参数类型 参数名 说明 取值样例 基本参数 源连接名称 由用户下拉选择即可。 hdfstocdm 基本参数 源目录或文件 “列表文件”选择为“否”时，才有该参数。 待迁移数据的目录或单个文件路径。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 /user/cdm/ 基本参数 文件格式 传输数据时所用的文件格式，可选择以下文件格式： CSV格式：以CSV格式解析源文件，用于迁移文件到数据表的场景。 二进制格式：选择“二进制格式”时不解析文件内容直接传输，不要求文件格式必须为二进制。适用于文件到文件的原样复制。 Parquet格式：以Parquet格式解析源文件，用于HDFS数据导到表的场景。 CSV格式 基本参数 列表文件 当“文件格式”选择为“二进制格式”时，才有该参数。 打开列表文件功能时，支持读取OBS桶中文件（如txt文件）的内容作为待迁移文件的列表。该文件中的内容应为待迁移文件的绝对路径（不支持目录），文件内容示例如下： /mrs/jobproperties/application16348916046210014/job.properties /mrs/jobproperties/application16348916046210029/job.properties 是 基本参数 列表文件源连接 当“列表文件”选择为“是”时，才有该参数。可选择列表文件所在的OBS连接。 OBStestlink 基本参数 列表文件OBS桶 当“列表文件”选择为“是”时，才有该参数。该参数表示列表文件所在的OBS桶名。 01 基本参数 列表文件或目录 当“列表文件”选择为“是”时，才有该参数。该参数表示列表文件所在的OBS桶中的绝对路径或目录。 /0521/Lists.txt 高级属性 换行符 文件中的换行符，默认自动识别“n”、“r”或“rn”。当“文件格式”选择为“CSV格式”时，才有该参数。 n 高级属性 字段分隔符 文件中的字段分隔符，使用Tab键作为分隔符请输入“t”。当“文件格式”选择为“CSV格式”时，才有该参数。 , 高级属性 首行为标题行 “文件格式”选择“CSV格式”时才有该参数。在迁移CSV文件到表时，CDM默认是全部写入，如果该参数选择“是”，CDM会将CSV文件的第一行数据作为标题行，不写入目的端的表。 否 高级属性 源文件处理方式 作业执行成功后对源端文件的处理方式： 不处理。 重命名：作业执行成功后将源文件重命名，添加用户名和时间戳的后缀。 删除：作业执行成功后将源文件删除。 不处理 高级属性 启动作业标识文件 选择是否开启作业标识文件的功能。当源端路径下存在启动作业的标识文件时才启动作业，否则会挂起等待一段时间，等待时长在下方“等待时间”中配置。 ok.txt 高级属性 过滤类型 满足过滤条件的路径或文件会被传输，该参数有“无”、“通配符”和“正则表达式”三种选择。 高级属性 路径过滤器 “过滤类型”选择“通配符”时，用通配符过滤目录，符合过滤器规则的目录，允许进行迁移。支持配置多个路径，中间使用“,”分隔。 input 高级属性 文件过滤器 “过滤类型”选择“通配符”时，用通配符过滤目录下的文件，符合过滤器规则的文件，允许进行迁移。支持配置多个文件，中间使用“,”分隔。 .csv 高级属性 时间过滤 选择“是”时，可以根据文件的修改时间，选择性的传输文件。 是 高级属性 起始时间 “过滤类型”选择“时间过滤器”时，可以指定一个时间值，当文件的修改时间大于该时间才会被传输，输入的时间格式需为“yyyyMMdd HH:mm:ss”。 该参数支持配置为时间宏变量，例如${timestamp(dateformat(yyyyMMdd HH:mm:ss,90,DAY))} 表示：只迁移最近90天内的文件。 20190701 00:00:00 高级属性 终止时间 “过滤类型”选择“时间过滤器”时，可以指定一个时间值，当文件的修改时间小于该时间才会被传输，输入的时间格式需为“yyyyMMdd HH:mm:ss”。 该参数支持配置为时间宏变量，例如${timestamp(dateformat(yyyyMMdd HH:mm:ss))} 表示：只迁移修改时间为当前时间以前的文件。 20190730 00:00:00 高级属性 创建快照 如果选择“是”，CDM读取HDFS系统上的文件时，会先对待迁移的源目录创建快照（不允许对单个文件创建快照），然后CDM迁移快照中的数据。 需要HDFS系统的管理员权限才可以创建快照，CDM作业完成后，快照会被删除。 否 高级属性 加密方式 “文件格式”选择“二进制格式”时，该参数才显示。 如果源端数据是被加密过的，则CDM支持解密后再导出。这里选择是否对源端数据解密，以及选择解密算法： 无：不解密，直接导出。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 AES256GCM 高级属性 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成，且必须与加密时配置的“数据加密密钥”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 高级属性 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成，且必须与加密时配置的“初始化向量”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F 高级属性 MD5文件名后缀 “文件格式”选择“二进制格式”时，该参数才显示。 校验CDM抽取的文件，是否与源文件一致。 .md5

本文为您介绍Web应用防火墙（原生版）的相关术语解释。 SSL证书 指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。 域名解析 互联网上的机器相互间通过IP地址来建立通信，但是人们大多数习惯记忆域名，将IP地址与域名之间建立一对多的关系，而它们之间转换工作的过程称为域名解析。 QPS 每秒查询率（Query Per Second，QPS） 是对一个特定的查询服务器，在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器性能经常用每秒查询率来衡量，对应fetches/sec（每秒响应请求数，即是最大吞吐能力）。 CNAME CNAME是指定域名的别名，用于将域名解析到另一域名上。通过域名接入方式添加防护域名后，WAF会生成一个CNAME（即防护域名的别名）。 通过修改DNS域名，将网站流量指向WAF服务节点，实现对网站流量的安全防护。更多信息请参见修改域名DNS。 回源IP地址 回源IP指云WAF用来与源站服务器建立网络连接的IP地址。通过域名接入方式添加域名成功后，由WAF自动分配多个回源IP地址，WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发到网站域名的源站服务器。在源站服务器看来，所有收到的请求都来自回源IP。 如果源站服务器使用了其他安全软件（例如防火墙、安全组、杀毒软件等），WAF的回源IP很有可能被这些软件识别成恶意IP并进行拦截。因此，网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。更多信息请参见放行WAF回源IP段。

本节主要介绍步骤一（1）：创建入云迁移任务 本章节将以MySQL到RDS for MySQL的迁移为示例，介绍在公网网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 公网网络适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库。 在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足入云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填选区域、任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择入云。 入云指目标端数据库为本云数据库。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 此处选择公网网络。 默认为公网网络类型，支持VPC网络、VPN网络、专线网络、公网网络。 VPC网络：适合云上数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库，该类型要求源数据库绑定弹性IP。 VPN网络：适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 专线网络：适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的关系型数据库实例。 目标库读写设置 只读 迁移中，目标数据库实例将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写 迁移中，目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。如果目标库有其他数据库需要在迁移时被业务使用，可设置该选项为读写。 说明 目前仅MySQL数据库支持目标库读写设置。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、启动失败、全量中、全量失败、增量中、增量失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 说明 源数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 如果单击“测试连接”后提示迁移实例和数据库的网络连接失败，请参考《数据库复制服务常见问题》中的“

java version 1. 如未安装，请下载JAVA软件包进行安装。 2）linux系统安装节点包 用户需要准备适配的OS以完成安装节点包和进程启动，具体步骤如下： 1. 将安装包下载至服务器，MD5完整性校验通过后（linux命令参考：md5sum 文件名），解压该安装包。 2. iahelper进程启动启动：iahelper服务主要用于连接控制台，使得控制台可发现该节点。节点包安装完成后只需启动iahelper 进程，其余同步进程在创建规则时自动拉起。Linux/Aix 操作系统下启动iahelper 进程的同时，会启动iahelper watchdog 监视进程，监视进程会根据用户在激活双活工作节点时，选择的双活工作节点类型，来开启对应的服务，启动服务的具体步骤如下： 1. 编辑/etc/hosts文件，增加nodeproxymdr解析。 vim /etc/hosts 添加或修改条目来映射域名到IP地址： VPCE的节点IP nodeproxymdr 2. 进入到MDR工作节点的安装路径，其中 为安装包路径。 cd /bin/ 3. 执行./iahelper nodeproxymdr，iahelper首次启动需要输入密码，初始密码规定应为816 位，需包含大小写字母，数字及特殊符号。 4. 创建/root/ia/system.conf文件，配置tenant 指定租户ID，其中53f03e0d84324fc5a6e1bf32c90fb94b可替换成租户的ID，租户ID可联系支持人员获取。 tenant53f03e0d84324fc5a6e1bf32c90fb94b 5. 重启iahelper。再次执行./iahelper nodeproxymdr，注册双活工作节点至控制机。 6. 执行如下命令可检查iahelper 进程是否启动成功。

java version 1. 如未安装，请下载JAVA软件包进行安装。 2）linux系统安装节点包 用户需要准备适配的OS以完成安装节点包和进程启动，具体步骤如下： 1. 将安装包下载至服务器，MD5完整性校验通过后（linux命令参考：md5sum 文件名），解压该安装包。 2. iahelper进程启动启动：iahelper服务主要用于连接控制台，使得控制台可发现该节点。节点包安装完成后只需启动iahelper 进程，其余同步进程在创建规则时自动拉起。Linux/Aix 操作系统下启动iahelper 进程的同时，会启动iahelper watchdog 监视进程，监视进程会根据用户在激活双活工作节点时，选择的双活工作节点类型，来开启对应的服务，启动服务的具体步骤如下： 1. 编辑/etc/hosts文件，增加nodeproxymdr解析。 vim /etc/hosts 添加或修改条目来映射域名到IP地址： VPCE的节点IP nodeproxymdr 2. 进入到MDR工作节点的安装路径，其中 为安装包路径。 cd /bin/ 3. 执行./iahelper nodeproxymdr，iahelper首次启动需要输入密码，初始密码规定应为816 位，需包含大小写字母，数字及特殊符号。 4. 创建/root/ia/system.conf文件，配置tenant 指定租户ID，其中53f03e0d84324fc5a6e1bf32c90fb94b可替换成租户的ID，租户ID可联系支持人员获取。 tenant53f03e0d84324fc5a6e1bf32c90fb94b 5. 重启iahelper。再次执行./iahelper nodeproxymdr，注册双活工作节点至控制机。 6. 执行如下命令可检查iahelper 进程是否启动成功。

本节主要介绍如何通过Nginx反向代理访问OBS。 背景 一般情况下，用户会通过OBS提供的桶访问域名（例如 但在某些场景下，用户需要通过固定的IP地址访问OBS，例如：某些企业出于安全考虑，对于可访问的外部地址需要设置黑白名单，而这个时候对于OBS的访问则需要一个固定的IP地址。同样出于安全考虑，天翼云OBS桶访问域名通过DNS解析的IP地址是会发生变化的，所以用户无法获取某个桶长期有效的固定IP地址。 此时，可以通过在ECS上搭建Nginx反向代理服务器，来实现通过固定IP地址访问OBS。 原理介绍 本实践将Nginx部署在ECS上，搭建Nginx反向代理服务器。用户对代理无感知，只需要将请求发送到反向代理服务器，然后由反向代理服务器向OBS获取数据，再返回给用户。反向代理服务器和OBS对外看做一个整体，仅暴露代理服务器的IP地址，隐藏了OBS真实的域名或IP地址。 图通过Nginx反向代理访问OBS原理 前置条件 已明确OBS桶所在区域和桶的访问域名，如苏州区域的桶：nginxobs.obs.cnjssz1.ctyun.cn。查看桶的信息 已在同区域购买Linux操作系统的ECS，本文以CentOS系统为例。 ECS已绑定EIP，EIP用于从公网下载必要的Nginx安装包。

本文主要介绍DRDS的分片算法。 系统预置了若干种分片算法供库表分片时使用。算法参数请参见设置分片规则的DDL语句的分片算法内容。 取模分片 定义 对分片键（整数）进行十进制求模，根据模值对应到不同分片。 适用条件：分片键必须是整数，分片键求余后的值均匀分布。 特点 分片键为自增型或随机分布的整数时能保证数据的均匀分片。 算法简单，性能高。 对多值、范围的查询支持较差（分散在不同的分片上）。 扩容时需要数据迁移。 较好的分散由时间、机构、id峰值带来的数据热点问题。 字符串HashCode取模分片 定义 字符串HashCode求模解析（PartitionByStringMod），对分片字段的值进行hashcode()计算并取其绝对值，然后根据配置的分片数量求模得到最终的分片。 特点 数据分布较不均匀。 如果hash算法较差，hash结果存在一定的几率发生碰撞，绝对值计算增加了碰撞的概率。 其余特点同取模分片。 枚举分片 定义 根据配置文件中枚举的具体值（允许非数值）与分片号的对应关系和分片字段的值进行分片，当未找到对应分片时，进入到设定的默认分片。 特点 数据分布的均匀度取决于枚举值对应的记录是否分布均匀。 较好的支持多值、范围的查询。 易于扩容，正常情况下无需数据迁移。 时间范围分片

本文主要简述如何通过控制台添加服务域名。 前提条件 已经订购WAF服务，并且套餐支持的域名数量未超过限制。 域名需要完成ICP备案，才可以接入WAF。 操作步骤说明 1、登录Web应用防火墙（边缘云版）控制台，选择【域名管理】【域名列表】，您可以在该页面查看已添加的域名信息，包括域名、CNAME、状态、创建时间、开启/关闭IPv6访问。单击左上角【新增域名】。 2、您需要填写网站信息、网站安全配置。 在网站信息页面，您需要完成基本信息、源站设置、Https配置及证书上传等，单击【下一步】。 配置项说明： 配置项 说明 域名 填写需要接入WAF的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn1）。域名需要完成ICP备案并且域名需要进行域名归属权校验。 源站 支持IP或域名，支持配置多个源站地址。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购基础版以上版本，通过提交工单，由天翼云客服人工配置。 请求协议 支持选择HTTP和HTTPS，如果是HTTPS协议，需要上传HTTPS证书。添加证书页面如下： 服务端口 http协议默认服务端口为80，https协议默认服务端口为443，专业版和旗舰版支持配置服务特殊端口。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 HTTP回源端口 当源站同时服务多个站点，且回源站点与服务域名不同时，您需要配置回源HOST，天翼云WAF产品在回源时会根据配置的回源HOST信息去访问对应站点。源站和回源HOST的区别： 源站：指您的业务所部署的服务器地址，回源时会访问该服务器地址获取资源。 回源HOST：指全站加速回源请求头携带的回源HOST信息，回源请求会访问回源HOST对应的具体站点。注意事项： 对于普通域名（精准域名），回源HOST默认为加速域名。 对于泛域名，回源HOST默认为实际访问的子域名。例如，泛域名是 .ctyunexample.com1，如果通过example.ctyunexample.com1访问时，回源HOST即为example.ctyunexample.com1。 跟随请求端口回源 如果跟随请求端口回源开关开启，则使用请求服务端口回源。 配置项 说明 3、填写完网站信息，您需要填写网站安全配置。 在网站安全配置页面，您可以根据您实际的业务情况选择问题答案，如果您不想选择，也可以选择单击【跳过】，系统将会默认为您域名开启监控模式。 配置项说明： 配置项 说明 网站防护模式 您可以设置域名全局防护模式。 拦截：仅当防护模式为拦截时，处理动作拦截才能生效。 告警：若防护模式为告警，处理动作拦截会采用告警处理。 漏洞防护配置 天翼云WAF内置多种规则引擎模板，您可以根据您业务情况选择合适的模板。 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注。 填写完安全配置后，单击【提交】，出现添加完成页面。 4、完成新增域名操作后，可通过【域名列表】查看该域名配置是否完成，通过域名的状态字段判断： 当域名状态为“配置中”时，表示域名配置没有完成，正在配置流转中。 当域名状态为“已启用”时，表示域名配置已经完成，您可以通过域名列表获取CNAME，需要将指定域名的DNS解析指向我们提供的CNAME，以确保访问请求能够转发到边缘云节点上，操作步骤参考配置CNAME。 如果您需要需要设置回源白名单，请参考设置回源白名单

本节主要介绍升级HBlock命令。 ./stor upgrade { filename f } file [ archfile PACKAGE & ] [ key VALUE ] 此命令用来升级HBlock。对于集群，只需要在一台服务器上执行升级即可。 说明 免费版仅支持2年内升级。 升级过程中系统会做检查，如果不符合升级条件，可能会导致升级失败，升级失败的原因可以在执行升级操作的服务器上查看日志upgrade.log（日志路径：HBlock安装目录/logs/ops/upgrade.log）。建议升级之前对系统进行检查，确保： 所有状态正常： 所有HBlock服务器连接正常，没有处于删除状态的服务器。 HBlock处于working、upgrading状态。 如果软件许可证是订阅模式，需在有效期内；如果软件许可证是永久许可模式，需在维保期限内；如果处于试用期，需试用期未结束。 集群版：如果卷是高可用类型，至少保证卷的主备连接正常。 没有处于失败或者任务进行中状态的卷。 系统整体数据冗余度不降级，正常数据百分比为100%。并且，可用故障域数量和健康数量大于所有卷的写入需求。 升级监听服务（stor:ua）正常。 协议解析服务（stor:ps）正常。 集群版：数据服务（stor:dsx）正常。 集群版：基础服务正常：元数据管理服务（stor:mdm）、日志服务（stor:ls）、协调服务（stor:cs）。 注意 执行升级HBlock前，确保每个服务器的HBlock安装路径对应的文件系统，存在至少1 GiB的可用空间。

本文为在控制台查看具体某个实例信息的方式介绍。 操作步骤 登录知识库问答管理控制台，在左侧导航栏单击【实例概览】。 【实例概览】页面分成实例简介、常用功能和今日用量概览，用户可通过实例名称切换不同实例。 页面内容 产品简介 在实例简介部分，用户可以找到知识库问答的访问地址，复制该地址即可进入知识库问答产品页。用户也可以通过【开始使用】按钮直接访问知识库问答产品页。 主账号可以通过【退订】按钮在该模块进行产品退订操作。 常用功能 用户可以点击【公共知识库管理】进入知识库管理页面。 注意 仅主账号拥有【公共知识库管理】按钮的权限。 今日用量概览 用户可以查看截止到最近出数时间的今日用量情况，包括智能体调用量、文档解析量和知识库容量。 常见问题 为什么我的【实例概览】页面显示“暂无生效实例”，并且无【开始使用】按钮/【访问地址】信息？ 如果本账号的主账号未成功购买实例或未被邀请加入实例，则会显示“暂无生效实例”，并且页面上没有【开始使用】按钮和【访问地址】信息。请联系主账号以创建实例。

本文介绍使用CDN时，当业务异常时，快速判断是否源站问题的方法。 客户已经启用CDN的情况下，意味着客户已经CNAME到天翼云的一级域名，此时直接访问域名，将会直接访问到CDN节点。如果业务发生异常时，要快速确认是否源站问题，有如下两种方式：一是Windows环境通过修改本地HOSTS文件绑定源站IP实现，二是Linux环境下使用curl指令实现。 方式一：Windows环境通过修改本地HOSTS文件绑定源站ip进行测试验证 用户修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到源站IP，由源站IP进行服务，从而可以通过本地电脑来验证源站的可用性。 方式二：Linux环境使用curl指令进行测试验证 使用curl指令来发起HTTP/HTTPS请求，使用指定参数绑定源站进行测试验证。假设：192.168.1.1为源站IP地址，test.ctyun.cn为加速域名。 源站端口为80时，运行指令：curl voa " x 192.168.1.1:80 源站端口为443时，运行指令：curl voa " resolve test.ctyun.cn:443:192.168.1.1 源站端口为自定义端口时，运行指令：curl voa " x 192.168.1.1:[自定义端口号]

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 实时诊断”。 步骤 6 选择“锁&事务”页签，输入管理员密码登录实例。 步骤 7 在“锁&事务”页签，可以进行如下操作。 在“元数据锁”页签，支持创建锁分析，查看当前数据库是否有元数据锁。 说明 默认显示锁等待时间>10s的锁个数，可自定义锁等待时间。 在“Innodb锁等待”页签，支持创建锁分析，查看当前数据库是否存在锁等待。 说明 默认显示锁等待时间>10s的锁个数，可自定义锁等待时间。 在“最近死锁分析”页签，支持创建锁分析，基于SHOW ENGINE INNODB STATUS返回的最近一次死锁日志进行分析。如果发生过多次死锁，只会对最近一次死锁进行分析。 说明 仅支持查看最近7天创建的锁分析数据。 在“全量死锁分析”页签，打开全量死锁分析开关，定时对错误日志进行分析，解析其中的死锁信息，并进行全面的死锁分析。 说明 仅支持查看最近7天创建的锁分析数据。 结束

类型 限制项 默认配额 备注 数据查询 最大查询时间范围 11000 暂不支持调整 数据查询 单次接口查询超时时间 30秒 暂不支持调整 数据查询 单次查询最多扫描时间线数量 2万 可提交工单申请扩容，扩容不会对之前上报数据生效。 数据查询 单次查询扫描最大数据量 1000万 暂不支持调整 数据查询 单次查询返回的最大数据量 100万 暂不支持调整 数据查询 最大查询QPS 50QPS 暂不支持调整 数据采集和上报 每个数据点最大支持大小 32kB，超过会解析失败 暂不支持调整 数据采集和上报 每个用户最大时间线数量 实际上系统会在到达限额之前为您自动做相关的扩容，因此您无需关注该限制。 数据采集和上报 每次上报请求总数据量大小 不超过1MB（最多一次上报1024个指标，因此理论上不会超过） 不支持调整，超过1 MB数据会被全部丢弃。 数据采集和上报 单指标Label长度限制 Label Key或者Label Value字符串长度不超过256个字符。 不支持调整，超限会被调换为MAXTAGVALUELIMITED 数据采集和上报 单个指标的标签数限制 64个 超出可能会造成数据丢失 数据采集和上报 默认数据保存时长 Prometheus实例 for 云服务默认保存30天，其他类型实例默认保存15天。 您可在控制台自行调整数据存储时长。 数据采集和上报 Agent单副本默认配置（3核4 G）一次最多能采集的数据点数 350万 建议您扩容副本 数据采集和上报 Agent单副本默认配置（3核4 G）最大采集Target数 1000个 建议您扩容副本 数据采集和上报 1个Target 30秒内可以最大可采集的数据点数 60万 建议您扩容副本 数据采集和上报 Agent HPA最大副本数 20 若超限，您可在控制台手动增加副本数。 数据采集和上报 Agent 支持的ACK集群版本 待测 建议您升级Kubernetes版本 告警 告警规则查询返回结果数 500 其他 单集群Recording Rules数量上限 100 超限不限制使用，但是计算可能会有延迟 其他 共享版Grafana每个租户最多能创建的Folder数量 10

本文介绍天翼云AOne会议异常提示相关问题。 为什么会出现“您已在其他设备加入会议，当前设备被移除会议。”的提示？ AOne会议同一账号支持多端登录，但同一个会议仅允许一个设备在线参会。当您已在设备A加入会议，再尝试通过设备B加入同一会议时，设备A会被强制退出，并提示“您已在其他设备加入会议，当前设备被移除会议。”。 为什么会出现“会议已经结束”的提示？ 该提示说明您尝试加入的会议已经结束或被主持人提前结束。建议联系会议创建者确认会议状态。 为什么会出现“会议不存在”的提示？ 该提示通常是因为输入的会议号错误或会议未创建成功。 请核对以下信息： 会议号码是否为有效的9位数字。 确认该会议号是否由AOne会议创建（避免误输其他会议平台的会议号）。 如您确认无误仍无法加入，请联系会议创建者确认会议状态。 为什么会出现“网络质量不佳”的提示？ 此提示表明当前的网络连接不稳定或质量较差，可能影响正常参会体验。请检查您的网络状态是否良好。 为什么会出现403状态吗？ 当您登录AOne会议或尝试加入会议时，出现 403 状态码，通常是由于当前设备的系统时间不准确，与服务器时间存在较大偏差，导致身份认证失败。 解决方法： 开启自动对时： Windows：打开“设置”>“时间和语言”>“日期和时间”，开启“自动设置时间”； macOS：进入“系统设置”>“日期与时间”，勾选“自动设置日期和时间”； Android/iOS：进入“设置”>“日期与时间”，启用“使用网络提供的时间”。 手动同步时间： 如果开启自动同步无效，可尝试点击“立即同步”或手动对时。 重启AOne会议客户端后重新登录或加入会议。 为什么会出现“当前会议人数已达上限”的提示？ 该提示表明会议当前参会人数已达到套餐限制（如：免费版最多10人，标准版最多100人等）。 建议处理： 联系企业管理员了解是否可升级套餐扩容。 稍后尝试再次加入会议，等待已有参会者退出。 请会议主持人、联席会议主持人确认是否移出部分非必要参会人员。 为什么会出现“页面加载失败：ERRNAMENOTRESOLVED(105)”的提示？ 该提示表明DNS域名解析失败，即设备无法将AOne会议的服务器地址解析为IP地址，导致页面无法加载。

本文主要介绍 Ingress概述。 为什么需要Ingress Service基于TCP和UDP协议进行访问转发，为集群提供了四层负载均衡的能力。但是在实际场景中，Service无法满足应用层中存在着大量的HTTP/HTTPS访问需求。因此，Kubernetes集群提供了另一种基于HTTP协议的访问方式——Ingress。 Ingress是Kubernetes集群中一种独立的资源，制定了集群外部访问流量的转发规则。用户可根据域名和路径对转发规则进行自定义，完成对访问流量的细粒度划分。 图 Ingress示意图 下面对Ingress的相关定义进行介绍： Ingress资源：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，通过接口服务实现增、删、改、查的操作。 Ingress Controller：请求转发的执行器，用以实时监控资源对象Ingress、Service、Endpoint、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，解析Ingress定义的规则并负责将请求转发到相应的后端Service。 Ingress Controller在不同厂商之间的实现方式不同，根据负载均衡器种类的不同，可以将其分成ELB型和Nginx型。CCE支持上述两种Ingress Controller类型，其中ELB Ingress Controller基于弹性负载均衡服务（ELB）实现流量转发；而Nginx Ingress Controller使用Kubernetes社区维护的模板与镜像，通过Nginx组件完成流量转发。

关系数据库MySQL版备份类型为对象存储的实例支持下载Binlog日志。您可以下载全量文件和日志文件,用于本地存储备份,然后用于将实例数据恢复到任意时间点、查看执行过的SQL语句来排错等场景。您可以下载单个Binlog备份文件,也可以合并下载Binlog备份文件。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 所创建的实例备份类型为对象存储。 备份策略中Binlog日志备份确认已开启。 日志备份下载 单独下载 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 确认Binlog日志已开启。 1. 单击备份策略页签。 2. 在基础备份策略区域，查看binlog备份为开启。 6. 查看并下载Binlog日志。 1. 单击基础备份列表 页签，然后单击日志备份页签。 在日志备份列表中查看已有的Binlog日志文件。 2. 找到目标日志文件，单击操作 列的下载。 对下载完毕的文件进行解析，可查看相关日志。

导入测试工程 性能测试支持导入性能测试类型和JMeter类型的测试工程。 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”，单击“导入工程”。 2、性能测试工程导入。 3、“工程类型”选择“测试工程”。 4、单击性能测试文件后的“选择文件”，选中json格式的工程文件，单击“导入”。 导入的工程名称不能和性能测试服务中已存在的工程同名，否则导入会失败。 5、JMeter工程导入。 说明 JMeter文件中关键信息请使用性能测试服务支持的字符。 JMeter解析的内容包括： 线程组、HTTP请求、HTTP信息头管理器、正则表达式提取器、用户参数、用户定义的变量、HTTP默认请求值、固定定时器。 暂不支持随机变量。 为保证数据导入的准确性，尽量不要使用重名变量。 JMeter脚本大小不超过5MB。 “工程类型”选择“JMeter工程”。 单击JMeter文件后的“选择文件”，选中jmx格式的工程文件，单击“导入”。 6、工程导入成功后，您可以根据业务需要参照修改和删除测试工程和管理事务请求信息修改测试工程。 查看测试工程 创建完成测试工程后，可以查看已有的测试工程。 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在搜索框输入测试工程名称，可以根据名称搜索测试工程来查看测试工程。 也可以根据下拉框来查看不同范围的测试工程。 全部：展示当前用户权限范围下所有的工程，包括子帐号创建的工程。 该用户下工程：仅展示该用户创建的工程。

操作场景 当您想要为域名增加一条MX解析记录时，可以执行本操作添加记录集。支持为内网域名添加MX类型记录集。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 内网DNS”。 进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。 进入域名列表页面。 4. （可选）如果选择“内网域名”，请单击管理控制台左上角的，选择区域和项目。 5. 在待添加记录集的域名所在行，单击“名称”列的域名名称。 6. 单击“添加记录集”。 系统进入“添加记录集”页面。 7. 设置记录集参数，如下表所示。 表添加MX类型记录集参数说明 参数 参数说明 取值样例 主机记录 域名（后缀无需用户手动填写）。如果输入框未填值，则参数值默认为该域名的名称。 一般为空，不输入值。 类型 记录集的类型，此处为MX类型。 MX – 将域名指向邮件服务器地址 TTL(秒) 记录集的有效缓存时间，以秒为单位。 默认为“5min”，即300s。 值 邮箱服务器信息。格式:[priority] [mail server host name]priority用来指定邮件服务器接收邮件优先顺序，数值越小优先级越高。MX记录值请填写邮件服务商提供给您的域名地址。 10 mailserver.example.com 描述 可选配置，对域名的描述。长度不超过255个字符。 The description of the hostname. 8. 单击“确定”，完成记录集的添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。

本节主要介绍查询灾备进度 灾备进度展示了灾备任务的完成进度，可以帮助您了解灾备完成的情况。 前提条件 已登录数据复制服务控制台。 灾备任务创建成功，并已启动。 操作步骤 步骤 1 在“实时灾备管理”界面，选中指定灾备任务，单击任务名称，进入“基本信息”页面。 步骤 2 单击“灾备进度”页签，查看灾备进度。当数据初始化完成时，显示初始化进度为100%。 您可在“灾备进度”页签下，查看灾备同步时延， 灾备同步时延也可在“实时灾备管理”界面查看，当时延超过用户设置或系统默认的时延阈值时，任务管理界面增量时延显示为红色。 当时延为0s时，表示业务数据库和灾备数据库进入近实时同步状态。 说明 时延 源库当前系统时间 成功同步到目标库的最新一个事务在源库的提交成功时间。 一个事务同步的完整过程如下： 1. 源端数据库的抽取； 2. 经过网络的传输； 3. 由DRS进行日志解析； 4. 最终在目标数据库上的执行完成。 这样完成了事务从源到目标的同步，时延为该事务最后在目标数据库上执行完成时的源库当前系统时间（currenttime）与该事务在源库的提交成功时间（committedtime）的时间差，时延为0代表源和目标瞬时一致，无新的事务需要同步。 注意 长时间未提交事务和频繁DDL操作均可以造成高时延。

@:等特殊字符，避免迁移命令解析出错。 建议停业务迁移。迁移过程中如果不断写入新的数据，可能会丢失少量Key。 步骤1：安装Rump 1. 下载Rump的release版本。 以64位Linux操作系统为例，执行以下命令： wget 3. 解压缩后，添加可执行权限。 mv rump0.0.3linuxamd64 rump; chmod +x rump; 步骤2：迁移数据 rump from { sourceredisaddress } to { targetredisaddress } 参数/选项说明： {sourceredisaddress} 源Redis实例地址，格式为：redis://[user:password@]host:port/db，中括号部分为可选项，实例设置了密码访问时需要填写密码，格式遵循RFC 3986规范。注意用户名可为空，但冒号不能省略，例如redis://:mypassword@192.168.0.45:6379/1。 db为数据库编号，不传则默认为0。 { targetredisaddress } 目标Redis实例地址，格式与from相同。 以下示例表示将本地Redis数据库的第0个DB的数据迁移到192.168.0.153这台Redis数据库中，其中密码以替代显示。 [root@ecs ~] ./rump from redis://127.0.0.1:6379/0 to redis://:@192.168.0.153:6379/0 .Sync done. [root@ecs ~] 不同类型的操作系统间进行数据传递和操作，需要注意什么？ 建议将数据文件格式转换后再执行导入。 windows系统转换成类unix系统的文件格式： dos2unix {filename} 类unix系统转换成windows系统的文件格式： unix2dos {filename}

本节通过身份证识别业务实例，详细介绍业务接入的基本流程和操作方案建议，消除客户业务操作实践困惑，帮助客户快速获得更优的体验。 背景信息 对于首次使用身份证识别业务的用户，如希望快速的解决业务需求问题，可参照本实践案例，通过应用场景、产品功能、前提条件、前期准备、实践步骤等说明，实现业务快速接入。 应用场景 实名认证： 在互联网服务、移动应用中，要求用户进行实名认证以确保安全性。身份证识别可以帮助用户快速识别证件信息，减少手动输入错误。 酒店入住： 酒店需要在客人登记入住时验证身份信息，身份证识别可以提高办理入住手续的效率。 产品功能 身份证信息智能解析API，可高效准确识别正反面身份证图片的内容，并结构化输出姓名、性别、民族、出生日期、住址、身份证号、签发机关、有效期限共8个字段，同时支持返回头像位置及base64编码，帮助您快速获取身份证信息。 实践流程 前提条件 购买身份证识别相关产品，订购流程详情请查看产品购买； 创建身份证识别应用，开通服务流程详情请查看创建应用及开通应用； 查看购买身份证识别产品情况，产品整体情况请查看用户控制台。

本文介绍使用WordPress 应用镜像快速搭建网站 操作场景 WordPress是目前最流行的、最强大的博客和内容管理网站的建站工具，具备使用简单、功能强大、灵活可扩展的特点，提供丰富的主题插件，用户可借助丰富的第三方模板、插件，搭建博客、企业官网、电商、论坛等各类网站。 说明事项 web服务默认通过80端口访问，但由于政策原因，该端口需要备案才能访问，因此轻量型云主机修改端口为6060方便用户进行测试，当用户完成备案后，可修改为80端口。具体操作详见备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 操作步骤 1. 进入轻量型云主机官网详情页，点击立即开通，进入轻量型云主机订购页。 2. 在轻量型云主机订购页，选择对应配置。 地域及可用区。建议选择接近目标客户的地域，以降低网络延迟并提高客户的访问速度。 镜像。选择应用镜像——WordPress。 规格套餐。按需选择规格套餐，包含CPU、内存、数据盘、弹性IP及带宽。 数据盘。按需选择是否要购买数据盘。 密码。可立即创建或稍后创建密码。 购买时长。按需选择订购时长，默认订购时长为1个月。 自动续订。 购买数量。按需选择购买数量，默认购买数量为1台。 3. 单击立即购买。 4. 返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取管理员密码的查询命令。 5. 点击详情页右上角的远程登录按钮，远程登录主机。 6. 登录后先输入主机用户名密码，接着执行密码查询命令，输入完成后按回车键，即可获取 WordPress 管理员账号（admin）和对应的密码。 7. 返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取管理员登录地址。 8. 在浏览器中访问管理员登录地址，输入用户名及密码。用户名为admin，密码为步骤6获取的密码。登录成功后您可根据根据需求使用WordPress进行管理和配置。 9. 此时您的弹性IP已可以访问。返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取首页地址。打开浏览器输入该网址即可访问您的网站。 web服务默认通过80端口访问，但由于政策原因，该端口需要备案才能访问，因此轻量型云主机修改端口为6060方便用户进行测试，当您完成备案后，可修改为80端口。具体操作详见备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 10. 如果想让其他用户可以通过一个易于记忆的域名访问您的网站，您可以选择为您的 WordPress 网站设置一个独立的域名。域名创建及域名解析可见新域名服务。

3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

查询条件 具体含义 必填/选填 应用 调用链所在应用。 必填 区域 调用链所在区域。 必填 组件 调用链所在组件。 选填 环境 调用链所在环境。 选填 实例 调用链所在实例。 选填 URL 调用链的URL，分为Rest URL和Real URL两种搜索条件：Rest URL为restful风格的URL，URL中带有变量名称，如/apm/get/{id}；Real URL为实际访问的URL。 选填 精确 对URL是否精确匹配，开启状态下为精确查询URL，不开启则进行模糊查询。 选填 调用方法 调用链的HttpMethod。 选填 状态码 调用链返回的HTTP状态码。 选填 响应时间 调用链的响应时间范围，可以填写最小响应时间和最大响应时间搜索调用链，两个值都可以为空。 选填 是否异常 调用链是否有异常。 选填 Trace ID 调用链的TraceID，填写该搜索条件后，其他搜索条件全部失效，只根据该TraceID搜索。 选填 自定义参数 已配置url监控项的拦截header指定key值、拦截url参数指定key值、拦截cookie指定key值参数后，在这里可以设置keyvalue进行搜索。 选填 全局Trace ID 调用链的全局TraceID，填写该搜索条件后，其他搜索条件全部失效，只根据该全局TraceID搜索。 选填 应用码 已配置url监控项的业务code采集长度限制、解析业务code的key、业务code的正确值参数后，会采集响应的应用码，这这里可以根据应用码进行搜索。 选填

本章节主要介绍调试Flink作业。 调试作业功能可以帮助用户在正式运行作业前，检测用户编写的SQL语句逻辑的正确性。 说明 目前只有Flink SQL作业支持本功能。 作业调试功能只用于验证SQL逻辑，不会有数据写入操作。 调试作业步骤 1.在DLI管理控制台的左侧导航栏中，单击“作业管理”>“Flink作业”，进入“Flink作业”页面。 2.在已创建的Flink SQL作业“操作”列中，单击“编辑”，进入Flink SQL作业编辑页面。 如果是正在创建的新作业，可直接在“编辑”页面中，对作业进行调试。 3.单击“编辑”页面的“调试”，对已经编辑好的SQL语句进行解析。“编辑”页面右侧自动跳转到“调试参数”页签。 “调试结果转储地址”：选择OBS桶用于保存调试日志，如果选择未授权的桶，单击“OBS授权”进行授权。 “数据输入方式”：可选择保存在OBS桶中的CSV数据，也可手动录入。 −选择“OBS（CSV）”方式 用户将OBS服务作为数据源，需要与OBS服务对接，在使用DLI服务前，需要先准备OBS数据，具体请参见准备Flink作业数据。OBS方式的数据输入格式为CSV，以换行分隔多条记录，以逗号分隔单条记录中不同字段。同时，用户需要选择OBS中具体的对象作为输入源数据。 −选择“手动录入”方式 用户编写SQL语句作为数据源。手动录入方式需要填写单条记录的每一个字段值。 4.单击“开始调试”，调试完毕会弹出“调试结果”页面。 如果调试结果符合预期，说明作业可以正常运行。 如果调试结果不符合预期，说明作业业务逻辑可能存在问题，请修改SQL语句后再重新调试。

本节主要介绍步骤二：查询灾备进度 灾备进度展示了灾备任务的完成进度，可以帮助您了解灾备完成的情况。 前提条件 已登录数据复制服务控制台。 灾备任务创建成功，并已启动。 操作步骤 步骤 1在“实时灾备管理”界面，选中指定灾备任务，单击任务名称，进入“基本信息”页面。 步骤 2单击“灾备进度”页签，查看灾备进度。当数据初始化完成时，显示初始化进度为100%。 您可在“灾备进度”页签下，查看灾备同步时延， 灾备同步时延也可在“实时灾备管理”界面查看，当时延超过用户设置或系统默认的时延阈值时，任务管理界面增量时延显示为红色。 当时延为0s时，表示业务数据库和灾备数据库进入近实时同步状态。 说明 时延 源库当前系统时间 成功同步到目标库的最新一个事务在源库的提交成功时间。 一个事务同步的完整过程如下： 1.源端数据库的抽取； 2.经过网络的传输； 3.由DRS进行日志解析； 4.最终在目标数据库上的执行完成。 这样完成了事务从源到目标的同步，时延为该事务最后在目标数据库上执行完成时的源库当前系统时间（currenttime）与该事务在源库的提交成功时间（committedtime）的时间差，时延为0代表源和目标瞬时一致，无新的事务需要同步。 注意 长时间未提交事务和频繁DDL操作均可以造成高时延。

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server存在缓冲区溢出漏洞，由于 modlua 解析 multipart 内容时可能出现缓冲区溢出，攻击者利用该漏洞可通过精心设计的HTTP请求进行缓冲区溢出攻击。 基本信息 · CVE编号：CVE202144790 · 漏洞类型：命令执行 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.51 · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20211220 · 风险特征：远程利用 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.52 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.4，则漏洞修复命令为 sudo yum update y httpd

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

策略1:Bot爬虫防护 AOne具备多层级的Bot爬虫防护能力，避免恶意爬虫大量下载网站资源。 配置爬虫情报策略 边缘安全加速平台安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。您可参考配置指引：设置爬虫情报规则 配置针对客户端IP、地域、UA等精细化的访问控制 您可以使用访问控制功能针对指定的IP地址，IP段或者地区来源的访问请求进行封禁。AOne支持10余种粒度组合配置精细化的访问控制策略。您可参考配置指引：设置访问控制 配置人机识别策略 提供的人机识别模块支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地拦截爬虫流量，保障网站业务安全。您可参考配置指引：设置人机识别 配置爬虫陷阱 在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。。您可参考配置指引：设置爬虫陷阱

如果您需要对敏感SQL进行拦截，避免因高风险操作导致数据库故障，建议您开启SQL拦截功能并添加相关拦截SQL语句。本文介绍关系数据库MySQL版的SQL拦截功能。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 2024年1月18号后新开通的关系数据库MySQL版实例才支持SQL拦截功能。 实例状态为运行中 。 说明 SQL拦截功能因资源池上线时间不一致，所以会出现个别数据库实例不支持SQL拦截功能，具体以页面返回为准。 SQL拦截功能主要针对表数据查询/变更类型的sql进行按规则拦截，对于show database、show tables...等非表数据查询/变更，规则添加正常，但不会拦截此类语句。 规则是否能够成功添加以查询到的结果为准，由于MySQL中SQL解析影响，尽量不要在拦截规则中的变量添加控制字符。 拦截规则中的变量是指可被替换的部分，例如 INSERT INTO TABLENAME VALUES ("???")，其中???就是变量。如果在变量中添加控制字符，可能造成添加规则失效。 如果存在主从（包含只读实例）延迟，则可能会存在短暂时间（延迟时间+sql拦截生效时间）内，从节点无法拦截sql语句的情况。可以通过界面同步拦截按钮同步后实现拦截。

本小节介绍Web应用防火墙知识类常见问题。 什么是Web应用防火墙？ Web 应用防火墙（Web Application Firewall，简称WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用。 什么是CC攻击？ CC是一个应用层的DDoS，是发生在TCP3次握手已经完成之后，所以发送的IP都是真实的。CC攻击的原理很简单，就是对一些消耗资源较大的应用页面不断地发起正常的请求，以达到消耗服务端资源的目的，在Web应用中，查询数据库、读写硬盘文件的操作，相对都会消耗比较多的资源。一个简单的例子，一个小的网站，可能被搜索引擎、信息收集等系统的爬虫爬死，或者是扫描器扫死，这与应用层的DDoS攻击的结果很像。 使用Web应用防火墙会影响用户的网页备案吗？ 不会，Web应用防火墙的本质是一种网站在线加速和防护服务，没有影响用户网站所在的机房。和传统CDN类似，使用CDN会改变网站的解析IP，但是并不会影响网站的备案。 Web应用防火墙需要关注哪些问题？ Web应用防火墙防护需要注意确保DNS牵引的正确性。面向的客户为采用天翼云主机作为网站服务的客户，客户购买服务前提必须提供正确的网站域名。

内存隔离 Hypervisor通过内存虚拟化技术来实现不同虚拟机之间的内存隔离，使每个虚拟机都拥有独立的内存空间，相互之间不受影响。 相较于传统OS两层内存地址映射（“虚拟地址”到“机器地址”），内存虚拟化的核心在于引入一层新的地址空间，叫做Guest物理地址空间。Hypervisor负责管理和分配每个虚拟机的物理内存，虚拟机操作系统看到的是一个虚构的Guest物理地址空间，其指令的目标地址也是一个Guest物理地址。这样的地址在无虚拟化的情况下，其实就是实际的物理地址，但是在虚拟化场景下，这样的地址是不能直接发送到系统总线上去，需要进行正确的转换后才能交由物理处理器执行。虚拟机内部访问内存时，正确的三层地址转换的逻辑是：虚拟机负责将“Guest虚拟地址”映射为“Guest物理地址”，然后Hypervisor负责将“Guest物理地址”映射成“机器地址”。 Hypervisor的这种地址转换机制，保证了虚拟机无法直接接触实际的机器地址，只能访问Hypervisor分配给它的物理内存。 I/O隔离 物理机外设资源是有限的，为了满足多个虚拟机操作系统的需求，Hypervisor通过I/O虚拟化的方式来复用有限的外设资源。Hypervisor拦截虚拟机操作系统对设备的访问请求，然后通过软件的方式来模拟真实设备的效果。从处理器的角度看，外设是通过一组I/O资源（I/O端口或MMIO）来进行访问的，所以设备相关的虚拟化又被称为I/O虚拟化。 Hypervisor采用分离设备模型实现I/O的虚拟化。前端负责将虚拟机的I/O请求传递到Hypervisor中的后端，后端解析I/O请求并提交给相应的设备完成I/O操作。Hypervisor保证虚拟机只能访问分配给它的I/O资源。