3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

本小节介绍日志审计(原生版)功能特性。 日志采集 全面采集网络行为及数据库操作日志、服务器主机及网络设备日志、常规应用及业务系统日志，并对日志进行统一归并处理，便于后续分析。 采集是日志审计（原生版）系统的重要功能模块，它承载了日志或事件采集标准化、过滤、归并功能，是系统进行分析的第一步，用户通过指定需要采集的目标、相关采集参数（Syslog、SNMPTrap等被动方式无需指定）、相关的过滤策略和归并策略等创建日志采集器，以收集相关设备或系统的日志。 不同的系统或设备所产生的日志格式是不尽相同的，这给分析和统计带了巨大的麻烦，所以在日志审计（原生版）系统中内置了众多的标准化脚本以处理这种情形；即便对于某些特殊的设备，如某个系统的新型号，您没有发现相关的解析脚本，日志审计（原生版）系统也提供了相应的定制方法以解决这些问题。 日志检索 基于海量数据的高速检索能力，可以实现多重条件组合的快速检索和精确定位，并且支持事件的交互式检索分析快速生成图表直观呈现分析内容，并能直接保存成仪表板展示。 亿级（TB）原始日志查询耗时低于1秒； 支持简单易用的日志查询普通模式，根据系统预置的查询条件，根据用户需求查询对应的日志，并且支持查询条件的保存，供后续快捷使用； 支持更加精确的高级模式查询，根据页面的指导提示，通过组合查询表达式完成精确查询。

本节介绍WAF的使用说明等问题。 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口？ 问题现象：域名接入WAF通过第三方漏洞扫描工具扫描后，扫描结果显示了域名的标准端口（例如443）和非标准端口（例如8000、8443等）。 可能原因：由于WAF的非标准端口引擎是所有用户间共享的，即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测，应以源站IP开通的端口为准，即引擎的端口检测并不影响源站的使用安全，且WAF保证客户解析CNAME返回的引擎IP的安全性。 处理建议：无需处理。 使用Web应用防火墙对邮件收发和邮件端口有影响吗？ WAF是对Web应用网页进行防护，当您的网站接入WAF后，对邮件收发和邮件端口不会产生影响。 Web应用防火墙如何拦截请求内容？ WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测，WAF通过检测对不符合防护规则的请求内容进行拦截。 什么是并发数？ 并发数指系统能够同时处理请求的数目。对于网站而言，并发数即网站并发用户数，指同时提交请求的用户数目。 如果证书挂载在ELB上，WAF可以根据请求内容进行拦截吗？ 如果证书挂载在ELB上，通过WAF的请求都是加密的。对于HTTPS的业务，您必须将证书上传到WAF上，WAF才能根据解密之后的请求判断是否进行拦截。

参数 是否必选 说明 SQL或脚本 是 可以选择SQL语句或SQL脚本。 SQL语句 单击“SQL语句”参数下的文本框，在“SQL语句”页面输入需要执行的SQL语句。 SQL脚本 在“SQL脚本”参数后选择需要执行的脚本。如果脚本未创建，请参考 说明 若选择SQL语句方式，数据开发模块将无法解析您输入SQL语句中携带的参数。 数据连接 是 默认选择SQL脚本中设置的数据连接，支持修改。 数据库 是 默认选择SQL脚本中设置的数据库，支持修改。 脚本参数 否 关联的SQL脚本如果使用了参数，此处显示参数名称，请在参数名称后的输入框配置参数值。参数值支持使用 同步。 脏数据表 否 填写SQL脚本中定义的脏数据表名称。 匹配规则 设置java正则表达式，匹配DWS SQL结果内容，比如表达式为(?<()(d+?)(?,)， 匹配对应SQL结果为 (1,"error message") ，匹配到的结果为 "1"。 失败匹配值 当匹配成功的内容等于设置值时，该节点执行失败。 节点名称 是 默认显示为SQL脚本的名称，支持修改。规则如下：节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。

本页介绍天翼云TeleDB数据库数据迁移任务相关操作。 功能概览 数据传输服务支持多种数据源之间的数据迁移，不同数据库的支持情况如下： 源库类型及版本 目标库类型及版本 迁移类型 MYSQL 5.7, 8.0 TELEDB 结构迁移 全量迁移 增量迁移 POSTGRESQL 12, 13, 14, 15 TELEDB 结构迁移 全量迁移 增量迁移 Oracle 12c, 19c, 21c TELEDB 结构迁移 全量迁移 增量迁移 模块架构 管理服务：用户在DCP平台开通DTS实例后，可通过DTS的管理服务来配置一个数据迁移任务，并进行数据迁移任务管理。 核心配置集群：存储迁移任务的核心状态、监控信息。 元数据库：存储配置好的数据迁移任务的元数据信息，例如源库连接地址、目标库连接地址等。 执行模块+迁移模块（工作节点）：用户配置好迁移任务后，由执行模块进行具体的数据迁移工作。数据迁移完成后，由稽核模块进行数据校验。一个管理服务可以管理多个工作节点。 DTS数据迁移提供多种迁移类型：结构对象迁移、全量数据迁移及增量数据迁移。如果需要实现不停服务迁移，需要选择结构对象迁移、全量数据迁移和增量数据迁移。 全量数据迁移过程持续较久，在这个过程中，源实例不断有业务写入，为保证迁移数据的一致性，在全量数据迁移之前，会记录当前源实例的日志位点，存储在本地数据库中。 当全量数据迁移完成后，DTS会启动增量日志回放模块，增量日志回放模块会从增量日志读取模块中获取增量数据，经过反解析、过滤、封装后迁移到目标实例，从而实现增量数据迁移。

本页介绍天翼云TeleDB数据库冷热数据分离前的准备工作。 创建FOREIGN DATA WRAPPER teledb CREATE FOREIGN DATA WRAPPER datalakefdw HANDLER datalakefdwhandler VALIDATOR datalakefdwvalidator; CREATE FOREIGN DATA WRAPPER FOREIGN DATA WRAPPER名字可以自行设置。 创建成功的FOREIGN DATA WRAPPER可以通过查看系统表pgforeigndatawrapper是否存在。 teledb select from pgforeigndatawrapper; fdwname fdwowner fdwhandler fdwvalidator fdwacl fdwoptions +++++ datalakefdw 10 16578 16579 (1 row) 创建FOREIGN SERVER teledb CREATE SERVER minioforeignserver teledb FOREIGN DATA WRAPPER datalakefdw teledb OPTIONS (host 'XXX', protocol 'minio', isvirtual 'false', teledb( ishttps 'false'); CREATE SERVER host：对象存储的endpoint，或者控制台的ip地址加端口，例如192.168.20.15:3421。 protocol：对象存储的协议名称，可以为minio等。 isvritual：按照virutalhoststyle 还是 pathhoststyle 的方式来解析对象存储的主机，true为virutalhoststyle。 Ishttps：是否使用https协议。 创建成功的FOREIGN SERVER可以通过查看系统表pgforeignserver是否存在。 teledb select from pgforeignserver; srvname srvowner srvfdw srvtype srvversion srvacl srvoptions ++++++ minioforeignserver 10 16582 {hostXXX,protocolminio,isvirtualfalse,ishttpsfalse} (1 row) 创建USER MAPPING teledb CREATE USER MAPPING FOR XXX SERVER minioforeignserver OPTIONS (user 'XXX', accesskey 'XXXXXXXXXXXXX', secretkey 'XXXXXXXXXX'); CREATE USER MAPPING User：对象存储服务用户名（如有）。 Accesskey：对象存储服务accesskey。 Secretkey：对象存储服务secretkey。 创建成功的USERMAPPING可以通过查看系统表pgusermapping是否存在。 teledb

参数 模块 参数说明 是否必填 取值样例 拨测参数定义 请求参数 1、HTTP请求头 站点监控支持定制请求头内容，HTTP请求头格式为key1:value1，多项信息以回车换行分隔。 站点监控会在请求头中预置以下Header： UserAgent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3 Accept:text/html,application/xhtml+xml,application/xml;q0.9,image/webp,/;q0.8 2、cookies HTTP规则的Cookie信息，格式为:key:value,多项信息以英文逗号分隔 3、重定向次数 出现301或302状态码，跟随再次做重定向探测的次数限制。如填写0，即为不跟随跳转 4、跳过证书验证 勾选后将忽略 SSL/TLS 证书错误，如证书过期、证书与域名不匹配等，继续执行请求。 否 1、Pragma: nocache 2、sessionid:123 3、0 4、不勾选 拨测参数定义 Body 输入 HTTP(S) 请求中发送给服务器的数据部分，内容格式为JSONObject 否 { "userid": "123456", "username": "testuser", } 拨测参数定义 DNS服务器 指定一个自定义的 DNS 服务器地址，用于域名解析。如不填写即为系统默认 否 拨测参数定义 DNS劫持检查 填写DNS劫持白名单，冒号前为要判断的域名，冒号后为匹配的ip(暂不支持ipv6),多个以竖线分割。 否 www.ctyun.cn:180.163.200.96180.163.200.97 断言配置 定义拨测任务执行期间要检查的规则或条件。如果拨测节点拨测的响应结果满足了断言配置中定义的所有条件，则任务被视为成功；否则，任务被视为失败，最多支持配置5个 1、状态码 响应状态码是否符合预期条件 2、body的json字段 通过JSON解析（JSON Path）判断返回Body中的内容是否符合预期。 例如：response为{"code":"200","data":{"name":"test"}}时，code取值方式为$.code，name的取值方式为$++.++ data.name 当匹配方式为大于或小于时，会尝试将response参数值转为浮点数进行大小判断，如转换失败则断言失败。 否 状态码:大于400 body的json字段: $.a.b等于usertest 高级配置 1、超时时间 定义等待服务器返回响应数据的最长时间，单位ms 2、拨测周期 站点拨测任务执行的每周时段 3、拨测时段 站点拨测任务执行的每日时段 是 1、1000ms 2、星期天、星期一、星期二、星期三、星期四、星期五 星期六 3、00:00:0023:59:59

操作场景 当您想要为域名增加一条TXT解析记录时，可以执行本操作添加记录集。支持为内网域名添加TXT类型记录集。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 内网DNS”。 进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。 进入域名列表页面。 4. （可选）如果选择“内网域名”，请单击管理控制台左上角的，选择区域和项目。 5. 在待添加记录集的域名所在行，单击“名称”列的域名名称。 6. 单击“添加记录集”。 系统进入“添加记录集”页面。 7. 设置记录集参数，如下表所示。 表添加TXT类型记录集参数说明 参数 参数说明 取值样例 主机记录 域名（后缀无需用户手动填写）。如果输入框未填值，则参数值默认为该域名的名称。 abc 类型 记录集的类型，此处为TXT类型。 TXT – 设置文本记录 TTL(秒) 记录集的有效缓存时间，以秒为单位。 默认为“5min”，即300s。 值 填写用户所需的任意文本内容。支持单个或多个文本记录，多个文本记录之间以换行符分隔。单个文本记录可以包括多个文本字符串，每个文本字符串以双引号包裹，不同的文本字符串之间以单个空格隔开。每个双引号包裹的文本字符串长度不超过255个字符。单个文本记录不超过4096个字符。不可为空。不支持反斜杠字符“”。 "aaa""bbb" "ccc" "ddd"其中，"bbb" "ccc" "ddd"为一个文本记录，"bbb"为一个文本字符串。 描述 可选配置，对域名的描述。长度不超过255个字符。 The description of the hostname. 8. 单击“确定”，完成记录集的添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。

多活容灾是否只要做好入口流量分发和底层数据同步？ 否。入口流量分发和底层数据同步是实现多活能力的重要步骤，但并不能完全保证系统具备多活能力。 要具备完整的多活能力，首先做好架构规划与演进，其次要有配套的管控能力，包括集中管理、流量控制、数据同步、数据保护等。 如何保障业务在多活场景下的数据一致性？ 默认使用异步复制和最终一致性模型，通过流量纠错和禁写保护避免脏写，有更高要求建议使用分布式数据库。 微服务是如何实现跨集群发现的？ 微服务通过注册中心数据同步来实现跨集群服务发现，服务调用时根据路由规则计算路由命中来选择跨单元或跨站点调用。 微服务在多活场景该如何处理？ 尽可能单元内自封闭，若无法自封闭，可配置HTTP/DUBBO的解析规则对微服务进行打标，流量通过路由规则计算后实现跨单元调用。 消息在多活场景该如何处理？ 生产侧在消息的header或body打标，消费侧根据路由规则进行过滤或接管，消息在站点间同步，避免数据丢失。 缓存在多活场景该如何处理？ 应用读写本地缓存集群，缓存本身不建议同步，本地数据中心的缓存不包含其他中心的数据，当流量切换到新中心时可通过数据库重建缓存。 任务调度在多活场景该如何处理？ 您可以考虑以下两个方案： 数据双活：2个站点均开启定时任务，捞取全量数据，过滤掉非本单元的数据后再执行。 应用双活：2个站点均开启定时任务，通过配置中心开关控制任务执行的主、备站点角色，由主站点执行全量定时任务。

本文介绍了如何在科研助手中使用预置好的DeepSeekR1 7B模型服务。 概述 DeepSeekR1 是幻方量化旗下 AI 公司深度求索（DeepSeek）研发的一款高性能推理模型。该模型使用强化学习技术进行后训练，专注于提升在数学、代码和自然语言推理等复杂任务上的表现。 DeepSeekR1 在需要逻辑推理、思维链推理和实时决策的任务中表现出色，如解决高级数学问题、生成复杂代码、解析复杂科学问题等。在类似Codeforces的挑战场景中获得了2029 Elo评分；在复杂推理基准测试中，表现与OpenAI的o1模型相当。尽管总共有6710亿的庞大参数，但每次前向传递时仅激活370亿个参数，比大多数大模型更加高效的利用资源。 当前在科研助手的社区镜像中，我们已经为您提前部署好了完整的服务，方便您即刻体验，开箱即用。 准备环境 1. 进入科研助手控制台，点击左上角，切换“科研版”。 2. 进入“科研版”总览页，点击快捷入口【找应用】，进入应用商城。 3. 在“应用商城”中，找到名为“DeepSeekR1:7B模型”的镜像，点击【使用此镜像】，进入开发机创建界面。 4. 在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择。 配置 算力型号 可用区 ::: 最低配置 GPU.gn3.m1 厦门4、扬州7 推荐配置 GPU.gn4.2xl1 贵阳2 高端配置 NVIDIA A100 40G 中卫4 这里以NVIDIAA10040G为例，框架版本已默认选好【社区镜像】的“openwebuideepseekr1cuda11.3”。 5. 点击【确认订单】，完成开发机创建并启动。

一键检测readonly如何理解？ 一键检测readonly可以自动检测集群主备所有分片节点，当发现zk中节点为master但实际info角色为slave的会被认为readonly异常，在一键检测readonly子页面中可以通过操作来完成集群的readonly异常修复。 这种自动检测和修复的流程有助于提高系统的稳定性和可维护性，减少人为错误和手动操作的需求。通过一键操作，用户可以方便地识别和解决集群中的 readonly 异常，确保 Redis 集群正常运行。 实例账户权限控制？ 每一个集群版缓存实例可以创建多个子账户，每个子账户有三个属性，子账户名，子账户密码以及子账户的读写属性，缓存客户端的使用鉴权方式保持一致，如jedis.auth(“子账户名 子账户密码”)。 其中只读账户对缓存数据的操作是只读的，读写账户对缓存数据是读写的。通过不同账户的读写权限控制，可保证缓存实例的操作更加安全可靠。 集群版是否支持多key操作？ 支持。首先单机主备天然支持多key操作，其次针对集群架构实例场景下，access代理层会将key列表解析出来，分别构造不同redis分片的协议，经过代理层收集完get结果后再构造协议统一返回给客户端，应用就像操作单机主备一样来操作proxy集群实例。 在 Redis 集群中，多key操作指的是能够同时对多个key执行操作的命令，这些操作可以是读取、写入或其他类型的操作。Redis 集群在设计上分为多个节点，每个节点负责管理部分数据。当进行多key操作时，Redis 集群会自动将这些key分发到相应的节点上，然后执行相应的操作。这确保了在分布式环境下的高效操作。

本文简述传递用户ip回源功能的原理和配置方法。 功能介绍 使用应用加速产品后，源站获取到的客户端IP会变为应用加速回源节点的IP。如果源站需要获取真实的客户端IP地址，有两种方式： 1.proxyprotocol（简称PP），对内核无要求，需要源站进行修改，解析对应的文本字符串以获取真实的客户端IP。目前，Nginx和HAProxy已经支持，因此Nginx和HAProxy源站推荐使用该方式获取客户端IP。proxyprotocol的v1版本仅支持tcp协议，v2版本同时支持tcp和udp协议。 2.tcpoption传递用户IP回源的方式，该方式仅适用于tcp协议。选择该方式时，Linux系统需要安装我们提供的toa内核模块来获取真实客户端地址，该方式无需源站进行修改即可获取到真实的客户端IP。 配置说明 新增域名，配置传递用户IP回源步骤： 1.登录客户控制台。 2.在域名列表页面，点击右上角“添加域名”。 3.找到传递用户IP回源模块，打开开关。 4.选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时,您需要下载适配源站系统版本的toa模块,并安装到源站后才可正常使用该功能。 编辑域名，配置传递用户IP回源步骤： 1.登录客户控制台。 2.在域名列表页面，点击编辑目标域名。 3.找到传递用户IP回源模块，打开或者关闭开关；打开时需选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。

查看内网域名详情 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。进入内网DNS页面。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。 4. 在内网域名列表页面，查看内网域名详情。 修改内网域名 在使用内网域名的过程中，如果发现内网域名的配置信息不符合您的业务需求，可以通过修改内网域名功能，重新配置邮箱、描述信息。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS服务”。进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 4. 选择待修改的内网域名，单击“操作”列下的“修改”。系统进入“修改内网域名”页面。 5. 根据实际需要，修改邮箱或描述信息。 6. 单击“确定”，保存修改后的内网域名。 删除内网域名 当用户无需使用内网DNS服务托管该内网域名时，可以使用删除内网域名功能。删除内网域名后，该内网域名包含的域名将无法再被解析。 注意 执行删除内网域名操作前，请确认已备份该内网域名下所有用户创建的记录集。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。进入内网DNS服务页面。 3. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 4. 选择待删除的内网域名，单击“操作”列下的“删除”。 5. 单击“确定”，确认删除该内网域名。 批量导出内网域名 内网DNS支持批量导出内网域名信息，导出方式分为“导出全部数据到XLSX“ 和“导出已选中数据到XLSX”。 1. 进入内网域名列表页面。 2. 在内网域名列表上方，单击“导出”。 3. 根据界面提示选择导出方式，完成域名导出。 导出全部数据到XLSX：批量导出域名列表中所有域名信息。 导出已选中数据到XLSX：批量导出域名列表中已勾选的域名信息。

本文介绍Nginx Ingress概述。 本文将介绍Ingress基本概念、Ingress Controller工作原理以及Nginx Ingress Controller的使用说明。 Ingress基本概念 Ingress是Kubernetes集群中一种API对象，属于网络路由和负载均衡中的一个概念。它的主要作用是将外部的流量路由到集群内部的服务，您可以通过Ingress资源来配置不同的转发规则，从而根据不同的规则设置访问集群内不同的Service所对应的后端Pod。Ingress可以看作是在Service的基础上提供了更高级别的负载均衡和路由规则控制。与Service不同的是，Service只提供了基础的负载均衡和服务发现功能。 Ingress Controller工作原理 Ingress API对象的创建需要使用Ingress Controller，它是一个独立于Kubernetes集群之外的组件。Ingress Controller会不断地监视Ingress对象的变化，当检测到Ingress对象的变化时，它会自动更新代理服务器的配置信息。通常情况下，Ingress Controller会将请求代理到运行在同一集群内的Service中，但它也可以被配置为代理到集群外部的其他服务。Ingress Controller 常见的工作流程如下： 1. Kubernetes集群中的Ingress Controller通过API Server监控Ingress的创建、删除和更新。 2. 当有新的Ingress创建时，Ingress Controller会解析Ingress的规则，并将其实现为代理服务器的转发规则。 3. 当有新的Service创建或修改时，Ingress Controller会读取对应的Service的信息，例如其IP和端口等，并将其添加到代理服务器的配置中，实现对后端服务的指向。 4. 当新的Pod创建、修改或删除时，Ingress Controller会读取每个Pod上的Service的信息，并将其添加到代理服务器的配置中，实现对后端服务的指向。 5. 当有Ingress被删除时，Ingress Controller会删除代理服务器上对应的路由规则。

说明：本章节会介绍如何下载SQL审计日志 当您开启SQL审计日志，系统会将所有的SQL操作记录下来存入日志文件，方便用户进行下载、查询操作。RDS for MySQL默认关闭SQL审计功能，打开可能会有一定的性能影响。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤5 在左侧导航栏单击“SQL审计”，在列表右上方选择时间范围，在列表中勾选目标日志，单击列表左上方的“下载”，批量下载SQL审计日志。 您还可以选择单个审计日志，单击操作列中的“下载”，下载目标SQL审计日志。 SQL审计日志内容如下图所示。 图11 MySQL审计日志 表1审计日志字段说明 参数 说明 recordid 审计日志单条记录的记录ID。 connectionid 该条记录执行的会话ID，与show processlist中的ID一致。 connectionstatus 会话状态，常见为执行语句的错误返回码，普通执行成功返回0。 name 记录类型名称，通常情况下dml，ddl操作均为QUERY， 连接断开为CONNECT和QUIT。 timestamp 记录的UTC时间。 commandclass 执行的SQL命令类型，内部为解析得到的SQL类型，例如select，update（连接断开不存在该项）。 sqltext 执行的SQL具体内容（连接断开审计不存在该项）。 user 登录的账户。 host 登录的host，当本地登录时为localhost，远程登录为空。 externaluser 代理用户名称。 ip 通过远程连接的客户端IP，本地连接为空。 defaultdb 执行SQL时默认的数据库。

添加FunctionCalling工具 本文介绍如何在工具列表页面添加 Function Calling（函数调用）工具。Function Calling 工具通过定义 API 接口规范，使支持 Function Calling 能力的大模型能够理解并调用外部 API 服务。 核心概念 Function Calling：一种让大模型理解并调用外部 API 的能力，通过定义接口规范（参数、返回值等）实现模型与外部服务的交互。 OpenAPI 规范：一种标准的 API 描述格式，用于定义 API 的端点、参数结构和返回值格式，平台据此自动生成工具定义。 进入创建页面 1. 登录智能体引擎控制台，在左侧菜单中选择工具。 2. 在工具列表页面，点击右上角的添加工具按钮。 配置基本信息 在弹出的添加工具对话框中，配置以下基本信息： 字段 是否必填 说明 工具名称 必填 工具的标识名称，最多 500 个字符 工具类型 必填 选择 FunctionCalling工具 导入方式 必填 选择 OpenAPI规范，通过导入符合 OpenAPI 3.0 规范的文档自动生成工具定义 调用方式 必填 选择 远程，通过网络连接到 API 服务 配置 OpenAPI 规范 在 OpenAPI规范编辑器中，粘贴符合 OpenAPI 3.0 规范的 JSON 或 YAML 配置。平台会根据 OpenAPI 文档自动生成对应的工具定义，包括 API 端点、参数结构和返回值格式。 以下为一个 OpenAPI 规范示例： plaintext { "openapi": "3.0.1", "info": { "title": "微博热搜", "description": "使用微博搜索查询实时新闻消息。", "version": "v1" }, "servers": [ { "url": " } ], "paths": { "/hot": { "get": { "summary": "获取热搜列表", "operationId": "getHotList", "responses": { "200": { "description": "成功返回热搜列表" } } } } } } OpenAPI 文档中需正确定义 paths 和 servers 字段，以便平台解析 API 端点和服务地址。

添加FunctionCalling工具 本文介绍如何在工具列表页面添加 Function Calling（函数调用）工具。Function Calling 工具通过定义 API 接口规范，使支持 Function Calling 能力的大模型能够理解并调用外部 API 服务。 核心概念 Function Calling：一种让大模型理解并调用外部 API 的能力，通过定义接口规范（参数、返回值等）实现模型与外部服务的交互。 OpenAPI 规范：一种标准的 API 描述格式，用于定义 API 的端点、参数结构和返回值格式，平台据此自动生成工具定义。 进入创建页面 1. 登录智能体引擎控制台，在左侧菜单中选择工具。 2. 在工具列表页面，点击右上角的添加工具按钮。 配置基本信息 在弹出的添加工具对话框中，配置以下基本信息： 字段 是否必填 说明 工具名称 必填 工具的标识名称，最多 500 个字符 工具类型 必填 选择 FunctionCalling工具 导入方式 必填 选择 OpenAPI规范，通过导入符合 OpenAPI 3.0 规范的文档自动生成工具定义 调用方式 必填 选择 远程，通过网络连接到 API 服务 配置 OpenAPI 规范 在 OpenAPI规范编辑器中，粘贴符合 OpenAPI 3.0 规范的 JSON 或 YAML 配置。平台会根据 OpenAPI 文档自动生成对应的工具定义，包括 API 端点、参数结构和返回值格式。 以下为一个 OpenAPI 规范示例： plaintext { "openapi": "3.0.1", "info": { "title": "微博热搜", "description": "使用微博搜索查询实时新闻消息。", "version": "v1" }, "servers": [ { "url": " } ], "paths": { "/hot": { "get": { "summary": "获取热搜列表", "operationId": "getHotList", "responses": { "200": { "description": "成功返回热搜列表" } } } } } } OpenAPI 文档中需正确定义 paths 和 servers 字段，以便平台解析 API 端点和服务地址。

功能介绍 在多集群的网格环境下，不同集群之间的服务之间如果需要互相访问，需要在不同集群下部署相同的服务，因为istio仅在服务名称一致的情况下，才会将集群中的端点信息推送给其他集群的pod； 因此当两个集群中服务不同的时候，需要通过DNS代理才能发现其他集群的服务；比如，在从集群中部署了sleep服务，在主集群中部署了productpage服务，istio控制面并不会将productpage的服务信息下发给从集群中的sidecar，这是因为从集群中没有与productpage同名的服务； 当打开了DNS代理功能后，从sleep发起的对prodcutpage的请求，sidecar会透明的拦截和解析productpage的pod地址，使其能够正常访问； 前提条件 在同一资源池下创建两个容器集群，并将其中一个作为主集群安装网格实例，具体步骤参考：多集群网络规划 在从集群中不存在名为 productpage 的 Service，因为这会导致 istio 向从集群下发网格中 productpage 信息，从而无法验证DNS代理功能； 部署环境 步骤一：在主集群中部署productpage应用 使用以下配置在主集群default命名空间部署productpage； plaintext apiVersion: v1 kind: ServiceAccount metadata: name: productpage apiVersion: v1 kind: Service metadata: name: productpage labels: app: productpage service: productpage spec: ports: name: productpage port: 9080 targetPort: 9080 selector: app: productpage apiVersion: apps/v1 kind: Deployment metadata: name: productpage spec: replicas: 1 selector: matchLabels: app: productpage template: metadata: labels: app: productpage sidecar.istio.io/inject: "true" spec: serviceAccountName: productpage containers: image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinfoproductpagev1:1.16.2' imagePullPolicy: IfNotPresent name: productpage ports: containerPort: 9080

](.Port )./ 1$2222/g" /etc/ssh/sshconfig && sed i "s/ (StrictModes )./1no/g" /etc/ssh/sshdconfig && sed i "s/ (Port )./1$2222/g" /etc/ssh/sshdconfig echo "Port 2222" >> /home/batchcom/.sshdconfig 配置免密 sshkeygen t rsa N '' f /home/batchcom/.ssh/idrsa cat ~/.ssh/idrsa.pub >> ~/.ssh/authorizedkeys 用于解析多实例hostname的IP地址 sudo apt install y dnsutils MPI框架+IB网络 在使用 MPI 进行多机多卡并行计算时，建议优先采用 InfiniBand（IB）网络以提升多机协同的加速比。尤其对于涉及大量跨节点数据交换的任务，若未使用 IB 网络，其通信瓶颈可能导致多机集群的性能反而不及单机，无法充分发挥并行计算的优势。 MPI（如 OpenMPI、MPICH 等实现）支持 IB 网络的方式多样，以下以 UCX 作为通信后端为例，说明相关依赖的安装步骤： python 安装IBverbs相关依赖（提供IB硬件访问支持） sudo apt update && sudo apt install y ibverbsproviders libibumad3 libibverbs1 libnl3200 libnlroute3200 librdmacm1 安装UCX（高性能通信框架，适配IB与MPI） wget && sudo dpkg i ucx1.18.1rc3.deb 注意：以上仅为 MPI 基于 UCX+IB 的依赖安装流程，需确保 MPI 本身已编译并集成 UCX 和 OpenIB 模块（例如 OpenMPI 可通过以下命令检查）： python ompiinfo grep ucx ompiinfo grep openib 若返回空内容，说明未编译相关模块，需重新编译MPI并启用对应功能 此外，也可直接使用研助手预置的 OpenMPI+UCX+IB 网络运行环境镜像，简化配置流程: python ehub.ctcdn.cn/esxbatchcom/openmpiib:v1

全局索引是一组非分片键和分片键的映射关系，通过非分片键查询到分片键，直接计算出数据所在的分片节点，从而提升非分片键查询（select语句）时的效率，避免广播查询。本文对分布式关系数据库DRDS全局索引功能进行说明。 核心特性 全局索引的核心特性说明如下： 增量索引追加 解析binlog数据，提取非分片键和分片键的映射关系。 支持全量索引重建 通过JDBC从数据库中获取全量数据。 以单索引单分片为最小任务单元分配重建任务。 索引存储 索引数据以keyvalue方式存储在分布式缓存中。 索引配置 索引项相关的配置与DRDS实例共用，配置修改实时同步。 库表信息变更自动同步更新。 索引延时 正常情况下，索引与数据库延时在秒级以内。 注意事项 DRDS实例版本不同全局索引的管理入口可能存在差异，具体版本说明如下，请以控制台实际情况为准： V5.1.20.0.13及以后版本：Giserver与DBProxy合并部署，不再区分DBProxy和Giserver两种实例，即购买DRDS实例时，将自动为该实例部署Giserver与DBProxy，且两者之间底层服务与进程互相隔离、故障互相隔离，更具安全性和性价比。 说明 您可以在控制台的左侧导航栏选择DRDS > 实例管理 ，进入实例列表页面，再单击目标DRDS实例操作 列的管理 ，进入实例基本信息 页面，然后单击目录树的全局索引，管理您的GiServer。 V5.1.20.0.13以前的版本：存在DBProxy和Giserver两种实例，存量GiServer实例不影响使用。 说明 您可以在控制台的左侧导航栏选择DRDS > 全局索引，进入全局索引管理页面，管理您的GiSever实例。

本文介绍DRDS使用过程的一些常用概念。 计算节点 计算节点是负责执行数据处理和查询计算的节点。计算节点通常负责解析查询请求，执行数据库操作，进行数据的聚合、过滤、排序等计算操作，并最终返回查询结果。计算节点是数据库系统中的核心部分，负责处理客户端的查询请求，执行查询操作，以及在分布式环境下协调不同存储节点的数据处理。 存储节点 存储节点是负责存储实际数据的节点。在分布式数据库中，数据通常被水平拆分成多个数据分片，然后存储在不同的存储节点上。每个存储节点承担一部分数据，以实现数据的水平扩展，提高系统的性能和可伸缩性。 分片 分片（又称Sharding）是一种在分布式数据库中水平划分数据的概念。它将数据库中的数据拆分成多个较小的逻辑片段（也称为分片或分区），然后将这些分片分散存储在不同的存储节点上，以实现水平扩展和分布式存储。 schema 概念 schema即逻辑库，在后续介绍中将统称为schema，它类似于传统单体数据库中的数据库，是一个逻辑上的数据库容器。schema是多个数据库分片的集合。 介绍 对实际应用来说，并不需要知道分布式数据库中间件的存在，应用开发人员只需要知道数据库的概念，所以分布式数据库中间件可以被看做是一个或多个数据库集群构成的逻辑库。 DRDS实例的schema，包括所有逻辑表、分片规则、全局序列等数据，schema切分后形成多个分片，分布在多个存储节点上。 逻辑表

危害网络安全类内容 包括但不限于以下违规内容的信息： 利用系统漏洞、捆绑软件、网页挂马、电子邮件、即时聊天工具等途径传播病毒、木马、钓鱼信息等有害程序，可能对用户的正常运行造成损害或中断； 利用网络技术手段或者分享网络技术手段对计算机系统、网络或设备进行破坏、干扰、窃取等违法犯罪行为，包含黑客攻击技术、黑客工具、违规跨境加速或传输服务/软件/教程、违规提供 DNS 解析服务、开展虚拟币“挖矿等违法违规活动。 相关法律法规参考：《中华人民共和国网络安全法》、《计算机信息网络国际互联网安全保护管理办法》、《中国公用计算机互联网国际联网管理办法》、《国际通信出入口局管理办法》、《中华人民共和国刑法》、《关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》、《中华人民共和国治安管理处罚法》、《关于依法办理非法生产销售使用“伪基站”设备案件的意见》。 违法活动及违禁化学品类 包括但不限于以下违规内容的信息： 发布网络雇凶、网络雇佣追债等违法事件行为。 发布拐卖妇女、儿童、买卖人体器官、提供赴港代孕中介服务、亲子鉴定服务、胎儿鉴定服务等。 发布国家禁止出售的化学品的交易信息，包括但不限于毒品、剧毒化学品、禁止出售的危险化学品、精神类等）。 发布或者存储国家禁止出售的违禁商品/器具类及其相关教程、书籍的交易信息，包括但不限于易燃易爆品、军警服装、管制刀具等）。 相关法律法规参考：《中华人民共和国刑法》、《易制毒化学品管理条例》、《中华人民共和国药品管理法》、《中华人民共和国药品管理法实施条例》、《中华人民共和国禁毒法》、《反兴奋剂条例》、《药品注册管理办法》、《放射性药品管理办法》、《中药品种保护条例》、《麻醉药品和精神药品管理条例》、《互联网药品信息服务管理办法》、《危险品管理条例》等相关法律法规的规定。

功能 说明 对应说明文档 域名名称 1.即加速域名，为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1. CNAME 完成加速域名添加后，系统会为您分配一个天翼云CDN的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向CNAME域名，这样该域名所有的请求才会转向天翼云CDN的节点，实现加速的目的。 域名状态 状态分类：已启用、配置中、已停用。 1.当域名状态为【已启用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【编辑】、【停用】操作。 2.当域名状态为【配置中】时，可以在【域名管理>域名列表】对域名配置进行【查看】操作。 3.当域名状态为【已停用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【启用】操作。 —— 加速类型 依据业务特性，选取合适的加速类型。 加速区域 切换加速区域，变更CDN的服务范围。 创建时间 显示该域名在平台首次创建成功的时间。 —— IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。

支持多种数据库工具 DWS 提供了以下几款自研工具，用户可以在DWS 管理控制台下载相关的工具包。 gsql工具 它是一款运行在Linux操作系统的命令行SQL客户端工具，用于连接DWS 集群中的数据库，并对数据库进行操作和维护。 Data Studio工具 它是一款运行在Windows操作系统上的图形界面SQL客户端工具，用于连接DWS 集群中的数据库、管理数据库和数据库对象，编辑、运行、调试SQL脚本，查看执行计划等。 GDS工具 它是DWS 提供的数据服务工具，通过和外表机制的配合，实现数据的高速导入导出。 GDS工具包需要安装在数据源文件所在的服务器上，数据源文件所在的服务器称为数据服务器，也称为GDS服务器。 DSC SQL语法迁移工具 DSC（Database Schema Convertor）是一款运行在Linux或Windows操作系统上的命令行工具，致力于向客户提供简单、快速、可靠的应用程序SQL脚本迁移服务，通过内置的语法迁移逻辑解析源数据库应用程序SQL脚本，并迁移为适用于DWS 数据库的应用程序SQL脚本。 DSC支持迁移Teradata、Oracle、Netezza、MySQL和DB2数据库的SQL脚本。 gsdump和gsdumpall gsdump支持导出单个数据库或其内的对象，而gsdumpall支持导出集群中所有数据库或各库的公共全局对象。 通过导入工具将导出的元数据信息导入至需要的数据库，可以完成数据库信息的迁移。 gsrestore 在数据库迁移场景下，支持使用gsrestore工具将事先使用gsdump工具导出的文件格式，重新导入DWS集群，实现表定义、数据库对象定义等元数据的导入。

本文介绍如何添加加速域名、前提条件、注意事项等。 前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 未实名认证的用户完成实名认证后才能开通全站加速服务。确认账号是否已实名认证，详情请参见：实名认证。 已开通全站加速服务。详情请参见：开通全站加速服务。 操作步骤 1. 登录客户控制台，选择【域名管理】【域名列表】，这个页面您可以查看已添加的域名的信息，包括域名、CNAME、加速类型、加速区域、IPv6解析、状态、创建时间、标签、操作等信息。点击【添加域名】。 2. 完成基础信息、回源配置、缓存配置、HTTPS配置、访问控制等内容后点击【添加域名】。加速类型选择全站加速，域名类型根据需要选择【全站加速】、【全站加速上传加速】、【全站加速websocket加速】。【全站加速】代表基础的全站加速服务；【全站加速上传加速】代表域名将使用上传加速；【全站加速websocket加速】代表域名可使用websocket协议。 3. 完成添加域名操作，可通过【域名列表】查看该域名所处状态。 4. 操作列可查看、编辑及更多操作等。 5. 加速域名添加后，会出现在【域名管理】【域名列表】中，状态为已启用。审核未通过的，会显示审核不通过。您需确认备案，然后重新添加此域名。

本页介绍天翼云TeleDB数据库数据迁移任务相关操作。 功能概览 数据传输服务支持多种数据源之间的数据迁移，不同数据库的支持情况如下： 源库类型及版本 目标库类型及版本 迁移类型 MYSQL 5.7, 8.0 TELEDB 结构迁移 全量迁移 增量迁移 POSTGRESQL 12, 13, 14, 15 TELEDB 结构迁移 全量迁移 增量迁移 Oracle 12c, 19c, 21c TELEDB 结构迁移 全量迁移 增量迁移 模块架构 管理服务：用户在DCP平台开通DTS实例后，可通过DTS的管理服务来配置一个数据迁移任务，并进行数据迁移任务管理。 核心配置集群：存储迁移任务的核心状态、监控信息。 元数据库：存储配置好的数据迁移任务的元数据信息，例如源库连接地址、目标库连接地址等。 执行模块+迁移模块（工作节点）：用户配置好迁移任务后，由执行模块进行具体的数据迁移工作。数据迁移完成后，由稽核模块进行数据校验。一个管理服务可以管理多个工作节点。 DTS数据迁移提供多种迁移类型：结构对象迁移、全量数据迁移及增量数据迁移。如果需要实现不停服务迁移，需要选择结构对象迁移、全量数据迁移和增量数据迁移。 全量数据迁移过程持续较久，在这个过程中，源实例不断有业务写入，为保证迁移数据的一致性，在全量数据迁移之前，会记录当前源实例的日志位点，存储在本地数据库中。 当全量数据迁移完成后，DTS会启动增量日志回放模块，增量日志回放模块会从增量日志读取模块中获取增量数据，经过反解析、过滤、封装后迁移到目标实例，从而实现增量数据迁移。

参数 参数说明 计费模式 包年/包月：预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。包年/包月集群创建后不能删除。 按需计费：后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 本节以“按需计费”类型为例进行讲解。 区域 不同区域的云服务产品之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 集群名称 新建集群的名称，创建后不可修改。 集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 版本 Kubernetes社区基线版本，建议选择最新的版本。版本升级请参见集群版本升级说明。 若有 Beta 版本时，您可以选择试用，但不建议您将该版本用于商用场景。 集群管理规模 集群管理规模是指当前集群的控制节点可以管理的最大工作节点规模，您可以选择50节点、200节点、1000节点三种管理规模，请根据您的业务需求选择，该规模在集群创建后不可更改，请慎重选择。 若选择“1000节点”，表示当前集群的控制节点最多可管理1000个工作节点。由于不同管理规模的控制节点规格不同，因此配置费用会有差异。 任何一个集群中均包含“Master Node”和“Worker Node”，每一个Node对应一台云服务器。 Master Node：集群的控制节点，在创建集群时会自动创建控制节点，负责整个集群的管理和调度。 Worker Node：集群的工作节点，即用户购买或纳管的节点。工作负载是由控制节点分配的，当某个工作节点宕机时，控制节点会将工作负载转移到其他工作节点上。 控制节点数 多控制节点模式开启后将创建三个控制节点，在单个控制节点发生故障后集群可以继续使用，不影响业务功能。 多控制节点模式开关在集群创建完成后不可变更。 商用场景建议选择多控制节点模式集群。 虚拟私有云 新建集群所在的虚拟私有云，集群创建后不可更改。 虚拟私有云是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 若没有虚拟私有云可选择，请单击“创建虚拟私有云”进行创建，完成创建后单击刷新按钮。 所在子网 节点虚拟机运行的子网环境，集群创建后不可更改。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 若没有子网可选择，请单击“创建子网”进行创建，完成创建后单击刷新按钮。虚拟私有云、子网、集群的关系请参见集群概述。 请确保子网下的DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 集群创建后子网无法修改，请谨慎选择。 网络模型 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 容器隧道网络下只能添加同一类型的节点，即全部为虚拟机节点或全部为裸金属节点。 基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。 VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面等优势，可以满足大多数应用需求。 VPC 网络 VPC网络模式下每个节点占用一条VPC路由规则，Console界面中可显示当前局点支持的VPC路由规则条数，以及每个节点可供分配的容器IP个数（即可创建的Pod实例数目上限）， VPC路由方式与底层网络深度整合，适用于高性能场景，但每个节点占用一条VPC路由规则，节点数量受限于虚拟私有云VPC的路由配额。 VPC网络集群下的每个节点将会被分配固定大小的IP地址段，由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 容器网段 请根据业务需求选择容器网段，确定容器网段后，容器实例将在规划的网段内分配IP，集群创建后该网段不可更改。 未勾选“自动选择”：请手动选择网段。若与子网网段有冲突时将有红色文字提示，请重新选择。建议使用网段：10.0.0.0/8~18，172.16.0.0/16~18，192.168.0.0/16~18。 不同集群使用相同的容器网段，会导致容器IP 冲突，应用访问异常。 勾选“自动选择”：系统将自动分配与子网网段无冲突的网段。 容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。设置掩码后，选项下方会有当前网段最多支持的实例估算值，请作参考。 服务网段 服务网段为kubernetes service ip网段，集群创建后该网段不可更改。服务网段与已创建的路由不能冲突，如果冲突，请重新选择。 使用默认网段：默认设置为10.247.0.0/16网段。 手动设置网段：请根据业务需求设置合理的网段和掩码，掩码决定集群内可用service ip数量。 认证方式 认证机制主要用于对集群下的资源做权限控制。例如A用户只能对某个命名空间下的应用有读写权限，B用户对集群下的资源只有读权限等。角色权限控制的操作请参见集群管理权限控制。 默认状态下不选定“认证能力增强”，此时默认开启X509认证模式，X509是一种非常通用的证书格式。 若需要对集群进行权限控制，请勾选“认证能力增强”，选择“认证代理”。 单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书，并 勾选“我已确认上传的证书合法” 。 证书若不合法，集群将无法创建成功。请上传小于1MB的文件，上传格式支持.crt或.cer格式。 集群描述 选填，请输入新建容器集群相应的描述信息。 高级设置 单击“高级设置”后展开详细项目，支持的功能如下（当前可用区中不支持的功能将隐藏）： 服务转发模式： iptables：社区传统的kubeproxy模式，完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题。 ipvs：在社区获得广泛支持的kubeproxy模式，采用增量式更新，吞吐更高，速度更快，并可以保证service更新期间连接保持不断开，适用于大规模场景。 ipvs模式下，ingress和service使用相同的ELB实例时，无法在集群内的节点和容器中访问ingress。 说明 ipvs为大型集群提供了更好的可扩展性和性能。 ipvs支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。 ipvs支持服务器健康检查和连接重试等。 CPU 管理策略： 开启：支持给工作负载实例配置CPU独占，适用于对CPU缓存和调度延迟敏感的工作负载。 关闭：关闭工作负载实例独占CPU核的功能，优点是CPU共享池的可分配核数较多。 购买时长 若选择创建“包年/包月”的集群，请设置购买时长。

Basic Auth类型访问凭证 Basic Auth类型访问凭证创建参数说明如下： 参数名称 是否必填 参数说明 凭证名称 是 访问凭证名称同租户下唯一。 凭证名称规则：必须以字母开头，只能包含字母、数字、中划线和下划线，长度132个字符。 描述 否 访问凭证描述。 认证类型 是 认证类型支持3种，即：API Key、Basic Auth和JWT 用户名 是 用户名规则：必须以字母开头，只能包含字母、数字、下划线和中划线，长度132个字符。 密码 是 密码长度832个字符。 JWT类型访问凭证 JWT类型访问凭证创建参数说明如下： 参数名称 是否必填 参数说明 凭证名称 是 访问凭证名称同租户下唯一。 凭证名称规则：必须以字母开头，只能包含字母、数字、中划线和下划线，长度132个字符。 描述 否 访问凭证描述。 认证类型 是 认证类型支持3种，即：API Key、Basic Auth和JWT JWKS配置 是 JWKS目前只支持RS256算法 生成JWKS配置以及JWT，可以参考如下golang程序 plaintext func TestRsaJwksAndJWT(t testing.T) { // 定义要测试的 RSA 签名算法列表 algs : []string{ jwt.SigningMethodRS256.Name, } // 存储每种算法对应的私钥，用于后续 JWT 签名 privateKeys : make(map[string]rsa.PrivateKey) // 构建 JWKS keySet : jwk.NewSet() // 为每种算法生成独立的 RSA 密钥对，并添加到 JWKS for , alg : range algs { // 生成 RSA 密钥对 privateKey, err : rsa.GenerateKey(rand.Reader, 2048) if err ! nil { t.Fatalf("生成 RSA 私钥失败 (alg%s): %v", alg, err) } privateKeys[alg] privateKey // 从私钥获取公钥 publicKey : &privateKey.PublicKey // 构建 JWK jwkKey, err : jwk.FromRaw(publicKey) if err ! nil { t.Fatalf("构建 JWK 失败 (alg%s): %v", alg, err) } // 设置必要属性 if err : jwkKey.Set(jwk.KeyUsageKey, "sig"); err ! nil { t.Fatalf("设置 use 属性失败 (alg%s): %v", alg, err) } if err : jwkKey.Set(jwk.AlgorithmKey, alg); err ! nil { t.Fatalf("设置 alg 属性失败 (alg%s): %v", alg, err) } // 设置唯一的 kid（基于算法名称） kid : fmt.Sprintf("%skey", alg) if err : jwkKey.Set(jwk.KeyIDKey, kid); err ! nil { t.Fatalf("设置 kid 属性失败 (alg%s): %v", alg, err) } // 添加到 JWKS keySet.AddKey(jwkKey) // 打印 PEM 格式的私钥和公钥 fmt.Printf(" RSA 密钥对 (alg%s) n", alg) privateKeyPEM : pem.EncodeToMemory(&pem.Block{ Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(privateKey), }) fmt.Println("私钥 (PEM):") fmt.Println(string(privateKeyPEM)) publicKeyBytes, err : x509.MarshalPKIXPublicKey(publicKey) if err ! nil { t.Fatalf("序列化公钥失败 (alg%s): %v", alg, err) } publicKeyPEM : pem.EncodeToMemory(&pem.Block{ Type: "PUBLIC KEY", Bytes: publicKeyBytes, }) fmt.Println("公钥 (PEM):") fmt.Println(string(publicKeyPEM)) fmt.Println() } // 序列化 JWKS 为 JSON jwksJSON, err : json.MarshalIndent(keySet, "", " ") if err ! nil { t.Fatalf("序列化 JWKS 失败: %v", err) } fmt.Println(" JWKS (包含所有算法的公钥) ") fmt.Println(string(jwksJSON)) // 标准载荷（RegisteredClaims） now : time.Now() claims : &jwt.RegisteredClaims{ Issuer: "exampleissuer", Subject: "1234567890", Audience: []string{"exampleaudience"}, ExpiresAt: jwt.NewNumericDate(now.Add(time.Hour 24 30)), NotBefore: jwt.NewNumericDate(now), IssuedAt: jwt.NewNumericDate(now), ID: "uniquejwtid" + now.Format("20060102150405"), } // 遍历每种算法，生成并验证 JWT for , alg : range algs { t.Run(alg, func(t testing.T) { privateKey : privateKeys[alg] // 创建 JWT 令牌 token : jwt.NewWithClaims(jwt.GetSigningMethod(alg), claims) // 签名 signedToken, err : token.SignedString(privateKey) if err ! nil { t.Fatalf("签署 JWT 失败 (alg%s): %v", alg, err) } fmt.Printf(" JWT (alg%s) n%snn", alg, signedToken) // 验证 JWT：从 JWKS 中根据 kid 匹配公钥（kid 格式为 "算法key"） parsedSet, err : jwk.Parse(jwksJSON) if err ! nil { t.Fatalf("解析 JWKS 失败: %v", err) } // 根据算法构造期望的 kid expectedKid : fmt.Sprintf("%skey", alg) // 通过 LookupKeyID 直接获取对应的 JWK targetKey, ok : parsedSet.LookupKeyID(expectedKid) if !ok { t.Fatalf("未找到 kid 为 %s 的公钥", expectedKid) } var pubKeyRaw interface{} if err : targetKey.Raw(&pubKeyRaw); err ! nil { t.Fatalf("获取原始公钥失败: %v", err) } // 解析并验证签名 parsedToken, err : jwt.ParseWithClaims(signedToken, &jwt.RegisteredClaims{}, func(token jwt.Token) (interface{}, error) { if token.Method.Alg() ! alg { return nil, jwt.ErrSignatureInvalid } return pubKeyRaw, nil }, jwt.WithLeeway(5time.Second)) if err ! nil { t.Fatalf("验证 JWT 失败: %v", err) } if !parsedToken.Valid { t.Fatal("JWT 无效") } // 验证载荷 gotClaims, ok : parsedToken.Claims.(jwt.RegisteredClaims) if !ok { t.Fatal("Claims 类型不正确") } if gotClaims.Subject ! claims.Subject { t.Errorf("subject 不匹配: got %v, want %v", gotClaims.Subject, claims.Subject) } if gotClaims.Issuer ! claims.Issuer { t.Errorf("issuer 不匹配: got %v, want %v", gotClaims.Issuer, claims.Issuer) } t.Logf("算法 %s 验证通过", alg) }) } }

本文为您介绍DRDS实例的全局日志(全局Binlog),以及使用流程。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 全局Binlog介绍 DRDS实例的全局日志（全局Binlog）是一种二进制日志文件，内容包括该DRDS实例所有的DML操作以及DDL操作，同时为了便于一致性恢复，全局Binlog中也包含DRDS实例元数据和全局一致性位点信息。DRDS全局Binlog兼容MySQL Binlog格式，由CDC（Change Data Capture）节点生成。CDC节点完全兼容MySQL的Binlog dump协议，第三方程序可以像消费（即使用工具实时解析或处理全局Binlog，或进行数据同步等）单个MySQL实例的Binlog一样消费全局Binlog。 工作原理 DRDS由计算节点（Compute Node，简称CN）和存储节点（Data Node，简称DN）组成，存储节点为独立的RDS实例。CDC会存储DRDS实例的元信息，例如逻辑库和逻辑表的对应关系、物理库与物理表的对应关系、白名单表等。CDC使用dump协议，以slave的角色从各DN节点拉取Local Binlog（即RDS产生的Binlog），然后对Local Binlog进行整形、去重、合并等，最终生成全局Binlog。DRDS实例全局Binlog架构如下： 全局Binlog完全采用单机MySQL Binlog的格式，能够提供与单机MySQL数据库相同的使用体验。同时CDC支持dump协议，无论是将全局Binlog日志同步到下游的大数据系统，还是作为DRDS实例的的备份，均可通过直接订阅全局Binlog来实现。您只需在创建DRDS实例后，创建日志节点并完成初始化（也可以在创建DRDS实例时同步创建日志节点，待创建完毕后，再进行日志节点初始化操作），即可生成全局Binlog日志。 注意 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。

添加设备 在添加设备的接入配置页面，若选择启用GB35114协议，则无需选择GB28181凭证即可完成设备创建。 SIP信息获取 GB35114设备注册前，还需要获取SIP信息和国标ID等信息，用户可以进入设备详情页查看。 接入信息：获取国标ID。 SIP信息：可获取SIP服务器ID、SIP服务器域、SIP服务器地址、SIP服务器TCP端口和UDP端口。 设备控制台创建证书 登录设备自身的管理控制台，平台接入方式下拉选择【28181】并勾选【启用国密模式】，将设备信息对应填入并点击【保存】后，在证书管理模块点击【创建】证书。 在弹出的窗口中填入相应的信息（国家或地区、密码、省/州、地区、组织、单位和邮件），点击【确定】完成证书创建并下载到本地。 平台侧创建GB35114凭证 在平台侧的凭证管理页面，点击【新建GB35114凭证】，选择刚刚下载到本地的证书并上传，平台可自动解析证书并显示设备名称和国标ID等信息，配置好证书截止有效时间后点击【确定】完成创建，详情可参考【凭证管理GB35114凭证】。 创建完成后可在凭证列表查看到该凭证为未使用状态，下载证书到本地。 下载的证书压缩包包含三个证书文件：SIP服务器CA证书、SIP服务器证书和设备证书。

功能 功能描述 创建函数 当前支持三种函数的创建： 1. 标准运行时函数：按照函数计算内置的标准运行时及内置定义的接口，编写程序来处理事件请求或HTTP请求 2. 自定义运行时函数：迁移框架应用或基于各种流行框架如 Flask、Express、SpringBoot 等编写程序 3. 容器函数：迁移容器应用或 GPU应用，使用容器镜像方式部署函数 版本管理 函数具有版本快照的属性，不同的版本可以有不同的业务逻辑或者实现方式，用于函数功能迭代的一种重要管理手段。 别名管理 可以为函数创建别名，它是一个指向特定版本的指针，用于简化发布、回滚和灰度发布过程。别名解析至其指向的版本，使得调用方无需关心具体版本。可以通过别名实现灰度发布。通过线上新旧版本共存的方式，可以先小范围验证新版本，再逐步切换流量至新版本，实现平滑过渡。 配置环境变量 环境变量可以作为一类特殊的配置，配置环境变量支持在不修改代码的情况下，实现配置的变更，从而支持业务新特性或者新逻辑。 配置网络 默认情况下，函数可以通过公网调用或者访问公网。若需访问VPC资源或允许VPC调用函数，可以通过配置网络来实现。 配置日志 配置日志项目和库，并授权函数访问日志服务。函数日志可以配置存储到日志服务中，便于分析和排查问题，或者用于统计或审计的需要。 配置存储 可为函数配置NAS或ZOS挂载，使得函数能像使用本地文件系统一样访问这些存储服务。 管理函数层 层提供公共依赖库、运行时环境和函数扩展，减少函数部署或更新时的代码包体积，节省存储，提高函数构建部署速度。 配置权限 可以给函数授权角色和角色策略，决策策略定义了函数能访问哪些资源。

API安全网关 API全生命周期管理：多协助开发者轻松完成API的创建、维护、发布、监控、参数校验等整个生命周期的管理。 API攻击防护：内置丰富的攻击检测规则，对OWASP top 10等常见的web和API风险漏洞提供有效的攻击防护。 API限流限速：支持基于API、服务、API调用者三个维度的限流限速功能，以保护你的后端服务。 灵活的API访问控制：支持高度可配置的访问控制策略，涵盖但不限于IP白名单/黑名单、请求URL匹配、HTTP方法限制、请求体校验、Host头验证及Referer检查等。 API动态脱敏与水印溯源：自动识别和梳理API中传输的敏感数据，针对不同的API调用者配置动态脱敏功能和水印算法。 API监控审计：提供API访问行为的全量审计功能和访问行为分析功能，方便事后追踪溯源。 API风险监测 自动化盘点应用API，掌握数据资产全貌：采集API日志支持加密流量解析；维持最新的API清单让API清晰可见，多种API打标维度让API可管 。 API分类分级管控：快速定义数据的敏感等级，包括金融、运营商、政务在内的14个分类分级模版，同时识别API上面传输的敏感数据，监测数据流动，例如：手机号、姓名等。 数据安全风险分析：提供API 脆弱性风险、用户行为风险、用户行为画像等多重种数据安全风险统计分析能力。 API行为风险监测：内置行为风险自动监测引擎，对用户异常调用API获取数据行为等进行实时监控预警，发现逾需拉取、数据爬取等行为风险。 留存全量日志，实现全面溯源可查：统一操作日志格式，为常用的审计景添加检索引，检索相应速度更快，运营操作更友好；内置API数据安全运营报表、资产治理专项报表以及特殊场景安全评估报表，如：疑似下线资产审计等，可通过邮箱订阅报表