本节主要介绍DeleteAccountLoginSecurityPolicy。 此操作用来将IAM用户登录安全策略恢复为默认值。默认值为： PeriodWithLoginFailures：15分钟。 LoginFailedTimes：5次。 LockoutDuration：15分钟。 AllowSingleUsersSimultaneousLogin：true。 SessionDuration：30分钟。 请求参数 名称 描述 是否必须 ::: Action DeleteAccountLoginSecurityPolicy。 是 Version 请求版本。 取值：20100508。默认值为20100508。 否 请求示例 将IAM用户登录安全策略恢复为默认值。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn Connection: KeepAlive xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20211214T024410Z ContentType: application/octetstream ContentLength: 58 ActionDeleteAccountLoginSecurityPolicy&Version20100508 响应示例 HTTP/1.1 200 OK xamzrequestid: 8f0b0ec76d984417 Date: Tue, 14 Dec 2021 02:44:12 GMT ContentType: text/xml;charsetUTF8 ContentLength: 161 Server: CTYUN 8f0b0ec76d984417

本章节主要介绍重置密码。 普通用户重置密码，请参考《数据仓库服务用户开发指南》中“管理数据库安全>管理用户及权限>设置安全策略>设置用户密码”章节。 重置密码 1.登录DWS 管理控制台。 2.单击“集群管理”。 3.在指定集群的“操作”列，选择“更多 > 重置密码”，弹出“重置密码”页面。 4.填写并确认新密码，单击“确定”。 密码复杂度要求如下： 密码长度为8～32个字符。 不能与用户名或倒序的用户名相同。 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类，其中可输入的特殊字符为：(~!?,.:;'"(){}[]/<>@%^&+)。 弱口令检查。 新密码不能与当前密码或当前密码的倒序相同。 不能将历史密码重复使用。 说明 若集群默认数据库管理员用户被删除或者重命名，将导致重置密码操作失败。

本章节为您介绍服务器安全卫士的白名单管理功能。 针对已经添加白名单的告警，您可以在白名单管理中对其进行编辑或删除。 编辑白名单 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 白名单管理”，进入白名单管理页面。 展示的字段为告警类型、告警名称、加白规则条件、规则生效范围、添加时间。 3. 可通过服务器名称 、服务器IP 或告警名称搜索白名单规则，选择需要编辑的白名单规则，单击“操作”列的“编辑”按钮。 4. 在弹出的“白名单编辑”对话框中，可编辑白名单规则的加白规则、生效服务器范围 和备注。 5. 在编辑完成后，单击“确认”即可完成白名单规则编辑。 新增白名单规则 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 白名单管理”，进入白名单管理页面。 3. 单击“新增规则”即可开始新增白名单规则。 4. 在弹出的对话框中配置白名单规则。 参数 参数说明 告警类型 选择该白名单规则适用的告警类型。 告警名称 选择该白名单规则适用的告警名称。 加白规则 自定义设置加白规则匹配条件。 设置生效范围 可选择“全部服务器”和“自选服务器”。 5. 填写完成后，单击“确定”即可完成白名单规则配置。

对比项 文档数据库服务 自建数据库 服务可用性 99.95% 自行保障，自行搭建主从复制，部署高可用环境等。 数据持久性 99.9999999% 自行保障，自行搭建主从复制，自建RAID等。 系统安全性 防DDoS攻击，及时自动修复各种数据库安全漏洞。 支持审计日志。 需要购买昂贵的硬件设备和软件服务，自行检测和修复安全漏洞等。 需要购买额外审计系统。 数据库备份 支持自动备份，根据业务运行周期设置自动备份策略。 支持随时手动备份数据，手动备份支持物理备份，备份效率提升3倍。 备份文件自动上传到对象存储服务（OBS）保存。 自行搭建设置和后期维护。 开源版本仅支持逻辑备份，备份效率低。 监控告警 已对接云监控服务（CES），监控可视化，可在CES上查看一段时间内的监控指标，以及设置阈值告警。 自行编写监控脚本和告警脚本，保存监控数据和绘制图表。 主机托管 无主机托管费用，即买即用。 自行购买3台服务器设备，托管费用昂贵。 维护成本 无额外运维成本，支持秒级性能监控和设置阈值告警、事件告警。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 快速部署，即开即用，支持弹性扩容，一键规格变更。 需要购买和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 日志转储 支持保留1个月的慢日志和错误日志。 自行转储日志文件，自行导出和查询日志信息。 高可用监控 具备高可用能力，支持秒级Switchover和Failover。 自行部署高可用监控，手工命令行执行主备切换，可能会有数据丢失。

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象

本文介绍资源共享功能的优势 降低管理复杂度 在一个账号中创建资源实例，并共享给其他账号使用，避免了在每个账号中重复创建和配置资源，降低资源管理的复杂度，减少运营开销。资源所有者可以在资源共享服务中集中管理不同资源类型以及资源实例的共享配置，提升运营效率，且确保了资源配置的一致性。 提高管理安全性 资源共享服务内置了不同资源类型的共享权限，资源使用者只能对资源进行权限内的访问，保证共享资源在满足资源使用者业务诉求的同时，提升资源管理的安全性。 便捷的统一分配能力 用户通过资源共享服务将资源共享给企业中心中的整个组织或批量指定成员账号，并可对共享实例的生命周期统一管理。

本节介绍数据安全中心如何收费。 数据安全中心DSC提供两个服务版本：标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。 说明 不同版本的扩展包的费用不同，且购买扩展包需要对应版本购买，如标准版的扩展包只能支持标准版的基础套餐，专业版的扩展包只能支持专业版的基础套餐。 您可以根据业务需求选择相应的服务版本和搭配扩展包，服务将根据您选择的计费项目进行收费。详细计费信息见计费说明。 计费项 计费模式 计费项 选择方式 计费说明 包周期（包年/包月） 基础套餐 必选 按购买的版本规格（标准版/专业版）计费。 包周期（包年/包月） 数据库扩展包 可选 按购买个数计费。 包周期（包年/包月） OBS扩展包 可选 按购买个数计费。

本节介绍服务器安全卫士（原生版）配额管理操作指南。 在配额管理页面，可以查看并管理服务器安全卫士（原生版）主机防护的配额。 查看配额统计情况 配额使用统计：展示配额状态为“正常”的配额的使用情况，分使用中和未绑定2种情况。 配额状态统计：包括正常、已过期和已退订3种情况。 配额版本统计：展示已购买的企业版和旗舰版配额数量。 查看配额列表 页面下方是订购配额的详细列表，展示了配额ID、配额规格、配额状态、使用状态、绑定服务器、配额开通时间、配额到期时间。 该列表可以根据配额状态、使用状态、配额版本、配额ID、服务器名称和服务器IP进行查询。

本节介绍网页防篡改（原生版）的产品优势。 方便易用 只需在Web服务器一键安装Agent，简单配置防护策略即可实现防护，全部操作都有可视化界面，方便用户使用。 灵活配置 防护策略支持自定义配置，按需指定防护的进程和文件类型，支持各类网站文件的保护。 安全可靠 产品实现自我保护机制，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.998%，2分钟内离线自动重启机制，保障系统始终处于检测状态。 节约资源 正常的系统负载情况下，CPU占用率<1%，内存占用<40M，消耗极低。在系统负载过高时，Agent会主动降级运行（CPU占用率<1%），严格限制对系统资源的占用，确保业务系统正常运行。

本章主要介绍翼MapReduce的加固LDAP功能。 配置LDAP防火墙策略 在双平面组网的集群中，由于LDAP部署在业务平面中，为保证LDAP数据安全，建议通过配置整个集群对外的防火墙策略，关闭LDAP相关端口。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 配置”。 3.查看“LDAPSERVERPORT”参数值，即为LdapServer的服务端口。 4.根据客户的实际防火墙环境，配置整个集群对外的防火墙策略，将该端口关闭，以保证数据安全。 开启LDAP审计日志输出 用户可以通过设置LDAP服务的审计日志输出级别，将审计内容输出至系统日志信息中（如“/var/log/messages”），用于查看用户的活动信息及操作指令信息。 说明 LDAP的审计日志开启后，会产生大量日志信息，严重影响集群性能，请谨慎开启。 1.登录任一LdapServer节点。 2.执行以下命令，编辑“slapd.conf.consumer”文件，将“loglevel”的值设置为“256”（loglevel定义可以在OS上使用man slapd.conf命令查看）。 cd ${BIGDATAHOME}/FusionInsightBASE8.1.0.1/install/FusionInsightldapserver2.7.0/ldapserver/local/template vi slapd.conf.consumer ... pidfile [PIDFILESLAPDPID] argsfile [PIDFILESLAPDARGS] loglevel 256 ... 3.登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 更多 > 重启服务”，验证当前用户身份后重启服务。

概述 本章节主要介绍创建和更新浏览器沙箱模板、浏览器沙箱实例调试和录制回放功能。浏览器沙箱为浏览器智能体提供的安全页面渲染环境。在该类型沙箱实例中您可以通过可视化方式查看浏览器运行画面， 也可以通过自动化接口对页面进行程序化操作，该类型沙箱适用于调试、测试、流程自动化等场景。 创建浏览器沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写浏览器沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 浏览器沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 浏览器类型 是 目前只支持Chromium类型。 窗口分辨率 是 浏览器沙箱中VNC窗口分辨率，目前只支持12801024规格。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。

项目 描述 根结点 拓扑图的根节点，与存储池名称相同。点击右键，可以选择添加存储池节点或移除存储池节点。 机房类型节点 以选择添加节点到存储池或移除存储池内的节点。 将鼠标放至节点上，可以查看下列信息： 机房类型节点 名称 节点名称。 机房类型节点 类型 节点类型：机房。 机房类型节点 健康状态 节点健康状态： 健康：可正常读写。 警告：可读。 错误：无法访问。 机房类型节点 描述信息 节点描述信息。 机架类型节点 可以选择添加节点到存储池或移除存储池内的节点。 将鼠标放至节点上，可以查看下列信息： 机架类型节点 名称 节点名称。 机架类型节点 类型 节点类型：机架。 机架类型节点 健康状态 节点健康状态： 健康：可正常读写。 警告：可读。 错误：无法访问。 机架类型节点 描述信息 节点描述信息。 服务器节点 以选择添加节点到存储池或移除存储池内的节点。 将鼠标放至节点上，可以查看下列信息： 服务器节点 名称 节点名称。 服务器节点 服务器ID 服务器ID。 服务器节点 类型 节点类型：服务器。 服务器节点 健康状态 数据服务的健康状态： 健康：故障域下面的所有数据服务全部都是健康状态。 警告：故障域下面的数据服务部分是警告或错误状态。 错误：故障域下面的所有数据服务全部都是错误状态。 服务器节点 服务器ID 服务器ID。 服务器节点 业务IP 业务IP。 服务器节点 集群IP 集群IP。 服务器节点 数据目录容量 服务器上所有数据目录所在磁盘使用率的平均值。 服务器节点 数据目录已用容量 服务器上所有数据目录所在磁盘的总容量。 服务器节点 服务器状态 服务器状态： 已连接。 未连接。 移除中。 服务器节点 描述信息 节点描述信息。 数据目录节点 可以移除存储池内的节点。 将鼠标放至节点上，可以查看下列信息： 数据目录节点 名称 节点名称，即数据目录路径。 数据目录节点 类型 节点类型：数据目录。 数据目录节点 服务器ID 数据目录所属的服务器ID。 数据目录节点 数据目录容量 数据目录所在磁盘的容量。 数据目录节点 数据目录已用容量 数据目录所在磁盘已用容量。 数据目录节点 容量配额 HBlock的容量配额。 数据目录节点 已用容量配额 HBlock已使用的容量配额。 数据目录节点 健康状态 数据目录的健康状态： 健康：数据目录可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 警告：数据目录可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 错误：数据目录无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 数据目录节点 管理状态 数据目录管理状态： 已添加。 移除中。 数据目录节点 管理子状态 如果数据目录正在移除中，会显示移除详情，包括故障域信息（健康、警告、错误的个数）、数据状态（安全、待重建、故障域个数不足、单副本及损坏的数据比例）及相应告警信息。 数据目录节点 健康详情 数据目录的健康详情： 如果“健康状态”为“健康”，此列为空。 如果“健康状态”为“警告”或“错误”，显示警告或错误的详细信息。

本文主要介绍权限管理 如果您需要在云上购买的APM资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制APM资源的访问。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制员工对APM资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有APM的使用权限，但是不希望开发的人员拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制服务对服务发现规则资源的使用范围。 如果帐号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用APM的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 APM权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对APM进行操作。 APM是全局级服务，在授予用户APM权限时，默认对APM支持的所有区域生效。APM资源是租户隔离的，当前租户下所有子用户共享资源，如果需要隔离资源，可以通过企业项目实现。 APM部署时不区分物理区域，为全局级服务。授权时，在“企业 > 项目管理”中设置权限，访问APM时，不需要切换区域。 如表所示，包括了APM的所有系统权限。 表 APM系统权限 角色名称 描述 类别 APM FullAccess 应用性能管理服务的所有执行权限。 系统策略 APM ReadOnlyAccess 应用性能管理服务的只读权限。 系统策略 下表列出了APM常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 APM FullAccess APM ReadOnlyAccess 获取告警列表 √ √ 获取告警详情 √ √ 获取告警通知详情 √ √ 获取应用配置 √ √ 创建应用配置 √ x 删除应用配置 √ x 修改应用配置 √ x 获取标签 √ √ 新增标签 √ x 删除标签 √ x 修改标签 √ x 查询告警模板 √ √ 添加告警模板 √ x 删除告警模板 √ x 修改告警模板 √ x 获取通知 √ √ 删除通知 √ x 添加通知 √ x 修改通知 √ x 获取URL跟踪 √ √ 删除URL跟踪 √ x 添加URL跟踪 √ x 修改URL跟踪 √ x 获取URL跟踪视图 √ √ 获取URL跟踪列表 √ √ 获取全局拓扑 √ √ 获取子应用 √ √ 获取环境配置 √ √ 添加环境配置 √ x 删除环境配置 √ x 修改环境配置 √ x 获取实例 √ √ 删除实例 √ x 修改实例 √ x 获取监控项 √ √ 修改监控项 √ x 获取采集状态 √ √ 获取自定义告警策略 √ √ 删除自定义告警策略 √ x 修改自定义告警策略 √ x 添加自定义告警策略 √ x 获取环境拓扑 √ √ 获取指标视图 √ √ 获取调用链列表 √ √ 获取调用链详情 √ √ 获取采集器信息 √ √ 获取访问密钥 √ √ 修改访问密钥 √ x 删除访问密钥 √ x 添加访问密钥 √ x 获取通用配置 √ √ 修改通用配置 √ x

介绍Kafka消费者poll的优化。 优化背景 Kafka是一个高吞吐量、低延迟的分布式消息系统，常用于构建实时数据流处理和大规模数据集的消费。在Kafka中，消费者通过调用 poll()方法从Broker拉取消息进行消费。 优化Kafka消费者的 poll()方法可以带来以下几个方面的好处： 1. 提高消费者的吞吐量：通过调整 poll()方法的参数和优化策略，可以减少网络通信的次数和延迟，提高消费者的消息处理速度，从而提高整体的吞吐量。 2. 减少消费者的资源占用：消费者在调用 poll()方法时会占用一定的CPU、内存和网络资源。通过优化 poll()方法，可以减少消费者的资源占用，提高资源的利用率，从而节省成本和提高系统的可扩展性。 3. 提高消息的实时性：优化 poll()方法可以减少消息的处理延迟，使得消息能够更快地被消费和处理。这对于实时数据流处理和需要快速响应的应用场景非常重要。 4. 提高系统的稳定性：通过优化 poll()方法，可以减少消费者的阻塞时间和等待时间，减少消息堆积和延迟，从而提高系统的稳定性和可靠性。 总之，优化Kafka消费者的 poll()方法可以提高消费者的吞吐量、降低延迟、节省资源、提高实时性和增强系统的稳定性。这对于大规模数据处理和实时数据流应用非常重要，能够提升系统的性能和用户体验。 优化方案 优化Kafka消费者的 poll()方法可以通过以下几个方面来实现： 1. 批量拉取消息：通过调整 max.poll.records参数，一次性拉取更多的消息，减少网络通信的次数，提高消费者的吞吐量。需要根据实际场景和消费者的处理能力进行合理的调整。 2. 控制拉取间隔：通过调整 poll()方法的调用频率，控制消费者的拉取速度。拉取间隔过小会增加网络开销，间隔过大会导致消息堆积和延迟。根据实际场景和消费者的处理能力，找到合适的拉取间隔，平衡吞吐量和消息的实时性。 3. 并行处理：使用多线程或多进程方式并行处理拉取到的消息，提高消费者的并发处理能力，加快消息的处理速度。确保消息处理逻辑线程安全，避免并发访问问题。 4. 提前预取：通过设置 fetch.min.bytes参数，提前预取下一批消息，减少 poll()方法的等待时间。根据实际场景和消费者的处理能力，找到合适的预取大小，平衡吞吐量和内存开销。 5. 异步提交偏移量：将 enable.auto.commit参数设置为 false，手动异步提交偏移量，减少 poll()方法的阻塞时间。提高消费者的吞吐量和性能。 6. 使用消费者组：将多个消费者组绑定到同一个主题，实现消息的并行消费。每个消费者组可以独立地消费消息，提高整体的消费能力。 7. 合理配置消费者参数：根据实际需求和系统资源，合理配置消费者的参数，如 max.poll.interval.ms、session.timeout.ms等，以避免消费者在处理消息时出现超时或重平衡的情况。 需要根据具体的应用场景和需求，结合实际的性能测试和优化策略，选择合适的优化方案来提高Kafka消费者的 poll()方法的效率和性能。

本章节主要介绍通用操作类问题 DRS界面信息重叠是什么原因 DRS界面出现信息重叠通常是页面缩放率过小导致的，建议将页面缩放率调整为100%即可显示正常。 目标库读写设置是实例级还是库级 配置迁移任务时，目标数据库实例可以选择设置为“只读”或者“读写”状态。 只读：目标数据库整个实例 将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写：目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。 只读保护优点是避免用户对正在迁移的数据库或表进行DDL或DML误操作，造成数据不一致，可提高迁移完整性和数据一致性。 任务启动后，DRS不支持修改目标数据库状态。 待所有设置该目标库为“只读”状态的迁移任务结束后，可恢复读写。 MySQL源库设置了global binlogformat ROW没有立即生效 使用DRS进行MySQL的迁移时，必须确保源库的binlogformat是ROW格式的，否则就会导致任务失败甚至数据丢失。在源库设置了global级别的binlogformatROW之后，还需要中断之前所有的业务连接，因为设置之前的连接使用的还是非ROW格式的binlog写入。 安全设置global级binlogformatROW的步骤 步骤 1 通过MySQL官方客户端或者其它工具登录源数据库。 步骤 2 在源数据库上执行全局参数设置命令。 set global binlogformat ROW; 步骤 3 在源数据库上执行如下命令确认上面操作已执行成功。 select @@global.binlogformat; 步骤 4 您可以通过如下两种方式确保修改后的源库binlogformat格式立即生效。 方法一： 1. 选择一个非业务的时间段，中断当前数据库上的所有业务连接。 a. 通过如下命令查询当前数据库上的所有业务连接(所有的binlog Dump连接及当前连接除外)。 show processlist; b. 中断上面查出的所有业务连接。 2. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 方法二： 1.为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 2.确保上述配置参数binlogformat添加或修改成功后，选择一个非业务时间段，重启源数据库即可。 binlogrowimage参数设置为FULL没有立即生效 使用DRS进行MySQL迁移时，必须确保源库的binlogrowimage参数设置为FULL，否则就会导致任务失败。在源库设置了binlogrowimageFULL之后，只对新的session生效，为了关闭旧的session，需选择一个非业务时间段，重启源数据库并重置任务即可。

本节主要介绍使用DCS控制台进行数据迁移时迁移失败的问题排查和解决。 在使用控制台进行数据迁移时，如果出现迁移方案选择错误、在线迁移源Redis没有放通SYNC和PSYNC命令、源Redis和目标Redis网络不连通等问题，都会导致迁移失败。 排查步骤 步骤 1 查看迁移日志。 出现如下错误，表示迁移任务底层资源不足，需要联系技术支持处理。 create migration ecs failed, flavor 出现如下错误，表示在线迁移时，源Redis没有放通SYNC和PSYNC命令，需要联系技术支持放通命令。 source redis unsupported command: psync 步骤 2 检查迁移方案。Redis实例间迁移，高版本不支持迁移到低版本。 步骤 3 检查源Redis是否放通SYNC和PSYNC命令，迁移任务底层资源与源Redis、目标Redis网络是否连通。 如果是在线迁移，才涉及该操作。 在线迁移，必须满足源Redis和目标Redis的网络相通、源Redis已放通SYNC和PSYNC命令这两个前提，否则，会迁移失败。 网络 检查DCS的源Redis、目标Redis、迁移任务所需虚拟机是否在同一个VPC，如果不在同一个VPC，则需要建立VPC对等连接，打通网络。关于创建和使用VPC对等连接，请参考《虚拟私有云用户指南》的“对等连接”文档说明。 如果是同一个VPC，则检查安全组（Redis 3.0实例）或白名单（Redis 4.0/5.0/6.0实例）是否放通端口和IP，确保网络是连通的； 源Redis和目标Redis必须允许迁移任务底层虚拟机访问。 源Redis和目标Redis属于不同的云厂商时，需使用云专线服务打通网络。 命令 默认情况下，一般云厂商都是禁用了SYNC和PSYNC命令，如果要放通，需要联系云厂商运维人员放通命令。 DCS内部进行迁移： 自建Redis迁移至DCS，默认没有禁用SYNC和PSYNC命令； DCS服务之间进行迁移，如果是同一帐号相同Region进行在线迁移，在执行迁移时，会自动放通SYNC和PSYNC命令； 如果是不同Region或相同Region不同帐号进行在线迁移，不会自动放通SYNC和PSYNC命令，无法使用控制台上的在线迁移功能。推荐使用备份文件导入方式迁移。 其他云厂商迁移到DCS服务： 一般云厂商都是禁用了SYNC和PSYNC命令，如果使用在线迁移功能，需要联系源端的云厂商运维人员放通此命令。如果使用离线迁移，推荐使用备份文件导入的方式。 如果不需要增量迁移，可以参考使用Redisshake工具在线全量迁移其他云厂商Redis进行全量迁移，该方式不依赖于SYNC和PSYNC。 步骤 4 检查源Redis是否存在大Key。 如果源Redis存在大key，建议将大key打散成多个小key后再迁移。 步骤 5 检查目标Redis的规格是否大于迁移数据大小、是否有其他任务在执行。 如果目标Redis的实例规格小于迁移数据大小，迁移过程中，内存被占满，会导致迁移失败。 如果目标Redis存在正在执行的主备切换，建议联系技术支持关闭主备切换后，重新执行数据迁移。待迁移完成后，重新开启主备切换。 步骤 6 检查迁移操作是否正确。 检查填写的IP地址、实例密码是否正确。 步骤 7 排查白名单。 步骤 8 如果无法解决，请联系技术支持。

接口功能介绍 更新用户配置 接口约束 签约服务器安全卫士 URI POST /v1/safetyReport/config/update 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 generateType 是 Array of Strings 订阅报表类型列表 DAYREPORT日报 MONTHREPORT月报 WEEKREPORT周报 ["DAYREPORT"] reportSubscribe 否 Array of Strings 报表订阅人id列表 ["CP10001"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

本章节主要介绍如何设置网卡的源/目的检查。 操作场景 开启网卡的源/目的检查，系统会检查物理机服务器发送的报文中源IP地址是否正确，否则不允许物理机服务器发送该报文。这有助于防止伪装报文攻击，提升安全性。 操作步骤 1.登录管理控制台。 2.选择“计算 > 物理机服务”。 进入物理机页面。 3.单击待设置网卡的物理机的名称。 系统跳转至该物理机的详情页面。 4.选择“网卡”页签，单击待设置网卡前的图标。 5.选择打开或关闭“源/目的检查”开关。 默认情况下，“源/目的检查”状态为“ON”，系统会检查物理机发送的报文中源IP地址是否正确，否则不允许物理机发送该报文。这有助于防止伪装报文攻击，提升安全性。当物理机作为NAT服务器、路由器或防火墙时，此开关应该设置为“OFF”。

本文介绍了修改文件读写权限的最佳实践。 操作场景 在实际业务中，由于以下原因和目的，您可能需要修改对象的读写权限： 数据安全：通过修改对象的读写权限，可以确保数据仅对授权用户或系统可见和可访问。限制对象的访问权限可以减少数据泄露和未经授权的访问风险，提高数据的安全性。 数据分享：在某些场景下，您可能需要与他人或公众共享特定的对象。通过修改权限，您可以将对象的读取权限开放给其他用户或特定的用户群体，以便与他们分享数据，也可以用于共享公共资源、发布媒体内容或进行数据传输等场景。 方案说明 ZOS控制台支持私有和公共读两种权限的相互转换，为确保您的数据安全，建议您选择私有。 桶的读写权限的更改不会改变桶内已有文件的读写权限，新上传文件会默认继承桶的读写权限。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“设置读写权限”按钮。 7. 如选择“公共读”，需勾选“ 我已阅读并同意相关协议《天翼云对象存储系统服务协议》”点击“确认修改”，完成读写权限设置。 8. 如选择“私有”，直接点击“确定”，完成设置。

计费示例 假设您在2023/03/10 8:45:30在性能测试服务（假设产品单价为0.0032元/VUM）上启动了压测任务，然后在9:30:00将其全部停止运行，则计费周期分为如下两个时间段： 8:00:009:00:00时间段，在8:45:309:00:00间产生费用，该计费周期内的计费时长为870秒。则该计费时间段的费用为：0.0032x870÷600.0464（元）。 9:00:0010:00:00时间段，在9:00:009:30:00间产生费用，该计费周期内的计费时长为1800秒。则该计费时间段的费用为：0.0032x1800÷600.096（元）。 包周期计费 适用场景 包周期套餐包适用于可预估资源使用周期的场景，价格比按需套餐包计费模式更优惠。对于测试任务需长期7x24小时持续运行的场景，推荐该方式。以下是一些适用于包周期套餐包计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业业务系统等，包周期套餐包计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包周期套餐包计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包周期套餐包以应对高峰期的需求。 数据安全要求高：对于数据安全性要求较高的业务，包周期套餐包计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

本节介绍服务器安全卫士（原生版）漏洞扫描操作指南，包括如何一键手动扫描漏洞、如何配置定时扫描策略。 服务器安全卫士（原生版）支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，提供如下扫描方式： 一键手动扫描漏洞 如果用户想立即了解服务器当前是否存在漏洞风险，可以执行“一键扫描”，立即手动扫描服务器中的漏洞。 定时自动扫描漏洞 用户可以开启“定时扫描”，配置定时扫描周期和范围，定期对服务器上存在的漏洞进行自动扫描。 约束限制 漏洞扫描支持的操作系统请参见支持的操作系统。 仅支持对已安装Agent且“Agent状态”为“在线”、“防护状态”为“防护中”的服务器进行漏洞扫描。 一键手动扫描漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“一键扫描”，页面右侧弹出一键扫描设置窗口。 4. 设置扫描参数，参数说明如下。 参数 说明 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“WebCMS漏洞”、“应用漏洞”和“应急漏洞”。 设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。 说明 以下服务器不能被选中执行漏洞扫描： 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确定”，立即开始扫描。 说明 扫描需要一定的时间，请耐心等待，期间您可以切换页面执行其他操作。等待过程中您可以手动刷新页面查看最新扫描数据。

本节介绍如何管理漏洞白名单。 如果确认漏洞不会对您的业务造成任何影响，无需修复，您可以将漏洞添加至白名单。漏洞加入白名单后，漏洞列表不再展示该漏洞信息，在下一次漏洞扫描任务执行时，系统不会再扫描和展示该漏洞信息。 查看白名单列表 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击页面右上角的“白名单管理”，进入白名单管理页面。 4. 可以查看已加入白名单的漏洞，包括漏洞公告、CVE编号、漏洞类别、修复优先级。 添加白名单 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要加入白名单的漏洞，单击漏洞列表左上角的“加入白名单”，批量对漏洞进行加白。 4. 在弹出的对话框中，确认漏洞名称和影响服务器数量后，单击“确定”。 移除白名单 您可以随时对已加入白名单的漏洞，从白名单中移除。移除后，下一次进行漏洞扫描时，系统将对该漏洞进行扫描并展示。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击页面右上角的“白名单管理”，进入白名单管理页面。 4. 选择需要移除的漏洞，点击操作列中的“移除白名单”，或勾选需要移除的漏洞，单击列表左上角的“移除白名单”，进行批量操作。 5. 在弹出的确认对话框中，单击“确定”，漏洞被移除白名单。

本章节介绍数据库安全如何安装Agent。 安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。 本节介绍如何在Linux系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Linux操作系统Agent安装包。 安装Agent节点的运行系统满足Linux系统版本要求。 安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 7. 执行以下命令，安装Agent。sh install.sh。用户系统是Ubantu时，执行以下命令安装Agent。bash install.sh。界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status如果界面回显以下信息，说明Agent程序运行正常。audit agent is running.

本文介绍使用OBS推流可能失败的原因。 使用OBS推流时，推流失败可能有多种原因导致。以下是一些常见的原因： 推流服务器配置错误：请确保您在OBS中正确配置了推流服务器的地址、端口和密钥等信息。检查您的配置是否与推流服务器的要求一致。 网络连接问题：推流过程中可能会出现网络连接问题，例如网络延迟、丢包等。请确保您的网络连接稳定，并尝试使用其他网络环境进行推流。 推流码率设置过高：如果您设置的推流码率过高，可能会导致推流失败。尝试降低推流码率，并确保它适合您的网络带宽。 推流设备问题：推流设备（例如摄像头、麦克风）可能存在问题，例如设备驱动程序不正确、设备与计算机的连接问题等。请检查设备是否正常工作，并在OBS中正确配置设备。 防火墙或安全软件阻止推流：某些防火墙或安全软件可能会阻止OBS进行推流。请确保您的防火墙或安全软件允许OBS进行网络连接和数据传输。 OBS版本不兼容：OBS的版本可能不兼容您的操作系统或其他相关软件。尝试升级到最新版本的OBS，并确保它与您的系统兼容。 直播服务器故障：直播服务器可能存在故障或维护。请通过工单与技术支持团队联系，确认服务器是否正常运行。 流在禁推列表中：如果流在禁推列表中，则也会导致推流失败。 如果您遇到推流失败的问题，建议您逐步排查以上可能的原因，并查看OBS的日志文件以获取更多详细信息。您还可以参考OBS的官方文档和社区论坛，寻求更多的技术支持和解决方案。

本文档提供了服务器安全卫士（原生版）和网页防篡改（原生版）API的描述、语法、参数说明及示例等内容。

配置项 说明 安全策略名称 策略名称 源地址(IPBlock) 请求的网络层IP，支持单IP（203.0.113.4）或CIDR记法（203.0.113.0/24） remoteIPBlock 通过XForwardedFor头部或者proxy protocol传递过来的请求IP信息，支持单IP（203.0.113.4）或CIDR记法（203.0.113.0/24） HTTP域名(Host) 请求的域名 端口(Port) 请求的目标端口

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj

步骤 步骤说明 参考链接 1.资产识别 资产管理主要对全网资产进行统一梳理和统计，主要包括数据库资产管理、元数据管理、接口资产管理等。 资产管理 2.风险分析 敏感数据链路刻画模块用于展示数据源、应用系统、访问源之间的访问链接图谱。 风险分析 3.监测预警 监测预警功能是对平台接收的原始日志与告警日志进行查询检索以进行风险分析溯源。 查询分析 4.响应处理 可对告警分析、安全事件、风险隐患、工单管理等进行管理。 运营处置

此小节介绍数据库安全版本性能规格说明 版本和性能规格说明 数据库安全审计功能提供了基础版、专业版和高级版三种服务版本。您可以根据业务需求选择相应的服务版本。 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：8GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQL语句存储 50亿条归档SQL语句存储 专业版 最多支持6个数据库实例 CPU：8Ul内存：16GB 硬盘：1TB 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQL语句存储 100亿条归档SQL语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：32GB 硬盘：2TB 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQL语句存储 600亿条归档SQL语句存储

容器镜像服务是一种支持容器镜像生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。

本页为本地MySQL迁移到RDS for MySQL的具体操作流程。 1、购买DTS迁移实例 购买实例入口请参考订购数据迁移实例。 本地MySQL迁移到RDS for MySQL的相关配置为： 在订购页面，实例类型选择"数据迁移"，网络接入类型选择"公网EIP"，数据库类型选择"MySQL"，目标库实例请选择需要将数据迁移至该库的RDS for MySQL实例，完成页面信息的选择和设置后，完成迁移实例的购买。 2、配置实例 开通实例后，在【数据迁移】实例列表页面中，实例处于“待配置”状态，先点击“绑定弹性IP”按钮完成公网弹性IP的绑定，然后再点击该实例操作列的“实例配置”按钮。 3、配置源库及目标库信息 进入实例配置页面的第一步，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 还可以选择连接方式为 SSL安全连接 ，此时需要上传正确的证书文件。 完成上述信息的填写后可以进行数据库的连接测试，测试数据库能否正常连接。 4、选择迁移对象 所有信息填写正确后，点击检测连通性并下一步按钮，进入配置迁移对象及高级配置页面，选择要迁移的源库对象。 各配置及说明如下： 配置 说明 任务步骤 如果只需要进行全量迁移，请同时勾选库表结构迁移和全量迁移 。 如果需要进行不停机迁移，请同时勾选库表结构迁移 、全量迁移和增量迁移 。 注意： 如果未选择增量迁移，为保障数据一致性和任务正常运行，数据迁移期间请勿在源实例中执行DML和DDL操作。 迁移对象 当前源库为MySQL的情况下，支持表、视图、函数、存储过程四种类型对象的迁移。 在迁移对象框中单击待迁移的对象，然后单击>将其移动到已选择对象框。已选择对象可以通过单击 <将对象回退。 选择迁移对象时，如不展开库的详细信息，则表示整库迁移，后续在增量任务过程中，可在源库创建新表，其他类型暂不支持。 映射名称更改 支持库表列三级名称映射，如需更改单个迁移对象在目标实例中的库名、表名和列名，选择对象，然后点击编辑按钮。 如需批量更改迁移对象在目标实例中的库名、表名，请单击已选择对象方框右上方的“批量编辑”。 注意： 若迁移任务仅包含结构迁移和全量迁移，支持列映射名称更改，若迁移任务包含增量迁移，不允许列映射名称更改。 库表名仅支持字母、数字和下划线，长度不超过64个字符。 过滤待迁移数据 支持设置where条件过滤数据，过滤条件不允许;和字符，如需使用引号，请使用单引号(')，只有满足where条件的数据才会迁移到目标库。 增量同步的DML 选择增量同步DML操作，选中迁移对象，点击“编辑”，在弹跳框中选择所需增量迁移的DML操作。若在数据库级别和表级别都指定了DML操作，则表级别的设置会覆盖库级别的。 增量同步的DDL 增量同步的DDL操作仅支持CREATE INDEX、DROP INDEX、ALTER TABLE和DROP TABLE，如果是整库迁移或同步，支持CREATE TABLE。 是否定时开始任务 同步任务可在指定的时间启动。

Redis命令的常用规范 规范 规范说明 级别 备注 小心使用时间复杂度为O(N)的命令 对于时间复杂度为O(N)的命令如果N值较大，可能会导致Redis执行过慢，影响整体性能和稳定性 强制 例如：hgetall、lrange、smembers、zrange、sinter这些命令都是做全集操作，如果元素很多，是很耗性能的可使用hscan、sscan、zscan这些分批扫描的命令替代 命令禁用 部分命令是禁止使用的，需要最好提早了解清楚 强制 使用前，请参考Redis命令兼容性和WebCli命令兼容性 慎重使用select Redis多数据库支持较弱，多业务用多数据库实际还是单线程处理，会有干扰 建议 需要多DB的场合，建议拆分多个redis使用 CLUSTER集群实例不支持多DB 批量操作 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数免得导致执行过慢，占用Redis过多的资源 建议 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数mget、mset和pipeline的区别如下： mget和mset是原子操作，pipeline是非原子操作 pipeline可以打包不同的命令，mget和mset做不到 使用pipeline，需要客户端和服务端同时支持 lua脚本执行耗时 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码 强制 比如长时间的sleep、大的循环等语句 避免在lua脚本中使用随机函数 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致 强制 遵循CLUSTER集群实例使用lua的限制 遵循CLUSTER集群实例使用lua的限制 强制 cluster集群实例使用lua有如下限制： 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key，否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误 使用EVAL和EVALSHA命令时，cluster集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot 不要直接使用del命令删除大Key 删除大Key时，不要直接使用del命令因为del命令是阻塞的，也会同时阻塞其他客户端请求无法正常执行 强制 Redis 4.0后的版本可以通过UNLINK命令安全地删除大Key，该命令是异步非阻塞 对于 4.0之前的版本： 如果是Hash类型的大Key，推荐使用hscan + hdel 如果是List类型的大Key，推荐使用ltrim 如果是Set类型的大Key，推荐使用sscan + srem 如果是SortedSet类型的大Key，推荐使用zscan + zrem 的 控制pipeline命令个数 使用Pipeline时，建议不要一次太多命令因为会占用大量Redis资源和执行时间较长，可能会卡住其他请求无法执行 建议 单次建议不超过100，同时也需要考虑实际元素字节数大小情况 合理使用发布订阅命令 不建议将 Redis 当作消息队列使用Redis 当作消息队列使用，会有容量、网络、效率、功能方面的多种问题 建议 如需要消息队列，可使用高吞吐的Kafka或者高可靠的RabbitMQ Redis事务限制 Redis事务是不支持回滚的如果事务在中途某个命令失败了，那么前面的命令依然会执行成功 建议