6.3 运行报错：「no CUDAcapable device is detected」 原因：NVIDIA 驱动未安装、驱动版本过低，或显卡不支持 CUDA。 解决方案： 1. 执行 nvidiasmi 检查驱动是否正常加载，若提示「command not found」需重新安装驱动。 2. 确认显卡型号在 CUDA 兼容列表 中。 3. 若使用虚拟机，需开启「GPU 直通」或「虚拟化 GPU」功能。 6.4 CMake 生成失败：「Could not find CUDA」 原因：CMake 未找到 CUDA Toolkit 安装路径。 解决方案： 编译时指定 CUDA 路径： plaintext $ cmake .. DCMAKEBUILDTYPERelease DCMAKECUDACOMPILER/usr/local/cuda[版本号]/bin/nvcc 七、扩展说明 7.1 Samples 目录结构解析 CUDA Samples 按功能分类，核心目录说明： 0Simple：基础示例（向量加法、矩阵乘法等，入门首选）。 1Utilities：工具类示例（设备查询、性能计时等）。 2Graphics：图形渲染相关示例（结合 OpenGL、DirectX）。 3Imaging：图像处理示例（卷积、直方图等）。 4Finance：金融领域示例（蒙特卡洛模拟等）。 5DL：深度学习加速示例（结合 cuDNN、TensorRT）。 7.2 自定义编译选项 指定 CUDA 架构：（如针对 Ampere 架构）： plaintext CUDA 12.4/12.8 通用 $ make NVCCFLAGS"archsm86" Make 编译 $ cmake .. DCMAKECUDAARCHITECTURES86 CMake 编译 版本差异说明： CUDA 12.8 相比 12.4 增加了对新显卡架构的支持，部分 Samples（如 5DL 目录下）需依赖更高版本的 cuDNN/TensorRT。 编译前务必参考对应版本的 README.md，例如： plaintext 查看当前版本 Samples 的编译说明 $ cat /usr/local/cuda12.4/samples/README.md CentOS $ cat /usr/local/cuda12.8/samples/README.md Rocky 八、参考资源 NVIDIA CUDA Samples 官方文档 CUDA Toolkit 下载页面 CUDA C++ 编程指南 CMake CUDA 编译指南

本小节介绍态势感知操作类常见问题。 为什么检测口没有流量？ 1. 确认在虚拟网关已经进行了镜像，且能看到流量。 2. 确认接入系统的端口是设置了检测口。 3. 确认thinkflow组件是否正常运行。 4. 查看thinkflow日志。 5. 根据日志信息再进一步排障。 为什么威胁检测没有数据？ 1. 确认检测口是否有数据。 2. 确认知识库是否正常加载。 为什么国家信誉库没有同步？ 1. 确认同步开关是否开启。 2. 确认同步配置是否设置正确。 3. 确认与国家信誉库平台连接是否正常。 告警通知邮箱的接收人在哪里修改？ 进入系统管理中的邮箱配置页面，可以对接收人进行修改。 资产信息如何收集？ 支持三种方式的资产收集： 主动扫描，可以通过端口扫描、协议识别自动获取资产的开放端口、协议、操作系统、厂商品牌、组件等信息。 被动发现，通过对流量分析自动发现存活资产及操作系统。 手工添加，添加资产及相关信息。 为什么某些资产不能识别提取操作系统类型或MAC地址？ 操作系统与MAC识别分为主动探测与被动发现两种方式： 主动探测：通过向被测主机主动发送探测包，根据返回数据包的特征判断操作系统类型，部分返回数据包中没有明显特征，无法统合判断出操作系统类型，因此部分资产无法探测发现操作系统类型；对于MAC地址识别，在跨三层网络情况下，数据包中的MAC并非资产的真实MAC地址，因此这种情况下无法识别资产MAC地址。 被动发现：通过流量中所带有的规则来匹配操作系统类型，在资产没有发出相关流量数据包，或所发流量数据包中没有操作系统识别特征的情况下，暂时无法识别操作系统类型；对于MAC地址识别，由于跨三层问题，被动流量识别通常只能解析ARP数据包获得真实MAC地址，对于不同的网络配置，部分资产可以通过NETBIOS协议识别出MAC地址。

本小节主要介绍RDSPostgreSQL实例的导入参数操作。 操作场景 您可以下载默认的参数模板文件，在本地填写您需要修改的部分参数后，通过文件方式批量导入内核参数到当前实例，参数校验后应用生效。 注意事项 导入实例的内核参数，需要连接实例，请确认当前实例状态处于“运行中”的正常状态。 需在参数模板下载界面下载导入模板文件，按照格式填写修改的内核参数。 请您导入参数前，确认修改内核参数是否正确，不合理的内核参数将导致实例运行风险。 可导入的参数名称请参考在“参数设置”界面的参数列表，不在参数列表内的内核参数不支持开放导入和修改。 参数导入文件一次性支持最大数量为300个。 操作步骤 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在"实例管理"页面，选择实例列表第一列"实例名称/实例ID"，点击指定的实例，进入并选择"参数设置"。 6. 在"参数设置"页面，点击"导入参数"按钮，在提示界面点击“下载导入模板”按钮下载模板文件。 7. 在本地确认修改的模板文件内容无误后，点击“点击上传”按钮上传文件。 8. 管理控制台解析上传文件内容后，返回校验结果，若不通过，请下载“明细”文件后按照提示修复。 9. 校验结果通过后，即可点击“确认”按钮进行参数导入和应用，其中部分参数涉及实例重启，请确认“重启”。 10. 等待管理控制台应用参数成功后，可以在“参看参数修改历史”界面查看参数生效结果。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本文主要介绍日志收集系统Flume接入Kafka。 最佳实践概述 场景描述 使用Flume+Kafka来完成实时流式日志处理，后面再连接上Storm/Spark Streaming等流式实时处理技术，从而完成日志实时解析的目标。如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，可以把它理解为一个数据库，可以存放一段时间的数据。 因此数据从数据源（ HTTP、Log 文件、JMS、监听端口数据等）到flume再到Kafka进行消息缓存，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。 技术架构图 暂无。 方案优势 把数据存储到 HDFS 或者 HBase 等下游存储模块或者计算模块时需要考虑各种复杂的场景，例如并发写入的量以及系统承载压力、网络延迟等问题。Flume 作为灵活的分布式系统具有多种接口，同时提供可定制化的管道。在生产处理环节中，当生产与处理速度不一致时，Kafka 可以充当缓存角色。Kafka 拥有 partition 结构以及采用 append 追加数据，使 Kafka 具有优秀的吞吐能力；同时其拥有 replication 结构，使 Kafka 具有很高的容错性。所以将 Flume 和 Kafka 结合起来，可以满足生产环境中绝大多数要求。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 确认准备 Apache Flume环境（1.6.0以上版本兼容 Kafka）。 确认 Kafka 的 Source、 Sink 组件已经在 Flume 中。 资源规划 本实践方案内容仅涉及Kafka专享版实例。 分布式消息服务 Figure 1 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 方案正文

域名解析 配置成功后，防护配置的状态变为“防护中”。 之后客户可以进行域名解析： 如域名：www.ctyun.com，需要客户联系DNS服务商将域名解析指向CNAME：www.ctyun.com.iname.damddos.com 即：源域名+.iname.damddos.com，DNS牵引指向CNAME后，Web应用防火墙防护正式完成配置。

值 含义 WAFNONE 没有触发策略 WAFBOTHIC 人机挑战 WAFBOTTRAP 爬虫陷阱 WAFBOTCLASS 黑白BOT WAFBOTIDC 数据中心IP WAFBOTSC 静态客户端标识异常 WAFBOTJC 跳转挑战标识异常 WAFBOTTL 爬虫超阈值 WAFBOTDPT 客户端标识解析失败 WAFBOTMIS 客户端标识缺失 WAFBOTNONE 无客户端标识 WAFBOTCAL 节点资源变化异常 WAFBOTSIG 自动化工具识别 WAFBOTSOURCEMAPPING 防调试源映射检测 WAFBOTTIMEDEBUGGER 防调试时间差检测 WAFTCB 威胁管控 WAFATTCL 攻击挑战 WAFWEBSOCKETHIJACK websocket劫持 WAFMINERPROTECT 恶意挖矿防护 WAFXXE XXE WAFTF 第三方框架漏洞 WAFSQU SQUID WAFCOMI 命令注入 WAFWS WEBSHELL WAFINC 文件包含 WAFSCAN 扫描器 WAFRES 服务端回显 WAFSIL 敏感信息泄露 WAFXSS 跨站脚本攻击 WAFSQLI 数据库注入 WAFCOOKIEPROTECT Cookie防护 WAFCSRFDEFENCE CSRF防护 WAFBATCHREGISTERPROTECT 防批量注册 WAFACB 访问控制 WAFRATELIMIT 访问限速 WAFCOMPLIANCECHECK 合规检测 WAFBASEHIT 撞库防护 WAFADPROTECT 广告防护 WAFBRUTEFORCEPROTECT 防暴力破解 WAFSENSITIVEINFORMATIONFILTER 敏感词防护 WAFACW waf加白白名单 WAFOFL 离线分析 WAFCCX Web应用防火墙CC攻击字段为WAFCCX WAFCUSTOMIZE 全站指定响应资源，设置访问日志标记位为 WAFCUSTOMIZE WAFSPECIALCHAR 特殊字符识别 WAFTIP IP情报 WAFSCN 扫描器识别 WAFTPP 网页防篡改

本文介绍基础配置所涉及的配置，包括：验证域名归属权、选定加速类型、选定加速区域、IPv6开关。 概述 添加加速域名、验证域名归属权、选定合适的加速类型、选定正确的加速区域，是您使用天翼云全站加速服务最基础且关键的一步。 功能简介 功能 说明 对应说明文档 域名名称 1.即加速域名，为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 添加加速域名 验证域名归属权 CNAME 完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向CNAME域名，这样该域名所有的请求才会转向天翼云的节点，实现加速的目的。 配置CNAME 域名状态 状态分类：已启用、配置中、已停用。 1.当域名状态为【已启用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【编辑】、【更多】【停用】操作。 2.当域名状态为【配置中】时，可以在【域名管理>域名列表】对域名配置进行【查看】操作。 3.当域名状态为【已停止】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【启用】操作。 —— 加速类型 依据业务特性，选取合适的加速类型。 加速类型 加速区域 切换加速区域，变更全站加速的服务范围。 加速区域 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 域名类型 创建时间 显示该域名在平台首次创建成功的时间。 —— IPv6配置 开启IPv6功能后，您可以在客户端通过IPv6协议访问全站加速节点。 IPv6配置

高频Web攻击场景 您可以配置攻击挑战策略，针对短时间内发起高频大量web攻击（触发规则防护）的客户端ip，阻止该IP一段时间内的所有请求。使用该策略可以快速拦截恶意攻击Web的IP，快速应对恶意扫描、Web攻击威胁，提高攻防对抗效率。详情见：攻击挑战。 Web页面可能被嵌入危险信息和不良广告 Web页面可能因为服务器被入侵，流量被劫持等原因导致正常客户的web页面中嵌入危险信息，或者其他不良的内容等。遇到这种场景，您可以配置广告防护，WAF可以解析源站响应页面代码，在body中插入广告监测的javaScript代码，实现广告和监测功能。同时也可以配置外链白名单，当请求资源来自白名单时，不会进行广告处理允许正常显示。详情见：广告防护。 Bot爬虫防护 当您的域名存在爬虫问题时，可以通过工单申请开通Bot防护配置，可以提供更加针对性的防护策略来保护您的网站免受爬虫问题困扰。 严格防护模式 当您的业务需要严格的安全防护模式，不管任何请求进来时宁可被误拦截，也不允许进入系统内部时。您可以在域名新增的时候选择拦截模式，同时选择漏洞防护集合和全量防护规则集合。也可以在控制台的“域名列表>安全防护>安全基础配置”页面配置选择全量防护规则集并开启拦截防护。同时可根据业务、流量特征信息，配置高级防护、访问控制、CC配置等其他特殊的防护配置内容，如：您的域名只允许国内访问，则可以通过访问控制，封禁海外IP内容，只允许国内IP进行访问。使用严格防护模式的配置策略后，可能会产生大量误报内容，您可以通过分析攻击日志信息，利用加白、配置规则等方式对可信任的请求进行放行减少误报的情况。

导入向量数据 执行如下命令，导入向量数据。向“myindex”索引中写入向量数据时，需要指定向量字段名称和向量数据。 向量数据输入格式为逗号分隔的浮点型数组时： POST myindex/doc { "myvector": [1.0, 2.0] } 向量数据输入格式为小端字节序编码的Base64字符串时： 在向量维度较高、数值有效位较多时，使用Base64编码格式传输、解析更加高效。 POST myindex/doc { "myvector": "AACAPwAAAEA" } 当写入大规模数据时，建议使用Bulk操作： POST myindex/bulk {"index": {}} {"myvector": [1.0, 2.0], "mylabel": "red"} {"index": {}} {"myvector": [2.0, 2.0], "mylabel": "green"} {"index": {}} {"myvector": [2.0, 3.0], "mylabel": "red"} 集群高级配置 在离线导入数据场景下，为了提高批量写入性能，建议将索引的refreshinterval参数设置为1，即关闭自动刷新索引。 建议将备份数numberofreplicas设置为0，当离线数据导入完成后，再设置为需要的值。 其他高级功能的参数配置说明： 参数 说明 native.cache.circuitbreaker.enabled 是否开启堆外内存熔断。 默认值：true native.cache.circuitbreaker.cpu.limit 向量索引堆外内存使用上限。 假设使用128GB内存的机器且堆内存大小为31GB，默认堆外内存使用上限为(128 31) 45% 43.65GB，堆外内存使用量超过该值将会触发写入熔断。 默认值：45% native.cache.expire.enabled 是否开启缓存超时设置。开启时，如果某些缓存项长时间没有被访问过将会被清除。 取值范围：true、false 默认值：false native.cache.expire.time 超时时长。 默认值：24h native.vector.indexthreads 创建底层索引时所使用的线程数，每个shard均会使用多个构建线程。该值建议不要设置过大，避免产生过多的构建线程抢占查询资源。 默认值：4

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

Windows操作系统使用WinMTR工具介绍 1. 登录Windows云主机，WinMTR需要访问公网下载，因此请确认云主机可访问公网。 2. 请您通过浏览器寻找正规途径搜索并下载WinMTR软件包。此软件无需安装，解压即可运行。 3. 双击WinMTR.exe，运行WinMTR。 4. 在WinMTR窗口的Host处，输入目的地址，可以为IP地址或者域名。完成后单击“Start”。 5. 根据链路情况不同，运行时间不同，如果一段时间未运行完成可单击“Stop”以结束测试。结果如下图所示。 测试结果的主要信息如下： 1. 第一列Hostname：到目的地址经过的每个节点IP或域名。 2. 第二列Nr：经过的节点数量。 3. 第三列Loss%：对应节点的丢包率。 4. 第四列Sent：已发送的数据包数量。 5. 第五列Recv：已接收到的响应数量。 6. 第六列Best：最短响应时间。 7. 第七列Avrg：平均响应时间。 8. 第八列Worst：最长响应时间。 9. 第九列Last：最近一次响应时间。 Linux操作系统MTR介绍和使用 1. 您可以执行以下命令进行安装MTR，安装前请确保您的云主机可访问公网。如果已安装可跳过此步骤。 1. CentOS 操作系统执行以下命令安装： plaintext yum install mtr 2. Ubuntu 操作系统执行以下命令安装： plaintext sudo aptget install mtr 2. MTR相关参数说明，请根据您的实际情况选择参数使用： h/help：显示帮助菜单。 v/version：显示MTR版本信息。 r/report：结果以报告形式输出。 p/split：与 report相对，分别列出每次追踪的结果。 c/reportcycles：指定每次探测发送的数据包数量，默认值是10。 s/psize：设置数据包的大小。 n/nodns：不对IP地址做域名解析。 a/address：用户设置发送数据包的IP地址，主要用户单一主机多个IP地址的场景。 4：IPv4。 6：IPv6。 3. 以本机到目的地址www.ctyun.cn为例，执行以下命令，以报告形式输出MTR的诊断结果。 plaintext mtr www.ctyun.cn report 回显信息如下： 主要输出的信息如下： 1. 第一列HOST：到目的地址经过的每个节点IP或域名。 2. 第二列Loss%：对应节点的丢包率。 3. 第三列Snt：已发送的数据包数量。 4. 第四列Last：最近一次响应时间。 5. 第五列Avg：平均响应时间。 6. 第六列Best：最短响应时间。 7. 第七列Wrst：最长响应时间。 8. 第八列StDev：标准偏差。偏差值越高，说明各个数据包在该节点的响应时间相差越大。

本章节主要介绍集群绑定和解绑ELB。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接时，利用域名解析的轮询特点，可以解决此问题。但内网域名仅限内网使用，使用公网域名访问时，还是存在CN单点问题，同时当前也不能在CN故障时进行请求转发，因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB），解决集群访问的单点问题。 弹性负载均衡（ELB）是将访问流量根据转发策略分发到后端多台弹性云主机的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。了解更多，请参见：弹性负载均衡用户指南。 利用ELB健康检查机制可将集群的CN请求快速转发到正常工作的CN节点上，当有CN故障节点时，也能第一时间切换流量到健康节点上，最大化降低集群访问故障。 当前支持两种类型的ELB操作，如下： 绑定ELB 解绑ELB 说明 该特性仅8.1.1.200及以上集群版本支持。 为保证集群负载均衡和高可用，避免CN单点故障问题，客户生产业务下，要求集群创建后进行ELB绑定。

功能集 功能 功能描述 应用生命周期管理 创建/部署/更新/查看/启动/停止/删除应用 创建/部署/更新/查看/启动/停止/删除应用。 高级设置 设置启动命令 CAE 会根据预设的启动参数来启动容器 高级设置 设置环境变量 应用在系统中运行更需要配置特定的环境变量 高级设置 设置 Hosts 绑定 CAE 支持应用级别的实例，通过绑定 Hosts 对主机名进行解析，方便应用实例通过主机名进行访问 高级设置 设置持久化日志 CAE 集成了云日志服务的日志收集功能，支持将业务文件日志（容器内日志文件）、容器标准输出日志（stdio）无限制行数地收集至 ALS，便于您聚合分析。 高级设置 设置 NAS 存储 将 NAS 挂载至 CAE 应用实例，可以有效解决应用数据地持久化存储需求，并实现应用实例之间地数据共享 高级设置 设置 OSS 存储 OSS 适用于读多写少地场景，例如挂载配置文件或者前端静态文件等 高级设置 设置应用生命周期管理 如果您精通 K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理 高级设置 设置配置项 配置项能够将环境配置信息和容器镜像解耦，方便您修改应用配置 配置管理 配置项（ConfigMap） 配置项是一种存储应用所需配置信息地资源类型，它可以作为容器运行环境中的环境变量，便于应用部署后灵活变更容器配置，也可以通过挂载配置文件的方式向容器中注入配置信息 配置管理 保密字典（Secret） 保密字典是一种用于存储和管理密钥、证书等敏感信息的资源类型。为避免敏感数据暴露到镜像或应用与任务部署参数中，推荐您使用 CAE 命名空间级别的保密字典 弹性管理 手动扩缩 在应用的实例负载过高时以手动方式添加新应用实例，在应用闲置时减少应用实例，能够高效利用应用资源、降低成本 弹性管理 自动扩缩 在分布式应用管理中，弹性伸缩能够感知应用内各个实例的状态，并根据实例状态自动增加或减少实例数量，即扩容或缩容 版本管理 版本回退 应用修改配置并部署后，会自动生成一个基于时间点的应用版本，您可以查看对应时间点应用版本的配置，也可以操作版本回退到指定时间点的应用版本 应用访问 基于 ELB 实现应用公网及私网访问 在 CAE 中部署应用后，可以通过添加公网 ELB 实现公网访问应用，也可以添加私网 ELB 实现同 VPC 内私网访问应用 注册中心 CAE 内置注册中心 CAE 为用户提供免费的内置 Nacos 注册中心，在无需购买或自建注册中心的情况下即可部署微服务应用到 CAE 平台 注册中心 自建 Nacos 注册中心 CAE 支持使用自建 Nacos 注册中心实现服务的注册与发现功能 微服务治理 无损上线 在应用启动过程中，无损上线为应用提供服务延迟注册、服务就绪检查和服务小流量预热的保护能力 微服务治理 无损下线 在应用执行部署、停止、回滚、缩容和重置时，通过无损下线来保证应用正常关闭 微服务治理 金丝雀灰度 对于部署在 CAE 的 Spring Cloud 或 Dubbo 微服务应用，为了确保升级操作的安全性，您可以通过启用灰度发布（即金丝雀发布）的灰度规则进行小规模验证，验证通过后再全量升级 微服务治理 限流降级 CAE 支持使用微服务引擎 MSE 实现应用的限流降级，全面保障应用的可用性 运维管理 基础监控 CAE 对应用所运行设备的 CPU、负载、内存、网络和磁盘进行数据采集与分析，并以动态图的方式展示，方便实时、直观地了解应用所运行设备地状态 运维管理 应用监控 CAE 为多种语言和框架提供无侵入的应用监控能力 运维管理 一键启停 CAE 为应用提供了一键启停按钮，方便用户进行运维操作，同时还支持批量启停操作

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Cookie防护功能。 功能介绍 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防止敏感信息泄露以及防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫。 注意 通过浏览器本地设置的Cookie，不适用该防护方式。边缘安全加速平台安全与加速服务防护的Cookie经过代理服务器设置修改，无法对浏览器通过js设置修改的Cookie操作。 背景信息 一些利用Cookie的攻击行为 Cookie盗用攻击 黑客等待合法用户登录系统之后，从合法用户浏览器中拿到名字为JSESSIONID的Cookie，将其放入黑客自己的浏览器的Cookie中，当黑客带着盗窃来的JSESSIONID访问系统时，后端系统会根据JSESSIONID找到对应的session，将该次请求当成是认证通过的用户发送的请求，如此黑客便可以客户的身份完成一系列敏感操作。 Cookie篡改攻击 当Cookie内容明文存储时，Cookie信息存在泄露风险。例如：Cookie内明文存储用户权限，当黑客篡改权限值，且服务端未重新校验Cookie当中的用户权限是否合法时，黑客将获得一系列提权操作。 Cookie信息泄露 Cookies内容存储含有用户密码，手机号，地址等信息时，Cookie一旦泄露，黑客将获取到客户敏感身份信息。 Cookie防护工作原理 Cookie加密 Cookie加密：针对Cookie信息当中存在明文数据或可修改内容进行加密，通过反向代理服务器将Cookie值进行替换，客户端获取到的将为加密数据信息，无法进行修改。客户请求经过代理服务器时，对应Cookie值会进行解密，明文传输给源站，保证源站无切换感知。 注意：Cookie内容通过浏览器解析后需要展示在客户端时，请勿使用Cookie加密和HTTP Only选项，会导致浏览器无法识别原始Cookie内容、js服务读取Cookie值。

本节主要介绍查询同步进度 时同步进度展示了同步过程中，任务的表同步进度，DRS通过流式进度展示，可以帮助您实时了解同步完成的情况。 在全量同步过程中，DRS展示进度总览，您可以查看结构、数据、索引迁移的进度，当显示为100%时，表示该项同步完成。过程中，数据和索引的同步相对较慢。 在增量同步过程中，DRS展示增量时延，可通过时延大小判断源和目标同步情况，时延为0代表源和目标瞬时一致，无新的事务需要同步。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时同步管理”界面，选中指定同步任务，单击任务名称，进入“基本信息”页面。 步骤 2 单击“同步进度”页签，查看表同步进度。 当全量同步完成时，显示全量已完成100%。 当全量同步完成后，开始进行增量同步，可在“同步进度”页签下，查看增量同步时延。 增量时延也可在“实时同步管理”界面查看，当增量时延超过用户设置或系统默认的时延阈值时，任务管理界面增量时延显示为红色。 当时延为0s时，说明源数据库和目标数据库的数据是实时同步的。 说明 时延 源库当前系统时间 成功同步到目标库的最新一个事务在源库的提交成功时间。 一个事务同步的完整过程如下： 1. 源端数据库的抽取； 2. 经过网络的传输； 3. 由DRS进行日志解析； 4. 最终在目标数据库上的执行完成。 这样完成了事务从源到目标的同步，时延为该事务最后在目标数据库上执行完成时的源库当前系统时间（currenttime）与该事务在源库的提交成功时间（committedtime）的时间差，时延为0代表源和目标瞬时一致，无新的事务需要同步。 注意 长时间未提交事务和频繁DDL操作均可以造成高时延。

本文简述传递用户IP回源功能的原理和配置方法。 功能介绍 使用边缘接入服务IP应用加速后，源站获取到的客户端IP会变为应用加速回源节点的IP。如果源站需要获取真实的客户端IP地址，有两种方式： proxyprotocol（简称PP），对内核无要求，需要源站进行修改，解析对应的文本字符串以获取真实的客户端IP。目前，Nginx和HAProxy已经支持，因此Nginx和HAProxy源站推荐使用该方式获取客户端IP。proxyprotocol的v1版本仅支持TCP协议，v2版本同时支持TCP和UDP协议。 tcpoption传递用户IP回源的方式，该方式仅适用于TCP协议。选择该方式时，Linux系统源站需要安装我们提供的toa内核模块来获取真实客户端地址，该方式无需源站进行修改即可获取到真实的客户端IP；Windows系统源站不支持tcpoption传递用户IP回源方式。 配置说明 新增域名，配置传递用户IP回源步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 点击左上角【新增接入】。 4. 找到传递用户IP回源模块，打开开关。 5. 选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。 编辑域名，配置传递用户IP回源步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击详情，点击右下角编辑配置，编辑目标域名/实例。 4. 找到传递用户IP回源模块，打开或者关闭开关；打开时需选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。

执行计划查看 在文档数据库服务中，可以使用explain()方法来查看查询执行计划，了解查询语句的性能和索引使用情况。执行explain()方法后，文档数据库服务会返回一个文档，其中包含了查询执行的详细信息。 以下是在文档数据库服务中查看执行计划的步骤： 1. 执行查询语句：首先需要执行要查看执行计划的查询语句，例如： db.collection.find({field: "value"}) 2. 执行explain()方法：在查询语句之后加上explain()方法，例如： db.collection.find({field: "value"}).explain() 3. 查看执行计划：执行explain()方法后，文档数据库服务会返回一个文档，其中包含了查询执行的详细信息。可以查看文档中的queryPlanner字段、executionStats字段和serverInfo字段，了解查询的执行计划、查询的性能和索引使用情况等信息。例如： { "queryPlanner" : {...}, "executionStats" : {...}, "serverInfo" : {...} } 在执行计划文档中，常见的字段和属性包括： queryPlanner: 查询计划器，表示文档数据库服务是如何执行查询的。 executionStats: 执行统计，表示查询的执行情况和性能。 winningPlan: 最优查询计划，表示文档数据库服务选择的最优查询计划。 rejectedPlans: 拒绝的查询计划，表示文档数据库服务拒绝的查询计划。 totalKeysExamined: 索引扫描的次数，表示查询过程中扫描的索引数量。 totalDocsExamined: 文档扫描的次数，表示查询过程中扫描的文档数量。 executionTimeMillis: 查询的执行时间，表示查询完成所需的时间。 执行计划解析： 看执行时间：executionStats.executionStages.executionTimeMillisEstimate和executionStats.executionStages.inputStage. executionTimeMillisEstimate时间越短越好。 executionStats.executionTimeMillis表示执行计划选择和执行的所有时间。 executionStats.executionStages.executionTimeMillisEstimate表示最优执行计划的执行完成时间。 executionStats.executionStages.inputStage. executionTimeMillisEstimate表示最优执行计划下的子阶段执行完成时间。 看扫描条数：三个条目数相同为最佳。 executionStats. nReturned表示匹配查询条件的文档数。 executionStats .totalKeysExamined表示索引扫描条目数。 executionStats .totalDocsExamined表示文档扫描条目数。 看Stage状态，性能较好的Stage状态组合如下。 Fetch+IDHACK Fetch+ixscan Limit+（Fetch+ixscan） PROJECTION+ixscan 状态说明： 状态名称 状态名称 COLLSCAN 全表扫描 SORT 内存中进行排序 IDHACK 根据id进行查询 TEXT 全文索引 FETCH 索引扫描 LIMIT 使用Limit限制返回数 SUBPLA 未用索引的$or查询阶段 PROJECTION 未用索引的$or查询阶段 COUNTSCAN 使用索引计数

数据库复制服务是否支持关系型数据库的HA实例迁移 数据复制服务的高可用性保障机制，可以支持关系型数据库的单实例和HA实例的迁移。针对HA实例的迁移，DRS的自动重连技术在连接短暂中断后连接可以得到修复，断点续传技术，根据数据库内部连续性标志可以确保实时同步的连续性和一致性。 源数据库的HA设计，满足浮动IP连接效果，且倒换时RPO0，则DRS完全支持数据库的HA实例迁移，无需人工介入。 源数据库的HA设计，不能满足浮动IP连接且倒换时RPO0时，存在以下几种情况： 使用浮动IP，但不能保证倒换时RPO0时，可以连接，但DRS会识别出数据断层（如果有主备倒换出现数据丢失的话）并提示任务失败，此时只能根据新的数据情况，使用重置功能重新迁移。 使用固定IP，且倒换时RPO0时，支持迁移（只有在实例正常运行的情况下支持迁移，否则不支持）。 使用固定IP，且不能保证切换时RPO0时， 可以连接，但DRS会识别出数据断层并提示任务失败，此时只能根据新的数据情况，使用重置功能重新迁移。 出云迁移且目标端数据库为HA实例时，DRS可以保证源的数据完整的迁移到目标数据库，但由于目标数据库本身的倒换不能保证RPO0，则目标数据库可能会出现数据断层的情况。 DRS支持断点续传吗？ 针对数据库的迁移场景，在迁移过程中由于不可抗拒因素（例如网络波动）导致的任务失败，DRS通过记录当前解析和回放的位点（该位点同时也是数据库内部一致性的依据），下次从该位点开始回放的方式来实现断点续传，以确保数据的完整性。 增量阶段的迁移，DRS会自动进行多次断点续传的重试，全量阶段的MySQL迁移，系统默认进行三次自动续传，无需人工干预。当自动重试失败累计一定次数后，任务会显示异常，需要人为根据日志来分析无法继续的原因，并尝试解决阻塞点（例如数据库修改了密码），如果环境无法修复，如所需日志已经淘汰，则使用重置功能可以完全重新开始任务。

本节介绍了分布式消息服务RabbitMQ产品常见的名词解释。 Vhost 虚拟主机（Virtual Host），类似于Namespace命名空间的概念，逻辑隔离，每个用户里可以创建多个Vhost，每个Vhost可以创建若干个Exchange和Queue。 Queue 消息队列，每个消息都会被投入到一个或者多个Queue里。 Producer 消息生产者，即投递消息的程序。 Consumer 消息消费者，即接受消息的程序。 Connection TCP 连接，Producer 或 Consumer 与消息队列间的物理 TCP 连接。 Connection将应用与分布式消息服务RabbitMQ连接在一起。Connection会执行认证、IP解析、路由等底层网络任务。应用与分布式消息服务RabbitMQ建立Connection需要多个TCP报文交互，因而会消耗较多的网络资源和分布式消息服务RabbitMQ资源。大量的Connection会对分布式消息服务RabbitMQ造成巨大压力，甚至触发分布式消息服务RabbitMQ SYN洪水攻击防护，导致分布式消息服务RabbitMQ无响应，进而影响业务。 Channel 在客户端的每个物理TCP连接里，可建立多个Channel，每个Channel代表一个会话任务。 Channel是物理TCP连接中的虚拟连接。当应用通过Connection与分布式消息服务RabbitMQ建立连接后，所有的AMQP协议操作（例如创建队列、发送消息、接收消息等）都会通过Connection中的Channel完成。Channel可以复用Connection，即一个Connection下可以建立多个Channel。Channel不能脱离Connection独立存在，而必须存活在Connection中。当某个Connection断开时，该Connection下的所有Channel都会断开。当大量应用需要与分布式消息服务RabbitMQ建立多个连接时，建议您使用Channel来复用Connection，从而减少网络资源和分布式消息服务RabbitMQ资源消耗。 Connection和Channel的使用建议 保持Connection长连接，请勿频繁开启或关闭Connection。如果确实需要频繁开启或关闭连接，请使用Channel。 一个进程对应一个Connection，一个进程中的多个线程则分别对应一个Connection中的多个Channel。 Producer和Consumer分别使用不同的Connection进行消息发送和消费。

2.3 启动命令 2.3.1 不带后处理性能测试样例 Client推理模式运行时，会调用MindIE Client相应的接口向MindIE Server Endpoint发送推理请求并进行打点统计，与用户实际使用情景一致。 benchmark DatasetPath "/model/testdatagsm8k.jsonl" DatasetType "gsm8k" ModelName deepseekr1 ModelPath "/model/DeepSeekR1bf16" TestType client Http Concurrency 20 TaskKind text Tokenizer True MaxOutputLen 512 DatasetPath：数据集文件所在的目录，根据数据集路径获取数据，解析后根据批次和分词标识进行处理.Tokenizer为True时：采用文本推理模式，该参数应该传入原始数据集文件夹路径；Tokenizer为False时：采用tokenids推理模式，该参数传入已经将数据集处理为tokenids的csv文件的路径。（Tokenizer为False时，数据集转换方式参考数据集使用） DatasetType：数据集类型，枚举值：ceval、gsm8k、oasst1、boolq、truthfulqa、humaneval、mmlu、mtbench、cocotest和synthetic。 ModelName：模型名称。与MindIE ServerModelConfig参数说明中的modelName参数保持一致。 ModelPath：模型路径；传递模型初始化配置。与MindIE ServerModelConfig参数说明中的modelWeightPath参数保持一致。 TestType：取值为client、vllmclient、tgiclient、openai或tritonclient。其中vllmclient、tgiclient或tritonclient只能基于对应的三方框架上才能运行。 Http：请求url，默认为" ServerScheduleConfig参数说明中的ipAddress和port参数进行配置。 Concurrency：并发数，限制同时发起的连接数。Client模式下，不超过endpoint所支持的最大连接数。取值范围：[1，1000]。 TaskKind：判断使用Client的哪种模式进行推理，默认值为stream。stream：流式推理接口；text：非流式推理接口；streamtoken：token流式推理接口。 Tokenizer：分词向量化标识，取值True或者False，默认值为True。True：输入结果为文本；False：表示输入结果为tokens。 MaxOutputLen：最大输出长度，取值范围：[1，1048576]。该参数与ScheduleConfig参数说明中的“maxlterTimes”参数取小作为最大输出长度。当“DatasetType”取值为“synthetic”时，该参数无效，通过配置文件syntheticconfig.json中的“Output”参数控制最大输出长度。

本文介绍使用天翼云CDN加速后网站访问速度较慢的可能原因及解决方案。 背景说明 使用天翼云CDN加速后，正常情况下网站各个维度的性能指标均会得到明显提升，具体的性能指标以及相关参数信息，详情请见：性能指标。如果使用CDN加速后没有得到预期的性能提升，可参见本文提到的多个因素。 详细信息 使用CDN加速后网站访问速度较慢，是一个较为复杂的综合性问题，我们可以通过了解CDN加速原理（详情请见：天翼云CDN加速简介 里的加速原理模块），以及CDN加速涉及到的各个环节，初步判断可能是哪些方面的原因。CDN加速（CDN，Content Delivery Network）,即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。而一个完整的用户请求涉及的环节如下：DNS解析>TCP建联>SSL建联（如为https访问则涉及此环节）>客户端发送请求>服务端响应首包>服务端响应完整文件，这其中各个环节均可能影响到最终访问速度的快慢。 要系统性的衡量某个域名或网站经过天翼云CDN加速后的访问效果数据，建议使用第三方拨测工具，例如，基调听云、博睿数据平台，或通过在APP中自行开发客户端监测工具，搜集大数据进行分析。 注意 基调和博睿为外部第三方平台，需要付费使用。 结合上述拨测或监测工具的综合分析数据，可从如下维度逐个分析访问慢的原因： 首先，判断是否局部区域访问慢，还是全局性访问慢。通过基调或博睿的访问性能数据，可以看到各省份运营商的性能表现，如从运营商和省份角度均未看到明显性能差的部分，则可初步判断是全局性访问慢。

本文主要介绍资源配置 说明 Hosts配置 在迁移开始之前需要在RDA安装机器和源端待迁移主机hosts文件中配置调用接口域名解析到天翼云对应资源池API网关的地址，以便迁移相关的产品服务可以正常通过API接口访问。 已支持资源池的网关地址和域名详情，请参考云环境配置模板 修改RDA安装机器代理配置: C:WindowsSystem32driversetchosts，增加映射， 如下是贵州的示例： 42.123.120.53 iam.cnguizhou1.ctyun.cn 42.123.120.53 vpc.cnguizhou1.ctyun.cn 42.123.120.53 ecs.cnguizhou1.ctyun.cn 42.123.120.53 ims.cnguizhou1.ctyun.cn 42.123.120.53 evs.cnguizhou1.ctyun.cn 修改源端待迁移主机的配置，增加映射，如下是贵州的示例： Linux：/etc/hosts Windows：C:WindowsSystem32driversetchosts 42.123.120.53 iam.cnguizhou1.ctyun.cn 42.123.120.53 vpc.cnguizhou1.ctyun.cn 42.123.120.53 ecs.cnguizhou1.ctyun.cn 42.123.120.53 ims.cnguizhou1.ctyun.cn 42.123.120.53 evs.cnguizhou1.ctyun.cn 项目配置（可选） 在“项目管理”页签下，单击“新建项目”，输入项目名称与描述，单击“保存”

本节主要介绍CCE发布Kubernetes 1.28版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.28集群。本文介绍Kubernetes 1.28版本的变更说明。 重要说明 在Kubernetes 1.28版本，调度框架发生变化，减少无用的重试，从而提高调度程序的整体性能。 在Kubernetes 1.28 版本，Ceph FS 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。 建议使用 Ceph CSI 第三方存储驱动程序作为替代方案。 在Kubernetes 1.28 版本，Ceph RBD 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。建议使用 RBD 模式的 Ceph CSI 第三方存储驱动程序作为替代方案。 新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用，且不能禁用（会在后续版本中删除这个开关功能）。CCE对新特性的策略与社区保持一致。 版本偏差策略扩展至3个版本 从1.28控制平面/1.25 工作节点开始，Kubernetes版本偏差策略将支持的控制平面/工作节点偏差扩展到 3 个版本。 这使得节点的年度次要版本升级成为可能，同时保持受支持的次要版本。 可追溯的默认StorageClass 进阶至 GA 在Kubernetes 1.28版本，可追溯默认 StorageClass 赋值现已进阶至GA。 这项增强特性极大地改进了默认的StorageClasses为PersistentVolumeClaim (PVC) 赋值的方式。 PersistentVolume (PV) 控制器已修改为：当未设置 storageClassName 时，自动向任何未绑定的 PersistentVolumeClaim 分配一个默认的 StorageClass。此外，API 服务器中的 PersistentVolumeClaim 准入验证机制也已调整为允许将值从未设置状态更改为实际的 StorageClass 名称。 原生边车容器（Alpha） 在Kubernetes 1.28版本，原生边车容器以Alpha版本正式发布。其在 Init 容器中添加了一个新的 restartPolicy 字段， 该字段在 SidecarContainers 特性门控启用时可用。需要注意的是，原生边车容器目前仍有些问题需要解决，因此K8S社区建议仅在 Alpha 阶段的短期测试集群中使用边车功能。 混合版本代理（Alpha） 在Kubernetes 1.28版本，发布了用于改进集群安全升级的新机制（混合版本代理）。该特性为Alpha特性。 当集群进行升级时，集群中不同版本的 kubeapiserver 为不同的内置资源集（组、版本、资源）提供服务。在这种情况下资源请求如果由任一可用的 apiserver 提供服务，请求可能会到达无法解析此请求资源的 apiserver 中，导致请求失败。该特性能解决该问题。（主要注意的是，CCE本身提供的升级能力即可做到无损升级，因此不存在该特性涉及的场景）。 节点非体面关闭特性达到GA 在Kubernetes 1.28版本，节点非体面关闭特性达到GA阶段。当一个节点被关闭但没有被 Kubelet 的 Node Shutdown Manager 检测到时，StatefulSet 的 Pod 将会停留在终止状态，并且不能移动到新运行的节点上。当用户确认该节点已经处于不可恢复的情况下，可以手动为Node打上outofservice的污点，以使得该节点上的StatefulSet的Pod和VolumeAttachments被强制删除，并在健康的Node上创建相应的Pod。 NodeSwap特性达到Beta 在Kubernetes 1.28版本，NodeSwap能力进阶至Beta版本。目前仍然处于默认关闭状态，需要使用NodeSwap门控打开。该特性可以为Linux节点上运行的Kubernetes工作负载逐个节点地配置内存交换。需要注意的是，该特性虽然进阶至Beta特性，但仍然存在一些需要增强的问题和安全风险。 Job相关特性 在Kubernetes 1.28版本，增加了Pod更换策略和基于带索引Job的回退限制两个alpha特性。 Pod更换策略 默认情况下，当Pod 进入终止（Terminating）状态（例如由于抢占或驱逐机制）时，Kubernetes 会立即创建一个替换的 Pod，因此这时会有两个 Pod 同时运行。在Kubernetes 1.28版本中可以使用JobPodReplacementPolicy 来启用该特性。可以在Job的Spec中定义podReplacementPolicy，目前仅可设置为Failed。在设置为Failed之后，Pod 仅在达到 Failed 阶段时才会被替换，而不是在它们处于终止过程中（Terminating）时被替换。此外，您可以检查 Job 的 .status.termination 字段。该字段的值表示终止过程中的 Job 所关联的 Pod 数量。 带索引Job的回退限制 默认情况下，带索引的Job（Indexed Job）的 Pod 失败情况会被记录下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。在Kubernetes 1.28版本中，可以通过启用集群的 JobBackoffLimitPerIndex 特性门控来启用此特性。开启之后，允许在创建带索引的 Job（Indexed Job）时指定 .spec.backoffLimitPerIndex 字段。当某个Job的失败次数超过设定的上限时，将不再进行重试。 CEL相关特性 在Kubernetes 1.28版本，CEL能力进行了相应的增强。 CRD 使用 CEL 进行 Validate 的特性进阶至Beta 该特性在v1.25版本就已经升级为Beta版本。通过将 CEL 表达式直接集成在 CRD 中， 可以使开发者在不使用 Webhook 的情况下解决大部分对 CR 实例进行验证的用例。在未来的版本，将继续扩展 CEL 表达式的功能，以支持默认值和 CRD 转换。 基于CEL的准入控制进阶至Beta 基于通用表达式语言(CEL) 的准入控制是可定制的，对于 kubeapiserver 接受到的请求，可以使用 CEL 表达式来决定是否接受或拒绝请求，可作为 Webhook 准入控制的一种替代方案。在 v1.28 中，CEL 准入控制被升级为 Beta，同时添加了一些新功能，包括但不限于： ValidatingAdmissionPolicy 类型检查现在可以正确处理 CEL 表达式中的 “authorizer” 变量。 ValidatingAdmissionPolicy 支持对 messageExpression 字段进行类型检查。 kubecontrollermanager 组件新增 ValidatingAdmissionPolicy 控制器，用来对 ValidatingAdmissionPolicy 中的 CEL 表达式做类型检查，并将原因保存在状态字段中。 支持变量组合，可以在ValidatingAdmissionPolicy 中定义变量，然后在定义其他变量时使用它。 新增CEL 库函数支持对 Kubernetes 的 resource.Quantity 类型进行解析。 其它特性说明 在Kubernetes 1.28版本，ServiceNodePortStaticSubrange 特性为beta，允许保留静态端口范围，避免与动态分配端口冲突。 在Kubernetes 1.28版本，增加了alpha特性ConsistentListFromCache，允许kubeapiserver从缓存中提供一致性列表，Get和List请求可以从缓存中读取数据，而不需要从etcd中获取。 在Kubernetes 1.28版本，kubelet能够配置dropin目录（alpha特性）。该特性允许向kubelet添加对“configdir”标志的支持，以允许用户指定一个插入目录，该目录将覆盖位于/etc/kubernetes/kubelet.conf位置的Kubelet的配置。 在Kubernetes 1.28版本，ExpandedDNSConfig 升级至GA，默认会被打开。该参数用于允许扩展DNS的配置。 在Kubernetes 1.28版本，提供Alpha特性CRD Validation Ratcheting。该特性允许Patch或者Update请求没有更改任何不合法的字段，将允许CR验证失败。 在Kubernetes 1.28版本，kubecontrollermanager添加了concurrentcronjobsyncs flag用来设置cron job controller的workers数。

多个域名对应同一源站，WAF可以防护这些域名吗？ WAF的防护对象是域名，用户通过将需要防护的域名接入到WAF中，并将DNS服务商处对应域名的解析修改至Web应用防火墙所提供的CNAME，从而实现将需要防护域名的请求转发到WAF进行防护，而源站对于WAF来说，只是用于转发请求的目标地址，如果多个域名使用了同一个源站对外提供服务，只需要将多个域名都接入WAF中即能实现对所有域名的防护，详情请参见添加域名。 注意 在对多个域名接入同一个源站进行防护时，需要购买的防护带宽为所有域名累加的带宽，若购买的带宽小于所需要防护的带宽时，超过防护带宽容量的访问将得不到保护。 多个端口的服务器，如果某个端口不需要WAF防护，如何处理？ WAF防护网站是通过域名+端口方式接入WAF进行防护的，即当管理员在接入时配置的80端口，那Web应用防火墙也只会接收来自于80端口的请求，当出现非80端口的请求时，例如443端口或其他端口，WAF则会将对应的请求丢弃掉。所以在添加防护域名时，您需要将您所有需要防护的域名以及对应域名下所有需要防护的端口都进行配置，若服务器本身开启了多个端口，并且多个端口同时提供Web服务，其中只有部分端口需要防护，那只需要接入需要防护的域名及端口即可。 注意 WAF在提供端口防护时，默认将请求的目标端口作为回源端口，例如请求80端口，则回源也是通过80端口进行回源；请求443端口，则默认通过443端口回源。 但当开启了强制HTTPS回源或强制HTTP回源时，WAF会将所有请求强制转换为对应的请求进行回源，即强制HTTP回源，则会通过80端口进行回源；强制HTTPS回源，则会通过443端口回源。

本文主要介绍导致慢请求的原因和解决方案。 在相同业务场景下，架构设计和库、集合、索引等设计会影响查询性能，良好的设计可以提高查询性能，反之会出现很多慢请求（执行时间很长的语句），这些慢请求会消耗很多的系统性能。 排查思路 DDS支持在控制台上查看慢日志信息，针对慢日志中过长的操作需要从执行最慢的操作入手，逐个进行优化。 对于操作执行时长超过1s时，对应的操作可能会有问题，需要视具体情况分析。 对于操作执行时长超过10s时，则需要优化对应的操作。 说明 若存在某个聚合操作，因其比较慢，此时操作执行时长超过10s的情况属于正常现象。 分析方法 步骤 1 连接数据库。 步骤 2 针对慢查询可以通过如下命令检查其执行计划。 explain() 例如： db.test.find({"dataid" : "ae4b5769896f465c9fbd3fd2f3357637"}).explain(); db.test.find({"dataid" : "775f57c2b63e45d7b5813822dba231b4"}).explain("executionStats"); 对于查询而言，因为覆盖查询不需要读取文档，而是直接从索引中返回结果，这样的查询非常高效，所以 尽可能使用索引覆盖查询 。如果explain()的输出显示indexOnly字段为真，则说明这个查询就被一个索引覆盖。 步骤 3 执行计划解析。 1. 查看执行时间。 executionStats.executionStages.executionTimeMillisEstimate和executionStats.executionStages.inputStage. executionTimeMillisEstimate时间越短越好。 参数说明 参数名称 描述 executionStats.executionTimeMillis 执行计划选择和执行的所有时间 executionStats.executionStages.executionTimeMillisEstimate 最优执行计划的执行完成时间 executionStats.executionStages.inputStage. executionTimeMillisEstimate 最优执行计划下的子阶段执行完成时间 2. 查看扫描条数。 如下表中三个条目相同为最佳。 参数说明 参数名称 描述 executionStats. nReturned 匹配查询条件的文档数 executionStats .totalKeysExamined 索引扫描条目数 executionStats .totalDocsExamined 文档扫描条目数 3. 查看Stage状态。 性能较好的Stage状态组合如下： Fetch+IDHACK Fetch+ixscan, Limit+（Fetch+ixscan） PROJECTION+ixscan 状态说明 状态名称 描述 COLLSCAN 全表扫描 SORT 内存中进行排序 IDHACK 根据id进行查询 TEXT 全文索引 COUNTSCAN 未用索引计数 FETCH 索引扫描 LIMIT 使用Limit限制返回数 SUBPLA 未用索引的$or查询阶段 PROJECTION 使用索引计数 COUNTSCAN 使用索引计数

使用须知 在创建同步任务前，请务必阅读以下使用须知。 说明 建议创建单独用于DRS任务连接的数据库帐号，避免因为数据库帐号密码修改，导致的任务连接失败。 连接源或目标数据库的帐号密码修改后，请尽快修改连接信息，避免任务连接失败后自动重试，导致数据库帐号被锁定影响使用。 表使用须知 类型名称 使用和操作限制 数据库权限设置 l源数据库端： − 全量同步：需要具有CREATE SESSION，SELECT ANY DICTIONARY，针对单表的SELECT权限（GRANT SELECTto drsUser;）权限。 − 全量+增量同步： 12c及以上版本CDB数据库同步时，需要具有CREATE SESSION，SELECT ANY DICTIONARY，针对单表的SELECT权限（GRANT SELECTto drsUser;），EXECUTECATALOGROLE，SELECT ANY TRANSACTION，LOGMINING，SELECT ON SYS.COL$，SELECT ON SYS.OBJ$，SET CONTAINER（GRANT SET CONTAINER TOCONTAINERALL;）权限。 12c及以上版本PDB数据库同步时，除了需要具有CREATE SESSION，SELECT ANY DICTIONARY，针对单表的SELECT权限（GRANT SELECTto drsUser;），EXECUTECATALOGROLE，SELECT ANY TRANSACTION，LOGMINING，SELECT ON SYS.COL$，SELECT ON SYS.OBJ$权限，还需要具有CDB的CREATE SESSION，SELECT ANY DICTIONARY，EXECUTECATALOGROLE，SELECT ANY TRANSACTION，LOGMINING，SET CONTAINER（GRANT SET CONTAINER TOCONTAINERALL;）权限。 11g及以下版本数据库同步时，需要具有CREATE SESSION，SELECT ANY DICTIONARY，针对单表的SELECT权限（GRANT SELECTto drsUser;），EXECUTECATALOGROLE，SELECT ANY TRANSACTION，SELECT ON SYS.COL$，SELECT ON SYS.OBJ$。 − 增量同步时，源库Oracle需要开启日志归档模式和最小补充日志，所需同步表必须开启PK/UI或以ALL级别的补充日志，不限制库级或表级补充日志方式，若只开启表级补充日志，重建或者RENAME表后需要重新设置；请确保以上配置在同步过程中始终保持开启状态。 − 12c及以上版本不支持使用ORACLEMAINTAINEDY的用户帐号进行增量同步（system/sys除外），因为该属性的帐号无日志解析权限。 l目标数据库端：提供的目标数据库帐号必须拥有如下权限：SELECT、CREATE、DROP、DELETE、INSERT、UPDATE、ALTER、INDEX、EVENT、RELOAD、CREATE VIEW。 同步对象约束 l增量同步不支持DDL的同步。 l全量阶段不支持bfile，xml、sdogeometry、urowid、interval（精度大于6位）和自定义类型。 l增量阶段不支持bfile，xml、interval、sdogeometry、urowid、timestamp（精度大于6位）和自定义类型。 l增量阶段源库为Oracle物理备库（PHYSICAL STANDBY）时不支持解析lob类型数据（无法生成数据字典），如果增量同步的表中出现lob类型会导致增量同步异常。 l目前只支持同步源库的数据，不支持同步源库表结构及其他数据库对象。 l用户需要在目标库根据源端逻辑库的表结构，自行在目标库创建对应的表结构及索引。未在目标库创建的对象，视为用户不选择这个对象进行同步。 l同步时需要在目标库创建表结构，目标库表结构要包含源库所有列，且主键要一致。 l源库支持todate和sysguid函数做默认值。将其他函数作为default值时，需要目标库也有相同功能的函数。对于目标库不存在对应函数的情况，可能会出现以下结果： − 默认值函数可能会被置空。 − 创建表失败，导致对象对比不一致或者任务失败。 l如果表中只有LOB字段，可能出现数据不一致性情况。 l如果Oracle中使用LOB类型各自的empty函数写入数据时，通过JDBC查询出来的值是空字符串，写入到目标库后是空字符串还是NULL取决于目标库对空字符串值的处理。 l针对无主键且无索引的表，非大字段的列必须大于3列，否则会因为无法全列匹配导致增量异常。 l不支持默认值含有表达式的函数的表的同步。 l不支持同步源库中的临时表。 源数据库要求 lOracle单行记录不能超过8K（lob、long类型除外，会自动转换成MySQL的text、blob类型），原因是MySQL innodb引擎限制单行大小不能超过8K（text、blob类型除外）。 l不建议以字符串类型作为主键或唯一键，因为Oracle的字符串作为主键、唯一键时区分空格，而MySQL不区分，可能导致数据不一致和死锁问题。 l对于Oracle的binaryfloat或者binarydouble类型，MySQL中不支持设置Nan、Inf、Inf三种值，DRS默认会将这三种值转为0保存。 lOracle中建议列名不要取名AUTOPKROWID，原因是这个列名在MySQL5.7中是保留列名，无法创建出来。 lOracle中number(p, s)字段的精度不要超过p: [1, 38], s:[p65, min(p, 30)]的精度表示范围。其中，s取值依赖于p的取值变化，即下限为p65, 上限为p或30中取最小值。例如：当p1, s的取值范围是[64, 1]。当p38, s取值范围是[27, 30]。 int字段的值不要超过（65，0）的精度表示范围。原因是MySQL数字的表示范围比Oracle小。 l不支持表名包含除下划线外的其他特殊字符的表的同步。 l源数据库中的库名或映射后的名称不允许以iblogfile开头，也不能为ibbufferpool、ibdoublewrite、ibdata1、ibtmp1。 l不支持选择源数据库的空库进行同步。 l目前仅支持同步如下字符集：ZHS16GBK、AL32UTF8、UTF8、US7ASCII、WE8MSWIN1252、WE8ISO8859P1、WE8ISO8859P2、WE8ISO8859P4、WE8ISO8859P5、WE8ISO8859P7、WE8ISO8859P9、WE8ISO8859P13、WE8ISO8859P15。 目标数据库要求 l同步前，目标数据库必须存在待同步数据库及表，且库名，表名，列名，索引名、约束名等必须为对应的小写名称。 lDRS同步时会有大量数据写入目标库，目标库maxallowedpacket 参数过小会导致无法写入，建议将目标库maxallowedpacket参数值设置为大于100MB。 l同步的表要禁用外键，因为DRS并行回放会使得不同表之间的写入顺序和源库不一致，可能会触发外键约束限制，造成同步失败。 l支持目标数据库中的表比源数据库多列场景，但是需要避免以下场景可能导致的任务失败。 − 目标端多的列要求非空且没有默认值，源端insert数据，同步到目标端后多的列为null，不符合目标端要求。 − 目标端多的列设置固定默认值，且有唯一约束。源端insert多条数据后，同步到目标端后多的列为固定默认值，不符合目标端要求。 操作限制 l表对象名同步到目标库后会转换成小写，如ABC和abc。因此增量同步阶段，选择的源库表中不能存在表名称字母相同但大小写不同的表，否则，会导致同步失败。 l由于无主键表缺乏行的唯一性标志，网络不稳定时涉及少量重试，表数据存在少量不一致的可能性。 l如有特殊字符，业务连接Oracle数据库使用的编码需和Oracle数据库服务端编码一致，否则目标库会出现乱码。 lOracle中表结构同步到DRDS后表的字符集为utf8mb4。 lOracle中表结构长度（所有列长字节数之和，char、varchar2等类型字节长度和编码有关）超过65535时，可能导致同步失败。 lOracle归档日志文件大小必须大于单条数据最大值，避免单条数据日志跨文件（超过2个日志文件）导致的增量数据解析异常。 l对于Oracle RAC集群，建议使用SCAN IP+ SERVICENAMES方式创建任务，SCAN IP具有更强的容错性，更好的负载能力，更快的同步体验。 l源库为Oracle RAC时，如果需要使用SCAN IP配置DRS任务，需要保证SCAN IP、DRS节点的IP同时能与源库的所有VIP互通（Oracle内部机制），否则无法通过连通性检查。若不使用SCAN IP，可以使用某一节点的VIP，这种情况下DRS日志解析只会在VIP指定的RAC节点上进行。 l若源库为RAC，增量同步首次启动时所有RAC节点必须正常在线，否则增量启动会出现异常。 l若源库为RAC，增量同步时，不支持增加、减少节点数量，避免导致增量同步异常（为保证数据的强一致性）。 l数据类型不兼容时，可能引起同步失败。 l当Oracle字符集是WE8MSWIN1252时，CLOB列同步到目标库可能出现乱码，建议先修改源库字符集为AL32UTF8再同步数据。 l同步过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 l同步过程中，源库不能做DDL变更。 l同步过程中，禁止对Oracle源库做resetlogs操作，否则会导致数据无法同步且任务无法恢复。 l同步过程中，不支持LOB类型的rollback操作，否则会导致同步任务失败。 l对于同步中的数据库对象，在同步期间，目标库不能进行写入操作，否则会导致数据不一致。 lDRS全量同步表结构时，源库中的char、varchar2类型长度在目标库会按照字节长自动扩大（因为目标库为字节长），至少扩大1.5倍。扩大倍数和源库目标库的字符集有关，例如同为UTF8的情况下，默认扩大3倍，同为GBK的情况下，默认扩大2倍。 l全量同步分区表的结构时会将该对象转为非分区的普通表，增量同步时，源库跟分区表相关的操作，在目标库执行可能会失败。 l增量同步时，BLOB末尾的0x00、CLOB末尾的空格会被截断。 l选择表级对象同步时，增量同步过程中不建议对表进行重命名操作。 l源库的用户对应目标库的数据库。 l源库用户、表结构信息同步至目标库后全部转换为小写。如表Ab及表AB同步至目标库为ab。 l不支持索引组织表的同步。 l同步任务全量阶段开始前，如有长时间未提交的事务，有可能丢失数据。 l任务再编辑增加新表时，请确保新增的表的事务都已提交，否则未提交的事务可能无法同步到目标库。建议在业务低峰期做增加表的操作。

告警规则名称 告警级别 告警条件 自动解除条件 告警失效条件 是否允许手动解除 告警邮件发送频率 数据目录读写错误 PathIOError 重要 数据目录状态为坏盘 数据目录状态为正常 数据目录被移除 数据目录从存储池中移除 数据目录所在服务器被移除 是 每天一次 数据目录所在磁盘写入速度慢 DiskWriteSlow 警告 数据目录所在磁盘写入速度慢 数据目录所在盘恢复正常 数据目录被移除 数据目录从存储池中移除 数据目录所在服务器被移除 是 每天一次 许可证即将到期 LicenseWillExpire 警告 当前时间（告警模块所在服务器的系统时间）距离最后导入的许可证的到期时间<15天且>0天 当前时间（告警模块所在服务器的系统时间）距离告警许可证的到期时间>15天 许可证过期， 导入新的许可证（不同id的许可证） 是 每天一次 许可证过期 LicenseExpired 严重 当前时间（告警模块所在服务器的系统时间）距离最后导入的许可证的到期时间< 0天 当前时间（告警模块所在服务器的系统时间）距离告警许可证的到期时间>0天 导入新的许可证（不同id的许可证） 是 每天一次 许可证维保即将到期 LicenseMaintenanceWillExpire 警告 当前时间（告警模块所在服务器的系统时间）距离最后导入的许可证的维保到期时间<15天且>0天 当前时间（告警模块所在服务器的系统时间）距离告警许可证的维保到期时间>15天 许可证过期 导入新的许可证（不同id的许可证） 是 每天一次 许可证过保 LicenseMaintenanceExpired 警告 当前时间（告警模块所在服务器的系统时间）距离最后导入的许可证的维保到期时间< 0天 当前时间（告警模块所在服务器的系统时间）距离告警许可证的维保到期时间>0天 导入新的许可证 是 每天一次 试用期即将到期 TrialVersionWillExpire 警告 当前未导入生效的许可证，并且当前时间（告警模块所在服务器的系统时间）距离试用期过期时间<15天且>0天 无解除条件，只能手动解除 导入新的许可证 是 每天一次 资源用量接近使用上限 ResourceUsageApproachingLimit 重要 本地卷总容量>许可证容量的80% 本地卷总容量<许可证容量的75% 导入新的许可证 是 每天一次 告警中的告警条数接近上限 AlarmNumberApproachingLimit 严重 告警中的告警条数>8000 告警条数<7500 无 是 每天一次 告警邮件发送失败 FailToSendAlarmEmail 严重 告警邮件发送失败 告警邮件发送成功 邮件配置被删除 邮件发送设置为disable 是 每天一次 配额使用率超阈值 CapacityQuotaUsageExceedsThreshold 警告 存储池中数据目录关联磁盘的PathCapQuotaRate>80%， 数据目录层级的数据目录关联磁盘的PathCapQuotaRate>80% 说明 数据目录未设置容量配额，则按容量配额磁盘总容量计算。 存储池中数据目录关联磁盘的PathCapQuotaRate<75%，或数据目录层级的数据目录关联磁盘的PathCapQuotaRate<75% 说明 数据目录未设置容量配额，则按容量配额磁盘总容量计算。 存储池名称变更 存储池中的数据目录被全部移除 是 每天一次 配额用尽 CapacityQuotaUsageApproachLimit 严重 基础存储池中数据目录对应磁盘总配额使用率>95% 基础存储池中数据目录对应磁盘总配额使用率<90% 基础存储池名称变更 是 每天一次 配额用尽 CapacityQuotaUsageApproachLimit 警告 非基础存储池中数据目录对应磁盘总配额使用率>95%，或数据目录对应磁盘配额使用率>95% 非基础存储池中数据目录对应磁盘总配额<90%，或数据目录对应磁盘配额使用率<90% 存储池名称变更 存储池中的数据目录被全部移除 是 每天一次 磁盘使用率超阈值 DiskUsageExceedsThreshold 警告 存储池中数据目录对应磁盘的PathRate>80%，或数据目录对应磁盘的PathRate>80% 存储池中数据目录对应磁盘的PathRate<75%，或数据目录对应磁盘的PathRate<75% 存储池名称变更 存储池中的数据目录被全部移除 是 每天一次 可用故障域数量不满足卷写入要求 InsufficientFDForLUNToWrite 警告 卷所在缓存存储池或存储池的可用故障域数量及健康数据目录数量不满足卷的最小副本数要求 告警存储池的可用故障域数量及健康数据目录数量满足卷的最小副本数要求 卷被删除 卷删除失败 卷还原失败 卷挂起中 卷已挂起 卷挂起失败 存储池名称变更 卷禁用（仅3.9之前版本支持） 是 每天一次 数据目录健康状态变为警告 DiskPathHealthStatusWarning 警告 数据目录健康状态变为警告 数据目录健康状态恢复正常 数据目录被移除 数据目录从存储池中移除 数据目录健康状态变为“Error” 是 每天一次 数据目录健康状态变为错误 DiskPathHealthStatusError 警告 数据目录健康状态变为错误 数据目录健康状态恢复正常 数据目录被移除。 数据目录从存储池中移除 是 每天一次 数据服务健康状态变为警告 DataServiceHealthStatusWarning 警告 数据服务健康状态变为警告 数据服务健康状态恢复正常 服务器被移除 数据目录被移除 数据目录从存储池中移除 数据目录健康状态变为“Error” 存储池名称变更 是 每天一次 数据服务健康状态变为错误 DataServiceHealthStatusError 重要 数据服务健康状态变为错误 数据服务健康状态恢复正常 服务器被移除 数据目录被移除 数据目录从存储池中移除 存储池名称变更 是 每天一次 协议解析服务异常 ProtocolServiceAbnormal 重要 协议解析服务异常 协议解析服务恢复正常 服务器被移除 target被删除 target被迁移 是 每天一次 故障域状态变为警告 FaultDomainWarning 警告 故障域状态变为警告 故障域状态恢复正常 服务器被移除 数据目录被移除 数据目录从存储池中移除 故障域健康状态变为“Error” 存储池名称变更或故障域全路径名称中任一节点名称变更 故障域中的数据目录被全部移除 是 每天一次 故障域状态变为错误 FaultDomainError 重要 故障域状态变为Error 故障域状态变为非Error 服务器被移除 数据目录被移除 数据目录从存储池中移除 存储池名称变更或故障域全路径名称中任一节点名称变更 故障域中的数据目录被全部移除 是 每天一次 无法连接到云 CannotConnectToCloud 严重 与云端连接断开超过10分钟 卷通过此服务器向云端读取或写入成功一次 卷被删除 卷删除失败 卷还原失败 卷挂起失败 卷已挂起 服务器被移除 target发生迁移 卷禁用（仅3.9之前版本支持） 是 每天一次 云账户异常 CloudAccountAbnormal 严重 云端读取或写入失败：欠费冻结、欠费冻结或违规冻结 云端读取或写入成功一次 卷被删除 卷删除失败 卷还原失败 卷挂起失败 卷已挂起 卷禁用（仅3.9之前版本支持） 是 每天一次 卷云端数据冲突 LUNCloudDataConflict 严重 卷对应的云端数据出现比本地更新的版本 卷对应的云端数据版本全部比本地旧 卷被删除 卷删除失败 卷还原失败 卷挂起失败 卷已挂起 卷禁用（仅3.9之前版本支持） 是 每天一次 卷云端心跳冲突 LUNCloudHeartbeatConflict 严重 卷的云端出现来自非本集群的心跳 卷的云端心跳仅来自本集群 卷被删除或 卷删除失败 卷还原失败 卷挂起失败 卷已挂起 卷禁用（仅3.9之前版本支持） 是 每天一次 卷数据残留 LUNDataResidue 警告 强制删除卷，卷数据残留： 本地数据残留：由于本地磁盘故障，导致卷数据无法同步删除 云端数据残留：删除云上数据时，由于云端数据存储位置无法访问（包括网络连接失败、账号异常等），导致数据无法同步删除 无法自动解除，只能手动解除告警 本地数据残留：数据目录从机器中移除 云端数据残留：不会自动解除，清理完云端残留数据后，可手动解除告警 是 每天一次 客户端连接断开 InitiatorConnectionFailed 警告 因为客户端的原因，HBlock无法收到客户端心跳，导致HBlock认为和客户端连接断开，立即告警。但是客户端主动断开连接的情况除外 该客户端与target连接成功。 告警的IQN所在target被删除 target被迁移 是 每天一次 安装目录剩余空间不足 InsufficientSpaceonInstallationPath 严重 安装目录所在磁盘的文件系统剩余空间<4GiB 安装目录所在磁盘的文件系统剩余空间>5GiB 服务器被移除 是 每天一次 基础服务异常 BaseServiceAbnormal 严重 发生以下任一情况时，分别发出相应告警实例的告警： 元数据管理服务（mdm）异常：集群中stor:mdm服务有2个，仅允许一个故障，故障时发出告警 故障转移控制服务（fc）异常：集群中stor:fc服务有2个，仅允许一个故障，故障时发出告警 日志服务（ls）异常：集群中stor:ls服务有3个，仅允许一个故障，故障时发出告警 协调服务（cs）异常：集群中stor:cs服务有3个，仅允许一个故障，故障时发出告警 匹配的告警实例恢复到以下程度： 元数据管理服务（mdm）在告警机器上恢复正常：告警机器上的stor:mdm服务恢复正常 故障转移控制服务（fc）在告警机器上恢复正常：告警机器上的stor:fc服务恢复正常 日志服务（ls）在告警机器上恢复正常：告警机器上的stor:ls服务恢复正常 协调服务（cs）在告警机器上恢复正常：告警机器上的stor:cs服务恢复正常 告警机器上的基础服务迁移完成 是 每天一次 基础服务数据目录剩余空间不足 InsufficientSpaceonMetaDir 严重 基础服务数据目录所在磁盘的文件系统剩余空间<4GiB 基础服务数据目录所在磁盘的文件系统剩余空间>5GiB 服务开始迁移 是 每天1次 卷数据健康度降级 LUNDataLowRedundancy 警告 卷数据降级的百分比（含缓存池和最终池数据）＞10%，持续超过10分钟（10分钟内降级百分比一直低于或等于10%） 卷数据降级的百分比（含缓存池和最终池数据）0% 卷被删除 卷删除失败 是 每天1次 卷数据损坏 LUNDataCorrupted 重要 卷数据Error的百分比（含缓存池和最终池数据）＞0% 卷数据Error的百分比（含缓存池和最终池数据）0% 卷被删除 卷删除失败 是 每天1次 存储池数据健康度降级 PoolDataLowRedundancy 重要 基础存储池数据降级的百分比 > 10%，持续超过10分钟（10分钟内降级百分比一直低于或等于10%） 基础存储池数据降级的百分比 0% 存储池名称修改 是 每天1次 存储池数据健康度降级 PoolDataLowRedundancy 警告 普通存储池数据降级的百分比 > 10%，持续超过10分钟（10分钟内降级百分比一直低于或等于10%） 普通存储池数据降级的百分比 0% 存储池名称修改 存储池被删除 是 每天1次 存储池数据损坏 PoolDataCorrupted 严重 基础存储池数据Error的百分比＞ 0% 基础存储池数据Error的百分比 0% 存储池名称修改 是 每天1次 存储池数据损坏 PoolDataCorrupted 重要 普通存储池数据Error的百分比＞ 0% 普通存储池数据Error的百分比 0% 存储池名称修改 存储池被删除 是 每天1次

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

本节主要介绍查询迁移进度 迁移进度展示了迁移过程中，实时迁移任务的表迁移进度，可以帮助您了解迁移完成的情况。 DRS提供流式进度展示，帮助您在迁移过程中实时了解迁移进展。全量迁移过程中，展示迁移进度总览和迁移明细。 进度总览中，您可以查看结构、数据、索引迁移的进度，当显示为100%时，表示该项迁移完成。过程中，数据和索引的迁移相对较慢。 迁移明细中，您可以查看具体迁移对象的迁移进度，当“对象数目”和“已迁移数目”相等时，表示该对象已经迁移完成，可通过“查看详情”查看每个对象的迁移进度。增量迁移中，“进度明细”将不再显示，您可以使用“迁移对比”页签查看一致性情况。 前提条件 已登录数据复制服务控制台。 已启动迁移任务。 操作步骤 步骤 1 在“实时迁移管理”界面，选中指定迁移任务，单击任务名称，进入“基本信息”页面。 步骤 2 单击“迁移进度”页签，查看迁移进度。 查看结构、数据、索引的迁移的百分比进度。 “全量迁移”模式：当全量迁移完成时，显示全量迁移各项指标完成进度100%。 “全量+增量”迁移模式：全量迁移完成后，开始进行增量迁移可，在“迁移进度”页签下，查看增量迁移同步时延。 增量迁移时延也可在“实时迁移管理”界面查看，当增量时延超过用户设置或系统默认的时延阈值时，任务管理界面增量时延显示为红色。 说明 时延 源库当前系统时间 成功同步到目标库的最新一个事务在源库的提交成功时间。 一个事务同步的完整过程如下： 1. 源端数据库的抽取； 2. 经过网络的传输； 3. 由DRS进行日志解析； 4. 最终在目标数据库上的执行完成。 这样完成了事务从源到目标的同步，时延为该事务最后在目标数据库上执行完成时的源库当前系统时间（currenttime）与该事务在源库的提交成功时间（committedtime）的时间差，时延为0代表源和目标瞬时一致，无新的事务需要同步。 注意 长时间未提交事务和频繁DDL操作均可以造成高时延。 查看迁移对象的进度。在“进度明细”下，单击目标迁移对象“详细信息”列的“查看详情”，查看对象的迁移进度，进入增量迁移后，该数据将不再显示，您可以使用“迁移对比”页签，进行一致性对比。

本页介绍天翼云TeleDB数据库语句行为相关参数。 searchpath (string) 这个变量指定当一个对象（表、数据类型、函数等）被用一个无模式限定的简单名称引用时，用于进行搜索该对象的模式顺序。当在不同模式中有同名对象时，将使用第一个在搜索路径中被找到的对象。一个不属于搜索路径中任何一个模式的对象只能通过用限定名（带点号）指定包含它的模式来引用。searchpath的值必需是一个逗号分隔的模式名列表。任何不是一个已有模式的名称，或者是一个用户不具有USAGE权限的模式，将被安静地忽略。如果列表项之一是特殊名user，则具有SESSIONUSER返回的名字的模式将取代它（如果有这样一个模式并且该用户有该模式的USAGE权限；如果没有，user会被忽略）。系统目录模式pgcatalog总是被搜索，不管它是否在搜索路径中被提及。如果它在路径中被提及，那么它将被按照路径指定的顺序搜索。如果pgcatalog不在路径中，则它将在任何路径项之前 被搜索。同样，当前会话的临时表模式pgtempnnn也总是被搜索（如果存在）。它可以在路径中通过使用别名pgtemp显式列出。如果在路径中没有列出，那么会首先对它进行搜索（甚至是在pgcatalog之前）。然而，临时模式只被用来搜索关系（表、视图、序列等）和数据类型名。它从不用于搜索函数或操作符名。当对象创建时没有指定一个特定目标模式，它们将被放置在searchpath中第一个合法模式中。如果搜索路径为空将报告一个错误。这个参数的缺省值是"$user", public。这种设置支持一个数据库（其中没有用户拥有私有模式，并且所有人共享使用public）、每个用户私有模式及其组合的共享使用。其它效果可以通过全局或者针对每个用户修改默认搜索路径设置获得。搜索路径的当前有效值可以通过SQL函数currentschemas检查。它和检查searchpath的值不太一样，因为currentschemas显示出现在searchpath中的项如何被解析。

能否查看使用次数最多的命令？ 不支持，目前Redis不支持查看历史命令记录，也无法查看命令使用次数与次数最多的命令。 如何清空Redis数据？ 控制台提供清空Redis实例数据的能力，具体操作请参考删除实例数据 Redis命令执行是否有超时时间？ 客户端超时时间由客户端控制，可以通过一些 Redis 客户端提供的选项或参数来实现。不同的客户端库可能具有不同的方式来设置命令超时时间，您可以参考所使用的客户端库的文档来了解如何设置超时时间。 服务端超时时间Timeout默认配置为0，不会主动断开连接。 若命令超时，则可能会出现超时异常或连接中断的情况。在出现命令超时的情况下，您可以根据具体的需求和情况来处理。一种常见的做法是捕获超时异常并进行适当的错误处理，例如重试命令、记录日志或向用户返回适当的错误信息。此外，还可以通过适当调整超时时间、优化命令性能或增加服务器资源来减少命令超时的发生。 如何查找匹配的Key和遍历所有Key？ 使用 Redis 的 SCAN 命令可以按照指定的模式或格式来查找匹配的key以及遍历所有key，SCAN 命令是一个游标迭代命令，它可以逐批返回匹配的键，避免一次性返回所有键。scan命令的使用方法可参考Redis官网 WebCli的常见报错信息？ Connection refused：该错误消息表示无法连接到 Redis 服务器。可能的原因是 Redis 服务器未启动、指定的主机或端口不正确 Could not resolve hostname：指定的 Redis 主机名无法解析为有效的 IP 地址。可能是由于主机名拼写错误、DNS 配置问题或网络不可达导致的。 ERR Wrong number of arguments for 'xxx' command：该错误信息表示执行的Redis命令存在参数错误或语法错误，可参考开源Redis命令协议介绍检查您执行的命令构造 ERR unknown command 'xxx'：该错误信息表示命令不支持，可参考开源Redis命令协议介绍检查您执行的命令构造 ERR Unsupported command: 'xxx'：该错误信息表示命令禁用