参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 迁移模式 迁移任务运行模式 选择创建迁移任务的模式，支持全托管模式和半托管模式。 说明： 全托管模式：迁移任务将在服务端执行，适合数据量在10TB以内，或对迁移耗时没有紧急诉求的客户。 半托管模式：迁移任务将运行在客户自己的设备上，客户可通过提供更高的网络带宽和更多的迁移设备，实现更高速的迁移，适合数据量在10TB以上，或对迁移耗时有明确诉求的客户。 注意 半托管迁移模式依赖您已经部署完成代理，代理设备与迁移服务服务端连通，否则无法创建半托管模式的迁移任务。 若您想使用半托管模式进行迁移，可阅读 迁移模式 选择执行本任务的代理设备 选择执行本任务的代理设备，迁移任务将会下发给指定的代理设备用于执行迁移。 说明 仅能选择“已连接”状态，且有“可用”状态worker节点的代理。 选择源端 源端 选择源端数据的服务提供方。 说明 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 注意 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定对象、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定对象 ：选择“指定对象”时，将会迁移选中的对象。最大支持指定100个对象。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。 选择源端 迁移晚于起始时间的对象 选择该选项时，用户可配置“ 起始时间 ”，任务将仅迁移最后修改时间晚于该“ 起始时间 ”的对象。 选择源端 迁移早于终止时间的对象 选择该选项时，用户可配置“ 终止时间 ”，任务将仅迁移最后修改时间早于该“ 终止时间 ”的对象。 注意 若您同时设定“ 起始时间 ”和“ 终止时间 ”，限制“ 终止时间 ”需晚于（不包含等于）“ 起始时间 ”。 选择目的端 目的端 指定为天翼云对象存储ZOS。 选择目的端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明 目的端为ZOS，您可在对象存储ZOS的bucket“概览域名信息”中找到终端节点（Endpoint）信息。 选择目的端 Access Key 输入您目的端的Access Key。 选择目的端 Secret Key 输入您目的端的Secret Key。 选择目的端 存储桶 输入您目的端的对象存储桶名称。 选择目的端 目的端指定前缀 是否在目的端指定前缀： 关闭 目的端指定前缀，则会将源端数据按原有目录结构迁移至目的端存储桶。 开启 目的端指定前缀，可为迁移至目的端的对象（或文件夹）增加指定的前缀，可分为“增加前缀”和“增加前缀目录”。 说明 说明： 增加前缀 ：若您输入的前缀不为目录，则为迁移的对象（或文件夹）增加该部分前缀。例如：指定源端桶 bucketA 的文件夹 bucketA/a/folder1 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test，则迁移至目的端后为 bucketB/Testa/folder1 。 增加前缀目录 ：若您输入的前缀为目录，则为迁移的对象（或文件夹）增加该部分前缀目录，实现将对象迁移至指定的目录下的效果。例如：指定源端桶bucketA的对象 bucketA/a/fileA.png 和 bucketA/b/fileB.png 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test/，则迁移至目的端后为 bucketB/Test/a/fileA.png 和 bucketB/Test/b/fileB.png 。 选择目的端 存储类型 选择迁移数据在目的端的存储类型，支持：匹配源端、标准存储、低频存储、归档存储。 说明 匹配源端 ：会自动匹配源端存储类型，与源端存储类型保持一致。但仅能自动匹配源端的“标准”和“低频”类型，匹配源端的“归档”或“深度归档”类型，请您务必提前对源端归档数据进行手动解冻，并确保迁移任务完成前数据保持解冻状态，否则该部分数据会迁移失败。 标准存储 ：将会存储为标准类型。 低频存储 ：将会存储为低频类型。 归档存储 ：将会存储为归档类型。 不同地域的对象存储ZOS bucket所支持的存储类型不一致，若您此处选择的存储类型，在您的目的端bucket所在地域并不支持，则迁移会失败。您可参考 选择目的端 ACL配置 选择迁移数据在目的端的ACL配置，支持：匹配源端、私有、公共读。 说明 匹配源端 ：会自动匹配源端的ACL配置，与源端保持一致。 私有 ：会将目的端ACL配置为私有。 公共读 ：会将目的端ACL配置为公共读。 高级选项 同名文件是否覆盖 选择迁移的同名文件处理策略，支持：同名文件不覆盖、同名文件全覆盖、按最后修改时间判断。 说明 不覆盖 ：对同名文件，不进行任何判断，一律执行跳过。 全覆盖 ：对于同名文件，不进行任何判断，一律执行覆盖。 按最后修改时间 ：对于同名文件，优先判断二者的Lastmodified（即最后修改时间），仅当源端文件相较目的端修改时间更新时，进行覆盖。若源端与目的端文件最后修改时间一致，则判断两者的文件大小，大小一致则执行跳过，大小不一致则执行覆盖。 注意 选择“ 全覆盖 ”将会覆盖您目的端的同名文件，被覆盖的文件无法被恢复，请您配置时慎重评估是否全覆盖，避免不必要的损失。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

本章节主要介绍数据架构示例。 DataArts Studio数据架构以关系建模、维度建模理论支撑，实现规范化、可视化、标准化数据模型开发，定位于数据治理流程设计落地阶段，输出成果用于指导开发人员实践落地数据治理方法论。 本章节操作场景如下： 对MRS Hive数据湖中的出租车出行数据进行数据模型设计。 数据库demosdidb中已具备出租车出行原始数据表sditaxitripdata。 原始数据表sditaxitripdata的数据字段介绍如下： 数据说明如下： 下表为出租车行程数据 序号 字段名称 字段描述 1 VendorID 供应商编号 取值如下： 1A Company 2B Company 2 tpeppickupdatetime 上车时间 3 tpepdropoffdatetime 下车时间 4 passengercount 乘客人数 5 tripdistance 行驶距离 6 ratecodeid 费率代码 取值如下： 1Standard rate 2JFK 3Newark 4Nassau or Westchester 5Negotiated fare 6Group ride 7 storefwdflag 存储转发标识 8 PULocationID 上车地点 9 DOLocationID 下车地点 10 paymenttype 付款方式代码 取值如下： 1Credit card 2Cash 3No charge 4Dispute 5Unknown 6Voided trip 11 fareamount 车费 12 extra 加收 13 mtatax MTA税 14 tipamount 手续费 15 tollsamount 通行费 16 improvementsurcharge 改善附加费 17 totalamount 总车费 数据架构的流程如下： 1. 准备工作 ： 添加审核人 ：在数据架构中，业务流程中的步骤都需要经过审批，因此，需要先添加审核人。只有工作空间管理员角色的用户才具有添加审核人的权限。 管理配置中心 ：数据架构中提供了丰富的自定义选项，统一通过配置中心提供，您需要根据自己的业务需要进行自定义配置。 2. 数据调研 ：基于现有业务数据、行业现状进行数据调查、需求梳理、业务调研，输出企业业务流程以及数据主题划分。 主题设计 ：通过分层架构表达对数据的分类和定义，帮助厘清数据资产，明确业务领域和业务对象的关联关系。 流程设计 ：本例暂不涉及。流程设计是针对流程的一个结构化的整体框架，描述了企业流程的分类、层级以及边界、范围、输入/输出关系等，反映了企业的商业模式及业务特点。 3. 标准设计 ：新建码表&数据标准。 新建码表并发布 ：通常只包括一系列允许的值和附加文本描述，与数据标准关联用于生成值域校验质量监控。 新建数据标准并发布 ：用于描述公司层面需共同遵守的属性层数据含义和业务规则。其描述了公司层面对某个数据的共同理解，这些理解一旦确定下来，就应作为企业层面的标准在企业内被共同遵守。 4. 模型设计： 应用关系建模和维度建模的方法，进行分层建模。 关系建模：新建SDI 层和DWI层两个模型 。 SDI ：Source Data Integration，又称贴源数据层。SDI是源系统数据的简单落地。 DWI ：Data Warehouse Integration，又称数据整合层。DWI整合多个源系统数据，对源系统进来的数据进行整合、清洗，并基于三范式进行关系建模。 维度建模：在DWR层新建并发布维度 & 维度建模：在DWR层新建并发布事实表。 DWR ：Data Warehouse Report，又称数据报告层。DWR基于多维模型，和DWI层数据粒度保持一致。 维度 ：维度是用于观察和分析业务数据的视角，支撑对数据进行汇聚、钻取、切片分析，用于SQL中的GROUP BY条件。 事实表 ：归属于某个业务过程的事实逻辑表，可以丰富具体业务过程所对应事务的详细信息。 5. 指标设计：新建并发布技术指标 ：新建业务指标（本例不涉及）和技术指标，技术指标又分为原子指标、衍生指标和复合指标。 指标 ：指标一般由指标名称和指标数值两部分组成，指标名称及其涵义体现了指标质的规定性和量的规定性两个方面的特点，指标数值反映了指标在具体时间、地点、条件下的数量表现。 业务指标用于指导技术指标，而技术指标是对业务指标的具体实现。 原子指标 ：原子指标中的度量和属性来源于多维模型中的维度表和事实表，与多维模型所属的业务对象保持一致，与多维模型中的最细数据粒度保持一致。 原子指标中仅含有唯一度量，所含其它所有与该度量、该业务对象相关的属性，旨在用于支撑指标的敏捷自助消费。 衍生指标 ：是原子指标通过添加限定、维度卷积而成，限定、维度均来源于原子指标关联表的属性。 复合指标 ：由一个或多个衍生指标叠加计算而成，其中的维度、限定均继承于衍生指标。 注意，不能脱离衍生指标、维度和限定的范围，去产生新的维度和限定。 6. 维度建模：在DM 层新建并发布汇总表 。 DM (Data Mart) ：又称数据集市。DM面向展现层，数据有多级汇总。 汇总表 ：汇总表是由一个特定的分析对象（如会员）及其相关的统计指标组成的。组成一个汇总逻辑表的统计指标都具有相同的统计粒度（如会员），汇总逻辑表面向用户提供了以统计粒度（如会员）为主题的所有统计数据（如会员主题集市）。

云硬盘性能计算公式说明 X系列云硬盘性能计算方法请参见X系列云硬盘。 以IOPS计算公式为例说明，单个云硬盘IOPS性能“单个云硬盘的最大IOPS”与“单个云硬盘的基线IOPS+每GB云硬盘的IOPS×云硬盘容量”的最小值。其中，“单个云硬盘的最大IOPS”是指单个云硬盘所能达到的IOPS最大上限，为读写IOPS的总和。“单个云硬盘的基线IOPS“是指单个云硬盘能获得的起步IOPS。”每GB云硬盘的IOPS“是指在基线IOPS之外，云硬盘每增加1GB容量能获得的IOPS。 这里以华东1超高IO云硬盘为例，天翼云单个超高IO云硬盘的最大IOPS为50,000，单个超高IO云硬盘的基线IOPS为1,800，每GB云硬盘的IOPS为50。 假设此块超高IO云硬盘的容量为100GB，则该云硬盘IOPS的性能为：“min{1,800+50×100，50,000}”，取6,800和50,000的最小值，最终此块云硬盘的IOPS性能为6,800。 假设此块超高IO云硬盘的容量为2,000GB，则该云硬盘IOPS的性能为：“min{1,800+50×2,000，50,000}”，取101,800和50,000的最小值，最终此块云硬盘的IOPS性能为50,000。 云硬盘的性能与数据块的大小密切相关。对于某个确定的数据块大小而言，当单个云硬盘的最大IOPS或最大吞吐量其中之一达到最大值时，此时云硬盘性能达到最大，另一项指标无法再继续增加。一般来讲，对于4KB或8KB这样的小数据块，云硬盘的性能可达到最大IOPS，而最大吞吐量无法达到；对于16KB及以上的大数据块，云硬盘的性能可达到最大吞吐量，而最大IOPS无法达到。 下表以通用型SSD云硬盘为例，说明云硬盘的性能与数据块大小之间的关系。 数据块大小 最大IOPS 最大吞吐量 4KB 约20,000 约78MB/s 8KB 约20,000 约156MB/s 16KB 约16,000 约250MB/s 32KB 约8,000 约250MB/s

第四步：在用户集群中部署Agent，反向连接接入到云上 进入【集群资源】>【集群管理】，在对应注册集群右侧点击【接入配置】按钮，然后选择【接入信息】标签页。 根据选择的接入方式，下载对应网络模式的接入部署配置文件，然后apply到用户集群中。 待相关workload拉起后，可登录【集群管理】控制台，确认注册集群状态是否已变更为【运行中】；集群状态运行中代表注册集群已接入成功。 注册集群到联邦控制面网络 第一步：规划集群联邦实例部署网络环境 首先，需要清楚需要联邦调度的成员集群(注册集群)在天翼云上的资源池及VPC分布信息。 其次，规划集群联邦实例部署资源池、VPC及子网，其中联邦实例资源池应尽量与成员注册集群资源池相同，或和大部分成员集群资源池相同，这样可以避免大量跨资源池网络互通带来的带宽成本。同样，若资源池和VPC均相同，可进一步降低网络互通成本。 具体可按实际情况规划，不同的规划只影响联邦和成员集群间的互通网络成本，不影响相关功能的使用。 第二步：订购集群联邦，或加入已有集群联邦，基于默认策略打通联邦到注册集群网络 控制台顶部切换到规划的集群联邦资源池，然后进入【容器舰队】>【联邦管理】页面，点击【创建联邦】进入联邦实例订购页面。 订购页中，VPC和子网选择规划好的数据，舰队选择包含相关注册集群的舰队实例，其他按需配置即可。 然后根据指引提交订单，最终确保相关联邦实例状态处于【运行中】即可。 在联邦实例关联舰队的同时，CCEOne后台将主动尝试将成员集群和联邦控制面之间网络打通并进行注册。其不同场景下网络打通默认策略如下： 成员集群与联邦实例网络模式 默认互联策略 是否允许用户修改 可选互联策略 同资源池同VPC VPC内网直接互联 否 同资源池跨VPC VPCE：后台将尝试创建将成员集群APIServer地址，以内网VPCE IP方式暴露给联邦实例所在网络 否 跨资源池 默认公网互联 要求联邦实例所在VPC具备主动访问公网能力，同时成员集群APIServer有绑定EIP暴露公网，并放通了来自联邦实例VPC的公网请求 是 云间高速内网

针对服务端报错问题进行诊断 诊断服务端报错问题 问题描述 网页抛错，尤其是5xx错误是互联网应用最常见的问题之一。5xx错误通常发生于服务端。服务端是业务逻辑最复杂，也是整条网络请求链路中最容易出错、出了错之后最难诊断原因的地方。运维工程师或研发工程师往往需要登录机器查看日志来定位问题。 对于逻辑不太复杂、上线时间不长的应用来说，登录机器查看日志的方式能够解决大部分网站抛错的问题。但在以下场景中，传统的问题诊断方式往往没有用武之地。 1. 在一个分布式应用集群中，需知道某一类错误的发生时间和频率。 2. 某系统已运行了很长时间，但是不想关心遗留的异常，只想知道今天和昨天相比、发布后和发布前相比多了哪些异常。 3. 查看一个异常对应的Web请求和相关参数。 4. 客服人员提供了一个用户下单失败的订单号，分析该用户下单失败的原因。 解决方案 为应用安装APM探针后，即可在不改动应用代码的情况下，利用应用性能监控的异常自动捕捉、收集、统计和溯源等能力，全面掌握应用的各种错误信息。 步骤一：安装APM探针 为应用安装APM探针后，才能对应用进行全方位监控。请根据实际需求选择一种方式来安装探针。 步骤二：查看关于应用异常的统计信息 为应用安装APM探针后，APM会收集和展示选定时间内应用的总请求量、平均响应时间、错误数、实时实例数、FullGC次数、慢SQL次数、异常次数和慢调用次数，以及这些指标和上一天的环比、上周的同比升降幅度。请按以下步骤查看应用异常的统计信息。 1. 在应用总览页面的概览页签下方，查看异常的总数、周同比和日同比数据，如下图所示。 2. 滑动页面至概览页签底部的统计分析区域的异常类型，查看各类型异常出现的次数，如下图所示。 3. 在导航栏，点击应用详情 ，选择异常错误分析，查看异常统计图、错误数、异常堆栈等，如下图所示。

对象存储(CTZOS,Zettabyte Object Storage)是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品,是专门针对云计算、大数据和非结构化数据的海量存储形态,通过S3协议和标准的服务接口,提供非结构化数据(图片、音视频、文本等格式文件)的无限存储服务。您可以通过为函数计算配置ZOS挂载,让函数使用ZOS可以实现类似本地文件系统的操作体验,从而简化资源访问和数据处理流程。 使用限制 函数计算在同一地域下的一个函数最多支持配置5个ZOS挂载点和5个NAS挂载点。 NAS挂载点和ZOS挂载点设置的函数运行环境中的本地目录不能冲突。 前提条件 对象存储 （CTZOS，Zettabyte Object Storage） 开通ZOS服务。 控制台创建存储空间。 函数计算 创建函数。 启用ZOS挂载功能时，需要传递对象存储的AK/SK。 操作步骤 步骤一：配置ZOS挂载 1. 登录函数计算控制台，在左侧导航栏，单击函数。 2. 在函数页面，点击目标函数，进入目标函数详情页。 3. 在目标函数详情页的上方导航栏，点击配置。 4. 在左侧导航栏，点击存储 选项卡，在ZOS对象存储 区域单击编辑 ，在编辑面板中配置以下参数，然后单击部署。 配置项 说明 示例 挂载ZOS对象存储 点击字段下方按钮，将展示配置内容，表示开启ZOS配置。 开启 AK ZOS服务的Access Key，可通过ZOS控制台查看。 SK ZOS服务的Secret Key，可通过ZOS控制台查看。 ZOS挂载点 填写ZOS挂载点的相关信息。 Bucket 选择已创建的ZOS Bucket。 ctZOSbucket Bucket子目录 设置Bucket中的子目录，必须为绝对路径。留空或设置为/表示挂载Bucket的根目录。 /files ZOS访问地址 选择Bucket后，默认选择该Bucket对应的访问地址。目前仅支持配置默认地址，即与函数计算的函数相同地域的Bucket的ZOS内网Endpoint。 默认地址 函数本地目录 设置函数运行环境中的本地目录，必须为/home、/mnt或/data的子目录。 /mnt/ZOS 函数本地目录权限 选择Bucket挂载到函数运行环境中的本地目录后，该目录的访问权限。支持设置为只读 或读写权限。 读写 说明 设置的函数本地目录不需要您手动创建，直接使用就可以。

本文为您介绍配置隧道网关的操作方法。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、H3C S6520交换机为例。 操作步骤（华为CE6850交换机） 操作步骤（H3C S6520交换机） 约束与限制 如果您的IDC需要与云上企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，若有高可靠性要求，建议VXLAN交换机组堆叠部署。 示例组网说明 本示例场景中，规划的二层网络的子网网关和VXLAN隧道在不同的交换机上。 云上隧道IP是10.0.6.3，用户IDC侧隧道交换机的隧道IP是2.2.2.2，隧道号（VNI）是5010，仅供参考。 图配置远端隧道网关 操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 注意 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 1. 登录隧道交换机，执行命令 systemview ，进入系统视图。 2. 进入loopback 0接口视图，配置隧道IP。 3. 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 4. 执行命令 quit ，退出接口视图，返回到系统视图。 5. 执行命令 bridgedomain ，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridgedomain 10 vxlan vni 5010 6. 执行命令 quit ，退出BD视图，返回到系统视图。 7. 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridgedomain 10 8. 执行命令 interface nve ，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 9. 在NVE接口视图下，执行命令 vni ，配置VNI的头端复制列表。 配置示例： vni 5010 headend peerlist 10.0.6.3 10. 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose

本章介绍函数工作流如何配置委托权限。 概述 大部分场景下，FunctionGraph都需要与其他云服务协同工作，通过创建云服务委托，让FunctionGraph以您的身份使用其他云服务，代替您进行一些资源运维工作。 应用场景 若您在FunctionGraph服务中使用如下场景，请先配置委托权限，对应授权项参见下表进行选择。 常见授权项选择 场景 授权项 说明 使用自定义镜像 SWR Admin SWR Admin：容器镜像服务（SWR）管理员，拥有该服务下的所有权限。 如何创建自定义镜像，请参见 使用容器镜像部署函数。 挂载sfs turbo文件系统 SFS Administrator或Tenant administrator SFS Administrator：弹性文件服务（SFS）管理员，拥有该服务下的所有权限。 Tenant administrator：全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 挂载ECS共享目录 Tenant Guest及VPC Administrator Tenant Guest：全部云服务只读权限（除IAM权限）VPC Administrator：网络管理员需要给函数设置委托至少拥有Tenant Guest以及VPC Administrator权限。 配置跨域VPC访问 VPC Administrator 拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。 在函数配置跨VPC访问时，则函数必须配置具备VPC管理权限的委托。 创建委托 按照如下参数设置委托。 1. 登录统一身份认证服务（IAM）控制台。 2. 在统一身份认证服务（IAM）的左侧导航窗格中，选择“委托”页签，单击右上方的“+创建委托”。 创建委托 3. 开始配置委托。 填写基本信息 委托名称：serverlesstrust。 委托类型：选择“云服务”。 云服务：选择“函数工作流 FunctionGraph”。 持续时间：选择“永久”。 描述：填写描述信息。 4. 单击“下一步”，进入委托选择页面，在右方搜索框中搜索需要添加的权限并勾选。此处以添加Tenant Administrator权限为例。 选择策略 委托权限示例 权限名称 使用描述/场景 Tenant Administrator 全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 5. 单击“下一步”，选择权限的作用范围。

本文介绍如何使用异常行为智能识别。 功能介绍 基于智能算法和大数据行为分析，分析客户业务流量的特征，智能识别攻击和误拦截请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为旗舰版及以上版本。 设置异常行为智能识别模型 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【智能防护】菜单，选择【异常行为智能识别】模块。 3. 选择业务适合的【分析模型】，模型配置说明如下： 配置说明 配置项 说明 开关 分析模型开关。 开关开启，模型运行； 开关关闭，模型停止运行。 分析域名 选择需要分析的对象，选择已经完成接入服务的域名。 异常判断条件 不同分析模型的分析条件不同，您可以根据实际的业务场景选择适合的模型。 异常客户端IP识别多UA：适用于单客户端IP有多UA的攻击特征； 异常客户端IP识别扫描大量URL：适用于单客户端IP扫描大量URL的攻击特征； 异常客户端IP识别攻击集中少量URL：适用于单客户端IP集中攻击少量URL的攻击特征； 异常客户端IP识别反复触发策略：适用于单客户端IP反复触发访问控制/频率控制/CC防护策略的攻击特征； 异常客户端IP+UA识别反复攻击少量URL：适用于单客户端（IP+UA），反复攻击少量的URL的攻击特征； 异常UA识别识别单客户端IP变更UA扫描：适用于单客户端IP变更UA扫描的攻击特征。 分析频率 分析频率为分析任务执行频率；统计周期超过12小时，建议分析频率设置大于等于5分钟；统计周期达到24小时，建议分析频率设置大于等于10分钟。 URL是否统计问号后参数 统计URL的范围是否包含问号后参数。 注意 如果我们开放的分析模型不能满足您的需求，请通过

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CC防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版或基础版，支持使用CC防护默认策略；开通高级版及以上版本，支持使用自定义CC防护策略。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CC防护】详细设置。 配置说明 基础设置 配置项 说明 CC防护开关 CC防护的功能开关 CC防护模式 【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 【CC防护模式】设置为长久，则域名的每次访问都进行防护校验，适合有长期防护的需求场景 阈值 即触发防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 周期 即设定时长内达到防护阈值，将触发防护。新的时间周期将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 跨域请求防护 支持开启或关闭跨域请求防护功能。若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截 注意 当CC防护模式选择阈值，为避免单位时间内阈值配置过低，导致频繁触发CC攻击，限制阈值与周期的比值不得小于100。

本文介绍了RDSPOstgreSQL新增参数模板。 操作场景 在您订购数据库产品时，系统将会为您的数据库实例适配一份默认的数据库参数模板。 如果您想使用自己的数据库参数模板，需要新增一个数据库参数模板。当您已经成功新增参数模板，并且想在新的数据库参数模板中包含该模板中的大部分自定义参数和值时，可以使用"应用"来实现。 您可以使用数据库参数模板中的参数配置来管理配置自己的数据库实例。 注意 您无法修改系统预置的默认数据库参数模板的参数设置。 当您修改自定义的参数模板并保存后，如果您的数据库需要应用该参数模板，只需要点击"应用"，选择"应用到实例"，并且选择"是否需要重启数据库"，该操作不会影响到其他未选中的数据库实例。 当您修改动态参数并保存参数模板时，需要执行"应用"，并且选择"应用到实例"。当您更改静态参数并保存数据库参数模板时，需要执行"应用"，并且选择"应用到实例"后勾选"需要重启数据库"，如没有勾选"需要重启数据库"选项，则静态参数暂时不会生效，需要您手动重启实例后生效。动态参数、静态参数区分您可参考参数中【是否需要重启】列。 请您在数据库参数模板应用至实例前，您应当在测试数据库实例试用这些参数设置更改，根据生效情况检查参数是否设置合理，做好风险管理。 操作步骤 1. 点击控制中心，进入控制中心后，选择目标资源池。 2. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 3. 在左侧菜单中点击【PostgreSQL】→【参数模板】，点击进入参数模板管理页。 4. 在"参数模板"页面，点击"新增参数模板"。 5. 在"数据库引擎"选择对应的数据库引擎版本，请您在"参数模板名称"输入框添加该参数模板的名称，在"描述"文本框内添加对该参数模板的描述（最长为255字符），点击确定按钮。 6. 系统完成新增后，会在"参数模板"界面显示您添加的参数模板信息。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

如何进行发送消息的测试？ 可以直接在Kafka控制台进行发送消息的测试。在控制台的Topic管理页面，单击目标Topic右侧的生产拨测，进行消息发送测试，以验证集群是否运转正常。 使用客户端发送消息后，如何确定是否发送成功？ 如果回调成功则说明消息发送成功。大部分客户端在发送之后，会返回Callback或者Future，如果回调成功，则说明消息发送成功。 此外，还可以在控制台通过以下方式确认消息发送是否正常： 查看“监控信息”，实例消息生产条数。 查看“消息查询”，可按时间查询消息。 发送消息的回调是否会影响发送速度？ Java客户端设置回调是否会影响消息发送的速度取决于如下两点： （1）回调的处理耗时：为减少回调的处理耗时，不要过于频繁地在回调做耗时较长的处理。可以积累一定量Ack后再做批量的回调处理，或者在另一个异步的线程去处理，从而不阻塞回调的完成。 （2）max.in.flight.requests.per.connection：该参数指定了生产者在收到服务器响应之前可以发送多少个消息。它的值越高，就会占用越多的内存，不过也会提升吞吐量。 实例支持哪些开源版本？ 当前服务端支持的版本为2.3.1和2.8.2。实例创建后，服务端版本不支持升级，不支持定制版本。 如何选择实例硬盘大小？ 磁盘大小：流量均值×存储时长×3（备份），建议在迁移上云过程中优化Topic以降低成本。 升级Broker可能产生哪些影响？ 升级Broker可能产生消息乱序、客户端连接中断、消息量不均衡等影响。 升级Broker包含以下影响： 升级过程中，会逐个重启云消息队列 Kafka 版集群中所有的Broker。在重启Broker的过程中服务不会中断，但是从每个Broker重启完成之后的5分钟内消费的分区消息可能会发生乱序。 重启过程中已有的客户端连接可能会中断。客户端要有自动重连功能，服务端的其他Broker会自动接替服务。 此外，升级和重启Broker期间，各个分区处理的消息量也会出现一定的不均衡，需要评估一下升级变更对业务可能产生的影响。 升级所有Broker大概需要5分钟~15分钟。如果有多个实例，可以考虑先升级测试集群，验证通过后再升级生产集群。

适用场景 本章介绍在CCE中如何将老版本集群的业务迁移到新版本集群。 适用于需要大幅度跨版本集群升级的需求，可以接受新建新版本集群而进行业务迁移的升级方式。 前提条件 迁移前Checklist 类别 描述 集群相关 Nodeip强相关：确认之前集群的节点IP（包括EIP），是否有作为其他的配置或者白名单之类的设置。 工作负载 记录工作负载数目，便于迁移后检查。 存储 1. 确认应用中存储，是否使用公有云，或者自己搭建存储。 2. 自动创建的存储需要在新集群中变成使用已有存储。 网络 1. 注意使用的负载均衡服务，以及Ingress。 2. 老版本的集群只支持经典型负载均衡服务，迁移到新集群中需要改成共享型负载均衡服务，对应负载均衡服务将会重新建立。 运维 私有配置：确认在之前集群中，是否在节点上配置内核参数或者系统配置。 操作步骤 步骤 1 创建新集群 创建与老版本集群同规格同配置的集群，创建方法请参见购买混合集群。 步骤 2 添加节点 添加同规格节点，并且在节点上配置之前的手动配置项，创建方法请参见购买节点。 步骤 3 创建存储 在新集群中使用已有存储创建PVC，PVC名称不变，方法请参见存储管理>使用kubectl对接已有云硬盘。 说明：切流方案仅支持对象存储、文件存储、共享云硬盘类型的存储。非共享云硬盘存储切流需要将老集群内的工作负载暂停，会导致断服。 步骤 4 创建工作负载 在新集群中创建工作负载，名称和规格参数保持不变，创建方法请参见工作负载管理>创建无状态负载(Deployment)或创建有状态负载(StatefulSet)。在工作负载中挂载存储，方法请参见存储管理>使用kubectl部署带云硬盘存储卷的工作负载。 步骤 5 创建服务 在新集群中创建Service，名称和规格参数保持不变，创建方法请参见网络管理>集群内访问(ClusterIP)、节点访问(NodePort)、负载均衡(LoadBalancer)。 步骤 6 调测功能 全部创建完成后，请自行调测业务，调测无问题后切换流量。 步骤 7 老集群退订或删除 新集群全部功能ready，使用解关联功能卸载存储关联卷，方法请参见存储管理>解关联云硬盘。退订或者删除老集群，删除集群方法请参见删除集群。

本文主要介绍。 适用场景 本章介绍在CCE中如何将老版本集群的业务迁移到新版本集群。 适用于需要大幅度跨版本集群升级（如1.7.或1.9. 升级到1.17.版本）的需求，可以接受新建新版本集群而进行业务迁移的升级方式。 前提条件 迁移前Checklist 类别 描述 集群相关 Nodeip强相关：确认之前集群的节点IP（包括EIP），是否有作为其他的配置或者白名单之类的设置。 工作负载 记录工作负载数目，便于迁移后检查。 存储 确认应用中存储，是否使用云，或者自己搭建存储。自动创建的存储需要在新集群中变成使用已有存储。 网络 注意使用的负载均衡服务，以及Ingress。老版本的集群只支持经典型负载均衡服务，迁移到新集群中需要改成共享型负载均衡服务，对应负载均衡服务将会重新建立。 运维 私有配置：确认在之前集群中，是否在节点上配置内核参数或者系统配置。 操作步骤 步骤 1 创建新集群 创建与老版本集群同规格同配置的集群，创建方法请参见购买CCE集群。 步骤 2 添加节点 添加同规格节点，并且在节点上配置之前的手动配置项，创建方法请参见创建节点。 步骤 3 创建存储 在新集群中使用已有存储创建PVC，PVC名称不变，方法请参见存储卷声明PVC。 说明 切流方案仅支持OBS、SFS、共享云硬盘类型的存储。非共享云硬盘存储切流需要将老集群内的工作负载暂停，会导致断服。 步骤 4 创建工作负载 在新集群中创建工作负载，名称和规格参数保持不变，创建方法请参见创建无状态负载(Deployment)或创建有状态负载(StatefulSet)。 步骤 5 创建服务 在新集群中创建Service，名称和规格参数保持不变，创建方法请参见Service。 步骤 6 调测功能 全部创建完成后，请自行调测业务，调测无问题后切换流量。 步骤 7 老集群退订或删除 新集群全部功能ready，退订或者删除老集群，删除集群方法请参见删除集群（按需计费）

本文为您介绍分布式消息服务MQTT的产品优势。 分布式消息服务MQTT（Message Queuing Telemetry Transport）是一种轻量级的、发布/订阅模式的消息传递协议，通常用于分布式消息服务和物联网（IoT）应用。以下是MQTT的一些优势： 轻量级协议： MQTT是一种非常轻量级的协议，适用于各种网络环境，包括低带宽、高延迟或不稳定的网络。这使得它非常适合在IoT设备之间传递消息，因为这些设备通常有限的资源和能源。 发布/订阅模式： MQTT采用发布/订阅模式，允许客户端订阅感兴趣的主题，以接收与这些主题相关的消息。这种模式具有灵活性，能够支持多对多的通信，而不需要直接点对点的连接。 异步通信： MQTT允许异步通信，客户端可以发布消息而不必等待接收方的响应。这有助于提高系统的响应速度和吞吐量。 保留消息： MQTT支持保留消息，这意味着最新的消息可以保留在主题中，以便新订阅者可以立即获取到最新数据，而不必等待下一个消息发布。 服务质量（QoS）： MQTT允许设置不同级别的服务质量，从不保证消息送达（QoS 0）到确保消息送达且不重复传递（QoS 2）。这使得可以根据应用的需求选择适当的传递质量。 可伸缩性： MQTT协议可以在大规模分布式系统中轻松扩展，支持成千上万的客户端同时连接到Broker，使其适用于大型IoT解决方案。 消息过滤： MQTT支持使用通配符来订阅主题，这允许客户端根据特定模式匹配多个主题，以接收相关消息。 支持遗愿消息： MQTT支持遗愿消息（Will Messages），允许客户端指定在异常断开连接时发送一条预定义消息。这对于检测设备在线状态非常有用。 跨平台和多语言支持： MQTT具有广泛的跨平台和多语言支持，因此可以在各种设备和编程语言上使用，使得它非常灵活。 安全性： MQTT可以与安全机制（如TLS/SSL）结合使用，确保消息在传输过程中的安全性和隐私。 总的来说，MQTT是一种高效、灵活和可靠的协议，特别适用于分布式消息传递和IoT应用，因此在物联网、远程监控、实时通信等领域得到广泛应用。它的轻量级特性和异步通信使得它成为连接数众多的设备的理想选择。

本节主要介绍什么是参数模板 您可以使用数据库参数模板中的参数管理数据库引擎配置。数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 参数模板类型 创建数据库实例时可以指定数据库参数模板为默认参数模板或已有参数模板。实例创建成功后也可以变更实例关联的参数模板。 默认参数模板 默认组包含针对运行的数据库实例进行优化的引擎默认值和数据库服务系统默认值。 自定义参数模板 如果希望数据库实例以客户自定义的引擎配置值运行，可轻松地创建一个新数据库参数模板，修改所需参数并应用到数据库实例，用以使用新数据库参数模板。 数据库参数模板与实例建立关联后，如果修改了参数模板中的参数，那么使用该参数模板的所有实例，都将获得该参数模板中对应参数的更新。 参数模板使用场景 如果您想使用自定义的数据库参数模板，只需提前创建一个新的数据库参数模板，创建实例时选择该参数模板即可。如何创建参数模板，请参见创建参数模板。 如果您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该参数模板中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 参数模板注意事项 系统提供的默认参数模板不允许修改，只可单击参数模板名称进行查看。如果出现参数设置不合理导致数据库无法启动，可参考默认参数模板重新配置。 对于某些运行参数修改，您需在实例列表中，查看实例状态，如果显示“参数模板变更，等待重启”，则需重启关联的实例使之生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。

本章节介绍如何创建参数模板。 操作场景 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 注意 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

介绍分布式消息服务Kafka删除用户功能操作内容。 场景描述 Kafka删除用户的场景描述如下： 用户离职或不再需要访问权限：当用户离开组织或不再需要访问Kafka集群时，可以删除其用户账户。这可以确保已离职的用户无法再访问和操作Kafka，提高安全性和合规性。 角色调整或合并：在某些情况下，可能需要对用户角色进行调整或合并。如果某个角色不再需要或与其他角色重复，可以删除相关的用户账户和角色，以简化管理和维护。 用户账户过期或失效：如果用户账户的有效期已过或由于某种原因失效，可以删除该用户账户。这有助于清理无效的用户账户，减少安全风险和资源浪费。 安全审计和合规要求：根据安全审计和合规要求，可能需要删除某些用户账户。例如，当用户账户存在安全风险或违反合规规定时，需要及时删除相关账户以保护系统安全和数据隐私。 数据隔离和资源管理：在多租户环境中，当某个租户不再需要使用Kafka集群时，可以删除其相关的用户账户。这有助于释放资源，提高资源利用率和性能。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击指定用户其右侧的“删除”按钮。 注意事项 Kafka删除用户时需要注意以下事项： 确认用户身份：在删除用户之前，确保要删除的用户的身份是正确的。验证用户的身份可以防止误删除或删除错误的用户账户。 备份和迁移数据：如果用户账户中存在重要的数据或信息，建议在删除用户之前进行数据备份和迁移。这可以确保数据的安全性和完整性，并防止数据的丢失或泄露。 通知相关人员：在删除用户之前，及时通知相关的管理人员或团队成员。这有助于协调和沟通，确保删除用户的操作得到充分的授权和确认。 关注系统性能：删除用户时，要注意对Kafka集群的性能影响。大规模的用户删除操作可能会对系统造成一定的负载和延迟，因此在合适的时间窗口进行删除操作，以减少对业务的影响。

本节主要介绍分布式消息服务Kafka的订购流程。 背景信息 Kafka实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占Kafka实例，可根据业务需要可定制相应规格的Kafka实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 前提条件 具备已通过实名认证的天翼云账号 操作步骤 1. 登录管理控制台。 2. 进入Kafka管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本 或者IntelliJ ，JDK 1.8.111以上版本。 说明 以下订购说明适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3资源池 计费模式：包周期和按需计费 引擎类型：云原生引擎和Kafka引擎。两者差别如下： 云原生引擎：大规模分区性能稳定性更高，扩容无需迁移数据。 Kafka引擎：完全兼容开源Kafka生态，占用更少IO带宽，可应对更高的性能峰值突刺。 部署方式：单可用区和多可用区部署。单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区 自动续期：支持自动续期，支持做选择自动续期时长 节点数：3、5、7、9 主机类型：通用型和计算增强型，不同类型主机规格价格不一样，具体区别见文档弹性云主机实例规格 实例规格：主机节点规格，通用型和计算增强型规格不一致，具体以页面为准。 说明 以下订购说明适用于芜湖2、上海7、重庆2、乌鲁木齐27、石家庄20、内蒙6、北京5 资源池 计费模式：包周期和按需计费 区域：开通实例所在资源池 类型：选择产品规格，包括高级版8核32G与基础版4核16G 节点数：固定3个节点 主机类型：支持通用型主机s2、s3和s6，具体区别见文档弹性云主机实例规格通用型

此章节为您介绍如何新增数据库资产。 支持的数据库 支持的数据库类型及版本请参见使用限制。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。 参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则；不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他等。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保存行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

定义 云渲染支持提供高清晰度低延时的沉浸式 VR/AR 应用托管服务，并已提供Pico Neo、Oculus Quest/Quest2、HTC Focus Plus、Android等市场主流终端设备APK。 您可通过 VR/AR 眼镜、手机/Pad、PC、全息等终端交互，实现“云 VR 多人协同训练”、“线上大规模VR 娱乐”、“VR 直播”、“云 VR/AR 展厅”等场景需求。 操作说明 1. 点击上传资产，上传XR应用，包含exe程序的.zip应用包。 2. 点击发布应用。 3. 填写XR应用配置参数，应用发布成功后设置上架。 以下是应用发布参数说明： 配置项 说明 最大并发数 此应用同一时间段内支持同时访问的峰值用户数。 执行文件路径 系统会列出所有可执行程序路径，一般选择binary下的exe运行。 启动参数（非必填） 填写应用执行时启动参数，区分大小写。 终端封面图（非必填） 您的应用进入APK应用列表后，展示的封面图。 开启超时断连（非必填） 可设置渲染连接在规定时间内没有收到数据包或者没有进行数据传输，系统自动断开连接。 4. 新增房间，设置房间属性，创建房间时，集群需要和应用发布集群保持一致。 5. 点击房间详情，绑定应用。 6.下载APK文件到AR/VR外设中。 7.以移动端APK文件为例，安装APK。 8.打开安装好的APK应用，输入房间号与密码，即可查看房间内绑定应用。 注意 若您在创建的房间内没有找到已发布的vr应用时，可以从以下几个方面进行排查： 应用类型是否与房间类型一致，VR应用只能在VR房间内选择到，AR应用只能在AR房间中选择到；应用是否已上架；应用是否发布集群和创建房间时的集群一致。

本章节主要介绍弹性资源池规格变更。 使用场景 包年包月的弹性资源池CU数在规格的范围内使用包年包月计费，超过规格的部分则按弹性资源池CU时计费的方式计费，您可以根据实际CU的使用情况通过规格变更来使得计费更优惠。 例如，当前弹性资源池的规格为64CU，实际使用过程中大部分时间CU数在128CU以上，没有规格变更的场景下64CU部分采用包年包月计费，超出的64CU按弹性资源池CU时计费方式计费。为了满足该场景下更优惠的计费，则可以通过规格变更的方式，将弹性资源池的规格扩大到128CU，则规格变更成功后128CU范围内都使用包年包月计费，整体相比原来更优惠。 注意事项 当前仅支持包年包月计费模式的弹性资源池进行规格变更。 弹性资源池扩容 1.在DLI管理控制台左侧，选择“资源管理 > 弹性资源池”。 2.选择需要扩容的弹性资源池，单击“操作”列“更多”中的“规格变更”。 3.在“规格变更”页面，“变更方式”选择“扩容”，变更数量选择要扩容的CU数量。 4.确定费用后，单击“提交”。 5.扩容任务提交后，可以选择“作业管理 > SQL作业”，查看“SCALEPOOL”类型SQL作业的状态。 如果作业状态为“规格变更中”，表示弹性资源池规格正在扩容中。等待作业状态变为“已成功”表示当前当前变更操作完成。 弹性资源池缩容 说明 系统默认最小CU值为16CU，即当弹性资源池的规格为16CU时，不能进行手动缩容。 1.在DLI管理控制台左侧，选择“资源管理 > 弹性资源池”。 2.选择需要缩容的弹性资源池，单击“操作”列“更多”中的“规格变更”。 3.在“规格变更”页面，“变更方式”选择“缩容”，变更数量选择要缩容的CU数量。 弹性资源池规格缩容 4.确定费用后，单击“提交”。 5.缩容任务提交后，可以选择“作业管理 > SQL作业”，查看“SCALEPOOL”类型SQL作业的状态。 如果作业状态为“规格变更中”，表示弹性资源池规格正在缩容中。等待作业状态变为“已成功”表示当前当前变更操作完成。

本文主要介绍Volcano调度器。 插件简介 Volcano调度器是一个基于Kubernetes的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而Kubernetes当前缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。(目前Volcano项目已经在Github开源) Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 项目开源地址： 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 Volcano ，单击“安装”。 步骤 2 该插件可配置“单实例”、“高可用”或自定义规格。 选择自定义时，volcanocontroller和volcanoscheduler的建议值如下： 小于100个节点，可使用默认配置，即CPU的申请值为500m，限制值为2000m；内存的申请值为500Mi，限制值为2000Mi。 高于100个节点，每增加100个节点（10000个Pod），建议CPU的申请值增加500m，内存的申请值增加1000Mi；CPU的限制值建议比申请值多1500m，内存的限制值建议比申请值多1000Mi。 volcanocontroller和volcanoscheduler的建议值 节点/Pods规模 CPU Request(m) CPU Limit(m) Memory Request(Mi) Memory Limit(Mi) 50/5k 500 2000 500 2000 100/1w 1000 2500 1500 2500 200/2w 1500 3000 2500 3500 300/3w 2000 3500 3500 4500 400/4w 2500 4000 4500 5500 步骤 3 配置volcano默认调度器配置参数。 cacert: '' defaultschedulerconf: actions: 'allocate, backfill' tiers: plugins: name: 'priority' name: 'gang' name: 'conformance' plugins: name: 'drf' name: 'predicates' name: 'nodeorder' plugins: name: 'ccegputopologypredicate' name: 'ccegputopologypriority' name: 'ccegpu' plugins: name: 'nodelocalvolume' name: 'nodeemptydirvolume' name: 'nodeCSIscheduling' name: 'networkresource' servercert: '' serverkey: '' 插件 功能 参数说明 用法演示 binpack 将pod调度到资源使用较高的节点以减少资源碎片 binpack.weight：binpack插件本身在所有插件打分中的权重 binpack.cpu：cpu资源在资源比重的比例，默认是1 binpack.memory：memory资源在所有资源中的比例，默认是1l binpack.resources： plugins: name: binpack arguments: binpack.weight: 10 binpack.cpu: 1 binpack.memory: 1 binpack.resources: nvidia.com/gpu, example.com/foo binpack.resources.nvidia.com/gpu: 2 binpack.resources.example.com/foo: 3 conformance 跳过关键Pod，比如在kubesystem命名空间的Pod，防止这些Pod被驱逐 gang 将一组pod看做一个整体去分配资源 priority 使用用户自定义负载的优先级进行调度 overcommit 将集群的资源放到一定倍数后调度，提高负载入队效率。负载都是deployment的时候，建议去掉此插件或者设置扩大因子为2.0。 overcommitfactor: 扩大因子，默认是1.2 plugins: name: overcommit arguments: overcommitfactor: 2.0 drf 根据作业使用的主导资源份额进行调度，用的越少的优先 predicates 预选节点的常用算法，包括节点亲和，pod亲和，污点容忍，node ports重复，volume limits，volume zone匹配等一系列基础算法 nodeorder 优选节点的常用算法 nodeaffinity.weight：节点亲和性优先调度，默认值是1 podaffinity.weight：pod亲和性优先调度，默认值是1 leastrequested.weight：资源分配最少的的节点优先，默认值是1 balancedresource.weight：node上面的不同资源分配平衡的优先，默认值是1 mostrequested.weight：资源分配最多的的节点优先，默认值是0 tainttoleration.weight：污点容忍高的优先调度，默认值是1 imagelocality.weight：node上面有pod需要镜像的优先调度，默认值是1 selectorspread.weight: 把pod均匀调度到不同的节点上，默认值是0 volumebinding.weight: local pv延迟绑定调度，默认值是1 podtopologyspread.weight: pod拓扑调度，默认值是2 plugins: name: nodeorder arguments: leastrequested.weight: 1 mostrequested.weight: 0 nodeaffinity.weight: 1 podaffinity.weight: 1 balancedresource.weight: 1 tainttoleration.weight: 1 imagelocality.weight: 1 volumebinding.weight: 1 podtopologyspread.weight: 2 ccegputopologypredicate GPU拓扑调度预选算法 ccegputopologypriority GPU拓扑调度优选算法 ccegpu 结合CCE的GPU插件支持GPU资源分配，支持小数GPU配置 numaaware numa拓扑调度 weight: 插件的权重 networkresource 支持预选过滤ENI需求节点，参数由CCE传递，不需要手动配置 NetworkType: 网络类型（eni或者vpcrouter类型） nodelocalvolume 支持预选过滤不符合local volume需求节点 nodeemptydirvolume 支持预选过滤不符合emptydir需求节点 nodeCSIscheduling 支持预选过滤everest组件异常节点 步骤 4 单击“安装”。

本页介绍天翼云TeleDB数据库V5.1.5版本更新说明。 版本说明 本章节主要介绍TeleDB版本更新说明。 V5.1.5版本说明 组件名称 版本号 发布时间 TeleDB Core 5.1.5 2024年 11 月 说明 该版本适配的DCP版本为V3.10.1p1。 新增和优化功能： 1. 支持分布式远程数据访问框架RDA。 管控侧：在实例发放页面新增RDA端口输入框，实例开通页面增加内部通信端口。 内核侧：基于RDA实现了TeleDB分布式数据库实例内部，节点间数据的高效传输，解决了原生PGXL架构在处理复杂查询时连接数暴涨的问题。 2. 支持获取和配置全局数据变化的CDC订阅能力。 管控侧：支持部署CDC插件工具，配置CDC运行参数。 内核侧：用于捕获、处理和同步TeleDB分布式数据库实例数据变化的工具，允许将 TeleDB分布式数据库中的变更数据实时地同步到下游系统，例如其他数据库、消息队列、数据仓库等。 3. 新增对接内核跨版本升级工具，支持用户在界面操作跨版本升级。 管控侧：在实例升级流程中，主动识别升级路径，并对接跨版本升级工具。 内核侧：在实例升级过程中，支持通过升级工具对系统表加列、支持新建系统表、支持增删系统函数和支持升级版本管理。 4. 磁盘只读增加开关，支持Agent定时监控磁盘空间使用率和支持磁盘满的时候只允许查询数据，不允许写入数据。 管控侧：支持定时检测节点磁盘容量，当如果任一节点所在机器的数据目录或者表空间目录磁盘达到阈值，则管控侧将自动修改defaulttransactionreadonly参数值。 内核侧：通过识别defaulttransactionreadonly参数值，来设置只允许查询，不允许执行插入更新语句。 5. 支持分布式死锁检测DDS特性。 管控侧：不涉及。 内核侧：用于实时检测分布式死锁，并按优先级终止事务解除死锁。将opentenbase社区pgunlock插件的死锁检测实效性从分钟级提升到秒级。 6. 支持分区表全局索引。 管控侧：不涉及。 内核侧：支持创建节点内跨分区表的全局索引，分区表在非分片键上的查询性能明显提升。 7. 支持GlobalCache特性。 管控侧：不涉及。 内核侧：支持各进程共享PlanCache数据、SysCache 数据和RelCache 数据，全局元数据缓存，实现节点内表、执行计划等对象的全局缓存，减少大并发场景下的内存消耗。 8. 支持列存储引擎Pax。 管控侧：不涉及。 内核侧：通过表访问方法Table Access Method（简称为 Table AM）提供一种可插拔存储引擎机制，用于实现不同的表访问方式，它允许通过实现自定义的 Table AM，来定义新的表访问方式，并将其集成到数据库中。基于这种机制使得 TeleDB 数据库内核可以支持列存储引擎。 9. 支持XCopy实现集群间数据拷贝。 管控侧：不涉及。 内核侧：支持通过XCopy工具实现集群间数据拷贝。 10. 支持全局统计信息搜集。 管控侧：不涉及。 内核侧：支持在1个CN执行analyze后，其它CN统计信息同步更新。 11. 支持索引优化建议。 管控侧：定时任务中内置Queryindexadvice函数和慢SQL查询增加索引优化建议按钮。 内核侧：采样用户SQL，通过创建虚拟索引对比执行计划，给出索引方面的优化建议。 12. 支持表级降冷存储。 管控侧：不涉及。 内核侧：支持数据表整体降冷和重新转热。 13. 支持透明加密对接KMS、全密态对接KMS、审计用户和RDA加密等。 管控侧：实例开通时增加KMS开关、SSL开关。 内核侧：支持按规则、对象等维度，记录DDL、DML、SQL等独立设计的MLSADMIN账号体系和支持行级访问控制，和磁盘数据加密对接KMS、接入KMS管理密钥，密钥不落盘。 修复漏洞 1. prof调试信息泄露漏洞【原理扫描】。 2. Xlake插件相关漏洞修复。 CVE201910164 漏洞名称：TeleDB：PostgreSQL 缓冲区错误漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网访问，或开放风险端口；梳理高危用户权限，避免使用弱密码；pghba.conf认证方式选用md5，暂时规避使用scramsha256的方式。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20222625 漏洞名称：TeleDB：PostgreSQL 安全漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；禁止使用不受信任第三方插件；扫描并卸载不受信或未使用插件；插件安装禁用CREATE OR REPLACE、 CREATE IF NOT EXISTS。 正式解决方案：产品版本升级到5.1.5及以上。 CVE202339417 漏洞名称：TeleDB：redhat software collectionsSQL注入漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；业务系统前端配置WAF防火墙；业务系统启用SQL防注入能力；严格检查extension的安装sql文件是否存在：@extowner@等特殊非法语句否则应调整或禁止安装。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20247348 漏洞名称：TeleDB：PostgreSQL pgdump竞争条件漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年08月 漏洞详情： 历史版本临时解决方案：在pgdump 工具中存在TOCTOU竞争条件漏洞，pgdump是PostgreSQL用于备份数据库的工具，它通常由具有较高权限（如超级用户）的用户运行。由于pgdump 在检查对象类型和实际使用这些对象之间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞，威胁者可利用该漏洞来替换某些数据库对象。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20221552 漏洞名称：TeleDB：PostgreSQL 权限许可和访问控制问题漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 漏洞详情： PostgreSQL 存在权限许可和访问控制问题漏洞，该漏洞源于autovacuum 功能和多个命令可以逃脱“安全限制操作”沙箱。 正式解决方案：产品版本升级到5.1.5及以上。 修复缺陷 1. 内核特性适配。 2. 备份策略的加密配置可修改。 3. 和DCP联调RDA内核开通。 4. 兼容四位版本解析。 5. 禁用dbusernamespace参数。 6. 扩容撤销工单对接。 7. 内存监控指标调整。 8. 配合前端做接口调整。 9. 升级golang sdk为1.11。 10. 实例名称修改。 11. 提供内核版本接口给DCP调用。 12. 通过DCP开通实例失败返回有用错误日志。 13. 修改DCP和x实例列表中的实例系列。 14. pgclean定时任务需针对每个database都执行。 15. RDA版本内核和非RDA版本内核之间的备份恢复。 16. 参数管理增加允许值和描述。 17. 详情页实例名称支持修改。 18. 修改DCP和x实例列表中的实例系列。 19. 强制升级按钮屏蔽。 20. DCP工单以及任务管理中显示具体的扩容失败原因。 21. 备份策略与增量日志定时检测任务优化。 22. 回收资源时，不处理DCP创建的资源。 23. 修改密码页面增加提示。 24. 修改密码页面增加提示。 25. 修复实例运维相关问题，如主从切换、备份恢复、实例启停等。 26. 修复数据空间管理相关问题。 27. 修复监控采集脚本不执行、计算错误等问题。 28. 修复Xcopy无法执行问题。 29. 修复审计相关问题。 30. 界面易用性优化。

ip route 若没有该路由，执行如下命令，添加默认路由。 ip route add default via XXXX dev eth0 说明 XXXX 表示网关IP。 4. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping 没有ping通的弹性公网 IP，如果可以正常ping通说明虚拟网络正常，请联系基础网络技术支持进行处理。 5. 使用站长工具进行ping测试。 登录站长工具网站 输入弹性IP，单击“Ping 检测”,以“122.112.197.21”为例。 如果大部分监测点能ping 通，请客户检查本地网络。 6. 在云监控中查看该弹性IP的流量监控。 进入云监控控制台查看该弹性IP的流量，排查IP的带宽是否打满。 7. 弹性云主机内部排查。 确认弹性云主机是否为多网卡，如果为多网卡且弹性IP 绑定在非主网卡上，需要在弹性云主机内部配置策略路由。 登录弹性云主机，查看网卡是否创建，且网卡是否获取私有IP 地址。如果无法通过用户设置的密码登录弹性云主机，请提交工单联系天翼云的技术支持寻求帮助。 如果网卡没有正确创建，或者网卡已经创建但没有获取私有IP地址，请提交工单联系天翼云的技术支持寻求帮助。 执行命令"top"，查看弹性云主机的CPU占用率是否冲高。 如果弹性云主机的操作系统是Linux系统，执行命令"iptablessave"，查看弹性云主机内部是否有安全规则所限制。 如果弹性云主机的操作系统是Windows系统，请排查弹性云主机的防火墙是否有限制。 端口不通排查。 如果弹性云主机的ping测试没有问题，但是访问特定端口不通，且端口在图中所示范围内， 由于以下端口被运营商封堵，用户需要更换服务端口。 如果不能访问弹性云主机的特定端口，需要排查安全组规则以及“网络ACL”是否对服务端口放行。 登录弹性云主机，执行以下命令，查看弹性云主机内部是否在该端口进行监听。

功能名称 功能说明 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “ 动作 ”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见 持续时长 ”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “ 阈值 ”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “ 动作 ” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见 持续时长 ”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “ 模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

功能 约束与限制 部署 数据库实例所部署的弹性云主机，对用户不可见，只允许应用程序通过IP地址和端口访问数据库。 数据库访问 ● 对于没有开通公网访问的关系数据库MySQL实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 ● 弹性云主机必须处于目标关系数据库MySQL版实例所属安全组允许访问的范围内。 ● 当关系数据库MySQL版实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 ● 关系数据库MySQL版只读实例必须与主实例在同一子网内创建。 ● 关系数据库MySQL版实例的默认访问端口为13049（实际端口以控制台为准），如需修改端口可通过管理控制台操作。具体操作，请参见 数据库存储引擎 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。更多信息，请参见 数据库的权限 数据库权限分为root用户权限和非root用户权限，具体说明如下： ● root用户权限：在创建实例时，默认为实例分配管理员root用户权限。具体权限说明，请参见本文的 root权限说明 。为避免影响业务正常使用，建议您谨慎对root帐号执行revoke、drop user、rename user操作。 ● 非root用户权限：实例创建成功后，您也可以为该实例创建非root用户并分配权限。具体操作，请参见 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。具体操作，请参见 搭建数据库复制 关系数据库MySQL版本身提供主备或一主两备的高可用架构，无需用户手动搭建。备库主要用于可高用和容错性，不允许用户应用直接访问。 重启实例 必须通过管理控制台操作重启实例，不支持命令行重启实例。 具体操作，请参见

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

如何确保业务数据库的全部业务已经停止 业务切换时可通过如下方法确保业务数据库的全部业务已经停止： 步骤 1 在源数据库端执行如下语句，查看当前是否还存在有业务连接。 show processlist; 图 查看是否存在业务连接 步骤 2 可选: 如果源数据库有业务连接，则通过结果中Host列的值来查找对应的业务进程并将其停止。 步骤 3 在源库执行如下语句，查看binlog位置并记录该值（file列取值:position列取值 ），此处将该值记为ckpt1。 show master status; 图 查看binlog位置 步骤 4 等待30s以上，在源库执行如下语句，查看binlog位置并记录该值（file列取值:position列取值 ），此处将该值记为ckpt2。ckpt1ckpt2时，表示源数据库业务已基本停写。 show master status; 使用定时启动任务失败，迁移日志提示can not get agency token 使用定时启动任务功能时，如果使用的是子账号，需要使用“账户委托”，否则任务启动失败，迁移日志报：can not get agency token。 解决方案 目前针对该情况，分别提供如下解决方案： 方法一：使用主账号重新创建任务，启动方式选择“定时启动”。 方法二：使用主账号在子账号所在的用户组添加Security Administrator权限后，重新创建任务，启动方式选择“定时启动”。 方法三：重新创建任务，启动方式选择“立即启动”。 RDS for MySQL不支持MyISAM引擎表，迁移时MyISAM如何处理 基于以下原因，RDS for MySQL目前不支持MyISAM引擎。 MyISAM引擎表不支持事务，仅支持表级别锁，导致读写操作相互冲突。 MyISAM对数据完整性的保护存在缺陷，且这些缺陷会导致数据库数据的损坏甚至丢失。 MyISAM在出现数据损害情况下，很多都需要手动修复，无法通过产品服务提供的恢复功能进行数据恢复。 MyISAM向InnoDB的迁移透明，大多数情况不需要改动建表的代码，云数据库自动转换InnoDB即可完成迁移。 DRS在迁移过程中，会自动将MyISAM转换为InnoDB。针对MyISAM引擎表不支持事务这一特点，为了确保MyISAM表的数据一致性， DRS会借助主键来实现最终数据的一致。如果需要迁移没有主键的MyISAM表，建议选择无业务期启动迁移任务，以确保数据的一致性。

本节主要介绍创建参数模板 您可以使用参数模板中的参数来管理DRDS实例中的参数配置。参数模板就像是DRDS参数配置的容器，这些值可应用于一个或多个DRDS实例。 如果您在创建DRDS实例时未指定客户创建的参数模板，系统将会为您的实例适配默认的参数模板。该默认参数模板包含多个系统默认值，具体根据计算等级、实例的分配存储空间而定。您无法修改默认参数模板的参数设置，您必须创建自己的参数模板才能更改参数设置的默认值。 如果您想使用您自己的参数模板，只需创建一个新的参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建参数模板，并且想在新的参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用参数模板中的参数时应了解的几个要点： 当您修改当前实例的参数模板并保存后，仅应用于当前实例，不会对其他实例造成影响。 当您更改参数并保存参数模板时，参数更改将在您应用到实例后，手动重启DRDS实例后生效。 在参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改参数时应始终保持谨慎，且修改参数模板前要备份数据。将参数模板更改应用于使用DRDS实例前，您应当在测试实例上试用这些参数模板设置更改。 操作步骤 1.登录管理控制台。 2.单击管理控制台左上角的，选择区域和项目。 3.在页面左上角单击，选择“数据库 > 分布式关系型数据库 ”。进入分布式关系型数据库信息页面。 4.在“参数模板”页面，单击“创建参数模板”。 5.输入参数模板名称并添加对该参数模板的描述，单击“确定”，创建参数模板。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!<"&'特殊字符。 说明 每个用户最多可以创建100个DRDS参数模板。