本章节为您介绍如何通过数据库审计审计云上RDS数据库。 背景说明 在云计算环境中，部分云上的关系型数据库服务（RDS）所依托的宿主机基于一系列安全策略与架构设计的考量，不允许数据库审计相关的产品部署Agent程序。 天翼云关系数据库MySQL版支持通过免Agent安装的方式进行数据库审计。 其他不支持免Agent安装的云上数据库，您可以通过在使用云上数据库的应用端云主机安装数据库审计Agent的方式来获取数据库流量，以便您对数据库进行审计。 通过免Agent的方式审计天翼云关系数据库MySQL版 注意 通过免Agent方式审计RDS数据库之前，首先需要开启SQL审计日志功能，具体操作请参考：关系型数据库MySQL版开启SQL审计日志。（II类资源池中仅支持一类节点的资源池） 1.登录数据库审计实例。 2.在左侧导航栏选择“系统管理 > 系统配置 > 日志采集方式”，确认是否已开始天翼云RDS日志采集。 3.确认完成后，需要在“资产 > 资产管理”下添加对应的RDS数据库资产，类型需选择“天翼云RDS > TeledbMySQL > 所有版本”，实例ID请参考关系数据库MySQL版控制台“实例名称/实例ID”。 注意 实例ID项只可以填实例ID，切勿填写自定义的RDS实例名称。 4.剩余配置项完成后，单击“保存”即可纳管RDS数据库并审计，需要配置审计规则请参考：审计规则配置章节。

本章节介绍HSS授权项说明。 如果您需要对您所拥有的HSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用HSS服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

数据治理是组织和管理数据资源的过程，旨在确保数据的质量、安全性、可靠性、可访问性和合规性，以支持企业决策和运营需求。TeleDB目前只支持对数据倾斜和冷热数据分级存储两种场景提供有效的数据治理方案，并将之集成到数据库内核中。 数据倾斜方案 数据倾斜‌是指在分布式数据库中，数据分布不均匀的现象。具体是指当大量的相同key被分配到同一个分区或节点进行处理时，就会导致该节点承载过多的数据或计算负载，而其他节点则相对空闲的现象。例如在大商户中每天的数据量和一个小商户的数据量相差较大，大商户一个月的数据可能就会把一个DN的空间塞满，这时无论用户使用hash分布表还是shard表，同一个商户的数据都只会落到一个数据节点，从而导致该系统无法存储更多的数据而停机。 为了有效的应对这个问题，TeleDB团队设计了数据重平衡（RDA算子模块）来解决数据倾斜问题： 首先我们把系统的DN分为group，每个group里面： 包含一个或者多个DN。 每个group有一个shardmap。 在建sharded表时，可以指定存储的group，也就是可以指定存储在group1或group2。 CN可以访问所有的group，而且CN上也存储所有表的访问方式信息。 对于系统中数据量较大用户进行特别的识别，并为他们创建白名单。不同的用户使用不同的数据分布逻辑，具体如下图所示： 普通用户使用默认的数据分布逻辑，即：Shardid Hash(merchantid) %

您可以创建IAM子用户，为IAM用户授予不同的权限，提供给企业各部门来管理短信服务资源，避免用户共用云账号密钥，降低企业信息安全风险。 背景信息 云通信支持通过IAM创建IAM子账号，并为其授予云通信的操作或查看权限，便于多用户协同操作。 IAM支持为用户绑定自定义权限策略，需要主用户创建对应的策略机制。 权限策略 权限策略包含系统策略 和 自定义策略 ，您可以根据需求选择系统策略或自定义策略，为IAM子账号进行授权。 系统策略 系统策略权限定义如下表所示： 策略名称 作用 适用范围 SMS admin 用于管理云通信服务的权限，包含读写。 能够进入短信服务控制台，使用控制台的所有操作。 SMS viewer 用于只读云通信服务的权限，仅可查看。 仅查看控制台，不做任何操作。 自定义策略 如果系统策略无法满足您的需求，您可以自定义符合您要求的权限策略。 1.使用天翼云账号登录这里进入IAM系统。 2.在左侧导航栏点击策略管理。 3.在右上角点击创建自定义策略按钮。 为IAM子账号授权

本章节主要介绍数据目录相关问题。 数据目录组件有什么用？ 数据目录的核心是通过元数据采集任务，采集并展示企业的数据资产地图，包括所有的元数据信息和数据血缘关系。 数据目录支持采集哪些对象的资产？ 数据目录目前支持采集的资产有：数据仓库服务（DWS）、MapReduce服务（MRS HBase）、MapReduce服务（MRS Hive）、MySQL、云数据库 RDS（DataArts Studio仅支持MySQL和PostgreSQL数据库）。 什么是数据血缘关系？ 大数据时代，数据爆发性增长，海量的、各种类型的数据在快速产生。这些庞大复杂的数据信息，通过联姻融合、转换变换、流转流通，又生成新的数据，汇聚成数据的海洋。 数据的产生、加工融合、流转流通，到最终消亡，数据之间自然会形成一种关系。我们借鉴人类社会中类似的一种关系来表达数据之间的这种关系，称之为数据的血缘关系。与人类社会中的血缘关系不同，数据的血缘关系还包含了一些特有的特征： 归属性 ：一般来说，特定的数据归属特定的组织或者个人，数据具有归属性。 多源性 ：同一个数据可以有多个来源（多个父亲）。一个数据可以是多个数据经过加工而生成的，而且这种加工过程可以是多个。 可追溯性 ：数据的血缘关系，体现了数据的生命周期，体现了数据从产生到消亡的整个过程，具备可追溯性。 层次性 ：数据的血缘关系是有层次的。对数据的分类、归纳、总结等对数据进行的描述信息又形成了新的数据，不同程度的描述信息形成了数据的层次。 如图所示数据血缘关系示例

当用户认为存储库的总容量不足时，可以通过执行扩容操作来增加存储库的容量。 自动扩容 如果希望存储库在容量达到上限时，自动进行扩容，可以开启自动扩容功能。 开启自动扩容后，当存储库的已存储容量超过上限时，存储库将自动扩容至原存储库容量的1.25倍。 如果存储库超出容量后开启自动扩容，自动扩容不生效。 计费模式为“包年包月”的存储库不支持开启自动扩容。 1. 登录云服务备份管理控制台。 2. 在任一备份页面，找到目标存储库，单击目标存储库名称。 3. 在存储库详情页面，找到“自动扩容”，编辑自动扩容状态，修改为开启。“自动扩容”一栏已变更为“是”时，表示自动扩容开启成功。 4. （可选）如不再需要自动扩容功能，编辑自动扩容状态，修改为关闭即可。“自动扩容”一栏已变更为“否”时，表示已关闭自动扩容。 扩容存储库 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在任一备份页面，找到目标存储库，单击存储库所在列的“更多 > 扩容”。如下图所示。 图 扩容存储库 3. 输入需要新增的容量。最小值为1GB。 4. 单击“立即申请”。确认信息无误后，单击“提交”。系统会自动为存储库扩容。 5. 返回存储库列表，可以看到存储库已成功扩容。

本章节介绍数据库服务器备份的基本概念，包含产品定义，应用一致性，约束与限制，以及与云主机备份的对比。 数据库服务器备份简介 业界对备份一致性的定义包括如下三类： 不一致备份：备份的文件、磁盘不在同一个时间点。云服务备份中的云主机备份提供对弹性云服务器的基于多云硬盘一致性快照技术的数据保护。如果使用云硬盘备份进行多个磁盘单独备份，多个磁盘由于备份时间点不一致，会出现不一致备份。 崩溃一致性备份：崩溃一致性备份会捕获备份时磁盘上已存在的数据，文件或磁盘数据在同一时间点，但不会备份内存数据并且静默应用系统，不保证应用系统备份一致性。尽管并未保证应用一致性，但通常情况下，操作系统重启后会进行chkdsk等磁盘检查过程来修复各种损坏错误，数据库会进行日志回滚操作保证一致性。 应用一致性备份：文件或磁盘数据在同一时间点，并备份内存数据，保证应用系统一致性。 云服务备份同时支持崩溃一致性备份和应用一致性备份（即数据库服务器备份）。下文均将应用一致性备份称为数据库服务器备份。 当云服务器部署MySQL或SAP HANA等数据库，通过云服务备份的数据库服务器备份功能，可完成对云服务器数据及应用缓存的备份。崩溃一致性备份在不停机期间仅能完成对数据和部分应用缓存的备份。在发生系统故障、数据丢失的事件时，使用数据库服务器备份，即可快速重启业务。而使用崩溃一致性备份可能会出现部分应用配置恢复不完全的情况。

设置开机自动挂载磁盘分区 您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。已有数据的云主机也可以进行设置，该操作不会影响现有数据。 本文介绍如何在fstab文件中使用UUID来设置自动挂载磁盘分区。不建议采用在“/etc/fstab”直接指定设备名（比如/dev/vdb1）的方法，因为云中设备的顺序编码在关闭或者开启云主机过程中可能发生改变，例如/dev/vdb1可能会变成/dev/vdb2，可能会导致云主机重启后不能正常运行。 说明 UUID（universally unique identifier）是Linux系统为磁盘分区提供的唯一的标识字符串。 步骤1 执行如下命令，查询磁盘分区的UUID。 blkid 磁盘分区 以查询磁盘分区“/dev/vdb1”的UUID为例： blkid /dev/vdb1 回显类似如下信息： plaintext [root@ecstest0001 ~] blkid /dev/vdb1 /dev/vdb1: UUID"0b3040e213674abb841dddb0b92693df" TYPE"ext4" 表示“/dev/vdb1”的UUID。 步骤2 执行以下命令，使用VI编辑器打开“fstab”文件。 vi /etc/fstab 步骤3 按“i”，进入编辑模式。 步骤4 将光标移至文件末尾，按“Enter”，添加如下内容。 UUID0b3040e213674abb841dddb0b92693df /mnt/sdc ext4 defaults 0 2 步骤5 按“ESC”后，输入“:wq”，按“Enter”。 保存设置并退出编辑器。 步骤6 执行以下步骤，验证自动挂载功能。 1. 执行如下命令，卸载已挂载的分区。 umount 磁盘分区 命令示例： umount /dev/vdb1 2. 执行如下命令，将“/etc/fstab”文件所有内容重新加载。 mount a 3. 执行如下命令，查询文件系统挂载信息。 mount grep 挂载目录 命令示例： mount grep /mnt/sdc 回显类似如下信息，说明自动挂载功能生效： plaintext root@ecstest0001 ~]

本章节主要介绍分布式消息服务RabbitMQ的心跳检测特性。 RabbitMQ实例提供了心跳功能，以确保应用程序层及时发现中断的连接和完全无响应的对端。心跳还可以防止某些网络设备在一段时间内由于没有活动而中断TCP连接。 心跳超时时间 心跳超时时间定义了对等TCP连接在多长时间后被服务端和客户端视为关闭。 在RabbitMQ服务端和客户端分别设置心跳超时时间，服务端和客户端会对配置的心跳超时时间进行协商，客户端必须配置该值来发送心跳。RabbitMQ官方团队维护的3个客户端（Java、.NET、Erlang语言）的心跳超时时间协商逻辑如下： 服务端和客户端设置的心跳超时时间都不为0时，两者间较小的值生效。 服务端和客户端任意一端设置的心跳超时时间为0，另一端不为0时，非0的值生效。 服务端和客户端的心跳超时时间都设置为0时，表示禁用心跳。 更多关于心跳检测的说明，请参考Detecting Dead TCP Connections with Heartbeats and TCP Keepalives。 心跳帧 心跳帧发送时间间隔为心跳超时时间/2，该值有时也被称为心跳间隔。客户端在两次错过心跳后，会被认为是不可达的。不同的客户端会以不同的方式显示这一点，但TCP连接将被关闭。当客户端检测到服务端由于心跳而无法访问时，需要重新连接。 任何流量（如协议操作、消息发布、消息确认、心跳帧等）都会被认为是有效的心跳。如果连接上有其他流量，客户端可以选择发送心跳帧，也可以选择不发送。如果连接上没有其他流量，客户端必须发送心跳帧。

场景三：解决SQL注入风险的告警误报 DBSS提供SQL注入检测功能，并内置了一些SQL注入检测规则。您也可以自行添加SQL注入检测规则。 示例：若某些语句命中了SQL注入规则，但是经分析发现该语句并不是一条攻击语句，是自己程序生成的合法语句，如图所示。 SQL注入误报 为了避免DBSS对误报SQL的持续告警，您可以通过设置白名单来解决该误报问题。 风险规则的优先级高于SQL注入规则。 如图所示，执行的SQL语句如下： SELECT COUNT( ) FROM informationschema.TABLES WHERE TABLESCHEMA 'adventureworks' UNION SELECT COUNT( ) FROM informationschema.COLUMNS WHERE TABLESCHEMA 'adventureworks' UNION SELECT COUNT() FROM informationschema.ROUTINES WHERE ROUTINESCHEMA 'adventureworks' 分析语句关键信息：该语句用SELECT语句访问informationschema库的TABLES表。 配置操作如下： 1. 进入风险操作页面进行险操作 2. 单击添加风险操作，填写规则信息。填写规则信息 如图所示，填写的规则表示：在informationschema库的TABLES表执行的SELECT语句为无风险。 添加“操作对象”时，单击“添加操作对象”，填写“目标数据库”和“目标表”，单击“确认”，完成添加。 添加SQL注入白名单操作对象 3. 单击下方“确认”，添加规则成功。设置完成后，再次检测到该语句时，优先命中该条规则，识别为无风险将不再告警。

本文简述Refere防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源链接；拒绝访问请求，CDN会返回403响应码。 注意事项 只对拉流域名生效。 该功能为可选项，默认不启用。 Referer黑名单与Referer白名单互斥，不支持同时设置。 黑名单或白名单中的域名最多支持配置400条。 操作步骤 以推拉流场景下的拉流域名为例，操作步骤如下： 1. 登录直播控制台。 2. 在【域名列表】页面，单击目标域名操作列中的【编辑】。 3. 单击【访问控制】。 4. 单击【Referer防盗链】。 5. 单击Referer防盗链开关进行启用。 6. 按需启用【是否允许空referer访问】。 7. 设置类型，可选【白名单】或【黑名单】。 参数 说明 是否允许空referer访问 可以设置是否允许空Referer字段访问资源，即是否允许通过浏览器地址栏直接访问资源URL。 类型 支持黑名单和白名单模式。 ● 白名单：允许名单内的域名或IP请求访问资源，拒绝其它域名和IP请求访问。 ● 黑名单：允许非名单内的域名和IP请求访问资源，拒绝名单中的域名或IP请求访问。 黑白名单规则 黑名单或白名单中的域名/IP。最多添加400个，使用换行符分隔，支持通配、支持IP、支持端口。 鉴权范围 配置需要进行鉴权的协议。如果未配置，则默认对所有请求进行校验。 8. 配置完成后，提交保存。

本章节会介绍如何开启或关闭事件定时器。 操作场景 事件定时器Event Scheduler是事件（event）调度任务的总开关。由于原生事件定时器不能保证主、备库的event状态一致，一旦进行主备切换会导致event调度失败。关系型数据库MySQL提供了event状态同步功能，确保相关的event正常调度。该功能依赖在console上开启、关闭事件定时器来实现。 创建实例时，事件定时器默认不开启。 主、备实例切换后，事件状态同步是否开启保持不变，依然保持主库“eventscheduler”为“on”，备库为“off”。 恢复到新实例时，事件状态与原实例保持一致。 单机实例转为主备实例，事件状态与主实例保持一致。 约束条件 仅支持MySQL内核5.6.43.2、5.7.25.2和8.0.17.4及其以上版本。若您的数据库版本不在该范围内但想使用该功能，请参考升级内核小版本进行升级。 不支持只读实例开启此功能。 开启事件定时器功能 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的主备实例，单击主实例名称。 步骤 5 在“基本信息”，在“数据库信息”模块的“事件定时器”处，单击。 注意 开启事件定时器后，请重新激活之前创建的事件（即重新执行事件脚本），确保主、备的事件状态一致。 结束

本节介绍了通过SQL命令安装和卸载插件的相关内容。 通过SQL命令安装和卸载插件 本章节提供基于root用户的PostgreSQL插件管理方案，下列插件无需用户手动创建，其他插件均需要参考本章节内容手动创建。 autoexplain passwordcheck pgprofilepro pgsqlhistory plpgsql wal2json testdecoding 说明 RDS for PostgreSQL插件是数据库级生效，并不是全局生效。因此创建插件时需要在对应的业务库上进行手动创建。 RDS for PostgreSQL 11及以上版本的最新小版本，支持以root用户通过社区的方式来创建(create extension)、删除(drop extension)插件。 创建插件 以root用户连接需要创建插件的数据库，执行如下SQL创建插件。 select controlextension('create',' ', ' '); EXTENSIONNAME为插件名称，请参见支持的插件列表。 SCHEMA为模式名称，指定创建插件的模式位置，不指定该参数时默认为public模式。 示例如下： 创建postgis插件，创建位置为public schema。 plaintext 指定创建插件schema位置为public select controlextension('create','postgis', 'public'); controlextension create postgis successfully. (1 row) schema参数未指定时，默认schema位置为public select controlextension('create', 'postgis'); controlextension create postgis successfully. (1 row) 删除插件 以root用户连接需要创建插件的数据库，执行如下SQL删除插件。 select controlextension('drop',' ', ' '); EXTENSIONNAME为插件名称，请参见支持的插件列表。 SCHEMA为模式名称，在删除插件时参数无意义，可以不指定该参数。 示例如下： plaintext select controlextension('drop','postgis'); controlextension drop postgis successfully. (1 row)

本章节主要介绍部分Redis命令使用时的限制。 Key相关命令使用限制 使用KEYS命令时，若缓存数据量较大，可能会较长时间阻塞其它业务命令操作，甚至可能过高地占用额外内存。因此使用KEYS命令时请尽量描述精确的pattern、不要使用“keys ”进行全通配。建议尽量避免在生产环境使用，否则会影响服务的健康运行。 Server相关命令使用限制 当用户执行比较耗时的命令（如flushall）时，可能会导致缓存实例在命令执行期间对外不响应用户的其它命令，造成状态监控失效，此时Console上缓存实例的状态会变成异常，命令执行结束后，实例状态会恢复正常。 使用FLUSHDB、FLUSHALL命令时，若缓存数据量较大，可能会较长时间阻塞其它业务命令操作。 EVAL和EVALSHA相关命令使用限制 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key。否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误。 使用EVAL和EVALSHA命令时，DCS Redis集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot，具体请参考 使用EVAL命令时： 建议使用前先了解Redis的lua脚本特性，具体可参考 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码，比如长时间的sleep、大的循环等语句 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致。

本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 开启了云审计服务后，系统开始记录DCS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 说明 此处请选择与您的应用服务相同的区域。 3. 单击页面上方的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，事件来源选择“DCS”。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 起始时间、结束时间：可通过选择时间段查询操作事件。 5. 在需要查看的记录左侧，单击展开该记录的详细信息 6. 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如下图所示，显示了该操作事件结构的详细信息。 查看事件

本章节介绍如何在服务网格中实现流量标签的打标及路由等 概述 在应用服务网格中可以通过自定义的资源（TrafficLabel）实现对请求流量的打标，进而可以基于流量的标签进行单服务及全链路的路由、策略控制等。本文介绍流量打标原理，流量标签管理，流量标签配置示例及详细说明。 流量打标原理 流量打标就是要给流量打上标签，进而可以对流量进行路由等策略配置。当前CSM服务网格支持从请求头部或者工作负载本身的标签中取值作为流量的标签；同时还支持在调用链中透传流量标签信息，用于实现全链路的标签路由策略。 流量标签配置实例 下面是一个流量标签的配置示例，定义了一个流量标签userdefinelabel1，会取当前pod的CSMTRAFFICTAG标签值作为userdefinelabel1的值添加到请求头部里面；同时还定义了另外一个userdefinelabel2标签，该标签定义优先从请求的xtraffictag头部取值，同时使用Envoy生成的xrequestid作为上下文key，在整个调用链路中透传该标签；如果打标失败了，会按照valueFrom数组中下一个定义继续取值，取到第一个非空值时停止。 plaintext apiVersion: istio.ctyun.cn/v1beta1 kind: TrafficLabel metadata: name: trafficlabelexample namespace: demo spec: rule: labels: name: userdefinelabel1 valueFrom: $getLabel(CSMTRAFFICTAG) name: userdefinelabel2 valueFrom: $getInboundRequestHeaderWithContext (xtraffictag, xrequestid) $getLabel(CSMTRAFFICTAG) 当前CSM服务网格支持的流量打标方式有以下几种： 函数 说明 示例 getInboundRequestHeader(headerName) 从Inbound方向的请求header中取值；只应用于istio ingress网关。 请求headerName：v1 打标后： userdefinelabel: v1 getInboundRequestHeaderWithContext(headerName, contextKey) 从Inbound方向的请求header取值，同时从contextKey头部取值作为流量标签在上下文透传的key； 该头部可以是用于实现链路追踪上下文透传的头部，比如xrequestid、xb3traceid或者您的业务中使用的自定义头部； 该函数只适用于sidecar。 请求： contextID: 1234abcd headerName: v1 打标后： contextID: 1234abcd headerName: v1 userdefinelabel: v1 getOutboundRequestHeader(headerName) 从outbound方向的请求头部取值，只适用于sidecar。 请求headerName：v1 打标后： userdefinelabel: v1 getLabel(labelName) 从pod的标签取值；适用于istio ingress网关和sidecar。 Pod标签： labelName: v1 打标后： userdefinelabel: v1

本节主要介绍弹性文件服务包含哪些文件系统类型。 弹性文件服务提供SFS容量型和SFS Turbo两种类型的文件系统。 以下表格介绍了各类型文件系统的特点、优势及应用场景。 SFS容量型 参数 说明 最大带宽 2GB/s 最高IOPS 2K 时延 3~20ms 最大容量 4PB 优势 大容量、高带宽、低成本 应用场景 大容量扩展以及成本敏感型业务，如媒体处理、文件共享、HPC、数据备份等。 说明 时延是指低负载情况下的最低延迟，非稳定时延。 10MB以上为大文件，1MB以上为大IO。 SFS TURBO SFS Turbo文件系统新规格 参数 20MB/s/TiB 40MB/s /TiB 125MB/s /TiB 250MB/s /TiB 500MB/s /TiB 1000MB/s/TiB 最大带宽 8GB/s 8GB/s 20GB/s 20GB/s 80GB/s 80GB/s 最大IOPS 25万 25万 100万 100万 100万 100万 平均单路4K延迟 25ms 25ms 13ms 13ms 13ms 13ms 容量 3.6TB1PB 1.2TB1PB 1.2TB1PB 1.2TB1PB 1.2TB1PB 1.2TB1PB 介质类型 HDD HDD SSD SSD ESSD ESSD 优势 大容量、低成本 大容量、低成本 低时延、高性价比 低时延、高性价比 高IOPS、性能高密 高IOPS、性能高密 典型应用场景 日志存储、文件共享、内容管理、网站等 日志存储、文件共享、内容管理、网站等 AI训练、自动驾驶、EDA仿真、渲染、企业NAS应用、高性能web应用等 AI训练、自动驾驶、EDA仿真、渲染、企业NAS应用、高性能web应用等 大规模AI训练、AI大模型、AIGC等 大规模AI训练、AI大模型、AIGC等 说明 SFS Turbo新规格的性能与购买的容量大小成正比。购买SFS Turbo文件系统的容量越大，该SFS Turbo所能够提供的带宽也越大。根据每1TiB容量所能提供带宽的区别，SFS Turbo实例分为多个规格，分别为：20MB/s/TiB，40MB/s/TiB，125MB/s/TiB，250MB/s/TiB，500MB/s/TiB，1000MB/s/TiB。 例如，购买6TiB容量的SFS Turbo文件系统，规格为250MB/s/TiB，则该SFS Turbo能提供的带宽为：250 6 1500MB/s。 SFS Turbo最小带宽为150M/s。当计算出来的带宽小于150M/s时，SFS Turbo带宽以最小带宽150M/s计算。由于不同规格架构的限制，每个规格都有一个最大带宽。当计算出来的SFS Turbo带宽大于最大带宽时，SFS Turbo带宽以最大带宽计算。

本文介绍如何创建函数、管理函数。 创建函数 1. 登录CDN控制台。 2. 单击左侧导航栏【边缘函数】【函数管理】，进入【函数管理】页面。 3. 单击右上角的【+创建函数】。 4. 进入创建函数页，填写【函数名称】、选择【函数规格】和【语言类型】，填写完成后单击【创建触发器】。 参数 说明 函数名称 请输入函数名称，目前只支持小写字母、数字、下划线，开头结尾只允许小写字母和数字。名称长度264字符。函数名称创建后无法修改。 函数规格 函数代码单次执行过程中，CPU运行时间最大值。支持10ms、50ms、100ms三种规格。 语言类型 当前支持JavaScript，后续会继续扩展更多编程语言。 触发器 边缘函数需要域名作为入口供客户端访问，域名使用已配置的CDN加速域名。 函数模板 当前根据常见客户场景提供预制代码，帮助您快速体验并为您的CDN加速域名扩展自定义功能。 选择函数模板部署完成后，您可以从函数详情>版本与发布>快速编辑进行代码开发、测试与部署。 5. 进入创建触发器页，选择【作用域名】，将函数绑定到具体的域名上。 参数 说明 触发器类型 用于触发函数计算的入口，目前支持HTTP触发器：使用您的CDN加速域名作为入口供客户端访问。 作用域名 当您创建HTTP触发器时，需要关联您名下的加速CDN加速域名。 HTTP路由 函数根据具体路由规则生效，支持通配符配置，例如：/h5/abc 旁路触发 旁路触发生效后，符合规则的客户端请求将被发送到边缘函数执行，随后继续执行CDN加速域名配置并回源，适合于一些鉴权校验或日志打点的场景。旁路触发关闭时，符合规则的客户端请求将被发送到边缘函数，执行个性化处理。 注意 边缘函数目前仅允许在特定资源池使用。创建函数触发器时，首先确保您要绑定的域名为CDN加速且状态为已启用的域名，若满足上述条件后仍无法选到域名，说明该域名未使用边缘函数的特定资源池，请提交工单申请将域名迁移到边缘函数特定资源池后再创建触发器。 6. 选择合适的【函数模板】，单击页面右下角的【创建函数】提交创建函数的请求。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

类型 参数 说明 Index settings参数 vector 当需要使用向量索引加速时，需要设置该值为true。 Field mappings参数 type 字段类型，“vector”表示该字段为向量字段。 Field mappings参数 dimension 向量数据维度。 取值范围：[1, 4096] Field mappings参数 indexing 是否开启向量索引加速。 可选值： l false：表示关闭向量索引加速，向量数据仅写入docvalues，只支持使用ScriptScore以及Rescore进行向量查询。 l true：表示开启向量索引加速，系统将创建额外的向量索引，索引算法由"algorithm"字段指定，写入数据后可以使用VectorQuery进行查询。 默认值：false。 Field mappings参数 algorithm 索引算法。仅当“indexing”为“true”时生效。 可选值： l FLAT：暴力计算，目标向量依次和所有向量进行距离计算，此方法计算量大，召回率100%。适用于对召回准确率要求极高的场景。 l GRAPH：图索引，内嵌深度优化的HNSW算法，主要应用在对性能和精度均有较高要求且单shard中文档数量在千万个以内的场景。 l GRAPHPQ：将HNSW算法与PQ算法进行了结合，通过PQ降低原始向量的存储开销，能够使HNSW轻松支撑上亿规模的检索场景。 l IVFGRAPH：算法将IVF与HNSW结合，对全量空间进行划分，每一个聚类中心向量代表了一个子空间，极大地提升检索效率，同时会带来微小的检索精度损失。适用于数据量在上亿以上同时对检索性能要求较高的场景。 l IVFGRAPHPQ：PQ算法与IVFHNSW的结合，PQ可以通过配置选择与HNSW结合和IVF结合，进一步提升系统的容量并降低系统开销，适用于shard中文档数量在十亿级别以上同时对检索性能要求较高的场景。 默认值：GRAPH。 说明 当选择IVFGRAPH或者IVFGRAPHPQ索引时，需要额外进行预构建中心点索引以及注册等步骤，具体内容请参考 Field mappings参数 见下表“可选参数说明” 当使用向量索引加速时（即“indexing”为“true”时），为了获得更高的查询性能以及查询精度，ES提供了与向量索引相关的可选参数配置。 Field mappings参数 metric 计算向量之间距离的度量方式。 可选值： l euclidean：欧式距离。 l innerproduct：内积距离。 l cosine：余弦距离。 l hamming：汉明距离。 默认值：euclidean

本文介绍如何使用ECX部署OpenClaw QQ机器人。 注意 配置QQ机器人之前，请先确保已经购买ECX虚拟机并配置大模型服务。具体操作步骤，可参考指引：使用ECX部署OpenClaw。 创建QQ机器人并获取配置 1、注册QQ开放平台账号：登录++QQ开放平台++，默认无法使用个人QQ账号直接登录，需要新注册（可使用您的个人QQ账号申请主体类型为个人的开发者账号）。 说明 您也可以通过QQ开放平台龙虾专用入口快速创建机器人。 对应页面及链接由外部平台提供，可能随时更新，请留意链接有效性、检查域名真实性，谨防访问假冒网站上当受骗。 2、创建机器人。 成功登录QQ开放平台后，选择机器人标签页，创建机器人。 录入相应配置信息，点击确认提交。 点击机器人进入详情页。 点击管理开发管理，获取AppID、AppSecret等信息，记录下来。 3、沙箱配置。 进入开发沙箱配置，在消息列表配置，点击添加成员，添加自己的账号，选择单独聊天。 说明 此处已创建的QQ机器人无需进行发布上架对所有QQ用户公开使用，在开发者私人的（沙箱）调试下使用体验即可。 QQ开放平台目前不支持机器人“在QQ群配置”操作，只支持单独和QQ机器人聊天。 添加成员后，通过该成员的QQ扫码来添加机器人。

本文主要介绍如何管理弹性负载均衡的证书。 证书使用场景 当您为弹性负载均衡添加HTTPS监听器来转发业务请求时，您需要选择SSL解析认证方式。单向认证需要为监听器配置服务器证书，双向认证需要同时配置服务器证书和CA证书。 表SSL解析方式 SSL认证方式 说明 单向认证 仅客户端对服务器端进行认证，您需要为监听器绑定服务器证书，用于验证服务器身份。 双向认证 弹性负载均衡实例与客户端互相提供身份认证，从而允许通过认证的用户访问实例。您需要为监听器绑定服务器证书和CA证书，分别用于验证服务器和客户端的身份，后端服务器无需额外配置双向认证。 负载均衡器支持三种类型的证书，主机证书、CA证书、主机SM双证书。 表证书类型 证书类型 说明 主机证书 在使用HTTPS协议时，主机证书用于SSL握手协商过程验证服务器的身份，需提供证书内容和私钥。 CA证书 又称客户端CA公钥证书，用于验证客户端证书签发机构的身份。在配置双向认证功能时，只有当客户端能够出具指定CA签发的证书时，才能成功建立连接。 主机SM双向证书 在使用HTTPS协议时，若采用商密SSL协议，需提供双证书。双证书包括签名证书 和加密证书，需成套使用。 签名证书：在签名时使用，仅用于验证身份使用，其公钥和私钥均由服务器自己产生，并由服务器自己保管，证书颁发机构（Certificate Authority，简称“CA”）不负责其保管任务。 加密证书：在密钥协商时使用，其私钥和公钥均由CA产生，并由CA保管（存根）。 说明 主机SM双证书功能陆续上线中，请以控制台实际显示为准。

本文介绍AOne在游戏行业的最佳实践。 背景信息 游戏行业是一个高度竞争和快节奏的行业，吸引了大量的在线玩家。在这个行业中，游戏运营商需要提供高性能、稳定可靠的游戏体验，同时保护游戏服务器和用户数据免受安全威胁。游戏服务的安全和性能直接影响到用户满意度、用户留存率以及游戏收入。为了满足游戏行业的挑战，许多游戏运营商都在寻求安全与加速服务解决方案来保护游戏服务器和提高游戏性能。 天翼云边缘安全加速平台AOne基于DDoS攻击防护、CC攻击防护和高性能CDN动静态加速能力，保障游戏的稳定性和可用性。 技术架构 应用场景 在线多人游戏服务器的安全防护 业务挑战：在线多人游戏服务器常常成为DDoS攻击和CC攻击的目标，这些攻击可能导致游戏服务器的过载和服务不可用，影响玩家的游戏体验。 方案优势：AOne提供强大的DDoS防护和CC攻击防御功能，可以实时监测和过滤恶意流量，确保游戏服务器免受攻击。这样可以保障游戏的稳定性和可用性，提高在线游戏的安全性。 在线游戏内容的全球加速传输 业务挑战：玩家分布在全球各地，下载游戏客户端或更新内容时，可能会面临较长的下载时间和高延迟。 方案优势：通过内容分发网络（CDN）技术，AOne在全球各地部署服务器节点，将游戏的静态资源缓存在离玩家最近的节点上。这样可以大大减少资源加载时间和延迟，提高玩家下载游戏内容的速度，优化玩家的游戏体验。

本文介绍边缘接入服务IP应用加速域名基本信息。 功能介绍 域名基本信息，主要包括添加加速域名、实例名称、验证域名归属权、选定正确的加速区域，是否开启IPv6开关，是您使用天翼云边缘接入服务IP应用加速最基础且关键的一步。 基本信息涉及的相关功能如下： 加速域名： 即您需要加速的域名，如果加速区域选择中国内地时，该域名必须完成备案，除此之外，所有域名都需要先完成域名归属权验证，参照：验证域名归属权。 实例名称：选择无域名接入方式后，您可以自定义实例名称来标识您的应用。 加速区域： 您可以按需配置仅对中国内地用户加速，或者仅加速中国内地以外的用户，即全球（不含中国内地），或者加速全球用户。 启用IPv6：按需开启IPv6，不开启的情况下仅支持IPv4用户访问，开启后IPv4和IPv6用户访问均支持。 配置说明 新增接入，配置域名/实例的基本信息步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 填写基本信息，包括填写加速域名/实例名称、加速区域的选择、是否启用IPv6等。 编辑域名/实例，修改域名/实例基本信息步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击IPv6解析开关，修改IPv6配置。 4. 在首页列表页面，点击实例名称后的铅笔，可修改实例名称。 注意 域名/实例新增时，默认启用IPv6，如无需IPv6请自行关闭。

本节主要介绍GET Bucket (List Objects)。 此操作用来返回Bucket中部分或者全部（最多1000）的Object信息。用户可以在请求元素中设置选择条件来获取Bucket中的Object的子集。 请求语法 GET / HTTP/1.1 Host: BucketName.ooscn.ctyunapi.cn Date: date Authorization: SignatureValue 请求参数 名称 描述 是否必须 ::: BucketName 存储桶名称。 类型：字符串。 是 delimiter 分隔符，一个用来对关键字们进行分组的字符。所有的关键字都包含delimiter和prefix间的相同子串，prefix之后第一个遇到delimiter的字符串都会加到一个叫CommonPrefix的组中。如果没有特别定义prefix，所有的关键字都会被返回，但不会有CommonPrefix。delimiter 只支持”/”，不支持其他分隔符。 类型：字符串。 否 marker 分页标识。还有需要返回的用户时，上条响应结果中会返回该参数。查看未显示项时，请求参数中需要携带此参数。 类型：字符串。 取值：与上条响应中返回的结果值相同。 否 maxkeys 设置响应中最多返回的条数。如果存在超出您指定的返回项，则IsTruncated响应元素为true，表示需要再次发送请求查看未显示的项。查看未显示的项时，需要携带响应参数Marker的值。 类型：整型。 取值：1~1000，默认值为1000。 否 prefix 前缀用来限制返回的结果必须以这个前缀开始，可以通过前缀将bucket分为若干个组。 否 encodingtype 指定响应中Delimiter、Marker、Prefix、NextMarker、Key、CommonPrefixes.Prefix的编码类型。如果Delimiter、Marker、Prefix、NextMarker、Key、CommonPrefixes.Prefix包含xml 1.0标准不支持的控制字符，可通过设置该参数对响应中的Delimiter、Marker、Prefix、NextMarker、Key、CommonPrefixes.Prefix进行编码。 类型：字符串。 取值：url，字母不区分大小写。 否

本章节主要介绍云搜索服务如何查看审计日志。 在您开启了云审计服务后，系统会记录云搜索服务的相关操作，且控制台保存最近7天的操作记录。本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1.登录云审计服务管理控制台。 2.在管理控制台左上角单击图标，选择区域。 3.在左侧导航栏中，单击“事件列表”，进入“事件列表”页面。 4.事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 a.在下拉框中选择查询条件。 b.其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 c.选择资源ID时，还需输入某个具体的资源ID。 d.选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 5.在需要查看的事件左侧，单击展开该事件的详细信息。 6.单击需要查看的事件“操作”列的“查看事件”，可以在弹窗中查看该操作事件结构的详细信息。 更多关于云审计服务事件结构的信息，请参见《云审计服务用户指南》。

您可根据业务需要,手动退订实例来释放资源。本文为您介绍如何退订关系数据库MySQL版实例。 约束限制 退订主实例时，如果存在只读实例、数据库代理，将会同时退订。且只读实例和代理实例退订即刻销毁，不会进入回收站，仅主实例进入回收站。 当前实例如果已经被drds实例关联，则禁止退订，需要前往drds控制台解除关联才可以退订实例。 对于I类型资源池，如果订购时选择使用对象存储ZOS产品存储备份数据，用户实例退订后，备份还是会继续收费，直至实例冻结期满被彻底删除，收费信息，请参见对象存储ZOS的计费项。您也可以选择提前注销实例避免扣费。 说明 具体涉及到退订的费用以及规则，详细请参见退订规则说明。 退订MySQL数据库，不满整月的按当月实际发生天数退还费用。 退订实例，主实例会进入回收站，您可以在回收站重建该实例，具体操作，请参见实例回收站。 操作步骤退订 注意 在申请退订MySQL实例前，请做好相关的数据备份。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 退订。 4. 在退订页面，阅读完提示后，可对实例进行退订。 5. 会给当前登录账号的手机发送验证码，验证成功即可退订。

MCP(Model Context Protocol)是一项开源协议,使应用程使用标准化协议向大语言模型(LLM)提供上下文,使模型能够安全灵活的接入各类工具和数据源。本文将介绍如何创建托管MCP服务。 功能介绍 MCP服务管理支持直接代理模式，适用于原生支持MCP协议的服务。该模式能够实现高效的流式通信和上下文保持，特别适合高并发、长连接的场景，例如 AI 推理、多模型协同等。 创建托管MCP服务 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"。 4. 单击按钮 "创建MCP服务"，AI网关目前提供了MCP服务直接代理类型。请配置以下基本信息，并点击"确定"。 配置项 描述 名称 自定义MCP服务名称 协议 目前仅支持MCP服务直接代理 描述 MCP服务的描述信息 后端服务服务名称 在服务列表的下拉框中选择目标MCP服务 后端服务服务协议 当前为固定值MCP 后端服务MCP Transport 支持SSE和Streamable HTTP两种传输协议，请根据目标服务的实际传输协议来选择 后端服务路径 路径是实际的后端mcp服务的访问path。比如后端mcp server访问端点是xxx.com/sse，路径就填/sse；如果是xxx.com/test/sse，路径就填/test/sse MCP接入点域名 选择访问MCP服务使用的域名，支持多个域名 MCP接入点路径 MCP接入点的路径是通过/mcpservers、/MCP服务名称以及实际的后端MCP Server的访问path拼接成的。创建完成后，可以在MCP服务详情页查看完整的访问地址

本文将详细介绍refererrestriction插件功能、配置和使用。 功能说明 refererrestriction 插件通过将指定 Referer 列入白名单或黑名单的方式来限制对服务或路由的访问。Referer是 HTTP 请求头的一部分，用于标识当前请求的来源页面（即用户从哪个页面点击链接进入了当前页面）。 配置字段 名称 类型 填写要求 默认值 有效值 描述 whitelist array[string] 与blacklist二选一 白名单域名列表。域名开头可以用 作为通配符。 blacklist array[string] 与whitelist二选一 黑名单域名列表。域名开头可以用 作为通配符。 message string 可选 "Your referer host is not allowed" 字符数[1,1024] 当未允许访问时返回的信息。 bypassmissing boolean 可选 false 当设置为 true 时，如果Referer请求头不存在或格式有误时，将绕过检查。 注意 配置模板中对于黑白名单域名列表，如果采用作为通配符，则需要通过引号填写字段值。 配置示例 设置 Referer 白名单 plaintext whitelist: "ctyun.com" ".ctyun.com" 若不做该配置，从ctyun.com页面跳转的链接被禁止访问。 设置 Referer 黑名单 plaintext blacklist: "black.com" 根据该配置，以下请求会被禁止。 plaintext curl H 'Referer: 该请求的响应结果为 plaintext HTTP/1.1 403 Forbidden ...... {"message":"Your referer host is not allowed"} 配置模板 plaintext [必填，黑白名单二选一]黑/白名单域名列表。域名开头可以用 作为通配符。 whitelist: ".ctyun.com" blacklist: "b.com" [可选]未允许访问时返回的信息。有效长度11024，默认为Your refer host is not allowed message: "Your refer host is not allowed" [可选]当设置为 true 时，如果 Referer请求头不存在或格式有误时，将绕过检查。默认false bypassmissing: false

本文为您介绍在迁移任务出现异常后,如何进行断点续传,完成迁移任务。 介绍说明 当使用CMS时出现网络问题导致数据传输中断，网络恢复后即可自动续传。 由于误操作CMSAgent导致CMSAgent离线的情况，可以在迁移源重启agent并重启续传任务，或执行“sudo movecloud restart y”命令来重启迁移Agent并继续原先迁移任务。 操作步骤 1. 迁移过程中遇到CMSAgent离线等异常状态时，迁移界面上方会提示错误信息，并且迁移状态会有具体显示，本例迁移状态提示“源机离线”。 2. 进入云主机列表查看迁移源机状态，发现迁移源机处于离线状态，执行启动迁移源机操作。 3. 迁移源机启动后，远程登录该ECS并启动CMSAgent，弹窗提示“是否重启续传任务”，单击“是”。 4. 此时在迁移任务界面可以看到迁移任务状态处于“任务恢复中”。 5. 任务恢复完成后迁移状态进入“迁移中”，迁移任务将继续从中断前进度开始续传。 6. 当前阶段完成后，会弹窗提示全量迁移完成。 7. 停止迁移源机应用后，单击“引导修复”进行应用切换操作。 8. 片刻后引导修复完成，完成迁移任务。

本节为您介绍天翼云CTRDS PostgreSQL为源的迁移任务源端配置。 前提条件 （1）天翼云CTRDS PostgreSQL数据库的源端版本为12.x、13.x、14.x版本。 （2）天翼云CTRDS PostgreSQL数据库WAL日志设置wallevellogical，且maxreplicationslots大于10。 （3）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 （4）增量数据迁移期间，CMS会在源库中创建后缀为cloudlogslot的replication slot用于复制数据。 （5）任务完成后会主动删除该replication slot，如果您在迁移期间修改了数据库密码，或者删除了访问IP白名单，则会导致该replication slot无法自动删除，此时需要您在源库手动删除，避免其持续累积占用磁盘空间导致RDS PostgreSQL实例不可用。 （6）如果天翼云CTRDS PostgreSQL发生了主备切换，则需要您登录备库来手动清理。 使用限制 无主键表仅支持全量迁移，但不支持增量迁移和稽核修复； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据； 目标库非自建PostgreSQL的情况下，结构迁移仅支持迁移表结构。 源端权限要求 迁移模式 所需权限 基础权限 模式层级：USAGE 表层级： SELECT 全量迁移 需具备基础权限 结构迁移 需具备基础权限 增量迁移 需具备基础权限，且用户为超级用户或者复制角色 复制角色赋予方法：alter user 用户名 with replication 稽核修复 需具备基础权限 源端配置请参照自建PostgreSQL为源的迁移任务源端配置。

NFS文件系统是否能挂载到Windows操作系统？ 不推荐NFS协议的文件系统挂载至Windows，因为Windows系统对NFS协议文件系统兼容性较差，会出现中文乱码和无法进行文件和目录重命名等问题，且性能不佳，影响正常使用。如果仍然期望采用NFS协议的文件系统挂载至Windows的方式，可提交工单申请技术支撑，同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 使用问题 部分操作系统中，在文件系统写满的情况下，报错是IO error，而不是No Space Left。 问题原因 5.10内核的部分 NFS 客户端存在可能将 Space Full 事件错误的返回为 EIO 的问题，导致返回的报错不一致。 解决方案 如果客户端操作系统是ctyun，需要升级到5.10.0136.12.0.96.1以上内核版本。其他操作系统，请升级到最新版本。 多进程或多客户端并发写同一个文件可能导致数据异常，如何避免？ 问题原因 由于NFS协议本身不支持原子追加操作，可能会导致写覆盖、交叉、串行等异常现象。 解决方案 在不同进程或不同客户端中将写入的数据分别保存到不同的文件中，然后在后续的分析处理阶段再进行归并操作。这种方案可以很好地解决并发写入导致的问题，同时无需使用文件锁，对性能影响较小。对于并发追加写入同一个文件（如日志）的场景，可以使用 flock+seek 机制来保证写入的原子性和一致性。但是 flock+seek 是一个相对耗时的操作，可能会对性能产生显著影响。