本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察业务应用响应是否变慢，这可能是由于系统开始使用交换空间（Swap）所致。 检查系统日志，确认是否有OOM Killer相关的日志输出，以及哪个进程被“杀死”。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察业务应用响应是否变慢，这可能是由于系统开始使用交换空间（Swap）所致。 检查系统日志，确认是否有OOM Killer相关的日志输出，以及哪个进程被“杀死”。

二、测试过程 2.1 环境变量配置 进入部署过程中启动的容器内，使用以下命令配置环境变量。 2.2 导入数据集 导入文本推理数据集：testdatagsm8k.jsonl 示例： {"question": " 你是中国电信星辰语义大模型，英文名是TeleChat，你是由中电信人工智能科技有限公司和中国电信人工智能研究院（TeleAI）研发的人工智能助手。n n你是一位擅长文本生成的智能助手，能够从多轮对话中理解上下文关系并提炼出用户的完整问题。请按照以下步骤处理用户的对话内容：nn1. 【识别上下文关系】：判断多轮对话问题之间是否存在关联。如果对话之间存在关联，则返回true，如果对话之间相互独立，则返回false。用【hasContext】来表示。n2. 【关联对话轮次】：将相互关联的对话轮次分组，并存储在列表中。每组应该包含相关的对话轮次。如果没有上下文关系，则直接返回空列表，用【mergeRound】来表示。n3. 【总结用户问题】：根据每组轮次的内容，概括总结出用户的完整问题。注意总结时仅关注该组的对话内容，尽量足够精简不要重复，用【contextAnswer】来表示。n4. 【构建JSON】：返回一个JSON字符串，格式如下：n {n "hasContext": "表示是否存在上下文关系", n "mergeRound": "表示需要合并的轮次",n "contextAnswer": "表示概括总结的完整问题"n }nn下面是 【河北省】 用户的多轮对话内容：n第1轮对话：我的宽带协议到期，8月1日。再续协议怎么办理？n第2轮对话：你查一下我用好多年了nn【输出结果】：n ", "answer": "{"hasContext": "true", "mergeRound": [[1, 2]], "contextAnswer": ["宽带到期怎么续约"]}"}

本文介绍如何使用云应用引擎，帮助您快速了解云应用引擎以及各方面的实践教程。 云应用引擎使用流程 1. 在首次在云应用引擎部署应用前，需要完成快速入门准备工作中的内容。 2. 在云应用引擎控制台创建应用。 3. 在应用基本信息界面配置基础信息和容量设置。 4. 在高级设置页面可以配置高阶的k8s功能。 5. 应用启动成功后，能够在应用详情界面为应用绑定ELB，生成公网或私网访问IP。 6. 为应用启用更多进阶功能。 例如，微服务治理、持久化日志、应用监控等功能。

本小节介绍如何新增用户账号、资产和资产账号。 在使用云堡垒机进行系统管理和运维前，管理人员需要在云堡垒机系统中创建系统用户，为用户分配不同系统角色。 根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。 新增用户账号 在使用云堡垒机进行运维前，系统管理员需要先创建系统用户，并为系统用户分配角色身份。不同的角色身份，拥有不同的菜单权限和操作权限。 操作步骤 1.管理员登录云堡垒机系统。 2.角色身份切换到“管理角色”。 3.在左侧导航栏，选择“用户管理 > 用户”，单击左上角的“新增”按钮。 4.填写账号基本信息，并选择角色身份，单击“确定”。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组相关操作请参见用户章节。 认证方式 填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。

云间高速(标准版)( EC, Express Connect Standard)是基于中国电信骨干网络打造的混合组网服务,为客户提供多元接入、高速传输、安全可靠的网络互联能力,助力企业实现云上云下、多地域、多网络的灵活弹性组网,构建具备企业级规模与通信品质的全球化云网络。

参数 描述 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库版本 云数据库GaussDB 目前支持3.103、2.7版本。 实例类型 “分布式版”：分布式形态能够支撑较大的数据量，且提供了横向扩展的能力，可以通过扩容的方式提高实例的数据容量和并发能力。“主备版”：适用于数据量较小，且长期来看数据不会大幅度增长，但是对数据的可靠性，以及业务的可用性有一定诉求的场景。 部署形态 独立部署：将数据库组件部署在不同节点上。适用于可靠性、稳定性要求较高，实例规模较大的场景。高可用（1主2备）：采用一主两备三节点的部署模式，包含一个分片。 事务一致性 仅分布式版形态有该参数。l 强一致性：应用更新数据时，用户都能查询到全部已经成功提交的数据，对性能有影响。l 最终一致性：应用更新数据时，用户查询到的数据可能不相同，有可能是更新后的值，也有可能是更新前的值，但经过一段时间后，查询到的数据是更新后的值，该种类型通常具有较高的性能。 切换策略 l 数据高可靠：对数据一致性要求高的系统推荐选择数据高可靠，在故障切换的时候优先保障数据一致性。l 业务高可用：对业务在线时间要求高的系统推荐使用业务高可用，在故障切换的时候优先保证数据库可用性。说明在业务高可用场景下需要谨慎修改如下数据库参数：l recoverytimetarget：不当修改该参数会导致实例频繁进行强制切换，请在技术人员指导下进行修改。l auditsystemobject：不当修改该参数会导致丢失DDL审计日志，请在技术人员指导下进行修改。 副本集数量 仅分布式部署形态可选。每个分片下1主多副本的部署方案，3副本就是1主2备的部署方式。 分片数量 仅分布式部署形态可选。一个分片指的是一组DN副本集，分片内的DN数量与“副本集数量”参数有关，例如副本集数量为3，则一个分片就包含一主两备三个DN节点。 协调节点数量 仅分布式部署形态可选。数据库中包含的协调节点（CN，Coordinator Node）数量，协调节点负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度在各分片上并行执行。须知CN数量必须小于或等于两倍的分片数。 可用区 可用区只支持部署在一个或者三个可用区。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择。

本文介绍如何使用云应用引擎，帮助您快速了解云应用引擎以及各方面的实践教程。 云应用引擎使用流程 1. 在首次在云应用引擎部署应用前，需要完成快速入门准备工作中的内容。 2. 在云应用引擎控制台创建应用。 3. 在应用基本信息界面配置基础信息和容量设置。 4. 在高级设置页面可以配置高阶的k8s功能。 5. 应用启动成功后，能够在应用详情界面为应用绑定ELB，生成公网或私网访问IP。 6. 为应用启用更多进阶功能。 例如，微服务治理、持久化日志、应用监控等功能。

介绍分布式消息服务RocketMQ的安全方案,包括支持TLS传输加密、权限控制、Topic资源访问权限控制等内容。 安全价值 RocketMQ的安全对用户有以下几个重要价值： 1. 保护数据安全：RocketMQ的安全机制可以保护消息的机密性和完整性，防止敏感数据泄露或被篡改。这对于处理包含个人信息、商业机密等敏感数据的应用程序非常重要。 2. 防止未经授权的访问：RocketMQ的访问控制功能可以限制对消息队列的访问权限，只有具有相应权限的用户才能发送和消费消息。这可以防止未经授权的用户访问和操作消息队列，保护系统的安全性。 3. 合规性要求：对于一些行业和法规要求较高的场景，如金融、医疗等，RocketMQ的安全特性可以帮助用户满足合规性要求，确保数据的安全和合规性。 4. 提供安全审计功能：RocketMQ的安全审计功能可以记录和追踪对消息队列的操作，包括发送、消费、订阅等。这可以帮助用户监控和检测潜在的安全风险，及时发现和应对安全事件。 5. 增强用户信任：通过提供安全性能和功能，RocketMQ可以增强用户对系统的信任感。用户可以放心地使用RocketMQ来处理重要的消息传输和处理任务，而不必担心数据的安全问题。 综上所述，RocketMQ的安全性对用户来说具有重要的价值，可以保护数据安全，防止未经授权的访问，满足合规性要求，提供安全审计功能，并增强用户对系统的信任感。

配额项目 配额说明 每个虚拟私有云支持同时接入的企业路由器数量 不支持修改 每个企业路由器支持创建的路由表数量 不支持修改 每个企业路由器支持的最大路由数量 不支持修改 每个租户支持创建的流日志最大数量 不支持修改

12 隐私权保护 天翼云不收集客户在TeleDB数据库中存储的信息。为了更好地改进产品和服务，用户同意天翼云代理可以收集、维护、处理和使用客户在使用本产品过程中产生的诊断性、技术性、使用及相关信息， 包括但不限于定期搜集系统日志、独特的系统或硬件识别码（“诊断信息”）。为便于本公司和第三方开发商改善其设计配合本产品使用的产品、硬件和服务，本公司并可向任何此类伙伴或第三方开发商提供与该伙伴或第三方开发商的产品、硬件和/或服务有关的诊断信息子集。如根据有关法律法规的规定导致天翼云不得再按照上述方式处理诊断信息，天翼云将按照有关法律法规的规定变更数据处理方式，并将通过满足法律法规的要求且在商业上合理的方式通知您，并获得您的同意。 13 免责与责任限制 1. 本产品经过详细的测试，但不能保证与提供的技术清单外的，所有的软硬件系统完全兼容，不能保证本产品完全没有错误。 2. 使用本产品风险由用户自行承担，在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的数据丢失、个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，本公司不承担任何责任。 3. 对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生损失，本公司不承担任何责任。 4. 用户违反本协议规定，对本公司造成损害的。本公司有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。 5. 对于从非本公司指定站点下载的本产品以及从非本公司发行的介质上获得的本产品，本公司无法保证该产品是否感染计算机病毒、是否隐藏有伪装的木马程序或者黑客产品，使用此类产品，将可能导致不可预测的风险，建议用户不要轻易下载、安装、使用，本公司不承担任何由此产生的任何法律责任。 6. 本《协议》所述明示担保，为担保的全部内容。在适用法律所允许的最大范围内，天翼云及其供应商提供的本“产品”和支持服务（如有）均为按现状及包含所有瑕疵状况下提供，不允诺其它不论是明示的、暗示的还是法定的任何保证和担保：包括但不限于本“产品”对特殊应用目的适销性或适应性，反应的精确性，结果的完整性，不含病毒及疏忽，针对本“产品”提供或不提供支持服务。

本章节为您介绍堡垒机应用资产相关内容 在一台支持远程桌面的Windows系统服务器上部署浏览器应用（Web应用），通过云堡垒机的应用发布功能，将浏览器应用纳入云堡垒机进行管理。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 Windows应用服务器仅支持2016版本。 添加应用发布前，需已添加应用服务器。 添加应用服务器 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3.单击“新增”按钮，弹出“新增应用服务器”对话框，并填写相关内容。 参数 填写说明 服务器名称 自定义服务器名称，在同一堡垒机内应用服务器名称不得重复。 服务器类型 选择服务器类型，当前版本仅支持Windows。 服务器IP地址 填写访问应用的服务器真实IP地址或域名。 端口 填写访问应用发布服务器的端口，Windows服务器默认为5901。 服务器描述 填写应用服务器的简要描述。 服务器账户 填写访问应用的服务器账户。 密码 填写访问应用的服务器账户的密码。 app类型和路径 填写限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 注意 路径中请勿输入Administrator，否则程序可能无法启动。 4.填写完成后，单击“提交”即可完成新增应用服务器。

此小节介绍登录系统故障。 登录云堡垒机系统异常怎么办？ 问题现象 IP地址无法连接，网页打不开，不能通过互联网页面正常登录。 登录系统后界面异常无法显示。 登录系统提示授权未生效。 AD域认证的用户登录失败。 堡垒机不能正常登录，公网地址也不能访问。 可能原因 原因一：系统磁盘空间满了，磁盘空间使用率过高。 原因二：系统软件版本未更新，存在磁盘空间被占用，未被释放可能。 原因三：用户登录使用浏览器或浏览器版本，与系统不兼容。 原因四：实例配置安全组不合理。 原因五：实例配置VPC内，网络ACL规则配置不合理，或登录IP被网络ACL限制。 原因六：配置AD域认证时，未禁用SSL加密认证。 原因七：堡垒机版本较低。 解决办法 原因一： 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”，保证磁盘有足够空间。 对云堡垒机实例进行规格变更，满足大容量磁盘需求。 建议配置系统性能的磁盘空间使用率告警通知，当磁盘空间使用率超过设定阈值时，提示系统消息告警。 原因二： 在云堡垒机管理控制台“重启”云堡垒机实例，检查故障是否解决。若不能解决，需“升级”云堡垒机到最新版本，并根据实际需求进行规格变更。 原因三： 更换浏览器或升级浏览器版本，Web登录推荐使用浏览器及版本。 原因四： 若因安全组配置不合理导致异常，请先排查安全组规则，并根据CBH建议安全组规则，配置安全组规则，再重新登录云堡垒机系统。 原因五： 若因网络ACL配置不合理导致异常，请先排查网络ACL规则，并参考CBH安全组规则放开出/入方向端口，再重新登录云堡垒机系统。 若因云堡垒机登录IP被网络ACL限制，请先排查网络ACL规则，并重新配置ACL规则，添加云堡垒机公网IP（即弹性IP）为允许。 说明 浏览器登录云堡垒机需放开入方向TCP协议22333端口，SSH客户端登录云堡垒机需放开入方向TCP协议2222端口。 原因六： 系统管理员admin登录云堡垒机系统，重新配置AD域认证，取消SSL加密认证。 检查用户登录IP地址和MAC地址是否被加入用户访问限制，请参见用户登录限制。 检查访问控制策略是否限制了用户IP地址，请参见访问控制限制。 如果通过上述排查，仍然无法登录云堡垒机系统，请单击管理控制台右上方的“工单”，填写工单反馈问题现象，联系技术支持。

本章节内容主要介绍数据库存储 文档数据库服务存储的存储配置是什么 文档数据库服务存储采用云硬盘，具体情况请参考《云硬盘用户指南》。 文档数据库服务的备份数据存储采用对象存储服务，不占用用户购买的数据库空间。关于文档数据库实例存储的硬件配置，请参见《对象存储服务用户指南》。 数据超过了文档数据库实例的最大存储容量怎么办 如果您的应用程序所需的存储容量超过最大分配量，解决措施如下： 扩容存储空间。 社区版集群实例增加shard节点。 哪些内容会占用购买的文档数据库实例空间 以下内容占用购买的文档数据库实例空间： 除备份数据以外的用户正常的数据。 文档数据库实例正常运行所需的数据，比如系统数据库、数据库回滚日志、索引等。 文档数据库服务产生的日志输出文件，这些文件会保证文档数据库实例正常稳定地运行。比如oplog文件，默认占磁盘空间的10%，且不可修改oplog大小。 申请的文档数据库实例磁盘空间会有哪些系统开销 您申请的磁盘空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。

本节介绍云安全中心配置类常见问题。 为什么要进行数据接入？ 云安全中心（CTCSC，Cloud Security Center，简称CSC）作为用户侧的安全中心，其核心数据来源是用户的各种安全设备。 云安全中心数据接入要如何配置？ 打开云安全中心的“设置 > 集成配置”，在集成配置页面选择需要接入的日志类型即可。 云安全中心告警需要如何配置？ 1. 打开云安全中心的“设置 > 集成配置”，在集成配置页面选择需要接入的日志类型。 2. 部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 同时云安全中心还支持自定义转告警配置，即通过云安全中心的“威胁运营 > 威胁检测 > 威胁建模”功能实现自定义告警配置。

说明云电竞服务控制台的可用功能及使用方法。 控制台说明 云电竞租户控制台的功能包括数据概览、实例管理、客户端管理、订单查询。 查询业务用量 1.登录云电竞租户控制台。 2.默认进入数据概览页面，页面内默认展示今日实时数据，数据内容包括该账号下的正在使用中实例数量、剩余可用实例数量、按需使用中的实例数量，今日按需服务已使用时长。 3.数据概览页面同时还支持查询资源使用趋势，可修改时间查询周期如 20240122:00:00至20240222:00:00 及数据统计颗粒度如五分钟、半小时、一小时，从而变更趋势图所展示的数据范围及数据精度。 管理实例资源 1.登录云电竞租户控制台。 2.单击【实例管理】，进入实例管理页面。 3.页面展示该账号下当前正在使用中的实例信息，包括实例 ID、集群、调度状态、连接时间、连接的客户端名称。 4.对使用中资源可执行的操作为踢出，单击后将断开当前实例的串流。 管理已注册客户端终端 1.登录云电竞租户控制台。 2.单击【客户端管理】，进入客户端管理页面。 3.页面展示客户端归属集群、客户端名称及 id、区域、调度状态、最近一次连接时间、最近一次登出时间、最近一次连接的虚机 ID。 4.对于调度状态处于串流中的客户端，可单击踢出，停止该台客户端的串流。 5.对于调度状态处于串流中的客户端，可单击下载日志，下载该台客户端的使用日志。 6.对于所有调度状态的客户端，均可单击停用操作，使该台客户端无法再次发起串流，如操作时该台客户端正处于串流中，将直接踢出。 7.对于已被停用的客户端，可单击恢复操作，恢复客户端的串流许可。 8.单击页面右上角【 下载客户端 】按钮，可下载云电竞客户端软件Esports。

关联模式/账号渠道 天翼云公司 天翼云省分公司 电信省公司 线上预付费账号 线下后付费账号 线上预付费账号 线下后付费账号 线上预付费账号 线下后付费账号 创建子账号 财务独立模式 支持 支持（需客户经理完成申请） 支持 支持（需客户经理完成申请） 不支持 不支持 创建子账号 财务托管模式 支持 支持（需客户经理完成申请） 支持 支持（需客户经理完成申请） 不支持 不支持 邀请子账号 （跨渠道账号之间不能邀请） 财务独立模式 支持 支持 支持 支持 支持 支持 邀请子账号 （跨渠道账号之间不能邀请） 财务托管模式 不支持 不支持 不支持 不支持 不支持 不支持

6. Hive导入数据不一致 您可以采取以下方法来排查问题： 1. 检查数据源：重新确认Hive中数据行数的正确性。确保源数据的行数是准确的，以避免源数据本身的错误导致导入后的不一致。 2. 检查数据转换和过滤：在数据导入过程中，检查是否进行了数据转换和过滤操作。确保转换和过滤操作的逻辑正确，不会导致数据丢失或行数不一致的情况。 3. 检查表引擎和去重策略：确认在云数据库ClickHouse中使用的表引擎是否支持去重，例如使用ReplacingMergeTree引擎。某些引擎可能会导致云数据库ClickHouse中的行数小于Hive中的行数。 4. 检查日志和报错信息：查看系统表querylog，检查导入过程中是否有报错信息。报错可能会导致数据丢失或不一致的情况。 通过以上排查方法，您可以逐步确定数据导入过程中的问题，并进行相应的修复和调整。 7. Kafka导入数据不一致 Kafka导入数据到云数据库ClickHouse时，可能会出现数据行数不一致的情况。以下是一些可能的原因和解决方案： 1. 数据消费延迟：Kafka是一个实时数据流平台，数据的消费可能会有一定的延迟。在数据从Kafka写入云数据库ClickHouse的过程中，如果存在数据消费的延迟，那么云数据库ClickHouse中的数据行数可能会与Kafka中的数据行数不一致。解决方法是等待数据消费完全完成，并确保Kafka中的所有数据都被写入ClickHouse。 2. 检查表引擎和去重策略：确认在云数据库ClickHouse中使用的表引擎是否支持去重，例如使用ReplacingMergeTree引擎。某些引擎可能会导致云数据库ClickHouse中的行数小于Hive中的行数。 3. 数据过滤和转换：在将数据从Kafka导入云数据库ClickHouse之前，可能会进行数据过滤和转换操作。这些操作可能会导致数据行数的变化。确保数据过滤和转换的逻辑正确，并检查是否存在数据丢失或数据转换错误的情况。 4. 异常情况处理：在数据导入过程中，可能会出现异常情况，如网络故障、服务中断等。这些异常情况可能导致数据丢失或数据写入不完整。在处理异常情况时，可以通过监控和日志来追踪并解决问题。

导航拓展功能模块下【封禁管理】仅在您同域名同时开通Web应用防火墙（边缘云版）时可以使用。 从风险日志中操作封禁成功后，会在封禁管理生成对应封禁记录，同时会进行联动Web应用防火墙（边缘云版）威胁管控下发封禁任务。您可以在封禁管理内操作解封和重新封禁。 封禁管理页面： 封禁管理列表详情：

本页简要介绍分布式数据库V5.1.0的版本更新说明。 V5.1.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 5.1 2023年08 月 说明 该版本适配的DCP版本为3.6.1S。 新增和优化功能： 1. 新增日志管理模块。 管控侧：新增错误日志管理、慢日志管理、高频SQL管理和审计日志管理。 内核侧：不涉及。 2. 支持创建定时任务JOB。 管控侧：不涉及。 内核侧：支持通过DBMSJOB创建定时任务。 3. 支持逻辑备份恢复，包括多介质备份和恢复到不同实例。 管控侧：新增介质支持，新增恢复到不同实例功能。 内核侧：不涉及。 4. 支持闪回查询和闪回恢复。 管控侧：不涉及。 内核侧：支持一定时间内旧版本表数据的查询和支持表的恢复，应对误删表的场景。 5. 管控侧对接DCP模块，包括微服务接入和统一鉴权。通过微服务接入，用户管理、VIP管理、实例开通、扩容、注销等功能依赖的底层资源管理均交由DCP分配，控制台保留其实例管理功能和一系列高可用能力，作为DCP微服务体系一部分保障用户实例正常运行。 6. 监控告警信息由管控接入到DCP，包括支持GTM监控能力、指标监控对接DCP和事件告警。 7. 管控侧支持OpenAPI能力。 8. 管控侧对接DCP Cgroup资源隔离能力。 9. 管控侧支持开启索引优化建议定时任务，并查看慢SQL日志列表中对于SQL优化的建议。 10. 支持实例管理，包括实例开通时提供多个不同的blocksize编译包、实例开通时支持配置SSL协议和initdb的时候去设置是否要开启checksum校验。 11. 新增Analyze信息CN同步模块，包括数据计算模块、数据转换模块和数据加载模块。 12. 支持XML类型、支持包Package的修改语法。 13. 内核侧支持通过虚拟索引构建和索引建议分析提升数据库性能。 14. 支持按照如下分布方式：HASH(column) ，MODULO(column) ，ROUNDROBIN，shard，replication 设置数据分布。 15. 物化视图定期刷新数据。 16. 支持拓展MySQL和Oracle外表。 17. 支持madlib适配，扩展机器学习能力。 18. 支持全密态功能。 内核测：支持全密文，包括密文检索和计算。实现数据离开客户端时，在用户侧对数据进行加密，数据以加密形态存储在数据库服务器中，且不影响服务端的检索与计算，当数据返回至客户端时，可自动对数据进行解密，用户对加解密过程无感知。 管控侧：不涉及。 修复漏洞 无。 修复缺陷 1. 将oracle语法兼容的concat和concatws函数从stable改成immutable。 2. 安全用户提示需要修改为mls。 3. 编译配置增加withgmssl选项。 4. 超级用户无法触发慢查询SQL。 5. 创建物化视图使用using method。 6. 大量DROP、TRUNCATE操作从库回放慢导致的CPU飙升。 7. 单独编译插件teledbxoraclepackagefunction报错。 8. 当协调者分析表时，sample的时候采用目标行数需要除以n节点数。 9. 分区表创建include关键字索引报错。 10. 减小backend进程内存使用。 11. 将系统函数updateanalyzecn改成了pgupdateanalyzecn函数。 12. 解决会话处于pgxcnodereceive时无法响应cancel request的问题。 13. 解决arm环境旧版本gmssl在teledb的编译问题。 14. 解决gmssl在x86机器上编译问题。 15. 连续空字符串扩展查询commandTag为NULL coredump修复。 16. 慢SQL查询内核获取的SQL语句为空。 17. 启用“pgqualstats”插件时，在从分区表删除数据时会导致coredump。 18. 删除冗余的XLOGBTREESPLITLROOT和XLOGBTREESPLITRROOT两种xlog类型。 19. 删除EMA代码。 20. 实现alter package语法。 21. 视图增加无效优化SQL 记录。 22. 缩小使用的缓存内存，移除SMgrRelationData 中的 smgrshardtargblocks。 23. 索引支持include关键字特性。 24. 添加telesql，Makefile中添加telesql软连接(install/clean)。 25. 增加自动化DDS死锁检测算法。 26. 增加analyze同步功能。 27. 修改telesql引发make报warning的问题。 28. 修改源码以支持make world和make installworld通过。 29. 修复plpgsql 变量名定义逻辑。 30. 修复pgvisibility回归测例。 31. 修复pgunlock插件存在的编译警告。 32. 修复pgstatstatements插件bugs，创建报错。 33. 修复pgsqueeze如果没有加入sharedpreloadlibarairies参数，执行返回。 34. 修复pgdirtyread插件的Makefile文件以及make check测例。 35. 修复filefdw插件产生coredump问题。 36. 修复auditadmin只能在pghba.conf中设置trust才能使用。 37. 修复在pgxcctl.conf中关于pghba.conf采用scramsha256产生coredump。

LTS支持对日志流中的日志数据进行关键词统计，通过设置告警规则，监控日志中的关键词，通过在一定时间段内，统计日志中关键字出现的次数，实时监控服务运行状态。目前每个账号最多可以创建关键词告警共200个。 说明 当前仅在广东广州4，江苏苏州，湖南长沙2，北京北京2，华北华北，陕西西安2支持告警能力。 前提条件 已创建日志组、日志流。 创建告警规则 1. 在云日志服务管理控制台，单击“告警”。 2. 在告警页面默认显示“告警列表”，单击“告警规则”切换至告警规则页面。 3. 单击“创建”，在界面右侧弹出“新建告警规则”页面。 4. 在“新建告警规则”页面，配置告警规则相关参数。 表 1 告警条件填写说明 参数类别 参数名称 参数说明 基本信息 规则名称 告警规则的名称。 名称只支持输入英文、数字、中文、中划线、下划线及小数点，且不能以小数点、下划线开头或以小数点结尾。 长度为 164个字符。告警创建完成后，支持修改规则名称，修改完成后，鼠标悬浮在规则名称上，显示修改后的规则名称和原始名称，不支持修改首次创建的原始名称。 基本信息 描述 对该规则进行简要描述。长度不能超过64个字符。 统计分析 统计类型 关键词统计：适用于使用关键词搜索配置日志告警的场景。 统计分析 查询条件 日志组名称：选择已创建的日志组。 统计分析 查询条件 日志流名称：选择已创建的日志流。当日志组下有多个日志流时，支持选择多个日志流，即可批量创建关键词告警。 统计分析 查询条件 查询时间：指定语句的查询周期。查询语句的时间范围：从当前时间往前推一个周期。 例如： 查询时间设置为1小时，当前时间为9:00，则查询语句的时间范围为8:009:00。 如果查询时间单位为分钟，则取值范围是160； 如果查询时间单位为小时，则取值范围是124。 统计分析 查询条件 关键词：LTS会根据设置的关键词对日志流中的日志进行监控。 关键词支持精确匹配和模糊匹配，区分大小写，输入长度不超过1024个字符。 统计分析 检测规则 配置触发条件，即满足该条件时，会触发告警。 匹配条数：当关键词搜索结果的日志条数达到设定的条数时，会触发告警。 支持大于（>）、大于等于（>）、小于（ 日志流>原始日志 页面中单击右上角的，选择“告警规则”页签，可创建告警规则。 说明 告警规则创建完成后，告警状态默认显示“已开启”。关闭告警规则后，告警状态显示“已关闭”，临时关闭告警后，告警状态显示“临时关闭到2023/05/30 16:21:24.000 GMT+08:00”。（临时关闭的时间仅供参考，请以设置临时关闭告警的时间为准） 当开启告警规则且关联日志流满足告警规则时，会触发告警；当关闭告警规则时，即使有满足该告警规则的情况，也不会触发告警。

服务后缀 服务说明 zos dns msgc crs apm lts faas gts 全局事务：该服务由天翼云全局事务服务提供，全局事务服务是一款专为实现分布式环境下高性能事务一致性而设计的服务工具。它可以与MySQL、PostgreSQL等数据源，以及Spring Cloud、Dubbo等RPC框架和消息队列等中间件产品配合混合使用，以支持用户各种分布式数据库事务、多库事务、消息事务和服务链路级事务的组合需要 prome 应用性能监控：Prometheus监控为云上托管Prometheus服务，可为您的容器集群提供多种开箱即用的预置监控大盘与监控规则，实现免搭建的高效运维场景。 ags Agent沙箱：Agent 沙箱提供安全、弹性、可扩展的云端沙箱运行环境。在使用Agent沙箱产品时，通过连接该终端节点服务，可实现在内网调用沙箱服务。

关联产品 计费说明链接 微服务引擎微服务治理中心 云容器引擎 应用性能监控APM 云日志服务ALS 容器镜像服务 微服务引擎注册配置中心

事件总线EventBridge支持将天翼云官方事件作为事件源发布到事件总线，事件总线EventBridge作为统一的入口来处理、分发这些事件。本文介绍事件总线EventBridge支持的天翼云官方事件源对应的天翼云服务和云服务事件类型。 天翼云官方事件源列表 事件总线EventBridge支持的天翼云官方事件源列表如下： 对象存储 云日志服务

本文主要介绍云日志服务中如何创建通知组。 告警支持通过邮箱、翼连、WebHook集成等方式将告警信息通知给对应接收人，您可以在通知组管理中设置通知渠道与通知人信息。本文将介绍如何新增通知组。 功能入口 1. 登录云日志服务控制台。 2. 左侧导航栏点击通知组模块，进入通知组管理页面。 操作步骤 新增联系人 1. 点击【新建联系人】。 2. 输入姓名、手机号码、邮箱等相关信息。点击确定，完成新建联系人。 3. 您可将多个联系人添加到一个联系人组中。点击【新建联系人组】，输入联系人组名并在下方选择对应的联系人，点击确定按钮即可完成联系人组创建。 WebHook集成 1. 支持以WebHook的方式对第三方通知对象（企微、飞书、钉钉）发送告警信息。 2. 点击【新建Webhook】。 3. 输入通知组名称与webhook调用地址。您需要在各个Webhook通知渠道侧完成相关配置，并获取Webhook URL地址。 4. 渲染方式选择模板渲染，点击【选择模板自动填入】，选择对应的通知渠道。 5. 点击确定，完成创建。

此小节介绍云堡垒机用户管理。 云堡垒机系统具备集中管理用户功能，创建一个用户即创建一个云堡垒机系统的登录账号。系统管理员admin是系统默认用户，为系统第一个可登录用户，拥有系统最高操作权限，且无法删除和更改权限配置。 根据用户角色的不同，用户拥有不同的系统操作权限。 根据用户组的划分，可批量为同组用户授予资源运维的权限。 用户相关操作 约束限制 仅有“管理角色”权限的用户可以新建、编辑和删除用户。 新增单个用户操作步骤 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.单击“新增”，在弹出的“新增用户”对话框中，填写用户信息。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选以下角色 管理角色 审计角色 访问角色 工单管理角色（提供工单管理模块的权限） 说明 管理角色 和工单管理角色只支持二选一配置。 用户组 选择该账户所属的用户组，用户组操作请参见：用户组章节。 认证方式 选择认证方式，可选“静态认证”和“令牌认证”。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。 4.填写完成后，单击“确定”完成用户新增。

本文主要介绍如何创建IAM委托。 在使用OBS的部分特性时，需要使用IAM委托功能给OBS授予相关的权限，以委托OBS处理您的数据。 创建用于跨区域复制的委托 步骤 1 在OBS控制台“创建跨区域复制规则”对话框，单击“创建IAM委托”，进入“统一身份认证服务”控制台“委托”页面。 步骤 2 单击“创建委托”，进行委托创建。 步骤 3 输入“委托名称”。 步骤 4 “委托类型”选择“云服务”。 步骤 5 “云服务”选择“OBS”。 步骤 6 选择“持续时间”。 步骤 7 单击“下一步”。 步骤 8 选择“全局服务”，搜索并选择“OBS Administrator”权限。 步骤 9 单击“确定”，完成委托创建。 创建用于上传日志的委托 步骤 1 在“日志记录”对话框，单击“创建委托”，进入“统一身份认证服务”管理控制台“委托”页面。 步骤 2 单击“创建”，进行委托创建。 步骤 3 输入“委托名称”。 步骤 4 “委托类型”选择“云服务”。 步骤 5 “云服务”选择“OBS”。 步骤 6 选择“持续时间”。 步骤 7 单击“下一步”。 步骤 8 在作用范围区域选择“全局服务”。 步骤 9 在权限区域搜索并选择拥有日志存储桶上传权限的自定义策略，单击下方的“确定”完成委托创建。 自定义策略的作用范围选择“全局级服务”，策略配置方式选择“JSON视图”，策略内容如下： 说明 下方JSON中mybucketlogs需要替换为实际日志存储桶的桶名。 { "Version": "1.1", "Statement": [ { "Action": [ "obs:object:PutObject" ], "Resource": [ "OBS:::object:mybucketlogs/" ], "Effect": "Allow" } ] } 步骤 10 （可选）如果日志存储桶开启了默认加密，日志存储桶所在区域还需要具有“KMS Administrator”权限。 1. 在“统一身份认证服务”管理控制台“委托”页面，单击上一步创建的委托名称。 2. 选择“委托权限”页签，单击“配置权限”。 3. 在作用范围区域选择“区域级项目”，选择日志存储桶所在区域的项目。 4. 在权限区域搜索并选择“KMS Administrator”权限，单击下方的“确定”完成委托权限修改。 步骤11 单击“确定”，完成委托创建。

容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 环境变量：设置环境变量 数据存储：存储概述 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。 步骤 4 单击右下角“创建工作负载”。

添加sfs turbo文件系统 设置委托 挂载sfs turbo文件系统需要给函数设置委托（至少拥有sfs administrator以及VPC administrator权限）。如果没有对应权限的委托，需要新创建。 设置VPC sfs turbo涉及VPC内部网络访问，添加sfs turbo文件系统前需要给函数配置sfs turbo对应的VPC。 1. 在弹性文件服务中，获取需要挂载的文件系统的VPC和子网信息。 2. 配置网络开启VPC访问，输入获取的VPC和子网。 添加挂载SFS Turbo 添加sfs turbo和添加sfs过程相似，只要选好需要挂载的文件系统，设置好函数访问路径即可。 添加ECS共享目录 添加委托 挂载ECS共享目录需要给函数设置委托（至少拥有tenant guest以及VPC administrator权限），如果没有对应权限的委托，需要新创建。 配置VPC 添加ECS共享目录前，也需要给函数配置ECS对应的VPC，可以到ECS详情页的“基本信息”页签中查看“虚拟私有云”。单击虚拟私有云名称，进入虚拟私有云的详情页，查看子网。 获取到这两个信息后，可以在函数配置中配置对应的VPC。 添加挂载ECS 需要在界面上输入ECS上的共享目录路径信息和函数访问路径。 填写路径信息 后续操作 当函数挂载了文件系统配置后，对函数访问路径的读写就相当于对相关文件系统的读写。 如果把日志路径配置为函数访问路径的子目录，就可以轻松实现函数日志的持久化。 ECS创建nfs共享目录

新增单个用户 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 单击“新增”，在弹出的“新增用户”对话框中，填写用户信息。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”、“”和“”组成，首位只能数字或者字母，且不超过25个字符。 姓名 （选填）填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选以下角色： 管理角色 审计角色 访问角色 工单管理角色（提供工单管理模块的权限） 说明 一个用户支持配置多个角色，但管理角色 和工单管理角色只支持二选一。 用户组 （选填）选择该账户所属的用户组，用户组操作请参见[新增用户组](

被授权用户 描述 特定用户 ACL支持通过帐号授予桶/对象的访问权限。授予帐号权限后，帐号下所有具有OBS资源权限的IAM用户都可以拥有此桶/对象的访问权限。当需要为不同IAM用户授予不同的权限时，可以通过桶策略配置， 拥有者 桶的拥有者是指创建桶的帐号。桶拥有者默认拥有所有的桶访问权限，其中桶ACL的读取和写入这两种权限永远拥有，且不支持修改。对象的拥有者是上传对象的帐号，而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限，且不支持修改。 匿名用户 未注册云服务的普通访客群组。如果匿名用户被授予了访问桶/对象的权限，则表示所有人都可以访问对应的桶/对象，并且不需要经过任何身份认证。 日志投递用户组 说明 仅桶ACL支持。 日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在帐号的桶中创建或上传任何文件，因此在需要为桶记录访问日志时，只能由帐号授予日志投递用户组一定权限后，OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。须知：当日志记录开启后，目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭，桶的日志记录会失败。