Web应用防火墙的带宽扩展包是否有购买上限？ 当前Web应用防火墙最大支持购买扩展20个扩展包。 产品是否可以试用，试用周期为多长时间？ 云等保专区支持试用，如需申请试用，请联系客户经理下单。 主机安全如何确定购买个数？ 主机安全的购买个数依据需要防护的ECS数量确定，需要防护多少个ECS就购买多少个主机安全。 云等保专区产品是否支持跨资源池防护使用？ 不支持，云等保专区会在每个资源池进行加载，为保证用户业务数据安全，暂时不支持用户跨资源池使用，用户可在就近资源池进行云等保专区产品的购买。 云等保专区产品是否支持跨VPC防护？ 支持，但是需要通过对等连通打通两个VPC之间的网络连接。 Web应用防火墙购买数量是否具有限制？ 不限制购买数量，但是一个订单只能购买一个Web应用防火墙（扩展包最多20个），要购买多个，需下多个订单。 云等保专区是否对接云监控服务？ 已对接云监控服务。 说明 目前该能力为灰度上线，仅针对白名单用户开放。 若需使用该能力，请通过提工单的方式，申请加白并开通云监控服务。 支持的区域为：华东1、西南1、上海33、华南2。 支持云监控服务的原子能力为：Web应用防火墙v1.0，日志审计v1.0，堡垒机v1.0，数据库审计v1.0。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

子网间是否可以通信？ 子网是属于VPC的资源，一个VPC内的子网默认可以进行通信，不同VPC的子网默认不能进行通信，可以通过创建对等连接使不同VPC的子网通信。 说明： 若子网关联了网络ACL，需先放通网络ACL。 子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部，VPC提供三段私网网段，10.0.0.0/8～24、172.16.0.0/12～24和192.168.0.0/16～24，子网的网段须在这些范围内，且子网的掩码范围为子网所在VPC掩码~29。 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云允许您创建私有、隔离的虚拟网络环境。在虚拟私有云中，可以对私有IP地址范围、子网和网络网关等进行控制。弹性云服务器、裸金属服务器、数据库和部分应用等会在虚拟私有云中创建的安全网络。 子网被相关资源使用时，无法删除子网。 您可以通过控制台首页查看帐户下所有资源，根据子网信息排查各资源是否在待删除的子网中。先删除子网中的全部资源，再删除子网。 可参考以下常用的资源实例进行排查，具体请以帐户下资源为准。 弹性云服务器 裸金属服务器 RDS实例 弹性负载均衡器 VPN 私有IP地址 自定义路由 NAT网关 终端节点与终端节点服务

本文介绍云主机等公有云资源如何实现内网访问相同地域的应用实例。 前提条件 云主机等资源与应用托管应用实例处于相同地域，且应用实例使用共享网络。 已申请获取应用托管的VPC终端节点服务的服务实例ID（请通过您的客户经理或工单提交申请）。 云资源访问应用实例与应用实例访问云资源需分别申请，应用实例访问云资源详见最佳实践【应用实例通过内网访问数据库等云资源】。 创建VPC终端节点 1. 为云主机等资源创建VPC终端节点。登录天翼云网络控制台，在左侧导航栏单击【VPC终端节点】【终端节点】，单击【创建终端节点】按钮。 2. 在创建终端节点页面，配置相关信息。 字段 说明 服务类型 请选择“按服务实例ID查找服务” 可用服务 请填入已获取的“应用托管的VPC终端节点服务的服务实例ID” 虚拟私有云 请选择云主机等资源所在的虚拟私有云 3. 提供账号邮箱，由应用托管后台添加终端节点服务白名单，并审核连接申请（请通过您的客户经理或工单提交申请）。 确定连接状态 1. 应用托管平台侧通过连接申请后，可在终端节点列表查看到状态为“已连接”。

本节介绍云等保专区产品的应用场景。 等保合规场景 场景特点 随着《网络安全法》、《信息安全技术网络安全等级保护基本要求》以及各个行业法律法规的发布，用户对于网络安全建设的重视程度日渐提升，等级保护建设逐渐成为了网络安全建设的基线，各行各业的用户都在开始进行等级保护合规建设。 解决的问题 云等保专区产品为更好更快捷地帮助用户完成等级保护建设，特地推出等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版套餐，用户仅需要根据自己实际合规等级需要，通过勾选对应套餐，就能够轻松通过等保二级、三级测评，满足等保合规要求。 安全加固场景 场景特点 用户开通云主机将业务部署完成后，需要对于云上业务进行安全加固防护，会使用到安全产品的能力，例如下一代防火墙的访问控制能力、Web应用防火墙的Web应用攻击防护能力、主机安全的漏洞检测与防护能力等。 解决的问题 云等保专区专项推出等保自定义版，能够提供下一代防火墙、Web应用防火墙、日志审计、主机安全、堡垒机、数据库审计以及漏洞扫描等原子能力，用户可根据自己当前云业务网络安全建设的薄弱点以及安全加固防护的需求，进行自主选择需要的安全原子能力进行安全加固建设。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本小节主要介绍RDSPostgreSQL的pglogical插件使用方法。 操作场景 RDSPostgreSQL支持 pglogical插件，为PostgreSQL数据库提供了逻辑流复制发布和订阅的功能。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS pglogical; 卸载插件 sql DROP EXTENSION IF EXISTS pglogical; 使用示例 1.在发布端创建发布节点（实例A） sql SELECT pglogical.createnode( nodename : 'provider', dsn : 'host127.0.0.1 port dbnametest userroot password密码' ); 2.配置复制集。将public中的所有表添加到default复制集（实例A） sql SELECT pglogical.replicationsetaddalltables('default', ARRAY['public']); 3.在订阅端创建订阅节点。 一旦设置了发布端节点，订阅者就可以订阅它。首先必须创建订阅者节点（实例B）： sql SELECT pglogical.createnode( nodename : 'subscriber', dsn : 'host127.0.0.1 port dbnametest userroot password密码' ); 4.在订阅端创建订阅（实例B)。 sql SELECT pglogical.createsubscription( subscriptionname : 'subscription', providerdsn : 'host port dbnametest userroot password密码' ); 创建订阅后，将在后台启动同步和复制流程。 常见问题 此插件使用方法与开源方法一致，请详见pglogical开源社区。

本文为您介绍天翼云云搜索服务的细粒度权限能力及使用方法。 功能简介 天翼云云搜索服务中的OpenSearch和Elasticsearch都支持细粒度权限管控，包括文档级别和字段级别的权限控制，为企业级用户提供了精确的数据访问管理能力。这一功能使得管理员能够针对不同的用户或角色，灵活地配置他们对特定文档或字段的访问权限，确保敏感信息得到有效保护，同时实现数据的高效共享和管理。 核心原理 细粒度权限管控允许管理员在多个层次上定义用户访问权限。具体来说，文档级别的权限控制使得管理员能够基于文档的内容或属性，决定某个用户是否可以访问或查询该文档。字段级别的权限控制则进一步细化，允许管理员指定某些用户只能查看或操作文档中的特定字段，而隐藏其他字段内容。 例如，在一个包含敏感信息的客户数据库中，管理员可以配置权限，使得某些用户只能访问客户的联系方式，而不能查看财务信息或个人身份信息。通过这样的精细控制，搜索引擎能够确保数据的安全性和合规性，同时满足不同业务场景下的访问需求。 应用场景与优势 数据安全与隐私保护 通过文档级别和字段级别的权限控制，企业可以确保敏感信息仅对经过授权的用户可见。这在金融、医疗等对数据隐私有严格要求的行业中尤为重要，能够帮助企业满足合规性要求。

本章节主要介绍选择表模型的最佳实践。 在设计数据仓库模型的时候，最常见的有两种：星型模型与雪花模型。选择哪一种模型需要根据业务需求以及性能的多重考量来定。 星型模型由包含数据库核心数据的中央事实数据表和为事实数据表提供描述性属性信息的多个维度表组成。维度表通过主键关联事实表中的外键。如下图。 −所有的事实都必须保持同一个粒度。 −不同的维度之间没有任何关联。 星型模型 雪花模型是在基于星型模型之上拓展来的，每一个维度可以再扩散出更多的维度，根据维度的层级拆分成颗粒度不同的多张表。如下图。 −优点是减少维度表的数据量，各个维度表之间按需关联。 −缺点是需要额外维护维度表的数量。 雪花模型 本实践基于TPCDS的SS（Store Sales）模型做验证。该模型为雪花模型，下图显示了该数据模型的结构。 TPCDS Store Sales ERDiagram 有关该模型中事实表StoreSales及各维度表的信息，请查阅TPCDS官方文档。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 dlilink 访问标识(AK) 密钥(SK) 访问DLI数据库时鉴权所需的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，如下图所示：单击新增访问密钥 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。 项目ID DLI服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2. 在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。

本章节介绍如果管理云堡垒机的工单审批规则。 工单功能是指运维用户在申请资源访问权限或命令使用权限时，可通过工单申请资源的范围，以及提交工单的方式。 新增工单审批规则 1. 使用管理员账号登录云堡垒机系统。 2. 在左侧导航栏选择“工单管理”>“审批规则”，进入“审批规则”页面。 3. 单击左上角的【新增】按钮，弹出“规则审批”配置窗口。 4. 在弹出的对话框中配置相关内容，具体见下表，配置完成后单击“提交”。 规则名称 输入您的审批规则名称。 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 数据导出授权 注意 字符授权工单默认开通所有命令的使用权限，若您需要限制高危命令的使用请在“字符命令授权”模块将对应用户纳管入相关授权规则当中。 审核人 选择该审批规则的具体审核人员，可多选。 用户（可选） 选择该条审批规则可以提交的相关用户，可多选。 用户组（可选） 选择该条审批规则可以提交的相关用户组，可多选。 后续管理 若需修改审批规则，可单击“操作”列的“编辑”按钮，在弹出的编辑窗口重新配置相关内容。 若不再需要某条审批规则 ，可在单击“操作”列的“删除”按钮。删除后的信息不能找回，请谨慎操作。

概述 API分组环境变量用于在不同的环境（生产，测试，开发）中引用同一个环境变量中不同的值，从而可以灵活引用变量。通常用于动态调整配置项，比如数据库连接、外部服务的 URL、认证密钥等。这减少了硬编码，并使得应用程序能够根据部署环境自动适应配置变化。 创建环境变量 1. 进入API托管>分组管理菜单页 2. 点击环境变量管理，进入环境变量管理页，在对应的环境tab页下点击新增环境变量按钮，填写变量名和变量值进行创建。 注意 每个环境下允许最多创建50个变量；创建同名环境变量时会覆盖已有环境变量值。 删除环境变量 用户可以对环境下的环境变量进行删除操作。注意：删除前请先确保该环境变量没有在API定义中使用。 使用环境变量 创建了环境变量后，可以在API定义中在请求Path、入参默认值、后端服务地址部分加入变量，以 变量名 表示，如请求path可以填写“/ version ”。 当该API定义发布到该环境时，API定义中的变量就会取值对应的变量值，即发布过程中变量标识会被相应环境的变量值替换。例如在生产环境中定义了变量version的值为v1，则上述API的请求path会被解析为/v1。 注意 1. 变量名严格区分大小写。 2. 如果在API定义中设置了变量，那么一定要在要发布的环境上配置变量名&变量值，否则变量无赋值，API将无法正常调用。 3. API调试暂不支持进行环境变量解析。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

如何查看未安装Agent的主机？ 在用户的IT运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 主要有以下三种发现方法： ARP缓存发现：Address Resolution Protecol（ARP）缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了Agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。 Ping发现：Ping发现是通过发送ping包的方式来发现新主机，支持系统：Linux，Windows（TBD），方法特殊设置：设置扫描的IP段。 Nmap发现：具体操作请参考：通用功能主机发现。 资产清点有什么优势？ 产品支持Windows，Linux所有主流的操作系统与版本。包括：Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系统等。 产品资产清点的技术优势主要体现在两个方面。 数据的获取速度快，定期清点资产数据放入快速缓存，查询数据或使用数据从快速缓存中获取。 对于变化较为频繁的数据（例如进程，端口），在定时更新的基础上，用户可以按需主动更新，避免因为本地数据库过于陈旧，检测不准确，也避免传统方案不断监控变化（频繁变化的数据在使用时，实际只需要获取最新的状态），导致的无意义性能消耗。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本章节主要介绍了什么是物理机和物理机产品架构,以及与自建物理机、云主机的功能对比。 天翼云物理机服务（CTDPS，Dedicated Physical Server）是一款兼具弹性云主机和物理机性能的计算类服务，为您及您的企业提供专属独享的物理机服务，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，满足核心应用对高性能及稳定性的需求。同时，可实现与弹性云主机混合组网，为用户提供灵活的业务部署方案。 产品架构 天翼云物理机通过和其他服务组合，可以实现计算、存储、网络、镜像安装等功能： 在不同可用区中部署（可用区之间通过内网连接）物理机，部分可用区发生故障后不会影响同一区域内的其他可用区。 可以通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网链接。 通过镜像服务，可以对物理机安装镜像，也可以通过私有镜像批量创建物理机，实现快速部署业务。 通过云硬盘服务实现数据存储，并通过云硬盘备份服务实现数据的备份和恢复。 云监控是保持物理机服务器可靠性、可用性和性能的重要部分，通过云监控，用户可以观察物理机服务器资源。 云备份提供对云硬盘和物理机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。

本文带您快速了解多活容灾服务的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 多活容灾服务当前支持包年/包月、按需计费两种计费模式。 包年/包月：预付费模式，即先付费再使用，以自然月、自然年为计费单位。享受比按量计费更大的价格优惠，适用于需要长期稳定运行的服务。 按需计费：后付费模式，即先使用再付费，以小时为计费单位。按需付费是一种灵活的计费模式，适用于不确定性较强、需求波动较大、资源使用不稳定的业务场景。 具体信息请参考：计费模式。 计费项 多活容灾服务的计费项包括：容灾管理中心、故障演练包、主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备，详细信息请参考：计费项。 续费 包年/包月的资源到期后将停止服务，为保证实例正常运行，需要在规定的时间内为实例进行续费。当前多活容灾服务支持手动或自动续费，具体续费操作及限制请参考：续费说明。 欠费 在使用多活容灾服务时，账户的可用额度小于待结算的账单，即被判定为账户欠费。欠费后，可能会影响云服务资源的正常运行，需要及时充值。具体信息请参考：欠费说明。

本章节举例介绍函数计算的典型应用场景,包括:Web应用、数据分析和处理、AI推理、视频转码等。 Web应用 Web应用是一种典型的事件驱动应用。函数计算搭配数据库、缓存、消息中间件等云产品，开发者只需要编写业务代码即可快速构建可靠的、可弹性伸缩的Web应用。这些程序可同时部署在多个数据中心实现高可用运行。 1. 简化开发流程：开发者只需专注于编写业务代码，而无需担心底层基础设施的管理和维护，从而大幅简化了开发流程。 2. 高可用性：Web应用可以轻松部署在多个数据中心，实现高可用运行。 3. 弹性扩展：基于请求量的实时变化，快速调度计算资源，实现毫秒级的自动弹性伸缩，高效应对业务洪峰。 4. 平滑迁移：支持多种开发语言和自定义运行时，兼容传统应用框架，传统Web应用到函数计算易迁移。 数据分析和处理 函数计算支持丰富的事件源。通过简单地配置事件触发条件，只需要很少的配置和代码，函数计算就可以对数据进行实时分析和处理。比如对日志数据进行清洗和处理、对上传对象存储的文件进行解压、校验和转换等。 1. 高灵活度：事件的处理逻辑可以根据实际业务场景的不同灵活定义。 2. 配置简单：支持各类事件源，只需要简单的配置就可以进行实时数据分析和处理。

为子帐号开放所有企业项目权限 创建子帐号后，如果您希望子帐号可以看到所有的企业项目，而不仅是个别项目，可以参照以下步骤： 1. 对于创建完毕的子帐号，且子账户已经加入到用户组，选择该子账户所在的用户组，点击操作列的授权。 2. 输入框搜索mysql，选择mysql的相关策略，也可根据自己需要的其他策略，搜索加入，确认无误勾选该策略并点击右下角下一步。 注意 MySQL相关策略中，最少选择一个，表示希望对该企业项目下的MySQL实例进行相关管理。 如果您操作的是Ⅱ类型资源池，可以搜索“mysql”关键词，可以看到MySQLreviewer，MySQLuser，MySQLadmin三种权限，可选择这三者中至少一种，作为该用户组的权限。具体的每种策略权限区别可以参考主子账号和IAM权限管理。 3. 进入设置最小授权范围，选择想要配置的资源池，并点击右下角的确认。 4. 显示授权成功。 5. 回到用户组列表，点击查看，可以看到授权记录。 6. 此时用子帐号登录天翼云官网，进入数据库管理控制台，即可看到所有企业项目的资源。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

本章节主要介绍翼MapReduce服务中Doris组件基于ARM架构下性能优化后的TPCH测试结果。 测试目的及重点 本测试旨在测试天翼云翼MapReduce服务下Doris引擎的SQL性能，对比翼MapReduce中Doris基于ARM架构下的优化版本和开源社区2.1.2版本的性能。重点为运行TPCH测试的22个Query，获取运行时间，时间越少，性能越好。 Doris主要两类进程: Frontend（FE）：主要负责用户请求的接入、查询解析规划、元数据的管理、节点管理相关工作。以下统称Doris FE。 Backend（BE）：主要负责数据存储、查询计划的执行。以下统称Doris BE。 集群环境 服务器规格： Processors: HiSilicon Kunpeng920 aarch64 2.6 GHz96 Memory: 128GB(32GB4) Storage Device: 446GB 1(Boot Disk) 7.3TB 10(Data Disk) 集群规模： 服务器 4 (Doris FE：1台、Doris BE：3台) Doris配置及使用资源 本次测试Doris配置与开源社区2.1.2保持一致。以下表格为部分关键配置。 Doris FE Doris BE JAVAOPTSXss4m Xmx8192m experimentalenablenereidsplanner true experimentalenablepipelineenginetrue experimentalenablepipelinexenginetrue JAVAOPTSXmx8192m disablestoragepagecachetrue enablefeaturebinlog true 测试步骤 整体测试步骤包括：准备测试工具、生成数据与测试语句、导入Doris中的tpch数据库并验证数据量、执行测试。相关测试命令已集成在脚本中，以下介绍测试步骤中出现的命令，是从脚本中提取的部分核心命令。

本节介绍漏洞扫描服务的相关术语。 术语 说明 漏洞（Vulnerability） 硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。 网站（Website） 网站(Website)开始是指在因特网上根据一定的规则，使用HTML（标准通用标记语言下的一个应用）等工具制作的用于展示特定内容相关网页的集合。简单地说，网站是一种沟通工具，人们可以通过网站来发布自己想要公开的资讯，或者利用网站来提供相关的网络服务。 Web应用（Web App） Web应用程序是可使用任何Web浏览器访问的软件或程序。Web应用程序是具有功能和交互式元素的网站。 主机（Host） 连接了硬盘、硬盘子系统或者文件服务器，并能在其上存储数据和I/O访问的计算机系统。大型机、服务器、工作站以及个人电脑，甚至多处理器机器和集群计算机系统都被称为主机。 安全配置基线（Security Configuration Baseline） 安全配置基线即针对不同的产品或者系统，依据安全评估标准，形成一系列固化的检查规则、评估方法，为安全管理人员在实际的安全配置工作中提供参考和标杆。 NVD National Vulnerability Database国家安全漏洞库。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 安全通告（Security Advisory） 安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。一般用于厂商披露器产品直接相关的漏洞。

本章介绍函数工作流如何配置函数初始化。 概述 初始化函数在函数实例启动成功后执行，执行成功后，实例才能开始调用请求处理函数处理请求。FunctionGraph保证一个函数实例在生命周期内，初始化函数成功执行且只能成功执行一次。 应用场景 多个请求处理可以共享的业务逻辑适合放到初始化函数，以降低函数时延，例如深度学习场景下加载规格较大的模型、数据库场景下连接池构建。 前提条件 已创建函数。 初始化函数 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 高级设置”，开始配置。 开启初始化配置 初始化配置参数说明 参数 说明 配置初始化函数 如需初始化，请开启此参数。 初始化超时时间（秒） 函数初始化的超时时间，如开启函数初始化功能则设置，不开启则不设置。函数初始化超时时间设置范围为1300秒。 函数初始化入口 在函数配置页面中，可以选择开启函数初始化功能。各runtime的函数初始化入口命名规范与原有函数执行入口保持一致。如Node.js和Python函数，命名规则：[文件名].[初始化函数名]。 说明 如不开启函数初始化功能则无需配置函数初始化入口 说明 开启函数初始化功能后，各runtime的函数初始化入口命名规范与原有函数执行入口保持一致。如Node.js和Python函数，命名规则：[文件名].[初始化函数名]。

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

此小节介绍云堡垒机的历史会话。 查看历史会话 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。通过历史会话记录，可查询详细的操作记录，在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计，不支持视频审计。 不支持记录验证资源账户的登录资源数据。 视频仅可回放有效会话记录，即登录资源到最后一次会话操作的这一段记录。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 历史会话列表 3 查询历史会话。 快速查询 在搜索框中输入关键字，根据资源名称、资源账户、用户、来源IP等快速查询历史会话。 高级搜索 在相应属性搜索框中分别关键字，精确查询历史会话。 4 单击目标历史会话“操作”列的“详情”，进入历史会话详情页面。 5 可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。

本章节为您介绍主动嗅探资产能力。 主动嗅探资产功能可以针对指定主机进行扫描，从而发现数据库资产。扫描任务列表的展示字段包括：任务名称、IP段、周期、服务数、状态、创建时间、最新发现时间。其中： 服务数表示任务扫描出的端口数量； 状态分为待扫描、扫描中、失败、已完成四种； 任务列表默认按照更新时间降序排列。 您可以通过输入任务名称、状态来查询现有任务。 新增扫描任务 1.使用安全管理员账号登录数据分类分级实例。 2.在左侧导航栏选择“数据资产管理 > 数据源管理”即可进入“数据源管理”页面查看数据源列表。 3.在页面上方选择“主动嗅探资产”，进入“主动嗅探资产”页签。 4.单击页面左上角的“新增”即可开始新增扫描任务。 5.在“新增任务”窗口中填写扫描任务相关参数。 参数 参数说明 填写样例 任务名称 填写任务名称，要求不能与已有任务名称重复； Test1 IP段 填写IP区间，如192.168.1.1100；或填写多个IP，并以逗号隔开； 192.168.1.1100 指定端口 填写端口区间，如01521； 若填写多个端口，并以逗号隔开； 若待扫描的IP段范围较大，强烈建议填写本项，输入指定端口可有效节省扫描所需时间； 01521 周期 您可以选择不同周期，来对该主机进行定时扫描。 手动执行 6.填写完成后单击“保存”，即可完成新增扫描任务。

本章节主要介绍升级集群。 升级集群 用户不需要自己操作DWS集群的修补或升级，因为DWS将自动处理版本升级。当DWS服务升级后，DWS将在集群的“可维护时间段”内，自动将集群升级到最新版本，无需人为操作。升级过程中会自动重启集群，在此期间集群将短时间无法提供服务，因此，请合理设置“可维护时间段”，建议用户选择连接用户数少、活跃任务数少的时间。 说明 集群升级到8.1.3及以上版本后，会进入升级观察期，可以观察老业务的运行情况，若发现问题，可快速回退到老版本。 升级集群对原有集群数据没有影响 集群版本说明如下图所示： 服务补丁升级 ：表示集群版本X.X.X最后一位数字的升级更新，例如，集群版本从1.1.0升级到1.1.1。 −持续时间：整个升级过程将花费不到10分钟。 −业务影响：在此期间，业务会中断1至3分钟。如果升级源版本为8.1.2及以上版本，则支持在线补丁，补丁升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。 服务升级 ：表示集群版本X.X.X前面两位数字的升级更新，例如，集群版本从1.1.0升级到1.2.0。 −持续时间：整个升级过程将花费不到30分钟。 −业务影响：在此期间，数据库无法访问。如果升级源版本为8.1.1及以上版本，则支持在线升级，升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。

本文汇总了密钥管理产品管理类常见问题。 是否可以导出用户主密钥？ 不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。 创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除； 创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。 哪些云服务支持密钥管理系统加密数据？ KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。 产品底层通过信封加密的方式，实现云产品中数据的加密。 用户自建主密钥与默认主密钥有何区别？ 用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。 默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

本文介绍全站加速产品欠费说明、关停服务、恢复服务及预警说明等。 客户天翼云账户中没有余额并欠款的情况下，天翼云会关停客户的全站加速服务，并通过短信通知客户充值。 关停服务 关停客户的全站加速服务，天翼云会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为“已停止”，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作，全站加速产品即可恢复服务。操作步骤如下： 1. 登录客户控制台。 2. 单击【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的【启用确认】框，单击【确认启用】。 预警设置 为避免欠费情况的产生，可通过对客户在天翼云官网账户的可用额度进行预警设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

本文介绍视频直播欠费产生后的处理规则。 当天翼云客户账户中没有余额或已产生欠费，将关停客户的视频直播服务，且天翼云会通过短信通知客户充值。 关停服务 关停客户的视频直播服务，即天翼云视频直播会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。1天后天翼云会将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，视频直播节点虽在7天后会删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过在线充值结清欠款，并对域名进行【启用】操作，即可恢复视频直播服务。操作步骤如下： 1. 登录直播控制台。 2. 单击【域名管理】下的【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的启用确认，单击【确认启用】。 预警设置 为避免产生欠费，客户可通过在天翼云官网账户的可用额度进行预警设置。当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云官网。 2. 单击右上角【我的】，单击【费用中心】。 3. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本章节主要介绍数据治理中心的约束与限制。 浏览器限制 您需要使用支持的浏览器版本登录DataArts Studio。 表1 浏览器兼容性 浏览器版本 建议版本 建议操作系统 备注 Google Chrome 115，114，113 Windows 10 分辨率最佳可视范围为最小1366768px，最大为19201080px。其中19201080px为最佳显示分辨率，界面自适应为最优显示。 使用限制 使用DataArts Studio前，您需要认真阅读并了解以下使用限制。 表2 DataArts Studio使用限制一览表 组件 约束限制 公共 DataArts Studio基于数据湖底座提供数据一站式集成、开发、治理等能力，本身不具备存储和计算的能力，需要配合数据湖底座使用。 每个企业项目下最多绑定一个DataArts Studio实例。当企业项目下已绑定实例时，再次创建实例会失败。 DataArts Studio各组件对不同数据源的支持程度不一，您需要按照您的业务需求来选择数据湖底座。DataArts Studio平台当前支持的数据湖产品请参见“DataArts Studio用户指南 > 管理中心 > DataArts Studio支持的数据源”。 管理中心 由于管理中心的限制，数据治理各组件（如数据架构、数据质量、数据目录等）暂不支持包含中文和“.”字符的库表名。 建议为管理中心数据连接的Agent和CDM迁移作业规划相互独立的CDM集群，避免双方使用同一集群，导致业务高峰期时资源抢占引起业务不可用。 CDM集群作为管理中心数据连接Agent时，单集群无法连接多个MRS安全集群。建议您按照业务情况规划多个Agent与MRS安全集群一一映射。 CDM集群作为管理中心数据连接Agent时，单集群的并发活动线程最大为200。即当多个数据连接共用同一Agent时，通过这些数据连接提交SQL脚本、Shell脚本、Python脚本等任务的同时运行上限为200，超出的任务将排队等待。建议您按照业务量情况规划多个Agent分担压力。 单工作空间允许创建的数据连接个数最多200个。 管理中心相关开放API并发限制为100qps。 数据集成 CDM作业支持自动备份和恢复，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据集成 > 管理作业 > 作业配置管理”章节。 CDM作业本身无配额限制，但建议作业数不超过CDM集群的vCPU核数2，否则作业运行性能可能会受到一定影响。 数据集成CDM集群为单集群部署，集群故障可能会导致业务、数据损失。建议您使用数据开发作业CDM Job节点调用CDM作业，并选择两个CDM集群以提升可靠性。详情请参见用户指南中“数据开发 > 节点参考 > CDM Job”章节。 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 在驱动更新场景下，上传驱动后必须在CDM集群列表中重启集群才能更新生效。 单作业的抽取并发数取值范围为1300，集群的总抽取并发数取值范围为11000。其中集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数2，作业的抽取并发数建议不超过集群的总抽取并发数，过高的并发数可能导致内存溢出，请谨慎修改。 关于数据集成中的更多约束限制，请参考用户指南中“数据集成> 约束与限制”章节。 数据开发 数据开发脚本、作业等资产支持备份管理，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据开发 > 运维调度 > 备份管理”章节。 脚本、作业或节点的历史运行记录依赖于OBS桶，如果未配置测试运行历史OBS桶，则无法查看历史运行的详细信息。 上传资源时，如果资源位置为HDFS，则只支持MRS Spark，MRS Flink Job，MRS MapReduce节点使用该资源。 单工作空间允许创建的脚本个数最多1万个，脚本目录最多5000个，目录层级最多为10层。 单工作空间允许创建的作业个数最多1万个，作业目录最多5000个，目录层级最多为10层。 RDS SQL、DWS SQL、HIVE SQL、SPARK SQL、DLI SQL脚本执行结果页面展示最多1千条，且数据量少于3MB。超过1千条数据可以使用转储功能，转储最多支持1万条。 实例监控、补数据监控只能展示最近6个月的数据。 通知记录只能展示最近30天的数据。 下载中心的下载记录会每7天做老化处理，老化时下载中心记录和已转储的OBS数据会同时被删除。 数据架构 数据架构当前支持关系建模和维度建模（仅支持星形模型）这两种建模方式。 数据架构支持最大导入文件大小为4Mb；支持最大导入指标个数为3000个；支持一次最大导出500张表。 码表和数据标准的根目录下禁止直接创建码表和数据标准。 单工作空间中创建各类对象的配额如下： l主题5000个。 l数据标准目录500条，个数20000个。 l业务指标100000个。 l原子指标、衍生指标、复合指标各5000条。 配置中心中各类对象的自定义项配额如下： l主题自定义项10条。 l表自定义项30条。 l属性自定义项10条。 l业务指标自定义项50条。 数据质量 数据质量作业执行时长依赖数据引擎，如果底层数据引擎资源不足，可能会导致运行速度变慢。 单个数据质量作业最多可以配置50条规则，如有需要可拆分为多个质量作业。 单个数据连接上的质量作业关联SQL的并发数默认为1000，如果超出则等待排队执行。可配置范围101000。 单Region内的质量作业关联SQL的并发数为10000，如果超出则等待排队执行。 业务指标监控模块总览中的实例运行状态和实例告警状态支持按照7天展示，告警趋势、业务看板、指标看板支持按照7天、15天和30天展示。 数据质量监控模块总览中的变化趋势支持按照30天展示，质量告警分类趋势和规则数量趋势支持按照7天展示。 质量报告采用T+1日定时批量生成，质量报告数据保留90天。 导出质量报告至OBS，会将质量报告导出到工作空间中配置的作业日志OBS路径中，导出记录保留3个月。 数据目录 单工作空间中元数据采集任务最多创建100个。 元数据采集任务通过执行引擎相关的DDL SQL获取，不建议单个任务采集超过1000张表。如有需要可拆分为多个采集任务，另外调度时间和频次也需要根据业务需要进行合理设置，避免对引擎造成较大的访问和连接压力，设置建议如下： l若业务对元数据时效性要求为1天，则设置调度周期max(1天，单次采集周期时间)，其他情况同理。 l若业务压力集中在白天，则设置调度时间在夜间，其他情况同理，选择数据源压力最小的时间段。 数据血缘的产生依赖于数据开发中调度运行的作业，测试运行的作业不会产生血缘。 元数据采集模块总览中的数据连接历史统计支持按照7天、15天和30天展示。 数据服务 数据服务共享版仅供开发测试使用，专享版性能优于共享版，推荐使用数据服务专享版。 DataArts Studio实例下最多支持创建5个数据服务专享版集群，且集群需要与某个工作空间绑定，不能多空间共用同一集群。 数据服务专享版集群创建后暂不支持修改规格或升级版本。 DataArts Studio实例下支持创建的专享版API最大数量由数据服务专享版API总分配配额（默认为5000）和当前实例下集群的API规格总和共同决定，取较小的作为限制。例如，某DataArts Studio实例下的数据服务专享版API总分配配额为5000，已分别创建了API规格为500和2000的两个集群，则当前实例下支持创建的专享版API最大数量为2500。 单工作空间下支持创建的专享版API最大数量由数据服务专享版API已分配配额（通过编辑工作空间信息分配）和当前空间下集群的API规格总和共同决定，取较小的作为限制。例如，某工作空间下的数据服务专享版API已分配配额为800，当前工作空间下已创建了API规格为500的两个集群，则当前工作空间下支持创建的专享版API最大数量为800。 单工作空间下支持创建的应用数量为1000。 单工作空间下支持创建的流控策略数量为500。 数据服务支持跟踪并保存事件。对于每个事件，数据服务会报告事件发生日期、说明、时间源（某个集群）等信息，事件保存时长为30天。 数据服务专享版日志信息仅查询集群最近100条访问记录，均分至集群全部所属节点中获取。 总览中的调用趋势、发布趋势、调用比率 top5、调用时间 top5和调用次数 top5支持按照近12小时、近1天、近7天和近30天展示，总调用数为前7天数据总和（不含当天）。