本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

操作场景 若需要对集群中的资源进行权限控制，（例如A用户只能对某个命名空间下的应用有读写权限，B用户只能对集群下的资源有读权限等），请参照本章节操作。 操作步骤 步骤 1 若需要对集群进行权限控制，请在创建集群时的“认证方式”参数后勾选“认证能力增强”，选择“认证代理”。单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书。 步骤 2 通过kubectl创建角色。 下面的例子展示了如何创建一个角色，并允许该角色读取default空间下的所有Pod。参数详细解释请参见Kubernetes官方文档。 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: podreader rules: apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] 步骤 3 通过kubectl创建角色绑定。 下面的例子给出RoleBindings赋予default命名空间下的podreader的角色给用户jane。该策略允许用户jane可以读取default命名空间下的所有pods。参数详细解释请参见Kubernetes官方文档。 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: readpods namespace: default subjects: kind: User name: jane 的用户名 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: podreader 创建的角色名 apiGroup: rbac.authorization.k8s.io 步骤 4 创建角色并与用户绑定成功后，请在接口请求的headers中携带用户信息以及集群创建时上传的证书访问kubernetes接口。例如调取查询pod的接口时，执行命令如下： curl k H "XRemoteUser: jane" cacert /root/tlsca.crt key /root/tls.key cert /root/tls.crt 返回200表示访问成功，返回403表示没有权限访问。 说明：为避免命令执行失败，请提前把证书上传到/root目录下。 参数解释如下： XRemoteUser: jane：请求头固定为XRemoteUser，jane为用户名。 tlsca.crt ：创建集群时上传的CA根证书。 tls.crt：与集群创建时所上传的CA根证书配套的客户端证书。 tls.key：与集群创建时所上传的CA根证书配套的客户端秘钥。 192.168.23.5:5443：为连接集群的地址，获取方式如下： 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群的名称，在集群基本信息中获取“内网apiserver地址”后的IP地址和端口号。 说明 CCE支持天翼云帐号和IAM用户分别下载config文件（kubeconfig.json），IAM用户下载的config文件只有30天的有效期，而天翼云帐号下载的config文件会长期有效。该文件用户对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 IAM用户下载的config文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 另外，还支持XRemoteGroup的头域：用户组名，在做RoleBinding时，可以将Role与Group进行绑定，并在访问集群时携带用户组信息。

本文主要介绍CCE发布Kubernetes 1.25版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.25版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.25版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.25 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.25变更说明 CCE v1.25集群的节点均默认采用Containerd容器引擎。 社区1.25 ReleaseNotes 清理iptables链的所有权 Kubernetes通常创建iptables链来确保这些网络数据包到达，这些iptables链及其名称属于Kubernetes内部实现的细节，仅供内部使用场景，目前有些组件依赖于这些内部实现细节，Kubernetes总体上不希望支持某些工具依赖这些内部实现细节。 在Kubernetes 1.25版本后，Kubelet通过IPTablesCleanup特性门控分阶段完成迁移，是为了不在NAT表中创建iptables链，例如KUBEMARKDROP、KUBEMARKMASQ、KUBEPOSTROUTING。 存储驱动的弃用和移除，移除云服务厂商的intree卷驱动。 社区1.24 ReleaseNotes 在Kubernetes 1.24版本后，Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。请使用自定义annotation。 在Kubernetes 1.24版本后，kubeapiserver移除参数address、insecurebindaddress、port、insecureport0。 在Kubernetes 1.24版本后，kubecontrollermanager和kubescheduler移除启动参数port0和address。 在Kubernetes 1.24版本后，kubeapiserver auditlogversion和auditwebhookversion仅支持audit.k8s.io/v1，Kubernetes 1.24移除audit.k8s.io/v1[alphabeta]1，只能使用audit.k8s.io/v1。 在Kubernetes 1.24版本后，kubelet移除启动参数networkplugin，仅当容器运行环境设置为Docker时，此特定于Docker的参数才有效，并会随着Dockershim一起删除。 在Kubernetes 1.24版本后，动态日志清理功能已经被废弃，并在Kubernetes 1.24版本移除。该功能引入了一个日志过滤器，可以应用于所有Kubernetes系统组件的日志，以防止各种类型的敏感信息通过日志泄漏。此功能可能导致日志阻塞，所以废弃。 VolumeSnapshot v1beta1 CRD在Kubernetes 1.20版本中被废弃，在Kubernetes 1.24版本中移除，需改用v1版本。 在Kubernetes 1.24版本后，移除自1.11版本就废弃的service annotation tolerateunreadyendpoints，使用Service.spec.publishNotReadyAddresses代替。 在Kubernetes 1.24版本后，废弃metadata.clusterName字段，并将在下一个版本中删除。 Kubernetes 1.24及以后的版本，去除了kubeproxy监听NodePort的逻辑，在NodePort与内核net.ipv4.iplocalportrange范围有冲突的情况下，可能会导致偶发的TCP无法连接的情况，导致健康检查失败、业务异常等问题。升级前，请确保集群没有NodePort端口与任意节点net.ipv4.iplocalportrange范围存在冲突。

本章节主要介绍MRS集群中的用户与权限。 概述 MRS集群用户 Manager中的安全帐号，包含用户名、密码等属性，MRS集群的使用者通过这类用户访问集群中的资源。每个启用Kerberos认证的MRS集群可以有多个用户。 MRS集群角色 用户在实际使用MRS集群时需根据业务场景获取访问资源的权限，访问资源的权限是定义到MRS集群对象上的。集群的角色就是包含一个或者多个权限的集合。例如，HDFS中某个目录的访问权限，需要在指定的目录上配置，并保存在角色中。 Manager支持MRS集群用户权限管理功能，使权限管理与用户管理更加直观、易用。 权限管理：使用RBAC（RoleBased Access Control）方式，即基于角色授予权限，形成权限的集合。用户通过分配一个或多个已授权的角色取得对应的权限。 用户管理：使用Manager统一管理MRS集群用户，并通过Kerberos协议认证用户，LDAP协议存储用户信息。 权限管理 MRS集群提供的权限包括Manager和各组件（例如HDFS、HBase、Hive和Yarn等）的操作维护权限，在实际应用时需根据业务场景为各用户分别配置不同权限。为了提升权限管理的易用性，Manager引入角色的功能，通过选取指定的权限并统一授予角色，以权限集合的形式实现了权限集中查看和管理，提升了权限管理的易用性和用户体验。 角色可以理解为集中一个或多个权限的逻辑体，角色被授予指定的权限，用户通过绑定角色获得对应的权限。 一个角色可以有多个权限，一个用户可以绑定多个角色。 角色1：授予操作权限A和B，用户a和用户b通过绑定角色1取得对应的权限。 角色2：授予操作权限C，用户c和用户d通过绑定角色2取得对应的权限。 角色3：授予操作权限D和F，用户a通过绑定配角色3取得对应的权限。 例如，MRS集群用户绑定了管理员角色，那么这个用户成为MRS集群的管理员用户。 Manager界面显示系统默认创建的角色如下表所示。 Manager默认角色与描述 默认角色 角色描述 default 为租户创建的角色。 Manageradministrator Manager管理员，具有Manager的管理权限。 Managerauditor Manager审计员，具有查看和管理审计信息的权限。 Manageroperator Manager操作员，具有除租户管理、配置管理和集群管理功能以外的权限。 Managerviewer Manager查看员，具有查看系统概览，服务，主机，告警，审计日志等信息的权限。 Systemadministrator 系统管理员，具有Manager的管理权限及所有服务管理员的所有权限。 Managertenant Manager租户管理页面查看角色，具有Manager“租户管理”页面查看权限。 通过Manager创建角色时支持对Manager和组件进行授权管理，如下表所示。 Manager与组件授权管理 授权类型 授权描述 Manager Manager访问与登录权限。 HBase HBase管理员权限设置和表、列族授权。 HDFS HDFS中的目录和文件授权。 Hive Hive Admin Privilege Hive管理员权限。 Hive Read Write Privileges Hive数据表管理权限，可设置与管理已创建的表的数据操作权限。 Hue 存储策略管理员权限。 Yarn Cluster Admin Operations Yarn管理员权限。 Scheduler Queue 队列资源管理。

对于通过Spring @Async标签或者Java Executors实现的异步任务,APM默认支持对其进行监控。若您的异步任务出现接口超时等异常,可以通过调用链路查看异步任务上下游以便及时处理潜在问题。 前置条件 该功能要求ARMS探针版本为公测版本v1.1.1及以上。 方式一：默认支持Spring @Async标签 APM默认支持监控使用Spring @Async标签实现的异步任务。对于下列Spring框架中默认的Executor和Task，APM会自动完成增强： Executor： org.springframework.scheduling.concurrent.ConcurrentTaskExecutor org.springframework.core.task.SimpleAsyncTaskExecutor org.springframework.scheduling.quartz.SimpleThreadPoolTaskExecutor org.springframework.core.task.support.TaskExecutorAdapter org.springframework.scheduling.concurrent.ThreadPoolTaskExecutor org.springframework.scheduling.concurrent.ThreadPoolTaskScheduler org.springframework.jca.work.WorkManagerTaskExecutor org.springframework.scheduling.commonj.WorkManagerTaskExecutor Task： org.springframework.aop.interceptor.AsyncExecutionInterceptor$1 org.springframework.aop.interceptor.AsyncExecutionInterceptorLambda$ 方式二：通过增强Runnable接口、Callable接口和Executor 当您没有使用spring框架时，上述场景无法满足需求时，也可以通过自动增强Runnable接口、Callable接口和Executor，在异步线程中完成调用链串联，实现异步任务监控。 增强Runnable接口和Callable接口 public class MyRunnable implements Runnable { @Override public void run() { // 在这里定义需要在新线程中执行的任务逻辑 for (int i 0; i < 5; i++) { System.out.println("Thread ID: " + Thread.currentThread().getId() + " Count: " + i); } } public static void main(String[] args) { // 创建一个Runnable实例 Runnable myRunnable new MyRunnable(); // 创建线程并将Runnable实例传递给线程 Thread thread1 new Thread(myRunnable); Thread thread2 new Thread(myRunnable); // 启动线程 thread1.start(); thread2.start(); } }

条件键 描述 ctyun:Referer 与字符串运算符结合使用。用于检查请求中的Referer请求头。 ctyun:SecureTransport 与布尔值运算符结合使用。检查请求是否是使用SSL发送的。 ctyun:SourceIp 与IP地址运算符结合使用。用于检查请求者的IP地址。 ctyun:UserAgent 与字符串运算符结合使用。用于检查请求者的客户端应用程序。

授予最小权限 最小权限原则是标准的安全建议，您可以使用IAM提供的系统权限，或者自己创建自定义策略，给帐号中的用户仅授予刚好能完成工作所需的权限，通过最小权限原则，可以帮助您安全地控制用户对天翼云云资源的访问。 同时，建议为使用API、CLI、SDK等开发工具访问云服务的IAM用户，授予自定义策略，通过精细的权限控制，减小因访问密钥泄露对您的帐号造成的影响。 开启虚拟MFA功能 MultiFactor Authentication (简称MFA) 是一种非常简单的安全实践方法，建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬件也可以基于软件，系统目前仅支持基于软件的虚拟MFA，虚拟MFA是能产生6位数字认证码的应用程序，此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。 设置敏感操作 设置敏感操作后，如果您或者您帐号中的用户进行敏感操作时，例如删除资源，需要进行验证码验证，避免误操作带来的风险和损失。 定期修改身份凭证 如果您不知道自己的密码或访问密钥已泄露，定期进行修改可以将不小心泄露的风险降至最低。 定期更改账号密码可以通过账号中心密码修改进行。 轮换访问密钥可以通过创建两个访问密钥进行，将两个访问密钥作为一主一备，一开始先使用主访问密钥一，一段时间后，使用备访问密钥二，然后在控制台删除主访问密钥一，并重新生成一个访问密钥，在您的应用程序中定期轮换使用。

镜像类型 费用 公共镜像 统信桌面操作系统V20专业版可免费使用90天，试用期到期后需用户自行购买激活码。 统信服务器操作系统操作系统等公共镜像收费，收费标准详见下表。 私有镜像 通过云主机创建系统盘镜像、数据盘镜像：免费。 系统盘镜像、数据盘镜像存储在OBS桶中，但并非用户的私有桶，对用户不可见，镜像的管理维护必须通过镜像服务来实现，目前这部分存储免费供用户使用。 通过镜像文件创建系统盘镜像、数据盘镜像或ISO镜像：收取镜像文件在OBS桶的存储费用。 创建整机镜像：涉及的费用为云主机备份或云服务备份的存储费用。使用云主机备份创建整机镜像，收取镜像关联的云主机备份费用；使用云服务备份创建整机镜像，收取镜像关联的云服务备份费用。 共享镜像 来源于他人共享的系统盘镜像、数据盘镜像：免费。 来源于他人共享的整机镜像：涉及云服务备份存储费用。 说明：仅云服务备份创建的整机镜像支持共享。

本节介绍了容器镜像服务的续订说明。 到期前续费 手动续订：对于包年/包月订购的容器镜像服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考：费用中心续订管理手动续订 自动续订：自动续订仅针对采用包月、包年计费模式的资源。详细操作请参考：费用中心续订管理自动续订 到期处理 到期后，容器镜像服务进入保留期，您将不能正常访问及使用天翼云容器镜像服务企业版，但对于您存储在镜像服务中的数据予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 若到期15天后您仍未续费，镜像服务中的数据将被删除(用户对象存储桶中的数据不会删除)。 充值 为防止相关资源不被停止或者释放，请及时进行充值，为避免帐号将进入欠费状态，需要在约定时间内支付欠款。

模型配置 单机版 Deepseek GPU 云主机在完成部署后，会自动匹配云主机本地模型，刷新进入首页，可以看到，模型下拉列表中，可以选择我们部署的deepseekr1 模型。 您可以主动设置您的模型连接，以体验任意第三方连接。以ollama和vllm提供的服务为例，进入“管理员面板” > “设置” > “外部链接”，如果使用的 vllm 则填入您的vllm地址和 apikey，如果使用ollama 则填入您的ollama地址，点击保存后即可使用模型。 设置模型可见性。 多用户模式下，建议把模型设置为public，如此才能让模型被所有用户看到。进入“管理员面板” > “设置” > “模型”，并点击编辑。 将模型可见性设置为 public 并点击保存。 最后，我们尝试下问一个问题，模型可以正常回答问题。

本文介绍如何使用日志服务器。 功能介绍 使用日志服务器功能，将攻击日志、告警日志投递至syslog日志服务器。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 新建syslog日志服务器 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务日志服务器】菜单，点击新增。 3. 配置说明如下： 配置说明 配置项 说明 服务器名称 日志服务器的名称 状态 启用时直接开始外发日志；禁用时只是添加记录，不会立即外发日志 协议 默认UDP，下拉支持选择TCP 服务器地址 syslog服务器地址 端口 syslog服务器端口 描述 非必填 日志类型 攻击日志：当前客户的攻击日志 管理日志服务器 新建完日志服务器后，可以进行禁用/启用日志服务器、编辑、删除等管理操作。

使用云服务基线相关功能时，需要先参考本章节设置检查计划。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，选择待创建计划所在的区域，并单击“创建计划”，系统右侧弹出新建检查计划页面。 5. 配置检查计划。 1. 填写基本信息，具体参数配置如下表所示。 参数名称 参数说明 计划名称 自定义检查计划的名称。 检查时间 选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:0006:00、06:0012:00、12:0018:00、18:0024:00 2. 选择检查规范。选择需要检测的基线检查项目。更多关于基线检查项目详细描述请参见云服务基线简介。 3. 单击“确定”。 6. 检查计划创建完成。 SA会在指定的时间执行云服务基线扫描，扫描结果可以在“安全 > 态势感知 > 基线检查”中查看。

等保咨询服务订购页报价为全国指导价，仅针对等保初次测评。不同省份、资产数量、业务系统、不同所属行业价格不一，具体以项目实际报价为准。有购买意愿建议联系客户经理或拨打客服电话获取安全专家定制服务。 订购 CTYUN官网下单（自助下单） 客户登录天翼云门户网站，完成会员登录（未注册会员需先完成注册）选择“产品”“安全及管理”“等保咨询”开通。 本产品不涉及升级，有订购需求，如错误订购简化版，请在服务未开始时退订。 1.进入天翼云官网 2.进入等保咨询详情页 3.根据页面提示填写提交 试用 本产品不支持试用。 续订 本产品有效期自订购后为1年，不支持续订，第二年有等保需求可重新购买。 退订 在服务正式开始前可以申请退款，一旦服务正式开始提供产生工作量则不提供退款服务。

本章节主要介绍istio资源管理 网格中服务关联的istio资源（如VirtualService、DestinationRule）如需修改，可以在“istio资源管理”中以YAML或JSON格式进行编辑。同时，还支持创建新的istio资源。 编辑已有istio资源 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网格配置”，单击“istio资源管理”页签。 步骤 3 在搜索框中选择istio资源类型（如“istio资源：virtualservices”），以及资源所属命名空间。 步骤 4 单击操作列的“编辑”，在右侧页面修改相关配置后单击“确定”保存。 支持以YAML或JSON格式显示，同时可以将配置文件下载到本地。 创建新的istio资源 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网格配置”，单击“istio资源管理”页签。 步骤 3 单击列表左上方的“创建”。 步骤 4 在右侧页面直接输入内容，或者单击“导入文件”，将本地编辑好的YAML或JSON文件上传上来。 步骤 5 确认信息无误后，单击“确定”。

本文向您介绍如何修改企业版VPN网关策略模板。 场景描述 若VPN网关规格为“专业型1非固定IP”或“专业型2非固定IP”，您可以在VPN网关页面修改策略模板。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，选择目标VPN网关所在行，单击操作列“查看/修改策略模板”，在“策略模板”页签下单击“修改策略模板”进行修改。 说明 修改策略模板后，以非固定IP接入的对端网关需要更新对应配置重新接入，否则会导致连接中断。 表策略模板参数说明 参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √ 4. 单击“确定”完成修改。

编辑模型 仅支持编辑自定义创建的模型。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型列表中，单击目标模型所在行“操作”列的“编辑”，右侧弹出编辑告警模型页面。 6. 在编辑告警模型页面中，配置告警模型基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 选择该告警模型的执行管道。暂不支持编辑 。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 该告警模型的描述信息。 7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 8. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句分析语句，查询分析语句语法详细内容请参见查询与分析语法。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 10. 预览确认无误后，单击页面右下角“确定”。

组播的定义 组播（Multicast）是一种网络通信模式，适用于需要将相同的数据从一个主机同时传送给多个接收者的应用。组播技术能够有效地解决单点发送、多点接收的问题，从而实现了网络中点到多点的高效数据传送，能够节约大量网络带宽、降低网络负载。利用组播技术可以方便地提供一些新的增值业务，包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等对带宽和数据交互的实时性要求较高的信息服务。 组播的优势 在点对多点的网络通信场景中，相对于单播和广播通信模式，组播通信模式可以帮助您减轻服务器负载并提高带宽的利用率。 单播方式的信息传输： 单播通信模式中，信息源要为每个需要信息的主机都发送一份独立的信息拷贝。采用单播方式时，网络中传输的信息量与需要该信息的用户量成正比，因此当需要该信息的用户数量较大时，信息源需要将多份内容相同的信息发送给不同的用户，这对信息源以及网络带宽都将造成巨大的压力。如下图1所示。 图1：单播方式的信息传输 从单播方式的信息传播过程可以看出，该传输方式不利于信息的批量发送。 广播方式的信息传输： 广播通信模式中，信息源将把信息传送给该网段中的所有主机，而不管其是否需要该信息。若将该信息在网段中进行广播，则原本不需要信息的主机也将收到该信息，这样不仅信息的安全性得不到保障，而且会造成同一网段中信息的泛滥。如下图2所示。 图2：广播方式的信息传输 从广播方式的信息传播过程可以看出，广播不利于与特定对象进行数据交互，并且还浪费了大量的带宽。 组播方式的信息传输： 在组播通信模式下，组播源仅需发送一份信息，借助组播路由协议建立组播分发树。在传输过程中，组播网关也只需要转发一份组播报文，在转发组播报文过程中，只需要依据客户端的位置，在客户端临近的组播网关上复制转发组播报文即可，有效减轻服务器负载，节省带宽。如下图3所示。 图3：组播方式的信息传输 综上所述，组播的优势归纳如下： 相比单播来说，组播的优势在于：由于被传递的信息在距信息源尽可能远的网络节点才开始被复制和分发，所以用户的增加不会导致信息源负载的加重以及网络资源消耗的显著增加。 相比广播来说，组播的优势在于：由于被传递的信息只会发送给需要该信息的接收者，所以不会造成网络资源的浪费，并能提高信息传输的安全性；另外，广播只能在同一网段中进行，而组播可以实现跨网段的传输。

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

本页介绍天翼云TeleDB数据库什么时候记录日志相关参数。 clientminmessages (enum) 控制被发送给客户端的消息级别。有效值是DEBUG5、 DEBUG4、DEBUG3、DEBUG2、 DEBUG1、LOG、NOTICE、 WARNING、ERROR、FATAL和PANIC。每个级别都包括其后的所有级别。级别越靠后，被发送的消息越少。默认值是NOTICE。注意LOG在这里有与logminmessages中不同的排名。 logminmessages (enum) 控制哪些消息级别被写入到服务器日志。有效值是DEBUG5、DEBUG4、 DEBUG3、DEBUG2、DEBUG1、 INFO、NOTICE、WARNING、 ERROR、LOG、FATAL和 PANIC。每个级别都包括以后的所有级别。级别越靠后，被发送的消息越少。默认值是WARNING。注意LOG在这里有与logminmessages中不同的排名。只有超级用户可以改变这个设置。 logminerrorstatement (enum) 控制哪些导致一个错误情况的SQL 语句被记录在服务器日志中。任何指定严重级别或更高级别的消息的当前 SQL 语句将被包括在日志项中。有效值是DEBUG5、 DEBUG4、DEBUG3、 DEBUG2、DEBUG1、 INFO、NOTICE、 WARNING、ERROR、 LOG、 FATAL和PANIC。默认值是ERROR，它表示导致错误、日志消息、致命错误或恐慌错误的语句将被记录在日志中。要有效地关闭记录失败语句，将这个参数设置为PANIC。只有超级用户可以改变这个设置。 logmindurationstatement (integer) 如果语句运行至少指定的毫秒数，将导致记录每一个这种完成的语句的持续时间。将这个参数设置为零将打印所有语句的执行时间。设置为1 （默认值）将停止记录语句持续时间。例如，如果你设置它为250ms，那么所有运行 250ms 或更久的 SQL 语句将被记录。启用这个参数可以有助于追踪应用中未优化的查询。只有超级用户可以改变这个设置。对于使用扩展查询协议的客户端，解析、绑定和执行步骤的持续时间将被独立记录。注意当把这个选项和logstatement一起使用时，已经被logstatement记录的语句文本不会在持续时间日志消息中重复。如果你没有使用syslog，我们推荐你使用loglineprefix记录 PID 或会话 ID，这样你可以使用进程 ID 或会话 ID 把语句消息链接到后来的持续时间消息。 表1解释了TeleDB所使用的消息严重级别。如果日志输出被发送到syslog或 Windows 的eventlog，严重级别会按照表中所示进行转换。 表61 表1 消息严重级别 严重性 用法 syslog eventlog DEBUG1..DEBUG5 为开发者提供连续的更详细的信息。 DEBUG INFORMATION INFO 提供用户隐式要求的信息，例如来自VACUUM VERBOSE的输出。 INFO INFORMATION NOTICE 提供可能对用户有用的信息，例如长标识符截断提示。 NOTICE INFORMATION WARNING 提供可能出现的问题的警告，例如在一个事务块外COMMIT。 NOTICE WARNING ERROR 报告一个导致当前命令中断的错误。 WARNING ERROR LOG 报告管理员可能感兴趣的信息，例如检查点活动。 INFO INFORMATION FATAL 报告一个导致当前会话中断的错误。 ERR ERROR PANIC 报告一个导致所有数据库会话中断的错误。 CRIT ERROR

本章节主要介绍通用操作类问题 DRS界面信息重叠是什么原因 DRS界面出现信息重叠通常是页面缩放率过小导致的，建议将页面缩放率调整为100%即可显示正常。 目标库读写设置是实例级还是库级 配置迁移任务时，目标数据库实例可以选择设置为“只读”或者“读写”状态。 只读：目标数据库整个实例 将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写：目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。 只读保护优点是避免用户对正在迁移的数据库或表进行DDL或DML误操作，造成数据不一致，可提高迁移完整性和数据一致性。 任务启动后，DRS不支持修改目标数据库状态。 待所有设置该目标库为“只读”状态的迁移任务结束后，可恢复读写。 MySQL源库设置了global binlogformat ROW没有立即生效 使用DRS进行MySQL的迁移时，必须确保源库的binlogformat是ROW格式的，否则就会导致任务失败甚至数据丢失。在源库设置了global级别的binlogformatROW之后，还需要中断之前所有的业务连接，因为设置之前的连接使用的还是非ROW格式的binlog写入。 安全设置global级binlogformatROW的步骤 步骤 1 通过MySQL官方客户端或者其它工具登录源数据库。 步骤 2 在源数据库上执行全局参数设置命令。 set global binlogformat ROW; 步骤 3 在源数据库上执行如下命令确认上面操作已执行成功。 select @@global.binlogformat; 步骤 4 您可以通过如下两种方式确保修改后的源库binlogformat格式立即生效。 方法一： 1. 选择一个非业务的时间段，中断当前数据库上的所有业务连接。 a. 通过如下命令查询当前数据库上的所有业务连接(所有的binlog Dump连接及当前连接除外)。 show processlist; b. 中断上面查出的所有业务连接。 2. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 方法二： 1.为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 2.确保上述配置参数binlogformat添加或修改成功后，选择一个非业务时间段，重启源数据库即可。 binlogrowimage参数设置为FULL没有立即生效 使用DRS进行MySQL迁移时，必须确保源库的binlogrowimage参数设置为FULL，否则就会导致任务失败。在源库设置了binlogrowimageFULL之后，只对新的session生效，为了关闭旧的session，需选择一个非业务时间段，重启源数据库并重置任务即可。

本节主要介绍参数对比列表 在进行数据库迁移时，为了确保迁移成功后业务应用的使用不受影响，数据复制服务提供了参数对比功能帮助您进行源库和目标库参数一致性对比。 本章节针对不同的引擎版本，列举了常见的常规参数及性能参数，方便您在使用参数对比功能时进行参考。 MySQL 5.6版本 表 MySQL5.6参数列表 参数名称 参数类型 是否需要重启数据库 ::: connecttimeout 常规参数 否 eventscheduler 常规参数 否 innodblockwaittimeout 常规参数 否 maxconnections 常规参数 否 netreadtimeout 常规参数 否 netwritetimeout 常规参数 否 explicitdefaultsfortimestamp 常规参数 是 innodbflushlogattrxcommit 常规参数 否 maxallowedpacket 常规参数 否 txisolation 常规参数 否 charactersetclient 常规参数 否 charactersetconnection 常规参数 否 collationconnection 常规参数 否 charactersetresults 常规参数 否 collationserver 常规参数 否 binlogcachesize 性能参数 否 binlogstmtcachesize 性能参数 否 bulkinsertbuffersize 性能参数 否 innodbbufferpoolsize 性能参数 是 keybuffersize 性能参数 否 longquerytime 性能参数 否 querycachetype 性能参数 是 readbuffersize 性能参数 否 readrndbuffersize 性能参数 否 sortbuffersize 性能参数 否 syncbinlog 性能参数 否 MySQL 5.7版本 表 MySQL5.7参数列表 参数名称 参数类型 是否需要重启数据库 ::: connecttimeout 常规参数 否 eventscheduler 常规参数 否 innodblockwaittimeout 常规参数 否 maxconnections 常规参数 否 netreadtimeout 常规参数 否 netwritetimeout 常规参数 否 explicitdefaultsfortimestamp 常规参数 否 innodbflushlogattrxcommit 常规参数 否 maxallowedpacket 常规参数 否 txisolation 常规参数 否 charactersetclient 常规参数 否 charactersetconnection 常规参数 否 collationconnection 常规参数 否 charactersetresults 常规参数 否 collationserver 常规参数 否 binlogcachesize 性能参数 否 binlogstmtcachesize 性能参数 否 bulkinsertbuffersize 性能参数 否 innodbbufferpoolsize 性能参数 否 keybuffersize 性能参数 否 longquerytime 性能参数 否 querycachetype 性能参数 否 readbuffersize 性能参数 否 readrndbuffersize 性能参数 否 sortbuffersize 性能参数 否 syncbinlog 性能参数 否 说明 对于上述参数“innodbbufferpoolsize”，参数对比功能对应用到目标数据库的值做了内控，最大不会超过目标数据库总内存的70%。所以有时候是无法完全和源数据库该参数取值一致，这是为了避免目标数据库设置过大，而导致数据库无法启动，如果您觉得上述最大值偏小，可以在数据库中通过执行命令手动设置更大的值。

介绍创建用户并授权使用Kafka 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Kafka服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Kafka资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Kafka的策略管理，包含Kafka所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“子用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Kafka资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM子用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，在下拉列表中单击“个人中心”。 步骤 3 个人中心左侧菜单中，单击“主子账号及授权管理”。 步骤 4 在主子账号及授权管理页，单击左侧导航菜单中的“子用户”。 步骤 5 在“子用户”管理界面中，单击“创建子用户”。 步骤 6 在弹出的创建用户对话框中，输入子用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

企业服务状态 根据产品计费订购情况进行展示企业服务状态，若企业服务状态为禁用，则无法进行加速，请谨慎操作。 注意 服务到期、退订、流量用尽将自动将企业服务设为禁用。若计费模式为带宽，则带宽超量后进行限速。 企业流量分配 可以针对账户下用户配置流量使用上限，不配置默认无流量使用上限。 流量分配总览 提供学术加速企业版流量分配总体概况，方便企业查看企业账号下流量分配和使用情况，提供针对用户和状态的检索。 新用户首次默认流量分配 提供新增用户首次默认流量分配开关，点击编辑后输入默认流量数值后，后续该企业新增用户自动分配默认流量的分配单。 新增流量分配 在概览页点击新增按钮，进入流量分配新增界面，选择新增流量分配的用户、填写分配流量、输入到期时间和选择流量分配单新增后状态，点击确认完成新增。

本节介绍了安装SQL Server Management Studio的相关内容。 Microsoft SQL Server官网提供了SQL Server Management Studio的安装包。SQL Server Management Studio应用程序只能在Windows环境运行。 操作步骤 步骤 1 获取SQL Server Management Studio的安装包。 请访问Microsoft网站，以SQL Server Management Studio 18.0为例，下载安装包。 步骤 2 双击安装包，按照向导完成安装。 结束

本节主要介绍TaurusDB数据库连接数满的排查思路 数据库连接数表示应用程序可以同时连接到数据库的数量，与您的应用程序或者网站能够支持的最大用户数没有关系。 数据库连接数过多，可能会导致业务侧无法正常连接，也会导致实例全量备份和增量备份失败，影响业务的正常使用。 排查思路 1. 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 2. 规格偏小，请对数据库进行规格扩容。 3. 云监控服务目前可以监控数据库cpu、内存、磁盘、连接数等指标，并且设置告警策略，出现告警时可以提前识别风险。具体请参考《云监控服务用户指南》。 解决方法 1. 通过内网连接数据库实例。用内网连接，不会出现因为带宽等原因的拥塞。 具体请参见：通过公网连接TaurusDB实例 2. 通过控制台设置参数innodbadaptivehashindexoff ， 关闭自适应hash索引，减少锁等待。 参数修改具体请参见编辑参数模板。 3. 优化慢查询。

操作场景 用户开发大数据应用程序并在支持Kerberos认证的MRS集群中运行程序时，需要准备访问MRS集群的用户认证文件。认证文件中的keytab文件可用于认证用户身份。 该任务指导管理员用户通过MRS Manager下载用户认证文件并导出keytab文件。 说明 如果选择下载“人机”用户的认证文件，在下载前需要使用Manager修改过一次此用户的密码使管理员设置的初始密码失效，否则导出的keytab文件无法使用。请参见 修改用户密码后，之前导出的keytab将失效，需要重新导出。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“权限配置”区域，单击“用户管理”。 2. 在需导出keytab文件用户所在的行，选择“更多 > 下载认证凭据”下载认证文件，待文件自动生成后指定保存位置，并妥善保管该文件。 3. 使用解压程序打开认证文件。 “user.keytab”表示用户keytab文件，用于认证用户身份。 “krb5.conf”表示认证服务器配置文件，应用程序在进行用户认证身份时根据该文件的配置信息连接认证服务器。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

MQTT发送Kafka接收 终端设备使用MQTT SDK接入终端连接地址进行消息发布，云端应用服务使用Kafka sdk接入 服务端连接地址按父主题进行数据消费。 MQTT发送顺序消息kafka接收顺序消息 创建父主题，类型分区顺序，父主题以orderMsg2mq开头。 终端设备使用MQTT SDK接入终端连接地址进行消息发布，云端应用服务使用kafka sdk接入 服务端连接地址按父主题进行分区顺序数据消费 Kafka发送MQTT接收 云端应用服务使用kafka sdk接入服务端连接地址往系统主题mq2mqtt下发指令，终端设备使用MQTT SDK接入终端连接地址接收; 示例： import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.Producer; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.common.header.internals.RecordHeader; import org.apache.kafka.common.header.internals.RecordHeaders; import java.util.Properties; public class PubMsgTest { public static void main(String[] args) { Properties props new Properties(); // 填入您在mqtt控制台查看到的kafka接入点信息。 props.put("bootstrap.servers", "localhost:9092"); props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer"); props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer"); Producer producer new KafkaProducer<>(props); // 这里需要指定系统内置的流转到mqtt服务端的特殊kafka主题，一般命名为：mq2mqtt。 String topic "mq2mqtt"; // kafka消息需要在header中指定需要发往mqtt订阅的主题以及一些会话属性、qos等级等信息。 RecordHeaders headers new RecordHeaders(); headers.add(new RecordHeader("qosLevel", "2".getBytes())); headers.add(new RecordHeader("cleanSession", "true".getBytes())); // 这里需要指定您的mqtt客户端订阅的主题，支持topic filter。 headers.add(new RecordHeader("mqttTopic", "topic1/a/b/c".getBytes())); byte[] payload new byte[1026 1024]; for (int i 0; i (topic, null, null, null, message, headers)); // System.out.println("Sent: " + message); System.out.println("sent successfully"); } } catch (Exception e) { e.printStackTrace(); } finally { producer.close(); } } }

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品,兼容开源RocketMQ客户端,提供高效可靠的消息传递服务,解决分布式应用系统之间的消息数据通信难题,用于系统间的解耦,用户只需专注业务,无需部署运维,适用于电商、金融、政企等多样业务场景。