本章节主要介绍新建原子指标。 原子指标是对指标统计逻辑、具体算法的一个抽象。为了从根源上解决定义、研发不一致的问题，指标定义明确设计统计逻辑（即计算逻辑），不需要ETL二次或者重复研发，从而提升了研发效率，也保证了统计结果的一致性。 背景信息 原子指标来源于事实表： 原子指标是为了构建应用统计分析所需的衍生指标，而定义的数据组件，因此只可以基于事实逻辑表明细数据表来创建。 衍生指标无来源表，它归属于每个组合成它的原始的原子指标的来源表。 原子指标与衍生指标的关系： 原子指标的计算逻辑修改生效后，会直接更新应用于相关的衍生指标。 原子指标删除英文名，需要校验下游是否有衍生指标使用，如果有，则无法删除。 目前原子指标在被下游使用的情况下，支持变更英文名。 原子指标的更改会影响下游衍生指标。 前提条件 您已创建并发布事实表，且事实表已通过审核，具体操作请参见新建事实表。 新建原子指标并发布 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 2. 在数据架构控制台，单击左侧导航树中的“技术指标”，选择“原子指标”页签进入原子指标页面。 3. 在左侧主题目录中选中一个主题，然后单击“新建”按钮，开始新建原子指标。 4. 在新建原子指标页面，参考配置参数，然后单击“发布”。 下表为新建原子指标参数说明 参数名称 说明 指标名称 只能包含中文、英文字母、数字和下划线，且以中文或英文字母开头。 指标英文名称 只能包含英文字母、数字和下划线，且以英文字母开头。 数据表 在下拉列表中选择一个已发布的事实表，如果表很多，您也可以在下拉列表的输入框中输入表名称搜索事实表。如果您尚未创建事实表，请参见新建事实表并发布进行创建并发布。 所属主题 原子指标所属的主题信息。当“数据表”选择事实表后，将自动显示事实表所属的主题信息，您也可以单击“选择主题”进行选择。 设定表达式 根据实际情况选择所需要的函数和字段，并设定表达式。 描述 描述信息。支持的长度为0~600个字符。 5. 在弹出框中单击“确认提交”，提交审核。 6. （可选）参考步骤3~步骤5，完成其他原子指标的发布。 7. 等待审核人员审核。 审核通过后，原子指标创建完成。

本章节主要介绍批量管理作业。 操作场景 这里以表/文件迁移的作业为例进行介绍，指导用户批量管理CDM作业，提供以下操作： 作业分组管理 批量运行作业 批量删除作业 批量导出作业 批量导入作业 批量导出、导入作业的功能，适用以下场景： CDM集群间作业迁移：例如需要将作业从老版本集群迁移到新版本的集群。 备份作业：例如需要将CDM集群停掉或删除来降低成本时，可以先通过批量导出把作业脚本保存下来，仅在需要的时候再重新创建集群和重新导入作业。 批量创建作业任务：可以先手工创建一个作业，导出作业配置（导出的文件为JSON格式），然后参考该作业配置，在JSON文件中批量复制出更多作业，最后导入CDM以实现批量创建作业。 操作步骤 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理”。 2.单击“表/文件迁移”显示作业列表，提供以下批量操作： 作业分组 CDM支持对分组进行新增、修改、查找、删除。删除分组时，会将组内的所有作业都删除。 创建作业的第三步任务配置中，如果已经将作业分配到了不同的分组中，则这里可以按分组显示作业、按组批量启动作业、按分组导出作业等操作。 批量运行作业 勾选一个或多个作业后，单击“运行”可批量启动作业。 批量删除作业 勾选一个或多个作业后，单击“删除”可批量删除作业。 批量导出作业 单击“导出”，弹出批量导出页面，如下图。 图 批量导出页面 −全部作业和连接：勾选此项表示一次性导出所有作业和连接。 −全部作业：勾选此项表示一次性导出所有作业。 −全部连接：勾选此项表示一次性导出所有连接。 −按作业名导出：勾选此项并选择需要导出的作业，单击确认即可导出所选作业。 −按分组导出：勾选此项并下拉选择需要导出的分组，单击确认即可导出所选分组。 批量导出可将需要导出的作业导出保存为JSON文件，用于备份或导入到别的集群中。 说明 由于安全原因，CDM导出作业时没有导出连接密码，连接密码全部使用“Add password here”替换。 批量导入作业 单击“导入”，选择JSON格式的文件导入或文本导入。 −文件导入：待导入的作业文件必须为JSON格式（大小不超过1M）。如果待导入的作业文件是之前从CDM中导出的，则导入前必须先编辑JSON文件，将“Add password here”替换为对应连接的正确密码，再执行导入操作。 −文本导入：无法正确上传本地JSON文件时可选择该方式。将作业的JSON文本直接粘贴到输入框即可。

本章节主要介绍支持的监控指标。 前提条件 使用CDM监控功能，需获取CES相关权限。 功能说明 本节定义了数据集成上报云监控的监控指标的命名空间、监控指标列表和维度定义，用户可以通过云监控提供的API接口来检索监控指标。 命名空间 SYS.CDM 监控指标 CDM集群支持的监控指标详见下表：CDM支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） bytesin 网络流入速率 该指标用于统计每秒流入测量对象的网络流量。 单位：字节/秒。 ≥0 bytes/s CDM集群实例 1分钟 bytesout 网络流出速率 该指标用于统计每秒流出测量对象的网络流量。 单位：字节/秒。 ≥0 bytes/s CDM集群实例 1分钟 cpuusage CPU使用率 该指标用于统计测量对象的CPU使用率。 单位：%。 0%～100% CDM集群实例 1分钟 memusage 内存使用率 该指标用于统计测量对象的内存使用率。 单位：%。 0%～100% CDM集群实例 1分钟 diskusage 磁盘利用率 该指标为从物理机层面采集的磁盘使用率，数据准确性低于从弹性云主机内部采集的数据。 单位：%。 0.001%~90% CDM集群实例 1分钟 diskio 磁盘io 该指标为从物理机层面采集的磁盘每秒读取和写入的字节数，数据准确性低于从弹性云主机内部采集的数据。 单位：Byte/sec 0~10GB CDM集群实例 1分钟 tomcatheapusage 堆内存使用率 该指标为从物理机层面采集的堆内存使用率，数据准确性低于从弹性云主机内部采集的数据。 单位：%。 0.001%~90% CDM集群实例 1分钟 tomcatconnect tomcat并发连接数 该指标为从物理机层面采集的tomcat并发连接数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 tomcatthreadcount tomcat线程数 该指标为从物理机层面采集的tomcat所占线程数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 pgconnect 数据库连接数 该指标为从物理机层面采集的postgres数据库连接数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 pgsubmissionrow 历史记录表行数 该指标为从物理机层面采集的postgres数据库submission表行数。 单位：Count/个。 0~2147483647 CDM集群实例 1分钟 pgfailedjobrate 失败作业率 该指标为从物理机层面sqoop进程采集的失败作业率。 单位：%。 0.001%~100% CDM集群实例 1分钟 inodesusage Inodes利用率 该指标为从物理机层面采集的磁盘inodes使用率，数据准确性低于从弹性云主机内部采集的数据。 单位：%。 0.001%~0.9% CDM集群实例 1分钟

本文介绍QUIC协议的工作原理、应用场景、支持的QUIC类型、注意事项及配置说明等。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于HTTP协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 握手建连更快：QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

约束限制 已购买的套餐包不支持退订，购买前请确认。 已购买的套餐包是按需套餐包，仅抵扣按需的资源用量。 套餐包抵扣顺序 套餐包的抵扣顺序为：同规格的先到期先抵扣，同规格同时到期的，余量少的先抵扣，超出额度部分将以按需进行计费。套餐包的额度为购买日起有效期内的可用资源数。套餐包的有效时长具体以控制台为准。 用户按照业务来规划时长与数量，最终用户买到的是：总时长 购买数量 购买时长。 余量预警 为避免产生按需消费，套餐包将在资源用量达到70%、90%、100%时，触发邮件提醒。 套餐包价格表 套餐包名称 CPU规格 小时核数 内存规格 小时GB GPU规格 小时卡 标准资费 有效期限 NVIDIA A10 5,840 23,360 730 2691.74 一个月 NVIDIA A100 5,840 23,360 730 7661.94 一个月 GPU.gn3.m1 5,840 23,360 730 1176.47 一个月 GPU.gn3.xl1 5,840 23,360 730 1466.86 一个月 GPU.gn3.2xl1 5,840 23,360 730 1965.75 一个月 GPU.gn4.l1 5,840 23,360 730 1466.86 一个月 GPU.gn4.2xl1 5,840 23,360 730 2308.27 一个月 NVIDIAA100PCIE80G 5,840 23,360 730 14542.83 一个月 NVIDIAA800NVLINK40G 5,840 23,360 730 11992.83 一个月 NVIDIAH800PCIE 5,840 23,360 730 18367.83 一个月 Ascend910B 5,840 23,360 730 6582.26 一个月 NVIDIAH20 5,840 23,360 730 11236.01 一个月 NVIDIAL20 5,840 23,360 730 5850.07 一个月 DCUK100 5,840 23,360 730 3685.46 一个月 NVIDIA A10 70,080 280,320 8,760 34200.79 一年 NVIDIA A100 70,080 280,320 8,760 97351.63 一年 GPU.gn3.m1 70,080 280,320 8,760 14948.06 一年 GPU.gn3.xl1 70,080 280,320 8,760 18637.78 一年 GPU.gn3.2xl1 70,080 280,320 8,760 24976.51 一年 GPU.gn4.2xl1 70,080 280,320 8,760 29328.48 一年 NVIDIAA100PCIE80G 70,080 280,320 8,760 184779.36 一年 NVIDIAA800NVLINK40G 70,080 280,320 8,760 152379.36 一年 NVIDIAH800PCIE 70,080 280,320 8,760 233379.36 一年 Ascend910B 70,080 280,320 8,760 83633.47 一年 NVIDIAH20 70,080 280,320 8,760 142763.47 一年 NVIDIAL20 70,080 280,320 8,760 74330.35 一年 DCUK100 70,080 280,320 8,760 46827.07 一年 CPU基础加油包 5,000 256.50 一年 CPU专业加油包 50,000 2295.00 一年 CPU企业加油包 500,000 20250.00 一年 内存基础加油包 20000 342.00 一年 内存专业加油包 200000 3060.00 一年 内存企业加油包 2000000 27000.00 一年

在CTS事件列表查看审计事件 1. 登录控制台，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件。 表事件筛选参数说明 参数名称 说明 事件名称 操作事件的名称。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 各个云服务支持审计的操作事件的名称请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 示例：updateAlarm 云服务 云服务的名称缩写。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 示例：IAM 资源名称 操作事件涉及的云资源名称。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 示例：ecsname 资源ID 操作事件涉及的云资源ID。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 当该资源类型无资源ID或资源创建失败时，该字段为空。 示例：{虚拟机ID} 事件ID 操作事件日志上报到CTS后，查看事件中的traceid参数值。 输入的值需全字符匹配，不支持模糊匹配模式。 示例：01d18a1b56ee11f0ac811e229 资源类型 操作事件涉及的资源类型。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 各个云服务的资源类型请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 示例：user 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 下拉选项包含“normal”、“warning”、“incident”，只可选择其中一项。 normal代表操作成功。 warning代表操作失败。 incident代表比操作失败更严重的情况，如引起其他故障等。 5. 在事件列表页面，您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字，按下Enter键，可以在事件列表搜索符合条件的数据。 单击“导出”按钮，云审计服务会将查询结果以.xlsx格式的表格文件导出，该.xlsx文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。

或者 packer version 或者 packer machinereadable version 设定 Packer。 2. 安装Packer QEMU插件。 Packer QEMU 插件提供了一个构建器（Builder），使得 Packer 能够利用 QEMU 来创建和定制镜像文件。 plaintext 安装qemu packer插件 packer plugins install github.com/hashicorp/qemu 3. 准备JSON模板文件。 Packer 使用 Template 模板文件来定义构建过程。它指定了构建器（Builders）、配置器（Provisioners）和后处理器（PostProcessors）等组件的配置，这些组件共同工作以创建机器镜像。 Template 文件通常使用 JSON 或 HashiCorp Configuration Language (HCL) 格式编写，详细内容请参考： net.ifnames0 biosdevname0 text ks .HTTPIP }}:{{ .HTTPPort }}/{{user configfile}} " ], "disksize": "{{user disksize}}", "diskdiscard": "unmap", "diskcompression": true, "headless": "{{user headless}}", "shutdowncommand": "shutdown P now", "shutdowntimeout": "5m", "outputdirectory": "artifacts/qemu/{{user name}}{{user version}}" } ], "provisioners": [ { "type": "file", "source": "/root/automation.zip", "destination": "/root/automation.zip" }, { "type": "shell", "executecommand": "echo 'packer'{{.Vars}} sudo S E bash '{{.Path}}'", "inline": [ "unzip /root/automation.zip d /root", "chmod u+x /root/automation/creatingmirrorscripts.sh", "/root/automation/creatingmirrorscripts.sh" ], "expectdisconnect": true, "validexitcodes": [0, 1] } ], "postprocessors": [ { "type": "shelllocal", "inline": [ "mv artifacts/qemu/{{user name}}{{user version}}/packer{{user name}}{{user version}} artifacts/qemu/{{user name}}{{user version}}/ctyunos22.06230117x8664dve240929R1.qcow2" ] } ] } 4. 准备Kickstart 配置文件。 Kickstart 配置文件（通常命名为ks.cfg），主要用于自动化安装操作系统。该文件详细定义了安装过程的各个方面，包括系统的镜像地址、安装方式、分区设置等。只要系统在获取到这个文件后，就会按照文件中所定义的配置方式进行安装。 本示例中将Kickstart 配置文件命名为 ctyunos2206.cfg，在上述模板示例文件 ctyunosexample.json 的参数 "variables" 中引用 "configfile": "ctyunos2206.cfg"。内容如下： plaintext

参数名称 说明 名称 通过名称来描述该关系。 子表 单击该字段可在下拉列表中选择表。单击 可设置当前表为子表。 例如，对于根据3NF范式设计的“成绩表”和“学生表”，成绩表中的“学号”属性为学生表的主键。则子表应为“成绩表”，对应父表应为“学生表”。 子表字段FK 选择子表的字段，FK表示外键Foreign Key。该子表的字段应为父表的外键。 例如，对于根据3NF范式设计的“成绩表”和“学生表”，成绩表中的“学号”属性为学生表的主键。则此子表字段FK应为“成绩表”的“学号”。 子对父 ：表示每条子表数据在父表中有且只有一条数据与之对应。 ：表示每条子表数据在父表中最多有一条数据与之对应。 ：表示每条子表数据在父表中可能有多条数据与之对应。 ：表示每条子表数据在父表中至少有一条数据与之对应。 父对子 ：表示每条父表数据在子表中有且只有一条数据与之对应。 ：表示每条父表数据在子表中最多有一条数据与之对应。 ：表示每条父表数据在子表中可能有多条数据与之对应。 ：表示每条父表数据在子表中至少有一条数据与之对应。 父表 选择与所选子表对应的父表。 例如，对于根据3NF范式设计的“成绩表”和“学生表”，成绩表中的“学号”属性为学生表的主键。则父表应为“学生表”，对应子表应为“成绩表”。 父表字段PK 选择父表的字段，PK表示主键Primary Key。该父表的字段应为父表的主键。 例如，对于根据3NF范式设计的“成绩表”和“学生表”，成绩表中的“学号”属性为学生表的主键。则此父表字段PK应为“学生表”的“学号”。 角色名称 可以自定义一个角色名称，用于标识该关系。 操作 单击 可删除一条关系。单击 可编辑关系。

属性编码 属性名称 说明 maxCon 最大连接数 实例连接池的最大连接。 secondsBehindMaster 主备延迟阈值（秒） 如果主备延迟时间超过设置的阈值，备库将被剔除读写分离，默认值0表示永不剔除，请谨慎设置。 maxIdle 最大空闲连接数个数 实例连接池的最大空闲连接数个数，默认32。 idleTimeout 空闲的超时时间（毫秒） 实例连接池连接空闲的超时时间。 connectTimeout 获取连接超时(毫秒) 实例连接池连接获取连接超时时间。 balance 读写分离配置 读写分离属性配置，支持配置为： 关闭 ：即 balance 0 ，表示不开启读写分离，所有语句均发往写节点。 读语句发往读库 ：即 balance 1 ，表示开启读写分离，所有事务外( autocommit1 )的SELECT语句发往读节点；所有事务内( autocommit0 )的语句发往写节点。 读语句随机发往读库和写库 ：即 balance 2 ，表示开启读写分离，所有事务外( autocommit1 )的SELECT语句随机发往读节点或写节点；所有事务内( autocommit0 )的语句发往写节点。 自定义权重 ：即 banlance 3 ，表示开启读写分离，支持根据实际情况，设置自定义读写分离权重。 说明 在对数据库有少量写请求，但有大量读请求的应用场景下，为了实现读取能力的弹性扩展，防止MySQL实例主备节点性能差异导致的节点过载，您可以通过读写分离特性，将读语句发送到指定的节点满足大量的数据库读取需求。DRDS的读写分离功能运行机制如下： 如果会话未开启事务，读语句将直接发送到salve（从节点）执行。 如果会话已开启事务，读语句将发送到master（主节点）上执行。 weights 读写分离权重配置 仅 读写分离配置 设置为 自定义权重 时，需要配置该参数，表示开启读写分离，并且您需要设置读节点的权重。 注意 新增的从节点权重默认为0，表示读请求不会发往新增的从节点，您可以根据实际情况修改该节点的权重。 dbType 后端连接的数据库类型 指定后端连接的数据库类型,目前支持二进制的MySQL协议，目前暂时支持MySQL和MariaDB，后面会逐渐支持其他数据库。 dbDriver 连接后端数据库使用的Driver 指定连接后端数据库使用的Driver，目前可选的值有native和JDBC，使用native的话，因为这个值执行的是二进制的MySQL协议，所以可以使用MySQL和MariaDB。其他类型的数据库则需要使用JDBC驱动来支持。但是目前还暂时不支持。 heartbeatSQL 心跳检查的语句 用于和后端数据库进行心跳检查的语句。例如，MYSQL可以使用select user()。

插件简介 storagedriver插件是用于对接块存储、极速文件存储等Iaas存储服务的FlexVolume驱动。 storagedriver是一款云存储驱动插件，北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口，提供容器使用云硬盘、极速文件存储等IAAS存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件，kubernetes 1.13 及以下版本的集群在创建时默认安装。 说明： v1.15.11r1是Flexvolume fuxi（即storagedriver）和CSI（即Everest（系统资源插件，必装）插件）兼容接管的过渡版本，在v1.17集群中已经去除了对Flexvolume fuxi的支持，请您将Flexvolume fuxi的使用切换CSI Everest上。 CSI Everest兼容接管Flexvolume fuxi后，原有功能保持不变，但请注意不要新建fuxi Flexvolume的存储，否则将导致部分存储功能异常。 当存储功能有升级或者BUG修复时，用户无需升级集群或新建集群来升级存储功能，仅需安装或升级storagedriver插件。 约束与限制 本插件仅支持在v1.13 及以下版本的集群中安装，v1.15及以上版本集群创建时默认必装Everest（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 在云容器引擎CCE中，kubernetes 1.11及以上版本的新建集群，将会默认安装storagedriver插件。 未安装storagedriver插件的集群，可参考如下步骤进行安装： 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件市场”页签下，单击storagedriver插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级storagedriver插件时，会替换原先节点上的旧版本的storagedriver插件，安装最新版本的storagedriver插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“升级”即可升级storagedriver插件。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

本文为您介绍如何使用Elasticsearch实例中的向量检索能力，增强实例的搜索能力。 概述 向量检索（Vector Search）是Elasticsearch的高级功能，允许用户在高维向量空间中进行相似性搜索，超越了传统的关键词匹配方式。通过将文本、图像等数据转换为向量表示，基于向量之间的距离进行搜索，适合自然语言处理、推荐系统和计算机视觉等复杂场景。 天翼云云搜索服务开通的Elasticsearch 支持通过近似最近邻（ANN）搜索算法实现高效的向量索引结构，使得在处理大规模数据集时依然能保持高效的查询速度和准确性。 前提条件 已开通天翼云云搜索服务 Elasticsearch 集群。 Elasticsearch 版本支持KNN向量检索功能（当前版本默认支持）。 本地环境已配置好API访问权限，且能够通过API与集群通信。 操作步骤 1. 创建支持向量检索的索引，需要创建一个支持向量检索的索引。可以使用以下命令为一个包含向量字段的索引启用 KNN 功能。 PUT myknnindex1 { "settings": { "index": { "knn": true, "knn.algoparam.efsearch": 100 } }, "mappings": { "properties": { "category": { "type": "keyword" }, "brand": { "type": "keyword" }, "style": { "type": "keyword" }, "myvector": { "type": "knnvector", "dimension": 3 } } } } knn: 设置为 true 启用向量检索。 dimension: 定义向量的维度，在这个例子中为 3。 2. 插入向量数据，创建索引后，可以插入带有向量字段的数据文档。以下是插入不同类型商品的向量示例： PUT myknnindex1/doc/1 { "category": "electronics", "brand": "brandA", "style": "modern", "myvector": [0.5, 0.8, 0.3] } PUT myknnindex1/doc/2 { "category": "furniture", "brand": "brandB", "style": "vintage", "myvector": [0.2, 0.4, 0.7] } PUT myknnindex1/doc/3 { "category": "clothing", "brand": "brandC", "style": "casual", "myvector": [0.9, 0.1, 0.6] } 3. 执行向量检索查询，插入数据后，用户可以通过查询指定的向量来查找与之相似的数据。以下示例将基于向量 [0.5, 0.8, 0.3] 进行KNN检索，返回与之最相似的2条记录。 POST myknnindex1/search { "size": 10, "query": { "knn": { "myvector": { "vector": [0.5, 0.8, 0.3], "k": 2 } } } } vector: 查询的向量值。 k: 返回与查询向量最相似的k个结果，此处为2。 4. 查询返回示例，返回结果中将包含与查询向量最相似的文档及其相似度得分（score）： { "took" : 654, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 3, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "myknnindex1", "id" : "1", "score" : 1.0, "source" : { "category" : "electronics", "brand" : "brandA", "style" : "modern", "myvector" : [0.5, 0.8, 0.3] } }, { "index" : "myknnindex1", "id" : "2", "score" : 0.7092199, "source" : { "category" : "furniture", "brand" : "brandB", "style" : "vintage", "myvector" : [0.2, 0.4, 0.7] } } ] } } 通过这些步骤，用户可以在Elasticsearch集群上实现基于向量的高效相似性搜索，支持从多维数据中快速找到最相似的结果，从而提升搜索体验和智能化水平。

本章节主要介绍数据治理中心DataArts Studio如何添加工作空间成员和角色。 对于DAYU User账号权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这几种预置角色可被分配，角色的权限说明请参见产品介绍中的“DataArts Studio权限列表”章节。 如果预置角色可以满足您的使用需求，则您可以跳过本章节；否则，请您按照本章节描述创建自定义角色。 背景信息 DAYU Administrator 或Tenant Administrator账号可以在工作空间中创建自定义角色。 约束与限制 由于鉴权缓存机制的限制，自定义角色的权限发生变更后，绑定该角色的工作空间成员权限不会直接生效。需要绑定该角色的工作空间成员暂停访问DataArts Studio控制台并等待6分钟后，才能使该工作空间成员的权限变更生效。 对于工作空间管理员角色，即使自定义角色与其权限点相同，也无法进行某些需要校验管理员角色的操作。例如全量导出数据服务API等。 操作步骤 步骤 1 参考 访问DataArts Studio实例控制台，以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“角色管理”页签，单击“新建”，弹出“创建自定义角色”对话框。 角色名称：标识自定义角色的唯一标识。建议您按照该角色的使用场景等进行命名，避免无意义的描述。 角色描述：补充对该角色的相关说明，如与预置角色的关键权限差异等。 角色类型：由于简单模式与企业模式下角色权限有所差异，因此需要根据该角色的使用场景来选择角色类型。企业模式的相关介绍请参见4.2.2.1 DataArts Studio企业模式概述。 − 当该角色在简单模式空间下使用时，选择为“开发&生产模式，自定义角色”。 − 当该角色在企业模式空间下的开发环境下使用时，选择为“开发模式，自定义角色”。 − 当该角色在企业模式空间下的生产环境下使用时，选择为“生产模式，自定义角色”。 复用预置角色：如果您只需对预置角色权限进行微调即可满足需求，则可以使用“复用预置角色”功能，直接在预置角色权限的基础上进行调整；否则，您可以在空白权限的基础上勾选该角色所需权限。 说明 创建/编辑角色时，如果您当前账号已具备DAYU Administrator或Tenant Administrator权限，但系统仍然返回报错“您无权限进行该操作”，这可能是由于网络限制导致的，建议您切换到其他网络后重试。 图1 创建自定义角色 步骤 3 自定义角色的角色名称、类型、权限等配置完成后，单击“确定”即可新增自定义角色。 步骤 4 自定义角色完成后，请您参考 添加工作空间成员和角色，将IAM用户设置为自定义角色。

本章节主要介绍配置HTTP源端参数。 作业中源连接为HTTP连接时，源端作业参数如下表所示。当前只支持从HTTP URL导出数据，不支持导入。 表 HTTP/HTTPS作为源端时的作业参数 参数名 说明 取值样例 文件URL 通过使用GET方法，从HTTP/HTTPS协议的URL中获取数据。 用于读取一个公网HTTP/HTTPS URL的文件，包括第三方对象存储的公共读取场景和网盘场景。 列表文件 选择“是”，将待上传的文本文件中所有URL对应的文件拉取到OBS，文本文件记录的是HDFS上的文件路径。 是 列表文件源连接 文本文件存储在OBS桶中，这里需要选择已建立的OBS连接。 obslink 列表文件OBS桶 存储文本文件的OBS桶名称。 obscdm 列表文件或目录 在OBS中存储文本文件文件的自定义目录，多级目录可用“/”进行分隔。 test1 文件格式 当前CDM只支持选择“二进制格式”，不解析文件内容直接传输，不要求原文件格式必须为二进制。 二进制格式 压缩格式 选择对应压缩格式的源文件进行迁移： 无：表示传输所有格式的文件。 GZIP：表示只传输GZIP格式的文件。 ZIP：表示只传输ZIP格式的文件。 TAR.GZ：表示只传输TAR.GZ格式的文件。 无 压缩文件后缀 压缩格式非无时，显示该参数。 该参数需要解压缩的文件后缀名。当一批文件中以该值为后缀时，才会执行解压缩操作，否则则保持原样传输。当输入或为空时，所有文件都会被解压。 文件分隔符 传输多个文件时，CDM使用这里配置的文件分隔符来区分各个文件，默认为l。列表文件显示为“是”时，显示该参数。 l QUERY参数 该参数设置为“是”时，上传到OBS的对象使用的对象名，为去掉query参数后的字符。 该参数设置为“否”时，上传到OBS的对象使用的对象名，包含query参数。 否 加密方式 如果源端数据是被加密过的，则CDM支持解密后再导出。这里选择是否对源端数据解密，以及选择解密算法： 无：不解密，直接导出。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 AES256GCM 忽略不存在原路径/文件 如果将其设为是，那么作业在源路径不存在的情况下也能成功执行。 否 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成，且必须与加密时配置的“数据加密密钥”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成，且必须与加密时配置的“初始化向量”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F MD5文件名后缀 校验CDM抽取的文件，是否与源文件一致。 .md5

本节主要介绍添加DNAT规则的操作步骤。 操作场景 公网NAT网关创建后，添加DNAT规则，则可以通过映射方式将您本地数据中心的服务器对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则来实现共享一个或多个弹性IP访问公网。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 6. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 在云间NAT网关高速访问互联网的场景下，此处选择云专线。 表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为服务器配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标服务器实例上。 具体端口：属于端口映射方式。公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标服务器的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，取值范围为165535。公网端口为具体的数值，例如80。 私网IP 用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，取值范围为165535。私网端口为具体的数值，例如80。 7. 配置完成后，单击“确定”，完成“DNAT规则”创建。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

本节介绍了下载Binlog备份文件的操作场景、操作步骤等相关内容。 操作场景 RDS for MySQL支持用户下载Binlog备份，用于本地存储备份。您可以下载Binlog备份文件，也可以合并下载Binlog备份文件。 说明 Binlog备份文件列表显示的完成时间为最后一个事务提交时间。 管理控制台Binlog备份文件的命名格式为：Binlog名称+时间戳；备份文件格式为row。 处于冻结状态的实例不允许下载Binlog备份文件。 下载Binlog备份文件 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面。 步骤 5 在左侧导航栏，单击“备份恢复”，在“Binlog备份”页签下，单击操作列中的“下载”。 您也可以勾选需要下载的Binlog备份，单击左上角“下载”。 步骤 6 下载任务执行完成后，您可在本地查看到Binlog备份文件。 结束 合并下载Binlog备份文件 注意 所选时间段内Binlog总量大于500MB不支持合并。 单机实例进行合并binlog操作时，合并期间主机CPU占用会上升，使用时请考虑对实例性能影响。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击目标实例名称，进入基本信息”页面。 步骤 5 在左侧导航栏，单击“备份恢复”，在“Binlog合并下载”页签下，选择要合并的Binlog的时间段，单击“合并”，合并任务下发成功。 说明 单次合并下载的时间段最长为24小时。 可选的时间范围和自动备份策略的“保留天数”一致，有关自动备份策略保留天数，请参见设置同区域备份策略。 步骤 6 在“Binlog合并下载”页面，可查看该合并文件状态为“合并中”，当状态显示为“合并成功”，单击操作列中的“下载”。 步骤 7 在弹出框中选择下载方式。 说明 为避免产生额外存储空间费用，下载完成后，请手动删除合并文件。您可以在“合并下载”页面，单击操作列中的“删除”，删除合并文件。 如果没有手动删除合并文件，系统会保留30天后自动删除合并文件。 在弹出框中，单击“OBS Browser+下载”，单击“确定”，通过OBS Browser+客户端下载RDS合并文件。 a. 单击下载指导页面步骤1的“OBS Browser+”，下载客户端工具OBS Browser+。 b. 解压并安装OBS Browser+。 c. 使用下载指导页面步骤2的用户名，登录客户端工具OBS Browser+。 d. 使用下载指导页面步骤2的桶名，挂载外部桶。 在OBS Browser+“外部桶”页面，输入下载指导页面步骤2的桶名称，单击“挂载”，挂载该桶。 e. 下载合并文件。 在OBS Browser+界面，单击添加成功的外部桶桶名，进入对象列表页面，在右侧搜索栏，输入“备份文件名称”并检索，单击“下载”。 在弹出框中，选择“直接下载”，单击“确定”，通过浏览器直接下载数据库实例的合并文件。 在弹出框中，选择“按地址下载”，单击 复制地址，通过下载地址下载合并文件。 对于RDS for MySQL，显示当前合并文件在链接有效期内的下载地址。 − 您可以使用其他下载工具下载合并文件。 − 您还可以使用wget命令下载合并文件： wget O FILENAME nocheckcertificate "DOWNLOADURL" 命令中的参数解释如下： FILENAME：下载成功后的合并文件名称，由于原始文件名称较长，可能会超出客户端文件系统的限制，建议下载合并文件时使用“O”进行重命名。 DOWNLOADURL：需下载的合并文件所在路径，如果包含特殊字符则需要转义。 结束

本页介绍天翼云TeleDB数据库年龄回收类问题。 事务回卷问题 问题描述 当事务未能正常回收持续一段时间，库年龄达到上限后。 报错如下，此时数据库还可以访问，但不允许写入： ERROR: database is not accepting commands to avoid wraparound data loss in database "xxx" HINT: Stop the postmaster and vacuum that database in singleuser mode 可能影响 如果CN主节点年龄回卷，那么这个CN主节点会变成只读状态； 如果某个DN主节点年龄回卷，那么写入到这个DN主节点数据SQL会报错。 解决步骤 1. 执行SQL，检查引起年龄回收问题的库： > SELECT datname, age(datfrozenxid) FROM pgdatabase where age(datfrozenxid)>200000000; 2. 连接年龄回卷的库，执行SQL，检查引起年龄回收问题的表； SELECT pgnamespace.nspname as schemaname,relname, age(relfrozenxid) as xidage, pgsizepretty(pgtablesize(pgclass.oid)) as tablesize FROM pgclass,pgnamespace WHERE pgnamespace.oidpgclass.relnamespace and age(relfrozenxid)>200000000 and relfrozenxid ! 0 order by age(relfrozenxid) desc; 3. 控制台停止该节点； 4. 手动启动节点（指定报错提示中的数据库）进入单用户模式 > postgres single D ./ xxx(database) 5. 手动执行vacuum或vacuum full回收问题表，如遇到报错，需要先解决相应报错； 6. ctrl+d退出单用户模式，控制台启动该节点。 年龄回收冲突问题 问题描述 年龄回收时，报冲突错误，如： ERROR: tuple cannot be frozen now, please try later xid 802439820 cutoff xid 958123080 committs 25144982436271 RecentDataTs 25144852436271 RecentGlobalXmin 1058123080 RecentGlobalDataXmin 1058123080k

本章节介绍应用容灾多活的数据层配置。 概述 数据层配置主要包括数据源 和数据同步，每个单元组可以单独进行配置，不同单元的数据源之间通过数据传输服务进行数据同步。 应用容灾多活通过控制面与数据面协同，对指定数据源进行相应的读写保护。当某个单元发生故障时，可以通过切流任务将应用流量和数据访问切换到其他正常单元，从而保障数据的一致性与业务的连续性。 图 数据层配置 前提条件 已开通数据层功能模块。 已完成系统架构配置以及路由规则配置。 已完成开通数据传输服务DTS实例。 已按规划打通数据同步所需网络，具体操作可参考虚拟私有云VPC等网络产品套件。 配置数据源 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击数据层配置 ，进入容灾配置数据层配置页面。 5. 单击数据源配置列表上方创建 按钮，弹出创建数据源配置页面。 6. 如下表示例，填写配置信息，单击确定按钮，完成配置。 7. 如需修改或删除数据源配置，可单击所选配置操作列修改 或删除按钮，根据界面提示进行操作。 表 数据源配置 配置项 描述 示例 单元组 数据源所属业务分组，绑定其中路由规则。 订单业务 数据源名称 数据源自定义标识。 订单北京数据库 站点 数据源部署所在站点。 北京站点 数据源类型 数据源对应的数据库类型。 MySQL PostgresSQL 实例类型 数据库实例产品类型。 云实例 数据源实例 数据源对应的云实例ID。 TeleDB810 库名 数据库实例/schema。 order 数据库IP 数据库服务的IP地址。 192.168.0. 数据库端口 数据库服务的端口。 8080 字符编码 数据库实例所使用的字符编码。 utf8mb4 推送类型 数据库连接识别策略。 实例库URL：JDBC URL匹配策略。 实例库URL 推送标识 数据库连接标识，多活数据面组件进行拦截。 支持配置多个，以英文逗号分隔。 jdbc:mysql://192.168.0.:8080/order 用户名 数据源分配给多活管理所用用户，需有读写权限。 orderadmin 密码 数据源分配给多活管理所用密码。 说明 每个单元组可以配置多个数据源，通过不同的推送标识来管理。 注意 互相同步的数据源，要求一致的用户名与密码。 新增配置时请务必配置密码，配置后请务必记住您配置的密码，后续将不在控制台中显示，每次配置密码都将覆盖旧密码。

确保 root 权限 if [[ $EUID ne 0 ]]; then echo "请使用 root 运行此脚本！" exit 1 fi for i in "${!devices[@]}"; do device"${devices[$i]}" mountpoint"${mountpoints[$i]}" 创建挂载目录 mkdir p "$mountpoint" 获取设备的文件系统类型 currentfs$(blkid s TYPE o value "$device") if [[ z "$currentfs" ]]; then echo "设备 $device 没有文件系统，正在格式化为 $fstype..." mkfs.xfs f "$device" else echo "$device 已格式化为 $currentfs，跳过格式化" fi 确保设备未被挂载后再尝试挂载 umount "$device" 2>/dev/null mount t "$fstype" "$device" "$mountpoint" if [[ $? ne 0 ]]; then echo "错误：无法挂载 $device 到 $mountpoint，请检查设备或文件系统！" exit 1 fi echo "$device 已成功挂载到 $mountpoint" 获取 UUID 并更新 /etc/fstab，避免重复添加 uuid$(blkid s UUID o value "$device") if ! grep q "$uuid" /etc/fstab; then echo "UUID$uuid $mountpoint $fstype defaults 0 0" >> /etc/fstab echo "$device (UUID$uuid) 已添加到 /etc/fstab" else echo "$device 已存在于 /etc/fstab，无需添加" fi done echo "所有磁盘已成功挂载并配置为开机自动挂载！" 如下可查看磁盘分区情况： $ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS loop0 7:0 0 4.2G 1 loop sda 8:0 0 446.6G 0 disk ├─sda1 8:1 0 122M 0 part ├─sda2 8:2 0 976.6M 0 part /boot/efi ├─sda3 8:3 0 1.9G 0 part /boot └─sda4 8:4 0 443.6G 0 part ├─systemlvswap 253:0 0 16G 0 lvm [SWAP] └─systemlvroot 253:1 0 427.6G 0 lvm / nvme1n1 259:0 0 2.9T 0 disk └─nvme1n1p1 259:4 0 2.9T 0 part /mnt/nvme1n1 nvme0n1 259:1 0 2.9T 0 disk └─nvme0n1p1 259:3 0 2.9T 0 part /mnt/nvme0n1 根据galaxy集群启动后，/home和/opt目录为各节点共享目录： $ df h Filesystem Size Used Avail Use% Mounted on devtmpfs 4.0M 0 4.0M 0% /dev tmpfs 756G 419M 755G 1% /dev/shm tmpfs 303G 1.8G 301G 1% /run tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup /dev/mapper/systemlvroot 428G 20G 408G 5% / tmpfs 756G 200K 756G 1% /tmp /dev/sda3 1.9G 148M 1.7G 9% /boot /dev/sda2 975M 6.4M 969M 1% /boot/efi tmpfs 152G 0 152G 0% /run/user/0 /dev/nvme0n1p1 3.0T 21G 2.9T 1% /mnt/nvme0n1 /dev/nvme1n1p1 3.0T 654G 2.3T 22% /mnt/nvme1n1 master001:/data/nfs/home 428G 20G 408G 5% /home master001:/data/nfs/opt 428G 20G 408G 5% /opt 注意 上面举例使用master001作NFS服务的效果，这里也可以按需使用OceanFS来做共享存储。 本指南部署，会把模型和mindie容器镜像存入每个节点的/mnt/nvme1n1目录，并使用home目录进行服务启动，home目录将仅存放日志文件，非常轻量化。

排查思路 确认数据库实例状态 ： 通过文档数据库服务控制台检查文档数据库服务实例是否运行正常。 验证连接字符串 ： 检查连接字符串是否正确，包含正确的主机名（或IP地址）、端口号、用户名和密码等信息。 检查网络连接 ： 确保你的网络连接正常，尝试访问其他网站或服务来验证网络是否工作正常。 检查安全组和防火墙规则 ： 确保安全组和防火墙规则允许与DDS实例相关的端口通过，特别是如果涉及公网访问。 验证SSL配置（如果使用） ： 如果连接使用SSL方式，首先通过文档数据库服务控制台基本信息查看SSL是否开启，并且上传证书到ECS。 连接命令如下: sh ./mongo ssl host port u p authenticationDatabase sslCAFile sslAllowInvalidHostnames 其中，各参数的含义如下： ssl: 启用 SSL 连接。 host : 指定 MongoDB 数据库的主机名或 IP 地址。 port : 指定 MongoDB 数据库的端口号。 u : 指定用于认证的 MongoDB 用户名。 p: 表示在命令行中输入密码。在输入该命令后，系统会提示您输入 MongoDB 用户的密码。 authenticationDatabase : 指定认证所使用的数据库。在这里指定为认证用户所在的数据库。 sslCAFile : 指定 SSL 连接时的 CA（Certificate Authority）文件的路径。该文件用于验证服务器端证书的合法性。 sslAllowInvalidHostnames: 允许连接到 SSL 服务器时不验证服务器的主机名。这个选项用于在连接时忽略 SSL 证书中的主机名不匹配错误。 需要将 、 、 、 和 替换为实际的 MongoDB 数据库的主机名、端口号、用户名、认证数据库和 SSL CA 文件的路径。 确认用户权限 ： 确保使用的用户名和密码具有连接到文档数据库服务实例的权限。 尝试使用其他客户端工具 ： 如果连接失败是由于客户端工具问题，尝试使用其他客户端工具进行连接，以排除客户端工具本身的问题。 查看错误日志 ： 检查连接失败时产生的错误日志或错误消息，这些信息可能有助于找到问题的原因。 检查连接数和资源使用情况 ： 确认文档数据库服务实例的连接数是否达到上限，以及磁盘和CPU的使用情况是否正常。 验证内网/公网访问配置 ： 对于内网访问，确认文档数据库服务和ECS实例是否在同一区域和VPC，且正确配置安全组和白名单，如果不在同一VPC，检查VPC对等连接配置。 对于公网访问，确保ECS和文档数据库服务实例的安全组、白名单以及网络ACL规则允许相应端口通过，并验证ECS是否能够ping通文档数据库服务实例地址的端口。 排除其他因素 ： 排除可能影响连接的其他因素，例如阻塞的进程、资源竞争等。

介绍通过URL处理进行媒体存储图片处理操作 。 使用说明 媒体存储支持通过特定规则的URI来进行提供图片处理操作，用户可根据需求选择对应的参数进行使用。 图片处理参数可参考图片处理概述，根据概述指引获取相关参数。 前提条件 使用URL参数进行图片处理前，用户需登录控制台并上传图片文件。 1. 登录控制台，具体可参考：登录控制台。 2. 上传图片文件，具体可参考：上传对象。 图片处理仅在部分资源池适用，具体可参考：资源池与区域节点。 URL规则 媒体存储的图片处理URL由4个部分组成，包括：对象存储域名、原图所在桶名称、原图片名称和处理命令及样式参数组成。 URL规则为： 其中： endpoint：桶所在资源池对应的对象存储终端节点，可以在桶基础信息中获取。 bucket：原图片所在的桶名称。 objectName：原图片的名称。 processCommands：处理命令及样式参数。处理命令和样式参数间以多种符号区分。若不输入任何处理命令，则返回原图片。 处理参数 图片处理 参数 说明 图片缩放 resize 将图片缩放至指定大小。 格式转换 format 转换图片格式。 旋转 rotate 按指定角度以顺时针方向旋转图片。 EXIF信息 info/strip 获取或删除图片的exif信息。 质量变换 quality 调整JPG和WebP格式图片的质量。 亮度 bright 调整图片亮度。 渐进显示 interlace 将JPG格式的图片调整为渐进显示。 模糊 blur 对图片进行模糊处理。 自定义裁剪 crop 裁剪指定大小的矩形图片。 图片水印 watermark 为图片添加图片或文字水印。 自适应方向 autoorient 将携带旋转参数的图片进行自适应旋转。 获取平均色调 averagehue 获取图片平均色调信息。 锐化 sharpen 通过锐化参数，提高原图的清晰度。 对比度 contrast 调整原图的对比度。 内切圆 circle 将图片处理成内切圆。 圆角矩形 roundedcorners 将图片的4个角切成圆角。 索引切割 indexcrop 按指定大小分割原图并截取需要的图片。

说明：本章节会介绍如何创建参数模板 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“参数模板管理”页面，单击“创建参数模板”。 选择数据库引擎版本，命名并添加对该参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的参数模板类型。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256个字符，且不能包含回车和>!

本节介绍了通过界面安装和卸载插件的相关内容。 操作场景 RDS支持用户在界面自主安装与卸载插件。 RDS for PostgreSQL插件是数据库级生效，并不是全局生效。因此创建插件时需要在对应的业务库上进行手动创建。 前提条件 安装和卸载插件前，请确保实例下已有数据库。 注意事项 plpgsql为内置插件，不允许卸载。 decoderbufs（仅在PostgreSQL 11至PostgreSQL 14版本支持），wal2json（PostgreSQL 11及以上版本支持）等逻辑复制插件可以直接使用，不需要安装。 部分插件依赖“sharedpreloadlibraries”参数，只有在加载相关库之后，才能安装成功。 pgcron插件当前仅支持PostgreSQL 12（12.11.0及其以上版本）、PostgreSQL 13及以上版本。使用时需要先修改参数“cron.databasename”为需要使用的数据库（仅支持单个数据库），同时修改“cron.usebackgroundworkers”为“on”。 pltcl插件在PostgreSQL 13.2版本实例暂不支持使用，如需使用该插件，请先升级到最新小版本。 部分插件安装或卸载时，会同步安装或卸载其依赖插件，以及相关依赖表。例如：创建插件postgissfcgal时，需要先创建postgis插件，这时会同步创建postgissfcgal插件；同时，卸载postgis插件时，会同步卸载postgissfcgal插件。 部分插件在小版本升级后不支持直接升级，如需升级请卸载后重新安装。 修改sharedpreloadlibraries参数 部分插件在安装前，须先加载对应的参数值，否则无法安装。 支持通过修改sharedpreloadlibraries参数来批量加载参数值，或在安装插件前单独加载对应参数值。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在实例列表，单击实例名称，进入实例的基本信息页面。 步骤 5 在左侧导航栏，选择“插件管理”。 步骤 6 在“插件管理”页面，单击“已加载sharedpreloadlibraries参数值”后的 ，查看已加载参数。 步骤 7 单击“管理参数值”。 步骤 8 在下拉框中选择要加载的参数，单击“确认”。 步骤 9 在弹出框中，单击“确定”，修改sharedpreloadlibraries参数值。 说明 sharedpreloadlibraries参数值修改后，需要重启实例才能生效。如果包含只读实例，修改主实例参数后，会同步修改只读实例的参数，需要同时重启只读实例。 为了保证PostgreSQL的安全及运维功能的完善，sharedpreloadlibraries参数中，如下参数默认加载，不允许删除： passwordcheck.so pgstatstatements pgsqlhistory pgaudit 步骤 10 您也可以在安装插件前单独加载对应参数值。 结束

本文介绍了如何为学校师生创建子账号,并进行子账号、企业项目配置预警配额。 背景分析 科研教育组织场景下需要有多级账号管理并且创建大量师生账号，如果通过天翼云官网创建账号不仅流程繁琐，由于账号过多用量和费用也难以查询和管理。因此通过使用主子账号功能，科研教育管理者可以批量创建子账号并且使用主账号对子账号进行权限、费用、分级等管理。同时，也可以对用户、企业项目进行预警配额设置。 操作说明 1. 登录天翼云账号，进入账号管理中心。 2. 点击右上角，个人信息 3. 点击【统一身份认证】。这里就是主子账号的管理控制台，主账号可以通过创建【企业项目】来隔离子账号之间的资源。 4. 点击【用户】进入到用户管理页面，再点击【创建用户】。 5. 点击【上传用户】后点击下载模板，会提供一个EXCEL表，根据内容填写账号信息后点击上传。这样就可以批量创建多个子账号。 6. 点击【用户组】后点击【创建用户组】，填写用户组名称后点击【确定】。 7. 点击【用户组管理】，将先前的计算机学院学生账号加到这个用户组当中。 8. 点击【企业项目】并点击【创建企业项目】 9. 填入【企业项目名称】，我们可以填写学校学院的名称，也可以是教师的名称。填写完后点击【确定】进行创建。 10. 点击【查看用户组】我们可以对这个企业项目进行权限分配。 11. 在企业项目列表中点击【查看用户组】后再点击【设置用户组】将计算机学院学生用户组加入到这个企业项目中。 12. 在企业项目中的用户组列表里点击【设置策略】，在搜索框中输入bc，将【bc admin】加入到已选策略中，点击【确认】完成配置。您也可以对权限策略做自定义设置，权限说明请参考：科研助手CTIAM权限 13. 现在子账号和企业项目都配置完成了。通过刚才的设置，学校管理员创建了计算机学院学生的账号并创建了计算机学院的项目。 通过计算机学院的企业项目学院学生只访问的到本学院项目下的资源，与其他学院隔离。 而学校管理员可以在主账号上对所有账号进行管理、查看每个学院的用量、每个学生的用量。

通过本接口可在点播模式下创建一个视频条目。 接口功能介绍 注意 本接口适用于2026年3月13日之后开通的新增客户。在此之前开通的存量客户，如已使用旧版API或者旧版SDK开发业务的，可继续沿用旧接口和SDK，也可视自身情况迁移至新接口。 通过本接口可在点播模式下创建一个视频条目。 上传原理概述 视频文件的创建、存储需要分3步来进行。 步骤1：初始化上传，在此步骤需要将所有的业务管理信息发送到云点播服务中创建视频文件接口，接口成功之后会返回分片上传的地址列表，如后文的响应示例所示。 调用了该接口但未调用完成上传视频接口，系统会在数据库中存入这些业务信息（以及一些中间信息，例如uploadId），但由于这条视频信息还处于 UPLOADING的状态，除了删除视频外的其他接口，均不会对这些视频造成影响。例如在提交任务接口中，甚至会返回找不到该视频的错误。 步骤2： 将视频文件片上传到步骤1返回的URL列表中。 将完整的视频按照步骤1约定的大小进行切片，然后将片段按照顺序使用 data.uploadUrls 中返回的预签名 URL 通过PUT方法上传到服务器。JAVA版原理示例如下，用户可结合自己的开发语言自行实现。signature签名已在步骤1中提供，如果过期可以参考签名应用及示例中SHELL示例重签。 java File localVideoFile new File("fullFilePath"); // 从第一步初始化分片获取各个分片上传预签名链接 // 例如 List partPresignedUrlList; // 分片大小示例为5M int partSize 5 1024 1024; // 存放每个分片上传成功后的etag List partEtags new LinkedList<>(); // 从第一片开始 int partNumber 1; // 实例化一个OkHttpClient OkHttpClient okHttpClient buildOkHttpClient(); // 依次读取、上传各个分片字节流 try (FileInputStream fin new FileInputStream(localVideoFile); FileChannel channel fin.getChannel()) { ByteBuffer buffer ByteBuffer.allocate(partSize); byte[] partContent new byte[partSize]; int partLength 0; while ((partLength (channel.read(buffer))) ! 1) { String partPresignedUrl partPresignedUrlList.get(partNumber 1); // 读取第partNumber片字节流 ((Buffer) buffer).flip(); buffer.get(partContent, 0, partLength); // 上传第partNumber片字节流 RequestBody body RequestBody.create(partContent, null, 0, partLength); Request req new Request.Builder().url(partPresignedUrl).put(body).build(); int uploadRetryCount 0; while (uploadRetryCount < 3) { try (Response response okHttpClient.newCall(req).execute()) { if (response.isSuccessful()) { log.info("Put part to [{}] successfully!", partPresignedUrl); partEtags.add(response.header("etag")); break; } log.error("put part to [{}] failed,failed code is {}, error:{}", partPresignedUrl, response.code(), response.body().string()); uploadRetryCount++; log.info("Retry to put part to [{}] again!", partPresignedUrl); } catch (Exception ex) { log.error("put part to [{}] failed:", partPresignedUrl, ex); uploadRetryCount++; log.info("Retry to put part to [{}] again!", partPresignedUrl); } } // 清空缓存区 ((Buffer) buffer).clear(); } } 步骤3：调用云点播服务完成上传视频接口完成本次上传。步骤2每次上传成功之后，需要记录请求 Response 中的 eTag 头部信息，在步骤3完成上传视频的接口参数中传入该参数。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本文主要介绍节点类问题。 一、纳管节点时失败，报错“安装节点失败” 问题描述 节点纳管失败报错安装节点失败。 问题原因 登录节点，查看/var/paas/sys/log/baseagent/baseagent.log安装日志，发现如下报错： 查看节点LVM设置，发现/dev/vdb没有创建LVM逻辑卷。 解决方案 手工创建逻辑卷： pvcreate /dev/vdbvgcreate vgpaas /dev/vdb 然后在界面重置节点后节点状态正常。 二、集群可用，但节点状态为“不可用”？ 当集群状态为“可用”，而集群中部分节点状态为“不可用”时，请参照如下方式来排查解决。 节点不可用检测机制说明 Kubernetes 节点发送的心跳确定每个节点的可用性，并在检测到故障时采取行动。检测的机制和间隔时间详细说明请参见心跳。 使用NPD插件排查故障 CCE提供节点故障检测NPD插件，NPD插件从1.16.0版本开始增加了大量检查项，能对节点上各种资源和组件的状态检测，帮助发现节点故障。 强烈建议您安装该插件，如已安装请查看插件版本并升级到1.16.0及以上版本。 安装NPD插件后，当节点出现异常时，控制台上可以查看到指标异常。 您还可以在节点事件中查看到NPD上报的事件，根据事件信息可以定位故障。 故障事件说明 故障事件 说明 OOMKilling 检查oom事件发生并上报。可能原因：用户在ECS侧误操作卸载数据盘。处理建议：排查项一：节点负载过高。 TaskHung 检查taskHung事件发生并上报 KernelOops 检查内核0指针panic错误 ConntrackFull 检查连接跟踪表是否满 FrequentKubeletRestart 检测kubelet频繁重启 FrequentDockerRestart 检测docker频繁重启 FrequentContainerdRestart 检测containerd频繁重启 CRIProblem 检查容器CRI组件状态 KUBELETProblem 检查Kubelet状态 NTPProblem 检查ntp服务状态 PIDProblem 检查Pid是否充足 FDProblem 检查文件句柄数是否充足 MemoryProblem 检查节点整体内存是否充足 CNIProblem 检查容器CNI组件状态 KUBEPROXYProblem 检查Kubeproxy状态 ReadonlyFilesystem 检查系统内核是否有Remount root filesystem readonly错误。可能原因：用户在ECS侧误操作卸载数据盘、节点vdb盘被删除。处理建议： 排查项六：检查磁盘是否异常 排查项九：检查节点中的vdb盘是否被删除 DiskReadonly 检查系统盘、docker盘、kubelet盘是否只读可能原因：用户在ECS侧误操作卸载数据盘、节点vdb盘被删除。处理建议： 排查项六：检查磁盘是否异常 排查项九：检查节点中的vdb盘是否被删除 DiskProblem 检查磁盘使用量与关键逻辑磁盘挂载检查系统盘、docker盘、kubelet盘磁盘使用率，检查docker盘、kubelet盘是否正常挂载在虚拟机上。 PIDPressure 检查PID是否充足。处理建议：PID不足时可调整PID上限。 MemoryPressure 检查容器可分配空间（allocable）内存是否充足 DiskPressure 检查kubelet盘和docker盘的磁盘使用量及inodes使用量。处理建议：扩容数据盘。

本文介绍通过使用Java SDK实现断点续传的最佳实践。 当上传大文件时，经常出现因网络不稳定或程序崩溃导致上传失败的情况。失败后再次重新上传不仅浪费资源，而且当网络不稳定时仍然有上传失败的风险。断点续传上传接口uploadFile能有效地解决此类问题引起的上传效率低下的问题。其原理是将待上传的文件分成若干个分片分别上传，如果出现网络异常或程序崩溃导致文件上传失败时，会将中断对象的断点处记录下来，从而能在失败重传时继续上传未上传完成的部分，节省资源提高效率，还因其能够对分片进行并发上传的机制能加快上传速度。 本文主要介绍通过Java SDK实现断点续传。SDK下载地址：SDK概览。 注意事项 断点续传上传，您必须必须是桶拥有者或拥有上传对象的权限，才能上传对象。 断点续传上传接口传入的文件大小至少要5MB以上，因为最小的分片大小就是5MB。 使用SDK的断点续传接口时，必须开启断点续传选项setEnableCheckpoint为true才能在再次上传同一对象时读取到之前的上传进度。 您可实现ProgressListener接口来实现对上传进度的监控。 示例代码 断点续传 以下为断点续传示例代码。 java public class ResumeUploadDemo { private static String endpoint " private static String accessKeyId "ak";// 主账号或子账号ak private static String accessKeySecret "sk";// 主账号或子账号sk private static String bucketName "bucket";// 上传对象的目标bucket private static String key "xx.xx";// 对象名 private static String uploadFile "xx.xx";// 本地待上传文件路径 public static void main(String[] args) { ClientConfiguration clientConfiguration new ClientConfiguration(); BasicAWSCredentials credentials new BasicAWSCredentials(accessKeyId, accessKeySecret); AWSStaticCredentialsProvider credProvider new AWSStaticCredentialsProvider(credentials); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration( endpoint, Regions.DEFAULTREGION.getName()); AmazonS3 s3Client AmazonS3ClientBuilder.standard() .withCredentials(credProvider) .withClientConfiguration(clientConfiguration) .withEndpointConfiguration(endpointConfiguration) .withPathStyleAccessEnabled(false) .build(); try { // 通过UploadFileRequest设置多个参数。 // 依次填写Bucket名称以及对象名称。 UploadFileRequest uploadFileRequest new UploadFileRequest(bucketName, key); // 指定监听器，当您实现以上接口后，可在这设置您的进度监控实例，从而完成对于上传进度的监控。 uploadFileRequest.setProgressListener(progressListener); // 填写本地文件的完整路径，例如D:localpathexamplefile.txt。如果未指定本地路径，则默认从示例程序所属项目对应本地路径中上传文件。 uploadFileRequest.setUploadFile(uploadFile); // 指定上传并发线程数，默认值为1。 uploadFileRequest.setTaskNum(5); // 指定上传的分片大小，单位为字节。默认值为5 MB。 uploadFileRequest.setPartSize(1024 1024 5); // 开启断点续传，默认关闭。开启后，上传过程中的进度信息会保存在文件中，默认与待上传的本地文件同路径，名称为${uploadFile}.ucp，如果某一分片上传失败，再次上传时会根据文件中记录的点继续上传。上传完成后，该文件会被删除。 uploadFileRequest.setEnableCheckpoint(true); try { UploadFileResult uploadFileResult s3Client.uploadFile(uploadFileRequest); CompleteMultipartUploadResult multipartUploadResult uploadFileResult.getMultipartUploadResult(); System.out.println(multipartUploadResult); } catch (Throwable e) { throw new RuntimeException(e); } } catch (Exception e) { System.err.println("Upload failed: " + e.getMessage()); e.printStackTrace(); } } }

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本页介绍天翼云TeleDB数据库高效的并行计算能力。 TeleDB支持两级并行，从而实现高效的并行计算能力。两级并行分别为多节点之间的并行和节点内的并行。 多节点之间并行执行：分布式事务需要多节点一起完成。多个节点之间是并行的，例如：所有DDL语句，涉及元数据变更，需在所有CN、DN节点上执行。批量INSERT语句、不带分布键的SELECT、UPDATE、DELETE语句，需在所有DN节点上执行。 节点内基于数据页的并行计算：对于大表查询，为充分利用服务器多核处理能力，在节点内同时启动多个进程并行计算，协同完成一个任务。 说明 TeleDB支持设置参数，通过参数来显示表的大小。当表的数据量超过一定阈值时，会启用并行。当需要并行计算的时候，优化器会根据表大小得出并行度，启动多个进程并行执行。如果有更多的资源，执行速度可以根据并行度实现线性扩展。 实际使用中常见的是join关联，和aggregate数据汇聚（也就是group by），下面以hash join和aggreagte为例，介绍TeleDB的并行计算能力。 hash join 仍以TBLA关联TBLB表查询为例，两表大小相当时，优化器会优先选择hash join方式关联，流程如下： 1. 获取TBLB表所有数据。 2. TBLB表的每一行计算哈希值，构建一张哈希表。 3. 访问TBLA表每一行数据。 4. TBLA表每一行计算哈希值。 5. TBLA表每一行哈希值，匹配哈希表，得到匹配结果。 并行hash join 对于大表关联，优化器根据资源估算，可以启动多个进程，并行扫描数据，然后并行hash join，流程如下： 1. 多个进程并行访问TBLB表的一部分数据。 2. 每个进程各自构建一张哈希表。 3. 合并所有进程的哈希表，构建出一张共享哈希表。 4. 多个进程并行访问TBLA表的一部分数据。 5. 多个进程并行计算出TBLA表每一行的哈希值。 6. 多个进程并行匹配共享哈希表，得到匹配结果。 相比没有开启并行hash join的查询，并行hash join的性能提升，主要有并行扫描和并行hash join，而在构建哈希表和哈希表匹配部分的并行计算能力，可以让查询性能随着并行度的提升而提升。 aggregate汇聚计算 例如：TBLA表的简单sum、avg等汇聚计算。 左图为没有开启并行时的执行流程，只需要查询、汇聚两步。 并行aggregate汇聚计算 右图为开启并行后的执行流程，流程如下： 1. 多个进程并行访问TBLA表的一部分数据。 2. 多个进程并行计算aggregate，得到一个中间结果。 3. 所有中间结果进行一次数据重分布，将相同group by汇聚列的数据分布在同一个进程中。 4. 多个进程并行再做一次最终的aggregate，然后汇总，得到汇聚结果。

对于互联网中已经公布和尚未披露的0day漏洞，WAF会及时进行更新并发布在产品控制台，您可登录使用WAF产品进行防护，同时会在概览页最新消息内容中的威胁消息告知漏洞信息： 点击概览页最新消息中的漏洞消息可以进入到消息中心查看漏洞详情： 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 如何查看防护数据报表 域名开启防护总开关后，您可以在安全分析中的WAF攻击报表中选择一个或者多个域名查看选中的域名匹配域名规则攻击内容。详情见WAF安全报表。 WAF攻击报表可以查询连续不间断的两个月的数据，报表内提供了多种攻击数据分析，包括：威胁分布、攻击趋势、攻击地区等多种数据分析图表，可以直观的查看WAF的防护效果。您可以根据图表内容来制定安全防护策略，维持域名的安全。 您也可以查询具体详细的日志内容，可以在日志管理中WAF攻击日志查看详细的攻击记录，可以根据攻击类型、规则id、防护模式等多项组合进行筛选出攻击日志记录，点击查看详情可以查看当前选择的攻击日志的详细内容。详情见WAF攻击日志。 如果您在攻击日志中发现WAF误拦截了正常业务流量数据，产生误报时，可以先通过WAF攻击日志 中，查看详情中 的添加白名单 对受影响的业务URL进行加白配置，先放行该业务请求。然后联系天翼云安全专家（联系方式见服务保障）沟通具体的解决方案。