主从节点之间的数据同步方式是什么 通过oplog进行异步同步，备节点通过拉取主节点的oplog，然后本地回放，实现主备节点之间的数据同步。 分片集群内存过高怎么进行排查解决 可以采取以下方法来消减内存使用： 优化查询和索引，确保数据库查询使用了合适的索引，避免全表扫描，减少内存压力。 增加硬件配置，可以扩容实例的内存规格。 限制查询返回的数据量，避免一次性返回大量数据。 调整缓存设置，通过‘cacheSizeGB’参数调整缓存大小，适当增大缓存有助于提高性能。 设置合理的分片键，使数据均匀分配至各个分片上。 文档数据库服务分片集群持续写入数据后查询报错怎么排查解决 当集群持续写入数据后查询出现错误，可能是由于多种原因导致的。可以考虑从以下方面进行定位： 1. 查看错误日志：首先，查看文档数据库服务集群的错误日志，确定报错的具体信息和错误类型。 2. 查看硬件资源：确保硬件资源，如CPU、内存和磁盘空间，足够支撑持续写入和查询操作。 3. 检查查询语句：确保查询语句使用了正确的语法，没有拼写错误，并且合理地使用了索引。 4. 检查网络连接：确保文档数据库服务集群之间的网络连接正常。网络问题可能导致查询超时或失败。 5. 检查锁情况：长时间持有锁可能会导致查询阻塞。使用db.currentOp()命令查看当前正在执行的操作和锁情况。 如果以上方法都没有解决问题，建议您将具体的错误信息、查询语句以及集群配置等信息，反馈给客服人员，研发人员会协助进行问题排查。

本章节介绍了云上使用分布式消息服务RocketMQ需要准备的云主机、网络等相关环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RocketMQ实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RocketMQ实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。 创建VPC和子网时，配置参数建议使用默认配置。 2. 在创建RocketMQ实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用分布式消息服务RocketMQ必须添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 通过内网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 说明 安全组创建后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。此时使用内网通过同一个VPC访问RocketMQ实例，无需添加表1的规则。

本章节主要介绍升级网格 操作场景 用户可以将低版本的网格升级到高版本，以获取更优质的体验。 升级影响 网格升级将自动重新注入新版本数据面代理，过程中会滚动重启服务Pod，可能造成短暂服务实例中断。 升级期间请勿进行灰度发布、流量规则配置等操作。 升级路径 网格类型 源版本 目标版本 升级方式 :::: 基础版 1.8.4r1 1.8.4r4 补丁更新 1.8.4r2 1.8.4r4 补丁更新 1.8.4r3 1.8.4r4 补丁更新 说明 各大版本特性请参见 1.3版本特性、 1.6版本特性和 1.8版本特性。 操作步骤 步骤 1 登录应用服务网格控制台，确认网格是否需要升级版本。判断方法如下： 列表上方是否提示可升级版本的网格。 网格名称右侧是否存在“可升级”提示。 若存在可升级版本的网格，单击该网格名称，进入网格详情页面。 步骤 1 在左侧导航栏选择“网格配置”，单击“升级”页签。 步骤 2 根据升级路径选择合适的升级方式完成网格升级。 版本升级 单击“版本升级”，系统自动完成升级诊断，检查结果全部成功后，单击“升级”。 说明 1.3.0版本升级至1.8.4时，VirtualService格式检查项的结果为“警告”，原因是1.8及以上版本网格界面仅支持显示delegate格式的 VirtualService，需要根据7.4.5 1.3升级1.8 VirtualService支持Delegate切换进行修改，否则升级后将看不到创建的网关路由。不过，该检查项并不会导致升级失败。 补丁更新 单击“补丁更新”，在弹出的提示框中单击“确定”。

本节主要介绍存储过程管理 新建存储过程 概述 存储过程是一组为了完成特定功能的SQL语句的集合，它经编译后存储在数据库中，用户可以通过存储过程的名称并给出参数来执行。 操作场景 存储过程对完成特定功能的SQL语句集或者处理复杂的业务均较为实用，例如您可通过存储过程快速完成循环插入对象等操作。 前提条件 具有CREATE ROUTINE权限的用户可创建存储过程。 具有Execute权限的用户可执行存储过程。 操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“存储过程”，单击页面左上侧“新建存储过程”。 2. 在新建存储过程弹出框中填写存储过程名称、描述信息，单击“确定”，进入新建存储过程编辑页面。 3. 在存储过程页面中跟进业务需求设置选项信息，您可保存、执行存储过程。 4. 执行存储过程后，您可在页面下部消息栏中查看执行情况。 修改或执行存储过程 操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“存储过程”，在右侧操作栏单击“修改或执行”。 2. 在修改存储过程编辑页面编辑信息，你可以根据业务需求设置选项，单击“保存”保存修改信息。 3. 执行存储过程，调用该对象，您可在页面下部消息栏中查看执行情况。 删除存储过程 操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“存储过程”，在右侧操作栏单击“删除存储过程”。 2. 在确认删除存储过程弹出框中，单击“确定”即可。 注意 删除操作无法恢复，请谨慎选择。

关系数据库MySQL版提供了跨地域备份功能，可以将实例的备份集数据同步到其他支持跨域备份的区域，可用于容灾恢复等场景。本文介绍关系数据库MySQL版跨地域备份功能。 注意 仅西南1、华东1、华北2II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 实例开通时，备份存储为对象存储服务，且需要此资源池区域支持跨域备份。 实例开通1小时内，由于底层对象存储需要同步信息，可能会导致跨域备份失败，请于开通1小时后开启跨域备份。 跨地域的备份，不支持恢复数据到源地域。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，然后进入备份策略页签。 5. 单击跨域备份 右侧的编辑。 6. 打开跨域备份 开关，选择备份地域，然后单击提交。 跨地域备份配置完成，跨域备份将会按照备份策略进行跨域备份。您可以在跨域备份列表中看到备份的文件。 7. 如果您不再需要跨域备份，您只需关闭跨域备份开关即可。

关系数据库MySQL版服务支持设置透明数据加密TDE，在数据落盘时对数据进行加密，从而保证数据的安全性，用户业务对此加密过程无感知。本文介绍关系数据库MySQL版服务如何设置透明数据加密TDE。 注意 仅西南1、华东1、杭州7、华南2II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 注意 开启非默认密钥管理服务将会产生扣费，具体扣费详情可见账单。具体计费信息，请参见计费说明。 如果您退订了数据库实例，记得退订相关的密钥管理服务，否则密钥管理服务会一直进行扣费。 开启TDE的实例，无论恢复到新实例，还是已有实例，表都会解密，可以重新为实例的库表数据进行加密操作（前提已开启TDE）。 主实例开启TDE后，主实例的所有只读实例会跟随开启TDE。 只读实例不支持单独开启TDE。 开启TDE需要用户已开启天翼云KMS服务，请确保已开启天翼云KMS服务。 开启TDE后，若用户首次首个实例开启TDE，会帮用户创建一个用户主密钥，该用户主密钥不可删除，否则会导致TDE不可用，数据丢失！ 开启TDE后，可能会影响内核大版本升级，内核小版本升级，迁移可用区等功能。

操作步骤 恢复到实例 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 在备份文件列表上方，单击实例恢复。 6. 配置实例恢复参数，单击提交。参数说明如下： 源实例：生成该备份数据的实例。 恢复策略：可选择按时间点和按备份集恢复。 可还原时间点：当前实例的可恢复时间范围。最早和最晚时间范围由备份集和实时日志备份决定。 还原时间：用户需要还原到的目的时间点。 恢复到：恢复的目标实例。 恢复到资源池：可以恢复到的资源池，如开启了跨域备份，则恢复到新实例可支持恢复到异地资源池。 注意 恢复的目标实例可以为当前实例、已有实例、新实例。按时间点恢复将会覆盖目标实例的数据，恢复到选择的时间点，请您保证选择恢复到的目标实例已无需使用，或提前妥善保存好目前实例的数据。 由于版本，规格等限制，恢复目标实例可能存在置灰情况，如已有实例置灰，说明当前资源池没有可供本实例用来恢复的目标实例。请选择新实例或者当前实例。 7. 恢复成功后，登录数据库实例进行验证。

本文介绍Redis 4.0支持的新特性说明 模块 Redis 4.0.0最大的功能之一是期待已久的模块系统。模块系统提供了一个API，用于扩展Redis，主要在C中动态加载模块。模块API提供了多个级别的API，供开发人员为Redis添加新的特性和功能。 使用Redis模块，开发人员可以在现有数据类型中添加新的操作，引入新的数据类型，如JSON，或使用搜索或神经网络等新流程扩展Redis。 新的API使开发人员能够构建在使用Lua构建时不切实际或性能不足的扩展。正如Redis.io上的模块文档中所提到的，“Redis模块使使用外部模块扩展Redis功能成为可能，以与核心内部类似的速度和功能实现新的Redis命令。” 缓存优化 4.0.0版本增加了最不频繁使用（LFU）的最大内存策略，为用户提供了另一种在Redis达到最大内存阈值时驱逐KEY的算法。LFU缓存为许多应用程序提供了比最近最少使用（LRU）缓存更好的命中率。 Redis中LFU缓存的实现是通过近似算法完成的，以提供对KEY访问频率的准确估计，而不添加大量的内存开销来跟踪访问计数。与当前的LRU缓存策略一样，LFU缓存只能应用于易失性KEY（过期KEY）或所有KEY 内存相关命令 新增MEMORY命令向用户提供Redis实例的内存消耗信息。MEMORY USAGE命令为用户提供给定KEY使用的精确内存量，而MEMORY DOCTOR提供了一个框架（类似于LATENCY DOCTOR命令），用于观察实例的总体内存消耗。

查看漏洞详情 1. 在漏洞列表中，点击“漏洞公告”链接、或操作列的“立即处理”时，可跳转至下方的漏洞详情页面。 2. 在漏洞详情页面可查看漏洞公告包含的漏洞列表和影响服务器列表。 漏洞列表：包括风险等级、漏洞编号、漏洞名称、漏洞类型、CVE编号、发布时间，单击操作列的“更多”可查看漏洞的漏洞描述、参考链接、修复建议。 风险等级与CVE漏洞等级保持一致，包括严重、高危、中危、低危、待定级。 影响服务器列表：包括影响服务器、操作系统、关联进程/关联进程ID、最后发现时间、状态等。通过列表右上角的下拉框，可以根据漏洞是否已处理、漏洞修复状态，对漏洞影响的服务器列表进行筛选。 3. 单击影响服务器列表操作列的“详情”，可以查看漏洞影响的服务器、修复命令行，软件名称、当前安装版本、漏洞修复版本、软件路径。 导出漏洞列表 说明 支持导出的格式：支持“.csv”格式。 约束限制：导出数据不超过20万条。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 选择漏洞类型。 4. 单击漏洞列表右上角的“导出”图标，导出漏洞列表。 若只需要导出部分漏洞，可以先进行筛选，筛选出目标漏洞信息后，再单击“导出”图标，导出您需要的漏洞列表。支持按照业务分组、修复后是否需要重启、修复优先级、漏洞是否已处理、服务器名称、服务器IP、漏洞公告、CVE编号进行筛选。

本节介绍服务器安全卫士（原生版）的报表管理功能，包括创建报表、查看报表统计信息等。 登录服务器安全卫士（原生版）控制台，在左侧导航栏选择“设置中心 > 报表管理”。 约束限制 免费版仅支持订阅周报，企业版、旗舰版支持订阅日报、周报、月报。 报表统计 按时间筛选条件统计已生成的日报、周报、月报数，方便用户查找安全报表，分析主机风险情况。 报表配置 报表配置功能是配置报表需要发送的人员。 1. 单击页面右上角的“报表配置”按钮。 2. 在弹出的对话框中选择生成报表的形式，免费版用户可选择“日报”，企业版、旗舰版支持订阅“日报”、“周报”、“月报”。 3. 选择需要发送报表的用户，若需要新增发送人可单击“添加”按钮。 说明 首次添加的用户需要验证邮箱，单击图标即可验证邮箱。完成邮箱验证后才会发送报表至对应用户。 4. 选择完成后，单击“确认”即可。 创建报表 根据您的使用场景进行报表配置，配置完成后周期性自动生成安全报表并发送至订阅邮箱。 报表类型 日报 周报 月报 统计周期 每天00:00:0023:59:59 每周一00:00:00 至周日23:59:59 每月1号00:00:00 至当月最后一天23:59:59 发送时间 每天1次，次日00:00 每周1次，周日次日00:00 每月1次，月末次日00:00 报表订阅 设置安全报表订阅账户，发送报告至订阅邮箱 保存时间 报表默认保存180天，请及时下载保存

本文介绍应用跨节点访问失败问题。 问题背景 用户在集群内工作节点A上部署了应用a，应用端口假设为80；用户在工作节点B上部署了应用b，应用b需要通过80端口访问节点A上的应用a。 解决方案 为了加强弹性云主机的安全防护，安全组对安全组内和安全组间云主机的访问实现了控制。若节点间的应用无法进行间通信但集群间网络正常，首先考虑是否是安全组规则造成的，用户需要该集群云主机所属的安全组中定义访问规则，使得云主机间可以进行互相访问。 进入区域所在控制台 点击【控制台】，完成【地域】选择后，点击网络部分任意选项，如虚拟私有云，进入【网络控制台】。 进入安全组配置页面 在【网络控制台】页面，点击一级菜单【访问控制】，点击二级菜单【安全组】，进入安全组配置页面。 添加安全组规则 CCE容器引擎集群节点云主机将默认使用default安全组，所以我们需要为default安全组添加规则。 找到列表中的default安全组，点击【添加规则】。 用户需要根据需求完成IP版本、协议、源地址等设置。端口范围即填写应用a上需要被访问的端口。 注意 ：需要同时设置入方向和出方向两条安全组规则，关于安全组的其它具体设置及指标详细含义可参考添加安全组规则。

本文为您介绍NAT网关定义和产品架构等。 产品概述 NAT网关（CTNAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CTVPC）内的计算实例提供网络地址转换（Network Address Translation），分为SNAT和DNAT两个功能。 产品类型： NAT网关可分为公网NAT网关和私网NAT网关。 公网NAT网关 公网NAT网关能够为虚拟私有云内的计算实例提供公网地址转换服务。通过SNAT可使多个计算实例共享使用弹性IP访问Internet，通过DNAT可使多个计算实例提供互联网服务。公网NAT网关是 VPC 内的一个公网流量的出入口，保护私有网络信息不直接对公网暴露。 私网NAT网关 私网NAT网关能够为虚拟私有云内的计算实例提供私网地址转换服务。通过私网NAT网关上的SNAT、DNAT规则，可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址互访。 产品基本概念 NAT（网络地址转换） VPC内的云上资源分配的是私网IP，在互联网上私网IP不可被路由。如果VPC内的云上资源要与互联网互通或对互联网提供服务，则需要将云上资源的私网IP转换成可被路由的公网IP，并对外进行发布。 弹性IP地址 由天翼云提供的互联网协议地址，是互联网上可以被路由的地址。云上资源如果要对外提供服务，需要购买弹性公网地址并直接通过资源绑定或通过NAT网关规则绑定。

本节将指导您如何使用内网DNS和VPN网关，实现在IDC访问云上的网络资源。 背景描述 IDC与云上VPC属于两套网络环境，会增加运维工作压力及数据一致性管理风险。通过设置正确的DNS解析和建立VPN连接，您可以轻松地将本地IDC和云上的网络资源进行连接。 解决方案 资源准备 环境 VPC 公网IP 内网IP 记录集类型 云下 121.229. . 10.0.0.33 A 云上 vpcnewDNS 117.89. . 192.168.0.6 A 方案介绍 通过专线/VPN等连接方式，将云上VPC与传统数据中心互联。本实践采用IPsecVPN隧道方式。使用内网DNS。通过内网DNS将线下自建DNS的解析同步至云上进行解析。 步骤一：创建VPN网关 步骤二：创建用户网关 步骤三：创建IPsec连接 步骤四：在本地网关设备中加载VPN配置 步骤五：内网DNS配置使用 操作步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 在网络区域选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。具体步骤可参见创建和管理VPN网关实例。 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“确认下单”，支付成功后，VPN网关创建成功。

本文为您介绍BOT防护功能说明，以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

本文主要介绍CCE容器弹性引擎。 CCE容器弹性引擎（ccehpacontroller）插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 安装本插件后，可在“弹性伸缩”页面的“工作负载伸缩”页签下，创建CustomedHPA策略，具体请参见创建工作负载弹性伸缩（CustomedHPA）。 主要功能 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 约束与限制 仅支持在v1.15及以上版本的CCE集群中安装本插件。 若ccehpacontroller版本低于1.2.11，则必须安装prometheus插件，若版本大于或等于1.2.11，则需要安装能够提供Metrics API的插件，如metricsserver和Prometheus。若使用Prometheus，需要将Prometheus注册为Metrics API的服务，详见提供资源指标。 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 ccehpacontroller ，单击“安装”。 步骤 2 该插件可配置“单实例”或“自定义”规格，选择后单击“安装”。 说明 单实例仅用于验证场景，商用场景请根据集群规格使用"自定义"资源配置，ccehpacontroller插件的规格大小主要受集群中总容器数量和伸缩策略数量影响，通常场景下建议每5000容器配置CPU 500m, 内存1000Mi资源，每1000伸缩策略CPU 100m，内存500Mi。

WAF支持配置泛域名吗？ 在WAF中添加防护的域名时，您可以根据业务需求配置单域名或泛域名。配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器IP地址相同：配置防护的泛域名。例如：子域名a.ctyun.cn，b.ctyun.cn和c.ctyun.cn对应的服务器IP地址相同，可以直接添加泛域名.ctyun.cn。 注意 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、a.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在单域名和泛域名，则单域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 域名添加到WAF后，是否可以修改？ 防护域名添加到Web应用防火墙后，用户可以针对所防护的域名配置对应的安全防护策略，同时当对应域名产生请求数据和安全防护数据时，Web应用防火墙也会存储对应的日志数据，考虑用户所做的安全配置、对应的安全数据都与所防护的域名强相关，为了保证用户能够准确地对域名进行防护，故已经配置的域名不能修改。 如果需要增加新的防护域名但所购买的授权不足时： 您可以通过购买域名扩展包的方式增加防护域名的授权，一个域名扩展包包含10个域名，详情请参见升级扩容。 也可以删除原域名后再重新添加待防护的域名。

本文主要介绍如何创建密钥。 操作场景 密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。资源创建完成后，可在容器工作负载中作为文件或者环境变量使用。 操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“配置项与密钥”，选择“密钥”页签，在右上角单击“创建密钥”。 步骤 3 填写参数。 表 基本信息说明 参数 参数说明 名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 密钥类型 新建的密钥类型。 Opaque：一般密钥类型。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 密钥数据 工作负载密钥的数据可以在容器中使用。 当密钥为Opaque类型时，单击，在弹出的窗口中输入键值对，并且可以勾选“自动Base64转码”。 当密钥为kubernetes.io/dockerconfigjson类型时，输入私有镜像仓库的帐号和密码。 当密钥为IngressTLS类型时，上传证书文件和私钥文件。 说明 证书是自签名或CA签名过的凭据，用来进行身份认证。 证书请求是对签名的请求，需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式，输入键值对后单击“添加”。 步骤 4 配置完成后，单击“确定”。 密钥列表中会出现新创建的密钥。

避免嵌套文档和父子关系 如果可能，尽量避免使用嵌套文档和父子关系，因为这些操作会增加写入的复杂度和资源消耗。 优化查询性能 文档结构设计 避免使用过多的嵌套结构和过深的嵌套字段。嵌套文档虽然可以满足复杂的数据结构需求，但会显著增加查询的复杂度和时间。 尽量使用扁平化的数据模型，这样可以减少在查询时的计算和数据加载时间。 合适的字段类型 根据需要选择正确的字段类型。例如，数值类型字段（integer、float等）比字符串类型字段更容易索引和查询，查询速度也更快。 对于大文本字段，考虑使用text类型，并结合keyword字段来处理精确匹配的需求。 优化映射 禁用不需要的字段索引，例如，通过将不需要搜索的字段设置为index: false，可以减少索引的大小和查询时的开销。 合理使用docvalues，将其关闭以减少内存使用，但在需要进行排序或聚合的字段上仍然保持开启。 查询合并与简化 尽量合并多个查询条件，避免过多的布尔查询（bool query）和过滤器（filter）。这不仅可以减少查询的复杂度，还能降低查询的时间开销。 在查询中使用filter而非query来过滤不影响得分计算的条件，因为filter查询不会计算相关性得分，性能更高。 缓存利用 利用Elasticsearch的缓存机制，例如request cache和filter cache，对经常使用的查询进行缓存，以减少查询响应时间。 对于相同或类似的查询，使用cache选项启用缓存，例如在bool查询的filter部分。

本文为您介绍直接同步/同步主机同步的相关功能。 概要 文件存储数据灾备是针对NAS（Network Attached Storage，网络附属存储）共享存储实现海量数据灾备的高性能软件。从数据安全管理的角度看，从NAS共享存储上复制文件是困难的事情。如果使用NAS厂商的复制功能，就需要同构设备，依赖性和成本非常高；从数据复制效率的角度看，NAS共享存储灾备面临文件数据量大、文件容量达上百TB级别的问题。文件存储数据灾备主要为用户提供由 NAS 存储至目标端的数据复制服务，实现数据和NAS设备的解耦， 进行跨异构 NAS 设备之间的数据复制，通过技术创新，解决了NAS设备本身无法安装客户端、非实时同步等问题。 直接同步 前提条件 至少有一台装有drnode节点的工作机，并以节点的形式添加进控制台，工作机节点需要有文件存储数据灾备许可。 工作机之间需挂载相同的共享文件夹。 装有drnode节点的灾备机，并以节点的形式添加进控制台，灾备机节点需要有文件存储数据灾备许可。 注意：工作机的操作系统为Windows OS时，需要将drnode节点的运行模式改为“以应用方式运行”。 新建规则 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入[多活容灾服务控制台](

本文为您介绍云密评专区的权限管理能力，支持通过IAM实现对云密评专区的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对云密评专区资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 云密评专区支持企业项目管理，若您需要对云密评专区资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予云密评专区产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。

本文介绍如何管理存储组，包括创建存储组、初始化创建sharding、删除存储组、修改存储组和查看存储组相关信息。 TeleDB中存储组将不同的dn节点组成不同的存储组，不同的存储组之间数据隔离。 创建存储组 将多个dn组成一个group plaintext 创建默认存储组 create default node group groupname with (dn1,dn2...) 创建普通存储组 create node group groupname with (dn1,dn2...) 初始化创建sharding 在存储组创建sharding之后，才能创建表，插入数据 plaintext teledb CREATE sharding group to group defaultgroup; CREATE SHARDING GROUP teledb clean sharding; CLEAN SHARDING 说明 TeleDB实例创建成功后，默认会将所有dn节点组成一个默认存储组defaultgroup 如果不存在默认存储组，则建表时需指定存储组 如果没有任何存储组，则不允许创建表 create sharding map创建的为主shard map, 当主shard map存在时，该命令会报错 主shard map已经存在时，后续新增一个存储组，需要通过下述命令创建扩展shard map plaintext teledb create extension sharding group to group group2; CREATE SHARDING GROUP 删除存储组 plaintext drop node group groupname 如果group中已经存在sharding，会抛出异常，需要先删除sharding； 如果group中存在表等对象，删除sharding也会失败，需先清空所有对象。 plaintext teledb drop node group defaultgroup; ERROR: shard info exist in group:defaultgroup groupoid:49156 删除sharding teledb drop sharding in group defaultgroup; ERROR: node group defaultgroup still has relations inside, please remove them first. 清空表和sharding之后可正常删除节点组 plaintext teledb

可能影响 同步复制备机异常或延迟，导致DDL、DML、COMMIT语句等待处理等待状态。 解决步骤 1. 检查同步复制备机状态，尝试修复； 2. 如果不能快速修复，在与业务侧沟通取得确认后，可暂时将同步复制模式更为异步复制； > 修改为异步方法参考：修改主节点配置文件postgresql.conf.user 中以下参数： synchronouscommit local synchronousstandbynames'' > 配置文件修改完成后，执行select pgreloadconf();重新加载配置； 3. 修复同步复制备机，恢复同步复制模式。 SQL语句执行慢的问题 问题描述 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果，但未找到阻塞的会话，也没有同步事务阻塞，正常执行中，仅是执行慢。 可能因统计信息不准确而生成了差的执行计划，执行时间太长。 可能影响 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果，导致相应业务受影响。 解决方案 1. 手动执行explain SQL查看执行计划，确认执行计划是否符合预期； 2. 有条件的情况，可以执行explain (analyze,verbose,buffers) SQL查看实际执行计划，找到具体慢的位置，并进行相应优化； 3. 对于应用调用SQL使用绑定变量的情况，需要核实传入的变量类型与字段类型是否匹配，是否有隐式类型转换导致分布键、索引失效； 4. 是否有truncate+insert等大批量数据变更，导致统计信息不准确；可以尝试手动收集该表的统计信息，然后再执行SQL语句； 5. 借助一些插件，观察应用调用的SQL语句执行过程中的执行计划，验证执行计划是否是符合预期的。

本文为您介绍如何使用ECI快速部署ChatGLM6B。 背景信息 ChatGLM6B 是一个开源的、支持中英双语的对话语言模型，基于 General Language Model架构，具有 62 亿参数。结合模型量化技术，用户可以在消费级的显卡上进行本地部署（INT4 量化级别下最低只需 6GB 显存）。ChatGLM6B 使用了和 ChatGPT 相似的技术，针对中文问答和对话进行了优化。经过约 1T 标识符的中英双语训练，辅以监督微调、反馈自助、人类反馈强化学习等技术的加持，62 亿参数的 ChatGLM6B 已经能生成相当符合人类偏好的回答。如果没有GPU硬件的话，也可以在CPU上进行推理，但是推理速度会更慢。 前期准备 已开通天翼云弹性容器实例服务。 天翼云容器镜像服务CRS或私有镜像仓库中已推送开源ChatGLM6B镜像。 硬件需求 量化等级 最低GPU显存 无GPU情况下内存需求 INT4 6GB 32GB INT8 8GB 暂未测试 FP16（无量化） 13GB 暂未测试 操作步骤 下面将介绍如何在ECI上快速部署ChatGLM6B的CPU实例并进行推理。 1. 通过天翼云弹性容器实例订购页面创建ECI实例。 2. 根据上述硬件需求，配置合适的CPU，内存资源。 3. 镜像选择开源ChatGLM6B镜像，并指定镜像版本。 4. 在容器设置中，配置启动命令 python3 webdemo.py、cpu。 5. 提交订单，然后回到控制台页面等待ECI实例Running。

本文为您介绍如何使用ECI快速部署Tensorflow。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 准备工作 1. 准备训练数据和容器镜像。 1. 训练数据：本文以Github的一个TensorFlow训练任务为例。 2. 容器镜像：在最佳实践中，已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 2. 创建镜像缓存。在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。 3. 创建NAS文件系统。在文件存储控制台创建文件系统。NAS文件系统需和ACK Serverless集群处于同一VPC。

接口介绍 此接口用于设置对象的访问控制列表。 接口约束 请求头xamzacl参数和body不能同时都为空，两者必须二选一。 注：OpenAPI现在使用的是请求头xamzacl参数来设置对象权限。 请求URI PUT /v1/acl/{bucket}/{objectName} 路径参数 参数 是否必填 参数类型 说明 示例 bucket 是 String 桶名称 testBucket objectName 是 String 对象名称 test Query参数 参数 是否必填 参数类型 说明 示例 下级对象 acl 是 String 固定参数 acl 注： 如果query中的参数为固定参数，可以传参数名或传空。 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 消息体格式 application/xml xamzacl 是 String 对象ACL,包括：private、publicread private 此接口涉及的其他公共请求头，例如Host、Date等的更多信息，请参见公共HTTP头。 注意：请求头xamzacl参数和body不能同时都为空，两者必须二选一。 请求体Body参数 参数 是否必填 参数类型 说明 示例 下级对象 AccessControlPolicy 否 Container 包含权限控制参数的容器 AccessControlList 否 Container 包含ACL信息的容器 Owner 否 Container 包含存储桶拥有者ID和显示名的容器 ID 否 String 存储桶拥有者的ID DisplayName 否 String 存储桶拥有者的显示名，可设置为空或不传 Grant 否 Container 关于权限拥有者和权限的容器 Grantee 否 Container 关于被授予许可的用户的ID和显示名的容器 Permission 否 String 存储桶被授予的权限

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

本节介绍如何查看域名监控数据。 域名监控页面和监控详情页均展示最新的监控数据，若域名监控处于“未开启”状态，则监控详情页展示关闭前最后一次扫描结果。 查看监控列表 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 查看已经添加的域名监控列表。 参数 说明 绑定域名/IP 已添加至域名监控列表的域名或IP地址。 状态 域名监控状态： 扫描中：已成功添加域名，正在对域名进行扫描。 正常：域名监控状态正常。 失败：可能由于网络波动或域名填写有误，造成扫描失败。建议检查域名信息和网络连接后，尝试重新扫描。 未开启：未开启域名监控，单击“监控”列的开关可以随时开启域名监控。 证书品牌 域名绑定的证书的版本。例如：标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia等。 证书类型 域名绑定的证书的种类。包括DV、OV、EV。 证书到期时间 域名绑定的证书的到期时间。 安全等级 共支持如下9个等级，A+为最高级。 监控剩余天数 域名监控的剩余天数。 域名监控服务有效期为365天，从添加域名成功后开始计时，关闭域名监控功能，计时不会停止。 “监控剩余天数”不充足时，可单击“续期”延长使用时长，详细操作请参见延长监控剩余天数。 监控频率 域名监控频率，默认为30分钟，即每30分钟会自动扫描一次。 端口 监控域名的端口。 监控 可随时开启监控或关闭监控。详细操作请参见开启/关闭域名监控。

本文介绍开通媒体存储的具体步骤。 订购须知 天翼云门户目前仅支持媒体存储中标准型对象存储能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 存储区域：目前支持海南资源池2区。 开通流程 说明 预付费客户订购媒体存储，需具备已通过实名认证的天翼云账号且确保现金余额+可用信用额度+通用代金券不低于100元。 1. 登录天翼云官网。 2. 进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，勾选“我已阅读，理解并接受 《天翼云媒体存储系统服务协议》”，点击“立即开通”。 4. 在跳转的订单页面完成支付，订单状态为【已完成】，即成功开通媒体存储。 5. 访问媒体存储控制中心：进入媒体存储产品详情页，点选“管理控制台”。 6. 进入控制台页面后，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 注意 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 7. 区域新增完成后，点选【对象存储】菜单，即可开始使用对象存储服务。具体可参考：控制台使用指南对象存储。

本章节主要介绍媒体存储特殊计费场景。 通过天翼云CDN访问媒体存储 将媒体存储作为天翼云CDN加速的源站，在使用过程中，费用将由媒体存储和天翼云CDN分别收取。 使用过程中的流量示意图如下： 各计费项说明如下表： 费用收取方 计费项 计费说明 媒体存储 CDN回源流量 数据从媒体存储传输到天翼云CDN所产生的回源流量。 温馨提示：如您使用天翼云CDN，需要在源站配置中，选择【媒体存储源站】，此配置下产生的回源流量会按照CDN回源流量进行计费。如您选择【IP或域名】，产生的回源流量将按照公网下行流量计费。 天翼云CDN CDN流量/带宽 用户访问天翼云CDN节点而产生的流出流量或带宽，具体计费可参考CDN计费概述。 存储桶复制 如用户使用存储桶复制功能，将产生存储容量、流入流量等计费用量，具体说明如下表： 产生用量类别 详细说明 公网上传流量 数据从源桶向目的桶复制数据，会产生公网上行流量。目前公网上行流量免费。 请求次数 服务进行复制的过程中，会产生上传对象的请求，在按需计费模式下，这部分请求会按照次数计算费用，具体参考计费项。 存储费用 数据复制后，会在目的桶产生存储空间，因此会产生存储空间费用。存储空间计费可参考计费项。

本文介绍如何管理存储组，包括创建存储组、初始化创建sharding、删除存储组、修改存储组和查看存储组相关信息。 创建存储组 将多个dn组成一个group 创建默认存储组 create default node group groupname with (dn1,dn2...) 创建普通存储组 create node group groupname with (dn1,dn2...) 初始化创建sharding 在存储组创建sharding之后，才能创建表，插入数据 teledb CREATE sharding group to group defaultgroup; CREATE SHARDING GROUP teledb clean sharding; CLEAN SHARDING 说明 TeleDB实例创建成功后，默认会将所有dn节点组成一个默认存储组defaultgroup 如果不存在默认存储组，则建表时需指定存储组 如果没有任何存储组，则不允许创建表 create sharding map创建的为主shard map, 当主shard map存在时，该命令会报错 主shard map已经存在时，后续新增一个存储组，需要通过下述命令创建扩展shard map teledb create extension sharding group to group group2; CREATE SHARDING GROUP 删除存储组 drop node group groupname 如果group中已经存在sharding，删除存储组时会出现异常，则需要先删除sharding； 如果group中存在表等对象，删除sharding也会失败，则需先清空所有对象。 teledb drop node group defaultgroup; ERROR: shard info exist in group:defaultgroup groupoid:49156 删除sharding teledb drop sharding in group defaultgroup; ERROR: node group defaultgroup still has relations inside, please remove them first.b 清空表和sharding之后可正常删除节点组。 teledb drop table t1; DROP TABLE teledb drop sharding in group defaultgroup; DROP SHARDING GROUP teledb

管理资源池权限 资源池对应两种角色：管理者与使用者。 资源池管理者对当前资源池拥有所有操作权限，包括资源池的查看、使用与配置修改等。只有资源池管理者（默认为资源池创建者和创建者所属租户）才能对资源池进行权限管理。 资源池使用者可以查询当前资源池内详细信息、资源池的操作历史、代理列表、使用资源池中的代理机执行任务。 步骤 1 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 步骤 2 单击“权限管理”页签，可以对资源池权限进行管理。 权限管理 单击管理者后的“添加”，在下拉列表中选择用户，单击，可以将所选用户设置为资源池管理者。 单击开关，可以配置授权租户下所有用户为资源池使用者。 单击项目后的“添加”，在下拉列表中选择项目名称，单击，可以将所选项目下的所有成员设置为资源池使用者。 查看资源池操作历史 步骤 1 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 步骤 2 单击“历史操作”页签，可以查看资源池的历史操作详情。 设置消息通知 步骤 1 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 步骤 2 单击“通知”页签，可以根据需要为资源池配置事件通知。 可以配置触发以下操作时，向权限管理者发送服务动态或邮件。 创建代理 删除代理 停用代理 启用代理 下线代理 上线代理