本节主要介绍编辑密码规则和清除密码规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“密码安全设置”处可以进行编辑密码规则和清除密码规则。 编辑密码规则 在“密码安全设置”处点击“编辑密码规则”，可以对密码规则进行重新设置。 项目 描述 :: 密码长度 可以设置用户的密码长度，取值范围是8~128的整数。 密码中必须包含元素 用户可以选择下列的任意一项或者多项： 大写字母：A~Z。 小写字母：a~z。 数字：0~9。 非字母数字字符，包括：!@ $%^&()+[]{}’ 如果不选，使用默认规则，即密码中必须包含小写字母和数字。 密码有效期 密码有效天数，整数形式，取值范围为0~1095，0表示永不过期。 自主管理密码 如果勾选用户自主管理密码，允许IAM用户自主修改密码。 如果未勾选用户自主管理密码，只能管理员来修改密码。 密码过期后 限制用户登录，允许用户重置密码：密码过期后，用户可以自行修改密码。 限制用户登录，须由管理员重置密码：密码过期后，用户不能执行修改密码。 历史密码检验策略 在重置密码时对历史密码进行检查，禁止使用设置次数前的密码。整数形式，取值范围为0~24，0表示不启用历史密码检验策略，但当前密码不属于历史密码，故新设置的密码不能与当前密码相同。 历史密码为除当前密码外，历史使用过的密码。例如设置历史检验策略为1，当前密码为Password1，前一次的密码为Password0，用户希望设置的新密码为Password2，则Password2不能与前一次密码Password0和当前密码Password1相同。 自主管理密码和密码过期后之间的关系如下表所示： 项目 勾选用户自主管理密码 不勾选用户自主管理密码 ::: 限制用户登录，允许用户重置密码 任何时候，IAM用户都可以自己修改密码。 只能密码过期后，允许IAM修改一次密码。 限制用户登录，不允许用户重置密码 任何时候，控制台用户无法修改密码，可以通过API进行修改。 IAM用户任何时候都不能自行修改密码。

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

修改单个Topic配置 1. 登录Kafka控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 单击Kafka实例的名称，进入实例详情页面。 4. 在左侧导航栏选择“实例管理 > Topic管理”，进入Topic列表页面。 5. 在待修改配置的Topic所在行，单击“编辑”。 6. 在“编辑Topic”对话框中，修改Topic的配置，单击“确定”。 设置成功后，在Topic列表页面，查看修改后的配置。 批量修改Topic配置 1. 登录Kafka控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 单击Kafka实例的名称，进入实例详情页面。 4. 在左侧导航栏选择“实例管理 > Topic管理”，进入Topic列表页面。 5. 勾选待修改配置的Topic，单击信息栏左上侧的“批量编辑Topic”，弹出“批量编辑Topic”对话框。 6. 在“批量操作”区域，勾选如表2所示配置。在“批量数据预览”区域，查看修改前和修改后的配置信息。确认无误后，单击“确定”。 图1批量修改Topic配置 表2 Topic配置参数 参数名称 操作说明 同步复制 勾选“同步复制”，并开启或关闭同步复制功能。 同步落盘 勾选“同步落盘”，并开启或关闭同步落盘功能。 消息时间戳类型 勾选“消息时间戳类型”，并在下拉框中选择“CreateTime”/“LogAppendTime”。 批处理消息最大值（字节） 勾选“批处理消息最大值（字节）”，并输入批处理消息最大值。 设置成功后，在Topic列表页面，查看修改后的配置。

执行计划 操作场景 分析当前输入的SQL语句的执行路径效率。 操作步骤 1. 在顶部菜单栏选择“SQL操作 > SQL查询”，打开一个SQL窗口，在左侧结构树选择数据库。 2. 在SQL窗口输入需要执行的SQL语句，单击“执行计划”，排查SQL问题和优化SQL性能。 在“SQL执行记录”页签中，查看窗口下历史执行信息。 在“消息”页签中，查看拆分SQL完成、执行完成及耗时等信息。 在“执行计划”页签中查看反馈执行语句情况，不同的页签来展示每一条SQL的执行计划详情。 我的SQL 操作场景 数据管理服务支持用户添加常用的SQL，以及查看和管理SQL语句。 操作步骤 1. 在顶部菜单栏选择“SQL查询”，打开一个SQL窗口。 2. 在当前打开的SQL窗口页面，选择“我的SQL”。 新增我的SQL：支持增加常用的SQL，在弹出框中编辑标题、输入SQL语句，选择适用范围后，单击“保存”即可新增SQL。 选择我的SQL：支持查看已保存的常用SQL，当账号下没有已保存的SQL时，该功能在页面不显示。 管理我的SQL：支持对常用的SQL进行管理，包括添加、编辑、 删除。 SQL执行记录 前提条件 登录数据管理服务时，需要在登录界面开启SQL执行记录。 操作步骤 1. 在顶部菜单栏选择“SQL操作”>“SQL执行记录”，打开历史执行记录列表。 2. 在SQL执行记录页面，您可通过日期范围、数据库名称、SQL语句关键字进行搜索，快速查找目标SQL执行记录信息。 单击列表中数据库名称，您可直接进入该数据库管理页面。 单击“SQL语句”，您可在SQL语句弹出框中复制使用SQL。 单击“在SQL执行窗口打开”，您可在SQL窗口中直接使用该语句。

本节主要介绍设置ServiceStage依赖服务的权限 设置CCE命名空间权限 由于IAM只能给ServiceStage用户组授予CCE集群相关资源的普通操作权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限，需要在CCE集群单独设置CCE的命名空间权限。 CCE的命名空间权限设置方法，请参考“帮助中心 > 云容器引擎 > 用户指南 > 权限管理”。 设置CTS服务权限 通过IAM给ServiceStage设置权限后，对于ServiceStage依赖的CTS服务并不会生效，需要单独设置CTS服务权限。 CTS服务权限设置方法，请参考“帮助中心 > 云审计服务 > 用户指南 > 权限管理”。

修改HTTPS监听器时配置安全策略 具体操作如下： 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 在顶部左侧选择弹性负载均衡所属区域。 4. 单击已创建的负载均衡器实例名称。 5. 在该负载均衡界面的“监听器”区域，单击HTTPS监听器所在行的“修改”选项。 6. 在“修改监听器”界面高级配置，可查看当前HTTPS监听器的安全策略设置，并根据应用需要修改安全策略。 7. 单击“确定”按钮，完成配置。

本节介绍云容器引擎的最佳实践： 应用高可用部署推荐。 基本原则 可参考如下几点，实现容器应用高可用部署： 1. 集群控制节点高可用，控制节点数大于等于3； 2. 集群需有多个属于不同可用区的节点，业务根据自身需求合理配置调度策略，以实现多可用区部署及资源均匀分配； 3. 创建多个在不同可用区的节点池，通过节点池做节点伸缩； 4. 工作负载实例数需大于等于2； 5. 配置工作负载的亲和性规则，让Pod尽量分布在不同可用区、不同节点上。 操作步骤 假设集群3个控制节点和3个工作节点，工作节点可用区分布如下所示： $ kubectl get node L topology.kubernetes.io/zone grep v master NAME STATUS ROLES AGE VERSION ZONE ccseagent1b54ffbc17 Ready 40m v1.25.6 cnxinan11A ccseagent59ab9e7689 Ready 38m v1.25.6 cnxinan12A ccseagenta7527e3e80 Ready 36m v1.25.6 cnxinan13A 创建工作负载，如下所示，定义两条podAntiAffinity反亲和性规则： 工作负载多实例配置可用区反亲和，参数设置如下： 权重weight：权重值越高会被优先调度，本示例设置为50； 拓扑域topologyKey：为节点标签，用于指定调度时的作用域，下述示例为topology.kubernetes.io/zone，该标签用于识别节点在哪个可用区。 标签选择labelSelector：选择Pod的标签，与工作负载本身反亲和。 工作负载多实例配置节点反亲和，参数设置如下： 权重weight：设置为50； 拓扑域topologyKey：为标签kubernetes.io/hostname，该标签值为节点名； 标签选择labelSelector：即工作负载多个实例Pod的标签，实例间反亲和。 kind: Deployment apiVersion: apps/v1 metadata: name: demo namespace: default spec: replicas: 2 selector: matchLabels: app: demo template: metadata: labels: app: demo spec: containers: name: container0 image: nginx:latest resources: limits: cpu: 300m memory: 512Mi requests: cpu: 400m memory: 512Mi affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: weight: 50 podAffinityTerm: labelSelector:

本节介绍 Web应用防火墙（独享版） CC攻击防护规则类问题。 如何配置CC防护规则？ 当业务接口被HTTP Flood攻击时，可以通过Web应用防火墙Console界面设置CC防护规则，从而缓解业务压力。用户可根据业务类型，配置CC防护规则，可配置以下内容： 每个Web访问者在规定时间内允许访问的次数。 根据IP、Cookie或者Referer字段区分Web访问者。 当访问超过限制时，对其访问进行阻断或者发送验证码验证。 具体的配置规则请参见配置CC攻击防护规则章节。 在什么情况下使用Cookie区分用户？ 在配置CC防护规则时，当IP无法精确区分用户，例如多个用户共享一个出口IP时，用户可以使用Cookie区分用户。 用户使用Cookie区分用户时，如果Cookie中带有用户相关的“session”等“key”值，直接设置该“key”值作为区分用户的依据。 CC规则里“限速频率”和“放行频率”的区别？ “限速频率”是单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，WAF将根据配置的CC攻击防护规则“防护动作”来处理。例如，“限速频率”设置为“10次/60秒”，“防护动作”设置为“阻断”，则表示60秒只能有10次访问请求，一旦在60秒内访问请求超过10次，WAF就直接阻断该Web访问者访问目标URL。 配置CC防护规则时，如果选择了“高级”工作模式，且“防护动作”配置为“动态阻断”，则除了需要配置“限速频率”外，还需要配置“放行频率”。 如果在一个限速周期内，访问的请求频率超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值将动态调整为“放行频率”。且“放行频率”为0时，表示上个周期发生拦截后，下一个周期所有满足规则条件的请求都会被拦截。 区别： “放行频率”和“限速频率”的限速周期一致。 “放行频率”小于等于“限速频率”，且“放行频率”可为0。

本页介绍天翼云关系数据库MySQL版如何在管理控制台创建数据库。 关系数据库MySQL版在管理控制台创建数据库的指引如下。 操作场景 MySQL数据库实例创建成功后，用户可根据业务需要，创建更多数据库。 约束限制 实例运行状态异常、恢复中的实例，不可进行该操作。 目前不支持创建同名数据库。 数据库创建完成后不支持修改库名。 数据库名称必须以小写字母开头，且必须以小写字母或数字结尾，可包含数字或下划线，不能包含其他特殊字符。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库管理，进入实例数据库管理页面。 5. 单击创建数据库。 6. 在对话框中，配置数据库名称、字符集、校验规则和备注信息，然后单击确定。 您可以在数据库列表中看到新创建的数据库信息。如需修改数据库的字符集、校验规则或描述信息，只需单击目标数据库操作 列的修改即可。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

修改单个Topic配置 1. 登录Kafka控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 单击Kafka实例的名称，进入实例详情页面。 4. 在左侧导航栏选择“实例管理 > Topic管理”，进入Topic列表页面。 5. 在待修改配置的Topic所在行，单击“编辑”。 6. 在“编辑Topic”对话框中，修改Topic的配置，单击“确定”。 设置成功后，在Topic列表页面，查看修改后的配置。 批量修改Topic配置 1. 登录Kafka控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 单击Kafka实例的名称，进入实例详情页面。 4. 在左侧导航栏选择“实例管理 > Topic管理”，进入Topic列表页面。 5. 勾选待修改配置的Topic，单击信息栏左上侧的“批量编辑Topic”，弹出“批量编辑Topic”对话框。 6. 在“批量操作”区域，勾选如表2所示配置。在“批量数据预览”区域，查看修改前和修改后的配置信息。确认无误后，单击“确定”。 图1批量修改Topic配置 表2 Topic配置参数 参数名称 操作说明 同步复制 勾选“同步复制”，并开启或关闭同步复制功能。 同步落盘 勾选“同步落盘”，并开启或关闭同步落盘功能。 消息时间戳类型 勾选“消息时间戳类型”，并在下拉框中选择“CreateTime”/“LogAppendTime”。 批处理消息最大值（字节） 勾选“批处理消息最大值（字节）”，并输入批处理消息最大值。 设置成功后，在Topic列表页面，查看修改后的配置。

本章介绍态势感知的日志管理能力。 通过授权对象存储服务（Object Storage Service，OBS）存储态势感知日志，帮助用户轻松应对安全日志存储、导出场景，以及满足日志存储180天及集中审计的要求。 背景信息 日志管理通过授权OBS存储SA日志，可实现日志存储、导出场景。日志存储后，支持长久存储和本地下载日志数据。 前提条件 已购买专业版态势感知，且在有效使用期内。 创建日志存储至OBS桶 为满足安全审计日志存储180天要求，可将日志存储至OBS桶。OBS支持长久存储日志数据，并支持在OBS控制台下载日志文件。 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 日志管理”，进入日志管理页面。 3. 在“存储至OBS桶”栏中，单击，开启存储。 4. 配置存储日志相关参数，具体参数说明如下表所示。 参数名称 参数说明 桶名称 选择已创建的OBS桶。 如果没有可选择的OBS桶，单击“您没有可用的OBS桶，请前往创建”，进入对象存储服务管理控制台，创建OBS桶。 说明 目前仅支持选择当前帐号所在的区域中已有的OBS桶。 目前仅支持存储类别为“标准存储”和“低频访问存储”的OBS桶。 对象名称 自定义对象名称。 存储路径 根据桶名称和对象名称生成的存储路径。 5. 单击“确定”，完成配置。 配置成功后，日志将在大约10分钟后存储至OBS桶。

本节主要介绍删除自动备份 DDS支持用户删除备份失败的自动备份，从而释放相关存储空间。备份删除后，不可恢复，请谨慎操作。 方法一 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，选择“备份恢复”。 步骤 6 在备份恢复页面选择需要删除的自动备份，单击“删除”。 删除自动备份 步骤 7 在弹出框中，单击“是”，删除备份。 方法二 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在实例管理页面左侧导航树中选择“备份管理”。 步骤 5 在“备份管理”页面，选择“集群”、“副本集”页签。 步骤 6 在需要删除的自动备份上，单击“删除”。 删除自动备份 步骤 7 在弹出框中，单击“是”，删除备份。

资源规划 1. 创建迁移组，用户确认源端调研的信息无误后，可进行迁移组的创建。用户在资源列表选取相应的主机、数据库资源组成自定义迁移组，为用户提供管理待迁移资源的全新方式，从而为迁移计划的执行提供强力支持与辅助。 2. 创建迁移计划，用户完成迁移组的创建后，可进行迁移计划的创建。用户选取相应的迁移组，确认包含的相关资源后，可全面评估待迁移资源的情况，并以此制定合理的迁移计划，对迁移过程输出有效的管控。 3. 资源匹配，用户在完成迁移组与迁移计划的创建后，可以使用平台提供的资源匹配功能，在资源明细中对云主机、数据库和对象存储资源的源端和目标端使用详情进行匹配和对比。 4. 资源创建，用户可以根据已制定的迁移计划进行批量的目标端资源创建，协同资源匹配功能，助力用户在云迁移服务中快速、灵活地创建和管理各类计算、网络、存储资源，并为后续执行各类迁移计划提供支持。 迁移管理 1. 工具管理，资源规划完成后，用户可以进入工具管理模块，在这里根据源端待迁移资源的类型或者已制定的迁移计划，选择合适的迁移工具。这些工具包括服务器迁移服务、数据库迁移服务、数据迁移服务和华为提供的ExaGear、DevKit异构迁移工具。通过选择适当的工具，用户可以更加方便地进行迁移操作。 2. 调度管理，用户完成所需使用的迁移工具选择后，可以进入调度管理模块，使用调度功能自定义创建调度任务，并发迁移管控。 3. 进度大盘，用户开始执行既定的迁移计划、调度任务后，可于进度大盘模块查看各类具体资源迁移任务的状态与监控，助力用户全面了解不同类型迁移任务的进展情况，确保迁移工作的顺利进行。 4. 迁移报告，用户完成各类型的迁移任务后，可在迁移报告模块查看并获取某次迁移任务的迁移报告。 访问方式 使用天翼云 CMS 迁移服务，您需在 CMS控制台和迁移源服务器进行操作。

参数 说明 <host> 主机IP，在“实例管理”页面单击实例名称，进入“基本信息”页面。“连接信息”模块的“内网地址”（通过弹性云主机访问）。 <port> 端口，默认8000，当前端口，即在“实例管理”页面单击实例名称，进入“基本信息”页面，“连接信息”模块的“数据库端口”。 <database> 需要连接的数据库名，默认管理数据库是postgres。 <user> 用户名，即云数据库GaussDB 数据库帐号，默认管理员帐号为root。 <cafiledirectory> ssl连接CA证书路径。 <sslmode> ssl连接模式，设置为“verifyca”，通过检查证书链（Certificate Chain，以下简称CA）来验证服务是否可信任。

本小节介绍开启节点防护。 开启节点防护的同时，系统会自动为该节点安装容器安全插件。 1、 登录管理控制台。 2、 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理界面。 3、在节点列表的“操作”列，单击“开启防护”，为需要开启防护的节点开启防护。 4、 单击“确定”，开启节点防护，节点的“防护状态”为“已开启”，说明该节点已开启防护。 说明 一个企业主机安全配额防护一个集群节点。

变量 说明 <instanceip> 请替换为实例的IP地址。 说明 如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例的“连接管理”页面查看。 如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例的“连接管理”页面查看。 <instanceport> 请替换为实例的数据库端口，默认为3306。 说明 您可以在该实例的“连接管理”页面查看。 <databasename> 请替换为连接实例使用的数据库名，默认为mysql。

变量 说明 <instanceip> 请替换为实例的IP地址。 说明 如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例的“连接管理”页面查看。 如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例的“连接管理”页面查看。 <instanceport> 请替换为实例的数据库端口，默认为3306。 说明 您可以在该实例的“连接管理”页面查看。 <databasename> 请替换为连接实例使用的数据库名，默认为mysql。

本文将为您介绍什么是财务管理。 什么是财务管理 财务管理，是指企业主账号通过为旗下不同组织创建或关联子账号形成主子账号体系，以主账号为核心，实现对子账号订单、账单、发票、资金的统一查看与集中管理，以此实现业务数据透明化与资金安全可控的集中管理模式。 产品优势 管理效率提升 通过财务管理，实现企业下多账号的账、票、订单统一管理。 可实现资金统一管控 可通过财务托管模式或财务独立模式下的资金拨款方式，实现企业主账号统一管控资金。 访问方式 天翼云目前通过企业中心实现多账号的财务统一管理。 访问路径：登录账号中心企业中心财务管理

场景描述 在进行消息发送与接收验证的过程中，我们需要确保RocketMQ的生产者能够将消息成功发送到指定的Topic，同时消费者能够接收到这些消息。通过验证，可以确认生产者发送的消息能够准确无误地到达消费者，这是消息队列最基本也是最重要的功能要求。在开发和测试阶段，通过消息发送与接收验证可以及时发现并修复可能存在的问题，避免在实际应用中出现故障。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入Topic管理菜单，点击【拨测】按钮，进行生产消费的拨测验证，验证开通的消息实例和Topic。 1）生产测试拨测： 选择消息类型，默认普通消息。 填写需要产生的测试消息数量，以及每条消息的大小，默认每条消息1KB，建议不超过4MB(4096KB)。 选择已建的消息Topic，若无选项，请新增Topic，详见上文创建Topic和订阅组。 点击【测试】按钮，按照已填写规格及数量产生测试消息数据，展示消息数据的信息，包括消息ID(messageID)、发送状态、主题名（topic名）、Broker名、队列ID。 拨测功能涉及消息发送状态码，以下是RocketMQ消息发送状态码及其说明： ✧ SENDOK（发送成功）：表示消息成功发送到了消息服务器。 ✧ FLUSHDISKTIMEOUT（刷新磁盘超时）：表示消息已经成功发送到消息服务器，但是刷新到磁盘上超时。这可能会导致消息服务器在宕机后，尚未持久化到磁盘上的数据丢失。 ✧ FLUSHSLAVETIMEOUT（刷新从服务器超时）：表示消息已经成功发送到消息服务器，但是刷新到从服务器上超时。这可能会导致主从同步不一致。 ✧ SLAVENOTAVAILABLE（从服务器不可用）：表示消息已经成功发送到消息服务器，但是从服务器不可用。这可能是由于网络故障或从服务器宕机引起的。 ✧ UNKNOWNERROR（未知错误）：表示发送消息时遇到了未知的错误。一般情况下建议重试发送消息。 ✧ MESSAGESIZEEXCEEDED（消息大小超过限制）：表示消息的大小超过了消息服务器的限制。需要检查消息的大小是否合适。 ✧ PRODUCETHROTTLE（消息生产被限流）：表示消息生产者的频率超出了消息服务器的限制。这可能是由于消息发送频率过高引起的。 ✧ SERVICENOTAVAILABLE（服务不可用）：表示消息服务器不可用。这可能是由于网络故障或者消息服务器宕机引起的。 请注意，以上状态码仅适用于RocketMQ消息发送阶段，并且并不代表消息是否成功被消费者接收。同时，这些状态码也可能因版本变化而有所不同，建议查阅官方文档获取最新信息。 2）消费测试拨测： 选择消息顺序，下拉选择无序/有序，默认选项为无序。 RocketMQ是一种开源的分布式消息中间件，它支持有序消息和无序消息。 ✧ 有序消息是指消息的消费顺序与发送顺序完全一致。在某些业务场景下，消息的处理需要保证顺序性，例如订单的处理或者任务的执行。RocketMQ提供了有序消息的支持，通过指定消息的顺序属性或使用消息队列的分区机制，可以确保消息按照指定的顺序进行消费。 ✧ 无序消息则是指消息的消费顺序与发送顺序无关。无序消息的特点是高吞吐量和低延迟，适用于一些不要求严格顺序的业务场景，如日志收集等。 在RocketMQ中，有序消息和无序消息的实现方式略有不同。有序消息需要借助MessageQueue的分区机制和消费者端的顺序消息消费来实现。而无序消息则是通过消息的发送和接收的并发处理来实现的。 总的来说，RocketMQ既支持有序消息也支持无序消息，根据业务需求选择合适的消息类型来满足业务的要求。 选择消费方式，目前仅提供pull方式。值得注意的是，RocketMQ还提供了推送（push）方式的消费模式，其中消息队列服务器会主动将消息推送给消费者。但在当前仅限于pull方式的消费模式。 填写消费数量。 下拉选择选择已建的消息主题和订阅组，若无选项，请新增主题和订阅组，详见上文创建主题和订阅组。 点击【测试】按钮，按照已填写规格及数量产生消费数据，展示消息数据的信息，包括消息ID(messageID)、主题名称（topicName）、生成时间、存储时间、队列ID、消费状态。 拨测功能涉及消息消费状态码，RocketMQ消费状态码是指在消息消费过程中，对消费结果进行标识的状态码。以下是常见的RocketMQ消费状态码： ✧ CONSUMESUCCESS（消费成功）：表示消息成功被消费。 ✧ RECONSUMELATER（稍后重试）：表示消费失败，需要稍后再次进行消费。 ✧ CONSUMEFAILURE（消费失败）：表示消息消费出现异常或失败。 ✧ SLAVENOTAVAILABLE（从节点不可用）：表示消费者无法访问从节点来消费消息。 ✧ NOMATCHEDMESSAGE（无匹配的消息）：表示当前没有匹配的消息需要消费。 ✧ OFFSETILLEGAL（偏移量非法）：表示消费的偏移量参数不合法。 ✧ BROKERTIMEOUT（Broker超时）：表示由于Broker超时导致消费失败。

本节介绍了镜像拉取凭证的用户指南。 创建镜像拉取凭证 ⽅式1：通过界⾯创建镜像拉取凭证 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页 2、在集群列表中点击需要创建拉取的集群，进入集群管理页面 3、在集群管理页面导航栏中选择配置管理 > 镜像拉取，进入镜像拉取信息页面 4、点击新建，进⼊新建镜像拉取页面 5、根据实际需求，设置参数。参数说明可参考下表： 参数 参数说明 名称 新建的镜像拉取凭证名称，同⼀个命名空间⾥命名必须唯⼀。 仓库域名 需要使⽤凭证认证的仓库域名。 ⽤户名 仓库认证⽤户名。 邮箱 仓库认证邮箱。 密码 仓库认证密码。 6、点击提交，完成创建。 方式2：使用Yaml创建镜像拉取凭证 1、登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页 2、在集群列表中点击需要创建镜像拉取凭证的集群，进入集群管理页面 3、在集群管理页面导航栏中选择配置管理 > 镜像拉取凭证，进入镜像拉取凭证信息页面 4、点击新建YAML，进⼊镜像拉取凭证/新增Yaml页面 5、Yaml编辑窗口提供⼀个默认的Secret Yaml模板，可参考模板中kubernetes.io/dockerconfigjson类型的Secret创建需要的镜像拉取凭证

tracelocks (boolean) 如果开启，发出锁使用情况的信息。被转储信息中包括锁操作的类型、锁的类型和被锁或被解锁对象的唯一标识符。同样包括的还有已经授予这个对象的锁类型的位掩码和等待这个对象的锁类型的位掩码。对每一种锁类型，已授权锁和等待锁的计数也会被一起转储。 被转储结构的详细信息可以在src/include/storage/lock.h中找到。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 tracelwlocks (boolean) 如果开启，发出轻量级锁的使用信息。轻量级锁主要是为了提供对共享内存数据结构的互斥访问。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 traceuserlocks (boolean) 如果开启，发出关于用户锁使用的信息。与tracelocks的输出一样，但只用于咨询锁。只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 tracelockoidmin (integer) 如果设置，不会跟踪小于这个OID 的锁（用于避免在系统表上的输出）。只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 tracelocktable (integer) 无条件地跟踪此表（OID）上的锁。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 walconsistencychecking (string) 此参数旨在用于检查WAL重做例程中的错误。启用时，与WAL记录一起修改的任何缓冲区的全页图像都会添加到记录中。如果记录随后重播，则系统将首先应用每条记录，然后测试记录修改的缓冲区是否与存储的图像匹配。在某些情况下（如提示位），较小的变化是可以接受的，并且将被忽略。任何意想不到的差异都会导致致命的错误，终止恢复。 此设置的默认值是空字符串，它将禁用该功能。可以将它设置为all以检查所有记录，或者资源管理器的逗号分隔列表，以仅检查源自这些资源管理器的记录。目前，支持的资源管理器是 heap、heap2、btree、hash、gin、gist、sequence、spgist、brin和generic。只有超级用户可以更改此设置。

测试环境配置 测试脚本下载 LLMPerf由 Ray 项目团队开发，在github上开源，可直接下载。 plaintext git clone 工具核心功能： 性能评估 负载测试：LLMPerf可以对大语言模型（如Llama 2、GPT3等）的吞吐量和延迟性能进行测量。它通过负载测试来评估模型在不同负载下的响应延迟和生成吞吐量，帮助用户了解模型在实际应用中的性能表现。 准确性测试：该工具还可以进行正确性测试，衡量模型输出的准确性，确保模型在生成内容时能够保持较高的质量。 参数化测试 LLMPerf允许用户更改输入和输出大小等参数，以匹配不同的应用场景。这意味着用户可以根据自己的具体需求和工作负载，灵活地调整测试参数，从而获得更具针对性的性能评估结果。 结果分析 LLMPerf能够提供详细的性能指标分析，包括响应时间、吞吐量、准确性等，帮助用户深入了解模型的性能特点。 兼容性 LLMPerf支持主流的大语言模型，如OpenAI、Anthropic、TogetherAI等。这使得用户可以在一个统一的框架下对不同来源的模型进行性能比较和评估。 安装测试工具 plaintext git clone cd llmperf pip install e . 如下载速度较慢可以使用国内源进行加速 pip install e . i 配置环境变量 根据不同的API服务，需要设置不同的密钥信息和服务地址。例如对于OpenAi（vLLM类推理框架）： plaintext export OPENAIAPIKEY"your apikey" export OPENAIAPIBASE" 3.

本节主要介绍边边网络的组成、产品优势、应用场景和使用限制。 针对处于相同或者不同边缘云地域下的多VPC之间内网互通场景，边边网络EEN(Edge to Edge Network)提供多VPC内网互通服务，其可以快速构建安全、稳定、灵活的边边互通网络。 边边网络提供路由控制功能，当VPC加入边边网络实例时，系统会自动将VPC下所有子网的路由自动添加到边边网络实例的路由表，添加后路由默认不开启，需手动开启；当VPC和边边网络实例解除关联后，对应的路由会自动删除。若关联的多个VPC下的子网CIDR有重叠冲突或者包含冲突时，当两个子网路由均需开启时，后开启的路由将因冲突不能开启。 应用场景 同地域多VPC内网互通组网 针对ECX同一地域下的两个以上的VPC之间内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式可以代替传统的VPC对等连接功能，简化多VPC之间内网互通的网络结构和配置，同时还保留后续跨边缘云地域的内网组网能力。 跨地域多VPC内网互通组网 针对ECX边缘云不同地域下的多个VPC之间的内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式代替传统的VPN和专线方案快速实现跨边缘云地域多VPC内网组网，可以简化配置和成本，同时提供安全、优质、稳定的网络质量。 同一边边网络实例可以同时支持ECX边缘云同地域多VPC内网互通和跨地域多VPC内网互通需求。

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：

CSRF防护的方式 验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持CSRF防护功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CSRF防护】详细设置页。

过滤类型 过滤规则配置方式 文件 1.精确地指定“过滤路径”到对应的文件级别。2. 系统会自动选择“文件”单选按钮作为过滤类型。3. 单击“确定”按钮，即可成功添加该文件的过滤规则。注意：该规则会将此文件过滤，务必谨慎操作。 目录 1. 精确指定“过滤路径”到对应的目录级别。2. 手动选择“目录”单选按钮作为过滤类型。3. 在保留项配置中，选择保留目录下的文件、目录以及目录树。4. 单击“确定”按钮，完成目录过滤规则的添加。注意：该规则会默认对该目录下除保留项外的所有文件和目录进行过滤，务必谨慎操作。 正则 1. 精确指定“过滤路径”到对应的目录级别。2. 手动选择“正则”单选按钮作为过滤类型。3. 在递归选项中，选择是否将规则重复调用应用于该目录下的子目录。4. 单击“添加”按钮，添加正则规则，支持根据需要添加多条表达式。5. 单击“确定”按钮，完成正则过滤规则的添加。注意：该规则会默认对该目录下所有匹配正则表达式的文件和目录进行过滤，务必谨慎操作。 通配符 1. 精确指定“过滤路径”到对应的目录级别。2. 手动选择“通配符”单选按钮作为过滤类型。3. 在递归选项中，选择是否将规则重复调用应用于该目录下的子目录。4. 单击“添加”按钮，添加通配符规则，支持根据需要添加多条表达式。5. 单击“确定”按钮，完成通配符过滤规则的添加。注意：该规则会默认对该目录下所有匹配通配符表达式的文件和目录进行过滤，务必谨慎操作。

本文介绍了客户支持计划重保支持的适用场景。 重保支持是针对客户在重要活动或事件期间对其关键业务提供短期的重保服务。 一级重保服务： 适用于客户业务系统具有实时要求高、业务连续性高或有明显业务高峰期的应用场景。重保服务期间故障响应及处理标准按最高级别处理，一级重保期间停止业务所使用资源的所有变更，同时停止资源池可能影响业务系统的一切割接操作（包括自动和手动）。考虑到一级重保影响范围广且实施所需资源多，客户至少提前14天提交重保申请，一个重保周期原则上最长不超过3天。 二级重保服务： 适用于客户业务系统实时性和业务连续性要求较高的应用场景。重保服务期间故障响应及处理标准提高一个级别，重保期间停止业务所使用资源的手工变更（故障修复除外），同时停止资源池可能影响业务系统的手动割接操作。考虑到二级重保影响范围较广且实施所需资源较多，客户至少7天提交申请，一个重保周期原则上最长不超过5天。 三级重保服务： 提供基本资源池级保障，并按客户要求提供保障服务。考虑到三级重保影响及所需资源，客户至少提前5天申请重保服务，一个重保周期原则上最长不超过10天。 支持计划级别 服务权益说明 :: 轻量级 最多1次三级重保 商业级 最多4次三级重保 企业级 最多4次重保，包含限定次数的一级、二级或三级重保

可能影响 同步复制备机异常或延迟，导致DDL、DML、COMMIT语句等待处理等待状态。 解决步骤 1. 检查同步复制备机状态，尝试修复； 2. 如果不能快速修复，在与业务侧沟通取得确认后，可暂时将同步复制模式更为异步复制； > 修改为异步方法参考：修改主节点配置文件postgresql.conf.user 中以下参数： synchronouscommit local synchronousstandbynames'' > 配置文件修改完成后，执行select pgreloadconf();重新加载配置； 3. 修复同步复制备机，恢复同步复制模式。 SQL语句执行慢的问题 问题描述 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果，但未找到阻塞的会话，也没有同步事务阻塞，正常执行中，仅是执行慢。 可能因统计信息不准确而生成了差的执行计划，执行时间太长。 可能影响 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果，导致相应业务受影响。 解决方案 1. 手动执行explain SQL查看执行计划，确认执行计划是否符合预期； 2. 有条件的情况，可以执行explain (analyze,verbose,buffers) SQL查看实际执行计划，找到具体慢的位置，并进行相应优化； 3. 对于应用调用SQL使用绑定变量的情况，需要核实传入的变量类型与字段类型是否匹配，是否有隐式类型转换导致分布键、索引失效； 4. 是否有truncate+insert等大批量数据变更，导致统计信息不准确；可以尝试手动收集该表的统计信息，然后再执行SQL语句； 5. 借助一些插件，观察应用调用的SQL语句执行过程中的执行计划，验证执行计划是否是符合预期的。

说明：本章节会介绍如何购买相同配置的数据库实例 操作场景 关系型数据库服务支持用户快速创建相同配置的数据库实例。 创建相同配置实例没有次数限制。 只读实例不能执行创建相同配置的操作。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 创建相同配置”。 5. 在“购买相同配置”页面，各项配置默认和原实例信息相同，您可根据业务需要进行修改，填选完毕后，单击“立即创建”。 MySQL实例配置相关信息，请参见创建实例。 6. 确认订单。 对于按需实例，确认无误，单击“提交”，完成创建RDS实例。 对于包年/包月实例，确认无误，单击“去支付”，进入“付款”页面。 7. 稍后刷新实例列表，查看创建结果。如果实例状态为“正常”，说明实例创建成功。 8. 创建成功后，用户可以在“实例管理”页面对其进行查看和管理。

本节介绍服务器安全卫士（原生版）配额管理操作指南。 在配额管理页面，可以查看并管理服务器安全卫士（原生版）主机防护的配额。 查看配额统计情况 配额使用统计：展示配额状态为“正常”的配额的使用情况，分使用中和未绑定2种情况。 配额状态统计：包括正常、已过期和已退订3种情况。 配额版本统计：展示已购买的企业版和旗舰版配额数量。 查看配额列表 页面下方是订购配额的详细列表，展示了配额ID、配额规格、配额状态、使用状态、绑定服务器、配额开通时间、配额到期时间。 该列表可以根据配额状态、使用状态、配额版本、配额ID、服务器名称和服务器IP进行查询。