使用自定义脚本实现数据库备份完成后，可以通过如下操作验证数据库备份结果是否成功。本章节以SQLSERVER数据库为例进行验证。 操作步骤 步骤1、登录SQLSERVER数据库，创建新的数据库。 步骤2、创建数据库成功后，创建存储过程，可以参考下图。 创建存储过程 步骤3、进入云服务备份控制台，对目标弹性云主机创建数据库备份，并勾选数据库备份。 步骤4、待备份完成后，进入 Cloud Server Backup AgentWIN64log rdagent.txt 文件，查看冻结、解冻日志，确定冻结解冻时间。如图中所示的17:28:51。 查看日志 步骤5、使用新创建的数据库备份恢复目标弹性云主机。恢复成功后，登录云主机和数据库，查看表中最后一条插入数据对应的时间(17:28:49)的记录。 步骤6、对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。

本文为您介绍数据检查的相关内容介绍。 前提条件 1. 数据库双活进程所在的双活工作节点对应的节点状态都必须为在线状态，对应的进程状态都为正常。 2. 源端、目标端的数据库节点对应的状态必须为正常状态。 3. 确保源端的数据库节点和目标端的数据库节点在注册时，选择的双活工作节点必须为同一个，且此双活工作节点启动了iadiff的进程。 创建表比较规则 表比较规则·新建的具体操作步骤如下： 1. 单击菜单栏“数据库双活”“数据检查”“表比较”，进入表比较规则界面。 2. 表比较规则界面中，单击“新建”，进入表比较规则配置界面。 3. 源端数据库选择已注册的源端数据库节点和目标端数据库节点。 4. 配置高级设置、运行策略等内容，点击确定完成数据检查的表比较配置。具体配置项参考 数据库双活用户操作手册。

本章主要介绍大版本升级。 目前DDS不支持直接通过控制台进行版本升级。如您需要可以通过数据库复制DRS进行迁移。 例如：使用数据库复制将DDS 3.4版本迁移到DDS 4.0版本，可以实现应用不停服的情况下，平滑完成数据库的迁移工作。 使用该方式进行迁移，需要提前准备好待迁移到的高版本数据库实例。 具体迁移操作，请参见《数据库复制用户指南》的“入云迁移”内容。 DDS数据库版本信息 源数据库版本 目标数据库版本 迁移类型 自建MongoDB/其他云MongoDB/DDS 3.4 4.0 DDS 3.4 4.0 4.2 4.4 DDS数据库版本升级 说明 DRS仅支持从低版本迁移到高版本。 迁移过程中，如果发生规格变更、重启等动作，可能会产生主备倒换，以及迁移任务闪断，需要及时检查drs任务状态。 大版本升级后，如果需要保证迁移前后实例的IP地址不变，可以修改高版本的IP地址为原来的连接地址（原实例的IP地址需要先释放出来）。具体操作请参见

本节介绍了云数据库GaussDB 的实例连接方式。 云数据库GaussDB 提供使用内网、公网的连接方式。 连接方式 IP地址 使用场景 说明 通过内网连接实例 内网IP地址 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与云数据库GaussDB 实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与云数据库GaussDB 实例。 安全性高，可实现云数据库GaussDB 的较好性能。l 推荐使用内网连接。 通过公网连接实例 弹性公网IP 不能通过内网IP地址访问云数据库GaussDB 实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与云数据库GaussDB 实例。 降低安全性。l 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的云数据库GaussDB 实例在同一子网，使用内网连接。

本页介绍了文档数据库服务的默认权限机制。 文档数据库服务在与社区原生版本MongoDB相比时，针对不断增长的安全挑战进行了一系列的增强措施。与社区原生版本不同，文档数据库服务采用的默认的安全策略，要求连接数据库时必须进行鉴权，否则无法使用数据库。这种改进确保了文档数据库服务的安全性。 带鉴权的连接url： mongodb:// : @ : / ?authSourceadmin 不带鉴权的连接url： mongodb:// : / 数据库实例创建后，系统会创建默认的管理员用户root，但是需要客户指定密码，并满足密码复杂度要求。

本页为您介绍数据库专家服务计费类常见问题。 数据库专家服务的计费方式有哪些？ 数据库专家服务分为3种服务类型：基础服务、保驾护航服务和数据库增值服务包。其中，基础服务按购买的实例数按次计费；保驾护航服务按购买的天数按次计费；数据库增值服务包按购买的实例数和时长按周期计费。 具体计费方式可参考：计费说明。 数据库专家服务的几种服务类型的计费方式是否支持变更？ 基础服务和保驾护航服务只支持按次计费，数据库增值服务包只支持按周期计费。 几种服务类型均不支持变更计费方式，即：不支持按次转包周期，也不支持包周期转按次。

运算符 说明 and 与运算符，如果多个关键词之间没有语法关键词，默认为and关系，例如 GET 200 等同于 GET and 200 。and作为运算符使用时前后需要使用空格分隔。例如 1 and 2 代表搜索同时包含 1和2 的日志； 1and2 代表搜索包含词语 1and2 的日志。 AND 与运算符，等同于and。 && 与运算符。&&作为运算符使用时不需要使用空格分隔。例如 1 && 2 等同于 1&&2 ，代表搜索同时包含 1 和 2 的日志。 or or运算符，例如 requestmethod:GET or status:200 。or 作为运算符使用时前后需要使用空格分隔。 OR 或运算符，等同于or。 not 非运算符。例如 requestmethod:GET not status:200、not status:200 。not 作为运算符使用时需要使用空格分隔。not 运算符和字段搜索配合使用时还会匹配到不包含对应字段的日志。 ( ) 用于提高括号内搜索条件的优先级。例如(requestmethod:GET or requestmethod:POST) and status:200。 : 用于字段搜索（key:value），例如 requestmethod:GET 。如果字段名称或者字段值内有空格、冒号（:）等保留字符，请使用双引号（""）包裹字段名称或者字段值。例如"request method":GET、message:"This is a log"。 "" 使用双引号（""）包裹一个语法关键词，可以将该语法关键词转换成普通字符，例如"and"表示搜索包含and的日志，此处的and不代表运算符。 转义符号，用于转义双引号（""），转义后的引号表示符号本身。例如日志内容为instanceid:nginx"01"，您可以使用instanceid:nginx"01"进行查询。 通配符搜索，匹配零个、单个、多个字符。例如 requestmethod:PT 。不支持放在关键词开头，推荐放在关键词的中间部分或者结尾。 ? 通配符搜索，匹配单个字符。例如 requestmethod:P?T ，可以匹配到PUT，无法匹配到POST。不支持放在关键词开头，推荐放在关键词的中间部分或者结尾。 > 搜索某字段值大于某数值的日志。例如 requesttime>100 。 > 搜索某字段值大于或等于某数值的日志。例如 requesttime>100 。 < 搜索某字段值小于某数值的日志。例如 requesttime<100 。 < 搜索某字段值小于或等于某数值的日志。例如 requesttime<100 。 搜索某字段值等于某数值的日志，仅适用于float、long类型的字段。对于该类型的字段，等号（）和冒号（:）作用相同。例如requesttime100等同于requesttime:100。 in 搜索某字段值处于某数值范围内的日志，中括号表示闭区间，小括号表示开区间，两个数字之间使用空格分隔。例如 requesttime in [100 200] 或 requesttime in (100 200] 。in只能为小写字母，且作为运算符使用时前后需要使用空格分隔。 "" 用于搜索包含目标短语的日志，可以保证关键词出现的顺序。短语搜索中的星号（ ）和问号（?）会被视为普通字符，因此短语搜索不支持模糊搜索，可以用来搜索日志中的星号（ ）和问号（?）。

删除数据库模式 说明 默认的数据库模式不可删除。 删除操作不可撤销，请谨慎操作。 1. 在数据开发主界面的左侧导航栏，选择“数据开发 > 脚本开发”或“数据开发 > 作业开发”。 2. 在左侧菜单选择，单击数据连接名称，选择数据库，目录层级展开至需要删除的数据库模式，右键单击数据库模式名称，选择“删除”。 3. 在弹出的“删除模式”页面，单击“确定”，删除数据库模式。

本节介绍了如何通过TEMPLATE选项创建数据库。 操作场景 通过模板数据库创建数据库的实践。 实践 RDSPostgreSQL数据库默认有template0和template1两个模板。 使用template0可指定字符集和本地化collate属性。 使用template1创建数据库时不可指定新的字符集和本地化collate属性。 create database dbname with template template1;

本节介绍了如何创建云数据库GaussDB 的参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置，数据库参数模板可应用于一个或多个数据库实例。 如果您在创建数据库实例时未指定客户创建的数据库参数模板，系统将会为您的数据库实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算规格及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 须知： 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见“复制参数模板”。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 某些参数需要重启才能生效，这些参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，禁止对参数组进行边界测试，否则会导致实例异常，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明： 每个项目最多可以创建100个云数据库GaussDB 数据库参数模板，各云数据库GaussDB 引擎共享该配额。

本章节内容主要介绍数据库复制产品简介 数据库复制服务（简称DRS）是一种易用、稳定、高效、用于数据库实时迁移和数据库实时同步的云服务。 数据库复制服务围绕云数据库，降低了数据库之间数据流通的复杂性，有效减少数据传输成本。 数据库复制服务提供了实时迁移、备份迁移、实时同步等多种功能。 实时迁移 实时迁移是指在数据库复制服务器能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。 实时迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 特点：通过增量迁移技术，能够最大限度允许迁移过程中业务继续对外提供使用，有效的将业务系统中断时间和业务影响最小化，实现数据库平滑迁移上云，支持全部数据库对象的迁移。 备份迁移 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据库复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。

本章为您介绍为什么创建数据库脱敏任务时，无法找到已有的数据库实例中的表。 如果您在创建数据库脱敏任务时，选择已有的数据库实例，却无法找到对应实例里的表，一般是授权错误导致的。 背景 如果只对RDS数据库配置了“只读权限”，则只支持对数据库进行敏感数据识别，不支持数据脱敏。 原因 对该数据库实例只授权了“只读”权限，授权为“只读”权限无法进行数据脱敏。 解决办法 1. 参照删除数据库资产删除该授权的数据库实例。 2. 再参照授权数据库实例章节对数据库实例重新授权为“读写权限”。 说明 对数据库实例进行授权时，如果配额不够，请参照升级版本和规格购买数据库扩展包，1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、CSS、ECS自建大数据等）资产。

本文介绍分布式容器云平台的产品优势。 统一集群纳管 集中管理天翼云、三方云和IDC机房的 Kubernetes 集群，提供一致的运维体验。 统一资源调度 提供多环境统一调度能力，基于CPU、内存、流量等多种弹性调度策略，赋能业务海量算力。 统一数据容灾 支持跨地域跨集群容灾，故障自动迁移，结合多活应用架构，全面提升企业业务连续性。 统一流量治理 东西/南北流量全域统一治理，支持流量切分、灰度发布、故障切换等丰富的治理场景。 统一应用交付 全域应用、任务与资源分发，解决业务分布和数据管控诉求。

本章节介绍了有关分布式消息服务RocketMQ实例消费组类的常见问题及解答。 支持多少个消费组？ 不同规格支持的消费组个数不同，如下表所示，最少支持2000个消费组。 表 实例规格说明 资源规格 代理（个） 存储容量（GB/代理） 单个代理TPS 单个代理Topic数上限 单个代理消费组数上限 rocketmq.4u8g.cluster.small 1 ~ 2 300 ~ 30000 15000 2000 2000 rocketmq.4u8g.cluster 1 ~ 10 300 ~ 60000 20000 4000 4000 rocketmq.8u16g.cluster 1 ~ 10 300 ~ 90000 25000 8000 8000 rocketmq.12u24g.cluster 1 ~ 10 300 ~ 90000 28000 12000 12000 rocketmq.16u32g.cluster 1 ~ 10 300 ~ 90000 30000 16000 16000

回滚IP操作步骤 若您想将实例IP切换成原始的IP，请执行以下操作。 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择实例所在的区域。 步骤 3 单击左侧菜单栏的“数据迁移”。 步骤 4 在“在线迁移”页面，迁移任务状态为“IP交换成功”，单击操作列的“更多 > 回滚IP”。 步骤 5 在确认框中，单击“确定”，IP回滚任务提交成功。当任务状态显示为“IP回滚成功”表示回滚任务完成。 结束

本节主要介绍场景二：创建OBS自建桶迁移任务 介绍OBS自建桶场景下的备份迁移。您可以将本地数据库备份文件上传到OBS桶，然后通过下载OBS桶里的备份文件，对已有数据库实例进行备份数据迁移。 本小节主要介绍通过数据库复制控制台创建备份迁移任务的配置流程。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足备份移支持的数据库类型，参见备份迁移。 满足备份迁移的限制条件，参见使用须知。 操作步骤 以下操作流程仅以Microsoft SQL Server引擎为示例，详细介绍数据库备份迁移任务的配置流程，其他存储引擎的配置流程类似。 1、在“备份迁移管理”页面，单击“创建迁移任务”。 2、在“选定备份”页面输入任务名称和描述，填选备份文件信息，单击“下一步”。 图 任务信息 表 任务信息 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 备份文件信息 表 备份文件信息 参数 描述 数据库类型 备份文件的数据库类型，选择Microsoft SQL Server。 备份文件来源 选择OBS自建桶。 桶名 选择备份文件所在的桶名，以及该桶目录下的备份文件。 说明 Microsoft SQL Server的备份文件需要选择OBS桶目录下“.bak”格式的文件名，且可以同时选择多个备份文件。 不支持将一个库分割成不同文件上传。 该桶的桶名、备份文件名或者路径中不能包含中文。 3、在“选定目标”页面，根据所选数据库类型，配置相应的数据库信息，单击“下一步”。 图 Microsoft SQL Server数据库信息 表 Microsoft SQL Server数据库信息 参数 描述 目标RDS实例名称 选择目标RDS实例。若没有合适的目标RDS数据库实例，请先创建所需的目标数据库实例。 待恢复备份类型 请根据业务需求，选择全量备份或增量备份类型。 全量备份：指备份文件是完整备份类型的备份。 增量备份：指备份文件是日志类型的备份。 说明 进行增量备份恢复前，需要先执行一次全量备份恢复的操作。 一次性数据库迁移，则需要停止业务，上传全量备份进行恢复。 如果需要数据库迁移中业务不中断，则需要使用全量备份和多次增量日志备份的恢复来实现业务中断最小化。 最后一个备份 一次典型的增量恢复过程，会涉及多次恢复增量备份。每个增量备份恢复均会使目标数据库保持还原中状态，此时数据库不可读写，直至最后一个增量备份恢复完成后，数据库才能变成可用状态。此后数据库将无法继续进行增量恢复，所以确定为最后一个备份的场景有： 一次性全量迁移，后续将不再进行增量恢复，选择“是”。 增量恢复流程中，最后割接阶段的最后一个增量备份选择“是”。 覆盖还原 覆盖还原是指目标端数据库实例已经存在同名的数据库，备份还原中是否要覆盖已存在的数据库。您可以根据业务需求，选择是否进行覆盖还原。 说明： 若选择此项，目标数据库实例中与待还原数据库同名的数据库将会被覆盖，请谨慎操作。 执行预校验 备份迁移任务是否执行预校验，默认为是。 是：为保证迁移成功，提前识别潜在问题，在恢复前对备份文件的合法性、完整性、连续性、版本兼容性等进行校验。 否：不执行预校验，迁移速度更快，但需要用户判断备份文件的合法性、完整性、连续性、版本兼容性等问题。 指定需要恢复的数据库 您可以选择将全部数据库或部分数据库进行恢复，默认恢复全部数据库。 全部数据库：恢复备份文件中所有的数据库，不需要填写待还原的数据库名。 部分数据库：恢复备份文件中的部分数据库，需要填写待还原的数据库名。全量备份与增量备份需要保证指定恢复的数据库始终一致。 重置数据库名 当选择的指定恢复数据库类型为“全部数据库”时，您可以选择重置数据库名。该功能将忽略备份文件中原有的数据库名，通过DRS将其恢复为指定的新数据库名。 使用条件： 备份文件中只有一个数据库。 备份文件是全量备份类型（待恢复备份类型选择：全量备份），且是一次性恢复（最后一个备份选择：是）。 说明： 仅支持“待恢复备份类型”为“全量备份”，且“指定需要恢复的数据库类型”为“全部数据库”时重置数据库名。 待还原数据库名称 当选择的指定恢复数据库类型为“部分数据库”时，需要输入待还原数据库名称。 待还原数据库名称必须与备份文件中的数据库名称一致，区分大小写，长度为1~256个字节，可以包含中文、字母，数字、中划线和下划线，不能包含其他特殊字符。 此处，数据库复制服务还提供待还原数据库别名设置的功能，具体使用场景如下： 如果您选择的是全量备份下的部分数据库恢复，那么可以在填写待还原数据库名称时，根据需求为待还原数据库进行别名设置，该别名也将存储于目标端数据库。 如果是增量备份下部分数据库恢复，则不支持待还原数据库别名设置功能。 说明： 待还原数据库支持重命名，最大配额为100个。

命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 步骤 1 在客户端所在主机的“/etc/hosts”文件中配置host和IP的映射关系，以便客户端能够快速解析实例的Broker。 其中，IP地址必须为实例连接地址（从前提条件获取的连接地址），host为每个实例主机的名称（主机的名称由您自行设置，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 步骤 2 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中， [kafkatar] 表示命令行工具的压缩包名称。 例如： tar zxf kafka2.122.7.2.tgz 步骤 3 根据SASL认证机制，修改Kafka命令行工具配置文件。 1、PLAIN机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAINsecurity.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 ssl.truststore.location配置为client.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 2、SCRAMSHA512机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.scram.ScramLoginModule required username"" password""; sasl.mechanismSCRAMSHA512 security.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 ssl.truststore.location配置为client.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 步骤 4 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 步骤 5 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist {连接地址} topic {Topic名称} producer.config ../config/producer.properties 参数说明如下： 连接地址：从前提条件获取的连接地址，如果是公网访问，请使用“公网连接地址”，如果是VPC内访问，请使用“内网连接地址”，请根据实际情况选择。 Topic名称：Kafka实例下创建的Topic名称。如果Kafka实例开启了自动创建Topic功能，此参数值可以填写已创建的Topic名称，也可以填写未创建的Topic名称。 本文以公网访问为例，Kafka实例连接地址为“10.3.196.45:9095,10.78.42.127:9095,10.4.49.103:9095”。 执行完命令后，输入需要生产的消息内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

数据库实例绑定公网IP与网络安全策略的配置流程 申请公网IP并绑定到ECS实例。 具体可参考天翼云ECS绑定公网IP相关文档绑定弹性公网IP。 ECS实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档，区别的点是放通ECS实例的公网IP和DTS实例的公网IP。 数据库添加白名单。 自建数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

参数项 说明 所属团队 实例添加成功后的归属团队。 实例名称 实例在DMS中展示的别名。 环境 环境标识，例如开发、测试、预发、生产等。 实例属性 实例的读写属性，如读写、只读。 数据来源 实例的来源，选AOne环境数据库。 数据库类型 数据类型，如MySQL、PostgreSQL、SQL Server、DRDS等。 连接地址 AOne环境数据库的IP和端口，支持隐藏实例地址。 数据库账号 用于登录该实例的数据库账号。 数据库密码 登录账号的密码。 管控规则 仅限组织为企业版时显示，可设置当前实例的管控规则。 SQL规范 仅限组织为企业版时显示，可设置当前实例的SQL规范。 最大连接数 可设置当前用户能获取到的数据库最大连接数。

本文为您系统梳理使用数据库双活的标准化准备流程。 概述 数据库双活提供数据库语义级的同构数据库双活复制软件服务。采用数据库之间语义级的数据实时复制与同步；基于数据库事务日志分析技术，在数据库高并发事务场景下实现数据实时同步；于目标端同步写入时序，严格确保源端和目标端的数据库事务级最终一致性；提供了备库接管、反向同步等功能。 操作步骤 一、购买许可 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源管理模块页面。 5. 点击左侧菜单栏“数据库双活”，点击“许可”，进入许可页面。 6. 点击右上角“购买数据库双活许可”按钮，弹出购买许可弹窗。按需购买许可。 7. 填写数据库类型、购买数量和时长，勾选已阅读并同意相关协议后，点击“购买”按钮，完成许可支付。 二、安装drnode 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入[控制中心](

本章节介绍数据库治理的基本详情 概述 数据库治理针对开发运维人员访问、使用数据库时的常见场景，提供SQL访问审计、数据库稳定性治理、数据流量治理三个方面的能力。MSE提供了SQL监控统计、SQL流量防护、连接池治理、数据库灰度、数据库读写路由等功能，可以从数据库服务维度进行开发提效和性能优化。 基本详情 基本详情页提供应用SQL访问流量和应用资源的实时统计数据。根据数据库相关的应用实时指标，可以及时发现由数据库访问引起的应用性能下降问题，并定位高并发或高RT的SQL以及异常的数据库连接，从而支撑后续SQL语句优化、SQL接口流量防护和连接池配置等系统调优操作。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择数据库治理，在基本详情页签下可以查看应用的SQL流量概览、应用事件、Top SQL洞察和Druid连接池统计数据。 SQL流量概览 可以查看应用在一定时间内SQL流量的通过QPS、限流QPS、异常QPS指标、RT、并发数据。 应用事件 可以查看SQL请求触发的应用防护事件。 Top SQL洞察 可以查看相对高RT的SQL语句及其QPS、RT和并发数据，快速定位SQL对应用业务的具体影响。并且可以通过单击操作下方的SQL防护，管理和配置SQL接口的流量控制和并发隔离规则。

本节介绍了如何使用Psycopg连接云数据库GaussDB 数据库。 Psycopg是一种用于执行SQL语句的PythonAPI，可以为PostgreSQL、云数据库GaussDB 数据库提供统一访问接口，应用程序可基于它进行数据操作。Psycopg2是对libpq的封装，主要使用C语言实现，既高效又安全。它具有客户端游标和服务器端游标、异步通信和通知、支持“COPY TO/COPY FROM”功能。支持多种类型Python开箱即用，适配PostgreSQL数据类型；通过灵活的对象适配系统，可以扩展和定制适配。Psycopg2兼容Unicode和Python 3。 云数据库GaussDB 数据库提供了对Psycopg2特性的支持，并且支持psycopg2通过SSL模式链接。 表 Psycopg支持平台 操作系统 平台 EulerOS 2.5 x8664位 EulerOS 2.8 ARM64位 前提条件 获取Python驱动包， 解压后有两个文件夹： − psycopg2：psycopg2库文件。 − lib：lib库文件。 在使用驱动之前，需要做如下操作： a. 先解压版本对应驱动包，使用root用户将psycopg2拷贝到python安装目录下的sitepackages文件夹下。 b. 修改psycopg2目录权限为755。 c. 将psycopg2目录添加到环境变量$PYTHONPATH，并使之生效。 d. 对于非数据库用户，需要将解压后的lib目录，配置在LDLIBRARYPATH中。  在创建数据库连接之前，需要先加载如下数据库驱动程序： import psycopg2 连接数据库 步骤 1 使用.ini文件（python的configparser包可以解析这种类型的配置文件）保存数据库连接的配置信息。 步骤 2 使用psycopg2.connect函数获得connection对象。 步骤 3 使用connection对象创建cursor对象。

本文为您介绍如何删除数据库。 plaintext 删除数据库teledbdbnew teledb drop database teledbdbnew; 仍有会话连接数据库时，会报错 ERROR: database "teledbdbnew" is being accessed by other users DETAIL: There is 1 other session using the database. 停止该数据库的所有连接，后重新删除数据库 teledb select pgterminatebackend(pid) from pgstatactivity where datname'teledbdbnew'; pgterminatebackend t (1 row) teledb drop database teledbdbnew; DROP DATABASE

本文为您介绍如何删除数据库。 plaintext 删除数据库teledbdbnew teledb drop database teledbdbnew; 仍有会话连接数据库时，会报错 ERROR: database "teledbdbnew" is being accessed by other users DETAIL: There is 1 other session using the database. 停止该数据库的所有连接，后重新删除数据库 teledb select pgterminatebackend(pid) from pgstatactivity where datname'teledbdbnew'; pgterminatebackend t (1 row) teledb drop database teledbdbnew; DROP DATABASE

本文为您介绍如何删除数据库。 删除数据库teledbdbnew teledb drop database teledbdbnew; 仍有会话连接数据库时，会报错 ERROR: database "teledbdbnew" is being accessed by other users DETAIL: There is 1 other session using the database. 停止该数据库的所有连接后重新删除数据库 teledb select pgterminatebackend(pid) from pgstatactivity where datname'teledbdbnew'; pgterminatebackend t (1 row) teledb drop database teledbdbnew; DROP DATABASE

本章节为您介绍数据库账号的相关功能。 当数据源管理页面的数据源完成同步后，其数据库账号将统一收录于本模块。 全部账号展示了所有已同步数据源下的所有账号。 展示字段包括：数据库账号、数据源名称、拥有权限、禁止权限、状态、密码有效期。其中，状态分为正常、账号锁定、账号过期三种。 新增账号 当数据库存在新增账号，重新同步数据源后，新增账号将收录于全部账号和新增账号模块。首次同步的数据源，其中的数据库账号也会显示在新增账号模块。 权限变更 当数据库账号权限存在变更情况，重新同步数据源后，该数据库账号信息将收录于权限变更模块。 展示字段包括：数据库账号、数据源名称、新拥有权限、旧拥有权限、状态、密码有效期。 新拥有权限指变更后该账号拥有的所有权限； 旧拥有权限指变更前该账号拥有的所有权限。 删除账号 当数据库账号被删除，重新同步数据源后，被删除的账号信息将收录于删除账号模块，且该账号也会继续收录在全部账号模块中。 展示字段包括：数据库账号、数据源名称、拥有权限、禁止权限、状态、密码有效期。

操作步骤1：在消费者管理侧解除授权 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关消费者"。 3. 进入目标消费者详情页，选择消费者授权页签。 4. 在已授权列表中，展开实例，支持批量勾选后点击"解除授权"，也支持对单个资源右侧操作栏点击"解除授权"。 操作步骤2：在资源端侧解除授权 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，进入"AI网关实例"，找到不同资源端的消费者管理页面。 3. 已授权消费者列表右侧操作栏中点击"解除授权"。 对于实例，在左侧导航栏，选择 "实例"，进入实例概览页>消费者认证页签。 对于Model API，在左侧导航栏，选择 "Model API"，进入"Model API"详情页>消费者认证页签。 对于MCP服务，在左侧导航栏，选择 "MCP管理MCP服务"，进入"MCP服务"详情页>消费者认证页签。 对于Agent API，在左侧导航栏，选择 "Agent API"，进入"Agent API"详情页>消费者认证页签。 资源端开启消费者认证 注意 在资源端开启消费者认证后，需为当前API绑定消费者授权关系，否则该API无法访问。 操作步骤 1. 登录 云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，进入"AI网关实例"，找到不同资源端的消费者管理页面。 3. 点击编辑配置信息，填写如下配置信息，单击"确定"。 对于实例，在左侧导航栏，选择 "实例"，进入实例概览页>消费者认证页签。 说明 在实例上开启消费者认证后，则将对该实例下的所有API都生效，请谨慎开启。 实例上的认证是独立的，例如在实例上开启了JWT认证，在实例下的API开启KEY认证，则访问该路由时需要同时携带两种认证方式。如果在实例和API上开启的是同一种认证，则需要携带相同的消费者认证才能访问。 对于Model API，在左侧导航栏，选择 "Model API"，进入"Model API"详情页>消费者认证页签。 对于MCP服务，在左侧导航栏，选择 "MCP管理MCP服务"，进入"MCP服务"详情页>消费者认证页签。 对于Agent API，在左侧导航栏，选择 "Agent API"，进入"Agent API"详情页>消费者认证页签。 配置项 描述 启用状态 开启后，认证鉴权生效，访问其下资源需要携带对应认证信息 认证方式 当前路由认证消费者时使用的认证方式。目前AI网关中支持JWT和KEY的认证方式 Token配置 访问携带Token相关配置信息 JWT Token JWT Token 配置信息 隐藏认证信息：是否将认证信息透传到后端服务。 Header：设置从哪个header获取token，优先级最高默认值为'authorization'，使用方式 H 'authorization: token值' Query：设置从哪个query string获取token，优先级低于header。默认值为'jwt'，使用方式 '?jwttoken值' Cookie：设置从哪个cookie获取token，优先级低于query。默认值为'jwt'，使用方式 'cookiejwt值' KEY Token KEY Token 配置信息。 隐藏认证信息：是否将认证信息透传到后端服务 Header：设置从哪个header获取token，优先级最高。默认值为'apiKey'，使用方式 H 'apikey: token值' Query：设置从哪个query string获取token，优先级低于header。默认值为'apiKey'，使用方式 '?apikeytoken值'

本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在花卷慧办中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 客户端集成AD认证源版本为：PC客户端版本（Windows、macOS）为1.3.0及以上版本，移动端（安卓、IOS）为2.9.0及以上版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，花卷慧办客户端登录时进行转发给AD进行认证，因花卷慧办需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1. 添加认证源 登录花卷慧办工作台，进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2. 选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为连接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 Logo 非必填，用于在认证源列表展示的Logo。

本节主要介绍OBS涉及到的相关术语。 对象 对象（Object）是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息（元数据）的集合体。用户上传至OBS的数据都以对象的形式保存在桶中。 对象包括了Key，Metadata，Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ContentMD5等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 通常，我们将对象等同于文件来进行管理，但是由于OBS是一种对象存储服务，并没有文件系统中的文件和文件夹概念。为了使用户更方便进行管理数据，OBS提供了一种方式模拟文件夹。通过在对象的名称中增加“/”，例如“test/123.jpg”。此时，“test”就被模拟成了一个文件夹，“123.jpg”则模拟成“test”文件夹下的文件名了，而实际上，对象名称（Key）仍然是“test/123.jpg”。 上传对象时，可以指定对象的存储类别，若不指定，默认与桶的存储类别一致。上传后，对象的存储类别可以修改。 在OBS管理控制台和客户端中，用户均可直接使用文件夹的功能，符合文件系统下的操作习惯。 桶 桶（Bucket）是OBS中存储对象的容器。对象存储提供了基于桶和对象的扁平化存储方式，桶中的所有对象都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 每个桶都有自己的存储类别、访问权限、所属区域等属性，用户可以在不同区域创建不同存储类别和访问权限的桶，并配置更多高级属性来满足不同场景的存储诉求。 对象存储服务设置有三类桶存储类别，分别为：标准存储、低频访问存储、归档存储，从而满足客户业务对存储性能、成本的不同诉求。创建桶时可以指定桶的存储类别，桶的存储类别可以修改。 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。桶所属的区域在创建后也不能修改。每个桶在创建时都会生成默认的桶ACL（Access Control List），桶ACL列表的每项包含了对被授权用户授予什么样的权限，如读取权限、写入权限等。用户只有对桶有相应的权限，才可以对桶进行操作，如创建、删除、显示、设置桶ACL等。 一个账号可创建100个桶。每个桶中存放的对象的数量和大小总和没有限制，用户不需要考虑数据的可扩展性。 由于OBS是基于REST风格HTTP和HTTPS协议的服务，您可以通过URL（Uniform Resource Locator）来定位资源。 OBS中桶和对象的关系如图所示：

创建自定义认证 在APIG中创建自定义认证，对接前端自定义认证的函数。 1. 选择已创建的APIG专享版实例，并在航栏选择“API管理 > API策略”，在“自定义认证”页签下，单击“创建自定义认证”，弹出“创建自定义认证”对话框。 2. 配置自定义认证基础信息，如下图所示。 1. 认证名称：输入您自定义的名称，例如Authorizertest。 2. 类型：选择“前端”。 3. 函数地址：请选择用于前端自定义认证的函数apigtest。 3. 完成后单击“确定”，完成自定义认证的创建。 创建后端业务函数 API网关（APIG）支持选择FunctionGraph作为后端服务类型，当请求设置函数工作流为后端服务的API时，API网关会触发相应的函数，函数工作流会将执行结果返回给API网关（APIG）。 1. 创建函数方法与上述创建自定义认证函数相同，只需修改函数名称，避免名称重复。 2. 在函数详情页的“代码”页签，进行代码在线编辑，并传入如下所示的代码，完成后单击“部署”，更新函数。 coding:utf8 import json def handler (event, context): body " Functiongraph Demo Hello, FunctionGraph! " print(body) return { "statusCode":200, "body":body, "headers": { "ContentType":"text/html", }, "isBase64Encoded":False } 请求参数代码定义示例 在FunctionGraph中开发函数，以python2.7语言为例，函数代码需要满足如下条件。函数有明确的接口定义，如下所示： 1. def handler (event, context) 1. 入口函数名（handler）：入口函数名称，需和函数执行入口处用户自定义的入口函数名称一致。 2. 执行事件（event）： 函数执行界面由用户输入的执行事件参数，格式为JSON对象。 3. 上下文环境（Context）：Runtime提供的函数执行上下文，其接口定义在SDK接口说明，详情请参见《函数工作流(FunctionGraph) 用户指南》的“Python > 开发事件函数”章节。 2. 执行事件（event）支持三种请求参数定义，格式为： 1. Header中的请求参数：event["headers"]["参数名"] 2. Query中的请求参数：event["queryStringParameters"]["参数名"] 3. 您自定义的用户数据：event["userdata"] 3. 函数代码获取的三种请求参数与API网关自定义认证中的参数关系如下所示： 1. Header中的请求参数：对应自定义认证中参数位置为Header的身份来源，其参数值在您调用使用该前端自定义认证的API时传入 2. Query中的请求参数：对应自定义认证中参数位置为Query的身份来源，其参数值在您调用使用该前端自定义认证的API时传入 3. 您自定义的用户数据：对应自定义认证中的用户数据，其参数值在您创建自定义认证时输入 4. 函数的返回值不能大于1M，必须满足如下格式： { "statusCode":200, "body":"{"status": "allow", "context":{"user": "abc"}}" } 其中，body字段的内容为字符串格式，json解码之后为： { "status":"allow/deny", "context": { "user": "abc" } } “status”字段为必选，用于标识认证结果。只支持“allow”或“deny”，“allow”表示认证成功，“deny”表示认证失败。“context”字段为可选，只支持字符串类型键值对，键值不支持JSON对象或数组。context中的数据为您自定义的字段，认证通过后作为认证参数映射到API网关后端参数中，其中context中的参数名称与系统参数名称必须完全一致，且区分大小写，context中的参数名称必须以英文字母开头，支持英文大小写字母、数字、下划线和中划线，且长度为1 ~ 32个字符。

本章介绍开发HTTP函数的示例。 概述 使用自定义镜像开发HTTP函数时，用户需要在镜像中实现一个http server，并监听8000端口接收请求。 说明 HTTP函数只支持APIG触发器。 步骤一：准备环境 本章节所有操作均默认具有操作权限，请确保您登录的用户已有“FunctionGraph Administrator”权限，即FunctionGraph服务管理员权限。 步骤二：制作镜像 以在linux x86 64位系统上制作镜像为例。 1. 创建一个空文件夹 mkdir customcontainerhttpexample && cd customcontainerhttpexample 2. 以Nodejs语言为例，实现一个Http Server，创建一个main.js文件，引入express框架，接收POST请求，打印请求Body到标准输出并返回Hello FunctionGraph, method POST给客户端。 const express require('express'); const PORT 8000; const app express(); app.use(express.json()); app.post('/', (req, res) > { console.log('receive', req.body); res.send('Hello FunctionGraph, method POST'); }); app.listen(PORT, () > { console.log(Listening on }); 3. 创建一个package.json文件，此文件用于向npm提供信息，使其能够识别项目以及处理项目的依赖关系。 { "name": "customcontainerhttpexample", "version": "1.0.0", "description": "An example of a custom container http function", "main": "main.js", "scripts": {}, "keywords": [], "author": "", "license": "ISC", "dependencies": { "express": "^4.17.1" } } name：值为项目名。 version：值为项目版本。 main：列举文件为库的主入口。 dependencies：列出npm上可用的项目的所有依赖项。 4. 创建Dockerfile文件 FROM node:12.10.0 ENV HOME/home/customcontainer GROUPID1003 GROUPNAMEcustomcontainer USERID1003 USERNAMEcustomcontainer RUN mkdir m 550 ${HOME} && groupadd g ${GROUPID} ${GROUPNAME} && useradd u ${USERID} g ${GROUPID} ${USERNAME} COPY chown${USERID}:${GROUPID} main.js ${HOME} COPY chown${USERID}:${GROUPID} package.json ${HOME} RUN cd ${HOME} && npm install RUN chown R ${USERID}:${GROUPID} ${HOME} RUN find ${HOME} type d xargs chmod 500 && find ${HOME} type f xargs chmod 500 USER ${USERNAME} WORKDIR ${HOME} EXPOSE 8000 ENTRYPOINT ["node", "main.js"] FROM：指定基础镜像为node:12.10.0，基础镜像必须设置，值可修改。 ENV：设置环境变量，设置HOME环境变量为/home/customcontainer，设置GROUPNAME和USERNAME为customcontainer，USERID和GROUPID为1003，这些环境变量必须设置，值可修改。 RUN：格式为RUN ，例如RUN mkdir m 550 {HOME}表示构建容器时创建{USERNAME}用户的home目录。 USER：切换${USERNAME}用户。 WORKDIR：切换工作目录到${USERNAME}用户的home目录下。 COPY：将main.js和package.json拷贝到容器的${USERNAME}用户的home目录下。 EXPOSE：暴露容器的8000端口，请勿修改。 ENTRYPOINT：使用node main.js命令启动容器，请勿修改。 说明 1. 可以使用任意基础镜像。 2. 在云上环境会默认使用uid 1003，gid 1003 启动容器。uid、gid可以在函数页面的设置 > 常规设置 >容器镜像覆盖板块中修改，但不可以是root或其他保留id。 5. 构建镜像 指定镜像的名称为customcontainerhttpexample，版本为latest，“.”指定Dockerfile所在目录，镜像构建命令将该路径下所有的内容打包给容器引擎帮助构建镜像。 docker build t customcontainerhttpexample:latest .

存量子账号登陆凭证重置 在割接完成后，子用户的登陆入口由原先的CDN+IAM切换至天翼云CTIAM。您无需特意记住登陆入口，在访问媒体存储产品控制台时，后台会根据您当前的登陆凭证自动切换主、子账号的控制台。但存量子用户在首次登陆时，需要由主账号在CTIAM重置子用户的登陆凭证。具体操作步骤如下： 1. 主账号登录访问天翼云统一身份认证IAM控制台。 2. 存量子用户会被迁移至CTIAM。您在登陆CTIAM后，可以在【用户】列表看到很多新增的子用户数据。由于CDN+IAM支持多个平行的工作区，而CTIAM无对应的映射关系，因此在CDN+IAM所有平行工作区的所有子用户都将被迁移至CTIAM。 3. 您需要在【用户】列表找到需要重置身份的子用户，点击右侧操作栏的【编辑】按钮（注意不是【重置密码】）。 4. 在弹出的【修改用户】窗体，您可以对【用户名】、【邮箱】、【手机号】进行修改完善。从CDN+IAM迁移过来的用户，邮箱会被初始化填入一个类似xxxxx@1000xxxx.vipctcdn.cn的虚拟邮箱。该虚拟邮箱是子用户在原CDN+IAM的登陆凭证。您可以修改为新的邮箱，但请注意保持全局唯一性（即该邮箱在天翼云账号体系中未被使用过，无论是作为主、子账号身份凭证。）同时，在【手机号】栏会有一个初始化的虚拟手机号码，该号码并非该子用户的真实号码，因此无法接收到来自于天翼云的各类通知短信。您可以将其修改为真实的手机号码，但请注意保持组织内唯一性（即该手机号码在当前组织内体系中未被使用过，无论是作为主、子账号身份凭证。）在完成身份凭证修改后，点击【确定】即可。 5. 【本步骤可选】在【用户】列表找到需要刚才重置身份的子用户，点击右侧操作栏的【重置密码】按钮。在弹出的窗口中，使用主账号的手机号码，对子用户的初始密码进行重置。由于IAM迁移过程不能迁移密码，因此在迁移完成后子用户的初始密码未知，子用户无法使用原先在CDN+IAM的密码登陆。 6. 【本步骤可选】如果需要重置密码的子用户数量较多，您可以在第四步完成手机号码重置之后，在子账号首次登陆时，通过忘记密码的流程对子用户密码进行重置。 在登陆窗口选择【账号登陆】，点击【忘记密码】。 输入第四步重置的账号信息，建议输入手机号码。 如果您使用邮箱作为登陆凭证，需要确保割接时使用的虚拟邮箱已被替换成真实的邮箱地址，否则可能接收不到验证信息，导致重置流程失效。 如果您的手机号在天翼云注册过多个主、子账号身份，您需要在接下来的界面选择根据脱敏信息匹配当前组织的子账号身份。 在接下来的步骤中输入符合安全规则的密码，即可完成密码重置。