参数 说明 vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。

本节介绍虚机组的基本概念。 定义 虚机组是对边缘虚拟机的一种逻辑划分，在同一虚机组的边缘虚拟机遵循相同的调度策略。 使用说明 目前ECX虚机组支持高可用策略。 对于使用高可用策略的虚机组，加入虚机组的虚拟机在重启后会根据反亲和性策略进行迁移。 目前支持强反亲和策略及弱反亲和策略。对于强反亲和策略，将确保虚拟机严格分散在不同的宿主机上，当资源不满足时，有可能导致无法开通新的虚拟机或虚拟机启动失败，可通过调整虚机组策略（将虚拟机移出虚机组并进行重启）进行处理。对于弱反亲和策略，会尽量使虚拟机分散在不同宿主机上，当资源不满足时，不影响新增虚拟机调度。 一台虚拟机仅支持加入一个虚机组。 当虚拟机移出使用高可用策略的虚机组，则不再遵循反亲和策略，后续迁移等操作可能会影响业务的高可用。 包含本地盘及本地裸盘的虚拟机无法在创建后加入高可用虚机组，如需使用该功能，请在创建时配置反亲和策略。 当且仅当虚机组不含任何虚拟机时，可删除该虚机组。

查看使用量 按需计费的资源可以在控制台服务管理话单管理中查看使用量数据。 关机仍然计费的资源，如存储、裸金属等，关机后仍会记录使用量。关机不计费的资源，如虚拟机的计算资源vCPU、内存，关机期间不记录使用量。 通过筛选统计维度、统计周期、资源类型、计费项、集群名称、在高级搜索中输入资源ID等方式，查找和导出按需计费资源的话单明细，话单中的计费值即用于计算费用的使用量数值。 查看费用信息 在天翼云官网我的费用中心账单管理中可以查看按需计费、包年包月资源的扣费情况及明细。 按需计费资源将通过话单记录的计费值，结合资源单价等信息，计算最终扣费金额。按需计费资源的扣费非实时更新，请留意流水账单更新情况，以实际扣费时间为准。 资源退订 确认不需要的资源，可以在控制台 或天翼云官网我的订单管理退订管理中退订，退订后资源实例将无法使用、无法恢复，请提前备份资料数据。退订后资源实例将不再产生新的费用。 资源退订进度以控制台中对应产品版块，资源的状态更新为准。

处理步骤 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse spark.yarn.executor.memoryOverhead设置不生效如何处理？ 问题现象 Spark任务需要调整executor的overhead内存，设置了参数spark.yarn.executor.memoryOverhead4096，但实际计算的时候依旧按照默认值1024申请资源。 原因分析 从Spark 2.3版本开始，推荐使用新参数spark.executor.memoryOverhead设置executor的overhead内存大小，如果任务两个参数都设置，则spark.yarn.executor.memoryOverhead的值不生效，以spark.executor.memoryOverhead的值为最终值。 同样的参数还有driver的overhead内存设置：spark.driver.memoryOverhead 解决步骤 使用新版本参数设置executor的overhead内存： spark.executor.memoryOverhead4096 连接ClickHouse服务端异常报错“code: 516”如何处理？ 问题现象 使用clickhouse client命令连接ClickHouse服务端，报错： ClickHouse exception, code: 516, host: 192.168.0.198, port: 8443; Code: 516, e.displayText() DB::Exception: clickDevelopuser: Authentication failed: password is incorrect or there is no user with such name 原因分析 执行连接ClickHouse服务端命令时，用户名或者密码错误。 解决步骤 在执行连接ClickHouse服务端命令时，请输入正确的用户名或者密码。

本章节主要介绍 ALM26053 Storm Slot使用率超过阈值的告警。 告警解释 系统每60秒周期性检测Slot使用率，并把实际Slot使用率和阈值相比较。当检测到Slot使用率高于阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置”修改阈值。 当Slot使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 26053 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 用户无法执行新的Storm任务。 可能原因 集群中Supervisor处于异常状态。 集群中Supervisor的状态正常，但是处理能力不足。 处理步骤 检查Supervisor状态 1. 选择“集群 > 待操作集群的名称 > 服务 > Storm > 实例”，进入Storm实例管理页面。 2. 查看是否存在状态为“故障”或者是“正在恢复”的Supervisor实例。 是，执行步骤3。 否，执行步骤5。 3. 勾选状态为“故障”或者“正在恢复”的Supervisor角色实例，选择“更多 > 重启实例”，查看是否重启成功。 是，执行步骤4。 否，执行步骤10。 4. 等待一段时间，检查该告警是否恢复。 是，处理完毕。 否，执行步骤5。

section73d07d61f523919c)。 系统盘 选择系统盘的存储容量。推荐系统盘规格请参考：堡垒机资产规格。 数据盘 选择数据盘的存储容量。推荐数据盘规格请参考：堡垒机资产规格。 企业项目 选择堡垒机所属的企业项目。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 子网 选择当前VPC内子网。 子网需在VPC的网段内。 弹性IP 选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 购买时长 选择实例使用时长。 可按月或按年购买云堡垒机。 5. 配置完成后，确认订单无误并阅读《天翼云云堡垒机（原生版）服务协议》后，勾选“我已阅读并同意《天翼云云堡垒机（原生版）服务协议》”，单击“立即购买”。 6. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

本章介绍天翼云关系型数据库如何查看和修改内网地址 操作场景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 约束限制 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 仅支持修改IPv4内网地址。 操作步骤 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 对于创建完成的关系型数据库实例，支持更改内网地址。 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤5 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。您也可以在左侧导航栏，单击“连接管理”，在“连接信息”模块“内网地址”处，单击“修改”。 步骤6 填写未被使用的内网地址，单击“是”。已使用IP地址，不能再作为实例的新内网地址。 结束

应用一致性 业界对备份一致性的定义包括如下三类： 不一致备份：备份的文件、磁盘不在同一个时间点。 崩溃一致性备份：崩溃一致性备份会捕获备份时磁盘上已存在的数据，文件/磁盘数据在同一时间点，但不会备份内存数据并且静默应用系统，不保证应用系统备份一致性。尽管并未保证应用一致性，但通常情况下，操作系统重启后会进行chkdsk等磁盘检查过程来修复各种损坏错误，数据库会进行日志回滚操作保证一致性。 应用一致性备份：文件/磁盘数据在同一时间点，并备份内存数据，保证应用系统一致性。 数据库备份 云主机备份同时支持崩溃一致性备份和应用一致性备份（即数据库备份）。启用数据库备份前，需要先安装客户端，否则会导致数据库服务器备份失败。 周期性全备 默认情况下，云服务备份对一个新的资源第一次进行全量备份，后续进行永久增量备份。 云服务备份现支持在资源非第一次备份的情况下进行定期进行全量备份。您可以通过策略设置，配置每进行N次增量备份后，进行一次全量备份。相较于之前的策略配置，将更进一步提升备份数据的安全性，满足用户定期进行全量备份的需求。 周期性全备相较于永久增量备份占用的存储容量也会相应增加。

本章介绍天翼云关系型数据库的所有引擎和数据库版本支持情况。 关系型数据库服务目前支持的数据库引擎和版本如下表所示。 新应用上线，建议您使用数据库引擎对应的最新大版本，以RDS for MySQL为例，建议您选择MySQL 8.0。用户创建实例时，不可选择小版本，如MySQL 8.0.17，RDS会提供最优的小版本，实例创建成功，您可在console“实例管理”页面实例列表中的“数据库引擎版本”列，查看具体的小版本号。数据库引擎和版本请以实际环境为准。 数据库引擎和版本 数据库引擎 单机实例 主备实例 集群版实例 MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 PostgreSQL引擎 15 14 13 12 11 10 9.6 9.5 15 14 13 12 11 10 9.6 9.5 暂不支持 Microsoft SQL Server引擎 2019企业版 2019 标准版 2019 web版 2017 企业版 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2019企业版 2019 标准版 2019 web版 2017 企业版 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2019 企业版 2017 企业版

产品优势 产品优势详情 环境准备阶段 自助高效获取资源按需付费 业务开发阶段 基于契约(Open API)的开发模式，让微服务的开发、测试、文档、协作和管控活动标准化、自动化。 支持JAVA、Go、PHP、Python、Node.js开发语言。 高性能REST/RPC微服务开发框架，提供开箱即用的工具，降低开发门槛。提供ServiceComb、Spring Cloud、Service Mesh。敏捷高效一站式微服务治理控制台，提供微服务负载均衡、限流、降级、熔断、容错、错误注入等治理能力。支持微服务级升级、灰度发布。 安装部署阶段 开发者只需使用ServiceStage+任意源码仓库，实现一键自动部署和更新。 应用配置 支持配置以文件的形式导入到应用中。实现配置文件与环境解耦，一次维护，多个环境共用。配置文件支持多版本，方便更新和回滚。 应用升级 支持滚动升级：升级过程中，业务会同时均衡分布到新老实例上，因此业务不会中断。支持灰度发布：为保障新特性能平稳上线，可以通过灰度发布功能选择少部分用户试用，降低发布风险。 应用运维 实时图形化展示应用监控指标CPU占用、告警、节点异常、运行日志、关键事件实时掌握。微服务治理支持微服务接口级SLA指标（吞吐量、时延、成功率）实时（秒级）监控和治理，保障应用运行不断服。

本文主要介绍远程连接Windows云主机报错:您的凭据无法工作怎么处理。 问题描述 Windows操作系统的本地PC，通过RDP协议（如MSTSC方式）远程桌面连接Windows弹性云主机报错，报错显示：您的凭据无法工作，之前用于连接到云主机的凭据无法工作，请输入新凭据。 处理方法 请按照以下步骤依次排查，并在每一个步骤执行完后重新连接Windows云主机验证问题是否解决，如未生效请继续执行下一步骤。 步骤一：修改网络访问策略 步骤二：修改凭据分配 步骤三：设置本地主机的凭据 步骤四：关闭云主机密码保护共享 步骤一：修改网络访问策略 1.使用管理控制台VNC方式登录云主机。 2.打开“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 图 gpedit.msc 3.选择“计算机配置 < Windows设置 < 安全设置 < 本地策略 < 安全选项”，打开“网络访问：本地帐户的共享和安全模型”。 图 打开网络访问策略 4.选择“经典 对本地用户进行身份验证，不改变其本来身份”，单击“确定”。 图 修改网络访问策略

本文介绍存储库绑定备份策略的操作步骤,帮助您快速为存储库绑定备份策略。 操作场景 若创建存储库时未绑定存储策略，用户可依据本文的操作步骤为存储库绑定备份策略。 前提条件 已创建存储库，具体步骤请参见创建存储库。 已创建备份策略，具体步骤请参见创建备份策略。 该备份策略未绑定其他存储库。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，进入云硬盘备份页面。 4. 选择“存储库”页签，选中要绑定备份策略的存储库，点击名称进入存储库详情页。 5. 在“备份策略”标签页，点击“绑定备份策略”。 6. 在弹窗中选择要绑定的备份策略，单击按钮，将其加入右侧“已选备份策略”中，点击“确定”，完成绑定。 注意 只能选择未绑定其他存储库的备份策略。若要绑定的存储策略已与其他存储库绑定，需先解绑再绑定到新存储库。解绑备份策略操作步骤见存储库解绑备份策略。

本页介绍天翼云TeleDB数据库的故障自动恢复转移能力。 TeleDB的高可用方案，主要通过每个组件的容灾能力来实现。当一个组件的主节点出现故障不可恢复时，TeleDB自动从对应的备用组件中选出一个最合适的组件，升级为新的主节点。通过每个组件的自动高可用替换，就可以做到部分组件故障时，服务仍然可以继续运行。 故障自动恢复与自动转移主要是通过以下几个过程来实现的。 故障自动转移：任一主节点故障，数据库会自动从备节点中选举出新的主节点，故障节点自动隔离。同步复制策略，可以保证主从数据完全一致。 故障恢复：故障的节点，可以通过在控制台重做备机，或者在其它服务器上添加备机的方式恢复主从关系，从而使系统持续运行。 备份策略：节点支持一主多备，同步复制策略可确保备节点的数据的完整性，和故障切换时的数据可靠性。 切换频率设置：可以设置在某一时间段内允许切换次数的上限，避免因网络波动等原因可能导致的频繁切换。 跨区部署：主节点和从节点可以分处于不同IDC机房，异地之间通过专线网络进行实时数据复制。

本节介绍网络的用户指南：节点维度的网络配置。 使用场景 Cubecni网络插件会为节点额外添加网卡，用来构建容器网络。这些网卡，如eth1，默认使用配置项cubecniconfig配置的Pod子网和安全组，其中Pod子网为订购时选择的子网，安全组为订购时委托自动创建或用户选择的安全组。 可通过创建新的配置项，为特定节点或节点池配置单独的Pod子网和安全组，实现节点维度的容器网络配置。 如下场景，为特定节点配置独立的子网和安全组，以实现节点C的Pod独享NAT出口IP和带宽： 使用限制 1. 仅新建 的网卡会使用新配置的Pod子网和安全组，已创建的ENI会继续使用原有配置。若需配置节点维度Pod子网和安全组，建议为新节点 或节点池配置; 2. 该特性要求Cubecni版本不低于v1.1.6，且集群已配置资源委托。 操作步骤 1. 在命名空间kubesystem中创建名称为foo的ConfigMap。 a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择配置管理 > 配置项； d. 在配置项页面，命名空间选择kubesystem，单击创建配置项; e. 创建页面，配置项名称设置为foo，单击添加配置项，变量名设置为nodeconfig.json，变量值填入以下内容，将iaassubnets和securitygroups参数替换为实际值： plaintext { "action": "override", "iaassubnets": ["subnetjin7fmxxxx"], "securitygroups": ["sg6hxh19xxxx"] } 参数名 说明 action 值固定为override，默认为override，即子网/安全组配置会覆盖cubecniconfig的配置 iaassubnets 值为VPC子网ID列表。若配置多个子网，优先使用可用IP最多的子网；如无需修改，则无需配置iaassubnets，或值配置为null securitygroups 值为安全组ID列表。用于配置新建的Pod共享ENI，最多可配置5个；若无需修改，则无需配置securitygroups，或值配置为null 2. 节点配置标签 新建节点配置标签 创建节点池时添加节点标签，键设置为cubecniconfig，值设置为foo。新建节点池，详见节点池管理。 注意 节点池新增节点会使用foo指定的配置，不会更新存量节点已创建的网卡的安全组。 已有节点配置标签 a. 集群管理页面左侧导航栏，选择节点>标签 ，点击右侧对应节点的设置标签。 b. 在设置节点标签页面，选择自定义标签 ，点击添加标签。 c. 标签名设置为cubecniconfig，标签值值设置为foo，点击确认。 添加标签后，需重建cubecni插件： a. 集群管理页面左侧导航栏，选工作负载>守护进程。 b. 命名空间 选择kubesystem ，找到cubecni服务，点击右侧的重新部署。 c. 选择滚动重启 或快速重启 ，点击确认，当运行/期望Pod数量相等，说明重启成功。 注意 对于存量节点，不会更新已创建的网卡的安全组。 3. 检查配置是否生效 登录弹性云主机控制台，进入云主机实例详情页，可见弹性网卡配置的子网和安全组信息。

此小节介绍云堡垒机的改密策略。 新建改密策略 改密策略用于对主机资源账户自动改密，并可针对多个主机资源账户同时定期改密，提高资源账户安全性。 改密策略支持以下功能项： 支持通过策略手动、定时、周期修改资源账户密码。 支持生成不同密码、相同密码，以及生成自定义相同密码。 约束限制 仅SSH，RDP和Telnet协议类型的主机，支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务，并放开主机安全组445端口，才能通过改密策略修改资源账户密码。 关联Windows 10资源账户前，需先参照配置Windows 10服务器相关参数进行服务器相关参数的配置。 前提条件 已获取“改密策略”模块操作权限。 待改密资源的“系统类型”需与资源实际系统类型完全匹配。 新建改密策略 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 策略列表”，进入改密策略列表页面。 3 单击“新建”，弹出改密策略配置窗口。 4 配置改密策略基本配置。 改密策略参数说明 参数 说明 策略名称 自定义的改密策略名称，系统内“策略名称”不能重复。 执行方式 选择改密执行方式，可选择“手动执行”、“定时执行”、“周期执行”。 手动执行：手动触发改密策略，修改资源账户密码。 定时执行：定期自动触发改密策略，修改资源账户密码。仅执行一次。 周期执行：周期自动触发改密策略，修改资源账户密码。可按周期执行多次。 执行时间 执行改密策略的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期改密，需输入改密周期。 单位为天。 需同时选择“结束时间”，否则将无限期执行周期改密。 改密方式 选择改密方式。可选择“生成不同密码”、“生成相同密码”、“指定相同密码”。 生成不同密码：根据主机对帐户的密码要求，随机生成不同资源账户密码。 生成相同密码：根据主机对帐户的密码要求，随机生成相同资源账户密码。 指定相同密码：需手动输入预置密码。 自动生成密码和手动输入密码设置要求： 密码复杂度为包含大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和四种特殊字符（"%"、"?"、""、""、），密码长度为20位。 密码设置要求为在遵循主机帐户的密码要求基础上，不允许以特殊字符开头。 更多选项 支持以下几种方式： “允许修改特权账户密码”，表示可修改特权账户的密码，否则特权账户密码不能被修改。默认不选中。 “使用特权账户改密”，表示系统自动寻找资源账户对应的特权账户，通过特权账户修改资源账户密码。无特权账户时，资源账户自行修改密码。默认选中。 5 单击“下一步”，关联资源账户或账户组。 当账户组关联策略后，新资源账户加入到账户组中会自动继承账户组的策略权限。 关联多个资源账户时，可批量修改资源账户密码。 6 单击“确定”，返回改密策略列表，查看新建的改密策略。 改密策略执行后，可以下载改密日志，获取新的资源账户密码。

logfilemode (integer) 在Unix 系统上，当loggingcollector被启用时，这个参数设置日志文件的权限（在微软 Windows 上这个参数将被忽略）。这个参数值应当是一个数字形式的模式，它可以被chmod和umask系统调用接受（要使用通常的十进制格式，该数字必须以一个0（零）开始）。默认的权限是0600，表示只有服务器拥有者才能读取或写入日志文件。其他常用的设置是0640，它允许拥有者的组成员读取文件。不过要注意你需要修改logdirectory为将文件存储在集簇数据目录之外的某个位置，才能利用这个设置。在任何情况下，让日志文件变成任何人都可读是不明智的，因为日志文件中可能包含敏感数据。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 logrotationage (integer) 当loggingcollector被启用时，这个参数决定一个个体日志文件的最长生命期。当这些分钟过去后，一个新的日志文件将被创建。将这个参数设置为零将禁用基于时间的新日志文件创建。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 logrotationsize (integer) 当loggingcollector被启用时，这个参数决定一个个体日志文件的最大尺寸。当这么多千字节被发送到一个日志文件后，将创建一个新的日志文件。将这个参数设置为零将禁用基于尺寸的新日志文件创建。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 logtruncateonrotation (boolean) 当loggingcollector被启用时，这个参数将导致TeleDB截断（覆盖而不是追加）任何已有的同名日志文件。不过，截断只在一个新文件由于基于时间的轮转被打开时发生，在服务器启动或基于尺寸的轮转时不会发生。如果被关闭，在所有情况下以前存在的文件将被追加。例如，使用这个设置和一个类似postgresql%H.log的logfilename将导致产生 24 个每小时的日志文件，并且循环地覆盖它们。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。例子：要保留 7 天的日志，每天的一个日志文件被命令为serverlog.Mon、serverlog.Tue等等，并且自动用本周的日志覆盖上一周的日志。可以这样做：将logfilename设置为serverlog.%a、将logtruncateonrotation设置为on并且将logrotationage设置为1440。例子：要保留 24 小时的日志，每个小时一个日志文件，但是在日志文件尺寸超过 1GB 时轮转。可以这样做：将logfilename设置为serverlog.%H%M、 将logtruncateonrotation设置为on、将logrotationage设置为60并且 将logrotationsize设置为1000000。 在logfilename中包括%M允许发生任何尺寸驱动的轮转来选择一个不同于每个小时的初始文件名的新文件名。

15. 查询出来的时间戳数据与写入时不一致 往表中写入时间戳数据时，可能由于时区的影响导致查询结果与实际数据不一致。这可能是因为写入数据时的时区设置与查询数据时的时区设置不匹配。 16. 如何操作列相关的DDL操作 进行DDL操作以增加、删除或修改列时，可以按照以下步骤进行： 1. 增加列（ADD COLUMN）： 使用 ALTER TABLE语句指定要修改的表名。 使用 ADD COLUMN关键字后跟新列的名称和数据类型，以及任何其他列属性（如默认值、约束等）。 执行DDL语句以将新列添加到表中。 2. 删除列（DROP COLUMN）： 使用 ALTER TABLE语句指定要修改的表名。 使用 DROP COLUMN关键字后跟要删除的列的名称。 执行DDL语句以从表中删除指定的列。 3. 修改列（ALTER COLUMN）： 使用 ALTER TABLE语句指定要修改的表名。 使用 ALTER COLUMN关键字后跟要修改的列的名称和要进行的修改操作。 根据需要，可以修改列的数据类型、默认值、约束等。 执行DDL语句以对指定的列进行修改。 在操作DDL时请关注： DDL操作可能会导致表的重建或重组，因此在执行DDL操作时，请确保对表的影响和潜在的数据重排。 在进行DDL操作之前，建议先进行备份或测试，以确保数据的完整性和正确性。 以上是一般的DDL操作示例，具体操作可能会根据您使用的数据库管理工具或客户端的不同而有所变化。请参考您所使用的具体工具或文档以了解更详细的操作步骤。 17. DDL执行慢 数据库负载过高：如果数据库正在执行其他耗时的操作或有大量并发查询，DDL操作可能会受到影响。解决方案是在执行DDL操作时确保数据库负载较低，可以暂停其他耗时的操作或限制并发查询。 数据库锁定：DDL操作可能需要锁定表或表的部分数据，以确保数据一致性。如果有其他会话正在锁定相同的表或数据，DDL操作可能会等待锁释放。解决方案是确保没有其他会话正在使用需要锁定的表或数据，或者根据需要调整锁定策略。 大表操作：如果要对大表执行DDL操作，例如增加或删除大量列，操作可能会耗费较长的时间。这是因为DDL操作可能需要重建表或重组数据。解决方案是在执行DDL操作时进行适当的计划和预估时间，并确保有足够的系统资源来处理大表操作。 索引重建：某些DDL操作可能会导致索引的重新构建。如果表中有大量数据或复杂的索引结构，索引重建可能需要较长的时间。解决方案是在执行DDL操作之前评估索引的重建成本，并根据需要进行调整。 阻塞和死锁：如果DDL操作与其他会话之间存在阻塞或死锁情况，操作可能无法继续执行。解决方案是检查并解决任何阻塞或死锁问题，例如通过调整事务隔离级别、优化查询等。 系统资源不足：DDL操作可能需要大量的系统资源，例如CPU、内存和磁盘。如果系统资源不足，DDL操作可能会变慢或卡住。解决方案是确保系统具有足够的资源来执行DDL操作，可以考虑增加硬件资源或优化系统配置。

网络ACL规则 网络ACL中包括入方向规则和出方向规则，用来控制VPC子网入方向和出方向的网络流量。 入方向规则：控制外部请求访问子网内的实例，即流量流入子网。 出方向规则：控制子网内实例访问外部的请求，即流量流出子网。 网络ACL规则由协议、源端口/目的端口、源地址/目的地址等组成，关键信息说明如下： 生效顺序：网络ACL规则按照生效顺序依次排列，序号越小，排序越靠前，表示流量优先匹配该规则。默认网络ACL规则的序号为，排在末尾，表示流量最后匹配该规则。 状态：网络ACL规则有“启用”和“停用”状态。启用时，网络ACL规则生效，停用时，网络ACL规则不生效。 类型：支持设置IPv4和IPv6协议的规则。 策略：支持允许或拒绝。当流量的协议、源端口/目的端口、源地址/目的地址成功匹配某个网络ACL规则后，会对流量执行规则对应的策略，允许或拒绝流量。 协议：匹配流量的网络协议类型，支持TCP、UDP、ICMP协议。 源地址/目的地址：匹配流量的源地址或者目的地址。您可以使用IP地址和IP地址组作为源地址或者目的地址。 源端口范围/目的端口范围：匹配流量的源端口或者目的端口，取值范围为1～65535。 网络ACL及规则的工作原理 网络ACL创建完成后，需要将网络ACL关联至目标子网，网络ACL规则才能控制出入该子网的流量。网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。 网络ACL是有状态的。如果您从实例发送一个出站请求，且该网络ACL的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该网络ACL的入方向规则是放通的，那无论出方向规则如何，都将允许该入站请求的响应流量可以流出。 网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。当您在网络ACL内增加、删除、更新规则，或者在网络ACL内添加、移出子网时，由入方向/出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接，将会匹配新的网络ACL出方向规则。 注意 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FINWAIT（连接即将关闭）状态时，老化时间是30s。 在网络ACL中，存在如下表所示的默认规则。当网络ACL中没有其他允许流量出入的自定义规则时，则匹配默认规则，拒绝任何流量流入或流出子网。在您将网络ACL关联至目标子网时，请确保已添加自定义规则放通业务流量，或者子网内无实际业务，避免默认规则造成业务流量中断。 方向 生效顺序 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 出方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 网络ACL规则不会匹配筛选下表中的流量，即对应的流量被允许流入或者流出子网，不受网络ACL默认规则以及自定义规则限制。 方向 规则说明 入方向 放通当前子网内的流量，即允许同一个子网内实例互通。 入方向 放通目的地址为255.255.255.255/32的广播流量。 入方向 放通目的地址为224.0.0.0/24的组播流量。 出方向 放通当前子网内的流量，即允许同一个子网内实例互通。 出方向 放通目的地址为255.255.255.255/32的广播流量。 出方向 放通目的地址为224.0.0.0/24的组播流量。 出方向 放通基于TCP协议，目的地址为169.254.169.254/32 ，目的端口为80的云主机元数据(metadata)流量 出方向 放通目的地址为100.125.0.0/16的流量，该网段是云上公共服务预留地址，比如DNS服务器地址、NTP服务器地址等。

购买加时包操作指引 功能说明 加时包用于延长当前计费月可用时长，仅在当前游戏云电脑包月有效期内生效。 注意 目前仅支持通过天翼AI云电脑APP（安卓版）进行购买加时包。后续将支持安卓以外的版本，敬请期待。 详细操作步骤 使用天翼AI云电脑APP（安卓版）购买 1.打开天翼AI云电脑APP，在“云电脑列表”页面找到目标云电脑，依次点击【配置】【更多操作】【购买加时包】； 2.在购买页面选择您所需的加时包时长与数量，确认无误后提交订单并完成支付，支付成功后立即生效。 升级、续订套餐操作指引 功能说明 续订：用于延长云电脑使用周期，新可用时长从下一计费周期开始生效。 升级套餐：用于升级游戏云电脑计费套餐，即延长本月及后续每个包月周期的可使用总时长。 注意 游戏云电脑仅支持升级，不允许降级。 操作路径 支持通过天翼AI云电脑APP（安卓版）或PC客户端升级。 详细操作步骤 使用天翼AI云电脑APP（安卓版）购买 1.打开天翼AI云电脑APP，在“云电脑列表”页面找到目标云电脑，依次点击【配置】【更多操作】【续订】或【升级套餐】。

短信服务支持根据用户需求创建符合要求的签名，一般建议将签名设置为账号主体所在机构的全称或简称。发送短信时，短信平台会将已审核通过的短信签名添加到短信内容中，再发送给短信接收方。本文将为您介绍个人用户如何添加签名。 前提条件 已开通短信服务。 当前登录账号已实名认证。 注意:个人认证用户和企业认证用户权限不同，具体区别，请参见 认证模式。 注意事项 用户短信签名名称已上线App名称、已在工信部备案的网站名称的，建议先用企业名称作为签名，待品未上线建议上线后再申请新的签名。 添加签名 1. 登录云通信控制台。 2. 在左侧导航栏中，单击签名管理 。 3. 在签名管理 页面左侧单击创建签名 。 4. 填写签名用途 、签名名称、签名类型等必填信息。 5. 填写场景说明 ，此信息是签名审核的参考信息之一，请详细描述签名的用途、场景等信息。信息完善的申请说明会提高签名的审核效率。 6. 单击提交，提交审核。审核流程，请参见流程签名审核。

计费模式互转规则 计费模式互转有如下限制： 计费模式 是否允许 :: 按带宽包年包月⇆按带宽按量付费方式 允许 如果您在使用共享带宽的过程中，使用场景发生变化，对带宽计费模式需求发生改变，您无须重新购买共享带宽，只要对正在使用中的共享带宽进行付费方式转换即可满足要求。 包年包月付费方式的共享带宽资源在设置“到期转按需”功能后，需要等到资源到期后，新的计费方式才会生效。 注意：包周期到期转按需，在实例到期当天无法进行包周期转按需计费操作。 前提条件 要转换付费方式的共享带宽不能是已过期状态，只有未过期的共享带宽才可以修改付费方式，已过期的共享带宽要想修改付费方式可以先续费。 操作步骤 1. 进入网络控制台，在服务列表中点击【共享带宽】按钮。 2. 在共享带宽列表找到需要修改付费方式的共享带宽，鼠标移入操作列中的【更多】：（1）若共享带宽为包年包月转换为按带宽计费，在出现的列表框点击【到期转按需】；（2）若共享带宽为按带宽计费转换为包年包月，在出现的列表框点击【转包周期】。 3. 在弹出的界面中点击【确定】，根据提示完成订单即可。

本文主要介绍什么是镜像以及镜像类型。 什么是镜像 镜像是一个包含了软件及必要配置的弹性云主机模板，至少包含操作系统，还可以包含应用软件（例如数据库软件）和私有软件。通过镜像，您可以创建弹性云主机。 镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像。用户可以灵活便捷的使用公共镜像或者私有镜像申请弹性云主机。同时，用户还能通过已有的弹性云主机创建私有镜像，这样能快速轻松地启动能满足您一切需求的新弹性云主机。例如，如果您的应用程序是网站或Web服务，您的镜像可能会包含Web服务器、相关静态内容和动态页面代码。因此，您通过这个镜像创建弹性云主机之后，您的Web服务器将启动。 镜像类型 镜像类型 说明 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 共享镜像 由其他用户共享而来的私有镜像。

本文主要介绍如何停用伸缩组。 操作场景： 当您需要对伸缩组中的实例进行关机配置或者升级时，为了避免健康检查将该实例删除，您可以先停用伸缩组，然后对实例进行操作，待实例状态恢复为运行中后再启用伸缩组。 当您伸缩组的伸缩活动一直失败重试时（比如创建云主机失败，失败原因可以在云主机页面查看），可通过以下两种方式停止失败重试。 先停用伸缩组，此时正在进行的伸缩活动失败后系统不会再立即进行重试，待环境恢复后或者更换伸缩配置后再启用伸缩组。 先停用伸缩组，修改期望实例数等于当前实例数，当本次伸缩活动失败结束后，不会再进行新的重试。 停用伸缩组后，伸缩组的状态会变为“已停用”，已停用状态的伸缩组，不会自动触发任何弹性伸缩活动。当伸缩组正在进行伸缩活动，即使停用，伸缩活动也不会立即停止。 当伸缩组状态是“已启用”或者“异常”时，可以停用伸缩组。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 在伸缩组列表中，伸缩组所在行的“操作”列下，单击“停用”。 4. 在弹出“停用伸缩组”的对话框中，单击“确定”。

使用加速镜像 节点打标 在创建云容器引擎集群的worker节点时，您可以给节点打上标签 ctyun.cn/imageaccelerateenabledtrue，以标记此节点能运行加速镜像，可在节点上部署镜像加速所需插件。在为容器集群扩容时，您可以给新加节点打上标签 ctyun.cn/imageaccelerateenabledtrue 说明 加速容器需运行在加速节点上，加速节点可同时支持普通容器与加速容器的运行。 如果是为存量节点设置该标签，在安装插件时会重启运行时，会对现有容器有所影响，风险请自行评估。 安装插件 1. 登录云容器引擎控制台，进入所需集群。 2. 在菜单上点击 "插件" "插件市场"，在插件列表中查找插件cubeaccelerationsuite，点击安装。 3. 在弹出侧栏中点击安装，页面会跳转到插件实例，待状态一列转变成运行中，表示插件安装成功。 运行加速镜像的工作负载 在创建工作负载时，或者给现有的工作负载更替镜像时，在镜像版本选择框选用是否加速镜像一列为“是”的镜像，点击确认，则可使用加速镜像。或者直接给工作负载的Pod标签打上 ctyun.cn/imageacceleratemode: ondemand，届时会给Pod中的所用的镜像都自动更替成加速镜像。

参数 参数说明 云存储类型 极速文件存储：适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 分配方式 使用已有存储 云存储名称：选择已创建的存储。 添加容器挂载 配置如下参数： 1. 子路径：输入文件存储的子路径，如：tmp。 Kubernetes中数据卷挂载的subpath，指引用卷内的子路径而不是其根，不填写时默认为根。现只支持文件存储，必须是相对路径，且不能以“/”或“../”开头。 2. 挂载路径：输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径，请不要挂载在系统目录下，如“ / ”、“ /var/run ” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。

本章节主要介绍翼MapReduce的配置告警屏蔽状态操作。 操作场景 如果如下特定场景中不希望看到FusionInsight Manager上报指定的告警，可以手动设置屏蔽。 使用过程中，不想关注某些不重要的告警，屏蔽次要告警。 第三方产品集成FusionInsight产品时，部分告警与产品自身的告警信息重复，屏蔽重复告警。 部署环境特殊时，可能存在特定告警误报，屏蔽误报的告警。 某种告警被屏蔽后，与该告警ID相同的新告警将不再出现在“告警管理”页面中，也不会被统计。已经上报的告警仍然显示。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 告警 > 屏蔽设置”。 3. 在“屏蔽设置”区域，选择指定的服务或模块。 4. 在告警列表中选择指定的告警。 详见下图：屏蔽告警 界面显示此告警的信息，包含名称、ID、级别、屏蔽状态和操作： 屏蔽状态包含：“屏蔽”和“显示”。 操作包含：“屏蔽”和“查看帮助”。 说明 在屏蔽列表上方可筛选指定的告警。 5. 设置已选中告警的屏蔽状态： 单击“屏蔽”后在弹出的对话框中单击“确定”，修改告警的屏蔽状态为“屏蔽”。 单击“取消屏蔽”后在弹出的对话框中单击“确定”，修改告警的屏蔽状态为“显示”。

本文主要介绍如何创建工作负载弹性伸缩（HPA）。 HPA策略即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 使用HPA需要安装能够提供Metrics API的插件，如metricsserver或Prometheus。 约束与限制 HPA策略：仅支持1.13及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 操作步骤 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“负载伸缩”，在右上角单击“创建HPA策略”。 步骤 3 填写策略参数。 表 HPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟，缩容扩容冷却时间不能小于1分钟 。 该设置仅在1.15及以上版本的集群中显示，1.13版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标或自定义指标。 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载Pod的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。阈值：请输入缩容和扩容阈值。当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。 阈值仅在1.15及以上版本的集群中支持 。 自定义策略（仅在1.15及以上版本的集群中支持） 自定义指标名称：自定义指标的名称，输入时可根据联想值进行选择。 指标来源：在下拉框中选择对象类型，可选择“Pod”。 期望值：Pod支持指标为平均值。br伸缩范围：当指标值处于伸缩范围中时才会触发伸缩 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内实例数的最大值。 步骤 4 设置完成后，单击“创建”，在“完成”步骤中若显示“创建工作负载策略提交成功”，可单击“返回工作负载伸缩策略”。 步骤 5 在“工作负载伸缩”页签下，可以看到刚刚创建的HPA策略。

返回结果 HeadObjectOutput返回的属性如下： 参数 类型 说明 ContentLength int64 本次请求返回对象数据的大小（单位：字节）。 ContentType string 对象文件格式的标准MIME类型 ETag string 对象的Entity Ttag LastModified time.Time 最近一次修改对象的时间。 VersionId string 对象最新的版本ID。 StorageClass string 对象的存储类型。 设置对象ACL 功能说明 设置对象ACL操作可以为对象存储服务中的对象设置访问权限，设置对象ACL操作需要具有对象的WRITEACP权限，执行操作的时候，要么使用封装好的ACL数据类型传入ACL信息，要么以字符串的形式详细描述ACL信息。 对象的访问权限说明： 权限类型 说明 READ 可以读取对象的数据和元数据信息。 READACP 可以读取对象的ACL信息。对象的拥有者默认具有对象的READACP权限。 WRITE 可以修改原有对象数据和删除对象。 WRITEACP 可以修改对象的ACL信息，授予该权限相当于授予FULLCONTROL权限，因为具有WRITEACP权限的用户可以配置对象的任意权限。对象的拥有者默认具有WRITEACP权限。 FULLCONTROL 同时授予READ、READACP、WRITE和WRITEACP。 代码示例 plaintext func PutObjectAcl(svc s3.S3) { bucket : " " key : " " permission : "READ" // FULLCONTROL、WRITE、WRITEACP、READ、READACP granteeDisplayName : " " granteeId : " " userType : "CanonicalUser" // 获取当前acl getObjectAclOutput, err : svc.GetObjectAcl(&s3.GetObjectAclInput{ Bucket: aws.String(bucket), Key: aws.String(key), }) if err ! nil { fmt.Printf("fail to get acl of object %v, %vn", key, err) os.Exit(1) } // 创建一个新的授权信息 var newGrantee s3.Grantee{ Type: aws.String(userType), DisplayName: aws.String(granteeDisplayName), ID: aws.String(granteeId), } var newGrant s3.Grant{Grantee: &newGrantee, Permission: &permission} grants : getObjectAclOutput.Grants owner : getObjectAclOutput.Owner.DisplayName ownerId : getObjectAclOutput.Owner.ID grants append(grants, &newGrant) // 设置对象的ACL putObjectAclInput : &s3.PutObjectAclInput{ AccessControlPolicy: &s3.AccessControlPolicy{ Grants: grants, Owner: &s3.Owner{ DisplayName: &owner, ID: &ownerId, }, }, Bucket: aws.String(bucket), Key: aws.String(key), } ​ putObjectAclOutput, err : svc.PutObjectAcl(putObjectAclInput) if err ! nil { fmt.Printf("fail to put objec acl. %vn", err) return } fmt.Println(putObjectAclOutput) } 通过PutObjectAclRequest操作： PutObjectAclRequest操作首先生成一个"request.Request"对象，该对象是一个执行PutObjectAcl操作的请求。通过调用Request对象的Send方法来设置对象的ACL信息。该方法可以生成定制化的请求，例如自定义请求头部请求超时重试设置。 plaintext func PutObjectAclRequest(svc s3.S3) { bucket : " " key : " " permission : "READACP" // FULLCONTROL、WRITE、WRITEACP、READ、READACP granteeDisplayName : " " granteeId : " " userType : "CanonicalUser" // 获取当前acl currentACL, err : svc.GetObjectAcl(&s3.GetObjectAclInput{ Bucket: aws.String(bucket), Key: aws.String(key), }) if err ! nil { fmt.Printf("fail to get acl of object %v, %vn", key, err) os.Exit(1) } // 创建一个新的授权信息 var newGrantee s3.Grantee{ Type: aws.String(userType), DisplayName: aws.String(granteeDisplayName), ID: aws.String(granteeId), } var newGrant s3.Grant{Grantee: &newGrantee, Permission: &permission} grants : currentACL.Grants owner : currentACL.Owner.DisplayName ownerId : currentACL.Owner.ID grants append(grants, &newGrant) // 设置对象的ACL putObjectAclInput : &s3.PutObjectAclInput{ AccessControlPolicy: &s3.AccessControlPolicy{ Grants: grants, Owner: &s3.Owner{ DisplayName: &owner, ID: &ownerId, }, }, Bucket: aws.String(bucket), Key: aws.String(key), } req, putObjectAclOutput : svc.PutObjectAclRequest(putObjectAclInput) ​ err req.Send() if err ! nil { fmt.Printf("fail to put object ACL. %vn", err) } else { fmt.Println(putObjectAclOutput) } }

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

注意事项 5.6升级至5.7成功后，为避免连续升级后出现问题难恢复、难定位，后台默认需要一天的观察期，也请您在升级后在12小时内及时对业务进行验证，升级成功一天后即可继续对升级5.7成功的实例继续升级至8.0。如果前序升级成功一天后继续升级预检查报错，您可提交工单让运维人员解决此问题。 下发RDS for MySQL 5.7升级至8.0前，需进行预检查，请注意以下内容： − 预检查耗时与表数量相关，请您尽量在业务低峰期执行。 − 检查报告保留24小时，请及时下载。 − “检查参数”项失败时，请根据检查详情中的检查项，对照表 升级预检查项及修复建议进行修复，级别为error的检查项，必须修复才可升级，级别为warning的检查项，请知悉升级前后该内核特性的变化。 − 修复后需单击“重新检查”，获取新的检查结果。 只能从5.7的最新小版本升级到8.0的最新小版本。请先确认5.7版本已经是最新小版本，才能继续大版本升级。 大版本升级操作建议避开执行备份的时间窗。 升级大版本前建议先做一次全量备份。 升级数据库大版本过程将造成约10~120秒的业务中断，请确保您的应用有自动重连机制。请在业务低峰期执行该操作，在业务高峰期执行会导致升级时长变长。当前大版本升级为了保证数据完整性会在下发升级后几分钟内重启数据库进程，预计中断1分钟左右。如果您选择的是可维护时间段内升级，请注意此中断发生在可维护时间窗之前。 升级主实例大版本时，如有只读实例，也会同步升级只读实例的大版本（不支持单独升级只读实例的大版本）。 升级大版本后，实例会升级到新的内核大版本，不支持降级。 请务必仔细对比升级前后版本差异，建议您新建一个RDS for MySQL 5.7或8.0版本实例进行语法测试，避免应用使用的低版本语法或特性在升级高版本后不支持。 建议您将原实例数据恢复到新实例上面，先使用新实例进行升级测试，确认各项功能正常后再升级原实例。 内核大版本升级期间，自动扩容不生效，需要确保实例预留了足够的空间支撑升级过程中的业务写入。 大版本升级定时任务需预准备，设置后不可取消。 升级大版本后，升级前的备份将不可用于新版本实例，时间点恢复功能将不能选择升级前的时间点。 大版本升级过程中禁止event的DDL操作，如create event、drop event和alter event。 大版本升级后，规格参数会恢复到升级版本的默认值，包括以下参数：threadpoolsize、innodbbufferpoolsize、innodbiocapacity、innodbiocapacitymax、innodbbufferpoolinstances、backlog、maxconnections。 5.7版本和8.0版本实例存在相同参数取值范围不一样的情况，例如参数“maxexecutiontime”如果在5.7版本中设置为小于60000，大版本升级后将恢复成默认值0，这是因为8.0版本该参数最小值只能为60000。 MySQL大版本升级耗时与实例的数据量和表数量有关。

添加安全组规则 安全组中的入方向规则默认开启了22端口，当云主机的SSH登录端口修改为5000时，需要为安全组新加一条规则。 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，进入云主机控制台。 3.单击云主机名称“ecsf5a2”进入详情页面。 4.选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 5.添加一条入方向规则，如下图所示。 图 安全组规则 编辑hosts.allow和hosts.deny “/etc/hosts.allow”和“/etc/hosts.deny”是控制远程访问的文件，通过配置该文件可以允许或者拒绝某个IP或者IP段的客户访问Linux云主机的某项服务。 比如SSH服务，通常只对管理员开放，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。 因为云主机需要在不同地点登录，建议编辑“/etc/hosts.allow”允许所有IP地址登录，这样不会影响正常使用。 vim /etc/hosts.allow 在最后一行增加“sshd:ALL”。 我们可以通过一些方法识别云主机的安全风险，比如检查SSH状态，查看疑似恶意登录的IP，然后在“/etc/hosts.deny”中将这些地址禁止。

制作容器镜像 本节指导您通过Dockerfile定制一个简单的Web应用程序的容器镜像。Dockerfile是一个文本文件，其内包含了若干指令（Instruction），每一条指令构建一层，因此每一条指令的内容，就是描述该层应当如何构建。 使用Nginx镜像创建容器应用，在浏览器访问时则会看到默认的Nginx欢迎页面，本节以Nginx镜像为例，修改Nginx镜像的欢迎页面，定制一个新的镜像，将欢迎页面改为“Hello, SWR!”。 步骤 1 以root用户登录容器引擎所在机器。 步骤 2 创建一个名为Dockerfile的文件。 mkdir mynginx cd mynginx touch Dockerfile 步骤 3 编辑Dockerfile。 vim Dockerfile 增加文件内容如下： FROM nginx RUN echo ' Hello, SWR! ' > /usr/share/nginx/html/index.html Dockerfile指令介绍如下。 FROM语句：表示使用nginx镜像作为基础镜像，一个Dockerfile中FROM是必备的指令，并且必须是第一条指令。 RUN语句：格式为RUN ，表示执行echo命令，在显示器中显示一段“Hello, SWR!”的文字。 按“Esc”，输入 :wq ，保存并退出。 步骤 4 使用docker build [ 选项 ] 构建镜像。 docker build t nginx:v1 . t nginx:v1：指定镜像的名称和版本。 . ：指定Dockerfile所在目录，镜像构建命令将该路径下所有的内容打包给容器引擎帮助构建镜像。 步骤 5 执行以下命令，可查看到已成功部署的nginx镜像，版本为v1。 docker images