志必须打开，且Binlog日志格式必须为Row格式。 增量迁移类 Binlog保留时长 在磁盘空间允许的情况下，建议源数据库Binlog保存时间越长越好，建议为3天，设置为0，可能会导致迁移失败。 源数据库为自建MySQL时，通过设置expirelogsdays参数设置Binlog保留时间。建议将expirelogsday参数设置在合理的范围，确保恢复时断点处的Binlog尚未过期，以保证任务中断后的顺利恢复。 源数据库为RDS for MySQL时，设置binlog保留时间可参考《RDS用户指南》。 增量迁移类 serverid值设置 增量迁移时，必须设置MySQL源数据库的serverid。 如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间。 如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 增量迁移类 session变量设置 增量迁移时，如果设置session变量charactersetclient为binary，可能导致乱码。 目标数据库检查 磁盘空间检查 目标数据库实例必须有足够的磁盘空间。 目标数据库检查 状态检查 目标数据库实例的状态必须正常。 一致性检查 字符集 目标库和源库的字符集需要一致。 一致性检查 字符序 目标库和源库的collationserver需要一致。 一致性检查 时区 目标库和源库的timezone需要一致。 一致性检查 大小写敏感 目标库和源库的lowercasetablenames参数设置需要一致。 一致性检查 事务隔离级别 目标库和源库事务隔离级别需要一致。 一致性检查 groupconcat函数计算结果字符的最大长度 目标库和源库的groupconcatmaxlen参数需要一致 一致性检查 serveruuid参数 目标库和源库serveruuid参数不能相同。 一致性检查 InnoDB检查模式 目标库和源库innodbstrictmode需要一致。 一致性检查 数据块加密参数 目标库和源库blockencryptionmode需要一致。 一致性检查 SQL模式 目标库和源库sqlmode需要一致。 迁移对象类 选择对象检查 支持数据库、表、用户、视图、索引、约束、函数、存储过程、触发器（trigger）和事件（event）的迁移。 仅支持MyISAM和InnoDB表的迁移。 不支持系统库的迁移以及事件状态的迁移。 迁移对象类 无主键表检查 由于无主键表的性能低于主键表的性能，建议将无主键表修改为主键表。 迁移对象类 关联对象检查 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。 迁移对象类 外键引用操作检查 不支持外键级联操作。当外键是普通索引的时候，可能会导致表结构创建失败，建议改成唯一索引。 迁移对象类 同名检查 除了MySQL系统数据库之外，目标数据库不能包含与源数据库同名的数据库。 迁移对象类 表名规范检查 源数据库中的库名、表名、视图名不能包含：'<>/"以及非ASCII字符。 源数据库中的库名不允许以iblogfile开头，不能为ibbufferpool、ibdoublewrite、ibdata1、ibtmp1。 迁移对象类 加密表检查 当源库存在加密的表，需要确认目标库是否支持。如果目标库不支持，存在任务失败等风险。

分类 预检查项 检查项详情 权限类 源数据库权限 全量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT。 全量+增量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 用户迁移时，账户需要有mysql.user的SELECT权限。 权限类 目标数据库权限 提供的目标数据库账号必须拥有如下权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。 用户迁移时，需要有mysql库的SELECT、INSERT、UPDATE、DELETE权限。 版本类 源数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 目标数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 迁移版本检查 仅支持目标数据库版本等于或高于源数据库版本。 参数类 GTID状态 源数据库GTID状态建议为开启状态，源数据库实例没有开启GTID的情况下不支持主备倒换，DRS任务会因为位点不续接而中断导致无法恢复。 参数类 性能参数 源数据库建议开启skipnameresolve，减少连接超时的可能性。 参数类 性能参数 源数据库logslaveupdates参数需设置为开启状态，否则会导致迁移失败。 参数类 性能参数 源数据库的binlogrowimage参数需设置为full，否则会导致迁移失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，源库maxallowedpacket参数过小可能会导致任务失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，目标库的maxallowedpacket参数值过小导致目标库数据无法写入造成全量迁移失败。 参数类 sqlmode取值检查 迁移的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致迁移失败。 增量迁移类 Binlog开启 增量迁移时，源数据库的Binlog日志必须打开，且Binlog日志格式必须为Row格式。 增量迁移类 Binlog保留时长 在磁盘空间允许的情况下，建议源数据库Binlog保存时间越长越好，建议为3天，设置为0，可能会导致迁移失败。 源数据库为自建MySQL时，通过设置expirelogsdays参数设置Binlog保留时间。建议将expirelogsday参数设置在合理的范围，确保恢复时断点处的Binlog尚未过期，以保证任务中断后的顺利恢复。 源数据库为RDS for MySQL时，设置binlog保留时间可参考《RDS用户指南》。 增量迁移类 serverid值设置 增量迁移时，必须设置MySQL源数据库的serverid。 如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间。 如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 增量迁移类 session变量设置 增量迁移时，如果设置session变量charactersetclient为binary，可能导致乱码。 目标数据库检查 磁盘空间检查 目标数据库实例必须有足够的磁盘空间。 目标数据库检查 状态检查 目标数据库实例的状态必须正常。 一致性检查 字符集 目标库和源库的字符集需要一致。 一致性检查 字符序 目标库和源库的collationserver需要一致。 一致性检查 时区 目标库和源库的timezone需要一致。 一致性检查 大小写敏感 目标库和源库的lowercasetablenames参数设置需要一致。 一致性检查 事务隔离级别 目标库和源库事务隔离级别需要一致。 一致性检查 groupconcat函数计算结果字符的最大长度 目标库和源库的groupconcatmaxlen参数需要一致 一致性检查 serveruuid参数 目标库和源库serveruuid参数不能相同。 一致性检查 InnoDB检查模式 目标库和源库innodbstrictmode需要一致。 一致性检查 数据块加密参数 目标库和源库blockencryptionmode需要一致。 一致性检查 SQL模式 目标库和源库sqlmode需要一致。 迁移对象类 选择对象检查 支持数据库、表、用户、视图、索引、约束、函数、存储过程、触发器（trigger）和事件（event）的迁移。 仅支持MyISAM和InnoDB表的迁移。 不支持系统库的迁移以及事件状态的迁移。 迁移对象类 无主键表检查 由于无主键表的性能低于主键表的性能，建议将无主键表修改为主键表。 迁移对象类 关联对象检查 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。 迁移对象类 外键引用操作检查 不支持外键级联操作。当外键是普通索引的时候，可能会导致表结构创建失败，建议改成唯一索引。 迁移对象类 同名检查 除了MySQL系统数据库之外，目标数据库不能包含与源数据库同名的数据库。 迁移对象类 表名规范检查 源数据库中的库名、表名、视图名不能包含：'<>/"以及非ASCII字符。 源数据库中的库名不允许以iblogfile开头，不能为ibbufferpool、ibdoublewrite、ibdata1、ibtmp1。 迁移对象类 加密表检查 当源库存在加密的表，需要确认目标库是否支持。如果目标库不支持，存在任务失败等风险。

本文将简单介绍如何开通函数计算服务以及快速创建幷测试执行函数。 前提条件 已注册天翼云账号，并完成实名认证 账号可正常使用，未欠费停服 操作步骤 开通函数计算 1. 进入天翼云官网函数计算产品页，点击【开通服务】。 2. 进入函数计算服务开通页面，按页面引导开通函数计算，开通成功后点击进入控制台。 说明 若显示余额不足，请充值至保持余额在100元以上。 3. 若未创建内联委托，点击创建 ，进入函数计算控制台。 创建函数 1. 依次点击 函数 创建函数 ，如图所示。 2. 进入创建函数页面，选择或填写相关数据，如图所示。 字段 用法 校验规则 创建函数的方式 标准运行时：使用内置的运行时和默认的接口定义程序，适用于demo演示或者比较简单的业务场景。自定义运行时：选择某个流行的框架如Flask、SpringBoot等部署函数，适用于Web应用等业务场景。容器镜像：选择某个容器镜像部署函数，适用于应用迁移或者AI模型、GPU应用等业务场景。 函数名称 函数名称是函数的唯一标识，同一个租户，同一个region，函数名称必须保证唯一性。 长度在1~40个字符。只能包含字母、数字、下划线和中划线。只能字母开头。 请求处理程序类型 当选择标准运行时时才有处理事件请求：定义了函数的处理程序是响应某个事件event，具体可以参考示例程序的源码。处理Http请求：定义了函数的处理程序是响应Http请求，具体可以参考示例程序的源码。 运行环境 函数的运行环境或运行时，下拉可以根据实际需求，选择Python, Go, Java, NodeJs等多种运行环境。 代码上传方式 有以下选择：1. 选择示例代码：主要做演示用，使用内置的代码进行函数部署，可以通过阅读源码了解如何写一个简单的函数。2. 通过zip包上传代码：可以参考示例代码的规范写好函数业务代码，把业务代码整个打包为.zip后上传。 更多参数详情见操作指南函数创建。

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。