本章节主要介绍 快速定位查询存储倾斜表的最佳实践。 目前提供的倾斜查询接口有函数：tabledistribution(schemaname text, tablename text) 、tabledistribution() 以及视图PGXCGETTABLESKEWNESS，客户可以根据自身业务情况来选择使用。 场景一：磁盘满后快速定位存储倾斜的表 首先，通过pgstatgetlastdatachangedtime(oid)函数查询出近期发生过数据变更的表，介于表的最后修改时间只在进行IUD操作的CN记录，要查询库内1天(间隔可在函数中调整)内被修改的所有表，可以使用如下封装函数： CREATE OR REPLACE FUNCTION getlastchangedtable(OUT schemaname text, OUT relname text) RETURNS setof record AS $$ DECLARE rowdata record; rowname record; querystr text; querystrnodes text; BEGIN querystrnodes : 'SELECT nodename FROM pgxcnode where nodetype ''C'''; FOR rowname IN EXECUTE(querystrnodes) LOOP querystr : 'EXECUTE DIRECT ON (' rowname.nodename ') ''SELECT b.nspname,a.relname FROM pgclass a INNER JOIN pgnamespace b on a.relnamespace b.oid where pgstatgetlastdatachangedtime(a.oid) BETWEEN currenttimestamp 1 AND currenttimestamp;'''; FOR rowdata IN EXECUTE(querystr) LOOP schemaname rowdata.nspname; relname rowdata.relname; return next; END LOOP; END LOOP; return; END; $$ LANGUAGE plpgsql; 然后，通过tabledistribution(schemaname text, tablename text)查询出表在各个DN占用的存储空间。 SELECT tabledistribution(schemaname,relname) FROM getlastchangedtable(); 场景二：常规数据倾斜巡检 在库中表个数少于1W的场景，直接使用倾斜视图查询当前库内所有表的数据倾斜情况。 SELECT FROM pgxcgettableskewness ORDER BY totalsize DESC; 在库中表个数非常多（至少大于1W）的场景，因PGXCGETTABLESKEWNESS涉及全库查并计算非常全面的倾斜字段，所以可能会花费比较长的时间（小时级），建议参考PGXCGETTABLESKEWNESS视图定义，直接使用tabledistribution()函数自定义输出，减少输出列进行计算优化，例如： SELECT schemaname,tablename,max(dnsize) AS maxsize, min(dnsize) AS minsize FROM pgcatalog.pgclass c INNER JOIN pgcatalog.pgnamespace n ON n.oid c.relnamespace INNER JOIN pgcatalog.tabledistribution() s ON s.schemaname n.nspname AND s.tablename c.relname INNER JOIN pgcatalog.pgxcclass x ON c.oid x.pcrelid AND x.pclocatortype 'H' GROUP BY schemaname,tablename;

本文将详细介绍limitcount插件功能、配置和使用。 功能说明 limitcount 插件使用固定时间窗口算法，主要用于限制单个客户端在指定的时间范围内对服务的总请求数，并且会在 HTTP 响应头中返回剩余可以请求的个数. 注意：limitcount 插件的速率限制策略默认是针对单个实例节点，即按照实例节点上的请求数来计数，当存在节点达到数量阈值后请求会被拒绝。如果想对实例集群限速，则policy需指定为redis，并填写redis相关配置信息。 配置字段 名称 类型 填写要求 默认值 有效值 描述 count integer 必填 count> 0 每个客户端在指定时间窗口内的总请求数量阈值。 timewindow integer 必填 timewindow> 0 时间窗口的大小（以秒为单位）。超过该属性定义的时间，则会重新开始计数。 rejectedcode integer 可选 429 [200,599] 当请求超过阈值被拒绝时，返回的 HTTP 状态码。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据。如果 keytype 为 var，则 key 将被解释为变量。变量不需要以美元符号（$）为前缀。如果 keytype 为 varcombination，那么 key 会被当作变量组合，所有变量都应该以美元符号 ($) 为前缀。如 $remoteaddr $consumername，插件会同时受 $remoteaddr 和 $consumername 两个变量的约束；如果 keytype 为 constant，那么 key 会被当作常量。如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 showlimitquotaheader boolean 可选 true 当设置为 true 时，在响应头中显示 XRateLimitLimit（限制的总请求数）和 XRateLimitRemaining（剩余还可以发送的请求数）字段。 group string 可选 非空 对多个API设置相同 group，则路由可以共享相同的速率限制计数器。注意同一个group下的插件配置值需相同。 policy string 可选 "local" ["local","redis"] 速率限制计数器的策略。如果是 local，则计数器存储在本地内存中，按照单个实例节点计数。如果是 redis，则计数器存储在 Redis 实例上，按照实例集群计数。 redishost string 当 policy 为 redis 时必填 Redis 节点的地址。 redisport integer 当 policy 为 redis 时必填 6379 [1,65535] Redis 节点的端口。 redisusername string 可选 如果使用 Redis ACL，则为 Redis 的用户名。如果使用旧式身份验证方法 requirepass，则仅配置 redispassword。 redispassword string 可选 Redis 节点的密码。

表TMS系统权限 系统角色/策略名称 描述 类别 依赖关系 TMS FullAccess 标签管理服务所有权限。 系统策略 TMS ReadOnlyAccess 标签管理服务只读权限。 系统策略 TMS Administrator 标签管理服务管理员权限，拥有该服务下的所有权限，包括预定义标签的查询、创建、删除、导入和导出，以及资源标签的增删改查权限。 系统角色 依赖以下策略： Tenant Guest：全局级/项目级策略，全部云服务只读权限（除IAM权限）。 Server Administrator：项目级策略，在同项目中勾选。 Tenant Administrator：全局级/项目级策略，全部云服务管理员（除IAM管理权限）。 IMS Administrator：项目级服务，在同项目中勾选。 AutoScaling Administrator：项目级服务，在同项目中勾选。 VPC Administrator：项目级服务，在同项目中勾选。 VBS Administrator：项目级服务，在同项目中勾选。 下表列出了TMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表常用操作与系统权限的关系 操作 TMS FullAccess TMS ReadOnlyAccess TMS Administrator 查询资源列表 √（依赖各云服务的查询资源权限） √（依赖各云服务的查询资源权限） √（依赖Tenant Guest） 创建标签键 √ x √（依赖Tenant Guest） 查看资源标签 √ √ √（依赖Tenant Guest） 创建资源标签 √（依赖各云服务的创建标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 修改资源标签 √（依赖各云服务的创建、删除、查看标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 删除资源标签 √（依赖各云服务的删除标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 查询预定义标签 √ √ √ 创建预定义标签 √ x √ 删除预定义标签 √ x √ 导出预定义标签 √ √ √ 导入预定义标签 √ x √ 说明 在TMS控制台对云资源的标签进行操作时，您需要具有TMS查看、创建、删除资源标签等权限，以及资源所属服务的必要权限。由于修改资源标签是通过先删除旧标签再创建新标签（标签键相同，标签值不同）来实现功能，所以要修改云资源的标签需要具备TMS和相应云服务的创建和删除标签的权限。 以系统权限为例：例如您需要在TMS控制台对ECS资源进行增删标签操作，那么您除了需要具有“TMS FullAccess”系统权限外，还需要拥有“ECS FullAccess”系统权限。 以自定义策略为例：例如您需要在TMS控制台上查看ECS的资源和标签，那么您除了需要具有“tms:resourceTags:list”权限外，您还需要拥有ECS服务的“ecs:servers:getTags”和“ecs:servers:get”权限。 IAM服务免费使用，您只需要为您帐号中的云服务和资源进行付费。

本文简要介绍了如何创建组播域。 操作场景 您需要通过创建组播域来划分一个组播网络范围，仅在此组播域内的组播源和组播成员才能发送和接收组播流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录管理控制台。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在系统首页， 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面 。 4. 在左侧导航栏，选择“组播”。 5. 进入组播操作页，在界面右侧详情区域单击“创建组播域”。 6. 在创建组播域对话框，根据以下信息进行配置，然后单击“确定”创建完成。 配置项 说明 组播域名称 输入组播域的名称。 组播域来源 选择组播域的来源，支持云间和云内两种方式，只可同时选择一项。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 所属vpc 选择组播域关联的VPC。 成员加入方式 选择组播成员加入组播域的方式，支持动态加入和静态加入。成员动态加入和静态加入只可同时选择一项。 成员动态加入时，根据行情接收者 APP 所使用的 IGMP 版本选择IGMP 协议，IGMPv2、IGMPv3至少选择一个。 云间组播域选择IGMPv3协议时，需填写SSM组地址。SSM组地址默认为232.0.0.0/8，可输入范围格式如225.0.0.0/24225.100.100.0/24，多个IP地址间用“;”隔开。 成员静态加入时，需手动填写组播组地址，目前只支持填写单个地址且不可相同。 描述 输入组播域的描述信息。 注意 1、目前成员静态加入方式只支持云服务器的主网卡。系统将以该网卡的主私网IP地址接收组播流量。 2、一个组播组地址可以添加多个网卡。 3、组播接收云服务器所在的安全组需放通组播源的端口和地址。 4、知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。

KMS权限策略 KMS权限策略包含系统策略和自定义策略，如果系统策略不满足授权要求，您可以创建自定义策略，并 为IAM用户授予自定义策略来进行精细的访问控制。目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云 服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 详细介绍请参考IAM关于策略管理的介绍。 KMS支持的授权项 密钥管理 权限 对应API接口 授权项 读写类型 创建密钥 /v1/cmkManage/createKey kms:cmk:create 写 启用密钥 /v1/cmkManage/enableKey kms:cmk:enable 写 禁用密钥 /v1/cmkManage/disableKey kms:cmk:disable 写 计划删除密钥 /v1/cmkManage/scheduleKeyDeletion kms:cmk:delete 写 取消计划删除密钥 /v1/cmkManage/cancelKeyDeletion kms:cmk:undelete 写 更新密钥描述 /v1/keyManage/updateKeyDescription kms:cmk:update 写 查看密钥列表 /v1/keyManage/listAliasKeys kms:cmk:list 读 查看密钥详情 /v1/keyManage/describeKey kms:cmk:describe 读 开启删除保护 /v1/cmkManage/scheduleKeyDeletion kms:cmk:deleteProtect 写 取消删除保护 /v1/cmkManage/cancelKeyDeletion kms:cmk:cancelDeleteProtect 写 获取导入密钥材料参数 /v1/importKey/getParametersForImport kms:cmk:getParameters 写 导入密钥材料 /v1/importKey/importKeyMaterial kms:cmk:importMaterial 写 删除密钥材料 /v1/importKey/deleteKeyMaterial kms:cmk:deleteMaterial 写 设置/更新轮转策略 /v1/versionControl/updateRotationPolicy kms:cmk:updateRotation 写 创建密钥版本 /v1/versionControl/createKeyVersion kms:cmk:createVersion 写 列出主密钥所有密钥版本 /v1/versionControl/listKeyVersions kms:cmk:listVersions 读 查看指定密钥版本信息 /v1/versionControl/describeKeyVersion kms:cmk:describeVersion 读 创建别名 /v1/keyName/createAlias kms:cmk:createAlias 写 删除别名 /v1/keyName/deleteAlias kms:cmk:deleteAlias 写 更新别名（非控制台功能） /v1/keyName/updateAlias kms:cmk:updateAlias 写 列出与指定密钥绑定的别名 /v1/keyName/listAliasByUuid kms:cmk:listAliasByUuid 读 列出所有别名（非控制台功能） /v1/keyName/listAlias kms:cmk:listAlias 读 在线加密 /v1/keyCompute/encrypt kms:cmk:encrypt 写 产品数据密钥（信封加密） /v1/keyCompute/generateDataKey kms:cmk:generateDataKey 写 产生无明文返回值的数据密钥（信封加密） /v1/keyCompute/generateDataKeyWithoutPlaintext kms:cmk:generateDataKeyWithoutPlaintext 写 导出数据密钥 /v1/keyCompute/exportDataKey kms:cmk:exportDataKey 写 产生并导出数据密钥 /v1/keyCompute/generateAndExportDataKey kms:cmk:generateAndExportDataKey 写 解密 /v1/keyCompute/decrypt kms:cmk:decrypt 写 转加密 /v1/cmkManage/reEncrypt kms:cmk:reEncrypt 写 产生数字签名 /v1/asymmetric/asymmetricSign kms:cmk:asymmetricSign 写 验证签名 /v1/asymmetric/asymmetricVerify kms:cmk:asymmetricVerify 写 非对称密钥加密 /v1/asymmetric/asymmetricEncrypt kms:cmk:asymmetricEncrypt 写 非对称密钥解密 /v1/asymmetric/asymmetricDecrypt kms:cmk:asymmetricDecrypt 写 获取非对称密钥公钥 /v1/asymmetric/getPublicKey kms:cmk:getPublicKey 写

KMS权限策略 KMS权限策略包含系统策略和自定义策略，如果系统策略不满足授权要求，您可以创建自定义策略，并 为IAM用户授予自定义策略来进行精细的访问控制。目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云 服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 详细介绍请参考IAM关于策略管理的介绍。 KMS支持的授权项 密钥管理 权限 对应API接口 授权项 读写类型 创建密钥 /v1/cmkManage/createKey kms:cmk:create 写 启用密钥 /v1/cmkManage/enableKey kms:cmk:enable 写 禁用密钥 /v1/cmkManage/disableKey kms:cmk:disable 写 计划删除密钥 /v1/cmkManage/scheduleKeyDeletion kms:cmk:delete 写 取消计划删除密钥 /v1/cmkManage/cancelKeyDeletion kms:cmk:undelete 写 更新密钥描述 /v1/keyManage/updateKeyDescription kms:cmk:update 写 查看密钥列表 /v1/keyManage/listAliasKeys kms:cmk:list 读 查看密钥详情 /v1/keyManage/describeKey kms:cmk:describe 读 开启删除保护 /v1/cmkManage/scheduleKeyDeletion kms:cmk:deleteProtect 写 取消删除保护 /v1/cmkManage/cancelKeyDeletion kms:cmk:cancelDeleteProtect 写 获取导入密钥材料参数 /v1/importKey/getParametersForImport kms:cmk:getParameters 写 导入密钥材料 /v1/importKey/importKeyMaterial kms:cmk:importMaterial 写 删除密钥材料 /v1/importKey/deleteKeyMaterial kms:cmk:deleteMaterial 写 设置/更新轮转策略 /v1/versionControl/updateRotationPolicy kms:cmk:updateRotation 写 创建密钥版本 /v1/versionControl/createKeyVersion kms:cmk:createVersion 写 列出主密钥所有密钥版本 /v1/versionControl/listKeyVersions kms:cmk:listVersions 读 查看指定密钥版本信息 /v1/versionControl/describeKeyVersion kms:cmk:describeVersion 读 创建别名 /v1/keyName/createAlias kms:cmk:createAlias 写 删除别名 /v1/keyName/deleteAlias kms:cmk:deleteAlias 写 更新别名（非控制台功能） /v1/keyName/updateAlias kms:cmk:updateAlias 写 列出与指定密钥绑定的别名 /v1/keyName/listAliasByUuid kms:cmk:listAliasByUuid 读 列出所有别名（非控制台功能） /v1/keyName/listAlias kms:cmk:listAlias 读 在线加密 /v1/keyCompute/encrypt kms:cmk:encrypt 写 产品数据密钥（信封加密） /v1/keyCompute/generateDataKey kms:cmk:generateDataKey 写 产生无明文返回值的数据密钥（信封加密） /v1/keyCompute/generateDataKeyWithoutPlaintext kms:cmk:generateDataKeyWithoutPlaintext 写 导出数据密钥 /v1/keyCompute/exportDataKey kms:cmk:exportDataKey 写 产生并导出数据密钥 /v1/keyCompute/generateAndExportDataKey kms:cmk:generateAndExportDataKey 写 解密 /v1/keyCompute/decrypt kms:cmk:decrypt 写 转加密 /v1/cmkManage/reEncrypt kms:cmk:reEncrypt 写 产生数字签名 /v1/asymmetric/asymmetricSign kms:cmk:asymmetricSign 写 验证签名 /v1/asymmetric/asymmetricVerify kms:cmk:asymmetricVerify 写 非对称密钥加密 /v1/asymmetric/asymmetricEncrypt kms:cmk:asymmetricEncrypt 写 非对称密钥解密 /v1/asymmetric/asymmetricDecrypt kms:cmk:asymmetricDecrypt 写 获取非对称密钥公钥 /v1/asymmetric/getPublicKey kms:cmk:getPublicKey 写

参数名称 描述 name 报文的名称，可修改。 httpversion 协议类型。 支持HTTP、HTTPS、TCP和UDP。 当请求类型为HTTP和HTTPS时，设置以下参数。 method 支持GET、POST、PATCH、PUT和DELETE。 returntimeout 发送请求，等待服务器响应的超时时间。 如果不设置此参数，默认响应超时时间为5000ms。 URL 发送请求的URL地址，比如“ headers 由关键字/值对组成，请求头部通知服务器有关于客户端请求的信息，“头域”的说明请参见 报文内容 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 说明 请求方式为GET时，不支持报文内容。 当请求类型为TCP时，设置以下参数。 说明 TCP类型的报文暂不支持响应提取功能。 IP 发送请求到被测服务器的IP地址。 port 发送请求到被测服务器的端口号。 connecttimeout 发起连接，服务器无响应的超时时间。 returntimeout 连接建立成功，等待响应返回的超时时间。 连接设置 重复使用连接：请求响应完成后，不断开连接，复用连接发送接收下一次请求响应。 关闭连接：每次完成请求响应完成后，断开连接，下一次重新建立连接。 checkendtype 通过返回结束设置，来判断本次请求的响应内容是否已经接收完成。 返回数据长度：设置返回数据的长度，单位字节。当接收到此长度的响应内容时，数据接收完成。 结束符：设置返回数据的结束标记。当接收到结束符时，数据接收完成 。 说明 结束符建议设置一个唯一的结束标记，如果设置的结束符在响应内容中存在多个，当接收到第一个结束符时，就认为响应内容已经接收完成，这样接收的响应数据就不完整。 body 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 内容格式：请根据被测服务器的业务请求内容，选择“字符串”或“16进制码流”。 说明 16进制码流的内容取值范围为“09”和“af”，且总字符个数为双数。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。

本章节主要介绍如何使用函数流实现流式大文件处理。 背景与价值 Serverless Workflow由于自身可编排、有状态、持久化、可视化监控、异常处理、云服务集成等特性，适用于很多应用场景，比如： 复杂度高需要抽象的业务（订单管理，CRM 等） 业务需要自动中断 / 恢复能力，如多个任务之间需要人工干预的场景（人工审批，部署流水线等） 业务需要手动中断 / 恢复（数据备份 / 恢复等） 需要详细监控任务执行状态的场景 流式处理（日志分析，图片 / 视频处理等）当前大部分 Serverless Workflow 平台更多关注控制流程的编排，忽视了工作流中数据流的编排和高效传输，上述场景创建函数流触发器中，由于数据流相对简单，所以各大平台支持都比较好，但是对于文件转码等存在超大数据流的场景，当前各大平台没有给出很好的解决方案。FunctionGraph函数工作流针对该场景，提出了 Serverless Streaming 的流式处理方案，支持毫秒级响应文件处理。 技术原理 FunctionGraph函数工作流提出 Serverless Streaming 的流式可编排的文件处理解决方案，步骤与步骤之间通过数据流驱动，更易于用户理解。本章通过图片处理的例子解释该方案的实现机制。 如果需要驱动一个工作流执行，工作流系统需要处理两个部分： 控制流：控制工作流的步骤间流转，以及步骤对应的 Serverless 函数的执行。确保步骤与步骤之间有序执行。 数据流：控制整个工作流的数据流转，通常来说上一个步骤的输出是下一个步骤的输入，比如上述图片处理工作流中，图片压缩的结果是打水印步骤的输入数据。 在普通的服务编排中，由于需要精准控制各个服务的执行顺序，所以控制流是工作流的核心部分。然而在文件处理等流式处理场景中，对控制流的要求并不高，以上述图片处理场景举例，可以对大图片进行分块处理，图片压缩和加水印的任务不需要严格的先后顺序，图片压缩处理完一个分块可以直接流转到下一个步骤，而不需要等待图片压缩把所有分块处理完再开始加水印的任务。 基于上述理解，FunctionGraph工作流的 Serverless Streaming 方案架构设计如下图所示： 在 Serverless Streaming 的流程中，弱化控制流中步骤之间的先后执行顺序，允许异步同时执行，步骤与步骤之间的交互通过数据流驱动。其中数据流的控制通过 Stream Bridge 组件来实现。同时函数 SDK 增加流式数据返回接口，用户不需要将整个文件内容返回，而是通过 gRPC Stream 的方式将数据写入到 Stream Bridge，Stream Bridge 用来分发数据流到下一个步骤的函数 Pod 中。

节点选择，当节点拥有gputrue标签时才在节点上创建Pod gpu: true ... 通过节点亲和性规则配置，也可以做到同样的事情，如下所示。 apiVersion: apps/v1 kind: Deployment metadata: name: gpu labels: app: gpu spec: selector: matchLabels: app: gpu replicas: 3 template: metadata: labels: app: gpu spec: containers: image: nginx:alpine name: gpu resources: requests: cpu: 100m memory: 200Mi limits: cpu: 100m memory: 200Mi imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: gpu operator: In values: "true" 看起来这要复杂很多，但这种方式可以得到更强的表达能力，后面会进一步介绍。 这里affinity表示亲和，nodeAffinity表示节点亲和，requiredDuringSchedulingIgnoredDuringExecution非常长，不过可以将这个分作两段来看： 前半段requiredDuringScheduling表示下面定义的规则必须强制满足（require）才会调度Pod到节点上。 后半段IgnoredDuringExecution表示已经在节点上运行的Pod不需要满足下面定义的规则，即去除节点上的某个标签，那些需要节点包含该标签的Pod不会被重新调度。 另外操作符operator的值为In，表示标签值需要在values的列表中，其他operator取值如下。 NotIn：标签的值不在某个列表中 Exists：某个标签存在 DoesNotExist：某个标签不存在 Gt：标签的值大于某个值（字符串比较） Lt：标签的值小于某个值（字符串比较） 需要说明的是并没有nodeAntiAffinity（节点反亲和），因为NotIn和DoesNotExist可以提供相同的功能。 下面来验证这段规则是否生效，假设某集群有如下三个节点。 $ kubectl get node NAME STATUS ROLES AGE VERSION 192.168.0.212 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 192.168.0.94 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 192.168.0.97 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 首先给192.168.0.212这个节点打上gputrue的标签。 $ kubectl label node 192.168.0.212 gputrue node/192.168.0.212 labeled $ kubectl get node L gpu NAME STATUS ROLES AGE VERSION GPU 192.168.0.212 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 true 192.168.0.94 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 192.168.0.97 Ready 13m v1.15.6r120.3.0.2.B00115.30.2 创建这个Deployment，可以发现所有的Pod都部署在了192.168.0.212这个节点上。 $ kubectl create f affinity.yaml deployment.apps/gpu created $ kubectl get pod o wide NAME READY STATUS RESTARTS AGE IP NODE gpu6df65c44cf42xw4 1/1 Running 0 15s 172.16.0.37 192.168.0.212 gpu6df65c44cfjzjvs 1/1 Running 0 15s 172.16.0.36 192.168.0.212 gpu6df65c44cfzv5cl 1/1 Running 0 15s 172.16.0.38 192.168.0.212

本章节主要介绍新建原子指标。 原子指标是对指标统计逻辑、具体算法的一个抽象。为了从根源上解决定义、研发不一致的问题，指标定义明确设计统计逻辑（即计算逻辑），不需要ETL二次或者重复研发，从而提升了研发效率，也保证了统计结果的一致性。 背景信息 原子指标来源于事实表： 原子指标是为了构建应用统计分析所需的衍生指标，而定义的数据组件，因此只可以基于事实逻辑表明细数据表来创建。 衍生指标无来源表，它归属于每个组合成它的原始的原子指标的来源表。 原子指标与衍生指标的关系： 原子指标的计算逻辑修改生效后，会直接更新应用于相关的衍生指标。 原子指标删除英文名，需要校验下游是否有衍生指标使用，如果有，则无法删除。 目前原子指标在被下游使用的情况下，支持变更英文名。 原子指标的更改会影响下游衍生指标。 前提条件 您已创建并发布事实表，且事实表已通过审核，具体操作请参见新建事实表。 新建原子指标并发布 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 2. 在数据架构控制台，单击左侧导航树中的“技术指标”，选择“原子指标”页签进入原子指标页面。 3. 在左侧主题目录中选中一个主题，然后单击“新建”按钮，开始新建原子指标。 4. 在新建原子指标页面，参考配置参数，然后单击“发布”。 下表为新建原子指标参数说明 参数名称 说明 指标名称 只能包含中文、英文字母、数字和下划线，且以中文或英文字母开头。 指标英文名称 只能包含英文字母、数字和下划线，且以英文字母开头。 数据表 在下拉列表中选择一个已发布的事实表，如果表很多，您也可以在下拉列表的输入框中输入表名称搜索事实表。如果您尚未创建事实表，请参见新建事实表并发布进行创建并发布。 所属主题 原子指标所属的主题信息。当“数据表”选择事实表后，将自动显示事实表所属的主题信息，您也可以单击“选择主题”进行选择。 设定表达式 根据实际情况选择所需要的函数和字段，并设定表达式。 描述 描述信息。支持的长度为0~600个字符。 5. 在弹出框中单击“确认提交”，提交审核。 6. （可选）参考步骤3~步骤5，完成其他原子指标的发布。 7. 等待审核人员审核。 审核通过后，原子指标创建完成。

本章节主要介绍批量管理作业。 操作场景 这里以表/文件迁移的作业为例进行介绍，指导用户批量管理CDM作业，提供以下操作： 作业分组管理 批量运行作业 批量删除作业 批量导出作业 批量导入作业 批量导出、导入作业的功能，适用以下场景： CDM集群间作业迁移：例如需要将作业从老版本集群迁移到新版本的集群。 备份作业：例如需要将CDM集群停掉或删除来降低成本时，可以先通过批量导出把作业脚本保存下来，仅在需要的时候再重新创建集群和重新导入作业。 批量创建作业任务：可以先手工创建一个作业，导出作业配置（导出的文件为JSON格式），然后参考该作业配置，在JSON文件中批量复制出更多作业，最后导入CDM以实现批量创建作业。 操作步骤 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理”。 2.单击“表/文件迁移”显示作业列表，提供以下批量操作： 作业分组 CDM支持对分组进行新增、修改、查找、删除。删除分组时，会将组内的所有作业都删除。 创建作业的第三步任务配置中，如果已经将作业分配到了不同的分组中，则这里可以按分组显示作业、按组批量启动作业、按分组导出作业等操作。 批量运行作业 勾选一个或多个作业后，单击“运行”可批量启动作业。 批量删除作业 勾选一个或多个作业后，单击“删除”可批量删除作业。 批量导出作业 单击“导出”，弹出批量导出页面，如下图。 图 批量导出页面 −全部作业和连接：勾选此项表示一次性导出所有作业和连接。 −全部作业：勾选此项表示一次性导出所有作业。 −全部连接：勾选此项表示一次性导出所有连接。 −按作业名导出：勾选此项并选择需要导出的作业，单击确认即可导出所选作业。 −按分组导出：勾选此项并下拉选择需要导出的分组，单击确认即可导出所选分组。 批量导出可将需要导出的作业导出保存为JSON文件，用于备份或导入到别的集群中。 说明 由于安全原因，CDM导出作业时没有导出连接密码，连接密码全部使用“Add password here”替换。 批量导入作业 单击“导入”，选择JSON格式的文件导入或文本导入。 −文件导入：待导入的作业文件必须为JSON格式（大小不超过1M）。如果待导入的作业文件是之前从CDM中导出的，则导入前必须先编辑JSON文件，将“Add password here”替换为对应连接的正确密码，再执行导入操作。 −文本导入：无法正确上传本地JSON文件时可选择该方式。将作业的JSON文本直接粘贴到输入框即可。

本章节主要介绍支持的监控指标。 前提条件 使用CDM监控功能，需获取CES相关权限。 功能说明 本节定义了数据集成上报云监控的监控指标的命名空间、监控指标列表和维度定义，用户可以通过云监控提供的API接口来检索监控指标。 命名空间 SYS.CDM 监控指标 CDM集群支持的监控指标详见下表：CDM支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） bytesin 网络流入速率 该指标用于统计每秒流入测量对象的网络流量。 单位：字节/秒。 ≥0 bytes/s CDM集群实例 1分钟 bytesout 网络流出速率 该指标用于统计每秒流出测量对象的网络流量。 单位：字节/秒。 ≥0 bytes/s CDM集群实例 1分钟 cpuusage CPU使用率 该指标用于统计测量对象的CPU使用率。 单位：%。 0%～100% CDM集群实例 1分钟 memusage 内存使用率 该指标用于统计测量对象的内存使用率。 单位：%。 0%～100% CDM集群实例 1分钟 diskusage 磁盘利用率 该指标为从物理机层面采集的磁盘使用率，数据准确性低于从弹性云主机内部采集的数据。 单位：%。 0.001%~90% CDM集群实例 1分钟 diskio 磁盘io 该指标为从物理机层面采集的磁盘每秒读取和写入的字节数，数据准确性低于从弹性云主机内部采集的数据。 单位：Byte/sec 0~10GB CDM集群实例 1分钟 tomcatheapusage 堆内存使用率 该指标为从物理机层面采集的堆内存使用率，数据准确性低于从弹性云主机内部采集的数据。 单位：%。 0.001%~90% CDM集群实例 1分钟 tomcatconnect tomcat并发连接数 该指标为从物理机层面采集的tomcat并发连接数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 tomcatthreadcount tomcat线程数 该指标为从物理机层面采集的tomcat所占线程数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 pgconnect 数据库连接数 该指标为从物理机层面采集的postgres数据库连接数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 pgsubmissionrow 历史记录表行数 该指标为从物理机层面采集的postgres数据库submission表行数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 pgfailedjobrate 失败作业率 该指标为从物理机层面sqoop进程采集的失败作业率。 单位：%。 0.001%~100% CDM集群实例 1分钟 inodesusage Inodes利用率 该指标为从物理机层面采集的磁盘inodes使用率，数据准确性低于从弹性云主机内部采集的数据。 单位：%。 0.001%~0.9% CDM集群实例 1分钟

本文介绍QUIC协议的工作原理、应用场景、支持的QUIC类型、注意事项及配置说明等。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于HTTP协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 握手建连更快：QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本章节介绍了如何讲其他厂商或自建的业务迁移到分布式消息服务RocketMQ的实践方案。 操作场景 RocketMQ业务迁移是指将其他厂商或者自建的RocketMQ迁移到天翼云分布式消息服务RocketMQ。 前提条件 1. 配置网络环境 分布式消息服务RocketMQ实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 2. 购买分布式消息服务RocketMQ实例 具体请参考购买RocketMQ实例。 操作步骤 1. 迁移元数据至分布式消息服务RocketMQ实例。 1. 获取其他厂商或自建RocketMQ实例的元数据。 2. 登录主机，下载RocketMQ软件包。 wget i < 1. 解压软件包。 unzip rocketmqall4.9.4binrelease.zip 1. （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey: secretKey: accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥。 1. 进入解压后的软件包目录下，执行以下命令，查询集群名称。sh ./bin/mqadmin clusterList n {nameserver地址及端口号}例如：“nameserver地址及端口号”为“192.168.0.65:8100”。 2. sh ./bin/mqadmin clusterList n 192.168.0.65:8100执行以下命令，导出元数据。未开启SSL的实例，执行以下命令。sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 1. sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export已开启SSL的实例，执行以下命令。JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 3. JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export在控制台迁移元数据。登录控制台。 4. 单击RocketMQ实例的名称，进入实例详情页面。 5. 在左侧导航栏，选择“元数据迁移”，进入迁移任务列表页面。 6. 单击“创建迁移任务”，弹出“创建迁移任务”对话框。 参考，设置迁移任务的参数。 参数 说明 任务名称 您可以自定义迁移任务的名称，用于区分不同的迁移任务。 是否同名覆盖 如果开启同名覆盖，会对已有的同名元数据的配置进行修改。例如：原实例Topic01的读队列个数为3，云上实例Topic01的读队列个数为2，开启同名覆盖后，云上实例Topic01的读队列个数变为3。如果不开启同名覆盖，同名元数据的迁移将失败。例如：原实例的Topic包含Topic01和Topic02，云上实例的Topic包含Topic01和Topic03，不开启同名覆盖，原实例Topic01的迁移将失败。 元数据 上传。 1. 单击“确定”。迁移完成后，在迁移任务列表页面查看“任务状态”。 1. 当“任务状态”为“迁移完成”，表示所有元数据都已成功迁移。 2. 当“任务状态”为“迁移失败”，表示元数据中部分或全部元数据迁移失败。单击迁移任务名称，进入迁移任务详情页，在“迁移结果”中查看迁移失败的Topic/消费组名称，以及失败原因。 2. 迁移生产消息至分布式消息服务RocketMQ版实例。将生产客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启生产业务，使得生产者将新的消息发送到分布式消息服务RocketMQ版实例中。 3. 迁移消费消息至分布式消息服务RocketMQ版实例。待消费组中的消息消费完之后，将消费客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启消费业务，使得消费者从分布式消息服务RocketMQ版实例中消费消息。 4. 如果有多个RocketMQ实例需要迁移到同一个分布式消息服务RocketMQ版实例中，请依次进行迁移

本节主要介绍编辑登录规则和清除登录规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“登录安全设置”处可以进行编辑登录规则和清除登录规则。 登录策略是一组规则，定义IAM用户可以设置的登录类型，该规则将应用于IAM用户设置登录规则。 编辑登录规则 在“登录安全设置处”点击“编辑登录规则”，可以对IAM用户登录规则进行重新设置。 项目 描述 :: 限定登录时长 登录失败次数的限定时间。如果在限定登录时长内IAM用户达到登录失败次数后，会被锁定一段时间，锁定时间结束后，才能重新登录。 取值：整数形式，[15, 60]，单位是分钟。 登录失败次数 IAM用户在限定时间内允许连续登录失败的次数。 取值：整数形式，[5, 10]。 锁定时间长度 IAM用户被锁定的时间。 取值：整数形式，[15, 60]，单位是分钟。 是否允许单用户同时多点登录 是否允许IAM用户同一时刻在多个客户端登录。当配置为不允许时，则IAM用户不能同时在多个客户端登录，即最后一次的登录会保持，之前的登录将被强制下线。系统默认配置为允许。 登录Session过期时间长度 IAM用户登录控制台后，在无任何操作时，保存会话的时间长度。 取值：整数形式，[10, 30]，单位是分钟。 清除登录规则 在“登录安全设置”处点击“清除登录规则”，改为默认登录规则。默认登录规则为： 限定时间长度：15分钟。 登录失败次数：5。 锁定时间长度：15分钟。 是否允许单用户同时单点登录：允许。 登录Session过期时间长度：30分钟。

介绍Linux主机挂载块存储的最佳实践。 实践背景 块空间使用的是iSCSI协议，因此在新建块空间后需要使用iSCSI客户端来连接块空间。 本实践是在centos 7上，具有免密sudo权限的普通用户使用iSCSI客户端连接天翼云媒体存储块空间，并且对其进行格式化的过程。 操作步骤 1.执行以下命令，安装iSCSI客户端。 sudo yum install y iscsiinitiatorutils sudo yum install y devicemappermultipath 当系统出现如下所示的更新完毕作为依赖被升级完毕的提示时，说明软件安装完成。 若已安装过所需软件，系统会提示对应的软件包已安装并且是最新版本无须任何处理。 2.配置iSCSI多路径，具体步骤如下： （1） 执行以下命令，生成配置文件/etc/multipath.conf。 mpathconf enable withmultipathd y （2）执行以下命令，修改多路径配置。 sudo vi /etc/multipath.conf （3）添加如下内容。 defaults { userfriendlynames yes pathgroupingpolicy failover failback immediate nopathretry fail } devices { device { vendor "LIOORG" hardwarehandler "1 alua" pathgroupingpolicy "failover" pathselector "queuelength 0" failback 60 pathchecker tur prio alua prioargs exclusiveprefbit fastiofailtmo 25 nopathretry queue } device { vendor "CTyun" pathgroupingpolicy "failover" pathselector "queuelength 0" failback 60 pathchecker tur prioargs exclusiveprefbit fastiofailtmo 25 nopathretry queue } } （4）执行以下命令，进行服务重启。 sudo systemctl restart multipathd 3.修改iSCSI Client的InitiatorName，具体步骤如下： （1）运行以下命令。 sudo vi /etc/iscsi/initiatorname.iscsi （2）将InitiatorName（下图红框内内容）修改为创建块空间时填写的CHAP iqn；具体可参考操作步骤【块空间管理】查看所需挂载块空间的CHAP iqn信息（图中的例子为iqn.209901.com.client.cicdtestcy:230323）。 4.修改CHAP权限，具体步骤如下： （1）运行以下命令。 sudo vi /etc/iscsi/iscsid.conf （2）找到以下内容： 修改为下图中内容，其中红框内的username的等号后面填写创建块空间时设定的CHAP用户（图中的例子为testblockzd），password的等号后面填写创建块空间时设定的CHAP密钥（图中的例子为111111111111）。 5.连接块空间，具体步骤如下： （1）为确保连接顺利，先执行 setenforce 0 命令临时禁用防火墙。 （2）执行以下命令，重启相关组件。 sudo systemctl restart iscsid （3）执行以下命令增加iSCSI连接target，具体的targetname参数与portal参见块空间信息中的targetIqn、网关地址与数据端口，具体查看步骤可见操作步骤【块空间管理】。 sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:13260 opnew sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:23260 opnew （4）执行以下命令，进行登入操作。 sudo iscsiadm m node T iqn.201810.com.redhat.iscsigw:iscsiigw l 说明 对于步骤5(3)、5(4)，可直接通过块空间详情复制对应的操作命令，具体界面如图所示： 更多块空间管理操作可参考： （5）若系统出现以下提示表示登录成功。 （6）可通过以下命令查看新增磁盘。 sudo lsscsi sudo fdisk l sudo lsblk sudo multipath l 注意： 执行后会发现除了机器的原有磁盘外，还挂载了三个新的磁盘，一个是以/dev/mapper/开头的磁盘，另外两个是以/dev/sd开头的磁盘，我们挂载的是前者，即是以/dev/mapper/的磁盘。 每次挂载，该磁盘后面的名字都可能不一样。 如果你有多个块空间使用了同一个iqn，每个块在查看磁盘时均会看到一个以/dev/mapper/开头的磁盘以及两个以/dev/sd开头的磁盘，请总是使用以/dev/mapper/开头的磁盘来进行挂载。 （7）根据系统协议执行以下命令，进行磁盘格式化： xfs文件系统： sudo mkfs.xfs /dev/mapper/mpatha ext4文件系统： sudo mkfs.ext4 /dev/mapper/mpatha 注意 ：可以根据实际需求选择命令，将命令中“/dev/mapper/mpatha”部分改为步骤（6）中查找到的新增磁盘地址。 （8）执行以下命令，挂载到本地目录。 sudo mount /dev/mapper/mpatha /mnt/iscsiMnt 注意： mount后第一部分为新增磁盘的实际地址。 mount后第二部分为进行挂载的本地目录地址。 可以通过mount l命令查看是否挂载成功，若显示信息中包含挂载信息则挂载成功，以上样例对应的挂载信息如下，该样例已成功挂载。 （9）执行以下命令，查看已连接的目标。 sudo iscsiadm m session 6.如需断开连接，则执行以下命令。 sudo iscsiadm m node T iqn.201810.com.redhat.iscsigw:iscsiigw u 7.执行以下命令，删除所有记录。 sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:13260 opdelete sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:23260 opdelete 说明 对于步骤6、7，可直接通过块空间详情复制对应的操作命令，具体界面如图所示： 更多块空间管理操作可参考：

本页介绍天翼云TeleDB数据库年龄回收类问题。 事务回卷问题 问题描述 当事务未能正常回收持续一段时间，库年龄达到上限后。 报错如下，此时数据库还可以访问，但不允许写入： ERROR: database is not accepting commands to avoid wraparound data loss in database "xxx" HINT: Stop the postmaster and vacuum that database in singleuser mode 可能影响 如果CN主节点年龄回卷，那么这个CN主节点会变成只读状态； 如果某个DN主节点年龄回卷，那么写入到这个DN主节点数据SQL会报错。 解决步骤 1. 执行SQL，检查引起年龄回收问题的库： > SELECT datname, age(datfrozenxid) FROM pgdatabase where age(datfrozenxid)>200000000; 2. 连接年龄回卷的库，执行SQL，检查引起年龄回收问题的表； SELECT pgnamespace.nspname as schemaname,relname, age(relfrozenxid) as xidage, pgsizepretty(pgtablesize(pgclass.oid)) as tablesize FROM pgclass,pgnamespace WHERE pgnamespace.oidpgclass.relnamespace and age(relfrozenxid)>200000000 and relfrozenxid ! 0 order by age(relfrozenxid) desc; 3. 控制台停止该节点； 4. 手动启动节点（指定报错提示中的数据库）进入单用户模式 > postgres single D ./ xxx(database) 5. 手动执行vacuum或vacuum full回收问题表，如遇到报错，需要先解决相应报错； 6. ctrl+d退出单用户模式，控制台启动该节点。 年龄回收冲突问题 问题描述 年龄回收时，报冲突错误，如： ERROR: tuple cannot be frozen now, please try later xid 802439820 cutoff xid 958123080 committs 25144982436271 RecentDataTs 25144852436271 RecentGlobalXmin 1058123080 RecentGlobalDataXmin 1058123080k

确保 root 权限 if [[ $EUID ne 0 ]]; then echo "请使用 root 运行此脚本！" exit 1 fi for i in "${!devices[@]}"; do device"${devices[$i]}" mountpoint"${mountpoints[$i]}" 创建挂载目录 mkdir p "$mountpoint" 获取设备的文件系统类型 currentfs$(blkid s TYPE o value "$device") if [[ z "$currentfs" ]]; then echo "设备 $device 没有文件系统，正在格式化为 $fstype..." mkfs.xfs f "$device" else echo "$device 已格式化为 $currentfs，跳过格式化" fi 确保设备未被挂载后再尝试挂载 umount "$device" 2>/dev/null mount t "$fstype" "$device" "$mountpoint" if [[ $? ne 0 ]]; then echo "错误：无法挂载 $device 到 $mountpoint，请检查设备或文件系统！" exit 1 fi echo "$device 已成功挂载到 $mountpoint" 获取 UUID 并更新 /etc/fstab，避免重复添加 uuid$(blkid s UUID o value "$device") if ! grep q "$uuid" /etc/fstab; then echo "UUID$uuid $mountpoint $fstype defaults 0 0" >> /etc/fstab echo "$device (UUID$uuid) 已添加到 /etc/fstab" else echo "$device 已存在于 /etc/fstab，无需添加" fi done echo "所有磁盘已成功挂载并配置为开机自动挂载！" 如下可查看磁盘分区情况： plaintext $ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS loop0 7:0 0 4.2G 1 loop sda 8:0 0 446.6G 0 disk ├─sda1 8:1 0 122M 0 part ├─sda2 8:2 0 976.6M 0 part /boot/efi ├─sda3 8:3 0 1.9G 0 part /boot └─sda4 8:4 0 443.6G 0 part ├─systemlvswap 253:0 0 16G 0 lvm [SWAP] └─systemlvroot 253:1 0 427.6G 0 lvm / nvme1n1 259:0 0 2.9T 0 disk └─nvme1n1p1 259:4 0 2.9T 0 part /mnt/nvme1n1 nvme0n1 259:1 0 2.9T 0 disk └─nvme0n1p1 259:3 0 2.9T 0 part /mnt/nvme0n1 根据galaxy集群启动后，/home和/opt目录为各节点共享目录： plaintext $ df h Filesystem Size Used Avail Use% Mounted on devtmpfs 4.0M 0 4.0M 0% /dev tmpfs 756G 419M 755G 1% /dev/shm tmpfs 303G 1.8G 301G 1% /run tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup /dev/mapper/systemlvroot 428G 20G 408G 5% / tmpfs 756G 200K 756G 1% /tmp /dev/sda3 1.9G 148M 1.7G 9% /boot /dev/sda2 975M 6.4M 969M 1% /boot/efi tmpfs 152G 0 152G 0% /run/user/0 /dev/nvme0n1p1 3.0T 21G 2.9T 1% /mnt/nvme0n1 /dev/nvme1n1p1 3.0T 654G 2.3T 22% /mnt/nvme1n1 master001:/data/nfs/home 428G 20G 408G 5% /home master001:/data/nfs/opt 428G 20G 408G 5% /opt 注意 上面举例使用master001作NFS服务的效果，这里也可以按需使用OceanFS来做共享存储。 本指南部署，会把模型和mindie容器镜像存入每个节点的/mnt/nvme1n1目录，并使用home目录进行服务启动，home目录将仅存放日志文件，非常轻量化。

本章节主要介绍了如何通过JDBC连接池与DRDS对接，实现数据操作。 应用连接池选择 连接资源是数据库中非常宝贵及有限的资源，应用并发量很大时，如果没有连接池，会占用大量的数据库的连接，导致后端数据库连接不足，无法正常提供服务，我们建议应用使用连接池来完成连接工作。在java中，推荐HikariCP作为应用连接池。 JDBC约束 不支持 rewriteBatchedStatementstrue 参数设置(默认为 false)。 BLOB, BINARY, VARBINARY 字段不能使用 setBlob() 或 setBinaryStream() 方法设置参数 。 操作步骤 1. 在控制台创建表并配置分片规则，参考建表DDL如下。 json create table if not exists enumtable( id int not null, code int not null, content varchar(250) not null, primary key(id) )engineinnodb charsetutf8; 2. 配置依赖。 json com.zaxxer HikariCP 4.0.3 3. 配置JDBC连接池参数。 yaml > 4. 连接DRDS实例执行相关sql。 json import com.zaxxer.hikari.HikariDataSource; import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class JDBCTest { public static void main(String[] args) throws SQLException { ApplicationContext app new ClassPathXmlApplicationContext("application.xml"); HikariDataSource dataSource (HikariDataSource) app.getBean("dataSourceHikari"); Connection conn null; try { conn dataSource.getConnection(); //开启事务 conn.setAutoCommit(false); // 插入测试数据 PreparedStatement ps1 conn.prepareStatement("insert into enumtable (id,code,content) values (?,?,?);"); ps1.setInt(1, 1); ps1.setInt(2, 1001); ps1.setString(3, "测试数据"); ps1.executeUpdate(); conn.commit (); //查询条件带上分片键或切片索引键，否则语句将广播执行 PreparedStatement ps2 conn.prepareStatement("SELECT FROM enumtable WHERE id ?"); ps2.setInt(1, 1); ResultSet rs ps2.executeQuery(); rs.next(); String space ""; for (int i 1; i < rs.getMetaData().getColumnCount(); i++) { System.out.print(space + rs.getMetaData().getColumnName(i) + " " + rs.getString(i)); space ", "; } } catch (Exception e) { e.printStackTrace(); } finally { if (conn ! null) { conn.close(); } } } }

Jedis 连接池参数配置建议 参数名 配置介绍 配置建议 最大连接数maxTotal 连接池中允许的最大连接数 根据实际情况设置，避免连接池过大导致资源浪费 最大空闲连接数maxIdle 连接池中允许的最大空闲连接数 根据实际情况设置，避免连接池空闲连接过多 最小空闲连接数minIdle 连接池中保持的最小空闲连接数 根据实际情况设置，保证连接池中始终有一定数量的可用连接 最大等待时间maxWaitMillis 从连接池获取连接的最大等待时间 根据实际情况设置，避免请求因等待连接而超时 测试连接可用性testOnBorrow 从连接池获取连接时是否测试连接的可用性 建议设置为 true，确保从连接池中获取的连接是可用的 下面是一个示例实现方案，使用 Java 语言和 Jedis 客户端库进行重试操作： import redis.clients.jedis.Jedis; import redis.clients.jedis.JedisPool; import redis.clients.jedis.JedisPoolConfig; public class RedisClient { private static final String REDISHOST "localhost"; private static final int REDISPORT 6379; private static final int MAXTOTALCONNECTIONS 10; private static final int MAXIDLECONNECTIONS 5; private static final int MINIDLECONNECTIONS 1; private static final long MAXWAITMILLIS 5000; private static final boolean TESTONBORROW true; private static final int MAXRETRIES 3; private JedisPool jedisPool; public RedisClient() { JedisPoolConfig poolConfig new JedisPoolConfig(); poolConfig.setMaxTotal(MAXTOTALCONNECTIONS); poolConfig.setMaxIdle(MAXIDLECONNECTIONS); poolConfig.setMinIdle(MINIDLECONNECTIONS); poolConfig.setMaxWaitMillis(MAXWAITMILLIS); poolConfig.setTestOnBorrow(TESTONBORROW); jedisPool new JedisPool(poolConfig, REDISHOST, REDISPORT); } public void performRedisOperation() { Jedis jedis null; int retryCount 0; while (retryCount < MAXRETRIES) { try { jedis jedisPool.getResource(); // 执行 Redis 操作 // jedis.set("key", "value"); // ... break; // 执行成功，跳出重试循环 } catch (Exception e) { // 出现异常，进行重试 retryCount++; System.out.println("Redis operation failed. Retrying... (" + retryCount + "/" + MAXRETRIES + ")"); } finally { if (jedis ! null) { jedis.close(); } } } if (retryCount MAXRETRIES) { System.out.println("Redis operation failed after " + MAXRETRIES + " retries."); } } public void close() { if (jedisPool ! null) { jedisPool.close(); } } public static void main(String[] args) { RedisClient redisClient new RedisClient(); redisClient.performRedisOperation(); redisClient.close(); } } 在上述示例代码中，我们创建了一个 Jedis 连接池，并使用 JedisPoolConfig 对其进行配置。通过设置最大连接数、最大空闲连接数、最小空闲连接数、最大等待时间等参数，可以根据实际情况来优化连接池的性能。 在执行 Redis 操作时，我们使用了一个重试机制，即在出现异常时进行重试。通过控制最大重试次数，可以灵活地调整重试策略。 请注意，以上示例代码仅供参考，实际应用中可能需要根据具体情况进行调整和优化。 通过以上实践案例，我们可以实现 Redis 客户端的重试机制，提高系统的稳定性和容错性。需要根据实际情况调整重试的次数、时间间隔和异常处理逻辑，以满足具体业务需求。

本文介绍QUIC协议在短视频加速的应用实践。 背景信息 QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。Google推出的QUIC被称为GQUIC，IETF制定的QUIC称为IQUIC。 QUIC的主要优势如下： 1. 握手建连更快。 2. 避免队首阻塞的多路复用。 3. 支持连接迁移。 4. 可插拔的拥塞控制。 5. 前向纠错（FEC）。 协议详细介绍，详情请见：HTTP3.0(QUIC)协议。 适用场景 1. 图片业务：可降低图片加载时间。 2. 短视频业务：可提升视频秒开率，并且降低弱网环境卡顿率。 3. 直播业务：可提升播放稳定性，降低因网络波动带来的卡顿率。 如何验证CDN已开启QUIC功能 QUIC协议暂不支持客户自助开启，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 QUIC属于双边协议，需要客户端同步支持。如您已开通QUIC功能，可以使用Chrome浏览器或者基于Chrome内核的浏览器来访问对应网站域名，并在浏览器开启开发者工具进行抓包验证。目前较新版本的Chrome浏览器已默认开启QUIC。 一般情况下，Chrome浏览器和服务器端协商使用QUIC协议要经过如下步骤： 1. 首次访问，客户端会先发起正常的TCP请求。 2. 服务端如果支持QUIC，会通过响应头部返回altsvc信息告知客户端自己支持QUIC及对应版本（如下图），其含义是服务器在443端口开启QUIC，最大缓存时间是2592000秒（30天），支持的QUIC版本IQUIC。 3. 下次访问，客户端会同时发起TCP连接和QUIC连接进行竞速。 4. 一旦QUIC竞速连接获胜，则后续会采用QUIC协议发送请求，如果在浏览器进行抓包（快捷键F12打开开发者工具），可在Protocol列查看其具体的协议，如下图所示，这里显示的h3即表示采用的是IQUIC。 注意 如果没有Protocol列，右键点击Header Options，勾选Protocol列即可。 5. 如遇网络或服务器不支持QUIC，客户端标记QUIC为broken。 6. 传输中的QUIC请求立即用TCP进行重发。 7. 5min后尝试重试QUIC，下一次尝试增大到10min。 8. 一旦再次成功采用QUIC，会把broken标记取消。

本章节介绍应用容灾多活的数据层配置。 概述 数据层配置主要包括数据源 和数据同步，每个单元组可以单独进行配置，不同单元的数据源之间通过数据传输服务进行数据同步。 应用容灾多活通过控制面与数据面协同，对指定数据源进行相应的读写保护。当某个单元发生故障时，可以通过切流任务将应用流量和数据访问切换到其他正常单元，从而保障数据的一致性与业务的连续性。 图 数据层配置 前提条件 已开通数据层功能模块。 已完成系统架构配置以及路由规则配置。 已完成开通数据传输服务DTS实例。 已按规划打通数据同步所需网络，具体操作可参考虚拟私有云VPC等网络产品套件。 配置数据源 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击数据层配置 ，进入容灾配置数据层配置页面。 5. 单击数据源配置列表上方创建 按钮，弹出创建数据源配置页面。 6. 如下表示例，填写配置信息，单击确定按钮，完成配置。 7. 如需修改或删除数据源配置，可单击所选配置操作列修改 或删除按钮，根据界面提示进行操作。 表 数据源配置 配置项 描述 示例 单元组 数据源所属业务分组，绑定其中路由规则。 订单业务 数据源名称 数据源自定义标识。 订单北京数据库 站点 数据源部署所在站点。 北京站点 数据源类型 数据源对应的数据库类型。 MySQL PostgresSQL 实例类型 数据库实例产品类型。 云实例 数据源实例 数据源对应的云实例ID。 TeleDB810 库名 数据库实例/schema。 order 数据库IP 数据库服务的IP地址。 192.168.0. 数据库端口 数据库服务的端口。 8080 字符编码 数据库实例所使用的字符编码。 utf8mb4 推送类型 数据库连接识别策略。 实例库URL：JDBC URL匹配策略。 实例库URL 推送标识 数据库连接标识，多活数据面组件进行拦截。 支持配置多个，以英文逗号分隔。 jdbc:mysql://192.168.0.:8080/order 用户名 数据源分配给多活管理所用用户，需有读写权限。 orderadmin 密码 数据源分配给多活管理所用密码。 说明 每个单元组可以配置多个数据源，通过不同的推送标识来管理。 注意 互相同步的数据源，要求一致的用户名与密码。 新增配置时请务必配置密码，配置后请务必记住您配置的密码，后续将不在控制台中显示，每次配置密码都将覆盖旧密码。

确保 root 权限 if [[ $EUID ne 0 ]]; then echo "请使用 root 运行此脚本！" exit 1 fi for i in "${!devices[@]}"; do device"${devices[$i]}" mountpoint"${mountpoints[$i]}" 创建挂载目录 mkdir p "$mountpoint" 获取设备的文件系统类型 currentfs$(blkid s TYPE o value "$device") if [[ z "$currentfs" ]]; then echo "设备 $device 没有文件系统，正在格式化为 $fstype..." mkfs.xfs f "$device" else echo "$device 已格式化为 $currentfs，跳过格式化" fi 确保设备未被挂载后再尝试挂载 umount "$device" 2>/dev/null mount t "$fstype" "$device" "$mountpoint" if [[ $? ne 0 ]]; then echo "错误：无法挂载 $device 到 $mountpoint，请检查设备或文件系统！" exit 1 fi echo "$device 已成功挂载到 $mountpoint" 获取 UUID 并更新 /etc/fstab，避免重复添加 uuid$(blkid s UUID o value "$device") if ! grep q "$uuid" /etc/fstab; then echo "UUID$uuid $mountpoint $fstype defaults 0 0" >> /etc/fstab echo "$device (UUID$uuid) 已添加到 /etc/fstab" else echo "$device 已存在于 /etc/fstab，无需添加" fi done echo "所有磁盘已成功挂载并配置为开机自动挂载！" 如下可查看磁盘分区情况： $ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS loop0 7:0 0 4.2G 1 loop sda 8:0 0 446.6G 0 disk ├─sda1 8:1 0 122M 0 part ├─sda2 8:2 0 976.6M 0 part /boot/efi ├─sda3 8:3 0 1.9G 0 part /boot └─sda4 8:4 0 443.6G 0 part ├─systemlvswap 253:0 0 16G 0 lvm [SWAP] └─systemlvroot 253:1 0 427.6G 0 lvm / nvme1n1 259:0 0 2.9T 0 disk └─nvme1n1p1 259:4 0 2.9T 0 part /mnt/nvme1n1 nvme0n1 259:1 0 2.9T 0 disk └─nvme0n1p1 259:3 0 2.9T 0 part /mnt/nvme0n1 根据galaxy集群启动后，/home和/opt目录为各节点共享目录： $ df h Filesystem Size Used Avail Use% Mounted on devtmpfs 4.0M 0 4.0M 0% /dev tmpfs 756G 419M 755G 1% /dev/shm tmpfs 303G 1.8G 301G 1% /run tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup /dev/mapper/systemlvroot 428G 20G 408G 5% / tmpfs 756G 200K 756G 1% /tmp /dev/sda3 1.9G 148M 1.7G 9% /boot /dev/sda2 975M 6.4M 969M 1% /boot/efi tmpfs 152G 0 152G 0% /run/user/0 /dev/nvme0n1p1 3.0T 21G 2.9T 1% /mnt/nvme0n1 /dev/nvme1n1p1 3.0T 654G 2.3T 22% /mnt/nvme1n1 master001:/data/nfs/home 428G 20G 408G 5% /home master001:/data/nfs/opt 428G 20G 408G 5% /opt 注意 上面举例使用master001作NFS服务的效果，这里也可以按需使用OceanFS来做共享存储。 本指南部署，会把模型和mindie容器镜像存入每个节点的/mnt/nvme1n1目录，并使用home目录进行服务启动，home目录将仅存放日志文件，非常轻量化。

排查思路 确认数据库实例状态 ： 通过文档数据库服务控制台检查文档数据库服务实例是否运行正常。 验证连接字符串 ： 检查连接字符串是否正确，包含正确的主机名（或IP地址）、端口号、用户名和密码等信息。 检查网络连接 ： 确保你的网络连接正常，尝试访问其他网站或服务来验证网络是否工作正常。 检查安全组和防火墙规则 ： 确保安全组和防火墙规则允许与DDS实例相关的端口通过，特别是如果涉及公网访问。 验证SSL配置（如果使用） ： 如果连接使用SSL方式，首先通过文档数据库服务控制台基本信息查看SSL是否开启，并且上传证书到ECS。 连接命令如下: sh ./mongo ssl host port u p authenticationDatabase sslCAFile sslAllowInvalidHostnames 其中，各参数的含义如下： ssl: 启用 SSL 连接。 host : 指定 MongoDB 数据库的主机名或 IP 地址。 port : 指定 MongoDB 数据库的端口号。 u : 指定用于认证的 MongoDB 用户名。 p: 表示在命令行中输入密码。在输入该命令后，系统会提示您输入 MongoDB 用户的密码。 authenticationDatabase : 指定认证所使用的数据库。在这里指定为认证用户所在的数据库。 sslCAFile : 指定 SSL 连接时的 CA（Certificate Authority）文件的路径。该文件用于验证服务器端证书的合法性。 sslAllowInvalidHostnames: 允许连接到 SSL 服务器时不验证服务器的主机名。这个选项用于在连接时忽略 SSL 证书中的主机名不匹配错误。 需要将 、 、 、 和 替换为实际的 MongoDB 数据库的主机名、端口号、用户名、认证数据库和 SSL CA 文件的路径。 确认用户权限 ： 确保使用的用户名和密码具有连接到文档数据库服务实例的权限。 尝试使用其他客户端工具 ： 如果连接失败是由于客户端工具问题，尝试使用其他客户端工具进行连接，以排除客户端工具本身的问题。 查看错误日志 ： 检查连接失败时产生的错误日志或错误消息，这些信息可能有助于找到问题的原因。 检查连接数和资源使用情况 ： 确认文档数据库服务实例的连接数是否达到上限，以及磁盘和CPU的使用情况是否正常。 验证内网/公网访问配置 ： 对于内网访问，确认文档数据库服务和ECS实例是否在同一区域和VPC，且正确配置安全组和白名单，如果不在同一VPC，检查VPC对等连接配置。 对于公网访问，确保ECS和文档数据库服务实例的安全组、白名单以及网络ACL规则允许相应端口通过，并验证ECS是否能够ping通文档数据库服务实例地址的端口。 排除其他因素 ： 排除可能影响连接的其他因素，例如阻塞的进程、资源竞争等。

介绍通过URL处理进行媒体存储图片处理操作 。 使用说明 媒体存储支持通过特定规则的URI来进行提供图片处理操作，用户可根据需求选择对应的参数进行使用。 图片处理参数可参考图片处理概述，根据概述指引获取相关参数。 前提条件 使用URL参数进行图片处理前，用户需登录控制台并上传图片文件。 1. 登录控制台，具体可参考：登录控制台。 2. 上传图片文件，具体可参考：上传对象。 图片处理仅在部分资源池适用，具体可参考：资源池与区域节点。 URL规则 媒体存储的图片处理URL由4个部分组成，包括：对象存储域名、原图所在桶名称、原图片名称和处理命令及样式参数组成。 URL规则为： 其中： endpoint：桶所在资源池对应的对象存储终端节点，可以在桶基础信息中获取。 bucket：原图片所在的桶名称。 objectName：原图片的名称。 processCommands：处理命令及样式参数。处理命令和样式参数间以多种符号区分。若不输入任何处理命令，则返回原图片。 处理参数 图片处理 参数 说明 图片缩放 resize 将图片缩放至指定大小。 格式转换 format 转换图片格式。 旋转 rotate 按指定角度以顺时针方向旋转图片。 EXIF信息 info/strip 获取或删除图片的exif信息。 质量变换 quality 调整JPG和WebP格式图片的质量。 亮度 bright 调整图片亮度。 渐进显示 interlace 将JPG格式的图片调整为渐进显示。 模糊 blur 对图片进行模糊处理。 自定义裁剪 crop 裁剪指定大小的矩形图片。 图片水印 watermark 为图片添加图片或文字水印。 自适应方向 autoorient 将携带旋转参数的图片进行自适应旋转。 获取平均色调 averagehue 获取图片平均色调信息。 锐化 sharpen 通过锐化参数，提高原图的清晰度。 对比度 contrast 调整原图的对比度。 内切圆 circle 将图片处理成内切圆。 圆角矩形 roundedcorners 将图片的4个角切成圆角。 索引切割 indexcrop 按指定大小分割原图并截取需要的图片。

说明：本章节会介绍如何创建参数模板 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“参数模板管理”页面，单击“创建参数模板”。 选择数据库引擎版本，命名并添加对该参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的参数模板类型。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!

参数名 说明 取值样例 文件URL 通过使用GET方法，从HTTP/HTTPS协议的URL中获取数据。 用于读取一个公网HTTP/HTTPS URL的文件，包括第三方对象存储的公共读取场景和网盘场景。 列表文件 选择“是”，将待上传的文本文件中所有URL对应的文件拉取到OBS，文本文件记录的是HDFS上的文件路径。 是 列表文件源连接 文本文件存储在OBS桶中，这里需要选择已建立的OBS连接。 obslink 列表文件OBS桶 存储文本文件的OBS桶名称。 obscdm 列表文件或目录 在OBS中存储文本文件文件的自定义目录，多级目录可用“/”进行分隔。 test1 文件格式 当前CDM只支持选择“二进制格式”，不解析文件内容直接传输，不要求原文件格式必须为二进制。 二进制格式 压缩格式 选择对应压缩格式的源文件进行迁移： 无：表示传输所有格式的文件。 GZIP：表示只传输GZIP格式的文件。 ZIP：表示只传输ZIP格式的文件。 TAR.GZ：表示只传输TAR.GZ格式的文件。 无 压缩文件后缀 压缩格式非无时，显示该参数。 该参数需要解压缩的文件后缀名。当一批文件中以该值为后缀时，才会执行解压缩操作，否则则保持原样传输。当输入或为空时，所有文件都会被解压。 文件分隔符 传输多个文件时，CDM使用这里配置的文件分隔符来区分各个文件，默认为l。列表文件显示为“是”时，显示该参数。 l QUERY参数 该参数设置为“是”时，上传到OBS的对象使用的对象名，为去掉query参数后的字符。 该参数设置为“否”时，上传到OBS的对象使用的对象名，包含query参数。 否 加密方式 如果源端数据是被加密过的，则CDM支持解密后再导出。这里选择是否对源端数据解密，以及选择解密算法： 无：不解密，直接导出。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 AES256GCM 忽略不存在原路径/文件 如果将其设为是，那么作业在源路径不存在的情况下也能成功执行。 否 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成，且必须与加密时配置的“数据加密密钥”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成，且必须与加密时配置的“初始化向量”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F MD5文件名后缀 校验CDM抽取的文件，是否与源文件一致。 .md5

本节介绍了通过界面安装和卸载插件的相关内容。 操作场景 RDS支持用户在界面自主安装与卸载插件。 RDS for PostgreSQL插件是数据库级生效，并不是全局生效。因此创建插件时需要在对应的业务库上进行手动创建。 前提条件 安装和卸载插件前，请确保实例下已有数据库。 注意事项 plpgsql为内置插件，不允许卸载。 decoderbufs（仅在PostgreSQL 11至PostgreSQL 14版本支持），wal2json（PostgreSQL 11及以上版本支持）等逻辑复制插件可以直接使用，不需要安装。 部分插件依赖“sharedpreloadlibraries”参数，只有在加载相关库之后，才能安装成功。 pgcron插件当前仅支持PostgreSQL 12（12.11.0及其以上版本）、PostgreSQL 13及以上版本。使用时需要先修改参数“cron.databasename”为需要使用的数据库（仅支持单个数据库），同时修改“cron.usebackgroundworkers”为“on”。 pltcl插件在PostgreSQL 13.2版本实例暂不支持使用，如需使用该插件，请先升级到最新小版本。 部分插件安装或卸载时，会同步安装或卸载其依赖插件，以及相关依赖表。例如：创建插件postgissfcgal时，需要先创建postgis插件，这时会同步创建postgissfcgal插件；同时，卸载postgis插件时，会同步卸载postgissfcgal插件。 部分插件在小版本升级后不支持直接升级，如需升级请卸载后重新安装。 修改sharedpreloadlibraries参数 部分插件在安装前，须先加载对应的参数值，否则无法安装。 支持通过修改sharedpreloadlibraries参数来批量加载参数值，或在安装插件前单独加载对应参数值。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在实例列表，单击实例名称，进入实例的基本信息页面。 步骤 5 在左侧导航栏，选择“插件管理”。 步骤 6 在“插件管理”页面，单击“已加载sharedpreloadlibraries参数值”后的 ，查看已加载参数。 步骤 7 单击“管理参数值”。 步骤 8 在下拉框中选择要加载的参数，单击“确认”。 步骤 9 在弹出框中，单击“确定”，修改sharedpreloadlibraries参数值。 说明 sharedpreloadlibraries参数值修改后，需要重启实例才能生效。如果包含只读实例，修改主实例参数后，会同步修改只读实例的参数，需要同时重启只读实例。 为了保证PostgreSQL的安全及运维功能的完善，sharedpreloadlibraries参数中，如下参数默认加载，不允许删除： passwordcheck.so pgstatstatements pgsqlhistory pgaudit 步骤 10 您也可以在安装插件前单独加载对应参数值。 结束

为保证Web应用防火墙实例的可靠性、可用性和可观测性，对Web应用防火墙进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的Web应用防火墙监控功能，可方便用户更快、更直观的了解Web应用防火墙的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理Web应用防火墙实例。 当用户开通Web应用防火墙（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 实例支持的监控指标 监控指标 指标说明 是否支持告警 监控周期 QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 是 5分钟 QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。 是 5分钟 返回码（2XX） 该指标用于统计测量对象近5分钟内返回的2XX状态码的数量。 是 5分钟 返回码（3XX） 该指标用于统计测量对象近5分钟内返回的3XX状态码的数量。 是 5分钟 返回码（4XX） 该指标用于统计测量对象近5分钟内返回的4XX状态码的数量。 是 5分钟 返回码（5XX） 该指标用于统计测量对象近5分钟内返回的5XX状态码的数量。 是 5分钟 长连接峰值数 该指标用于统计5分钟内长连接峰值数。 是 5分钟 入网带宽的峰值 该指标用于统计近5分钟内防护域名入网带宽的峰值。 是 5分钟 入网带宽的均值 该指标用于统计近5分钟内防护域名入网带宽的均值。 是 5分钟 出网带宽的峰值 该指标用于统计近5分钟内防护域名出网带宽的峰值。 是 5分钟 出网带宽的均值 该指标用于统计近5分钟内防护域名出网带宽的均值。 是 5分钟 防信息泄露次数 该指标用于统计5分钟内WAF对域名防信息泄露防护次数。 是 5分钟 Cookie防篡改次数 该指标用于统计5分钟内WAF对域名Cookie防篡改次数。 是 5分钟 黑白名单防护次数 该指标用于统计5分钟内WAF对域名黑白名单防护次数。 是 5分钟 精准访问防护次数 该指标用于统计5分钟内WAF对域名精准访问防护次数。 是 5分钟 Web入侵防护次数 该指标用于统计5分钟内WAF对域名Web入侵防护次数。 是 5分钟 攻击次数 该指标用于统计5分钟内域名被攻击次数。 是 5分钟 总带宽 该指标用于统计5分钟内请求域名总带宽。 是 5分钟 请求次数 该指标用于统计5分钟内域名总请求次数。 是 5分钟

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

介绍在CTS事件列表查看云审计事件。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 使用限制 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。 查看审计事件 步骤1、登录管理控制台。 步骤2、单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 步骤3、单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 步骤5、选择完查询条件后，单击“查询”。 步骤6、在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 步骤7、在需要查看的事件左侧，单击展开该记录的详细信息。 步骤8、在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。