本页为网络安全类常见问题。 数据传输服务有哪些安全保障措施？ 数据传输服务从三个方面提供安全保护措施： 账号安全 基于天翼云完善的账号权限体系为用户提供严格的租户隔离，以及对各种资源进行了精细的权限控制，保障了用户的账号、数据和进行各项操作的安全性。 网络安全 通过VPC技术实现不同用户资源的网络隔离。 通过网络ACL、安全组实现对数据库、DTS实例的进出网络流量的安全控制。 数据传输安全 DTS对于数据传输的源端和目标端之间的连接，提供了可选的SSL加密传输的连接方式，保障了数据迁移、同步过程中数据传输的安全性。 如何处理迁移过程中出现的网络中断？ 在迁移过程中出现网络中断，DTS实例会自动进行重试处理。如果超过20分钟还未恢复，则会将任务状态置为【运行异常】。在后续网络恢复后，用户可在实例详情页面点击【开始任务】重新启动任务，此时会基于网络中断前的迁移进度进行续传。 如何通过设置VPC安全组，实现DTS网络互通？ 在部署上，DTS实例是与目标库实例在同一个VPC，同一个子网和使用同一个VPC安全组，所以DTS实例与目标库实例在网络上是互通的，故对于VPC安全组的设置，主要需要对源库实例所在安全组和DTS实例所在的安全组进行设置。 DTS实例所在安全组 DTS实例所在VPC安全组的出方向规则需要放通源库的IP、端口，允许DTS实例访问安全组外的数据库。 1. 在DTS实例详情页面查看当前DTS实例所在安全组。 2. 在【VPC】产品的控制中心，进入【安全组】页面，找到该安全组，在出方向规则单击【添加规则】，即添加出方向规则，放通源库的IP、端口；如果默认已放通，则无需重复进行添加操作。

Calico IPIP隧道网络 不同VPC使用Calico网络插件的两个集群，在创建对等连接后，需要进一步配置VPC路由表才能使两个VPC互通。跨VPC互联如下图所示： 需要注意如下几点： 两端集群节点子网网段需避免重叠；为简化配置避免潜在的地址冲突，建议VPC地址段不重叠； 两端集群的容器网段可以重叠，服务网段也可以重叠； 一个集群的节点可以访问另一个集群的节点，但需注意两端安全组是否放通； 不同集群的Pod之间不能通过容器IP直接访问，跨集群Pod访问需通过LoadBlance类型Service等方式访问； 对等连接本端和对端VPC均需配置路由表，以确保网络流量能够正确地传输； 在对等连接的本端路由添加对端集群节点子网网段，在对端路由添加本端集群节点子网网段，以实现两端集群节点互访： Cubecni VPC网络 不同VPC使用Cubecni网络插件的两个集群，在创建对等连接后，需要进一步配置VPC路由表才能使两个VPC互通。跨VPC互联如下图所示： 需要注意如下几点： 两端集群节点子网网段需避免重叠，容器子网网段需避免重叠；为简化配置避免潜在的地址冲突，建议VPC地址段不重叠； 两端集群的节点及Pod均可直接互访，但需注意两端安全组是否放通； 对等连接的路由表需添加对端集群节点子网网段和容器子网网段或者整个VPC网段，该操作在两侧的VPC路由表中均要执行。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 购买操作步骤： 步骤一：登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二：进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三：点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 • 当实例的“状态”变为“运行中”时，说明实例创建成功。 • 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本章会按照数据库实例规格大小介绍公有云收费模式。 按照版本不同分为MySQL、PostgreSQL、SQL Server。基于云计算平台，稳定可靠、可弹性伸缩、即开即用的在线数据库服务，实现数据库数据备份、智能监控、便捷迁移。资费包括主备实例、主实例、只读实例、存储和备份租用费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 包年预付费优惠政策：一年85折，2年7折，3年享受5折优惠。 1、MySQL主备实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） 2 4 0.96 462 2 8 1.4 672 2 16 1.8 860 4 8 1.9 910 4 16 2.58 1239 4 32 3.6 1720 8 16 3.79 1820 8 32 5.12 2457 8 64 7.2 3440 16 32 7.58 3640 16 64 10.15 4872 16 128 14.4 6880 32 64 15.16 7278 32 128 20.26 9723 60 128 30.24 14556 60 256 40.52 19446 60 512 56 27000 64 128 30.24 14556 64 256 40.52 19446 64 512 56 27000 2、MySQL单机实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） 2 4 0.48 231 2 8 0.88 422 2 16 1.24 598 4 8 0.95 455 4 16 1.29 620 4 32 2.49 1,195 8 16 1.89 910 8 32 2.56 1,229 8 64 4.97 2,390 16 32 3.78 1,820 16 64 5.08 2,436 16 128 9.95 4,780 32 64 7.56 3,639 32 128 10.13 4,862 60 128 15.12 7,278 60 256 20.26 9,724 60 512 39.8 19,120 64 128 15.12 7278 64 256 20.26 9724 64 512 39.8 19120 3、MySQL只读实例 产品名称 核数/核 内存/GB 标准资费 :::: 包月（元/月） 按需（元/小时） MySQL只读节点 2 4GB 231 0.48 MySQL只读节点 2 8GB 422 0.88 MySQL只读节点 2 16GB 598 1.24 MySQL只读节点 4 8GB 455 0.95 MySQL只读节点 4 16GB 620 1.29 MySQL只读节点 4 32GB 1,195 2.49 MySQL只读节点 8 16GB 910 1.89 MySQL只读节点 8 32GB 1,229 2.56 MySQL只读节点 8 64GB 2,390 4.97 MySQL只读节点 16 32GB 1,820 3.78 MySQL只读节点 16 64GB 2,436 5.08 MySQL只读节点 16 128GB 4,780 9.95 MySQL只读节点 32 64GB 3,639 7.56 MySQL只读节点 32 128GB 4,862 10.13 MySQL只读节点 64 128GB 7,278 15.12 MySQL只读节点 64 256GB 9,724 20.26 MySQL只读节点 64 512GB 19,120 39.80 4、Mysql proxy CPU(核) 内存（GB） 标准资费（元/小时） 2 4 1.13 4 8 2.26 8 16 4.52 目前支持mysql proxy能力的资源池包括西安2、苏州、广州4、杭州、福州、石家庄。 5、MySQL鲲鹏规格 （1）主备实例产品规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 2 4GB 0.76 364 2 8GB 1.38 664 4 8GB 1.48 712 4 16GB 2.09 1,004 8 16GB 2.97 1,424 8 32GB 4.18 2,008 12 24GB 4.96 2,381 12 48GB 7.92 3,802 16 32GB 6.95 3,336 16 64GB 9.18 4,404 24 48GB 8.52 4,090 24 96GB 15.84 7,603 32 64GB 13.88 6,664 32 128GB 18.34 8,804 48 96GB 16.96 8,141 48 192GB 33 15,840 60 120GB 27.75 13,320 （2）单机实例产品规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 2 4GB 0.38 182 2 8GB 0.69 332 4 8GB 0.74 356 4 16GB 1.05 502 8 16GB 1.48 712 8 32GB 2.09 1,004 12 24GB 2.48 1,190 12 48GB 3.96 1,901 16 32GB 3.48 1,668 16 64GB 4.59 2,202 24 48GB 4.26 2,045 24 96GB 7.92 3,802 32 64GB 6.94 3,332 32 128GB 9.17 4,402 48 96GB 8.48 4,070 48 192GB 16.52 7,930 60 120GB 13.88 6,660 （3）只读实例产品规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 2 4GB 0.38 182 2 8GB 0.69 332 4 8GB 0.74 356 4 16GB 1.05 502 8 16GB 1.48 712 8 32GB 2.09 1,004 12 24GB 2.48 1,190 12 48GB 3.96 1,901 16 32GB 3.48 1,668 16 64GB 4.59 2,202 24 48GB 4.26 2,045 24 96GB 7.92 3,802 32 64GB 6.94 3,332 32 128GB 9.17 4,402 48 96GB 8.48 4,070 48 192GB 16.52 7,930 60 120GB 13.88 6,660 6、其他收费项目 6.1 存储 产品规格 包月标准价格（元/月） 按需标准价格（元/小时） 主备实例 SATA 0.5 0.0009 主备实例 SAS 0.7 0.0015 主备实例 SSD 2 0.0028 主备实例 ESSD 3.2 0.0068 主实例 SATA 0.3 0.0005 主实例 SAS 0.4 0.0009 主实例 SSD 1.2 0.0017 主实例 ESSD 2 0.0042 只读实例 SATA 0.3 0.0005 只读实例 SAS 0.4 0.0009 只读实例 SSD 1.2 0.0017 只读实例 ESSD 2 0.0042 6.2 备份 同区域备份——若合营MySQL 数据库备份存储用量超过主数据库存储空间的100%，按需收取对象存储空间费用，标准资费为 0.000139 元/GB/小时。 跨区域备份——标准资费为 0.001 元/GB/小时。 6.3 秒级监控 计费方式为按需付费，0.048元/小时。

本文主要介绍 步骤二：创建Kafka实例。 前提条件 在创建Kafka实例前，需要保证存在可使用的虚拟私有云。创建方法，请参考《虚拟私有云 用户指南》的“创建虚拟私有云和子网”。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 操作步骤 步骤 1 登录分布式消息服务Kafka控制台，单击页面右上方的“购买Kafka实例”。 步骤 2 选择计费模式。 步骤 3 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 步骤 4 在“项目”下拉列表中，选择项目。 步骤 5 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 步骤 6 设置“实例名称”和“企业项目”。 步骤 7 设置实例信息。 1. 版本：Kafka的版本号，支持1.1.0、2.3.0和2.7，根据实际情况选择，推荐使用2.7。 Kafka实例创建后，版本号不支持修改 。 2. CPU架构：支持“x86计算”，保持默认值即可。 3. 在“代理规格”中，请根据业务需求选择相应的代理规格。在“代理数量”中，选择代理个数。 单个代理最大分区数代理个数实例分区数上限。当所有Topic的总分区数大于实例分区数上限时，创建Topic失败。 4. 在“存储空间”区域，您根据实际需要选择存储Kafka数据的磁盘类型和总磁盘大小。 Kafka实例创建后，磁盘类型不支持修改 。 存储空间包含所有副本存储空间总和，建议根据业务消息体积以及副本数量选择存储空间大小。假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 5. 在“容量阈值策略”区域，设置磁盘使用达到容量阈值后的消息处理策略，容量阈值为95%。 自动删除：可以正常生产和消费消息，但是会删除最早的10%的消息，以保证磁盘容量充足。该场景优先保障业务不中断，数据存在丢失的风险。 生产受限：无法继续生产消息，但可以继续消费消息。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 图 创建Kafka实例 步骤 8 设置实例网络环境信息。 1. 在“虚拟私有云”下拉列表，选择已经创建好的虚拟私有云和子网。 说明 虚拟私有云和子网在Kafka实例创建完成后，不支持修改。 2. 在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对Kafka实例的访问规则的集合。您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 步骤 9 设置登录Kafka Manager的用户名和密码。创建实例后，Kafka Manager用户名无法修改。 Kafka Manager是开源的Kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 步骤 10 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤 11 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 “公网访问”默认为关闭状态，根据业务需求选择是否开启。开启公网访问后，还需要为每个代理设置对应的IPv4弹性IP地址。 图 设置公网访问开关 2. 设置“Kafka SASLSSL”。 客户端连接Kafka实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 “Kafka SASLSSL”默认为关闭状态，您可以选择是否开启。 Kafka实例创建后，Kafka SASLSSL开关不支持修改 ，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您可以选择是否开启“SASL PLAIN 机制”。未开启“SASL PLAIN 机制”时，使用SCRAMSHA512机制传输数据，开启“SASL PLAIN 机制”后，同时支持SCRAMSHA512机制和PLAIN机制，根据实际情况选择其中任意一种配置连接。Kafka实例创建后，SASL PLAIN机制开关不支持修改。 什么是SCRAMSHA512机制和PLAIN机制？ SCRAMSHA512机制：采用哈希算法对用户名与密码生成凭证，进行身份校验的安全认证机制，比PLAIN机制安全性更高。 PLAIN机制：一种简单的用户名密码校验机制。 开启Kafka SASLSSL后，您需要设置连接Kafka实例的用户名和密码。 3. 设置“Kafka自动创建Topic”。 “Kafka自动创建Topic”默认为关闭状态，您可以选择是否开启。 开启“Kafka自动创建Topic”表示生产或消费一个未创建的Topic时，系统会自动创建此Topic，此Topic的默认参数值如下：分区数为3，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 如果在“配置参数”中修改“log.retention.hours”、“default.replication.factor”或“num.partitions”的参数值，此后自动创建的Topic参数值为修改后的参数值。例如：“num.partitions”修改为“5”，自动创建的Topic参数值如下：分区数为5，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 4. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击“查看预定义标签”，跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个Kafka实例最多支持设置20个不同标签，标签的命名规格，请参考管理实例标签。 5. 设置实例的描述信息。 步骤 12 填写完上述信息后，单击“立即购买”，进入规格确认页面。 步骤 13 确认实例信息无误后，提交请求。 步骤 14 单击“返回Kafka专享版”，查看Kafka实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明 创建失败的实例，不会占用其他资源。

本节主要介绍PUT Bucket CORS。 此操作用来设置Bucket的跨域资源共享(CrossOrigin Resource Sharing，CORS)。浏览器限制脚本内发起跨源HTTP请求，即同源策略。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。通过配置CORS，可以解决不同域相互访问的问题，CORS定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式。 以下是有关使用CORS的示例场景： 场景 1：比如用户的网站www.example.com，后端使用了OOS。在web应用中提供了使用JavaScript实现的上传文件功能，但是在该web应用中，只能向www.example.com发送请求，向其他网站发送的请求都会被浏览器拒绝。这样就导致用户上传的数据必须从www.example.com中转。如果设置了跨域访问的话，用户就可以直接上传到OOS，而无需从www.example.com中转。 场景2：假设用户在名为examplebucket的Bucket中托管网站，网站的Endpoint是 (存储在此Bucket中)，通过OOS API Endpoint oosxx.ctyunapi.cn向Bucket发送GET 和 PUT 请求。浏览器通常会阻止 JavaScript 发送这些请求，但借助CORS，用户可以配置Bucket支持来自examplebucket.ooswebsitecn.oosxx.ctyunapi.cn 的跨域请求。 设置Bucket的跨域请求。如果配置已经存在，OOS会覆盖它。只有根用户和拥有PUT Bucket CORS权限的子用户才能执行此操作，否则会返回403 AccessDenied错误。在配置跨域请求时，用户可以通过XML来配置允许跨域的源和HTTP方法。XML请求体不能超过64KiB。 OOS收到来自浏览器的预检请求后，它将为Bucket评估CORS配置，并使用第一个与浏览器请求相匹配的CORSRule规则来实现跨域请求。要使规则实现匹配，必须满足以下条件： 请求的Origin标头必须匹配一个AllowedOrigin 元素。 请求方法(例如，GET 或 PUT)，或者预检 OPTIONS请求中的AccessControlRequestMethod请求头，必须是某个AllowedMethod 元素。 在预检请求中，AccessControlRequestHeaders请求头中列出的每个请求头，必须匹配一个AllowedHeader 元素。

计算签名 signature getSignatureKey2(SK,encodePolicy) print(f"signature:{signature}") 如果使用v4签名，请参考SDK和Demo相关代码: SDK概览 3.准备表单HTML页面。 表单HTML页面代码示例如下： key 注意： （1）html表单中的Policy值需要为base64编码后的值。 （2） html表单中的signature值为你应用服务器的返回的签名结果。 4.选择你需要上传的本地文件，然后进行表单上传。 常见问题 跨域问题：当出现跨域问题的时候，请参考跨域资源共享对其进行配置。 参考post接口API相关文档描述，如果桶为publicreadwrite，那么Policy可以为空。桶权限非publicreadwrite时，Policy不能为空，其值在鉴权时需要用到。如果Policy为空，那么AWSAccessKeyId和signature都可以为空，如果Policy不为空，那么就需要同时填入AWSAccessKeyId和signature字段。 为避免造成AK/SK泄露，不建议直接在WEB端签名，可在后端直接计算预签名URL，然后前端使用预签名URL授权访问媒体存储。 这里以应用服务器使用python计算预签名URL，前端使用临时URL访问媒体存储为例。 利用python在应用服务端计算预签名URL： import botocore.config import botocore.session import botocore.signers def generateputobjectpresignedurl(accesskey, secretkey, endpoint, bucket,key,region): config botocore.config.Config(signatureversion's3v4') session botocore.session.getsession() s3client session.createclient( 's3', awsaccesskeyidaccesskey, awssecretaccesskeysecretkey, endpointurlendpoint, regionnameregion, configconfig) expirationtime 3600

本章节主要介绍如何运行Flink作业。 用户可将自己开发的程序提交到MRS中，执行程序并获取结果。本章节指导用户在MRS集群页面如何提交一个新的Flink作业。Flink作业用于提交jar程序处理流式数据。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至OBS系统或HDFS中。 通过界面提交作业 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.若集群开启Kerberos认证时执行该步骤，若集群未开启Kerberos认证，请无需执行该步骤。 在“概览”页签的基本信息区域，单击“IAM用户同步”右侧的“同步”进行IAM用户同步。 说明 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时，由于集群节点的SSSD（System Security Services Daemon）缓存刷新需要时间，因此同步完成后，请等待5分钟，等待新修改策略生效之后，再进行提交作业。否则，会出现提交作业失败的情况。 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时，由于集群节点的SSSD缓存刷新需要时间，因此同步完成后，请等待5分钟，新修改策略才能生效。 4.单击“作业管理”，进入“作业管理”页签。 5.单击“添加”，进入“添加作业”页面。 6.“作业类型”选择“Flink”，参考下表配置Flink作业信息。 作业配置信息 参数 参数说明 作业名称 作业名称，只能由字母、数字、中划线和下划线组成，并且长度为1～64个字符。 说明 建议不同的作业设置不同的名称。 执行程序路径 待执行程序包地址，需要满足如下要求： 最多为1023字符，不能包含;l&>, <'$特殊字符，可为空。 注意 若输入带有敏感信息（如登录密码）的参数可能在作业详情展示和日志打印中存在暴露的风险，请谨慎操作。 服务配置参数 可选参数，用于为本次执行的作业修改服务配置参数。该参数的修改仅适用于本次执行的作业，如需对集群永久生效，请参考配置服务参数页面进行修改。 如需添加多个参数，请单击右侧增加，如需删除参数，请单击右侧“删除”。 常用服务配置参数如下表“服务配置参数”。 命令参考 用于展示提交作业时提交到后台执行的命令。 运行程序参数 参数 参数说明 取值样例 ytm 设置每个TaskManager容器的内存（单位可选,默认单位：MB）。 1024 yjm 设置JobManager容器内存（单位可选，默认单位：MB）。 1024 yn 设置分配给应用程序的Yarn容器的数量，该值与TaskManager数量相同。 2 ys 设置TaskManager的核数。 2 ynm 自定义Yarn上应用程序名称。 test c 设置程序入口点的类（如“main”或“getPlan(）”方法）。该参数仅在JAR文件未指定其清单的类时需要。 com.bigdata.mrs.test 说明 针对MRS 3.x及之后版本，运行程序参数不支持“yn”。 服务配置参数 参数 参数说明 取值样例 fs.obs.access.key 访问OBS的密钥ID。 fs.obs.secret.key 访问OBS与密钥ID对应的密钥。 7.确认作业配置信息，单击“确定”，完成作业的新增。 作业新增完成后，可对作业进行管理。

本文主要介绍 安装配置Agent（Windows） 操作场景 本章节主要介绍如何在ECS中安装Agent，为用户提供主机的系统级、主动式、细颗粒度的监控服务。 约束与限制 Windows类型BMS暂不支持安装Agent。 前提条件 已配置DNS与安全组，配置DNS与安全组请参见修改DNS与添加安全组（Windows）。 已配置委托。 使用具有administrator权限的帐户安装，例如administrator用户。确保安装成功后的Telescope进程不会被其他软件关闭。 已获取Agent安装包（windows）（各资源池Agent地址，可通过控制台CES Agent配置指导获取），或者下表中获取。 表 获取获取Windows镜像的Agent安装包 区域 regionID 下载路径 北京2 cnbj1 < 太原 cnsxty1 < 中卫 cnnxyc1 < 兰州 cngslz1 < 南宁 cngxnn1 < 南昌 cnjxnc1 < 石家庄 cnhesjz1 < 郑州 cnhazz1 < 重庆 cncq1 < 成都3 cnsccd1 < 芜湖 cnahwh1 < 华北 cnnorth1 < 西安2 cnsnxy1 < 广州4 cngdgz1 < 贵州 cngz1 < 海口 cnhihk1 < 西宁 cnqhxn1 < 内蒙3 cnnmhh1 < 乌鲁木齐 cnxjcj1 < 昆明 cnynkm1 < 长沙2 cnhncs1 < 青岛 cnsdqd1 < 武汉2 cnhbwh1 < 福州 cnfz1 < 上海4 cnsh1 < 杭州 cnhz1 < 深圳 cnsz1 < 苏州 cnjssz1 <

本节介绍了RabbitMQ 接入方式。 安全接入点 RabbitMQ 安全接入点支持 "PLAIN"、"AMQPLAIN" 授权机制。 1、访问控制 RabbitMQ "PLAIN"、"AMQPLAIN"授权机制需要创建用户，从而获得对应虚拟主机的访问权限。 2、接入步骤 （1）新建用户（集群管理>用户>新建用户） （2）运行demo 客户端关键参数设置 "PLAIN"、"AMQPLAIN" 授权机制的客户端关键参数配置 String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; String vhost "/"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); SSL接入点 RabbitMQ 安全接入点支持 "EXTERNAL" 授权机制 1、访问控制 无 2、接入步骤 （1）下载SSL证书（实例概览>导出服务>下载SSL文件） （2）运行demo 客户端关键参数设置 "EXTERNAL" 授权机制的客户端关键参数配置 java String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c);

本节给出部署HBlock集群版示例。 应用场景： 三台服务器 服务器1：IP地址为192.168.0.110，API端口号为1443，WEB端口号为2443，安装路径为/mnt/storage01（磁盘/dev/vdc），数据目录为/mnt/stor（磁盘/dev/vdd）、/mnt/storage02（磁盘/dev/vdb）。 服务器2：IP地址为192.168.0.192，API端口号为1443，WEB端口号为2443，安装路径为/mnt/storage01（磁盘/dev/vda），数据目录为/mnt/stor（磁盘/dev/vdd）。 服务器3：IP地址为192.168.0.102，API端口号为1443，WEB端口号为2443，安装路径为/mnt/storage01（磁盘/dev/vda），数据目录为/mnt/stor（磁盘/dev/vdd）。 创建卷：本地模式的卷lun01a，对应iSCSI Target为target01，卷容量为100G；缓存模式卷lun02a，对应iSCSI Target为target02，卷容量为200G；存储模式卷lun03a，对应iSCSI Target为target03，卷容量为300G。 缓存模式和存储模式卷对应的OOS存储桶为：hblocktest3。 HBlock系统名称为stor2，HBlock登录用户名为storuser，登录密码为hblock12@。 操作步骤 说明 以HBlock 4.0.0为例。 1. 完成以下准备工作 服务器1安装路径：/mnt/storage01，数据目录：/mnt/stor、/mnt/storage02。 服务器2安装路径：/mnt/storage01，数据目录：/mnt/stor。 服务器3安装路径：/mnt/storage01，数据目录：/mnt/stor。 OOS存储桶hblocktest3，AK/SK，前缀stor2。 2. 将安装包放到各个服务器的安装HBlock目录下并解压缩，进入解压缩后的文件夹。 plaintext [root@hblockserver storage01]

S3 Browser是一个支持S3接口服务的免费windows客户端工具。 安装方法 使用浏览器打开S3 Browser网站 使用方法 1、安装完成后双击打开客户端，点击菜单栏中“Accounts”，出现下拉菜单后再点击“Add new account..”，会弹出新增账号信息弹出框。 2、在弹出框中，填下相应的信息，点击“Add new account”保存。填写说明如下： l Account Name：用户根据自己的需要进行命名。 l Account Type：选择“S3 Compatible Storage”。 l REST Endpoint：填写对象存储节点地址访问域名，如xiongan2.zos.ctyun.cn。 l Access Key ID：用户需进入对象存储控制台，查看对象存储Access Key信息，复制粘贴到Access Key ID中。 l Secret Access Key：用户需选择上述Access Key对应的Secret Key进行填写。 l Use secure transfer(SSL/TLS)：外网使用需要勾选此选项，内网使用不用勾选。 注意 在云内使用S3 Browser，请勿勾选下方的"Use Secure Transfer"和"Verify SSL"。因为云内属于安全网络ZOS仅提供http访问，不提供https访问。 如果通过公网访问ZOS，则建议勾选"Use Secure Transfer"和"Verify SSL"。 3、账号添加成功后，您即可在工具中查看到ZOS中目前已经存在的桶和文件。用户点击相应的菜单和按钮进行桶和文件的管理。

本章节主要介绍如何安装天翼云linux物理机重置密码插件。 步骤 1 ： 查物理机服务是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 1.1. 登录物理机服务。 1.2. 检查是否已安装CloudrResetPwdAgent。检查方法如下： a. 确认物理机服务的根目录下，存在CloudrResetPwdAgent目录。 b. 执行以下命令，确认CloudResetPwdAgent的状态不是“unrecognized service”。 service cloudResetPwdAgent status 检查结果同时满足以上两个要求，表示物理机服务已安装插件CloudResetPwdAgent。 是，执行步骤1.3。 否，执行步骤2。 1.3. 检查是否已安装CloudResetPwdUpdateAgent。检查方法如下： a. 确认物理机服务的根目录下，存在CloudResetPwdUpdateAgent目录。 b. 执行以下命令，确认CloudResetPwdUpdateAgent的状态不是“unrecognized service”。 service cloudResetPwdUpdateAgent status 检查结果同时满足以上两个要求，表示物理机服务已安装插件CloudResetPwdUpdateAgent。 是，结束。 否，执行步骤2。 步骤 2 ： 下载一键式重置密码插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 下载并解压软件包CloudResetPwdAgent.zip。 下载地址请参见CloudResetPwdAgentLinux。 步骤 3 ： 安装一键式重置密码插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 1. 将步骤2中解压后的文件放置在物理机服务的同一目录下，否则会安装失败。 说明 安装插件对解压后文件在物理机服务的具体放置目录无特殊要求，只需保证存放在同一目录下即可。 2. 执行以下命令，进入文件CloudResetPwdUpdateAgent.Linux。 cd CloudResetPwdUpdateAgent.Linux 3. 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 4. 执行以下命令，安装插件。 sudo sh setup.sh 5. 执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status service cloudResetPwdUpdateAgent status 如果服务CloudResetPwdAgent和CoudResetPwdUpdateAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

本章节主要介绍物理机的安全。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云主机、物理机服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的物理机服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。 密钥对 密钥对概述 密钥对，也称SSH密钥对，是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥，一个对外界公开，称为公钥，另一个由用户自己保留，称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据（例如一个密码），用户可以使用私钥解密数据。 天翼云只会存储公钥，您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息，因此将您的私钥保存在一个安全的位置非常重要。 密钥对的功能优势 相比用户名+密码认证方式，密钥对在安全性和便捷性上都更具优势，如下表所示。 表 密钥对与密码对比 对比项 密钥对 用户名 + 密码 安全性 安全强度远高于常规用户口令，可以杜绝暴力破解威胁。 可能通过公钥推导出私钥。 安全性较低。 便捷性 便于远程登录大量Linux实例，方便管理。 一次只能登录一台Linux实例，不利于批量维护。

Windows弹性云主机插件更新方法 步骤 1 卸载插件。 1.进入C:CloudResetPwdUpdateAgentbin文件夹。 2.双击“UninstallAppNT.bat”。 3.删除C:CloudResetPwdUpdateAgent的文件。 4.进入C:CloudResetPwdAgentbin文件夹。 5.双击“UninstallAppNT.bat”。 6.删除C:CloudResetPwdAgent的文件。 步骤 2 请参考获取并校验一键式重置密码插件完整性（Windows），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 步骤 3 解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 步骤 4 安装一键式重置密码插件。 1.依次双击“CloudResetPwdAgent.Windows”文件夹下的“setup.bat”文件。 安装密码重置插件。 2.查看任务管理器，检查密码重置插件是否安装成功。 如果在任务管理器中查找到了cloudResetPwdAgent服务服务，如下图所示，表示安装成功，否则安装失败。 图 安装插件成功 说明 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 后续处理 更新一键式重置密码插件后，如果无法通过弹性云主机开机自动启动该插件，可以将其添加至开机启动项。 一键式重置密码插件更新成功后，请勿删除重置密码进程CloudResetPwdAgent，否则，会导致一键式重装密码功能不可用。 公有云对一键式重置密码插件进行了升级，对于新创建的弹性云主机，默认采用PIPE模式，不会占用端口。对于已创建云主机，仍采用AUTO模式，随机占用31000~32999中的一个端口。占用端口的原则是：在该范围内，系统会按照自小到大的顺序，占用当前空闲的端口。

源配置中心下线 当配置迁移完毕且应用已经全部切换至目标配置中心后，可以停止更新源配置中心，确认没有连接或监听的情况下，可以将源注册中心停止，完全使用目标配置中心。 从Apollo迁移至MSE Nacos 本节内容介绍如何从Apollo迁移配置至MSE Nacos实例。 前提条件 1. 已经创建Nacos实例，参考章节创建Nacos实例。 2. 已经在Nacos实例上创建需要迁移的命名空间。 同步配置信息 1. 登录原生的Apollo控制台，本文以Apollo官方demo地址为例。 2. 在我的应用页面点击需要迁移配置的应用名称。 3. 在右上角点击管理员工具> 配置导入导出 > 点击单选框选中选择需要导出的环境，然后点击导出按钮，这种方式导出的是Apollo该环境的所有配置，所以是一个压缩包，解压后可以查看其中包含的properties文件。 4. 按照Apollo和Nacos数据结构的对应关系,进入到对应的环境目录，可以看到导出的配置形如： appId+集群名+配置名称.properties。Apollo和Nacos数据结构对应关系如下： Apollo数据结构 Nacos数据结构 环境 Namespace 集群 group Namespace dataId 5. 进入注册配置中心Nacos引擎控制台>配置管理>配置列表页面，点击配置导入按钮，在弹出的对话框中选择Apollo配置导入，然后选择导入策略，选择待导入的properties文件并提交，其中导入策略有两种： （1）跳过导入：导入过程中发现存在与待导入配置dataId和group相同的配置存则跳过； （2）覆盖导入：导入过程中发现存在与待导入配置dataId和group相同的配置存则覆盖其内容。 6. 执行完毕后，查看Nacos对应命名空间配置是否同步成功。

本小节主要介绍RDSPostgreSQL的rum插件使用方法。 操作场景 RDSPostgreSQL支持 rum插件，RUM索引作为一个全文索引类型，是GIN全文索引的扩展。与内建的GIN和GiST全文索引的区别是它是以插件包的形式存在。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 注意事项 由于与 smlar 插件存在相同运维符号 % ，因此无法与其共同创建并使用。 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS rum; 卸载插件 sql DROP EXTENSION IF EXISTS rum; 使用示例 RUM模块提供以下操作符。 操作符 返回值数据类型 描述 tsvector tsquery float4 返回tsvector与tsquery之间的距离。 timestamp timestamp float8 返回两个时间戳之间的距离。 timestamp timestamp float8 示例 sql 1.创建表。 CREATE TABLE testrum(t text, a tsvector); CREATE TRIGGER tsvectorupdate BEFORE UPDATE OR INSERT ON testrum FOR EACH ROW EXECUTE PROCEDURE tsvectorupdatetrigger('a', 'pgcatalog.english', 't'); INSERT INTO testrum(t) VALUES ('The situation is most beautiful'); INSERT INTO testrum(t) VALUES ('It is a beautiful'); INSERT INTO testrum(t) VALUES ('It looks like a beautiful place'); 2.创建rum索引。 CREATE INDEX rumidx ON testrum USING rum (a rumtsvectorops); 3.执行run查询。 SELECT t, a totsquery('english', 'beautiful place') AS rank FROM testrum WHERE a @@ totsquery('english', 'beautiful place') ORDER BY a totsquery('english', 'beautiful place'); SELECT t, a totsquery('english', 'place situation') AS rank FROM testrum WHERE a @@ totsquery('english', 'place situation') ORDER BY a totsquery('english', 'place situation');

本页对关系数据库PostgreSQL版实例回收站进行说明。 关系数据库PostgreSQL版实例被冻结或退订后会进入实例回收站，您可以在回收站中恢复或重建实例。 场景示例 某用户有一个包周期计费的关系数据库PostgreSQL版实例，因为到期被冻结，7天内该用户可以在回收站中对实例进行续费解冻，恢复实例。 某用户主动退订了实例，该实例将进入回收站，7天内该用户可以在回收站中对实例进行重建恢复。 某用户有一个按需计费的关系数据库PostgreSQL版实例，账号欠费后，该实例将进入回收站，账户充值后自动解冻恢复，移出实例回收站。 约束条件 以下情况不支持从回收站恢复： 1. 已注销的实例。 2. 已退订的只读实例。 3. 数据库代理实例。 恢复实例 1. 登录天翼云门户。点击【控制中心】，选择对应资源池，例如“华东1”。 2. 单击管理控制台左上角的，选择区域和项目。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【回收站】，进入回收站页面。 6. 找到需要操作的实例，点击“恢复”按钮。 7. 如果是主动退订的实例（显示状态为已退订），将会跳转到重建实例页面。 8. 如果是冻结实例（显示状态为已冻结），将会跳转到实例续订页。 注意 按需冻结实例无需通过实例回收站恢复，只需要账户充值足够金额，即可自动恢复。 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本节介绍企业应用的推送流程，以及相关配置项的说明。 应用推送功能，可以将应用（支持安装程序和压缩包）推送并安装至指定桌面。管理员在应用列表中选中某个“上架中”状态中的应用，点击右侧的“更多”“推送”，并根据需求配置推送规则，即可完成推送。 应用卸载功能，管理员可操作指定桌面上报已装应用信息，可选择并卸载应用。支持静默卸载的应用将直接卸载，不支持静默卸载的应用则显示卸载弹窗让用户手动卸载。 选择应用 管理员在应用列表中选择应用，点击右侧的“更多”“推送”。并根据需求配置推送规则，即可完成推送。 注：目前仅支持推送“上架中”的应用，因此在推送应用时请先确认应用是否处于上架状态。 推送设置 在推送设置弹窗中，可设置推送范围（全部桌面或指定桌面）、定时推送（立即推送或指定时间推送）、对象是否可卸载（允许或不允许）。 注： 1、点击推送后，需要等待信令下发后的几分钟内自动触发安装，如支持静默安装的应用会在5秒~10分钟内完成自动安装。 2、未安装应用，再次触发推送方式： 重新打开应用市场客户端。 每隔24小时。 重启桌面。 距离上一次登录桌面时间大于30min，登录后会重新触发推送。 其他情况，例如某些组件升级时。 3、只有“上架中”状态的应用才能推送，并且会自动推送“已上架”状态的版本。 4、在“对象卸载”中，如果选择“不允许”，用户在桌面内将不能通过系统卸载面板卸载该应用（部分应用由于应用自身原因，可能不支持此设置）。

本文为您介绍创建的目录、文件权限不足的问题现象、问题原因和解决方案。 问题现象 手动执行如下命令，出现如下报错日志。 sshp 22 oConnectTimeout10oStrictHostKeyCheckingnoteledb@10.218.14.144sudoyumyinstalldos2unixexpectreadlinecreatereponettoolslsofuuid 经过排查发现目录文件权限不对，用户组不具备读写操作权限。 原因分析 执行umask命令，发现其设置的值与实际不相符，查找出位0027，实际上位022才对，导致用户创建的文件或者目录用户组权限不对。 解决方案 方式一： 1. 执行如下命令，给解压出的安装包赋予读写执行权限。 plaintext cd/app sudo chmod R 755 teledbxv2.8.6centos.x8664 sudo chown R teledb:teledb teledbxv2.8.6centos.x8664 sshp 22 oConnectTimeout10oStrictHostKeyCheckingnoteledb@10.218.14.144sudoyumy installdos2unixexpectreadlinecreatereponettoolslsofuuid 2. 重新install，当出现如下回显信息表示安装成功。 方式二： 您可以修改umask的值，您可执行chmod命令授权也可参考如下方式修改umask的值。 plaintext 1、临时修改umask的值 umask022 2、永久修改umask的值 vim/etc/profile if[ $UID gt199] &&["/usr/bin/idgn""/usr/bin/idun"];thenumask022 else umask022 fi vim/etc/bashrc if [ $UID gt199] &&["/usr/bin/idgn""/usr/bin/idun"];thenumask002 else umask022 fi source/etc/profile sourcevim/etc/bashrc 检查 umask

创建物化视图 sql CREATE MATERIALIZED VIEW [IFNOTEXISTS] [db.]tablename [ON CLUSTER] [TO [db.]name] [ENGINEengine] [POPULATE] AS SELECT ... 物化视图存储由相应的SELECT管理。 创建不带 TO [db].[table]的物化视图时，必须指定 ENGINE – 用于存储数据的表引擎。 使用 TO [db].[table] 创建物化视图时，不得使用 POPULATE。 一个物化视图的实现是这样的：当向SELECT中指定的表插入数据时，插入数据的一部分被这个SELECT查询转换，结果插入到视图中。 云数据库ClickHouse中的物化视图更像是插入触发器。 如果视图查询中有一些聚合，则它仅应用于一批新插入的数据。 对源表现有数据的任何更改（如更新、删除、删除分区等）都不会更改物化视图。 如果指定 POPULATE，则在创建视图时将现有表数据插入到视图中，就像创建一个 CREATE TABLE ... AS SELECT ...一样。 否则，查询仅包含创建视图后插入表中的数据。 我们不建议使用POPULATE，因为在创建视图期间插入表中的数据不会插入其中。 SELECT 查询可以包含 DISTINCT、GROUP BY、ORDER BY、LIMIT……，相应的转换是在每个插入数据块上独立执行的。 例如，如果设置了 GROUP BY，则在插入期间聚合数据，但仅在插入数据的单个数据包内。 数据不会被进一步聚合。 例外情况是使用独立执行数据聚合的 ENGINE，例如 SummingMergeTree。 在物化视图上执行ALTER查询有局限性，因此可能不方便。 如果物化视图使用构造 TO [db.]name，你可以 DETACH视图，为目标表运行 ALTER，然后 ATTACH先前分离的（DETACH）视图。 物化视图受optimizeoninsert设置的影响， 在插入视图之前合并数据。 视图看起来与普通表相同。 例如，它们列在 SHOW TABLES查询的结果中。 删除视图,使用DROP VIEW. DROP TABLE也适用于视图。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云CDN控制台开启HTTPS协议，可实现客户端和天翼云CDN节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在CDN节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向CDN节点发起HTTPS请求。 2. CDN节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给CDN节点。 4. CDN节点使用对应私钥进行解密，得到密钥。 5. CDN节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对CDN节点传输的加密数据进行解密，从而获取相应数据。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 单击【保存】，完成配置。

本文主要介绍不使用SSL证书连接RabbitMQ实例。 RabbitMQ实例兼容开源协议，请参考RabbitMQ官网提供的不同语言的连接和使用向导：< 介绍VPC内访问与使用RabbitMQ方法，假设RabbitMQ客户端部署在弹性云主机上。 前提条件 参考创建实例章节创建RabbitMQ实例，并记录创建时输入的用户名和密码。 创建完成后，单击实例名称，查看并记录实例详情中的“连接地址”。 已创建弹性云主机，并且弹性云主机的VPC、子网、安全组与RabbitMQ实例的VPC、子网、安全组保持一致。 已完成JDK安装及环境变量配置。 命令模式连接实例 以下操作命令以Linux系统为例进行说明： 1、下载RabbitMQTutorial.zip示例工程代码。 2、解压RabbitMQTutorial.zip压缩包。 $ unzip RabbitMQTutorial.zip 3、进入RabbitMQTutorial目录，该目录下包含预编译好的jar文件。 $ cd RabbitMQTutorial 4、运行生产消息示例。 $ java cp .:rabbitmqtutorial.jar Send host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5672），user表示RabbitMQ用户名，password表示用户名对应的密码。 图1 运行生产消息示例 使用Ctrl+C命令退出。 5、运行消费消息示例。 $ java cp .:rabbitmqtutorial.jar Recv host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5672），user表示RabbitMQ用户名，password表示用户名对应的密码。 图2 运行消费消息示例 如需停止消费使用Ctrl+C命令退出。

本节介绍了设置同区域备份策略的操作场景、约束限制、操作步骤等相关内容。 操作场景 创建关系型数据库实例时，系统默认开启自动备份策略，安全考虑，实例创建成功后不可关闭。您可根据业务需要设置自动备份策略，关系型数据库服务按照您设置的自动备份策略对数据库进行备份。 关系型数据库服务的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。备份以压缩包的形式存储在对象存储服务上，以保证用户数据的机密性和持久性。由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。 设置自动备份策略后，会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，按照策略中的保留天数进行存放，备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟或一定数据量时会自动生成增量备份，用户不需要设置。生成的增量备份可以用来将数据恢复到指定时间点。 约束限制 当数据库实例被删除时，实例的自动备份将被同步删除，手动备份不会被删除。 全量备份时不允许重启数据库，请谨慎选择备份时间段。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。 − 备份所属的实例正在执行DDL操作。 − 从备份所属的实例获取备份锁失败。 全量备份会占用节点资源，尤其是磁盘带宽。可能会导致实例吞吐量下降，复制时延等问题。

此章节为您介绍数据库审计的安全规则相关功能。 安全规则概述 安全规则库用来保存已发现的不安全SQL语句的特征信息。系统通过将审计到的SQL语句和安全规则进行匹配从而判断SQL语句中是否包含可疑行为。 根据不安全SQL的特征，安全规则分成SQL注入攻击规则、漏洞攻击规则、账号安全规则、数据泄露规则和违规操作规则。 SQL注入攻击是一种将SQL代码插入或添加到应用（用户）的输入参数中的攻击，之后再将这些参数传递给后台的数据库服务器加以解析并执行，SQL注入规则可以有效的发现此类攻击行为并产生告警。 漏洞攻击规则是根据已知的SQL漏洞信息而制定的，漏洞安全规则按照不同的漏洞类型可以分成缓冲区溢出和存储过程滥用。 账号安全规则是针对对数据库服务器进行暴力破解和登录失败场景下的安全规则。 数据泄露规则根据泄露场景分成拖库攻击、数据库外联、大流量返回、非授权访问，系统可以有效地发现这几种泄露场景并及时通知告警。 违规操作规则是针对于应用账号违规操作、运维人员的违规操作、数据库探测和异常语句场景。 系统内置900多条安全规则，覆盖了主流的应用场景，并且在不断地丰富。此外，用户可以自定义安全规则。 规则管理 内置规则不可更改，默认为推荐规则，您可以通过单击界面右上角的“推荐”按钮切换到全部规则。 说明 内置规则包含特征规则及其他非特征规则，特征规则不可进行克隆和删除操作，非特征规则可进行克隆操作。 您可以管理自定义的规则，新增自定义安全规则的操作方法如下： 1.在菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签，单击“新增”。 2.在弹出的对话框中填写相关参数，填写完成后单击“保存”即可完成安全规则新增任务。 项目 参数 参数说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 基本信息 描述 规则描述。 基本信息 等级 必选项，系统默认等级为中风险。等级可选高风险、中风险和低风险。 基本信息 所属规则组 必选项，可选择自定义的规则组，也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理： 单击所属规则组右边的“规则组管理”，可新增、修改和删除自定义规则组。 基本信息 规则类型 当前支持普通规则和统计规则两类。 普通规则：单条审计记录匹配配置的普通规则，会触发普通告警（例如一条select语句，可能会触发一条普通告警）。 统计规则：指定时间内多次匹配配置的统计规则，会触发一条统计告警（例如5分钟内10次select失败，可能会触发一条统计告警）。 基本信息 行为 当前支持告警和告警并阻断。 告警：操作命中规则后，仍正常执行，无特殊控制。 告警并阻断：操作命中规则后，该操作对应的数据库连接断开。 客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端 客户端工具 可配多个客户端工具，使用逗号“,”分隔，例如：db2bp.exe,java.exe。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端MAC地址 可填多个值，多个值间以逗号“,”分隔。 客户端 操作系统用户 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 主机名 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 应用IP 指定规则所匹配的应用IP或IP组，对应审计日志中的关联IP，可填多值，多个值间以逗号“,”分隔。 客户端 应用用户名 指定规则所匹配的应用用户或用户组，对应审计日志中的关联账号，可填多值，多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值，多个值间以逗号“,”分隔。 服务端 服务端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 服务端 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式，可填多值，多个值之间以“,”分隔。 服务端 服务端MAC地址 可填多个值，多个值间以逗号“,”分隔。 服务端 数据库名(SID) 可以选择字符串或者正则表达式，Oracle数据库请输入SID，其他数据库输入数据库名，字符串可填多值，多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 行为 操作类型 指定SQL语句的操作类型，例如：select、update、delete等。 行为 SQL模板ID 可填项，可填多值，多个值间以逗号“,”分隔。 行为 SQL关键字 SQL关键字：支持以正则表达式匹配报文。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 行为 SQL长度 指定SQL语句的长度，取值范围：1B~64KB。 行为 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则，允许输入最大值为255。 行为 WHERE字句 是否包含WHERE，支持三个选项： 不判断 有WHERE子句 没有WHERE子句 默认为不判断。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname FROM tablename WHERE columnname operator value; 结果 执行时长 （选填）单位：秒、毫秒、微秒，取值范围：0到半个小时，SQL执行时长属于此范围，则触发规则。 结果 影响行数 取值范围：0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围，则触发规则。 结果 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 结果 执行状态 可选三类执行状态： 全部 成功 失败 默认为全部。 结果 执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 其他 每日最大告警数 取值范围：0~99,999，输入0表示没有限制。 其他 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略，包含使用资产设置、保存和不保存。

本文为您介绍zosfs的主要功能和使用场景等信息。 工具简介 zosfs是一个通过FUSE技术，将天翼云对象存储ZOS的bucket（存储桶）挂载为本地目录的工具。 zosfs利用gorountine，通过异步的并发操作，实现对本地文件的高效上传、对云端对象的高效下载，同时，zosfs也优化了对目录列举的操作，提升目录列举的效率。 使用场景 zosfs主要支持模型训练、模型推理等计算密集型场景，解决密集计算对存储数据加载和写入的特殊需要。具体而言，这类场景对存储数据操作以顺序读取、随机读取、顺序（追加）写入为主。 主要功能 兼容基础的POSIX语义操作，能有效利用ZOS的服务端读写能力。 针对计算密集的数据读写需要，提供高效的大文件顺序读写能力。 适配环境 计算平台：X86计算平台、ARM计算平台 操作系统：ctyunOS 23.01、ctyunOS 2.0.1、ctyunOS 22.06 使用限制 zosfs为特定挂载场景优化，因此存在一定的使用限制，请使用前仔细阅读zosfs使用限制章节，了解工具的限制条件。 注意 我们建议您在使用zosfs工具前，了解工具的使用限制，并对工具进行使用测试，避免对您的业务产生影响。 获取zosfs 适配X86计算平台 点击下载工具：zosfs0.6.1x86.tar.gz 适配ARM计算平台 点击下载工具：zosfs0.6.1arm.tar.gz 说明 此处提供的zosfs工具包，解压后无需安装即可运行。

如果您选择通过对应的工具或SDK方式访问天翼云对象存储,本文将带您了解如何下载工具及使用。 操作场景 如果您选择通过客户端或SDK访问ZOS，您需要提前下载对应的工具或SDK源码，并进行相关的初始化配置。 如果您选择通过控制台或API访问ZOS，则可以跳过以下步骤。 S3Browser S3Browser是一个支持S3接口服务的免费windows客户端工具，通过S3Browser可查看ZOS中目前已经存在的桶和文件。 S3Browser安装及使用可参考S3Browser。 SDK SDK是对天翼云对象存储ZOS提供的RESTful API进行封装的工具，旨在简化用户的开发工作。用户通过使用SDK提供的接口函数，可以直接调用并实现对ZOS的各项业务能力的使用，同时保持原有功能的基本不变。 天翼云支持多种SDK开发方式，例如JAVA、C、C++、Python、Go等。SDK安装包下载及使用可参考开发者文档。 自动化策略工具 自动化策略工具（PolicyEditor）由若干条策略组成。使用自动化策略工具，可以在界面上逐条添加或删除策略，并自动生成策略的JSON文本，自动化策略工具中，每条策略需要设置其效果、授权账号、授权资源、授权操作。 自动化策略工具使用可参考自动化策略工具。

本节介绍了在Linux主机上登录Windows云主机的操作场景、前提条件、操作步骤、开启远程桌面协议RDP。 操作场景 本节为您介绍如何在Linux操作系统主机上登录Windows云主机。 前提条件 云主机状态为“运行中”。 云主机已经绑定弹性公网IP。 所在安全组入方向已开放3389端口。 使用的登录工具与待登录的云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 操作步骤 如果本地主机为Linux操作系统，您可以使用远程连接工具（例如rdesktop）连接Windows实例。 1. 执行以下命令，检查云主机是否安装rdesktop。 rdesktop 如果提示“command not found”说明未安装rdesktop。请参考rdesktop工具官方获取rdesktop安装包安装rdesktop。 2. 输入以下命令登录云主机。 rdesktop u 用户名 p 密码 g 分辨率 弹性公网IP地址 例如：rdesktop u administrator p password g 1024720 121.xx.xx.xxx 表 远程登录命令参数 参数 说明 u 用户名，Windows实例默认用户名是Administrator。 p 登录Windows实例的密码。 f 默认全屏，需要用 Ctrl+Alt+Enter 组合键进行全屏模式切换。 g 分辨率，中间用星号（）连接，可省略，省略后默认为全屏显示。例如：1024720 弹性公网IP地址 需要远程连接的服务器IP地址。需要替换为您的Windows实例的弹性公网IP地址或 EIP 地址。

本章节主要介绍翼MapReduce如何运行SparkSQL作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。本章节教您在翼MR集群后台如何提交一个新的SparkSQL作业。SparkSQL作业用于查询和分析数据，包括SQL语句和Script脚本两种形式，如果SQL语句涉及敏感信息，请使用Spark Script提交。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至HDFS系统中。 通过后台提交作业 例如安装路径为“/usr/local/spark3”。具体以实际为准。 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 集群默认开启Kerberos认证，执行以下命令认证当前用户. 示例： klist kt /etc/security/keytabs/spark.keytab 获取spark.keytab的principalname kinit kt /etc/security/keytabs/spark.keytab spark.keytab的principalname 7. 打开sparksql命令行，进入sparksql命令行后可执行SQL语句，执行命令如下： cd $SPARKHOME ./bin/sparksql conf spark.yarn.principaldefault 若需要执行SQL文件，需要上传SQL文件（如上传到“/opt/”目录），上传文件后执行命令如下： cd $SPARKHOME ./bin/sparksql conf spark.yarn.principaldefault f /opt/script.sql

本节介绍了热补丁升级的相关内容。 操作场景 云数据库GaussDB提供了热补丁升级方式，仅用于产品问题修复。热补丁可以在业务不中断的情况下加载补丁，在不影响业务的前提下，在线解决一部分数据库内核的紧急问题。热补丁升级方式支持手动回退操作。 注意事项 升级涉及热补丁包的下载及解压流程，会占用一定的磁盘空间，建议DN磁盘使用率不得高于设置磁盘使用率阈值减去10%的值。 说明 DN磁盘使用率可以通过管理控制台监控指标查看。 磁盘使用率阈值可以联系技术支持人员获取。 实例节点状态异常，不支持版本升级。 热补丁如果和备份是冲突的，热补丁升级过程中会停止实例的差备和全备。 版本升级/回退过程中不支持磁盘扩容、规格变更、备份、重置密码、重启实例、删除实例等操作。 建议在业务较小的时候执行版本升级操作，以确保CPU，磁盘，内存使用率等都有较大的空闲。 热补丁升级操作须有可以升级的热补丁，当没有可以升级的热补丁时，不显示热补丁升级。 热补丁升级和回退支持单个实例不同补丁版本的批量操作，升级时按版本号从小到大依次升级，回退时按版本号从大到小依次回退。 如果升级过程中出现异常导致升级失败，系统会自动对实例进行回退，您可以联系技术支持，由工程师给出分析评估后重新执行升级。 升级完成后，支持手动回退操作。 批量版本升级时，最多可批量升级30个实例。

本文介绍如何进行AOne客户端安装、登录。 适用场景 进行相关配置完成后，可进行下载并安装客户端，根据提供的身份账号信息、企业标识进行登录客户端，如有问题可导出客户端日志进行分析。 注意 订购零信任服务、终端管理均采用AOne客户端进行使用，学术加速采用学术加速客户端进行服务。 客户端推送更新：支持客户端新版本时，会进行自动推送给客户端进行更新，如您需要单独管理客户端版本，可 。 客户端下载地址 访问客户端下载点击图标或扫描二维码下载对应客户端。不同套餐版本可使用的终端有差异，详见：零信任服务版本差异对比。 安装AOne客户端 1. 登录边缘安全加速控制台，选择【零信任】或者【终端管理】控制台。 2. 在底部可以看到客户端下载按钮，转发页面URL给您的员工进行访问下载。 3. 根据界面提示下载客户端安装包（不同套餐版本将会限制套餐版本使用，请下载已订阅授权的客户端），如有问题，可联系我们。 4. 双击点击安装程序AOne.exe，根据安装提示完成安装。

通过云堡垒机纳管跨域的业务服务器 1. 登录“网络控制台”>“访问控制”>“安全组”，进入“安全组”页面，对云堡垒机所在安全组规则进行入方向、出方向配置。 2. 通过云堡垒机纳管代理服务器。登录云堡垒机系统，添加代理服务器，操作步骤请见纳管主机资源，在“主机管理”页面选择“代理服务器”，单击“新建”。 3. 对待纳管的业务服务器所在的安全组入方向规则进行配置，在步骤5中“入方向规则”页面，单击“快速添加规则”。出方向规则根据您的需要请自行添加配置。 4. 通过云堡垒机纳管业务服务器，具体操作步骤请见添加主机资源。 通过上述步骤的操作后，您可以根据云堡垒机自带的主机运维功能跨网络域运维被纳管的主机资源。类似地，可将以上做法推广到混合/异构云、线下IDC等不同网络环境，以实现跨云跨VPC线上线下统一运维。 CentOS8配置代理示例 步骤 1 执行如下命令，安装3proxy软件包 yum install y epelrelease yum install y 3proxy 步骤 2 执行如下命令，进行极简配置 nscache 65536 timeouts 1 5 30 60 180 1800 15 60 设置用户名：test、密码：test users test:CL:test daemon log /var/log/3proxy/3proxy.log logformat " +L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T" archiver gz /bin/gzip %F rotate 30 external 0.0.0.0 internal 0.0.0.0 auth strong allow test maxconn 20 socks flush 步骤 3 启动服务 systemctl start 3proxy