简介 节点是容器集群组成的基本元素。节点取决于业务，既可以是虚拟机，也可以是物理机。每个节点都包含运行Pod所需要的基本组件，包括Kubelet、Kubeproxy 、Container Runtime等。 说明：CCE创建的Kubernetes集群包含master节点和node节点，本章讲述的节点特指node节点，node节点是集群的计算节点，即运行容器化应用的节点。 在云容器引擎CCE中，主要采用高性能的弹性云主机作为节点来构建高可用的Kubernetes集群。 注意事项 为了保证节点的稳定性，CCE集群节点上会根据节点的规格预留一部分资源给Kubernetes的相关组件（kubelet、kubeproxy以及docker等）和Kubernetes系统资源，使该节点可作为您的集群的一部分。 因此，您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大，在节点上部署的容器可能会越多，所以Kubernetes自身需预留更多的资源。 节点的网络（如虚机网络、容器网络等）均被CCE接管，不允许用户自行添加网卡或改变路由，若自行修改，CCE不保证服务可用。 节点购买后如需对其进行升级或降低规格等操作，请将节点关机后进行变更，也可以重新购买节点后，将老节点删除。 节点生命周期 生命周期是指节点从创建到删除（或释放）历经的各种状态。 状态 状态属性 说明 可用 稳定状态 节点正常运行状态，并连接上集群。 在这个状态的节点可以运行您的业务。 不可用 稳定状态 节点运行异常状态。 在这个状态下的实例，不能对外提供业务，需要重置节点或联系管理员进行处理。 创建中 中间状态 创建节点实例后，在节点状态进入运行中之前的状态。 安装中 中间状态 节点处于安装Kubernetes软件的过程中。 删除中 中间状态 节点处于正在被删除的状态。 如果长时间处于该状态，则说明出现异常，需要联系管理员处理。 关机 稳定状态 节点被正常停止。 在这个状态下的实例，不能对外提供业务，您可以在弹性云主机列表页对其进行开机操作。 错误 稳定状态 节点处于异常状态。 在这个状态下的实例，不能对外提供业务，需要重置节点或联系管理员进行处理。

开源CloudEvents 未提供C++SDK，但您可以通过发送一个http请求的形式来完成发送事件。 前提条件 1. 您的运行环境已安装libcurl、boost依赖库。支持c++11及以上，若不支持修改对应代码。 2. 下载eventBridgecppsdk.zip，查看示例代码。 签名生成工具 cpp include "EventSignHelper.h" include include include "crypt/hmac.h" include "crypt/sha1.h" include include using namespace std; string get(map m, const string &key) { string value; if (m.find(key) ! m.end()) { value m[key]; } return value; } string implode(const vector &vec, const string &glue) { string res; int n 0; for (const auto &str : vec) { if (n 0) { res str; } else { res + glue + str; } n++; } return res; } string uppercase(string str) { transform(str.begin(), str.end(), str.begin(), [](unsigned char c) { return toupper(c); }); return str; } bool startwith(string src, string prefix) { auto res mismatch(prefix.begin(), prefix.end(), src.begin()); return res.first prefix.end(); } void ltrim(string &s) { s.erase(s.begin(), findif(s.begin(), s.end(), [](unsigned char ch) { return !isspace(ch); })); } // trim from end (in place) void rtrim(string &s) { s.erase(findif(s.rbegin(), s.rend(), [](unsigned char ch) { return !isspace(ch); }) .base(), s.end()); } // trim from both ends (in place) void trim(string &s) { ltrim(s); rtrim(s); } string getCanonicalizedHeaders(const map &headers, const string &prefix "xceb") { stringstream result; for (const auto &item : headers) { if (startwith(item.first, prefix)) { string v item.second; trim(v); result query) { if (query.empty()) { return pathname; } vector tmp; tmp.reserve(query.size()); for (const auto &item : query) { tmp.pushback(string(item.first) + "" + item.second); } return pathname + "?" + implode(tmp, "&"); } string hmacsha1(const string &src, const string &key) { boost::uint8t hashval[sha1::HASHSIZE]; hmac ::calc(src, key, hashval); return base64::encodefromarray(hashval, sha1::HASHSIZE); } // 生成签名 string EventSignHelper::genSign(const string& httpMethod, const map & headers, const string& pathname, const map & query, const string& ak, const string& sk) { string contentmd5 get(headers, "contentmd5"); string contenttype get(headers, "contenttype"); string date get(headers, "date"); stringstream stringToSign; stringToSign << uppercase("POST") << "n" << contentmd5 << "n" << contenttype << "n" << date << "n"; stringToSign << getCanonicalizedHeaders(headers); stringToSign << getCanonicalizedResource(pathname, query); string sign hmacsha1(stringToSign.str(), sk); string token "ceb:" + ak + ":" + sign; return token; }

本章节主要介绍弹性资源池规格变更。 使用场景 包年包月的弹性资源池CU数在规格的范围内使用包年包月计费，超过规格的部分则按弹性资源池CU时计费的方式计费，您可以根据实际CU的使用情况通过规格变更来使得计费更优惠。 例如，当前弹性资源池的规格为64CU，实际使用过程中大部分时间CU数在128CU以上，没有规格变更的场景下64CU部分采用包年包月计费，超出的64CU按弹性资源池CU时计费方式计费。为了满足该场景下更优惠的计费，则可以通过规格变更的方式，将弹性资源池的规格扩大到128CU，则规格变更成功后128CU范围内都使用包年包月计费，整体相比原来更优惠。 注意事项 当前仅支持包年包月计费模式的弹性资源池进行规格变更。 弹性资源池扩容 1.在DLI管理控制台左侧，选择“资源管理 > 弹性资源池”。 2.选择需要扩容的弹性资源池，单击“操作”列“更多”中的“规格变更”。 3.在“规格变更”页面，“变更方式”选择“扩容”，变更数量选择要扩容的CU数量。 4.确定费用后，单击“提交”。 5.扩容任务提交后，可以选择“作业管理 > SQL作业”，查看“SCALEPOOL”类型SQL作业的状态。 如果作业状态为“规格变更中”，表示弹性资源池规格正在扩容中。等待作业状态变为“已成功”表示当前当前变更操作完成。 弹性资源池缩容 说明 系统默认最小CU值为16CU，即当弹性资源池的规格为16CU时，不能进行手动缩容。 1.在DLI管理控制台左侧，选择“资源管理 > 弹性资源池”。 2.选择需要缩容的弹性资源池，单击“操作”列“更多”中的“规格变更”。 3.在“规格变更”页面，“变更方式”选择“缩容”，变更数量选择要缩容的CU数量。 弹性资源池规格缩容 4.确定费用后，单击“提交”。 5.缩容任务提交后，可以选择“作业管理 > SQL作业”，查看“SCALEPOOL”类型SQL作业的状态。 如果作业状态为“规格变更中”，表示弹性资源池规格正在缩容中。等待作业状态变为“已成功”表示当前当前变更操作完成。

概念 说明 生产站点 正常情况下承载业务的数据中心机房，可以独立运行，对业务的正常运作起到直接支持作用。对于异步复制，生产站点指的是用户的本地数据中心。 容灾站点 正常情况下不直接承载业务的机房，主要用于数据实时备份，在生产站点发生故障（计划性和非计划性）时可以通过执行容灾切换来接管业务，地理上不一定与业务管理中心接近，可以在同一个城市，也可以在不同的城市。 保护组 用于管理一组需要复制的服务器。一个保护组可以管理一个虚拟私有云下的服务器，租户拥有多个虚拟私有云时则需要创建多个保护组。 保护实例 一对拥有复制关系的服务器。保护实例仅属于一个特定的保护组，因此这对服务器所在位置与保护组的生产站点或容灾站点相同。 VBD VBD（Virtual Block Device）是云硬盘磁盘模式的一种。云硬盘的磁盘模式默认为VBD类型。VBD类型的云硬盘只支持简单的SCSI读写命令。适用于企业的日常办公应用以及开发测试等场景。 SCSI SCSI（Small Computer System Interface）是云硬盘磁盘模式的一种。SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令，例如持久锁预留，适用于通过锁机制保障数据安全的集群应用场景。 RPO 恢复点目标，一种业务切换策略，是数据丢失最少的容灾切换策略。以数据恢复点为目标，确保容灾切换所使用的数据为最新的备份数据。 RTO 恢复时间目标，为使中断对业务所带来的冲击最小化，关键业务从中断时点恢复到预定可接受水平上的目标时间。具体体现为，从生产站点发起切换或故障切换操作起，至容灾站点的服务器开始运行为止的一段时间，不包括手动操作DNS配置，安全组配置或执行客户脚本等任何时间，RTO小于30分钟。 容灾演练 为了确保一旦发生故障切换后，容灾机能够正常接管业务而进行的操作。 通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，当真实故障发生时，通过预案快速恢复业务，提高业务连续性。

本节主要介绍创建配置项 配置项（ConfigMap）是一种用于存储应用所需配置信息的资源类型，内容由用户决定。配置项创建完成后，可在应用中作为文件或者环境变量使用。 场景介绍 配置项允许您将配置文件从镜像中解耦，从而增强应用的可移植性。 配置项价值如下： 使用配置项功能可以帮您管理不同环境、不同业务的配置。 方便您部署相同应用的不同环境，配置文件支持多版本，方便您进行更新和回滚应用。 方便您快速将配置以文件的形式导入到应用中。 前提条件 已创建需要使用密钥的集群。 创建混合集群，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 创建混合集群”。 已创建密钥所在命名空间，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 命名空间”。 创建配置项 1、登录ServiceStage控制台，选择“应用管理 > 应用配置 > 配置项”。 2、单击“创建配置项”。 3、ServiceStage支持“可视化”和“YAML”两种方式来创建配置项。 方式一：可视化 参照下表设置新增配置参数，其中带“”标志的参数为必填参数。 表 新建配置参数说明 参数 参数说明 :: 基本信息 配置名称 新建的配置名称，同一个命名空间里命名必须唯一。 所属集群 使用新建配置的集群。 命名空间 新建配置所在的命名空间。若不选择，默认配置为default。 描述 配置项的描述信息。 配置数据 应用配置的数据可以在应用中使用，或被用来存储配置数据。其中，“键”代表文件名；“值”代表文件中的内容。 单击“添加更多配置数据” 。 输入键、值。 配置标签 标签以Key/value键值对的形式附加到各种对象上（如应用、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 单击“添加标签” 。 输入键、值。 方式二：YAML 说明 若需要通过上传文件的方式创建资源，请确保资源描述文件已创建。ServiceStage支持yaml格式，详情请参考ConfigMap配置项要求。 a.在“所属集群”下拉框中，选择相应的集群。 b.（可选）单击“上传文件”，选择已创建的ConfigMap类型资源文件后，单击“打开”。 请上传小于2MB的文件。 c.在“编排内容”中写作或者修改ConfigMap资源文件。 4、配置完成后，单击“创建”。 应用配置列表中会出现新创建的应用配置。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本章主要介绍翼MapReduce的更换HA证书功能。 操作场景 HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导系统管理员FusionInsight Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 说明 不适用于未安装主备管理节点的场景。 证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。 对系统的影响 更换过程中FusionInsight Manager需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要更换的HA根证书文件“rootca.crt”和密钥文件“rootca.pem”。 准备一个访问密钥文件的密码 password ，例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户通过主管理节点IP登录主管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在主备管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.pem”，执行以下命令修改： mv证书名称.证书格式rootca.crt mv密钥名称.密钥格式rootca.pem 例如，将证书文件命名为“rootca.crt”，密钥文件命名为“rootca.pem”： mv server.cer rootca.crt mv serverkey.key rootca.pem 若由系统管理员生成，执行以下命令在主管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录生成“rootca.crt”和“rootca.pem”： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN state state city city company company organize organize commonname commonname email 管理员邮箱 说明 生成的证书文件有效期为10年，在系统证书文件即将过期时，系统将产生告警“ALM12055 证书文件即将过期”。 例如，执行以下命令： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN stateguangdong cityshenzhen companyxxx organizeIT commonnameHADOOP.COM emailabc@xxx.1com 根据提示信息输入 password ，并按回车键确认。 Enter pass phrase for /opt/xxx/Bigdata/omserver/OMS/workspace/ha/local/cert/rootca.pem: 提示以下信息表示命令执行成功： Generate rootca pair success. 3.在主管理节点以omm用户执行以下命令，复制“rootca.crt”和“rootca.pem”到“${BIGDATAHOME}/omserver/om/security/certHA”目录。 cp arp ​{OMSRUNPATH}/workspace0/ha/local/cert/rootca. OMSR​UNP​ATH/workspace0/ha/local/cert/root−ca.∗​{BIGDATAHOME}/omserver/om/security/certHA 4.使用omm用户将主管理节点生成的“rootca.crt”和“rootca.pem”复制到备管理节点“${BIGDATAHOME}/omserver/om/security/certHA”目录。 scp ​ ​{OMSRUNPATH}OMSRUNPATH}/workspace0/ha/local/cert/rootca. omm@备管理节点IP:${BIGDATAHOME}/omserver/om/security/certHA 5.执行以下命令，生成HA用户证书并自动替换。 sh ${BIGDATAHOME}/omserver/om/sbin/replacehaSSLCert.sh 根据提示信息输入 password ，并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功： [INFO] Succeed to replace ha ssl cert. 说明 如果用户需要更新HA密码加密套件，可以带u参数。 6.执行以下命令，重启OMS。 sh ${BIGDATAHOME}/omserver/om/sbin/restartoms.sh 界面提示以下信息： start HA successfully. 7.以omm用户通过备管理节点IP登录备管理节点，重复56。 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新登录FusionInsight Manager表示操作成功。

本节主要介绍使用限制 网络访问使用限制 在使用分布式关系型数据库（简称DRDS）过程中，对于网络访问存在一些使用限制。 用户申请的数据节点、部署应用程序的ECS、DRDS实例必须属于同一个VPC。 当用户需要在自己电脑访问DRDS服务时，需要为DRDS开通EIP服务，然后通过EIP访问DRDS。 MySQL实例使用限制 在使用DRDS过程中，对于MySQL实例存在一些使用限制。 目前支持5.7及8.0系列版本的MySQL实例。 DRDS暂不支持MySQL实例配置SSL连接。 禁止MySQL实例开启区分大小写。 对已经被DRDS关联的MySQL实例进行修改配置等操作时，可能导致使用异常。修改后需要在DRDS的DN管理页面，单击“同步DN信息”，将修改的配置进行同步，保证功能可用性。 不支持的特性和使用限制 不支持的特性 不支持存储过程； 不支持触发器； 不支持视图； 不支持事件； 不支持自定义函数； 不支持外键约束、外键关联； 不支持全文索引和空间函数； 不支持临时表； 不支持 BEGIN…END、LOOP…END LOOP、REPEAT…UNTIL…END REPEAT、WHILE…DO…END WHILE 等复合语句； 不支持类似 IF ，WHILE 等流程控制类语句； 不支持RESET、FLUSH语句； 不支持BINLOG语句； 不支持HANDLER语句； 不支持INSTALL/UNINSTALL PLUGIN语句； 不支持非 ascii/latin1/binary/utf8/utf8mb4 的字符集； 不支持SYS schema； 不支持MySQL追踪优化器； 不支持XProtocol； 不支持CHECKSUM TABLE 语法； 不支持表维护语句，包括ANALYZE/CHECK/CHECKSUM/OPTIMIZE/REPAIR TABLE； 不支持session变量赋值与查询，如set @rowid0;select @rowid:@rowid+1,id from user； 不支持SQL语句中包含单行注释 ' ' 或者多行（块）注释 ' /.../'； 不完整支持系统变量查询，系统变量查询语句返回值为RDS实例相关变量值，而非DRDS引擎内相关变量值。例如select @@autocommit返回的值，并不代表DRDS当前事务状态； 不支持SET Syntax修改全局变量； 不支持PARTITION 语法，建议不要使用partition表； 不支持LOAD XML语句； 不支持的运算符 不支持“:”赋值运算符； 不支持“>”运算符； 不支持“>>”运算符； 暂不支持“ ”运算符； 暂不支持“IS UNKNOWN”表达式； 不支持的函数 DRDS计算层暂不支持如下函数，如果无法确认函数是否能下推到RDS，请不要使用该函数。 不支持XML函数； 不支持ANYVALUE()函数； 不支持ROWCOUNT()函数； 不支持COMPRESS()函数； 不支持SHA()函数； 不支持SHA1()函数； 不支持MD5()函数； 不支持AESENCRYPT()函数； 不支持AESDECRYPT()函数； 不支持JSONOBJECTAGG()聚合函数； 不支持JSONARRAYAGG()聚合函数； 不支持STD()聚合函数； 不支持STDDEV()聚合函数； 不支持STDDEVPOP()聚合函数； 不支持STDDEVSAMP()聚合函数； 不支持VARPOP()聚合函数； 不支持VARSAMP()聚合函数； 不支持VARIANCE()聚合函数； SQL语法使用限制 SELECT 不支持DISTINCTROW; 不支持[HIGHPRIORITY]、[STRAIGHTJOIN]、 [SQLSMALLRESULT]、 [SQLBIGRESULT] 、[SQLBUFFERRESULT] 、[SQLNOCACHE] [SQLCALCFOUNDROWS]等选项放在DRDS实例下面。 不支持SELECT ... GROUP BY ... WITH ROLLUP语句； 不支持SELECT ... ORDER BY ... WITH ROLLUP语句； 不支持WITH语句； 不支持窗口函数； SELECT FOR UPDATE仅支持简单查询，不支持join、group by、order by、limit等语句。用于修饰FOR UPDATE的[NOWAIT SKIP LOCKED]选项对于DRDS无效； 对于UNION中的每个SELECT, DRDS暂不支持使用多个同名的列。如下SQL的SELECT中存在重复的列名。 SELECT id, id, name FROM t1 UNION SELECT pk, pk, name FROM t2； 排序与Limit LIMIT/OFFSET参数支持范围为02147483647； 聚合 不支持group by语句后添加asc/desc函数来实现排序语义； 说明 DRDS自动忽略group by后的asc/desc关键字。MySQL 8.0.13以下版本支持group by后添加asc/desc函数来实现排序语义，8.0.13及以上版本已废弃该用法，使用时会报语法错误。推荐使用order by语句来保证排序语义。 子查询 不支持孙子和爷爷存在关联关系的子查询； 不支持HAVING子句中的子查询，JOIN ON 条件中的子查询； Derived Tables 必须拥有一个别名； Derived Tables 不可以成为 Correlated Subqueries，即不能包含子查询外部表的引用； LOAD DATA语法限制 ESCAPED BY只支持''； 不支持PARTITION (partitionname [, partitionname] ...)； 不支持LINES STARTING BY 'string'； INSERT 和 REPLACE 不支持INSERT DELAYED...； 不支持不包含拆分字段的INSERT； 暂不支持PARTITION语法，建议不要使用partition表； INSERT操作不支持“datetime”字段取值1582年及之前年份； INSERT不支持ON DUPLICATE KEY UPDATE 关联子查询列； INSERT INTO t1(a, b) SELECT FROM(SELECT c, d FROM t2 UNION SELECT e, f FROM t3) AS dt ON DUPLICATE KEY UPDATE b b + c; 示例ON DUPLICATE KEY UPDATE语句中引用了子查询列c。 INSERT和REPLACE不支持拆分键值为DEFAULT关键字； UPDATE和DELETE 不支持更新拆分键值为DEFAULT的关键字； 不支持在一个语句中对同一字段重复更新； 不支持关联更新拆分键； UPDATE tbl1 a,tbl2 b set a.nameb.name where a.idb.id; 示例中“name”为tbl1的拆分键。 不支持通过INSERT ON DUPLICATE KEY UPDATE更新拆分键； 不支持自关联更新； UPDATE tbl1 a,tbl1 b set a.tinyblobcolconcat(b.tinyblobcol,'aaabbb'); 不支持不带关联条件的关联更新； UPDATE tbl3,tbl4 SET tbl3.varcharcol'dsgfdg'; 关联更新不支持在目标列的赋值语句或表达式中引用其它目标列； UPDATE tbl1 a,tbl2 b SET a.nameconcat(b.name,'aaaa'),b.nameconcat(a.name,'bbbb') ON a.idb.id； 对拆分字段的更新，将转换成delete+insert两个阶段操作，操作中间不保证其它涉及到这张表中的拆分字段值的查询语句的一致性； DDL 库名不可修改，拆分字段的名称和类型都不可以变更； 不支持通过SQL直接创建、删除逻辑库； 不支持FULLTEXT索引； 不支持 CREATE TABLE tblName AS SELECT stmt 语法； 不支持 CREATE TABLE tblName LIKE stmt 语法； 不支持单条语句中DROP多张表； DDL语句不支持多语句； 广播表、拆分表不支持创建外键； 不支持创建以“drds”为前缀的表； 不支持创建TEMPOPARY类型的拆分表、广播表； create table中的unique key只能保证物理表内唯一，无法保证全局唯一； 索引 不支持全局二级索引； 不支持全局唯一索引, unique keyprimary key无法保证全局唯一； 表回收站 不支持hint； 不支持按逻辑库清除回收表； 不支持按逻辑表清除回收表； 表恢复后不保证全局唯一序列无缝衔接递增，只确保递增； 数据不支持分片变更； 不支持无限期保留副本； 不支持恢复到任意表名； 不支持不限量副本数； 事务 不Savepoints； 不支持XA语法（DRDS内部已经通过XA实现了分布式事务，不需要用户层再处理这个语义）； 不支持自定义事务隔离级别，目前DRDS只支持READ COMMITTED隔离级别。考虑到兼容性因素，对于设置数据库隔离级别的语句（如SET GLOBAL TRANSACTION ISOLATION LEVEL REPEATABLE READ），DRDS不会报错，但会忽略对事务隔离级别的修改； 不支持设置事务为只读（START TRANSACTION READ ONLY），考虑到兼容性因素，DRDS会将只读事务的开启自动转换为开启读写事务； 权限 不支持列级权限； 不支持子程序层级权限； 数据库管理语句 不支持SHOW TRIGGERS语法； 不支持SHOW PROFILES、SHOW ERRORS、show warnings等多数运维SHOW语句； 下列的SHOW指令会随机发到某个物理分片，每个物理分片如果在不同的RDS for MySQL实例上，查得的变量或者表信息可能不同： SHOW TABLE STATUS； SHOW VARIABLES Syntax； SHOW WARNINGS Syntax 不支持 LIMIT/COUNT 的组合； SHOW ERRORS Syntax 不支持 LIMIT/COUNT 的组合； INFORMATIONSCHEMA 仅支持SCHEMATA、TABLES、COLUMNS、STATISTICS、PARTITIONS的简单查询（没有子查询、JOIN、聚合函数、ORDER BY、 LIMIT);

高级配置（可选） MRS集群高级配置拓扑 参数 参数说明 标签 具体请参考添加集群标签。 主机名前缀 用作集群中ECS机器主机名的前缀。 弹性伸缩 请在“硬件配置”页签指定Task节点的规格，然后参考配置弹性伸缩规则配置。 引导操作 具体请参考添加引导操作。MRS 3.x版本暂时不支持该参数。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源，请根据实际业务场景需求确认是否需要配置委托。 例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见配置存算分离集群（委托方式）。 MRSECSDEFAULTAGENCY委托拥有对象存储服务的OBSOperateAccess权限和在集群所在区域拥有CESFullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。 指标共享 用于采集大数据组件的监控指标，当用户使用集群过程中出现问题时，供支持人员定位问题。MRS 3.x版本暂时没有该参数。 OBS权限控制 开启细粒度权限控制的用户可以通过该功能实现不同的MRS用户对OBS文件系统下的不同目录有不同的权限。具体请参见配置MRS多用户访问OBS细粒度权限。MRS 3.x版本暂时没有该参数。 数据盘加密 是否对集群挂载的数据盘中的数据进行加密，默认关闭。如需使用该功能，当前用户必须拥有“Security Administrator”和“KMS Administrator”权限。MRS 3.x版本暂时没有该参数。 加密数据盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。通过单击“数据盘加密”开启或关闭数据盘加密功能。 密钥ID 当“数据盘加密”功能开启时，显示该参数。用于显示已选择的密钥名称对应的密钥ID。MRS 3.x版本暂时没有该参数。 密钥名称 当“数据盘加密”功能开启时，需要配置该参数。选择用来加密数据盘的密钥名称，默认选择密钥名称为“evs/default”的默认主密钥，在下拉框中可以选择其他用户主密钥。MRS 3.x版本暂时没有该参数。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，请谨慎操作。单击“查看密钥列表”，进入密钥管理页面可以创建及管理密钥。 告警 开启告警功能可在集群运行异常或系统故障时，及时通知集群维护人员定位问题。 规则名称 用户自定义发送告警消息的规则名称，只能包含数字、英文字符、中划线和下划线。 主题名称 选择已创建的主题，也可以单击“创建主题”重新创建。新创建的主题请参考配置消息通知章节中的 向主题添加订阅部分，向该主题添加订阅者才能接收发布至主题的消息。 主题是发送消息和订阅通知的信道，为发布者和订阅者提供一个可以相互交流的通道。 日志记录 集群创建失败时，是否收集失败日志。 开启日志记录开关之后将自动收集集群创建失败、扩/缩容失败等场景下的系统日志及相关组件运行日志到OBS文件系统中，该日志用于运维人员快速定位问题。该日志信息将最多保留7天。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 ：“Kerberos认证”关闭时，普通用户可使用MRS集群的所有功能。建议单用户场景下使用。不启用Kerberos认证时的安全配置建议请参见集群（未启用Kerberos认证）安全配置建议。 ：“Kerberos认证”开启时，普通用户无权限使用MRS集群的“文件管理”和“作业管理”功能，并且无法查看Hadoop、Spark的作业记录以及集群资源使用情况。如果需要使用集群更多功能，需要找Manager的管理员分配权限。建议在多用户场景下使用。 用户名 Manager管理员用户，目前默认为admin用户。 密码 配置Manager管理员用户的密码。 需要满足： 密码长度应在8～26个字符之间，必须包含如下4种字符的组合 − 至少一个小写字母 − 至少一个大写字母 − 至少一个数字 − 至少一个特殊字符：! ?,.: {} [ ]@ $% ^ + / 不能和用户名或倒序的用户名相同 安全程度：颜色条红、橙、绿分别表示密码安全强度弱、中、强。 确认密码 再次输入Manager管理员用户的密码。 登录方式 密码 使用密码方式登录ECS节点。 密码设置约束如下： 1. 字符串类型，可输入的字符串长度为8~26。 2. 至少包含四种字符组合，如大写字母，小写字母，数字，特殊字符（! ?,.: {} [ ]@ $% ^ + /）。 3. 不能与用户名或倒序用户名相同。 密钥对 使用密钥方式登录集群ECS节点。从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 密钥对即SSH密钥，包含SSH公钥和私钥。您可以新建一个SSH密钥，并下载私钥用于远程登录身份认证。为保证安全，私钥只能下载一次，请妥善保管。 您可以通过以下两种方式中的任意一种使用SSH密钥。 1. 创建SSH密钥：创建SSH密钥，同时会创建公钥和私钥，公钥保存在ECS系统中，私钥保存在用户本机。当登录弹性云主机时，使用公钥和私钥进行鉴权。 2. 导入SSH密钥：当用户已有公钥和私钥，可以选择将公钥导入系统。当登录弹性云主机时，使用公钥和私钥进行鉴权。 通信安全授权 MRS集群通过管理控制台为用户发放、管理和使用大数据组件，大数据组件部署在用户的VPC内部，MRS管理控制台需要直接访问部署在用户VPC内的大数据组件时需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。具体请参考授权安全通信。 若不开启通信安全授权，MRS将无法创建集群。

本文为您介绍文件比较与同步的相关内容。 概要 应用场景： 支持对象存储到对象存储之间的数据比较与同步，并且生成比较报告供一致性检查。此场景支持两种数据捕获方式： 方式1：调用对象存储接口对源、备存储同步路径下的所有对象进行扫描、比对，获得增量对象（新增/差异），并将增量对象同步到目标端对应路径下；在海量对象场景下扫描/比对的对象太多，导致这种方式同步增量数据效率过低； 方式2：通过某些方式获取到增量对象信息（如：对象存储自行监控、通过应用数据库表获取等），并将增量对象的信息以某种类型文件存放；DTO通过读取文件内容来获取增量对象信息，并直接将源端对应的增量对象直接同步到目标端；此方式避免了扫描、比对海量对象的时间，提高海量对象场景的增量数据同步效率。 要求：要有应用/组件（一般是对象存储）负责实现监控增量对象并将增量对象以固定格式导出成文件的一系列动作。 前置条件 文件比较与同步的环境要求如下： 1. DTO主机需要安装dto安装包。详见安装DTO。 2. 在MDR控制台中添加对象存储。详见资源管理·对象存储。 3. 在MDR控制台中添加DTO主机并处于在线状态。详见资源管理·DTO主机。 4. MDR控制台需具备有dto的许可，并且该dto许可剩余允许传输量不为0。 新建文件比较与同步 1. 点击左侧菜单栏“资源同步管理”“对象存储数据灾备”“文件比较和同步”，进入文件比较和同步列表页，点击“新建”按钮，进入新建页面。 2. 通用配置页面各配置项如下： 名称：任意指定，便于管理即可。 同步主机：下拉框中会列出已注册至MDR控制台的DTO同步主机供选用； 规则类型：包含三类规则：仅比较/文件比较与同步 / 文件清单同步，下文会分别介绍各类规则的作用和使用场景； 同步策略类型：“手动同步”“定期同步”和“间隔同步”。 手动同步：需手动启动规则。此选项为默认选项。 定期同步：可指定每个月的某几天或者每个星期的某几天中的某几个时间点开始同步，规则会在设置的时间自动开始运行。 间隔同步：指的是从上一次规则完成到下一次规则启动之间的间隔，最小间隔时间单位为秒。 定期同步策略：用户自行添加定期同步策略。可以设定多个不重叠的定时同步策略，彼此独立。 间隔同步策略：用户自行添加时间间隔同步策略。选择此规则开始时间，并设置间隔时间（单位为秒）。 源存储：用户自行选择要源端的存储数据用来做对比。 目标存储：用户自行选择对象存储数据作为目标存储对比。 同步路径映射：用户自行配置需要同步的数据路径。同步路径支持手动输入路径。 排除路径：用户自行选择将同步数据路径中的某些子路径设置为排除路径，排除路径中的数据不进行传输。 文件后缀名过滤：以后缀名为过滤条件，格式为“文件扩展名”，若多个过滤条件则用逗号隔开，如：“.txt”，“.doc”，“.rtf”。 排除：不同步源路径中该过滤项中定义的文件类型。 包含：只同步源路径中该过滤项中定义的文件类型。 文件日期过滤：通过正则表达式对同步路径下文件的日期进行筛选，文件日期符合正则表达式要求的文件被过滤出来。 排除：不同步源路径中符合筛选条件的文件。 包含：只同步源路径中符合筛选条件的文件。 3. 比较设置页面各配置项如下： 比较类型：重镜像时的校验方式。 文件大小：通过源、目标文件的大小进行比较。 对象智能比对：提交规则时会判断备端存储是否支持自定义META，不支持则不允许规则提交。智能比对即：通过比文件当前的修改时间戳，和上一次同步时文件的修改时间戳（记录在自定义属性META中）来判断文件是否一致（如果修改时间戳一致则认为文件相同，如果修改时间戳不同，则继续对比文件的MD5）。 MD5校验：通过源、目标文件的MD5值进行比较（本地需计算md5，对象存储直接采用Etag，对象存储将收到文件的MD5值放在返回结果的ETag中）。 说明：对象存储返回分片上传文件的MD5有可能为空或是最后一个分片的MD5，因此对象存储的MD5并不完全可靠。“文件大小”比对最快；当文件较大时“对象智能比对”比“MD5校验”快（大文件本地计算md5很慢）；当文件较小时“MD5校验”比“对象智能比对”快（对象存储的文件修改时间需从META中获取，一个文件就是一次请求）。 忽略目标端存在文件：DTO不再扫描目标端存储，直接拿源端拆解过后的目录进行传输，传输之前check目标端文件是否存在，如果不存在，就同步，否则跳过该文件；这种类型，可以支持对象存储单一目录上千万的文件。 传输线程数量：可以指定线程个数。一个线程处理一个目录。此选项用于提高数据复制的速度，默认为“10”，数值越高，可用于数据复制的线程越多，但会消耗更多的CPU和内存资源，请根据用户环境适当选择。 对象存储扫描线程数量：可根据需要指定110个线程数。 备端扫描：默认开启，开启后支持孤儿文件处理。 孤儿文件处理方式： 不处理：不删除孤儿文件，存在在目标端。 确认后删除：将孤儿文件计入孤儿文件列表，可通过规则管理界面的“更多·孤儿文件”按钮来查看，以及选择是否要将目标端的孤儿文件删除。 直接删除：将孤儿文件自动从目标端删除。 说明：定期同步或间隔同步策略时不允许配置“确认后删除”；选择“忽略目标端存在的文件”比较类型时，或者开启归档时不允许配置“直接删除”和“确认后删除”。 对象文件路径名： 和源端保持不变：区分大小写，和源端大小写保持一致。 全部为大写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为大写存储在目标路径下。 全部为小写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为小写存储在目标路径下。 备端文件压缩：指的是在本地将文件进行压缩，压缩完后传输到对象存储。仅限于本地到对象存储的规则才支持压缩，压缩传输后，目标端文件名会被修改为：原文件名.i2.zip。 备端文件加密：将同步到目标端数据加密存储。 标准加密：通过设置的加密密钥对源端文件加密后存放到目标端。 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 COS服务端加密：通过对接COS对象存储API接口，上传到该对象存储桶的文件都自动加密，需额外选择加密密钥类型： 加密密钥类型：支持两种加密密钥类型： SSECOS：使用SSECOS加密密钥类型进行加密，无需额外配置； SSEC：使用SSEC加密密钥类型进行加密，需要额外填写加密密钥； 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 保留结果数量：设置“文件比较与同步→报告”中保留的记录条数。 记录流水：默认关闭，开启后会将规则同步的所有文件相关信息（大小、MD5/etag、传输耗时、修改/更新时间）记录在同步主机/usr/drbksoft/dto/data/db/ .db文件中（默认路径），可供审计查看。 4. 带宽设置页面各配置项如下： 全选：开启后，将会选择一周内的所有时间。此选项默认关闭。 时间范围：用户自行勾选具体的生效日。 选择带宽：根据用户需求选择需要执行限速的时间段，可以设定多个不重叠的限速规则，彼此独立，如果带宽设定为0，表示禁止传输。 5. 归档设置页面各配置项如下： 启用归档：不勾选的话不启用归档功能。 文件名转换：归档文件的名称转换，支持两种转换方式： 保持不变：归档文件名与原文件名保持一致。 增加时间后缀：在归档文件名后自动添加归档时间后缀。 归档条件： 时间归档：按照填入文件时间类型的时间点与执行本地到对象存储时的时间点的差值（单位天）。这里的时间选项有两个：文件创建时间、文件修改时间，这两种类型可以只选择某一个，也可以多选，并可以选择几种类型间的关系是与还是或。 命名特征：使用正则表达式进行针对文件名的过滤。 文件类型：通过填入文件类型的后缀名进行对文件类型的过滤（如.txt等），可以匹配多个文件类型，文件后缀名与后缀名之间用“逗号隔开”（如.txt,.exe,.zip）。 归档策略： 同步所有文件，并删除本地符合条件的文件：将源目录下的所有文件全部同步到目标存储的目标目录中，并删除本地符合归档条件的文件。 只同步并删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并删除本地符合归档条件的文件。 只同步但不删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并且不删除源端本地符合归档条件的文件。

操作场景 用户在不删除现有节点的情况下，将工作负载迁移到新的节点上。迁移流程如下图所示。 约束与限制 现有节点和工作负载待迁移的节点必须在同一集群。 当前仅支持在Kubernetes v1.13.10及以后集群版本执行此操作。 默认节点池DefaultPool不支持修改配置。 原有节点在默认节点池 步骤 1 创建新的节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 3. 单击“创建节点池”，设置节点池如下参数，其他参数根据需要进行修改，参数说明请参见节点池管理>创建节点池。 a. 节点池名称：新建节点池的名称，例如nodepooldemo。 b. 节点购买数量：本例添加一个节点。 c. 节点规格：请根据业务需求选择相应的节点规格。 d. 操作系统：选择节点对应的操作系统。 e. 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 安装配置kubectl。 1. 在左侧导航栏中选择“资源管理 > 集群管理”，单击现有节点所在集群下的“命令行工具 > kubectl”。 2. 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 步骤 4 迁移工作负载。 1. 给需要迁移工作负载的节点打上Taint（污点）。 kubectl taint node [node] keyvalue:[effect] 其中，[node]为待迁移工作负载所在节点的IP；[effect]取值为NoSchedule、PreferNoSchedule或NoExecute，此处必须设置为NoSchedule。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 2. 安全驱逐节点上的工作负载。 kubectl drain [node] 其中，[node]为待转移工作负载所在节点的IP。 3. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“实例列表”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 5 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点管理”中删除原有节点。 原有节点不在默认节点池 步骤 1 拷贝节点池并添加节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 在节点池列表中，查找到原有节点所在的节点池。 3. 单击该节点池名称后的“更多 > 拷贝”，在“创建节点池”页面下设置如下参数，其他参数根据需要进行修改，参数说明请参见“节点管理>创建节点池”。 − 节点池名称：新建节点池的名称，例如nodepooldemo。 − 节点购买数量：本例添加一个节点。 − 节点规格：请根据业务需求选择相应的节点规格。 − 操作系统：选择节点对应的操作系统。 − 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 迁移工作负载。 1. 单击节点池nodepooldemo后的“编辑”配置Taints参数。 2. 单击“Add Taint”，输入Key和Value值，Effect选项有NoSchedule、PreferNoSchedule或NoExecute，此处必须选择“NoExecute”。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 3. 单击“保存”。 4. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“Pods”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 4 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点池管理”中删除原有节点。

如何配置加密模式。 注意 若Kubernetes集群中部署了多套HBlock CSI，需在各自对应的安装路径下，配置加密模式。 对于配置文件中的一些敏感信息，可以采用加密模式进行配置。当使用的卷在HBlock中配置了质询握手认证协议（ChallengeHandshake Authentication Protocol，CHAP），则需要配置CHAP认证的用户名和密码。为了确保数据安全，建议采用加密模式来配置CHAP密码。 在使用CHAP方式时，输入的chapUser和chapPassword为加密字符串。加密字符串可以使用下列方法生成：使用deploy/csipluginconf/csisecretdecrypt.yaml中的DecryptData配置的密钥对原来的字符串进行AES（ECP、paddingcs7）加密，加密后的结果进行base64编码。 配置步骤 1. 配置加密密钥。 修改deploy/csipluginconf/csisecretdecrypt.yaml配置文件中的decryptFlag和decryptData参数。 plaintext apiVersion: v1 kind: Secret metadata: name: csipluginstorsecretdecrypt namespace: @DRIVERNAMESPACE@ type: Opaque data: 是否启用加密，配置为true（启用）或false（不启用）的base64编码字符串 decryptFlag: decryptFlag 密钥的base64编码字符串，密钥长度必须为16位 decryptData: decryptData 密钥的base64编码 参数 参数 描述 是否必填 metadata.name Secret资源的资源名称。 取值csipluginstorsecretdecrypt，不可更改。 是 metadata.namespace 绑定的Kubernetes命名空间。 取值： 如果已经安装 HBlock CSI：命名空间已确定，直接将该字段值修改为对应命名空间值，保持完成csiconfigMap.yaml文件的修改、保存并应用后，相关配置即可自动生效。 如果还未安装HBlock CSI：此字段取值保持为@DRIVERNAMESPACE@，执行deploy安装脚本时，即可自动替换为对应的命名空间。 是 decryptFlag 是否启用加密模式，配置为true（启用）或false（不启用）的Base64编码字符串。 取值： dHJ1ZQ：启用加密，true的Base64编码。 ZmFsc2U：不启用加密，false的Base64编码。 默认不启用加密。 否 decryptData 加密的密钥。 说明 启用加密，此参数必填。 取值：源码为16位的字符串。需要对源码进行Base64编码。 条件 示例： 1. 启用加密模式。例如decryptFlag的源码为true，decryptData的源码为stor012345678901。 2. 使用Base64工具对decryptFlag、decryptData的源码进行编码。 对decryptFlag源码进行Base64编码，编码后的decryptFlag如下： plaintext dHJ1ZQ 对decryptData源码进行Base64编码，编码后的decryptData如下： plaintext c3RvcjAxMjM0NTY3ODkwMQ 3. 修改配置文件deploy/csipluginconf/csisecretdecrypt.yaml配置文件中的参数。 plaintext apiVersion: v1 kind: Secret metadata: name: csipluginstorsecretdecrypt namespace: defualt type: Opaque data: decryptFlag: dHJ1ZQ decryptData: c3RvcjAxMjM0NTY3ODkwMQ 2. 应用配置文件csisecretdecrypt.yaml。 plaintext [root@server csipluginconf]

本节主要介绍GeminiDB Influx支持的监控指标。 功能说明 本节定义了GeminiDB Influx上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供的API接口来检索GeminiDB Influx产生的监控指标和告警信息。 命名空间 SYS.NoSQL 监控指标 说明 如下监控指标需要在实例节点查看，具体方法请参见 如下监控指标需要在实例节点查看。 表1 GeminiDB Influx支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） gemini001cpuusage CPU利用率 该指标为从系统层面采集的CPU使用率。单位：% 0~100 % GeminiDB Influx实例的节点 1分钟 gemini002memusage 内存利用率 该指标为从系统层面采集的内存使用率。单位：% 0~100 % GeminiDB Influx实例的节点 1分钟 gemini003bytesout 网络输出吞吐量 统计平均每秒从测量对象的所有网络适配器输出的流量。单位：kb/s ≥ 0 kb/s GeminiDB Influx实例的节点 1分钟 gemini004bytesin 网络输入吞吐量 统计平均每秒从测量对象的所有网络适配器输入的流量。单位：kb/s ≥ 0 kb/s GeminiDB Influx实例的节点 1分钟 nosql005diskusage 存储容量使用率 该指标为存储容量使用率。单位：% 0~100 % GeminiDB Influx实例 1分钟 nosql006disktotalsize 存储容量总容量 该指标为实例的存储容量总容量。单位：GB ≥ 0 GB GeminiDB Influx实例 1分钟 nosql007diskusedsize 存储容量使用量 该指标为实例的存储容量使用量。单位：GB ≥ 0 GB GeminiDB Influx实例 1分钟 influxdb001seriesnum 时间线数量 描述总的时间线数量。单位：Counts ≥ 0 Counts GeminiDB Influx实例的节点 1分钟 influxdb002queryreqps 每秒查询请求 描述每秒查询请求的数量。单位：Counts/s ≥ 0 Counts/s GeminiDB Influx实例的节点 1分钟 influxdb003writereqps 每秒写入请求 描述每秒写入请求的数量。单位：Counts/s ≥ 0 Counts/s GeminiDB Influx实例的节点 1分钟 influxdb004writepointsps 写入数据点 描述每秒写入的数据点数量。单位：Counts/s ≥ 0 Counts/s GeminiDB Influx实例的节点 1分钟 influxdb005writeconcurrency 写入并发量 描述并发写入的请求数量。单位：Counts ≥ 0 Counts GeminiDB Influx实例的节点 1分钟 influxdb006queryconcurrency 查询并发量 描述并发查询的请求数量。单位：Counts ≥ 0 Counts GeminiDB Influx实例的节点 1分钟

全站加速产品支持的QUIC类型 目前，天翼云全站加速产品同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 适用场景 图片业务：可降低图片加载时间。 短视频业务：可提升视频秒开率，并且降低弱网环境卡顿率。 直播业务：可提升播放稳定性，降低因网络波动带来的卡顿率。 如何验证已在全站加速上开启QUIC功能 QUIC协议暂不支持客户自助开启，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 QUIC属于双边协议，需要客户端同步支持。如您已开通QUIC功能，可以使用Chrome浏览器或者基于Chrome内核的浏览器来访问对应网站域名，并在浏览器开启开发者工具进行抓包验证。目前较新版本的chrome浏览器已默认开启QUIC。 一般情况下，Chrome浏览器和服务器端协商使用QUIC协议要经过如下步骤： 1. 首次访问，客户端会先发起正常的TCP请求。 2. 服务端如果支持QUIC，会通过响应头部返回altsvc信息告知客户端自己支持QUIC及对应版本（如下图），其含义是服务器在443端口开启了QUIC，最大缓存时间是2592000秒（30天），支持的QUIC版本IQUIC。 3. 下次访问，客户端会同时发起TCP连接和QUIC连接进行竞速。 4. 一旦QUIC竞速连接获胜，则后续会采用QUIC协议发送请求，如果在浏览器进行抓包（快捷键F12打开开发者工具），可在Protocol列查看其具体的协议，如下图所示，这里显示的h3即表示采用的是IQUIC。 注意 如果没有Protocol列，右键点击Header Options，勾选Protocol列即可。 5. 如遇网络或服务器不支持QUIC，客户端标记QUIC为broken。 6. 传输中的QUIC请求立即用TCP进行重发。 7. 5min后尝试重试QUIC，下一次尝试增大到10min。 8. 一旦再次成功采用QUIC，会把broken标记取消。

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

本节介绍了操作审计的用户指南。 概述 容器镜像服务接入了云审计服务，支持将用户在容器镜像服务控制台的所有操作上报至云审计，以供用户在云审计控制台查看审计日志。 前置条件 已开通容器镜像服务企业版实例 已开通云审计服务 查看审计日志 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例。 3. 点击左侧导航栏点击 "实例管理" "云审计"，即可跳转到云审计控制台。 4. 在云审计控制台可查看容器镜像服务的审计日志。 5. 云审计控制台默认保存最近7天的日志，若需要将日志长期存储，可参照云审计服务的帮助文档创建事件跟踪任务。 注意 老版本的容器镜像服务控制台内置了操作审计页面，用户仍可通过将链接 /audit?instanceId${instanceId} 中的${instanceId}替换为已开通的企业版实例ID进行访问，该链接将在后续版本中下线，用户应尽快迁移至云审计服务来查看审计日志。 当前已纳入云审计的关键操作列表 事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

本文介绍分片回源开启后的相关特征。 背景说明 分片回源，是指CDN节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给CDN。分片回源功能开启后，CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 详细信息 下表为分片回源功能不同状态下的相关描述： 功能 状态 描述 分片回源 未开启 分片回源功能未开启时，若客户端发起Range请求，Range请求头部Start值的偏移量在一定范围内（默认为5MB），例如Range：10485762097152（其中1048576为Start值，2097152为End值），CDN加速会默认回源获取完整文件并缓存，同时响应给客户端Range范围内的数据内容。如Range请求的Start值范围超出5MB，且CDN节点尚未缓存完整文件，则CDN节点直接透传Range请求回源站，响应给用户的同时，不缓存对应文件。 分片回源 开启 开启分片回源后，无论客户端发起的是否Range请求，CDN节点无缓存时，均按配置的Range分片大小回源，如源站响应206状态码，则CDN缓存对应分片内容，并响应206（如客户端为Range请求）或200（如客户端为完整文件请求）给客户端。 客户端发起Range请求，CDN有Range范围的文件内容缓存时，直接响应206状态码及对应范围缓存内容给客户端。 分片回源 自适应回源 天翼云CDN加速同时支持自适应回源，即：如果客户端携带Range请求头，则按分片回源；如果客户端没有携带Range请求头，则按完整文件回源。 按分片回源时，会按照配置的分片大小回源，响应给用户的同时缓存文件。 因此，可以通过回源请求头、状态码和源站的响应报文来确认分片回源功能是否生效。分片回源功能开启后： 1. 回源请求头：CDN节点回源时会携带例如Range：bytes100200的请求头。 2. 状态码：CDN节点Range请求回源时，源站响应的状态码是206。 3. 源站响应报文：会带有ContentRange字段，表示响应片段内容的范围和总数据大小，例如：ContentRange：bytes 100200/5000”，表示返回[100200]这101个字节的数据。 分片回源功能的详细介绍和使用注意事项，详情请见：分片回源。

本文主要介绍对象存储的定义。 服务简介 对象存储（Object Storage Service，OBS），简称天翼云OBS，是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。支持S3协议，部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制，为用户提供了超大存储容量的能力，适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。 OBS是一项面向Internet访问的服务，提供了基于HTTP/HTTPS协议的Web服务接口，用户可以随时随地连接到Internet的电脑上，通过OBS管理控制台或各种OBS工具访问和管理存储在OBS中的数据。此外，OBS支持SDK和OBS API接口，可使用户方便管理自己存储在OBS上的数据。OBS实现了在多区域部署基础设施，具备高度的可扩展性和可靠性，用户可根据自身需要指定区域使用OBS，由此获得更快的访问速度和实惠的服务价格。 产品架构 OBS的基本组成是桶和对象。 桶是OBS中存储对象的容器，每个桶都有自己的存储类别、访问权限、所属区域等属性，用户在互联网上通过桶的访问域名来定位桶。 对象是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息的集合体，包括Key、Metadata、Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ETag等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 天翼云针对OBS提供的REST API进行了二次开发，为您提供了控制台、SDK和各类工具，方便您在不同的场景下轻松访问OBS桶以及桶中的对象。当然您也可以利用OBS提供的SDK和OBS API，根据您业务的实际情况自行开发，以满足不同场景的海量数据存储诉求。

本节主要介绍桶ACL和对象ACL。 访问控制列表（Access Control List，ACL）是一个指定被授权用户和所授予权限的授权列表，它可以帮助您管理桶和对象的访问权限。每一个桶和对象都有其对应的ACL，它定义了哪些帐号或群组被授予访问权限以及其拥有的权限类型。当收到对资源的请求时，OBS会检查资源的ACL来验证请求者是否具有必要的访问权限。 默认情况下，创建桶和对象时会同步创建ACL，授予资源拥有者对桶和对象的完全控制权限（FULLCONTROL）。 一个桶的ACL最多支持100条授权，一个对象的ACL也最多支持100条授权。 谁是被授权用户 被授权用户可以是使用云服务的帐号或OBS预定义的群组，详细信息如下表所示。 被授权用户 描述 :: 特定用户 ACL支持通过帐号授予桶/对象的访问权限。授予帐号权限后，帐号下所有具有OBS资源权限的IAM用户都可以拥有此桶/对象的访问权限。当需要为不同IAM用户授予不同的权限时，可以通过桶策略配置， 拥有者 桶的拥有者是指创建桶的帐号。桶拥有者默认拥有所有的桶访问权限，其中桶ACL的读取和写入这两种权限永远拥有，且不支持修改。对象的拥有者是上传对象的帐号，而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限，且不支持修改。 匿名用户 未注册云服务的普通访客群组。如果匿名用户被授予了访问桶/对象的权限，则表示所有人都可以访问对应的桶/对象，并且不需要经过任何身份认证。 日志投递用户组 说明 仅桶ACL支持。 日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在帐号的桶中创建或上传任何文件，因此在需要为桶记录访问日志时，只能由帐号授予日志投递用户组一定权限后，OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。须知：当日志记录开启后，目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭，桶的日志记录会失败。

本节主要介绍IAM策略。 通过IAM，您可以在云帐号中创建IAM用户，并使用策略来控制IAM用户对云资源的访问范围。 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予IAM用户操作OBS资源的权限，则需要向用户所属的用户组授予一个或多个OBS权限集。 IAM策略应用场景 IAM策略主要面向对同帐号下IAM用户授权的场景： 使用策略控制帐号下整个云资源的权限时，使用IAM策略授权。 使用策略控制帐号下OBS所有的桶和对象的权限时，使用IAM策略授权。 策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 参数 说明 :: Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 Statement 策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句。 Action（授权项） 对资源的具体操作权限，支持单个或多个操作权限，支持通配符号，通配符号表示所有。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：09azAZ./，如果Resource中包含不支持的字符，请采用通配符号。 OBS是全局级服务，region填“”；domainId表示资源拥有者的帐号ID，建议填写“”简单地表示所填资源的帐号ID。 示例： − "obs:::bucket:": 表示所有的OBS桶。 − "obs:::object:mybucket/myobject/": 表示桶mybucket中“myobject”目录下的所有对象。 Condition（条件） 使策略生效的特定条件，可选。格式为：条件运算符: {条件名:[条件值1, 条件值2]} 条件包含全局条件名和云服务条件名，OBS支持的条件名与桶策略中的Condition一致，在IAM配置时，需要加上“obs:”。详细的Condition介绍如条件所示。 Condition的条件值仅支持以下字符：,./ azAZ09@

本文带您熟悉备份恢复的操作步骤,您可根据该步骤恢复主机数据。 操作场景 当云主机中的云硬盘发生故障或由于人为误操作导致云主机数据丢失时，您可以使用已经成功创建的备份来恢复云主机。 注意 执行云主机数据恢复操作后，备份时间点的数据将会覆盖云主机上的现有数据。一旦执行云主机数据恢复操作并覆盖了现有数据，则无法撤消或回退。 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。 前提条件 需要恢复的云主机至少存在一个备份，且状态为“可用”。 在恢复前，备份绑定的云主机需处于关机状态。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份副本”页签，找到云主机所对应的备份，点击备份所在行的“恢复数据”。 注意 恢复云主机数据之后，原云主机数据将被覆盖，恢复操作无法终止，为数据安全考虑，您可以事先做好备份。 如果备份后用户添加了云硬盘，再使用备份进行恢复，则添加的云硬盘数据不会改变。 如果备份后用户删除了云硬盘，再使用备份进行恢复，则删除的云硬盘不会被恢复。 云主机切换操作系统后不支持恢复数据至原云主机。 如果使用备份恢复云主机后，云主机密码被随机修改，用户不知道新密码，可以使用密码重置功能 5. 在弹出的页面，确认恢复数据信息，并点击“确定”。 6. 您可以在备份副本列表中，查看备份恢复的执行状态。 7. 直到备份的备份状态恢复为“可用”，表示恢复成功。

本文主要介绍如何创建伸缩带宽策略。 操作场景 用户可以通过伸缩带宽策略对购买的弹性公网IP带宽和共享带宽进行调整。本章节介绍如何创建伸缩带宽策略。 您可以通过创建伸缩带宽策略来实现自动调整带宽。创建伸缩带宽策略时，需要配置对应的基本信息，系统支持告警策略、定时策略、周期策略三种伸缩带宽策略。 创建伸缩带宽策略的基本信息，包括配置策略名称、策略类型、触发条件等。 创建伸缩带宽告警策略 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 弹性伸缩 > 伸缩带宽”。 3. 单击“创建伸缩带宽策略”。 4. 配置策略名称、策略类型、触发条件等参数，请参考下表进行配置。 5. 参数配置完成后，单击“立即创建”。 在“伸缩带宽”页面中可查看新创建的伸缩带宽策略，新创建的策略默认的状态为“已启用”。 表 “告警策略”参数说明 参数 解释 取值样例 区域 创建的伸缩带宽策略所在的区域。 策略名称 创建的伸缩带宽策略的名称。策略名称只能由中文、英文字母、数字、下划线、和中划线组成。 弹性IP 需要进行伸缩管理的公网IP。 策略类型 选择“告警策略”。 告警策略 执行动作 设置伸缩策略执行动作。执行动作包括： 1. 增加：当执行伸缩活动时，增加带宽大小； 2. 减少：当执行伸缩活动时，减少带宽大小； 3. 设置为：将带宽大小设置为固定值。 说明： 由于带宽在不同的取值范围内步长（即可调整的最小单位）不同，最终调整后的带宽会根据实际步长自动调整为就近值。 小于等于300Mbit/s：默认步长为1Mbit/s。 冷却时间 冷却时间是指冷却伸缩活动的时间，单位为秒。在每次伸缩活动完成之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝告警策略的触发，其他类型的伸缩策略（如定时策略和周期策略）及手动触发不受限制。 300秒 表 告警策略监控指标说明 指标名称 解释 入网带宽 该指标用于统计测量对象入云平台的网络速度。 入网流量 该指标用于统计测量对象入云平台的网络流量。 出网带宽 该指标用于统计测量对象出云平台的网络速度。 出网流量 该指标用于统计测量对象出云平台的网络流量。 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率，以百分比为单位。

本节介绍了连接类相关问题与处理方法。 root账号的ssltype修改为ANY后无法登录、 场景描述 在控制台以root帐号通过DAS登录实例时，报错Access denied。 原因分析 1. 查看mysql.user表中的root帐号信息，排查客户端IP范围是否正确、是否使用SSL。 SELECT FROM mysql.user WHERE User'root'; 如果发现root帐号的ssltype 被设置为 ANY ，表明root帐号需要使用SSL连接。 2. 查看SSL开启情况。 show variables like '%ssl%'; 发现该实例未开启SSL： 因此，问题原因是自行修改root帐号的ssltype 为ANY后，导致无法登录。 解决方案 将root帐号的ssltype修改为空即可，参考命令： update mysql.user set ssltype'' where user 'root'; 如果要将其他所有用户帐号的ssltype修改为空，参考命令： update mysql.user set ssltype'' where user not like 'mysql%'; SSL使用与介绍 场景描述 使用SSL无法连接上数据库。 原因分析 优先检查网络是否已经连通，如果不带SSL的连接方式可以连接，则可能是mysql client或对应的数据库驱动的版本不兼容。 解决方案 TaurusDB是兼容社区8.0以上版本的，需要使用8.0及以上版本的mysql client或数据库驱动。 SSL(Secure Socket Layer：安全套接字层)使用数据加密、身份校验和消息完整性校验，为连接提供安全性保证。 SSL提供的功能主要包含 ： 1. 加密数据传输：利用对称密钥算法对传输的数据进行加密。 2. 身份校验：基于证书使用数字签名的方法对客户端与服务器进行身份验证。 3. 消息完整性校验：消息传输过程中使用MAC算法来检验消息的完整性。 注意 当服务端的SSL开启时，客户端的身份验证是可选的，即：即使服务端开启了SSL，客户端也可以不通过SSL的方式连接服务端，此时也可以正常通信，只是数据不会被加密。 如果不是通过SSL的方式，那么其在网络中的传输数据会以明文进行，存在安全隐患。 TaurusDB数据库服务端会默认开启服务端会默认开启SSL，客户业务使用时可以在客户端自行选择是否使用SSL。

本节介绍网络的用户指南：集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，提供了一些建议参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： vers：表示指定 NFS 协议的版本 wsize：表示指定了 NFS 协议中用于写入的数据块大小（以字节为单位），设置较大的写入块大小可以提高写入性能 rsize：类似于 wsize，但用于读取的数据块大小 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 参数 弹性文件存储类型：参数键为type，支持参数值如下： capacity：SFS Turbo标准型 performance：SFS Turbo性能型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有并行文件，再进行选择。 存储加密：选择加密后，需要选择具体的秘钥。用户需要提前创建好秘钥，供ccse控制台调用，当前仅支持默认秘钥和按需秘钥。

本章节介绍了如何查看分布式消息服务RocketMQ实例。 操作场景 本节介绍如何在分布式消息服务RocketMQ控制台查看RocketMQ实例的详细信息。例如，连接RocketMQ实例时，需要获取的连接IP地址和端口号。 操作步骤 1. 登录分布式消息服务RocketMQ控制台。 2. RocketMQ实例支持通过筛选来查询对应的RocketMQ实例。当前支持的筛选条件为“状态”、“名称”、“连接地址”和“ID”。RocketMQ实例状态请参见表1。 表1 RocketMQ实例状态说明 状态 说明 创建中 创建RocketMQ实例后，在RocketMQ实例状态进入运行中之前的状态。 运行中 RocketMQ实例正常运行状态。在这个状态的实例可以运行您的业务。 故障 RocketMQ实例处于故障状态。 启动中 实例从已冻结到运行中的中间状态。 重启中 RocketMQ实例正在进行重启操作。 变更中 RocketMQ实例正在进行公网访问变更或规格变更操作。 变更失败 RocketMQ实例处于公网访问变更失败或规格变更失败的状态。 已冻结 实例处于已冻结状态。 冻结中 实例从运行中到已冻结的中间状态。 升级中 RocketMQ实例正在进行升级操作。 回滚中 RocketMQ实例正在进行回滚操作。 3. 单击RocketMQ实例的名称，进入该RocketMQ实例的基本信息页面，查看RocketMQ实例的详细信息。 表2为连接实例的相关参数，其他参数，请查看页面显示 表2 实例参数 参数 说明 元数据连接地址 未开启公网访问时，实例元数据管理节点的地址，大部分场景下客户端只需要配置此地址即可。 业务连接地址 未开启公网访问时，实例业务处理节点的地址，当需要对单一业务节点进行操作时，可以使用其中某一地址。 公网访问 公网访问状态。单击“公网访问”后的，开启/关闭公网访问。 元数据公网连接地址 仅开启公网访问后可见。开启公网访问后，实例元数据管理节点的地址，大部分场景下客户端只需要配置此地址即可。 业务公网连接地址 仅开启公网访问后可见。开启公网访问后，实例业务处理节点的地址。 SSL 实例的SSL状态。 ACL访问控制 实例的ACL访问状态。单击“ACL访问控制”后的，开启ACL访问。 说明：仅2021年8月21号后购买的实例，支持设置此参数。

本节介绍了查看实例运行情况的相关内容。 数据管理服务提供的总览页面可以帮助您查看数据库实例的整体运行情况，包括告警统计、资源使用情况和重点性能指标，多方面实时展示实例的运行状态。基于运行数据结合智能算法对实例进行健康智能诊断，并对异常项提供解决方法与使用建议。 功能模块 总览页面从多个模块为用户展示实例的运行情况，各功能模块详情请参见下表。 表 功能说明 功能模块 说明 告警统计 查看实例运行中不同等级告警条数。单击告警数，可以跳转至告警规则页面，显示该告警等级下的所有告警规则。 健康智能诊断 基于运行数据结合智能算法对实例进行整体诊断，帮助您所见即所得了解实例的健康情况。 资源使用情况 查看实例的CPU利用率、内存利用率、磁盘空间利用率和磁盘IOPS指标数。 重点性能指标 查看实例的近一小时的重点性能指标，包括CPU和慢SQL数、连接数、内存使用率、硬盘读写吞吐量。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择目标实例，单击“详情”，进入“总览”页面。 步骤 7 在总览页面，查看实例的运行情况。 告警统计 在“告警统计”模块，查看当前实例的告警信息。单击告警级别后的告警个数，可查看告警详情列表。 如果业务需要关注CPU使用率、磁盘利用率和连接数使用率等指标，您可以通过管理告警规则配置对应的指标和告警策略。 健康智能诊断 在“健康智能诊断”模块，可以实时查看实例的诊断结果。 例如：出现“高压力请求”异常情况时，可以单击“详情与优化”查看相关性能指标的使用情况，并根据优化建议对当前的业务SQL进行优化或者及时扩容CPU规格来满足业务需求。 资源使用情况 在“资源使用情况”模块，可以查看当前实例的资源使用情况。 重点性能指标 在“重点性能指标”模块，可以查看近一小时的重点性能指标。 结束

本文主要介绍RDSPostgreSQL实例修改参数操作。 操作场景 为了能让您的数据库实例的性能发挥最佳表现，您可以根据实际的业务场景和需求对创建的参数组的参数项进行调整，也可以在"实例列表"的"参数设置"进行参数项调整。 您仅可以修改自定义创建的参数模板，无法对默认参数组模板进行修改编辑。 注意 当您在Ⅱ类资源池的"实例管理"界面，点击选定"实例名称/实例ID"下的目标实例，并选择跳转到"参数设置"进行参数修改时，更改动态参数并保存修改后，系统将会立即同步修改后的参数值。若您修改静态参数并保存修改后，系统将会提示您是否立即重启实例，您可以点击"确定"按钮后，系统执行实例重启操作完成参数生效，或者点击"取消"按钮，待您后续手动重启数据库实例后，完成参数生效。动态参数、静态参数区分您可参考参数中【是否需要重启】列。 当您在Ⅱ类资源池的"参数模板"界面，修改用户自定义参数组时，需要执行"应用"操作，将修改后的参数模板应用到您指定的数据库实例。如您修改的参数包括静态参数，则在应用界面需要勾选重启实例，或者手动重启实例，完成数据库实例重启操作后静态参数生效。 操作步骤 Ⅰ类资源池操作步骤 方式一：修改当前实例的参数 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 点击"参数管理",进入"参数管理"页面。在"参数管理"页面，下拉框选择您需要操作的实例，在参数列表内选择您需要修改的参数名，或者在"请输入参数名"输入框内填写您需要修改的参数名后查询，并按照"允许值"来填写参数值取值。 单击"保存"，在弹出框中单击"确定"，保存修改。若修改的参数包括静态参数，则会提示需要重启才能生效，请您根据实际情况选择是否重启。 单击"取消"，放弃本次修改。 单击"预览"，可预览本次修改参数的原先值和修改值。 参数修改完成后，您可以在参数列表的右上侧点击"历史记录"，查看参数修改记录。

怎样测试域名解析是否生效？ 您可以在已经连接Internet的PC终端的DOS窗口使用如下三种命令测试域名解析是否生效，命令格式如下： ping 目标域名 nslookup [qt类型] 目标域名 权威DNS地址 dig 类型 目标域名 @权威DNS地址 说明 nslookup和dig命令中的“类型”可以输入解析记录类型（比如A，CNAME，TXT，MX等），用来查询指定类型的域名解析是否生效，如果不输入则默认查询A类型域名解析。如果PC终端的操作系统没有自带dig命令，需要手动安装后才能使用。 当记录值有多个IP地址时，域名是如何解析的？ 当解析记录的“值”包含多个IP地址时，域名解析会返回所有的IP地址，目前A类型、AAAA类型、TXT类型、MX类型支持解析设置记录集中包含多个值。以A记录为例，当用户在记录值中填写多个ip地址时，域名解析将随机返回所有已填写ip值，但顺序为随机，浏览器会选取其中一个ip地址作为解析的结果。 新增解析记录解析多久可以生效？ 内网DNS server配置实时生效。 添加记录是指首次为域名添加解析记录，客户端的本地DNS从未缓存过该域名的解析信息，会实时向内网DNS服务器请求解析结果，所以添加解析记录是实时生效的。完成内网域名解析记录配置后，您可以按照帮助文档中提供的生效检测方法来验证解析设置是否生效，操作步骤详见生效检测 删除/修改记录解析多久可以生效？ 内网DNS server配置实时生效。 用户客户端解析生效时间取决于本地DNS缓存的解析记录的TTL到期时间，一般默认为10分钟。在实际的域名解析流程中，客户端发起解析请求后，递归解析服务器会代替客户端进行全球递归查询，最终请求到负责该域名解析的权威解析服务器。递归解析服务器将权威解析结果告知客户端的同时，也会在自身缓存上一段时间，这就是DNS缓存。而TTL（全称是“Time To Live（生存时间）”）表示的是DNS记录在DNS服务器上的缓存时间。天翼云内网DNS记录TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（300s），1小时（3600s），12小时（43200s），1天（86400s）。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。