限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

一个弹性IP可以给几个弹性云主机使用？ 一个弹性IP只能绑定一个弹性云主机使用。 弹性IP的分配策略是什么？ 新申请的弹性IP默认是随机分配。 为防止误删除操作，EIP存在24小时缓存机制，对于已释放过弹性IP的用户，24小时内会优先分配之前使用过的EIP。 如需申请新的弹性IP地址，建议您先申请新的EIP后再释放旧的EIP。 弹性IP时，是否可以指定IP地址？ 新申请的弹性IP默认是随机分配。对于已释放过弹性IP的用户，会优先分配之前使用过的EIP。 弹性IP是否会变化？ 不会改变。 弹性云主机关机和开机不影响弹性IP地址。 切换计费模式不影响弹性IP的地址。 若因资源到期或欠费可能会导致EIP被释放。 如何查询弹性IP归属地？ 如您需查询已购买EIP资源的归属地，可通过第三方网站进行查询，例如： 。 第三方网站可能会有IP地址数据库更新不及时的情况，会出现查询结果与实际区域不同的情况，请酌情选择。 如果其他第三方网站的查询结果和 。 带宽是否支持跨帐号使用？ 带宽不支持跨帐号使用。每个用户只能使用并管理自己的EIP带宽（独享带宽）及共享带宽。

本节介绍了容器镜像服务: Dockerfile高效编写指引。 概述 Docker依赖Dockerfile来自动构建镜像。Dockerfile的语法虽然简单，但是如何编写Dockerfile来减小镜像大小并加快镜像构建速度却需要实践经验的累积。本节介绍Dockerfile编写的一些最佳实践，以帮助编写出高效的Dockerfile。 通过.dockerignore排除文件 Docker在构建镜像时，会将Dockerfile目录中的所有文件收集到进程中。对于不需要参与构建的文件，可以通过.dockerignore文件来进行排除，从而减小镜像的大小。.dockerignore的语法类似.gitignore，示例如下: plaintext .git/ nodemodules/ 该示例排除了Dockerfile目录中的.git和nodemodules两个文件夹。 容器只运行单个应用 Docker虽然支持运行多个进程，例如将前端、后端和数据库都运行在一个Docker容器中，但这样做会带来一些问题： 构建时间长，修改某个应用导致整体重新构建 镜像体积大 不同应用所需资源不同，扩展时导致资源浪费 因此，最好将服务拆分成不同的应用，对每个应用单独进行镜像构建和部署。例如一个依赖node.js和MySQL的服务的Dockerfile原本需要安装两者的依赖： plaintext RUN aptget install y nodejs mysql 进行拆分之后，node.js和MySQL服务可以单独部署。 node.js服务的Dockerfile包含： plaintext RUN aptget install y nodejs MySQL服务的Dockerfile包含： plaintext RUN aptget install y mysql

本章节介绍云容器集群节点磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、有状态应用（如数据库Pod）的批量写入、大数据文件读写或底层存储介质的性能瓶颈，都可能导致云容器引擎（CCE）节点的磁盘 IO 饱和。这种情况会直接造成 Pod 的请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

本文介绍数据导出，数据导出旨在帮助您将数据从数据库中导出并以可用于其他用途的格式保存。无论您是企业所有者、数据分析师还是普通用户，数据导出都将是您获取和共享信息的重要工具。 主要特点 灵活的数据格式选择 数据导出功能支持多种常见的数据格式：CSV（逗号分隔值）、EXCEL、SQL、TXT、JSON文件。您可以根据需要选择最适合您工作流程的格式。 支持多种导出类型 整库导出，部分表导出，集合导出，也可以输入SQL语句或查询语句进行定制导出确保只导出您所需的数据，避免不必要的信息冗余。 支持大规模数据导出 当前支持最大数据量100万行，确保高效率、高质量的数据导出。对于MongoDB/DDS数据源，当前支持最大数据量10万行。 友好的用户界面 数据导出功能的用户界面简单直观，即使您不是技术专家，也能轻松上手使用。 应用场景 业务报告与分析： 通过导出数据，您可以生成详细的业务报告和数据分析，为管理层提供决策依据。 数据迁移： 在更换系统或平台时，数据导出可以帮助您将旧数据迁移到新系统中。 数据备份： 将数据导出为可读格式，可以作为紧急备份，防止数据丢失。 数据共享与合作： 将数据导出后，可以与合作伙伴或团队共享数据，推动合作与项目进展。 数据分析与挖掘： 通过导出数据到分析工具，您可以深入挖掘数据，发现潜在的模式和见解。

本文介绍数据导出工单列表页相关操作，数据导出工单列表支持查看导出任务的工单状态与结果。 前提条件 登录DMS控制台。 注意事项 数据导出工单列表页仅展示自己提交的工单。 操作步骤 1. 登录数据管理服务DMS。 2. 在左侧导航栏，点击开发空间>数据导出 ，进入数据导出工单列表页。 数据导出工单列表页功能介绍 工单查询 输入查询条件点击查询按钮，执行查询操作。 数据导出 点击数据导出 按钮可添加新的数据导出任务，详见提交导出任务。 详情 在工单列表找到目标工单，在操作列点击详情按钮，在打开的工单详情页面可查看目标工单的详细信息。 数据导出工单详情页面，包含基础信息、任务状态、预检查、审批流程四个部分。 基础信息 以下表格为基础信息部分说明： 内容 说明 工单类型 展示工单是数据导出类型。 创建人 工单的创建用户。 工单状态 工单的当前状态。 工单号 系统生成的工单唯一id。 创建时间 工单保存到系统的时间。 最后操作时间 工单状态的最后更新时间。 库/模式信息 导出任务对应的目标库/模式信息。 导出类型 导出工单指定的类型，可在创建导出工单时选择。 表名 导出工单指定的数据库表名称，可在创建导出工单时选择。 导出文件类型 导出工单指定的文件类型，可在创建导出工单时选择。 工单说明 说明信息，可在创建导出工单时填写。

本章介绍函数工作流如何配置环境变量。 概述 环境变量可以在不修改代码的情况下，将动态参数传递到函数，调整函数的执行行为。 应用场景 区分多环境：相同的函数逻辑，可根据部署环境的不同，配置不同的环境变量以区分。例如，通过环境变量给测试和开发环境配置不同的数据库。 配置加密：函数中访问其他服务的认证信息，例如账号和密码，ak/sk，可通过配置加密环境变量，在代码中动态获取，保证敏感数据的安全。 动态配置：函数逻辑中需要动态调整的配置，例如查询周期、超时时间，可提取为环境变量避免业务每次变化都需要修改代码。 操作步骤 设置FunctionGraph函数的加密配置和环境变量，无需对代码进行任何更改，可以将设置动态参数传递到函数代码和库。 添加环境变量 例如Node.js语言加密配置和环境变量的值(value)可以通过Context类中的getUserData(string key)获取。 注意 设置加密配置、环境变量时，用户自定义的键(key)/值(value)，键(key)输入规范：可包含字母、数字、下划线，以大/小写字母开头。 设置“键”和“值”的总长度不超过4096个字符。 设置环境变量时，FunctionGraph会明文展示所有输入信息，请不要输入敏感信息（如帐户密码等），以防止信息泄露。 打开加密开关之后，界面上会对键值进行加密，参数传输过程中键值也处于加密状态。

接口描述 查询单个租户下开通的Postgresql实例的详细信息。 请求方法 GET URI /v1/product/getpaasproduct 请求参数 名称 位置 类型 必选 说明 prodInstId query Long 是 实例id 响应参数 名称 二级子节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 alive Integer 实例是否存活 createTime Long 创建时间 diskSize Integer 实例数据最大磁盘空间，单位G diskType String 磁盘类型，例如：SATA，SSD expireTime Long 过期时间 machineSpec String 实例机器规格 netName String VPC名称 orderId Integer 订单ID outerProdInstId String 对外的实例ID，对应PaaS平台 parameterGroupUsed String 参数配置所使用的名称，对应PaaS平台 prodDbEngine String 数据库实例引擎 prodId Long 固定值:10001001 prodInstFlag String 实例标识 prodInstId Long 实例ID，组件侧唯一ID prodInstName String 实例名称 prodInstSetName String 实例集群名称 prodOrderStatus Integer 订单处理结果 0>normal, 1>frozen, 2>delete, 3>running, 4>failed prodRunningStatus Integer 实例当前的运行状态 0>running, 1>restarting, 2backuping, 3>recoverying， 4> modifying params， 5>use param group， 6>expand preprocess, 7>expand finish， 8>modifying port, 9>switching master or slave each other prodType Integer 实例部署方式0：单机部署1：集群部署 readPort Integer 实例读端口 securityGroup String 安全组名称 subnet String 子网名称 tenantId String 租户ID tplCode String 对应PaaS平台Skucode tplName String userId Long 用户ID vip String 实例集群VIP vip6 String vpcId String VPCID writePort integer 写端口

业务场景 一般是现有系统已经存在瓶颈，热点查询业务首先迁移到缓存。数据的变更还是在数据库，对新的业务系统不透明。 业务要求 数据由其他可靠性存储设备保存，缓存只保存热点数据 通过设置缓存失效时间来保证缓存更新 缓存数据不存在则重新获取 增加数据核对工具异步刷新缓存 需求分析 1. 建立用户、建立redis数据分区、建立访问分区，选择热点存储模版（刷盘策略、主从同步策略不一样）； 2. 建立环境后，建立分组（表），根据开发示例验证分组可用； 3. 缓存API使用可以参考开发示例代码； 4. 使用api设置缓存key超时时间； 5. 缓存使用加载可以参考热key的缓存构建； 6. 使用定时任务扫描数据源获取增量更新数据修改缓存或者在数据变更事件发送的业务代码处更新缓存。 需要注意的问题：缓存穿透 可靠性存储的方案 若配置数据对数据一致性要求较高或者热点变化非常频繁可以考虑可靠性存储场景来设计，但此方案需要业务数据的修改透明，能整体迁移到缓存。如下缓存部分的设计将变的简单 业务要求： 数据由缓存保存，不允许丢失。 需求分析：配置类数据可以整体当次热点数据，存放在缓存，简化系统架构方案 建立redis数据分区，选择持久化存储模版（刷盘策略、主从同步策略不同）； 缓存API使用可以参考开发示例代码。

sectiond5fe908f46ffb8e3) 分隔符 Nginx 结构化模板 结构化后的日志数据可理解为数据库中的二维表，接下来就可以使用SQL语句对提取的字段进行查询与分析。 说明 1. 如果结构化后的字段长度超过20k字节时，仅会保留前20k字节长度。 2. 结构化不支持的系统字段包括：groupName、logStream、lineNum、content、logContent、logContentSize、collectTime、category、clusterId、clusterName、containerName、hostIP、hostId、hostName、nameSpace、pathFile、podName。 4. 开启自定义日志时间。 5. 完成后，单击“保存”。 修改结构化配置 结构化配置创建完成后，如果您需要修改结构化配置时，操作步骤如下： 1. 在结构化配置页面中，单击，可修改结构化配置。 说明 1. 修改结构化配置支持修改结构化方式、日志提取字段和tag字段等。 2. 系统模板不支持修改。 2. 完成后，单击“保存”。 删除结构化配置 如果日志结构化配置不再使用，可以删除结构化配置，操作步骤如下： 1. 在结构化配置页面中，单击，可删除结构化配置。 2. 在弹出对话框中，单击“确定”。 说明 删除结构化配置后，无法恢复，请谨慎操作。

执行数据导入 1.在DWS数据库中，创建一个名为productinfo的表，用于存储从OBS导入的数据。 DROP TABLE IF EXISTS productinfo; CREATE TABLE productinfo ( productprice integer not null, productid char(30) not null, producttime date , productlevel char(10) , productname varchar(200) , producttype1 varchar(20) , producttype2 char(10) , productmonthlysalescnt integer , productcommenttime date , productcommentnum integer , productcommentcontent varchar(200) ) WITH ( orientation column, compressionmiddle ) DISTRIBUTE BY hash (productid); 2.执行INSERT命令，通过外表productinfoext将OBS上的数据导入到目标表productinfo 中： INSERT INTO productinfo SELECT FROM productinfoext; 3.执行SELECT命令查询目标表productinfo，查看从OBS导入到DWS中的数据。 SELECT FROM productinfo; 查询结果的结尾将显示以下信息： (20 rows) 4.对表productinfo执行VACUUM FULL。 VACUUM FULL productinfo; 5.更新表productinfo的统计信息。 ANALYZE productinfo; 清除资源 1.如果执行了导入数据后查询数据，请执行以下命令，删除目标表。 DROP TABLE productinfo; 当结果显示为如下信息，则表示删除成功。 DROP TABLE 2.执行以下命令，删除外表。 DROP FOREIGN TABLE productinfoext; 当结果显示为如下信息，则表示删除成功。 DROP FOREIGN TABLE

本章节主要介绍使用GDS从远端服务器导入数据的最佳实践。 教程指引 本教程旨在演示使用GDS（General Data Service）工具将远端服务器上的数据导入DWS中的办法，帮助您学习如何通过GDS进行数据导入的方法。 在本教程中，您将： 生成本教程需要使用的CSV格式的数据源文件。 将数据源文件上传到数据服务器。 创建外表，用于对接GDS和DWS，及将数据服务器上的数据引流到DWS集群中。 启动DWS并创建数据库表后，将数据导入到表中。 根据错误表中的提示诊断加载错误并更正这些错误。 准备ECS作为GDS服务器 创建Linux弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“创建弹性云主机”。创建后，请参见《弹性云主机用户指南》中的“登录Linux弹性云主机”章节进行登录。 说明 l ECS操作系统必须是GDS工具包所支持的操作系统。 l ECS与DWS处于同一区域、同一虚拟私有云和子网。 l ECS安全组规则需放通DWS集群的访问，即安全组入规则： l 协议：TCP l 端口范围：5000 l 源地址：选择“IP地址”，输入DWS 集群地址，例如“192.168.0.10/32”。 l ECS内部如果启用了防火墙，需要保证防火墙打开了GDS服务的监听端口： iptables I INPUT p tcp m tcp dport j ACCEPT

本文主要介绍边缘裸金属服务器挂载NFS协议类型的文件存储的方案。 应用场景 边缘裸金属服务器挂载文件存储，可以有多个应用场景，例如在数据密集型处理场景中，如气象数据分析、基因测序等，可将大量数据存储于文件存储，供多台边缘裸金属服务器快速读取和写入，提升数据处理效率。在需要共享存储的分布式计算场景里，如分布式数据库集群，通过挂载文件存储，各边缘裸金属服务器节点可共享配置文件、数据文件等资源，保障集群协同工作。 文件存储可提供高带宽、低延迟的数据访问，满足边缘裸金属服务器对存储性能的要求： 高可用性，文件存储具备冗余机制，能有效保障数据安全与业务连续性。 扩展性强，可依据业务增长灵活扩展存储容量，无需中断服务。 易于管理，集中化存储便于统一管理监控，降低运维难度。 前提条件 边缘裸金属服务器需和文件存储网络互通，需要采用 underlay vpc 网络。创建 underlay vpc 流程如下： 1. 登录ECX控制台。 2. 点击左侧【边缘网络】，选择【虚拟机私有云 > vpc和子网】 3. 点击【+创建虚拟私有云】，在基础信息中，类型需要选择为underlay，子网类型为underlay并填写规划好的 vlan 号。 创建边缘裸金属服务器和文件存储时，均要选择对应创建的 underlay vpc 网络。

监控概览为您提供了资源总览、告警统计、主机监控、网络监控、存储监控等 监控概览为您提供了资源总览、告警统计、主机监控、网络监控、存储监控等。通过查看监控概览，让您实时了解各云服务的资源使用情况和告警情况。 资源总览 资源总览展示您当前账户下弹性云主机，关系型数据库、弹性公网IP和带宽、云硬盘、对象存储服务等云服务资源总数以及告警数，方便您快速了解云服务资源的运行情况。 告警统计 告警统计提供最近7日告警趋势图、当前不同等级告警条数统计。 单击不同告警等级的规则条数，可以跳转至告警规则页面，显示所有该告警等级的所有告警规则。 主机监控 主机监控展示当前所有弹性云主机的CPU利用率分布图、最近五分钟CPU利用率Top5，方便您查看当前弹性云主机的CPU使用情况。 单击不同CPU利用率的弹性云主机，可跳转到基础监控图表页面。 网络监控 网络监控展示当前弹性公网IP和带宽的出网带宽与入网带宽最近1小时的网络速率，方便您了解网络使用情况。 入网带宽：统计测量对象入云平台的网络速度。 出网带宽：统计测量对象出云平台的网络速度。 存储监控 存储监控展示磁盘最近5分钟读写带宽之和与最近5分钟读写IOPS之和，方便您了解磁盘使用情况。

本节主要介绍实时同步 DRS支持直接同步不同schema的表到同一个schema吗 DRS支持直接同步不同schema的表到同一个schema，表不可以冲突。 DRS实时同步支持使用Online DDL工具吗 DRS MySQL到MySQL的表级增量同步支持使用Online DDL工具进行加减列的操作，需注意以下几点： 因为DRS同步机制和工具的冲突，在同步任务的“设置同步”页面，选择对象同步范围时，不能勾选“增量DDL”项。 使用Online DDL工具进行加列操作时，需先在目标库执行，然后在源库执行。 使用Online DDL工具进行减列操作时，需先在源库执行，再在目标库执行。 常见Online DDL工具： ptonlineschemachange ghost 源库Oracle为RAC集群时，为什么建议使用SCAN IP连接 源库Oracle为RAC集群时，建议使用SCAN IP+ SERVICENAMES方式创建任务，因为SCAN IP具有更强的容错性，更好的负载能力，更快的同步体验。 如果需要使用SCAN IP，需要保证SCAN IP与源库的所有VIP互通，否则无法通过测试连接检查。 若不使用SCAN IP，可以使用某一节点的VIP，其他节点异常不影响同步。 关于SCAN IP的说明，可参考Oracle官网文档。 源库Oracle补全日志检查方法 Oracle数据库在Physical Standby模式下，日志会从主库直接复制，而自身不产生任何日志。针对Oracle为源的增量同步链路，DRS需要用户提前手动在主库检查补全日志是否符合要求，以保证任务的正常运行。以下检查和设置方法中， 表级：针对指定表的设置。 库级：指整个数据库级别的设置。 PK/UI：每一行日志中除了记录变更的列以外，还额外记录了该行中主键和唯一键的值。 ALL：每一行日志中记录了该行所有列的值。 以下三项检查，满足其中一项即可符合DRS增量同步的基本要求。 表级补全日志PK/UI检查（最低要求） 针对用户选择的待同步的表级对象，检查补全日志是否满足要求。 步骤 1 在源库中执行以下sql语句。 select from ALLLOGGROUPS where (LOGGROUPTYPE'UNIQUE KEY LOGGING' or LOGGROUPTYPE'PRIMARY KEY LOGGING') and OWNER'大写SCHEMA名' and TABLENAME'大写表名'; 该表名在查询结果中能同时对应到LOGGROUPTYPE值为UNIQUE KEY LOGGING和PRIMARY KEY LOGGING的两条记录，即可满足DRS增量同步要求。 步骤 1 如果不满足要求，可执行以下sql语句开启表级PK/UI级别补全日志。 alter database add supplemental log data; alter table SCHEMA名.表名add supplemental log data(primary key,unique) columns; 表级补全日志ALL检查 针对用户选择的待同步的表级对象，检查补全日志是否满足要求。 步骤 2 在源库中执行以下sql语句。 select from ALLLOGGROUPS where LOGGROUPTYPE'ALL COLUMN LOGGING' and OWNER'大写SCHEMA名' and TABLENAME'大写表名'; 该表名在查询结果中有记录，即可满足DRS增量同步要求。 步骤 2 如果不满足要求，可执行以下sql语句开启表级ALL级别补全日志。 alter database add supplemental log data; alter table SCHEMA名.表名add supplemental log data(all) columns; 库级补全日志检查 针对待同步的库级对象，检查补全日志是否满足要求。 步骤 3 在源库执行以下sql语句。 select SUPPLEMENTALLOGDATAMIN MIN, SUPPLEMENTALLOGDATAPK PK, SUPPLEMENTALLOGDATAUI UI, SUPPLEMENTALLOGDATAALL ALLLOG from v$database; 步骤 3 满足以下其中一项要求即可。 PK和UI同时为YES，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启库级PK/UI级别补全日志。 alter database add supplemental log data(primary key, unique) columns; ALLLOG为YES，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启库级ALL级别补全日志。 alter database add supplemental log data(all) columns;

preventdestroy 当您将 preventdestroy 参数设置为true时，Terraform将会阻止对此资源的删除操作并返回错误。这个元参数可以作为一种防止因意外操作而重新创建成本较高实例的安全措施，例如数据库实例。如果要删除此资源，需要将这个配置删除后再执行 destroy 操作。 java lifecycle { preventdestroy true } ignorechanges 默认情况下，Terraform plan/apply 操作将检测云上资源的属性和本地资源块中的差异，如果不一致将会调用更新或者重建操作来匹配配置。您可以用 ignorechanges 来忽略某些参数不进行更新或重建。ignorechanges 的值可以是属性的相对地址列表，对于 Map 和 List 类型，可以使用索引表示法引用，如 tags["Name"]，list[0] 等。 java resource "ctyunecs" "ecsexamples" { ... lifecycle { ignorechanges [ instancename, ] } } 此时，Terraform 将会忽略对 instancename 参数的修改。除了列表之外，您也可以使用关键字 all 忽略所有属性的更新。 java resource "ctyunecs" "ecsexamples" { ... lifecycle { ignorechanges all } } replacetriggeredby Terraform 1.2版本新增，当任何引用项发生更改时，替换资源。 java resource "ctyunecs" "ecsexamples" { ... lifecycle { replacetriggeredby [ ctyunvpc.vpcexample.id ] } }

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

本页为您介绍数据传输服务DTS的功能特性。 核心功能 结构迁移/同步 MySQL>MySQL：支持表、视图、函数、存储过程、索引作为迁移/同步对象的自动结构搬迁。 MySQL> PostgreSQL：支持表结构等。 MySQL> ClickHouse：支持表、用户数据库等。 PostgreSQL>PostgreSQL：支持表、视图、函数、存储过程以及序列等。 PostgreSQL>MySQL：支持表、部分索引、约束、comment、库等。 DDS/MongoDB>DDS/MongoDB：支持库、集合、索引等。 SQL Server>SQL Server：支持库、模式、分区表、索引、约束（外键、唯一、排他）、视图、存储过程、函数、触发器等。 全量迁移/同步 对存量数据提供高效、完整的全量搬迁服务。DTS全量任务支持流模式和批模式灵活切换。流模式适用性广（不要求有主键），且更稳定。批模式性能更高，但要求有主键，且对内存大小有要求。DTS默认工作在流模式下。 增量迁移/同步 监听源库实时产生的增量数据，形成持续传输的数据流到目标库。增量迁移支持不停机完成整库迁移，大大减少用户关键业务的停服时间。 预检查 通过三十余项的迁移/同步预检查，第一时间排查问题，极大降低迁移过程出现问题的风险。 ETL特性处理 名称映射 支持库、表、列三级映射，变更迁移对象在目标实例中的库名、表名和列名，且支持批量变更，操作方便。

端口 协议 说明 21 FTP FTP服务开放的端口，用于上传和下载文件。 22 SSH SSH端口，用于远程连接Linux弹性云主机。 23 Telnet Telnet端口，用于通过Telnet协议远程登录弹性云主机。 25 SMTP SMTP服务器开放的端口，用于发送邮件。 80 HTTP 使用HTTP协议访问网站。 110 POP3 使用POP3协议接收邮件。 143 IMAP 使用IMAP协议接收邮件。 443 HTTPS 使用HTTPS服务访问网站。 1433 SQL Server SQL Server的TCP端口，用于供SQL Server对外提供服务。 1434 SQL Server SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 1521 Oracle Oracle通信端口，弹性云主机上部署了Oracle SQL需要放行的端口。 3306 MySQL MySQL数据库对外提供服务的端口。 3389 Windows Server Remote Desktop Services Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云主机。 8080 代理 同80端口一样，8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上:8080 。安装Apache Tomcat服务后，默认服务端口为8080。 137、138、139 NetBIOS NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

APM的应用详情包括各类应用性能指标集的各种可视化图表展示。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用详情」，您可以在应用详情页面切换至不同页签，查看该应用实例相应的指标信息。 指标集 当前已支持指标集见下表，实际展示取决于所选应用是否接入相关服务并产生过数据上报。 类型 内容 JVM监控 内存、GC、线程 其他基础监控 资源监控、Netty内存、Java方法 数据库监控 MySQL、ClickHouse、Postgresql（即将上线）、Elasticsearch、MongoDb、DBCP连接池、Druid连接池、C3P0连接池 缓存监控 Redis、Jedis、Lettuce 消息监控 kafkaConsumer、KafkaProducer、RabbitMqConsumer、RabbitMqProducer Web容器 Tomcat 异常错误分析 异常分析、错误分析 上下游分析 上游应用、下游应用 显示类型 图 通常用于显示趋势图，表示某些指标在筛选时间段内的趋势变化。 （1）单图 （2）双图 如果某个周期内未采集到数据，将会进行补0显示，效果呈现为横坐标为0的横线（或断点）。 支持放大操作。

本节包含了通用计算增强型C3弹性云主机的概述、规格、适用场景。 概述 C3型弹性云主机是新推出的一系列性能更高、计算能力更稳定的弹性云主机规格，搭载英特尔® 至强® 可扩展处理器，配套高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 类型 CPU基频/睿频 CPU型号 ::: C3 3.0GHz/3.4GHz 6151(72HT) 适用场景 对稳定性要求较高的中小型数据库、缓存和搜索集群，以及多种类型和规模的企业级应用场景。 规格 表 C3型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 虚拟化类型 ::::::: c3.large.2 2 4 1.5/0.6 30 2 KVM c3.xlarge.2 4 8 3/1 50 2 KVM c3.2xlarge.2 8 16 5/2 90 4 KVM c3.4xlarge.2 16 32 10/4 130 4 KVM c3.8xlarge.2 32 64 15/8 260 8 KVM c3.15xlarge.2 60 128 17/16 500 16 KVM c3.large.4 2 8 1.5/0.6 30 2 KVM c3.xlarge.4 4 16 3/1 50 2 KVM c3.2xlarge.4 8 32 5/2 90 4 KVM c3.4xlarge.4 16 64 10/4 130 4 KVM c3.8xlarge.4 32 128 15/8 260 8 KVM c3.15xlarge.4 60 256 17/16 500 16 KVM

本文介绍分布式缓存经典版的产品规格 注意 经典版为白名单特性，暂停开放使用，可选择基础版规格替代。 本节介绍分布式缓存经典版的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽（Gbps）、DB数等。 内存：您可以通过在控制台节点管理列表查看各节点剩余内存，具体操作请参考查看Redis集群信息。 连接数上限：连接并发数，表示允许客户端同时连接的个数。您可在控制台中查看具体实例的连接数，具体操作请参考基本指标。连接数上限可在实例创建后支持在控制台中修改，具体操作请参考接入机配置。 QPS：即Query Per Second，表示Redis实例每秒执行的命令数。 带宽限制：表中的带宽值是Redis实例单分片的带宽，Redis实例的网络传输能力的上限带宽分别应用于上行带宽和下行带宽，如果某规格的带宽为0.8Gbps，则该规格实例的上下行带宽都是0.8Gbps。 表中的带宽为内网带宽。外网带宽取决于内网带宽，同时受到Redis实例与客户端之间的网络带宽限制，建议使用内网连接方式，排除外网影响，发挥最大的带宽性能。 DB数：Redis可提供的数据库最大数量。

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文介绍敏感数据保护功能提供的识别任务。 前提条件 用户需要具有进入敏感数据保护页面的菜单权限，菜单权限参考权限说明。 敏感数据保护为企业版功能，请切换到DMS企业版后使用该功能，切换步骤及实例注意事项详见版本说明。 当前仅支持MySQL、PostgreSQL、SQL Server、DRDS数据库。 操作步骤 1. 登录数据管理服务DMS系统。 2. 在左侧菜单栏依次点击 数据资产> 敏感数据保护 。 3. 在敏感数据保护页面中，选择识别任务页签。 注意事项 组织版本由基础版切换为企业版时，需要超级管理员补充托管的账密。 识别任务在未生效时，允许具备权限的用户配置识别任务的识别结果，并生效识别结果。 识别任务已生效时，只允许查看、删除识别任务及其识别结果，不允许配置、生效识别结果。 功能介绍 查看识别任务列表 当用户需要查看或者操作识别任务时，可以查看识别任务列表，选中识别任务的功能按钮进行配置、删除、查看详情操作。 登录数据管理服务。 在左侧菜单栏中，选择数据资产> 敏感数据保护，进入敏感数据保护页面。 在顶部菜单栏中，选择识别任务页签，进入识别任务页面。 在识别任务页面，用户可以查看识别任务列表，支持按照实例、任务类型、任务状态过滤，支持按照字段名、表名关键字模糊搜索。

本小节主要介绍RDSPostgreSQL的teledbfirewall插件使用方法。 操作场景 RDSPostgreSQL支持 teledbfirewall插件，用于PostgreSQL的SQL黑名单扩展，旨在保护来自 SQL 注入或意外查询的数据库。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 注意事项 1. 只支持explain verbose 可以输出的语句DML。 2. 安装插件后，可在管理控制台设置teledbfirewall.firewall参数并重启实例，详情请参见修改RDSPostgreSQL实例参数。 teledbfirewall.firewall取值如下： disable：关闭模式 blacklist：黑名单模式 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS teledbfirewall; 卸载插件 sql DROP EXTENSION IF EXISTS teledbfirewall; 使用示例 sql 1. 首先使用explain verbose xxx; 获取对应sql的query id explain verbose select count(1) from pgclass; 2. 使用函数 teledbappendblacklist 将获取的query id添加到黑名单中 select teledbappendblacklist(3307043014); 3. 查看当前黑名单内容 select from teledbfirewall.firewalltable; select from teledbfirewall.teledbfirewallstatements ; 4. 使用函数 teledbremoveblacklist(); 将对应id从黑名单中移除 select teledbremoveblacklist(3307043014);

本文介绍GPU云主机相关的名词概念。 概念 介绍 GPU 图形处理器（Graphics Processing Unit）。相比CPU具有众多计算单元和更多的流水线，适合用于大规模并行计算等场景。 CUDA NVIDIA推出的通用并行计算架构，帮助您使用NVIDIA GPU解决复杂的计算问题。 cuDNN NVIDIA推出的用于深度神经网络的GPU加速库。 镜像 提供了运行实例所需的信息，包括操作系统、初始化应用数据等。 地域和可用区 实例和其他资源的部署物理位置。 SSH密钥对 一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。 安全组 一种虚拟防火墙，您可以基于安全组控制实例的入流量和出流量。 弹性网卡 一种独立的虚拟网卡，可以绑定到弹性云主机或从弹性云主机解绑，实现业务的灵活扩展和迁移。 云硬盘 可弹性扩展的块存储设备，可以用作实例的系统盘或可扩展数据盘使用。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘。 VPC 虚拟私有云（Virtual Private Cloud）。为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助用户灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

灵活的数据抽取 用户可基于自身需要，可灵活配置数据抽取的增量条件，数据脱敏系统可支持的增量条件包括但不限于：基于时间戳、基于主键或唯一键、基于分区或分片。 水印溯源 支持多种数据水印格式，包括并不限于伪行水印、伪列水印、脱敏水印、内容修改水印、零宽水印： 伪行 伪列水印：通过添加配置比例的数据行或数据列来插入水印信息，当数据泄漏后，通过提取伪行 伪列水印信息来进行泄漏追溯。 脱敏水印：支持基于数据本身特征脱敏水印方式，不影响业务逻辑的同时能有效的避免了水印数据被绕开。 内容修改水印算法：适用于不能影响数据的业务含义并具有较强的业务使用或分析需求的场景，同时隐蔽性要求高。 零宽水印算法：在常见办公软件（office等）或数据库管理软件（dbeaver等）打开时是不可见的，在可视宽度上是不可感知的，不易单独选中。更适用于以文件形式发放数据，在文件中的数据内容中添加水印的场景。

本文为您介绍查看容灾管理中心详情的具体操作。 操作场景 在您创建了容灾管理中心后，可以通过多活容灾服务控制台查看您创建的容灾管理中心的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表中的名称，进入容灾管理中心详情页。 6. 在基础信息部分，可以查看容灾管理中心名称、命名空间、容灾管理中心ID、容灾形态、创建时间、描述信息。 7. 在网络信息部分，可以查看容灾管理中心的虚拟私有云、子网、安全组，以及绑定的ELB、EIP。 8. 在计费信息部分，可查看计费模式，如果计费模式选择的是包年包月，则还查看到期时长。 9. 在分区资源状态部分，查看各分区网络状态、资源同步状态，以及接入的云主机、数据库、存储资源。包含分区的内网状态、公网状态。其中，图标代表可用，图标代表不可用。

优势 多源数据分析免搬迁：关系型数据库RDS中存放车辆和车主基本信息，表格存储中存放实时的车辆位置和健康状态信息，数据仓库DWS中存放周期性统计的指标。通过DLI无需数据搬迁，对多数据源进行联邦分析。 数据分级存储：车企需要保留全量历史数据支撑审计类等业务，低频进行访问。温冷数据存放在低成本的对象存储服务OBS上，高频访问的热数据存放在数据引擎（DWS）中，降低整体存储成本。 告警快速敏捷触发服务器弹性伸缩：对CPU、内存、硬盘空间和带宽无特殊要求。 建议搭配以下服务使用： CDM、OBS、DWS。 大数据ETL处理 运营商大数据分析 运营商数据体量在PB~EB级，其数据种类多，有结构化的基站信息数据，非结构化的消息通信数据，同时对数据的时效性有很高的要求，DLI服务提供批处理、流处理等多模引擎，打破数据孤岛进行统一的数据分析。 优势 大数据ETL：具备TB~EB级运营商数据治理能力，能快速将海量运营商数据做ETL处理，为分布式批处理计算提供分布式数据集。 高吞吐低时延：采用Apache Flink的Dataflow模型，高性能计算资源，从用户自建的Kafka、MRSKafka、DMSKafka消费数据，单CU每秒吞吐1千~2万条消息。 建议搭配以下服务使用： OBS、DataArts Studio。