场景描述 国密型VPN网关证书到期或失效后，需要更换VPN网关证书。 更换VPN网关证书，对端网关需要使用新的配套CA证书与VPN网关进行重协商，否则连接中断。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面需要上传证书的国密型VPN网关所在行，选择“更多 > 查看/上传证书”。 4. 单击“更换”，根据界面提示填写相关信息。 表VPN网关证书参数说明 参数 说明 取值样例 证书名称 不支持修改。 与原证书名称保持一致。 新签名证书 签名证书用于对数据进行签名认证，以保证数据的有效性和不可否认性。 以文本方式打开签名证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 BEGIN CERTIFICATE 签名证书 END CERTIFICATE BEGIN CERTIFICATE CA证书 END CERTIFICATE 新签名私钥 签名私钥用于对签名证书加密过的数据进行解密，签名私钥是非公开的，由用户自行保管。 以文本方式打开签名私钥KEY格式的文件（后缀名为“.key”），将私钥复制到此处。 BEGIN EC PRIVATE KEY 签名私钥 END EC PRIVATE KEY 新加密证书 加密证书用于对VPN连接的传输数据进行加密，以保证数据的保密性和完整性。签发该加密证书的CA机构需和签发签名证书的CA机构保持一致。 以文本方式打开加密证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 BEGIN CERTIFICATE 加密证书 END CERTIFICATE 新加密私钥 加密私钥用于对加密证书加密过的数据进行解密，加密私钥是非公开的，由用户自行保管。 以文本方式打开加密私钥KEY格式的文件（后缀名为“.key”），将私钥内容复制到此处。 BEGIN EC PRIVATE KEY 加密私钥 END EC PRIVATE KEY 5. 勾选“我已知晓上述内容，确认更换证书”，单击“确定”。

本文向您介绍如何创建企业版VPN网关。 场景描述 如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，创建VPN连接之前，需要创建VPN网关。 背景信息 根据对端网关IP地址个数不同，推荐的组网方式如下表所示。 表组网方式 对端网关IP个数 推荐组网 说明 1 VPN网关推荐使用双活模式，该场景占用1个VPN连接组配额。 2 VPN网关推荐使用主备模式，该场景占用2个VPN连接组配额。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，VPN网关推荐使用双活模式，主EIP、主EIP2各创建一条VPN连接，对接同一个对端网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，VPN网关推荐使用主备模式，主EIP、备EIP各创建一条VPN连接，对接到对端网关的不同IP地址。该场景下占用两个VPN连接组配额。 约束与限制 非国密型网关不支持变更为国密型网关。 关联企业路由器场景下，需要关注企业路由器的路由表条数规格限制。 前提条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见《虚拟私有云用户指南》。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见《虚拟私有云用户指南》。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见《企业路由器ER用户指南》。

$ % ^ & ( ) + [ ] { } ; : , . / ?), and must not contain any of the following: 3 consecutive repeating characters, 3 consecutive or inreverse order of numbers or letters (caseinsensitive) , 3 consecutive or inreverse order of keyboard sequences (caseinsensitive). 新密码不符合规则。长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: the first node type must be root. 节点类型的包含关系错误，第一个节点必须是root。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: childNodes of room are limited to [rack, server], childNodes of rack to [server], childNodes of server to [path] only. 节点类型的包含关系错误。room的节点仅限于rack、server，机架的子节点是server，server的子节点是path。 400 InsufficientPath The base storage pool must have at least one disk path. 基础存储池至少要有一个数据目录。 400 InvalidPort Value valueat 'argument' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidPortRange Value value at 'port range' failed to satisfy constraint: Argument must satisfy pattern 'port1port2', where port1, port2 are positive integers between 1 and 65535, port1 is less than port2. 参数必须是“port1port2”格式，port1和port2必须是介于[1,65535]之间的正整数，且port1小于port2。 400 InvalidPublicNetwork Value publicNetwork at 'public network' failed to satisfy constraint: Argument must satisfy CIDR specifications. 业务网格式错误。 400 InvalidServers The current server is not in the servers list. 当前服务器不在servers列表内。 400 InvalidServersCount The number of servers for xx service shoule be value. XX服务的服务器数量应该为value台。 400 InvalidStorName Value 'value' at 'argument' failed to satisfy constraint: Argument can only contain letters, digits, hyphens () or underscores (), and does not exceed 64 characters, must begin with a letter or digit. HBlock名称不合法。 400 InvalidTopologyContent The content of the topology is not compliant. 拓扑文件内容解析错误。 400 MissingClusterNetwork Value null at 'cluster network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，集群网不能为空。 400 MissingPublicNetwork Value null at 'public network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，业务网不能为空。 400 NotInterfaceIP The IP IP is not an interface IP address, check and retry. IP地址不是服务器的接口IP，请修改并重试。 400 ProductTypeDoesNotMatch HBlock product type does not match. 产品类型不一致。 400 ServerAlreadyInitialized The server has been initialized. 服务器已初始化。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 TooFewServers The number of servers must be greater than or equal to 3. 服务器必须大于等于3台。 400 UnrecognizedServer Value IP at 'argument' failed to satisfy constraint: Argument must be in the setup server list. 服务器IP不在初始化服务器列表内。 400 VersionDoesNotMatch Please replace the HBlock version of server serverIP [,serverIP...] to clutserVersion, then try again. 版本号不一致。 403 InvalidUserName Invalid user name. 用户名不正确。 403 InvalidUserNameOrPassword Invalid user name or password hash. 用户名或密码不正确。 409 PortChanged Initialization failed because the port on the server serverIP is currently used by another service during the initialization process. Please try again. 端口在初始化过程中被其他服务占用，请重试。 409 PortConflict The following port is/ports are in use. serverID/IP/local server: portname port[, portname port...] [ serverID/IP/local server: portname port[, portname port...]...] 端口冲突。 500 InitializeServerFailed Server serverIP initialization failed, please check the firewall, network, memory, diskpath, etc, or contact technical team for support. 服务器初始化失败，请检查防火墙、网络、内存、数据目录等设置，或联系技术团队进行支持。

本节主要介绍排查Redis实例带宽使用率高的问题 概述 Redis实例作为更靠近应用服务的数据层，通常会执行较多的数据存取并消耗网络带宽。不同的实例规格对应的最大带宽有所不同，当超过该规格的最大带宽时，将对应用服务的数据访问性能造成影响。本节讲述如何排查Redis实例带宽使用率高的问题。 操作步骤 步骤 1 查询带宽使用率。 查询实例在指定时段的带宽使用率。具体操作请参见查看监控指标。 通常来说，“网络瞬时输入流量”和“网络瞬时输出流量”快速上升，并持续大于实例最大带宽的80%时，需引起注意，可能流量不足。 需关注的监控指标为带宽使用率如下图。带宽使用率的计算公式：带宽使用率（网络瞬时输入流量+网络瞬时输出流量）/（2最大带宽限制） 100%。 带宽使用率示例 其中，带宽使用率超过100%，不一定导致限流，有没有被流控需要看流控次数指标。 带宽使用率没有超过100%，也有可能有限流，因为带宽使用率是上报周期实时值，一个上报周期检查一次。流控检查是秒级的，有可能存在上报周期间隔期间，流量有秒级冲高，然后回落，待上报带宽使用率指标时已恢复正常。 步骤 2 优化带宽使用率。 1. 当业务的访问量与预期带宽消耗不匹配，例如带宽使用率的增长趋势和QPS的增长趋势明显不一致（可结合网络瞬时输入流量和网络瞬时输出流量，分析业务是读业务和还是写业务导致的流量上涨）。对于单个节点带宽使用率上涨，您可以通过缓存分析功能，发现实例中存在的大Key，具体操作请参见缓存分析。对大Key（通常大于10 KB）进行优化，例如将大Key拆分、减少对大Key的访问、删除不必要的大Key等。 2. 经过上述步骤优化后流量使用率依旧较高，可评估升级至更大内存的规格，以承载更大的网络流量。具体操作请参见变更实例规格。 说明 在正式升级实例的规格前，您可以先创建一个实例，测试要升级到的目标规格是否能够满足业务的负载需求，测试完成后可将其释放。释放实例请参考

本章节主要介绍物理机镜像概述。 镜像是一个至少包含操作系统，还可以包含应用软件（例如，数据库软件）及软件必要配置的物理机模板。 镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，用户也可以提工单给天翼云运维团队协助您完成私有镜像的创建。您可以灵活便捷地使用公共镜像或者私有镜像申请物理机。同时，用户还能通过已有的物理机或者外部镜像文件创建私有镜像，这样可以快速轻松地创建能满足您一切需求的物理机。

查找要注册的域名，有两种方式如下： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“域名注册”进入域名查询页面 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“域名注册”进入域名查询页面，在域名查询页面输入想要注册的域名，显示“可注册”状态的域名为可注册和购买的域名。

本文帮助您快速熟悉后端主机组及其功能特性。 后端主机组简介 每个监听器都会关联一个后端主机组，后端主机组是一组提供相同服务的云主机实例，可以包含一个或多个后端主机。 支持的后端主机类型如下： 后端主机类型 说明 云主机 添加弹性云主机实例。 物理机 添加标准裸金属、弹性裸金属实例。 弹性网卡/辅助网卡 添加弹性网卡或者辅助网卡，弹性网卡或者辅助网卡必须挂载到主机上。 弹性容器ECI 添加弹性容器ECI实例。 成员网卡 添加成员网卡实例；功能加白开通。 跨VPC后端IP 添加跨VPC后端IP实例，仅支持同账号下通过对等连接打通的跨VPC后端IP；功能加白开通。 远端IP 添加远端IP实例，通过专线或者VPN等打通后的IDC侧主机，此类型不支持ELB实例的客户端地址保持（DNAT模式）功能；功能加白开通。 后端主机组功能 后端主机组的主要功能是将负载均衡器接收到的流量分发给组内的主机，以确保流量在各个主机之间进行均衡分配，从而实现高可用性和高性能。负载均衡器可以根据不同的算法（如轮询、最小连接等）来决定将流量转发到哪个后端主机。 通过后端主机可以对后端主机进行统一管理，灵活地添加或者移除后端主机，降低用户的管理和使用成本。 使用负载均衡集成弹性伸缩服务可实现后端主机组自动扩展的能力。当负载增加时，可以动态添加更多的主机实例来处理流量，以满足应用程序的需求。同样地，当负载减少时，多余的主机实例可以被自动移除，以节省资源和成本。 此外，后端主机组还支持健康检查功能，可监测主机实例的状态和可用性。如果某个主机实例发生故障或不可用，负载均衡器将自动将流量转发到其他健康的主机，以确保应用程序的连续性和可靠性。

本节主要介绍秘钥凭证类问题 如何获取访问密钥AK/SK 如果您有登录密码，可以登录控制台，在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”，单击“访问密钥”页签，您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看秘密访问密钥（SK）。 如果您没有登录密码，不能登录控制台，在访问密钥异常丢失或者需要重置时，可以联系您的账号管理员在IAM中生成您的访问密钥，并发送给您。 丢失访问密钥AK/SK怎么办 如果您的访问密钥AK/SK已丢失，建议您先创建新的访问密钥AK/SK，并使用新的访问密钥AK/SK替换正在使用的应用程序等的访问秘钥AK/SK之后，确认无其他业务影响，再将丢失的访问密钥AK/SK停用或删除。 说明 每个用户最多可创建2个访问密钥，不支持增加配额。 如果您无法管理您的访问密钥，请联系您企业的账号管理员。 什么是临时安全凭证（临时AK/SK和SecurityToken） 什么是临时安全凭证 临时安全凭证是具备临时访问权限的身份凭证，包括临时AK/SK和SecurityToken，临时安全凭证与永久安全凭证的工作方式几乎相同，仅存在小量差异。 临时安全凭证与永久安全凭证的差异 临时安全凭证存在有效期，可以在15分钟至24小时之间进行设置；永久安全凭证的有效期为永久，并且不能进行设置。 临时安全凭证没有数量限制；每个IAM用户最多可创建2个永久安全凭证。 临时安全凭证通过接口获取临时AK/SK获取；永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成，即时使用，不能嵌入应用程序中，或者进行存储，到期后无法重复使用，只能重新获取。

问题描述 1. 查看GPU显卡状态，出现ERR!错误。 plaintext nvidiasmi 2. 查看系统日志发现有Xid报错。 plaintext dmesg grep Xid 可能原因 这种情况通常与显卡驱动的GSP模块开启有关。该错误可能导致系统性能下降、图形显示异常或应用程序无法正常运行。 解决方法 1. 禁用 GSPRM。 plaintext su c 'echo options nvidia NVregEnableGpuFirmware0 > /etc/modprobe.d/nvidiagsp.conf' 2. 启动内核。 ubuntu类系统执行 plaintext updateinitramfs u centos 类系统执行 plaintext dracut f 3. 重新启动。 plaintext reboot 4. 检查是否有效。如果 EnableGpuFirmware: 0 表示 GSPRM 被禁用。 plaintext cat /proc/driver/nvidia/params grep EnableGpuFirmware

本节介绍天翼云手机可广泛应用于移动办公、游戏娱乐等场景。 移动办公场景 场景特点： 实体手机数据存储本地，经常遇到手机损坏，数据丢失，数据泄漏等安全问题，需要更安全的办公数据资产存储方案。 推荐方案： 本地手机+开通天翼云手机 方案优势： 1、云手机内置32/64/128GB存储容量，可满足日常文件存储。 2、云手机资料全部以三副本形式存储于云端，数据高可靠，无需担心办公资料丢失。 游戏娱乐场景 场景特点： 手游用户有如下痛点：手机性能不足、长时间发烫、续航差、下载游戏耗流量，用户需要有较大带宽，免流量的多样化服务。 推荐方案： 本地手机+开通天翼云手机 方案优势： 1、云手机内置大带宽、免流量的超值服务，用户无需担心流量消耗，可云端畅游。 2、让低配手机用户也能流畅运行大型手游，无需下载到手机可直接玩。 3、拓展实体手机的边界，满足对多台手机的使用需求。

接口功能介绍 更新镜像版本保留规则 接口约束 仅限企业版实例使用 URI POST /v2/updateRetentionPolicy 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 myns cronExpression 是 String cron定时表达式，若传空字符串表示不设置（由6个字段组成，分别表示秒、分、小时、日期、月份和星期几。每个字段都可以设置一个数字、一组数字（用逗号分隔）、一段数字范围（用短横线分隔）、通配符（表示任意值）或者特定的字符（如星期几的英文缩写）） 0 0 rules 是 Object 规则列表 rules 表 rules 参数 是否必填 参数类型 说明 示例 下级对象 scopePattern 是 String 仓库的匹配模式（key： 精确匹配名称为key的仓库；key: 匹配前缀为key的仓库；：表示匹配所有仓库；如果有多个，使用逗号分隔并用大括号包裹，如 {key1,key2,key3}） repo scopeOperator 是 String 仓库筛选器模式（匹配模式：matches；排除模式：excludes） matches tagPattern 是 String 版本的匹配模式（key： 精确匹配名称为key的仓库；key: 匹配前缀为key的仓库；：表示匹配所有仓库；如果有多个，使用逗号分隔并用大括号包裹，如 {key1,key2,key3}） v1 tagOperator 是 String Tag筛选器模式（匹配模式：matches；排除模式：excludes） matches params 是 Object 保留策略 params disabled 是 Boolean 是否禁用保留策略 false 表 params 参数 是否必填 参数类型 说明 示例 下级对象 latestPulledN 是 Integer 版本保留策略（latestPulledN：保留最近拉取N个；latestPushedK：保留最近推送N个；nDaysSinceLastPull：保留最近D天拉取；nDaysSinceLastPush：保留最近D天推送） 8

本节介绍如何创建SSH授权。 Linux主机支持“SSH授权登录”授权方式。 添加Linux主机后，请参照以下操作步骤创建SSH授权。 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。

动态资源超卖 当前很多业务有波峰和波谷，部署服务时，为了保证服务的性能和稳定性，通常会按照波峰时需要的资源申请，但是波峰的时间可能很短，这样在非波峰时段就有资源浪费。另外，由于在线作业SLA要求较高，为了保证服务的性能和可靠性，通常会申请大量的冗余资源，因此，会导致资源利用率很低、浪费比较严重。 将这些申请而未使用的资源（即申请量与使用量的差值）利用起来，就是资源超卖。超卖资源适合部署离线作业，离线作业通常关注吞吐量，SLA要求不高，容忍一定的失败。 在线作业和离线作业混合部署在Kubernetes集群中将有效地提升集群整体资源利用率。 资源超卖功能特性 说明 当节点池启用动态资源超卖和弹性伸缩时，由于高优先级应用业务资源使用量实时变化，导致超卖资源变化较快，为了避免节点频繁缩容和扩容，在节点缩容评估时暂不考虑超卖资源。 当前特性支持集群内在离线作业混部以及节点CPU和内存资源超卖，关键特性如下： 离线作业优先使用超卖节点 若同时存在超卖与非超卖节点，在离线作业调度过程中，超卖节点得分高于非超卖节点，离线作业优先调度到超卖节点。 在线作业预选超卖节点时只能使用其非超卖资源 在线作业只能使用超卖节点的非超卖资源，离线作业可以使用超卖节点的超卖及非超卖资源。 同一调度周期在线作业先于离线作业调度 在线作业和离线作业同时存在时，优先调度在线作业。当节点资源使用率超过设定的驱逐上限且节点request值超过100%时，将会驱逐离线作业。 内核提供CPU/内存隔离特性 CPU隔离：在线作业能够快速抢占离线作业的CPU资源，并压制离线作业的CPU使用。 内存隔离：系统内存资源用尽触发OOM Kill时，内核优先驱逐离线作业。 Kubelet离线作业准入规则 在调度器将Pod调度到某个节点上之后，Kubelet在启动该Pod之前，会对该Pod进行准入判断，如果此时节点资源无法满足该Pod的Request值，kubelet则拒绝启动该Pod（predicateAdmitHandler.Admit）。满足以下两个条件时，Kubelet准入该Pod： 待启动Pod Request与运行的在线作业Request之和 < 节点Allocatable 待启动Pod Request与运行的在/离线作业Request之和 < 节点Allocatable + 节点超卖资源 支持超卖和混部分离 开启节点池的混部开关后，默认的混部配置同时打开了混部和超卖功能，节点会被同时打上volcano.sh/colocation"true"和volcano.sh/oversubscription"true"的标签。若只进行在离线作业混部，而不使用超卖资源，需在混部配置中关闭资源超卖特性，关闭超卖特性后volcano.sh/oversubscription"true"标签会被移除。 开启混部或超卖后可使用的特性组合如下： 开启混部 开启超卖 可以使用超卖资源 驱逐离线Pod场景 否 否 否 无 是 否 否 当节点实际资源使用率超过高水位线时，触发离线Pod驱逐 否 是 是 当节点实际资源使用率超过高水位线并且节点Pod的Request和大于100%，触发离线Pod驱逐 是 是 是 当节点实际资源使用率超过高水位线，触发离线Pod驱逐 使用场景约束：集群中引入离线混部与资源超卖机制，能够更高效地利用计算资源，平衡高峰与低谷时期的资源分配，从而提升整体资源利用率并降低运维成本。在应对突发资源需求（如在线业务负载激增）时，系统具备智能的资源调度能力，例如通过CPU QoS策略，在线任务可优先获得计算资源，确保关键业务的稳定运行。当内存需求出现短时增长时，底层操作系统会触发自动内存回收机制，优先回收非活跃数据（例如，离线业务的 page cache）。此过程中，节点性能可能出现轻微波动，但系统会根据资源压力动态调整任务运行状态，从而使整体业务迅速恢复到稳定状态，实现业务连续性和资源效率的有机统一。

创建DWS连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.连接器类型选择“数据仓库服务（DWS）”后单击“下一步”配置DWS连接参数，必填参数如下表“DWS连接参数”所示，可选参数保持默认即可。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 dwslink 数据库服务器 DWS数据库的IP地址或域名。 192.168.0.3 端口 DWS数据库的端口。 8000 数据库名称 DWS数据库的名称。 dbdemo 用户名 拥有DWS数据库的读、写和删除权限的用户。 dbadmin 密码 用户的密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择连接Agent中已创建的Agent。 导入模式 COPY模式：将源数据经过DWS管理节点后拷贝到数据节点。如果需要通过Internet访问DWS，只能使用COPY模式。 COPY 3.单击“保存”完成创建连接。 创建迁移作业 1.选择“表/文件迁移 > 新建作业”，开始创建从MySQL导出数据到DWS的任务。 详见下图：创建MySQL到DWS的迁移任务 作业名称：用户自定义便于记忆、区分的任务名称。 源端作业配置 −源连接名称：选择上述 创建MySQL连接 中的“mysqllink”。 −使用SQL语句：否。 −模式或表空间：待抽取数据的模式或表空间名称。 −表名：要抽取的表名。 −其他可选参数一般情况下保持默认即可，详细说明请参见配置常见关系数据库源端参数。 目的端作业配置 −目的连接名称：选择创建DWS连接中的连接“dwslink”。 −模式或表空间：选择待写入数据的DWS数据库。 −自动创表：只有当源端和目的端都为关系数据库时，才有该参数。 −表名：待写入数据的表名，可以手动输入一个不存在表名，CDM会在DWS中自动创建该表。 −是否压缩：DWS提供的压缩数据能力，如果选择“是”，将进行高级别压缩，CDM提供了适用I/O读写量大，CPU富足（计算相对小）的压缩场景 −存储模式：可以根据具体应用场景，建表的时候选择行存储还是列存储表。一般情况下，如果表的字段比较多（大宽表），查询中涉及到的列不多的情况下，适合列存储。如果表的字段个数比较少，查询大部分字段，那么选择行存储比较好。 −扩大字符字段长度：当目的端和源端数据编码格式不一样时，自动建表的字符字段长度可能不够用，配置此选项后CDM自动建表时会将字符字段扩大3倍。 −导入前清空数据：任务启动前，是否清除目的表中数据，用户可根据实际需要选择。 2.单击“下一步”进入字段映射界面，CDM会自动匹配源和目的字段，如下图“表到表的字段映射”所示。 如果字段映射顺序不匹配，可通过拖拽字段调整。 单击，可批量映射字段。 CDM的表达式已经预置常用字符串、日期、数值等类型的字段内容转换。 3.单击“下一步”配置任务参数，一般情况下全部保持默认即可。 该步骤用户可以配置如下可选功能： 作业失败重试：如果作业执行失败，可选择是否自动重试，这里保持默认值“不重试”。 作业分组：选择作业所属的分组，默认分组为“DEFAULT”。在CDM“作业管理”界面，支持作业分组显示、按组批量启动作业、按分组导出作业等操作。 是否定时执行：如果需要配置作业定时自动执行，请参见 配置定时任务。这里保持默认值“否”。 抽取并发数：设置同时执行的抽取任务数。可适当调大参数，提升迁移效率。 是否写入脏数据：表到表的迁移容易出现脏数据，建议配置脏数据归档。 作业运行完是否删除：这里保持默认值“不删除”。 4.单击“保存并运行”，回到作业管理界面，在作业管理界面可查看作业执行进度和结果。 5.作业执行成功后，单击作业操作列的“历史记录”，可查看该作业的历史执行记录、读取和写入的统计数据。 在历史记录界面单击“日志”，可查看作业的日志信息。

分析DDS数据库的慢请求 文档数据库服务默认开启了慢请求Profiling ，系统自动将请求时间超过500ms的执行情况记录到对应数据库下的“system.profile”集合中。 1. 通过Mongo Shell连接DDS实例。 开通公网访问的实例 具体请参见： 通过公网连接集群实例 通过公网连接副本集实例 未开通公网访问的实例 具体请参见： 通过内网连接集群实例 通过内网连接副本集实例 2. 执行以下命令，进入指定数据库，以“test”为例。 use test 3. 查看是否生成慢sql集合“system.profile”。 show collections; 回显中有“system.profile”，说明产生了慢SQL，继续执行下一步。 mongos> show collections system.profile test 回显中没有“system.profile”，说明未产生慢SQL，该数据库不涉及慢请求分析。 mongos> show collections test 4. 查看数据下的慢请求日志。 db.system.profile.find().pretty() 5. 分析慢请求日志，查找CPU使用率升高的原因。 下面是某个慢请求日志示例，可查看到该请求进行了全表扫描，扫描了1561632个文档，没有通过索引进行查询。 { "op" : "query", "ns" : "taiyiDatabase.taiyiTables$10002e", "query" : { "find" : "taiyiTables", "filter" : { "filed19" : NumberLong("852605039766") }, "shardVersion" : [ Timestamp(1, 1048673), ObjectId("5da43185267ad9c374a72fd5") ], "chunkId" : "10002e" }, "keysExamined" : 0, "docsExamined" : 1561632, "cursorExhausted" : true, "numYield" : 12335, "locks" : { "Global" : { "acquireCount" : { "r" : NumberLong(24672) } }, "Database" : { "acquireCount" : { "r" : NumberLong(12336) } }, "Collection" : { "acquireCount" : { "r" : NumberLong(12336) } } }, "nreturned" : 0, "responseLength" : 157, "protocol" : "opcommand", "millis" : 44480, "planSummary" : "COLLSCAN", "execStats" : { "stage" : "SHARDINGFILTER", [3/1955] "nReturned" : 0, "executionTimeMillisEstimate" : 43701, "works" : 1561634, "advanced" : 0, "needTime" : 1561633, "needYield" : 0, "saveState" : 12335, "restoreState" : 12335, "isEOF" : 1, "invalidates" : 0, "chunkSkips" : 0, "inputStage" : { "stage" : "COLLSCAN", "filter" : { "filed19" : { "$eq" : NumberLong("852605039766") } }, "nReturned" : 0, "executionTimeMillisEstimate" : 43590, "works" : 1561634, "advanced" : 0, "needTime" : 1561633, "needYield" : 0, "saveState" : 12335, "restoreState" : 12335, "isEOF" : 1, "invalidates" : 0, "direction" : "forward", "docsExamined" : 1561632 } }, "ts" : ISODate("20191014T10:49:52.780Z"), "client" : "172.16.36.87", "appName" : "MongoDB Shell", "allUsers" : [ { "user" : "system", "db" : "local" } ], " 在慢请求日志中，您需要重点关注以下关键字。 全集合（全表）扫描：COLLSCAN 当一个操作请求（如query、update、delete）需要全表扫描时，将大量占用CPU资源。在查看慢请求日志时，发现COLLSCAN关键字，很可能是这些查询占用了CPU资源。 如果该类操作请求较为频繁，建议您对查询的字段建立索引进行优化。 全集合（全表）扫描：docsExamined 通过查看参数“docsExamined”的值，可以查看一个查询扫描了多少文档。该值越大，请求的CPU使用率越高。 不合理的索引：IXSCAN、keysExamined 说明 索引不是越多越好，过多索引会影响写入和更新的性能。 如果您的应用偏向于写操作，建立索引可能会降低写操作的性能。 通过查看参数“keysExamined”的值，可以查看一个使用了索引的查询，扫描了多少条索引。该值越大，请求的CPU使用率越高。 如果索引建立不太合理，或者匹配的结果很多。该场景下，即便使用了索引，请求的CPU使用率也不会降低很多，执行的速度也会很慢。 示例：对于某个集合的数据，a字段的取值很少（只有1和2），而b字段的取值很多。 { a: 1, b: 1 } { a: 1, b: 2 } { a: 1, b: 3 } ...... { a: 1, b: 100000} { a: 2, b: 1 } { a: 2, b: 2 } { a: 2, b: 3 } ...... { a: 1, y: 100000} 如下所示，要实现{a: 1, b: 2} 这样的查询。 db.createIndex( {a: 1} ) 效果不好，因为a相同取值太多 db.createIndex( {a: 1, b: 1} ) 效果不好，因为a相同取值太多 db.createIndex( {b: 1 } ) 效果好，因为b相同取值很少 db.createIndex( {b: 1, a: 1 } ) 效果好，因为b相同取值少 关于{a: 1}与{b: 1, a: 1}的区别，可参考官方文档。 大量数据排序：SORT、hasSortStage 当查询请求中包含排序时，“system.profile”集合中的参数“hasSortStage”的值为“true”。如果排序无法通过索引实现，将在查询结果中进行排序。由于排序将占用大量CPU资源，该场景下，需要通过对经常排序的字段建立索引进行优化。 当您在“system.profile”集合中发现SORT关键字时，可以考虑通过索引来优化排序。 其他操作如建立索引、Aggregation（遍历、查询、更新、排序等动作的组合）也可能占用大量CPU资源，但本质上也适用以上几种场景。更多Profiling的设置，请参见官方文档。

操作步骤 1、在插件市场选择cubeverticalpodautoscaler并安装，安装插件步骤请参考安装插件。 各参数含义如下，您也可以根据实际使用情况修改自定义参数： plaintext storage: prometheus //使用的存储，可根据历史记录（默认为8天）计算推荐值。前提是安装了ccsemonitor插件 prometheusAddress: //prometheus在集群中service的域名及端口 minReplicas: 2 //允许驱逐pod的最小副本数，避免单副本pod被驱逐导致的服务不可用 2、Yaml创建VPA自定义资源对象，并绑定负载。 配置文件示例： plaintext apiVersion: autoscaling.k8s.io/v1 kind: VerticalPodAutoscaler metadata: name: hamstervpa spec: targetRef:   //目标控制器 apiVersion:"apps/v1" kind:       Deployment name:       hamster    //按需选择对应的deployment updatePolicy:  //更新策略 updateMode:"Off" resourcePolicy:  //设置计算推荐值的约束，可约束资源的上下限，非必填 containerPolicies: containerName: ''  //设置约束的容器 minAllowed:  //设置约束的允许最小值 cpu: 100m memory: 50Mi maxAllowed:  设置约束的允许最大值 cpu:1 memory: 500Mi controlledResources:["cpu","memory"]   //设置约束的资源 其中updateMode参数有以下四种模式可供选择： "Auto"：VPA 在创建Pod和存量Pod设置资源请求。目前这是 等效于Recreate（见下文）。一旦pod请求的就地更新是可用的，它将会被自动使用。注意：VPA 的此功能是实验性的，可能会导致应用程序停机。 "Recreate"：当所请求的资源与新建议显著不同时(如果定义了pod中断预算，则尊重)，VPA会在创建pod时分配建议的资源请求，也会通过驱逐存量pod更新建议的资源请求。这种模式应该很少使用，当您需要确保在资源请求发生变化时重建pod时才使用。否则，最好选择“自动”模式，一旦就地更新可用，就可以利用就地更新重新启动。注意:VPA的这个特性是实验性的，可能会导致应用程序停机。 "Initial"：VPA 仅在新建 Pod 时修改分配资源请求，对于存量Pod 不驱逐更改它们。 "Off"：VPA 不会自动更改 Pod 的资源要求。 会计算出建议值，并且可在 VPA 对象中查看。 3、执行以下命令可以查询VPA为Deployment推荐的CPU和内存资源的requests值。 plaintext kubectl describe vpa hamstervpa

云硬盘备份的使用场景 云硬盘备份广泛应用于灾难恢复，数据保护与数据迁移场景： 灾难恢复：在主存储系统故障、数据丢失或灾难事件发生时，可以使用备份数据进行恢复操作，以快速恢复业务运行。 长期数据保护：备份数据可以长期保存，作为数据的长期保护措施，以满足法律合规、合约要求或数据归档的需求。 数据迁移：备份数据可以用于数据迁移，将数据从一个云环境迁移到另一个云环境，或从云环境迁移到本地环境。 云硬盘备份使用方式 云硬盘备份的操作方法，请参见云硬盘备份。

术语 解释 Docker Docker是开发人员和系统管理员使用容器开发、部署和运行应用程序的平台。 镜像 Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。 容器可以被创建、启动、停止、删除、暂停等。

为了极致的使用体验,本文帮助您更快了解如何使用公网对外提供服务。 单个ECS对外提供服务 当您仅有单个应用服务，业务量较小时，您可申请一个EIP，绑定到ECS上，该ECS即可连接公网提供服务。 图1 EIP 多个ECS负载均衡 对于电商等高并发访问的场景，您可以通过ELB将访问流量均衡分发到多台弹性云服务器上，支撑海量用户访问。天翼云ELB无缝集成了弹性伸缩服务，能够根据业务流量自动扩容，保证业务稳定可靠。 图2 ELB

本章节介绍应用服务网格CSM相关配置建议 概述 本文介绍应用服务网格相关资源配置的建议，避免因配置错误或者不合理导致的不符合预期的行为。 VirtualService（虚拟服务） 1. 虚拟服务资源需要配置到目标服务所在的命名空间下，不建议跨命名空间配置虚拟服务。 2. 一个特定host的路由规则只定义在一个虚拟服务资源下，同host存在多个虚拟服务资源时将只会生效最新创建的一个。 3. 虚拟服务资源下的host（虚拟服务对应的host或者路由目标中的host）建议配置成FQDN（fully qualified domain name）；如果使用短名，istio会根据虚拟服务资源定义的命名空间补全host，可能与实际的服务名不一致。 4. 对于一个服务，同时存在host模糊匹配和精准匹配的虚拟服务时，将以精准匹配的定义为准。 5. istio会在没有匹配到路由规则时默认访问目标服务的所有子集，但是这样没有执行任何流量治理策略；所以我们建议总是为服务定义一个默认路由，并通过目标规则定义流量策略，这样可以充分利用Envoy的流量治理能力，保证服务的访问总是在掌控之中。 DestinationRule（目标规则） 1. 业务访问中使用目标规则时的查找顺序是： 先查找客户端的命名空间中是否有要访问的服务的目标规则定义。 再查找服务端命名空间中是否有要访问的服务的目标规则定义。 最后查找根命名空间中的目标规则定义。 对于一次访问，如果目标规则没有定义在上面三个地方中，目标规则将不会生效，这里建议每个服务在自己所在的命名空间下定义目标规则。 2. 目标规则中的host也建议使用FQDN，避免不必要的错配。 3. 对于一个服务，同时存在host模糊匹配和精准匹配的目标规则时，将以精准匹配的定义为准。 4. 目标规则中可以针对某个服务的子集定义负载均衡、连接池、异常检测等策略，这些策略只有在虚拟服务中显式引用了该目标子集所产生的访问下才会生效，否则不生效。

分片设计规范 在文档数据库服务分片集群中，分片的设计规范是非常重要的，它可以影响集群的性能、可扩展性和可靠性。以下是一些常见的文档数据库服务分片设计规范： 分片键的选择：分片键是用于分片集合的字段或字段组合。应该选择具有高选择性（即有区分度）的字段作为分片键，例如访问频率较高的字段或具有高度唯一性的字段。应该避免使用随机值或低选择性的字段作为分片键，因为这会导致数据分布不均衡，影响集群性能和可扩展性。 分片键的数据类型：分片键的数据类型应该选择适合应用程序和数据的数据类型。例如，如果查询经常使用时间戳，则可以将时间戳作为分片键，并选择适合的日期时间数据类型。 分片键的范围：分片键的范围应该选择适当的范围，以便在数据分片时能够均匀分布。例如，如果使用范围查询，则应该选择具有大范围的分片键，以便在多个分片上均匀分布数据。 分片集群的节点数：分片集群的节点数应该根据数据量、负载和可扩展性需求来选择。通常建议将分片集群的节点数设置为2的幂次方，例如2、4、8、16等，以便更好地管理和维护集群。 避免 id 作为分片键 。id 通常是有序的,不太符合分布广泛的要求。并且经常使用 id 作为查询条件，不利于分片。 分片的备份和恢复：在使用文档数据库服务分片集群时，应该定期备份和恢复数据，以保证数据的安全性和可靠性。可以使用文档数据库服务提供的备份和恢复工具或第三方工具来完成这些操作。 需要留意的是，在设计文档数据库服务分片集群时，应该根据具体的应用程序和文档数据库服务环境来选择合适的分片设计规范。在分片集群的运维和维护过程中，应该遵循文档数据库服务的最佳实践和规范，例如合理管理数据、监控集群性能和故障等。

本文主要介绍如何实现RabbitMQ的高性能最佳实践。 本章节基于吞吐量和可靠性两个指标，指导您通过设置队列长度、集群负载均衡、优先队列数量等参数，实现RabbitMQ的高性能。 使用较小的队列长度 队列中存在大量消息时，会给内存使用带来沉重的负担，为了释放内存，RabbitMQ会将消息刷新到磁盘。这个过程通常需要时间，由于需要重建索引，重启包含大量消息的集群非常耗时。当刷盘的消息过多时，会阻塞队列处理消息，从而降低队列速度，对RabbitMQ节点的性能产生负面影响。 要获得最佳性能，应尽可能缩短队列。建议始终保持队列消息堆积的数量在0左右。 对于经常受到消息峰值影响的应用程序，和对吞吐量要求较高的应用程序，建议在队列上设置 最大长度 。这样可以通过丢弃队列头部的消息来保持队列长度，队列长度永远不会大于最大长度设置。 最大长度可以通过Policy设置，也可以通过在队列声明时使用对应参数设置。 在Policy中设置 在队列声明时使用对应参数设置 //创建队列 HashMap map new HashMap<>(); //设置队列最大长度 map.put("xmaxlength",10 ); //设置队列溢出方式保留前10 map.put("xoverflow","rejectpublish" ); channel.queueDeclare(queueName,false,false,false,map); 当队列长度超过设置的最大长度时，RabbitMQ的默认做法是将队列头部的信息（队列中最老的消息）丢弃或变成死信。可以通过设置不同的overflow 值来改变这种方式，如果overflow 值设置为 drophead ，表示从队列前面丢弃或deadletter消息，保存后n条消息。如果overflow 值设置为 rejectpublish ，表示最近发布的消息将被丢弃，即保存前n条消息。 说明 如果同时使用以上两种方式设置队列的最大长度，两者中较小的值将被使用。 超过队列最大长度的消息会被丢弃，请谨慎使用。

参数 是否必填 参数类型 说明 示例 下级对象 AllowedHeader 否 String 设置允许哪些header，注意： 只能使用一个星号（）通配符，且不支持使用这些字符:(<,&) AllowedMethod 否 String 允许执行的跨域请求方法，取值范围为:GET,PUT,DELETE,POST,HEAD PUT AllowedOrigin 是 String 指定允许的跨域请求的来源，允许使用多个元素来指定多个允许的来源, AllowedOrigin中只能使用一个星号()通配符 ExposeHeader 否 String 指定允许用户从应用程序中访问的响应头，不支持使用这些字符:(<,&) test123 MaxAgeSeconds 否 Integer 指定浏览器对特定资源的预取请求返回结果的缓存时间，单位为秒，如果参数<0，按0处理 30

本章节主要介绍数据仓库服务的使用限制。 数据仓库服务只支持用户管理集群，不支持直接访问集群节点。用户或应用程序使用数据库对应的集群访问IP地址和端口，访问数据仓库。 若创建非ECS+EVS形态的集群，则创建好以后不支持修改规格，如果需要使用更高规格的节点，请重新创建一个新的集群。变更规格目前仅支持ECS+EVS形态的云数仓或实时数仓集群。 用户需要在与集群相同的虚拟私有云子网中使用客户端连接DWS集群。 从文档直接复制命令到执行环境中粘贴时可能自动换行，导致运行出错，请注意删除换行。

技术亮点 DeepSeekR1 的技术亮点包括： ●大规模预训练：R1 模型在超大规模文本数据上进行预训练，学习到了丰富的语言知识和模式。 ●多任务学习：通过多任务学习框架，R1 模型能够在不同任务之间共享知识，提升泛化能力。 ●自适应微调：R1 模型支持针对特定任务的自适应微调，能够快速适应新任务和新领域。 ●高效推理：R1 模型在推理阶段采用了多种优化技术，确保在保持高性能的同时，具备较高的推理效率。 ●可解释性：R1 模型在设计中考虑了可解释性，能够提供一定程度的决策解释，增强用户信任。 通过这些技术亮点，DeepSeekR1在自然语言处理领域展现了强大的竞争力和应用潜力。 版本列表 版本列表 版本说明 DeepSeekR1 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，在多个NLP基准测试中表现出色，具备较强的泛化能力和适应性。 相关资源及引用 相关资源 DeepSeekR1的使用协议见License 相关引用 @misc{deepseekai2025deepseekr1incentivizingreasoningcapability, title{DeepSeekR1: Incentivizing Reasoning Capability in LLMs via Reinforcement Learning}, author{DeepSeekAI and Daya Guo and Dejian Yang and Haowei Zhang and Junxiao Song and Ruoyu Zhang and Runxin Xu and Qihao Zhu and Shirong Ma and Peiyi Wang and Xiao Bi and Xiaokang Zhang and Xingkai Yu and Yu Wu and Z. F. Wu and Zhibin Gou and Zhihong Shao and Zhuoshu Li and Ziyi Gao and Aixin Liu and Bing Xue and Bingxuan Wang and Bochao Wu and Bei Feng and Chengda Lu and Chenggang Zhao and Chengqi Deng and Chenyu Zhang and Chong Ruan and Damai Dai and Deli Chen and Dongjie Ji and Erhang Li and Fangyun Lin and Fucong Dai and Fuli Luo and Guangbo Hao and Guanting Chen and Guowei Li and H. Zhang and Han Bao and Hanwei Xu and Haocheng Wang and Honghui Ding and Huajian Xin and Huazuo Gao and Hui Qu and Hui Li and Jianzhong Guo and Jiashi Li and Jiawei Wang and Jingchang Chen and Jingyang Yuan and Junjie Qiu and Junlong Li and J. L. Cai and Jiaqi Ni and Jian Liang and Jin Chen and Kai Dong and Kai Hu and Kaige Gao and Kang Guan and Kexin Huang and Kuai Yu and Lean Wang and Lecong Zhang and Liang Zhao and Litong Wang and Liyue Zhang and Lei Xu and Leyi Xia and Mingchuan Zhang and Minghua Zhang and Minghui Tang and Meng Li and Miaojun Wang and Mingming Li and Ning Tian and Panpan Huang and Peng Zhang and Qiancheng Wang and Qinyu Chen and Qiushi Du and Ruiqi Ge and Ruisong Zhang and Ruizhe Pan and Runji Wang and R. J. Chen and R. L. Jin and Ruyi Chen and Shanghao Lu and Shangyan Zhou and Shanhuang Chen and Shengfeng Ye and Shiyu Wang and Shuiping Yu and Shunfeng Zhou and Shuting Pan and S. S. Li and Shuang Zhou and Shaoqing Wu and Shengfeng Ye and Tao Yun and Tian Pei and Tianyu Sun and T. Wang and Wangding Zeng and Wanjia Zhao and Wen Liu and Wenfeng Liang and Wenjun Gao and Wenqin Yu and Wentao Zhang and W. L. Xiao and Wei An and Xiaodong Liu and Xiaohan Wang and Xiaokang Chen and Xiaotao Nie and Xin Cheng and Xin Liu and Xin Xie and Xingchao Liu and Xinyu Yang and Xinyuan Li and Xuecheng Su and Xuheng Lin and X. Q. Li and Xiangyue Jin and Xiaojin Shen and Xiaosha Chen and Xiaowen Sun and Xiaoxiang Wang and Xinnan Song and Xinyi Zhou and Xianzu Wang and Xinxia Shan and Y. K. Li and Y. Q. Wang and Y. X. Wei and Yang Zhang and Yanhong Xu and Yao Li and Yao Zhao and Yaofeng Sun and Yaohui Wang and Yi Yu and Yichao Zhang and Yifan Shi and Yiliang Xiong and Ying He and Yishi Piao and Yisong Wang and Yixuan Tan and Yiyang Ma and Yiyuan Liu and Yongqiang Guo and Yuan Ou and Yuduan Wang and Yue Gong and Yuheng Zou and Yujia He and Yunfan Xiong and Yuxiang Luo and Yuxiang You and Yuxuan Liu and Yuyang Zhou and Y. X. Zhu and Yanhong Xu and Yanping Huang and Yaohui Li and Yi Zheng and Yuchen Zhu and Yunxian Ma and Ying Tang and Yukun Zha and Yuting Yan and Z. Z. Ren and Zehui Ren and Zhangli Sha and Zhe Fu and Zhean Xu and Zhenda Xie and Zhengyan Zhang and Zhewen Hao and Zhicheng Ma and Zhigang Yan and Zhiyu Wu and Zihui Gu and Zijia Zhu and Zijun Liu and Zilin Li and Ziwei Xie and Ziyang Song and Zizheng Pan and Zhen Huang and Zhipeng Xu and Zhongyu Zhang and Zhen Zhang}, year{2025}, eprint{2501.12948}, archivePrefix{arXiv}, primaryClass{cs.CL}, url{ }

本文介绍了透明数据加密（Transparent Data Encryption）功能。 功能简介 透明数据加密（Transparent Data Encryption）是通过对磁盘上存储的数据进行加密和解密来实现数据的保护。 透明： 当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密： TDE使用openssl提供AES（Advanced Encryption Standard）算法来加密数据，并将密钥存储在数据库服务器的受信任位置，以确保安全性。 RDSPostgreSQL透明加密实现方案 RDSPostgreSQL通过用户在数据密钥服务中创建的对称主密钥来生成 DEK（Data Encryption Key）数据密钥密文与明文，通过DEK密钥对数据进行加密，通过DEK密文对DEK密钥进行加密。

本章介绍天翼云关系型数据库如何设置可维护时间段 操作场景 默认可维护时间段为02:00~06:00，您可以根据业务需求，设置可维护时间段。建议将可维护时间段设置在业务低峰期，避免业务在维护过程中异常中断。 注意事项 在可维护时间段内，实例会发生1到2次连接闪断， 请确保应用程序具备重连机制。 操作步骤 步骤1：登录管理控制台。 步骤2：单击管理控制台左上角的，选择区域和项目。 步骤3：选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4：在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“数据库信息”模块的“可维护时间段”处，单击“修改”。 步骤5：在“修改可维护时间段”弹框中，选择一个可维护时间段，单击“确定”。 说明 修改可维护时间段，不影响原有可维护时间段内定时任务的执行时间。

SQL审核功能够对提交的SQL语句进行规范审查，并提供针对性的优化建议。这一功能有助于防止使用未建立索引或格式不规范的SQL语句，从而有效减少SQL注入的安全风险。 前提条件 组织版本为企业版。 目前仅支持MySQL、PostgreSQL、DRDS、Oracle数据库。 功能介绍 在项目开发阶段，业务逻辑和数据显示依赖于数据库的SQL操作。上线前，必须对所有SQL进行严格审核，以防不规范语句影响生产环境。为避免人工审核的低效和资源浪费，DMS提供了SQL审核功能，依据自定义安全规则提出优化建议，如设定表需有主键、主键类型限制等，以提高研发效率和保障数据库规范。SQL相关规则详细配置请参考SQL规范。 操作步骤 创建SQL审核工单 1. 登录DMS控制台。 2. 在左侧导航栏，选择SQL治理 > SQL审核 ，进入SQL审核管理页面。 3. 单击SQL审核按钮，弹出SQL审核工单填写界面，工单需要输入的内容说明见下表1。 4. 填写完SQL审核工单后，单击提交按钮，即完成工单的提交，进入SQL规范检查。 5. SQL审核工单检查通过之后，会自动进入审批流程。管理员将再次确认SQL，审批完成则工单流程结束。 表1 SQL审核工单输入内容说明 输入内容 说明 : 目标实例 必填项，选择执行SQL语句的目标实例，目前支持MySQL，PostgreSQL，DRDS，Oracle数据源。 目标数据库 选填项，选择执行SQL语句的目标数据库。如果未选中目标数据库，则会只检查“离线规则”，“在线规则”和“离线规则”详见 SQL规范。 关联人 选填项，选择需要看到此工单的用户名，关联人可在工单列表页面查看到此工单。 审核内容 必填项，上传或编辑审核内容。 注意 支持单个SQL文件、MyBatis框架XML文件或多文件打包成ZIP。单SQL/XML文件最大2M。ZIP不可超过20M，路径深度最大5层，最多包含200个文件。 如果上传文件为单文件，上传的文件内容将自动解析至输入框中，覆盖输入框内原有内容；如果上传文件为ZIP，上传的文件目录、文件名将自动展示到页面。 工单说明 描述工单备注内容。 说明 检查结果中如果有强制改进项，用户需要改进该项命中的SQL并重新检查通过之后，才能进入审批流程。 如果有建议改进项，不会阻断任务流程，但会出现改进建议。 强制改进和建议改进的定义，详见

参数 是否必填 参数类型 说明 示例 下级对象 AllowedHeader 否 String 设置允许哪些header，注意： 只能使用一个星号（）通配符，且不支持使用这些字符:(<,&) AllowedMethod 否 String 允许执行的跨域请求方法，取值范围为:GET,PUT,DELETE,POST,HEAD PUT AllowedOrigin 是 String 指定允许的跨域请求的来源，允许使用多个元素来指定多个允许的来源, AllowedOrigin中只能使用一个星号()通配符 ExposeHeader 否 String 指定允许用户从应用程序中访问的响应头，不支持使用这些字符:(<,&) test123 MaxAgeSeconds 否 Integer 指定浏览器对特定资源的预取请求返回结果的缓存时间，单位为秒，如果参数<0，按0处理 30

参数 是否必填 参数类型 说明 示例 下级对象 AllowedHeader 否 String 设置允许哪些header，注意： 只能使用一个星号（）通配符，且不支持使用这些字符:(<,&) AllowedMethod 否 String 允许执行的跨域请求方法，取值范围为:GET,PUT,DELETE,POST,HEAD PUT AllowedOrigin 是 String 指定允许的跨域请求的来源，允许使用多个元素来指定多个允许的来源, AllowedOrigin中只能使用一个星号()通配符 ExposeHeader 否 String 指定允许用户从应用程序中访问的响应头，不支持使用这些字符:(<,&) test123 MaxAgeSeconds 否 Integer 指定浏览器对特定资源的预取请求返回结果的缓存时间，单位为秒，如果参数<0，按0处理 30

本文为您介绍如何通过mysqldump将用户自建数据库数据迁移到天翼云关系数据库MySQL。 前期准备 准备能够远程连接关系数据库MySQL的机器。 通过弹性云主机连接关系数据库MySQL，需要创建一台弹性云主机。 通过公网地址连接关系数据库MySQL，需要将关系数据库MySQL绑定公网地址。 关系数据库MySQL实例设置白名单。 在准备的弹性云主机或其他可访问关系数据库MySQL的设备上，安装MySQL客户端。 创建关系数据库MySQL账号。 说明 弹性云主机或可访问关系数据库MySQL的设备需要安装和关系数据库MySQL相同版本的数据库客户端。（如果不相同则只能够向后兼容，例如用5.7版本的mysqldump来导出5.5版本的数据库数据） 适用场景 mysqldump迁移复杂，且需要停止源数据库的应用程序，建议数据量小的场景下使用。 数据量大的场景下建议优先使用DTS迁移数据。 导出数据 需要先对源数据库进行导出，才能将其迁移到关系数据库MySQL。 1. 登录源数据库。 2. 使用mysqldump导出自建数据库的表结构和数据，命令如下： 说明 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 下文中的自建数据库用户需要具备相关的操作权限。 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 bash mysqldump h u p P databases opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/ data.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/testdata.sql 3. 使用mysqldump导出自建数据库的触发器、事件、存储过程和函数，命令如下： 说明 如果源数据库中没有使用触发器、事件、存储过程和函数，可跳过此步骤。 bash mysqldump h u p P database opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/ trigger.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/testtrigger.sql

您可通过配置通知策略，自定义告警事件的匹配条件。当触发相应匹配条件时，系统将按照预设的通知方式向指定对象推送告警信息，提醒其及时开展问题排查与处理工作。 前提条件 已创建通知对象，具体操作，请参见【告警通知对象】。 新建通知策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知策略。 2. 在通知策略 页面左上角单击创建通知策略。 3. 点击“高级设置”（如只需要设置通知对象与通知时段，可无需点击高级设置）。 4. 在新建通知策略页面顶部设置通知策略名称。 5. 在匹配规则区域设置告警事件的匹配规则，点击添加规则，然后进行以下设置： 注意 静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。创建静默策略的操作，请参见【静默策略】。 1. 选择数据来源。 指定来源：通知策略会针对指定来源（集成）的告警事件进行匹配规则过滤并发送通知。 无预设来源：通知策略会针对所有告警事件进行匹配规则过滤并发送通知。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。 已有的标签包括： 告警规则表达式指标中携带的标签。 系统自带的默认标签，默认标签说明如下。 分类 标签 说明 常用字段 alertname 告警规则名称 常用字段 carmsobjid 告警对象ID 常用字段 carmsobjtype 告警对象类型 常用字段 carmsobjname 告警对象名称 常用字段 alertGroup 告警规则的group属性 系统预置字段 ctyunarmsregioncode 资源池编码 系统预置字段 ctyunarmsregionname 资源池名称 系统预置字段 ctyunarmstenantcode 租户编码 系统预置字段 ctyunarmstenantname 租户名称 系统预置字段 ctyunarmsalertlevel 告警等级： 1一般 2次要 3重要 4紧急 系统预置字段 ctyunarmsalertruleid 告警规则ID，在告警规则页面选择通知策略后，在对应通知策略中会新增一条匹配规则ctyunarmsalertruleid告警规则ID 系统预置字段 ctyunarmsnotifystrategyid 告警通知策略ID 系统预置字段 ctyunarmsintegrationname 集成名称，ARMS默认上报的告警集成名称为ARMSDEFAULT。 系统预置字段 ctyunarmsalertrulefrequency 告警通知频率 说明 如果需同时满足多个匹配规则才告警，则单击添加条件 编辑第二条匹配规则条件。 如果需满足任意一个匹配告警事件规则就告警，则单击添加规则 编辑第二条匹配规则。 在配置通知策略并设置匹配规则时，需注意所有关联规则的描述内容总和不可超过 64KB，大约100条匹配规则（具体数量与实际规则的复杂度相关），如超过限制则会配置失败，此时为确保配置顺利完成，请重新创建一条通知策略关联更多的匹配规则。 若将通知策略中的匹配规则删除（ctyunarmsalertruleid告警规则ID），告警规则详情中关联的通知策略虽仍可看到，但无法发出通知。 3. 单击下一步。 6. 在事件分组 区域，设置告警事件是否需要分组，然后单击下一步。 不需要分组：所有告警事件会以一条告警信息发送给处理人。 设置分组字段：选择指定字段，该字段内容相同的告警事件会汇总到同一告警发送通知，减少联系人需要处理的告警。 7. 在通知对象区域，设置以下参数。 1. 单击+添加通知对象 选择通知对象。 通知对象类型如下： 联系人：选择具体联系人后还需选择使用电话、短信或邮件的通知方式。 联系人组：选择具体联系人组后还需选择使用电话、短信或邮件的通知方式。 排班：选择具体排班后还需选择使用电话、短信或邮件的通知方式。 钉钉/飞书/企微：通过钉钉、飞书或企业微信发送告警通知。 通用Webhook：通过Webhook发送告警通知。 2. 选择告警恢复后是否发送恢复通知。 发送恢复通知：当告警下面全部事件都恢复时，告警状态是否自动恢复为已解决。当告警恢复时，系统将会发送通知给告警处理人。 3. 如选择邮件或短信方式，可设置邮件与短信通知模板。 4. 设置通知时段，告警会在设置的通知时段内发送告警通知。 5. 单击下一步。 8. 在重复/升级/恢复策略 区域设置告警是否需要重复通知或使用升级策略，然后单击下一步。 告警是否需要重复通知： 如果选择不需要重复通知，告警未恢复状态下只发送一次。 如果需要重复通知，设置重复频率。当告警未恢复或未认领时，告警会以设置的重复频率循环发送告警信息直至告警恢复。 告警是否配置升级策略：选择升级策略后，告警未恢复状态下，告警通知将会根据升级策略发送通知给其他通知对象。 9. 在行动集成 区域可以设置告警触发或恢复后自动执行的行动。具体可参考【行动集成】。 10. 设置完成后，单击提交。