本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

本文介绍如何基于Serverless集群快速部署FastChat应用。 在这篇文章中，我们将介绍如何在Serverless集群上快速部署FastChat应用。您可以选择使用控制台或kubectl来完成应用部署，随后即可通过外部端点访问FastChat。 前提条件 已开通Serverless集群，并且能通过公网访问集群。 背景信息 Serverless集群兼容原生Kubernetes语义和API，您可以在Serverless集群中轻松创建Deployment、StatefulSet、Service、Ingress、PersistentVolume、ConfigMap或CRD等资源。此外，您也可以使用Helm部部署和管理复杂的Kubernetes应用程序的生命周期。 FastChat介绍 FastChat是一个用于训练、部署和评估基于大型语言模型的聊天机器人的开放平台。其核心功能包括：最先进模型的权重、训练代码和评估代码（例如Vicuna、FastChatT5）；基于分布式多模型的服务系统，具有Web界面和与OpenAI兼容的RESTful API。 注意 天翼云不对第三方模型“FastChat”的合法性、安全性、准确性进行任何保证，天翼云不对由此引发的任何损害承担责任。 您应自觉遵守第三方模型“FastChat”的用户协议、使用规范和相关法律法规，并就使用第三方模型的合法性、合规性自行承担相关责任。 操作步骤 创建FastChat应用 您可以通过控制台部署FastChat应用，也可以通过kubectl工具连接Serverless集群来创建FastChat应用。 1. 登录管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写负载类型、负载名称、命名空间、实例数量等。 4. 在容器配置的基本信息中填写容器名称、镜像、镜像版本、CPU/内存配额限制等。 注意 FastChat镜像要提前上传到容器镜像服务的镜像仓库中，点击选择镜像选择FastChat镜像即可。 5. 在容器配置的生命周期中点击“启动命令”，添加启动执行命令。 6. 在容器配置的健康检查中点击“就绪探针”并开启，按需进行相应配置。 7. 在访问设置项，点击“开启Service”，设置服务相关参数，通过该服务公开FastChat应用。 注意 需要提前手工创建ELB。 8. 点击“提交”，返回到如下页面表示创建成功，等待Deployment的副本Pod运行起来即可。

接口约束   1. 专属云内创建云主机均为按需类型云主机   2. 自动分配弹性IP（extIP"1"）时，需要填写弹性IP版本（ipVersion）与带宽大小（bandwidth）；使用已有的弹性IP（extIP"2"）时，需要填写弹性IP的版本（ipVersion）和对应弹性IP的ID（eipID或ipv6AddressID）   3. 挂载网卡时，子网与虚拟私有云存在对应关系，确保子网属于当前虚拟私有云 URI POST /v4/dec/batchcreateinstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个clientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 azName 是 String 可用区名称，您可以查看地域和可用区来了解可用区 获取： 查 资源池可用区查询 注：查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空（即为单可用区，本字段填写default） cnhuadong1jsnj1Apublicctcloud instanceName 是 String 云主机名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式）。不同操作系统下，云主机名称规则有差异。 Windows：长度为215个字符（当创建两台及两台以上的云主机时名称长度为210个字符），允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字； 其他操作系统：长度为264字符（当创建两台及两台以上的云主机时名称长度为259个字符），允许使用点（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（），不能以点号（.）或连字符（）开头或结尾，也不能仅使用数字 ecm3300 displayName 是 String 云主机显示名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号”{}”两类字符单独存在或其它组合方式），长度为263字符。 ecm3300 flavorID 是 String 云主机规格ID，您可以查看规格说明了解弹性云主机的选型基本信息 获取： 查 查询一个或多个云主机规格资源 注：同一规格名称在不同资源池不同可用区的规格ID是不同的，调用前需确认规格ID是否归属当前资源池，多可用区资源池确认是否归属当前可用区 0824679adc8647dca0d39c330928f4f6 decTypeID 否 String 专属云存储ID 32af90b5664c41c4bc590f88b39eebc2 imageType 是 Integer 镜像类型，取值范围： 0（私有镜像）， 1（公有镜像）， 2（共享镜像）， 3（安全镜像）， 4（甄选镜像） 您可以查看镜像概述查看关于云主机镜像介绍 1 imageID 是 String 镜像ID，您可以查看镜像概述来了解云主机镜像 获取： 查 查询可以使用的镜像资源 创 创建私有镜像（云主机系统盘） 创 创建私有镜像（云主机数据盘） 注：同一镜像名称在不同资源池的镜像ID是不同的，调用前需确认镜像ID是否归属当前资源池 9d9e89988ed543b299cb322f2b8cf6fa bootDiskType 是 String 系统盘类型，取值范围： SATA（普通IO）， SAS（高IO）， SSD（超高IO）， SSDgenric（通用型SSD）， FASTSSD（极速型SSD），您可以查看磁盘类型及性能介绍来了解磁盘类型及其对应性能指标 SATA bootDiskSize 是 Integer 系统盘大小单位为GiB，取值范围：[40, 32768]，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费 40 vpcID 是 String 虚拟私有云ID，您可以查看产品定义虚拟私有云来了解虚拟私有云 获取： 查 查询VPC列表 创 创建VPC 注：在多可用区类型资源池下，vpcID通常为“vpc”开头，非多可用区类型资源池vpcID为uuid格式 4797e8a1722d49969362458001813e41 networkCardList 是 Array of Objects 网卡信息列表，您可以查看弹性网卡概述了解弹性网卡相关信息 networkCardList extIP 是 String 是否使用弹性公网IP，取值范围： 0（不使用）， 1（自动分配）， 2（使用已有）。 注：自动分配弹性公网，默认分配IPv4弹性公网，需填写带宽大小，如需ipv6请填写弹性IP版本（即参数extIP"1"时，需填写参数bandwidth、ipVersion，ipVersion含默认值ipv4）； 使用已有弹性公网，请填写弹性公网IP的ID，默认为ipv4版本，如使用已有ipv6，请填写弹性ip版本（即参数extIP"2"时，需填写eipID或ipv6AddressID，同时ipv6情况下请填写ipVersion） 2 projectID 否 String 企业项目ID，企业项目管理服务提供统一的云资源按企业项目管理，以及企业项目内的资源管理，成员管理。您可以通过查看创建企业项目了解如何创建企业项目 注：默认值为"0" 0 secGroupList 否 Array of Strings 安全组ID列表，您可以查看安全组概述了解安全组相关信息 获取： 查 查询用户安全组列表 创 创建安全组 注：在多可用区类型资源池下，安全组ID通常以“sg”开头，非多可用区类型资源池安全组ID为uuid格式；默认使用默认安全组，无默认安全组情况下请填写该参数 ["202ca2d2273a5995873b03731212c8e4"] dataDiskList 否 Array of Objects 数据盘信息列表，注：同一云主机下最多可挂载8块数据盘 dataDiskList ipVersion 否 String 弹性IP版本，取值范围： ipv4（v4地址）， ipv6（v6地址）， 不指定默认为ipv4。注：请先确认该资源池是否支持ipv6 ipv4 bandwidth 否 Integer 带宽大小，单位为Mbit/s，取值范围：[1, 2000] 100 ipv6AddressID 否 String 弹性公网IPv6的ID，注：多可用区类资源池暂不支持；填写该参数时请填写ipVersion为ipv6 eip5sdasd2gfh eipID 否 String 弹性公网IP的ID，您可以查看产品定义弹性IP来了解弹性公网IP 获取： 查 查询指定地域已创建的弹性 IP 创 创建弹性 IP eip9jpeyl0frh affinityGroupID 否 String 云主机组ID，获取： 查 查询云主机组列表或者详情 创 创建云主机组 259b0c37104441d8989e keyPairID 否 String 密钥对ID，您可以查看密钥对来了解密钥对相关内容 获取： 查 查询一个或多个密钥对 创 创建一对SSH密钥对 c57d06268a82407ba910b454907778c3 userPassword 否 String 用户密码，满足以下规则： 长度在8～30个字符； 必须包含大写字母、小写字母、数字以及特殊符号中的三项； 特殊符号可选：()~!@

状态 状态类型 说明 创建中 中间状态 创建实例之后在实例开通完成之前的中间状态，创建完成后该实例会变为“运行中”。 运行中 稳定状态 实例正常运行状态，用户可正常运行相关业务。 停止中 中间状态 对处于“运行中”状态的实例执行关机操作后的中间状态，关机完成后该实例变为“关机”。 节省关机中 中间状态 对处于“运行中”状态的实例执行节省关机操作后的中间状态，关机完成后该实例变为“节省关机”。 关机 稳定状态 操作实例关机，经过“停止中”到达的稳定状态。在“关机”状态下的实例，不能对外提供服务。 节省关机 稳定状态 操作实例节省关机，经过“节省关机中”到达的稳定状态。在“节省关机”状态下的实例，不能对外提供服务。 启动中 中间状态 对处于“关机”状态的实例执行开机操作后的中间状态，启动完成后该实例变为“运行中”。 重启中 中间状态 对处于“运行中”状态的实例执行重启操作后的中间状态，重启完成后该实例变为“运行中”。 变配中 中间状态 对实例执行变配操作后的中间状态，变配成功后会置为执行变配前原本的状态。 重建中 中间状态 对处于“关机”状态的实例执行“一键重装”后的中间状态，该状态为实例执行重装操作系统的过程。重装完成后该实例会变为“关机”。 删除中 中间状态 实例处于正在被删除的状态，用户删除成功将会收到退订短信。 已删除 稳定状态 已删除的实例将从控制台列表显示中移除。此状态不在控制台展示。 已冻结 稳定状态 订购按需计费模式的实例，账号欠费后，云主机进入该状态。完成账号续费后，该状态解除。 已到期 稳定状态 订购包周期计费模式的实例，到期后进入该状态。续订实例后，该状态解除。 错误 稳定状态 在上述任何操作中导致云主机出现错误，则会置为error。 此时可以通过两种方式解决问题： 方式一，请参考帮助文档中 包周期退订中 中间状态 控制台对包年包月计费模式的云主机实例执行退订操作后的中间状态，退订完成后该实例变状态为“包周期已退订”。 包周期已退订 稳定状态 订购包周期计费模式的云主机实例，手动退订后，云主机进入该状态。

本文介绍数据采集常见问题。 云日志服务可以采集哪类日志？ 云主机应用日志。容器应用日志，包括容器标准输出日志与文件日志。 如何在云主机上安装采集器？ 云日志服务控制台提供采集器安装命令，您需要在目标云主机中执行该命令安装采集器。详情请查看采集器安装。 配置数据采集时支持哪种分词方式？ 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

参数 类型 描述 是否必须 lunName String 克隆卷名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 snapshotName String 指定克隆卷关联的快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 是 targetName String 指定克隆卷关联的iSCSI target名称，可以跟源卷的iSCSI target不同。 说明 创建卷时，如果指定的target名称不存在，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 capacity Integer 指定克隆卷的容量。 取值：[1,1048576]，单位是GiB。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 否 config.localStorageClass String 指定克隆卷的冗余模式（仅集群版支持）。 注意 如果设置了克隆卷的minReplica或redundancyOverlap，则必须同时指定该参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M ：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。默认值为源卷的卷冗余模式。 说明（以下场景均为集群可用的前提下）： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 否 config.minReplica Integer 指定克隆卷的最小副本数（仅集群版支持）。 注意 如果指定该参数，则必须指定克隆卷的localStorageClass。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值： 如果没有指定克隆卷的localStorageClass：默认值为源卷的最小副本数。 如果指定了克隆卷的localStorageClass：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 否 config.ECfragmentSize Integer 指定克隆卷的纠删码模式分片大小（仅集群版支持）。 config.localStorageClass为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 否 config.redundancyOverlap Integer 指定克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localStorageClass。 取值： 如果没有指定克隆卷的localStorageClass：默认值为源卷的折叠副本数。 如果指定了克隆卷的localStorageClass：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 否 config.sectorSize Integer 指定克隆卷的扇区大小。 取值：512、4096，单位是bytes。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4096；单次I/O操作的数据大小接近512 bytes，则推荐选择512。如果对接VMware等虚拟化平台，则推荐选择512。 否 config.cachePool String 指定缓存存储池（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 config.pool String 指定存储池（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 config.highAvailability String 指定克隆卷的高可用类型（仅集群版支持）。 取值： ActiveStandby：启用主备，该卷关联对应target下的所有IQN。 Disabled：不启用主备，该卷关联对应target下的1个IQN。 默认值为源卷的高可用类型。 否 config.writePolicy String 指定克隆卷的写策略。 取值： WriteBack：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 否 config.serverAffinity Object 卷主备分布优先级设置，详见“ 表1 请求参数config.serverAffinity说明 ”。 否 config.qosPolicy Object 卷关联的QoS策略信息，详见“ 表2 请求参数config.qosPolicy说明 ”。 否 config.path String 指定存储克隆卷数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。如果创建卷时不指定数据目录，默认与源卷配置保持一致。 否

翼MapReduce（翼MR）是一种基于云计算平台的数据处理分析服务，打造了高可靠、高安全、易使用的运行维护平台，对外提供大容量数据的存储和分析能力，可解决用户实时性要求不高的海量数据存储和处理需求，可以独立申请和使用托管Hadoop、Spark、HBase和Hive组件。 支持的事件列表如下： 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 DBServer主备倒换 dbServerSwitchover 次要 DBServer主备倒换 主备倒换需要和运维人员确认是否为正常操作导致。 连续触发主备倒换可能影响Hive服务正常使用，导致Hive服务不可用。 Flume Channel溢出 flumeChannelOverflow 次要 Flume Channel溢出 确认flume的channel配置是否合理，业务量是否有突增。 Flume任务无法正常写入数据到后端。 NameNode主备倒换 namenodeSwitchover 次要 NameNode主备倒换 主备倒换需要和运维人员确认是否为正常操作导致。 连续触发主备倒换可能影响HDFS服务正常使用，读写HDFS文件可能失败。 ResourceManager主备倒换 resourceManagerSwitchover 次要 ResourceManager主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响Yarn服务正常使用，导致任务出现异常甚至失败 JobHistoryServer主备倒换 jobHistoryServerSwitchover 次要 JobHistoryServer主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响MapReduce服务正常使用，导致任务日志读取异常 HMaster主备倒换 hmasterFailover 次要 HMaster主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响HBase服务正常使用 Hue发生主备切换 hueFailover 次要 Hue发生主备切换 主备倒换需要和运维人员确认是否为正常操作导致 主备倒换可能影响HUE服务正常使用，导致页面无法使用等问题 Impala HaProxy服务发生主备切换 impalaHaProxyFailover 次要 Impala HaProxy服务发生主备切换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响Impala服务正常使用 Impala StateStoreCatalog服务发生主备切换 impalaStateStoreCatalogFailover 次要 Impala StateStoreCatalog服务发生主备切换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响Impala服务正常使用 LdapServer主备倒换 ldapServerFailover 次要 LdapServer主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响LdapServer服务正常使用 Loader主备倒换 loaderSwitchover 次要 Loader主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 主备倒换可能影响Loader服务正常使用 Manager主备倒换 managerSwitchover 提示 Manager主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 Manager主备倒换可能导致Manager页面无法正常访问，部分监控可能出现异常数值 作业执行失败 jobRunningFailed 提示 作业执行失败 查看作业管理页面，确认失败任务是否有异常 作业执行过程出现失败 作业被终止 jobkilled 提示 作业被终止 确认任务是否人为下发终止命令 作业执行过程被终止 Oozie工作流执行失败 oozieWorkflowExecutionFailure 次要 Oozie工作流执行失败 查看Oozie日志，确认任务失败原因 Oozie工作流执行失败 Oozie定时任务执行失败 oozieScheduledJobExecutionFailure 次要 Oozie定时任务执行失败 查看Oozie日志，确认任务失败原因 Oozie定时任务执行失败 ClickHouse服务不可用 clickHouseServiceUnavailable 紧急 ClickHouse服务不可用 请参考《MapReduce服务用户指南》的“ALM45425 ClickHouse服务不可用”章节。 ClickHouse服务异常，无法通过FusionInsight Manager对ClickHouse进行集群操作，无法使用ClickHouse服务功能。 DBService服务不可用 dbServiceServiceUnavailable 紧急 DBService服务不可用 请参考《MapReduce服务用户指南》的“ALM27001 DBService服务不可用”章节。 数据库服务不可用，无法对上层服务提供数据入库、查询等功能，使部分服务异常。 DBService主备节点间心跳中断 dbServiceHeartbeatInterruption BetweentheActiveAndStandbyNodes 重要 DBService主备节点间心跳中断 请参考《MapReduce服务用户指南》的“ALM27003 DBService主备节点间心跳中断”章节。 DBService主备间心跳中断时只有一个节点提供服务，一旦该节点故障，再无法切换到备节点，就会服务不可用。 DBService主备数据不同步 dataInconsistencyBetween ActiveAndStandbyDBServices 紧急 DBService主备数据不同步 请参考《MapReduce服务用户指南》的“ALM27004 DBService主备数据不同步”章节。 主备DBServer数据不同步，如果此时主实例异常，则会出现数据丢失或者数据异常的情况。 数据库进入只读模式 databaseEnterstheReadOnlyMode 紧急 数据库进入只读模式 请参考《MapReduce服务用户指南》的“ALM27007 数据库进入只读模式”章节。 数据库进入只读模式，业务数据丢失。 Flume服务不可用 flumeServiceUnavailable 紧急 Flume服务不可用 请参考《MapReduce服务用户指南》的“ALM24000 Flume服务不可用”章节。 当Flume服务不可用时，Flume不能正常工作，数据传输业务中断。 Flume Agent异常 flumeAgentException 重要 Flume Agent异常 请参考《MapReduce服务用户指南》的“ALM24001 Flume Agent异常”章节。 产生告警的Flume Agent实例无法正常启动，定义在该实例下的数据传输任务暂时中断，对于实时数据传输，会丢失实时数据。 Flume Client连接中断 flumeClientDisconnected 重要 Flume Client连接中断 请参考《MapReduce服务用户指南》的“ALM24003 Flume Client连接中断”章节。 产生告警的Flume Client无法与Flume Server端进行通信，Flume Client端的数据无法传输到Flume Server端。 Flume读取数据异常 exceptionOccursWhenFlumeReadsData 重要 Flume读取数据异常 请参考《MapReduce服务用户指南》的“ALM24004 Flume读取数据异常”章节。 如果数据源有数据，Flume Source持续读取不到数据，数据采集会停止。 Flume传输数据异常 exceptionOccursWhenFlumeTransmitsData 重要 Flume传输数据异常 请参考《MapReduce服务用户指南》的“ALM24005 Flume传输数据异常”章节。 Flume Channel的磁盘空间使用量有继续增长的趋势，将会使数据导入到指定目的地的时间增长，当Flume Channel的磁盘空间使用量达到100%时会导致Flume Agent进程暂停工作。 Flume 证书文件非法或已损坏 flumeCertificateFileIsinvalid 重要 Flume 证书文件非法或已损坏 请参考《MapReduce服务用户指南》的“ALM24010 Flume证书文件非法或已损坏”章节。 Flume证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 Flume 证书文件即将过期 flumeCertificateFileIsAboutToExpire 重要 Flume 证书文件即将过期 请参考《MapReduce服务用户指南》的“ALM24011 Flume证书文件即将过期”章节。 Flume证书文件即将失效，对系统目前运行无影响。 Flume 证书文件已过期 flumeCertificateFileIsExpired 重要 Flume 证书文件已过期 请参考《MapReduce服务用户指南》的“ALM24012 Flume证书文件已过期”章节。 Flume证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 Flume MonitorServer证书文件失效 flumeMonitorServerCertificateFileIsInvalid 重要 Flume MonitorServer证书文件失效 请参考《MapReduce服务用户指南》的“ALM24013 Flume MonitorServer证书文件非法或已损坏”章节。 MonitorServer证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 Flume MonitorServer证书文件即将过期 flumeMonitorServerCertificate FileIsAboutToExpire 重要 Flume MonitorServer证书文件即将过期 请参考《MapReduce服务用户指南》的“ALM24014 Flume MonitorServer证书文件即将过期”章节。 MonitorServer证书文件即将失效，对系统目前运行无影响。 Flume MonitorServer证书文件已过期 flumeMonitorServerCertificateFileIsExpired 重要 Flume MonitorServer证书文件已过期 请参考《MapReduce服务用户指南》的“ALM24015 Flume MonitorServer证书文件已过期”章节。 MonitorServer证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 HDFS服务不可用 hdfsServiceUnavailable 紧急 HDFS服务不可用 请参考《MapReduce服务用户指南》的“ALM14000 HDFS服务不可用”章节。 无法为基于HDFS服务的HBase和MapReduce等上层部件提供服务。用户无法读写文件。 NameService服务异常 nameServiceServiceUnavailable 重要 NameService服务异常 请参考《MapReduce服务用户指南》的“ALM14010 NameService服务异常”章节。 无法为基于该NameService服务的HBase和MapReduce等上层部件提供服务。用户无法读写文件。 DataNode数据目录配置不合理 datanodeDataDirectoryIsNotConfiguredProperly 重要 DataNode数据目录配置不合理 请参考《MapReduce服务用户指南》的“ALM14011 DataNode数据目录配置不合理”章节。 如果将DataNode数据目录挂载在根目录等系统关键目录，长时间运行后会将根目录写满，导致系统故障。不合理的DataNode数据目录配置，会造成HDFS的性能下降。 Journalnode数据不同步 journalnodeIsOutOfSynchronization 重要 Journalnode数据不同步 请参考《MapReduce服务用户指南》的“ALM14012 Journalnode数据不同步”章节。 当一个JournalNode节点工作状态异常时，其数据就会与其他JournalNode节点的数据不同步。如 果超过一半的JournalNode节点的数据不同步时，NameNode将无法工作，导致HDFS服务不可用。 NameNode FsImage文件更新失败 failedToUpdateTheNameNodeFsImageFile 重要 NameNode FsImage文件更新失败 请参考《MapReduce服务用户指南》的“ALM14013 NameNode FsImage文件更新失败”章节。 如果主NameNode数据目录的FsImage没有更新，则说明HDFS元数据合并功能异常，需要修复。 如不修复，HDFS在运行一段时间后，Editlog会一直增长。此时如果重启HDFS，由于要加载非常多的Editlog，会导致启动非常耗时。另外，该告警的产生也说明备NameNode功能异常，导致NameNode的HA机制失效。一旦主NameNode故障，则整个HDFS服务将不可用。 DataNode磁盘故障 datanodeDiskFault 重要 DataNode磁盘故障 请参考《MapReduce服务用户指南》的“ALM14027 DataNode磁盘故障”章节。 上报DataNode磁盘故障告警时，表示该DataNode节点上存在故障的磁盘分区，可能会导致已写入的文件丢失。 Yarn服务不可用 yarnServiceUnavailable 紧急 Yarn服务不可用 请参考《MapReduce服务用户指南》的“ALM18000 Yarn服务不可用”章节。 集群无法提供Yarn服务。用户无法执行新的application。已提交的application无法执行。 NodeManager心跳丢失 nodemanagerHeartbeatLost 重要 NodeManager心跳丢失 请参考《MapReduce服务用户指南》的“ALM18002 NodeManager心跳丢失”章节。 丢失的NodeManager节点无法提供Yarn服务。容器减少，集群性能下降。 NodeManager不健康 nodemanagerUnhealthy 重要 NodeManager不健康 请参考《MapReduce服务用户指南》的“ALM18003 NodeManager不健康”章节。 故障的NodeManager节点无法提供Yarn服务。容器减少，集群性能下降。 Yarn 任务执行超时 yarnApplicationTimeout 次要 Yarn 任务执行超时 请参考《MapReduce服务用户指南》的“ALM18020 Yarn任务执行超时”章节。 任务执行超时后的运行时间内，该告警一直存在，但任务仍继续正常执行，没有任何影响。 Mapreduce服务不可用 mapreduceServiceUnavailable 紧急 Mapreduce服务不可用 请参考《MapReduce服务用户指南》的“ALM18021 Mapreduce服务不可用”章节。 集群无法提供Mapreduce服务，如无法通过Mapreduce查看任务日志，无法提供Mapreduce服务的日志归档功能等。 Yarn队列资源不足 insufficientYarnQueueResources 次要 Yarn队列资源不足 请参考《MapReduce服务用户指南》的“ALM18022 Yarn队列资源不足”章节。 应用任务结束时间变长。新应用提交后长时间无法运行。 HBase服务不可用 hbaseServiceUnavailable 紧急 HBase服务不可用 请参考《MapReduce服务用户指南》的“ALM19000 HBase服务不可用”章节。 无法进行数据读写和创建表等操作。 HBase系统表目录或文件丢失 systemTablePathOrFileOfHBaseIsMissing 紧急 HBase系统表目录或文件丢失 请参考《MapReduce服务用户指南》的“ALM19012 HBase系统表目录或文件丢失”章节。 HBase服务重启/启动失败。 Hive服务不可用 hiveServiceUnavailable 紧急 Hive服务不可用 请参考《MapReduce服务用户指南》的“ALM16004 Hive服务不可用”章节。 Hive无法提供数据加载，查询，提取服务。 Hive数据仓库被删除 hiveDataWarehouseIsDeleted 紧急 Hive数据仓库被删除 请参考《MapReduce服务用户指南》的“ALM16045 Hive数据仓库被删除”章节。 Hive默认数据仓库被删除，会导致在默认数据仓库中创建库、创建表失败，影响业务正常使用。 Hive数据仓库权限被修改 hiveDataWarehousePermissionIsModified 紧急 Hive数据仓库权限被修改 请参考《MapReduce服务用户指南》的“ALM16046 Hive数据仓库权限被修改”章节。 Hive默认数据仓库的权限被修改，会影响当前用户，用户组，其他用户在默认数据仓库中创建库、创建表等操作的操作权限范围。会扩大或缩小权限。 HiveServer已从Zookeeper注销 hiveServerHasBeenDeregisteredFromZookeeper 重要 HiveServer已从Zookeeper注销 请参考《MapReduce服务用户指南》的“ALM16047 HiveServer已从Zookeeper注销”章节。 当无法在Zookeeper上读取到Hive的配置，将会导致HiveServer不可用。 tez或者spark库路径不存在 tezlibOrSparklibIsNotExist 重要 tez或者spark库路径不存在 请参考《MapReduce服务用户指南》的“ALM16048 Tez或者Spark库路径不存在”章节。 Tez或者Spark库路径不存在，会影响Hive on Tez，Hive on Spark的功能。 Hue服务不可用 hueServiceUnavailable 紧急 Hue服务不可用 请参考《MapReduce服务用户指南》的“ALM20002 Hue服务不可用”章节。 系统无法提供数据加载，查询，提取服务。 Impala服务不可用 impalaServiceUnavailable 紧急 Impala服务不可用 请参考《MapReduce服务用户指南》的“ALM29000 Impala服务不可用”章节。 Impala服务异常，无法通过FusionInsight Manager对Impala进行集群操作，无法使用Impala服务功能。 Kafka服务不可用 kafkaServiceUnavailable 紧急 Kafka服务不可用 请参考《MapReduce服务用户指南》的“ALM38000 Kafka服务不可用”章节。 集群无法对外提供Kafka服务，用户无法执行新的Kafka任务。 Kafka默认用户状态异常 statusOfKafkaDefaultUserIsAbnormal 紧急 Kafka默认用户状态异常 请参考《MapReduce服务用户指南》的“ALM38007 Kafka默认用户状态异常”章节。 Kafka默认用户状态异常，会影响Broker之间的元数据同步，以及Kafka与ZooKeeper之间的交互，进而影响业务生产、消费和Topic的创建、删除等操作。 Kafka数据目录状态异常 abnormalKafkaDataDirectoryStatus 重要 Kafka数据目录状态异常 请参考《MapReduce服务用户指南》的“ALM38008 Kafka数据目录状态异常”章节。 Kafka数据目录状态异常，会导致该数据目录上所有Partition的当前副本下线，多个节点同时出现数据目录状态异常，可能会导致部分Partition不可用。 存在单副本的Topic topicsWithSingleReplica 警告 存在单副本的Topic 请参考《MapReduce服务用户指南》的“ALM38010 存在单副本的Topic”章节。 单副本的Topic存在单点故障风险，当副本所在节点异常时，会直接导致Partition没有leader，影响该Topic上的业务。 KrbServer服务不可用 krbServerServiceUnavailable 紧急 KrbServer服务不可用 请参考《MapReduce服务用户指南》的“ALM25500 KrbServer服务不可用”章节。 告警发生时，不能对集群中的组件KrbServer进行任何操作。其它组件的KrbServer认证将受影响。集群中依赖KrbServer的组件运行状态将为故障。 Kudu服务不可用 kuduServiceUnavailable 紧急 Kudu服务不可用 请参考《MapReduce服务用户指南》的“ALM29100 Kudu服务不可用”章节。 用户无法使用Kudu服务。 LdapServer服务不可用 ldapServerServiceUnavailable 紧急 LdapServer服务不可用 请参考《MapReduce服务用户指南》的“ALM25000 LdapServer服务不可用”章节。 告警发生时，不能对集群中的KrbServer和LdapServer用户进行任何操作。 例如，无法在FusionInsight Manager页面添加、删除或修改任何用户、用户组或角色，也无法修改用户密码。集群中原有的用户验证不受影响。 LdapServer数据同步异常 abnormalLdapServerDataSynchronization 紧急 LdapServer数据同步异常 请参考《MapReduce服务用户指南》的“ALM25004 LdapServer数据同步异常”章节。 LdapServer数据不一致时，有可能是Manager上的LdapServer数据损坏，也有可能是集群上的LdapServer数据损坏，此时数据损坏的LdapServer进程将无法对外提供服务，影响Manager和集群的认证功能。 Nscd服务异常 nscdServiceIsAbnormal 重要 Nscd服务异常 请参考《MapReduce服务用户指南》的“ALM25005 Nscd服务异常”章节。 nscd服务异常时，可能会影响该节点从LdapServer上同步数据，此时，使用id命令可能会获取不到Ldap中的数据，影响上层业务。 Sssd服务异常 sssdServiceIsAbnormal 重要 Sssd服务异常 请参考《MapReduce服务用户指南》的“ALM25006 Sssd服务异常”章节。 sssd服务异常时，可能会影响该节点从LdapServer上同步数据，此时，使用id命令可能会获取不到ldap中的数据，影响上层业务。 Loader服务不可用 loaderServiceUnavailable 紧急 Loader服务不可用 请参考《MapReduce服务用户指南》的“ALM23001 Loader服务不可用”章节。 如果Loader服务不可用，数据加载，导入，转换的功能也不可用。 Oozie服务不可用 oozieServiceUnavailable 紧急 Oozie服务不可用 请参考《MapReduce服务用户指南》的“ALM17003 Oozie服务不可用”章节。 无法使用Oozie服务提交作业。 Ranger服务不可用 rangerServiceUnavailable 紧急 Ranger服务不可用 请参考《MapReduce服务用户指南》的“ALM45275 Ranger服务不可用”章节。 当Ranger服务不可用时，Ranger无法正常工作，Ranger原生UI无法访问。 RangerAdmin状态异常 abnormalRangerAdminStatus 重要 RangerAdmin状态异常 请参考《MapReduce服务用户指南》的“ALM45276 RangerAdmin状态异常”章节。 当存在单个RangerAdmin状态异常时，不影响Ranger原生UI访问；当两个RangerAdmin状态异常时，Ranger原生UI无法访问，无法执行创建、修改、删除策略等操作。 Spark2x服务不可用 spark2xServiceUnavailable 紧急 Spark2x服务不可用 请参考《MapReduce服务用户指南》的“ALM43001 Spark2x服务不可用”章节。 用户提交的Spark任务执行失败。 Storm服务不可用 stormServiceUnavailable 紧急 Storm服务不可用 请参考《MapReduce服务用户指南》的“ALM26051 Storm服务不可用”章节。 集群无法对外提供Storm服务，用户无法执行新的Storm任务。 ZooKeeper服务不可用 zooKeeperServiceUnavailable 紧急 ZooKeeper服务不可用 请参考《MapReduce服务用户指南》的“ALM13000 ZooKeeper服务不可用”章节。 ZooKeeper无法为上层组件提供协调服务，依赖ZooKeeper的组件可能无法正常运行。 ZooKeeper中组件顶层目录的配额设置失败 failedToSetTheQuotaOfTopDirectoriesOf ZooKeeperComponent 次要 ZooKeeper中组件顶层目录的配额设置失败 请参考《MapReduce服务用户指南》的“ALM13005 ZooKeeper中组件顶层目录的配额设置失败”章节。 组件可以向对应的ZooKeeper顶层目录中写入大量数据，导致Zookeeper服务不可用。

云防火墙（原生版） N100型为用户提供了全面的IPv6支持方案，本文将详细说明在实施和迁移到IPv6环境时的最佳实践。 前提条件 在使用云防火墙（原生版） N100型的IPv6方案之前，确保满足以下前提条件： 双栈云主机 ：承载云防火墙（原生版） N100型的云主机必须支持IPv6双栈，即同时支持IPv4和IPv6协议。如果当前云主机不支持双栈，请重新下单申请新的支持双栈的云主机，关于双栈云主机的详细信息请参见双栈云主机。 子网启用IPV6 ：在迁移过程（重新下单）中，承载云防火墙（原生版） N100型的云主机所在的子网必须启用IPv6。确保子网设置正确，以避免开通问题。若未启用IPv6，请在控制台中提前进行配置，详细操作请参见开启IPv6双栈。 方案步骤 为确保顺利实施IPv6方案，建议遵循以下步骤： 1. 环境评估 检查当前云主机的配置，确认其是否为IPv6双栈主机。 评估现有应用和服务的IPv6兼容性，确保迁移不会影响业务。 2. 子网启用IPv6 在云平台控制台中，检查云防火墙（原生版） N100型主机需要使用的子网是否开启IPV6，即确保子网已启用IPv6。若尚未启用，请参考开启IPv6双栈进行设置。 3. 申请双栈主机 对于不支持IPv6的云防火墙（原生版） N100型主机，需重新下单云防火墙（原生版） N100型开通双栈云主机，确保其所选主机支持IPv6，详细操作请参见购买N100实例。 4. 进行IPv6切换 对于希望使用IPv6方案的现有用户，请按照以下步骤进行切换： 1. 登录云防火墙（原生版）管理控制台。 2. 点击实例列表操作列的“配置”，登录云防火墙（原生版）实例，进入配置界面。 3. 根据需求完成云防火墙（原生版）IPV6策略等配置。 4. 业务割接。 5. 测试与验证 完成配置后，进行全面的测试，以确保IPv6连接正常。验证云防火墙（原生版） N100型的安全策略是否有效应用于IPv6流量。 6. 监控与优化 实施后，请定期监控IPv6流量，评估防火墙性能，并根据业务需求及时优化安全策略，以应对网络变化。 说明 如需进一步支持，欢迎联系技术支持团队获取更多信息和帮助。

本节主要介绍ECS自建MySQL迁移RDS实例 概述 概述：自建MySQL迁移上云场景本章节采用了数据复制服务产品（简称DRS），在DRS能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可自动完成整个数据迁移过程。迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 典型行业：所有使用MySQL数据库的行业。 适配场景：适用于实时迁移场景。 技术架构图 本实践方案基于如下图所示的技术架构和主要流程。 图 1 数据库迁移原理图 前提条件 在进行本文操作之前，您需要完成以下准备工作： 1、创建好目的端数据库并将两端网络打通。 2、资源池需具备DRS产品开通能力。 网络资源规划 Figure 1 网络资源规划 资源类型 配置项 配置明细 说明 区域 区域 上海4 本最佳实践全部资源部署在上海4资源池 自建库公网IP 公网IP 101.89.205.115 目的库公网IP 公网IP 218.78.58.35 弹性计算资源规划 Figure 2 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS（MySQL 服务器） ECS名称 ecsbendi 自定义，易理解可识别 ECS（MySQL 服务器） 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云主机的实例规格。 ECS（MySQL 服务器） 操作系统 Centos7.6 ECS（MySQL 服务器） 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rdstest 自定义，易理解可识别 RDS 数据库版本 MySQL 5.7 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB 数据库复制服务资源规划 资源类型 配置项 配置内容 说明 :::: DRS迁移任务 迁移任务名 DRSmysql 自定义 DRS迁移任务 源数据库引擎 MySQL 本示例中源数据库为自建MySQL，即在天翼云弹性云主机上安装社区版MySQL。 DRS迁移任务 目标数据库引擎 MySQL 本示例中目标数据库也是MySQL，使用的天翼云RDS实例。 DRS迁移任务 网络类型 公网网络 本示例中采用“公网”。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串 需要进行签名的Header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分，并且必须是待签名Header里的一个。需要进行签名算法的Header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制。 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果你加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z 1、先是拿你申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime 2、拿ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据；算出kdate eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) :: Ktime 使用ctyuneopsk作为密钥，eopdate作为数据，算出ktime； Ktime hmacSha256(ctyuneopsk, eopdate) kAk 使用ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； kAk hmacsha256(ktime,ctyuneopak) kdate 使用kAk作为密钥，eopdate的年月日值作为数据；算出kdate； kdate hmacsha256(kAk, eopdate)

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串 需要进行签名的Header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分，并且必须是待签名Header里的一个。需要进行签名算法的Header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制。 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果你加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z 1、先是拿你申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime 2、拿ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据；算出kdate eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) :: Ktime 使用ctyuneopsk作为密钥，eopdate作为数据，算出ktime； Ktime hmacSha256(ctyuneopsk, eopdate) kAk 使用ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； kAk hmacsha256(ktime,ctyuneopak) kdate 使用kAk作为密钥，eopdate的年月日值作为数据；算出kdate； kdate hmacsha256(kAk, eopdate)

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串 需要进行签名的Header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分，并且必须是待签名Header里的一个。需要进行签名算法的Header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制。 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果你加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z 1、先是拿你申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime 2、拿ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据；算出kdate eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) :: Ktime 使用ctyuneopsk作为密钥，eopdate作为数据，算出ktime； Ktime hmacSha256(ctyuneopsk, eopdate) kAk 使用ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； kAk hmacsha256(ktime,ctyuneopak) kdate 使用kAk作为密钥，eopdate的年月日值作为数据；算出kdate； kdate hmacsha256(kAk, eopdate)

本文介绍如何将数据从其它云迁移到海量文件服务。 应用场景 在第三方云厂商存储大量数据的用户，如果想要将数据迁移至天翼云海量文件服务（后文简称OceanFS），传统方法需要先将存储在第三方云厂商上的数据下载到本地，再通过客户端手动上传到OceanFS，整个过程耗时又耗力，容易存在漏传、误传等问题。因此本文推荐您配置一个弹性云主机实例挂载OceanFS作为数据传输的中转节点，然后通过迁移工具将数据从本地至天翼云OceanFS。 FileZilla Client是一款强大且易用的跨平台FTP客户端软件，能帮助用户高效、稳定地进行多种协议的文件传输。本文基于FileZilla作为SFTP客户端，用户可根据需求选择合适的版本下载安装该客户端工具。 前提条件 已拥有一个NFS协议OceanFS文件系统。 准备一台与海量文件系统在同一VPC网络下的Linux弹性云主机（须配置弹性IP）。 同时保证该文件系统可挂载至弹性云主机上，即二者之间网络通畅。 准备工作 分别创建一个海量文件系统和一台弹性云主机，具体操作请参考创建海量文件系统、创建弹性云主机。 下载安装迁移客户端工具。 操作步骤 将第三方数据迁移至海量文件系统可以分为几个关键步骤：将第三方数据下载至本地 > 挂载海量文件系统 > 本地安装SFTP客户端并与挂载海量文件系统的弹性云主机建立连接 > 迁移本地数据到海量文件系统 。具体操作步骤如下： 1. 将第三方数据下载至本地目录。 2. 将海量文件系统挂载到云主机 。将海量文件系统挂载至Linux云主机中“/mnt/OceanFS”目录下，具体操作请参考挂载文件系统。 3. 本地安装SFTP客户端并与挂载海量文件系统的弹性云主机建立连接。 1）本地安装SFTP客户端，根据页面提示进行下载安装。 2）安装完成后输入主机、用户名、密码和端口，参数说明见下表。配置完成后，点击“快速连接”建立连接。 3）配置完成，点击“快速连接”，建立连接。 参数 说明 主机 弹性云主机绑定的公网IP，即弹性IP。 用户名 弹性云主机的用户名，例如root（注意：需要保证建立连接的用户拥有读写海量文件系统目录的权限）。 密码 弹性云主机用户登陆密码，例如root用户登陆密码。 端口 SFTP端口号，默认为22。 4）建立连接后，页面左侧为要迁移数据的目录，右侧为OceanFS文件目录路径（/mnt/OceanFS)。 4. 迁移数据 。在左侧区域想要迁移的文件或者目录上点击右键，然后点击“上传”即可完成迁移数据到海量文件系统上。

本小节介绍下载并安装Agent，在数据库端或应用端安装Agent。 下载Agent Agent添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图所示。将Agent安装包下载到本地。 请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。 Linux操作系统 在“操作系统”为“LINUX64”的数据库中下载Agent安装包 Windows操作系统 在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包 安装Agent（Linux操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Linux操作系统的节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。如果有安装脚本的执行权限，请执行步骤7。如果没有安装脚本的执行权限，请执行以下操作：a.执行以下命令，添加安装脚本执行权限。chmod +x install.shb.确认有安装脚本执行权限后，请执行步骤7。 7. 执行以下命令，安装Agent。sh install.sh 说明 用户系统是Ubuntu时，执行以下命令安装Agent。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 注意 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status，如果界面回显以下信息，说明Agent程序运行正常，audit agent is running。

参数 参数 描述 n LUNNAME 或name LUNNAME 指定克隆卷名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 s SNAPSHOTNAME 或snapshot SNAPSHOTNAME 指定克隆卷关联的快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 t TARGETNAME 或 target TARGETNAME 指定克隆卷关联的iSCSI target名称，可以跟源卷的iSCSI target不同。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 说明 创建卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 p CAPACITY 或 capacity CAPACITY 指定克隆卷的容量。 取值：整数形式，数字后面可以输入单位简写G/g、T/t或P/p，分别代表GiB、TiB、PiB，如果不输入，默认为GiB。 如果单位是GiB，取值为[1, 1048576]。 如果单位是TiB，取值为[1, 1024]。 如果单位是PiB，取值为1。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 priority SERVERID & 指定克隆卷主备分布优先级的服务器ID（仅集群版支持），系统会根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 前置条件：iSCSI target名称已经存在，且指定的服务器必须是iSCSI target所在的服务器。 autofailback AUTOFAILBACK 是否根据指定的克隆卷主备分布优先级自动进行主备切换（仅集群版支持），即针对克隆卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 默认值为Enabled。 pool POOL 指定存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 cachepool CACHEPOOL 指定缓存存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 a HIGHAVAILABILITY或 ha HIGHAVAILABILITY 指定克隆卷的高可用类型（仅集群版支持）： 取值： ActiveStandby（as）：启用主备，该卷关联对应target下的所有IQN。 Disabled（off）：不启用主备，该卷关联对应target下的1个IQN。客户端连接该类型的卷的方法可以参见Windows 客户端–单机版、Linux 客户端 – 单机版。 默认值为源卷的高可用类型。 c LOCALSTORAGECLASS 或 localstorageclass LOCALSTORAGECLASS 指定克隆卷的冗余模式（仅集群版支持）。 注意 如果设置了克隆卷的minreplica MINREPLICA 或redundancyoverlap REDUNDANCYOVERLAP，则必须同时指定该参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N +M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的卷冗余模式。 说明 以下场景均为集群可用的前提下： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 minreplica MINREPLICA 指定克隆卷的最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 注意 如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的最小副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 redundancyoverlap REDUNDANCYOVERLAP 指定克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的折叠副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 ecfragmentsize ECFRAGEMENTSIZE 指定克隆卷的纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 o SECTORSIZE 或 sectorsize SECTORSIZE 指定克隆卷的扇区大小。 取值：512、4096，单位是bytes。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4096；单次I/O操作的数据大小接近512 bytes，则推荐选择512。如果对接VMware等虚拟化平台，则推荐选择512 bytes。 w WRITEPOLICY 或 writepolicy WRITEPOLICY 克隆卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 P PATH 或 path PATH 指定存储克隆卷数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 如果创建克隆卷时不指定数据目录，默认与源卷配置保持一致。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本章节主要介绍数据治理中心的约束与限制。 浏览器限制 您需要使用支持的浏览器版本登录DataArts Studio。 表1 浏览器兼容性 浏览器版本 建议版本 建议操作系统 备注 Google Chrome 115，114，113 Windows 10 分辨率最佳可视范围为最小1366768px，最大为19201080px。其中19201080px为最佳显示分辨率，界面自适应为最优显示。 使用限制 使用DataArts Studio前，您需要认真阅读并了解以下使用限制。 表2 DataArts Studio使用限制一览表 组件 约束限制 公共 DataArts Studio基于数据湖底座提供数据一站式集成、开发、治理等能力，本身不具备存储和计算的能力，需要配合数据湖底座使用。 每个企业项目下最多绑定一个DataArts Studio实例。当企业项目下已绑定实例时，再次创建实例会失败。 DataArts Studio各组件对不同数据源的支持程度不一，您需要按照您的业务需求来选择数据湖底座。DataArts Studio平台当前支持的数据湖产品请参见“DataArts Studio用户指南 > 管理中心 > DataArts Studio支持的数据源”。 管理中心 由于管理中心的限制，数据治理各组件（如数据架构、数据质量、数据目录等）暂不支持包含中文和“.”字符的库表名。 建议为管理中心数据连接的Agent和CDM迁移作业规划相互独立的CDM集群，避免双方使用同一集群，导致业务高峰期时资源抢占引起业务不可用。 CDM集群作为管理中心数据连接Agent时，单集群无法连接多个MRS安全集群。建议您按照业务情况规划多个Agent与MRS安全集群一一映射。 CDM集群作为管理中心数据连接Agent时，单集群的并发活动线程最大为200。即当多个数据连接共用同一Agent时，通过这些数据连接提交SQL脚本、Shell脚本、Python脚本等任务的同时运行上限为200，超出的任务将排队等待。建议您按照业务量情况规划多个Agent分担压力。 单工作空间允许创建的数据连接个数最多200个。 管理中心相关开放API并发限制为100qps。 数据集成 CDM作业支持自动备份和恢复，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据集成 > 管理作业 > 作业配置管理”章节。 CDM作业本身无配额限制，但建议作业数不超过CDM集群的vCPU核数2，否则作业运行性能可能会受到一定影响。 数据集成CDM集群为单集群部署，集群故障可能会导致业务、数据损失。建议您使用数据开发作业CDM Job节点调用CDM作业，并选择两个CDM集群以提升可靠性。详情请参见用户指南中“数据开发 > 节点参考 > CDM Job”章节。 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 在驱动更新场景下，上传驱动后必须在CDM集群列表中重启集群才能更新生效。 单作业的抽取并发数取值范围为1300，集群的总抽取并发数取值范围为11000。其中集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数2，作业的抽取并发数建议不超过集群的总抽取并发数，过高的并发数可能导致内存溢出，请谨慎修改。 关于数据集成中的更多约束限制，请参考用户指南中“数据集成> 约束与限制”章节。 数据开发 数据开发脚本、作业等资产支持备份管理，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据开发 > 运维调度 > 备份管理”章节。 脚本、作业或节点的历史运行记录依赖于OBS桶，如果未配置测试运行历史OBS桶，则无法查看历史运行的详细信息。 上传资源时，如果资源位置为HDFS，则只支持MRS Spark，MRS Flink Job，MRS MapReduce节点使用该资源。 单工作空间允许创建的脚本个数最多1万个，脚本目录最多5000个，目录层级最多为10层。 单工作空间允许创建的作业个数最多1万个，作业目录最多5000个，目录层级最多为10层。 RDS SQL、DWS SQL、HIVE SQL、SPARK SQL、DLI SQL脚本执行结果页面展示最多1千条，且数据量少于3MB。超过1千条数据可以使用转储功能，转储最多支持1万条。 实例监控、补数据监控只能展示最近6个月的数据。 通知记录只能展示最近30天的数据。 下载中心的下载记录会每7天做老化处理，老化时下载中心记录和已转储的OBS数据会同时被删除。 数据架构 数据架构当前支持关系建模和维度建模（仅支持星形模型）这两种建模方式。 数据架构支持最大导入文件大小为4Mb；支持最大导入指标个数为3000个；支持一次最大导出500张表。 码表和数据标准的根目录下禁止直接创建码表和数据标准。 单工作空间中创建各类对象的配额如下： l主题5000个。 l数据标准目录500条，个数20000个。 l业务指标100000个。 l原子指标、衍生指标、复合指标各5000条。 配置中心中各类对象的自定义项配额如下： l主题自定义项10条。 l表自定义项30条。 l属性自定义项10条。 l业务指标自定义项50条。 数据质量 数据质量作业执行时长依赖数据引擎，如果底层数据引擎资源不足，可能会导致运行速度变慢。 单个数据质量作业最多可以配置50条规则，如有需要可拆分为多个质量作业。 单个数据连接上的质量作业关联SQL的并发数默认为1000，如果超出则等待排队执行。可配置范围101000。 单Region内的质量作业关联SQL的并发数为10000，如果超出则等待排队执行。 业务指标监控模块总览中的实例运行状态和实例告警状态支持按照7天展示，告警趋势、业务看板、指标看板支持按照7天、15天和30天展示。 数据质量监控模块总览中的变化趋势支持按照30天展示，质量告警分类趋势和规则数量趋势支持按照7天展示。 质量报告采用T+1日定时批量生成，质量报告数据保留90天。 导出质量报告至OBS，会将质量报告导出到工作空间中配置的作业日志OBS路径中，导出记录保留3个月。 数据目录 单工作空间中元数据采集任务最多创建100个。 元数据采集任务通过执行引擎相关的DDL SQL获取，不建议单个任务采集超过1000张表。如有需要可拆分为多个采集任务，另外调度时间和频次也需要根据业务需要进行合理设置，避免对引擎造成较大的访问和连接压力，设置建议如下： l若业务对元数据时效性要求为1天，则设置调度周期max(1天，单次采集周期时间)，其他情况同理。 l若业务压力集中在白天，则设置调度时间在夜间，其他情况同理，选择数据源压力最小的时间段。 数据血缘的产生依赖于数据开发中调度运行的作业，测试运行的作业不会产生血缘。 元数据采集模块总览中的数据连接历史统计支持按照7天、15天和30天展示。 数据服务 数据服务共享版仅供开发测试使用，专享版性能优于共享版，推荐使用数据服务专享版。 DataArts Studio实例下最多支持创建5个数据服务专享版集群，且集群需要与某个工作空间绑定，不能多空间共用同一集群。 数据服务专享版集群创建后暂不支持修改规格或升级版本。 DataArts Studio实例下支持创建的专享版API最大数量由数据服务专享版API总分配配额（默认为5000）和当前实例下集群的API规格总和共同决定，取较小的作为限制。例如，某DataArts Studio实例下的数据服务专享版API总分配配额为5000，已分别创建了API规格为500和2000的两个集群，则当前实例下支持创建的专享版API最大数量为2500。 单工作空间下支持创建的专享版API最大数量由数据服务专享版API已分配配额（通过编辑工作空间信息分配）和当前空间下集群的API规格总和共同决定，取较小的作为限制。例如，某工作空间下的数据服务专享版API已分配配额为800，当前工作空间下已创建了API规格为500的两个集群，则当前工作空间下支持创建的专享版API最大数量为800。 单工作空间下支持创建的应用数量为1000。 单工作空间下支持创建的流控策略数量为500。 数据服务支持跟踪并保存事件。对于每个事件，数据服务会报告事件发生日期、说明、时间源（某个集群）等信息，事件保存时长为30天。 数据服务专享版日志信息仅查询集群最近100条访问记录，均分至集群全部所属节点中获取。 总览中的调用趋势、发布趋势、调用比率 top5、调用时间 top5和调用次数 top5支持按照近12小时、近1天、近7天和近30天展示，总调用数为前7天数据总和（不含当天）。

参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。 类型规格 公有云提供了多种类型的弹性云主机供您选择，针对不同的应用场景，可以选择不同规格的弹性云主机。根据您选择的“云主机类型”的类型，配置相应的规格参数，包括vCPU、内存、镜像类型和磁盘。 内存优化型 镜像 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云主机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云主机，可以节省您重复配置弹性云主机的时间。 共享镜像 用户将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 公共镜像 磁盘 包括系统盘和数据盘。 系统盘 普通IO：是指由SATA存储提供资源的磁盘类型。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO：是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由GPSSD存储提供资源的磁盘类型。极速型SSD：是指由ESSD存储提供资源的磁盘类型。 数据盘 您可以为云主机添加多块数据盘，或者从指定的数据盘镜像导出数据到某个数据盘。 “系统盘”选为“普通IO” 安全组 安全组是一个逻辑上的分组，用来实现安全组内和组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥对页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对文件注入、用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。

概述 网关支持将API分组下的API按照OAS2.0和OAS3.0的格式导出，方便用户实现跨账号，跨地域间甚至跨平台的数据迁移。 OpenAPI 规范（OAS），是定义一个标准的、与具体编程语言无关的RESTful API的规范。 导出标准OAS格式的API定义 网关目前支持两种API导出方式 通过分组导出API定义 1. 进入 API 托管 >分组管理 菜单页。 2. 点击 导出API定义 按钮 ,在弹出框中指定导出的数据格式，环境 以及是否需要 导出API网关拓展定义 。 3. 点击导出按钮后浏览器会下载API定义压缩包. 直接批量导出API定义 1. 进入 API 托管 >API管理 菜单页。 2. 批量勾选API后在批量操作 下拉框中点击导出API定义 按钮 ,在弹出框中指定导出的数据格式，环境 以及是否需要 导出API网关拓展定义 。 3. 点击导出按钮后浏览器会下载API定义压缩包. 注意 批量导出API定义时仅支持导出同一个分组下的API API扩展定义字段 如果在导出OAS规范的定义中选择了导出API网关扩展字段，在导出的API定义文件中会添加网关的扩展字段。扩展属性被设计为总是以 "x" 为前缀的模式字段，此字段的值可以是 null、原始类型、数组或对象。可以包含任意有效的 JSON 格式的值。 扩展字段 OAS中位置 说明 类型 xctyunapigatewayapiname Operation API名称 String xctyunapigatewayisantireplay Operation 是否设置防重放攻击 Boolean xctyunapigatewaybackend Operation 后端服务定义 Object xctyunapigatewaycommonparameters Operation 常量参数定义 Object xctyunapigatewaysystemparameters Operation 系统参数定义 Object xctyunapigatewayrequestargumentmode Operation 入参请求模式 String xctyunapigatewayresponsemessages Responses 错误码错误信息 String xctyunapigatewayparameterdemo Parameter 参数定义示例值 String xctyunapigatewaybackendlocation Parameter 后端服务参数映射位置 String xctyunapigatewaybackendname Parameter 后端服务参数映射名称 String xctyunapigatewaysuccessdemo Operation 返回结果示例 String xctyunapigatewayfaileddemo Operation 失败结果示例 String xctyunapigatewayrequestbodyschema Operation 请求body引用的模型名 String xctyunapigatewayrequestbodydescription Operation 请求body内容描述 String 说明 1. 导出OAS2格式的定义时,会导出分组的base path； 2. 每次可以导出的API数量限制为50个API； 3. 分组模型管理里中定义的模型定义如果无法解析，导出的内容中将不包含模型定义； 4. 以API为单位导出时，所有勾选的API会导出到一个文件中； 5. 未勾选导出API网关扩展字段时，导出OAS文件中的OperationId为API定义的请求path和请求method的拼接后的字符串，如“export1ByGET”； 6. 勾选导出API网关扩展字段后，在API网关定义API以外的内容，如绑定的插件、授权的APP、分组的域名、后端服务在各环境上的定义等，均不会被导出。

本章节主要介绍如何获取集群连接地址。 操作场景 数据仓库服务(DWS) 支持不同方式连接集群，不同连接方式的连接地址也不同。支持查看并获取云平台环境的内网连接地址、互联网环境的公网访问地址和JDBC连接字符串。 获取集群连接地址有以下两种方式： 在连接管理页面获取集群连接地址，以及在“集群详情”页面获取集群连接地址。 在连接管理页面获取集群连接地址 1. 登录数据仓库服务(DWS) 管理控制台。 2. 在左侧导航栏中，单击“连接管理”。 3. 在“数据仓库连接信息”区域，选择一个可用的集群名称。 只能选择状态为“可用”的集群。 4. 查看并获取集群的连接信息。 “内网访问地址” “公网访问地址” “JDBC连接字符串（内网）” “JDBC连接字符串（公网）” “ODBC连接字符串” 说明 如果创建集群时没有自动绑定弹性IP，“公网访问地址”显示为空。如果您想使用公网访问地址（由弹性IP和数据库端口组成）从互联网访问集群，可以单击“绑定弹性IP”为集群绑定弹性IP 。 如果创建集群时绑定了弹性IP，如果您不想使用公网访问地址访问集群，可以单击“解绑弹性IP”为集群解绑弹性IP。弹性IP解绑后，“公网访问地址”显示为空。 在“集群详情”页面获取集群连接地址 1. 登录数据仓库服务(DWS)管理控制台。 2. 在左侧导航栏中，单击“集群管理”。 3. 在集群列表中，单击指定集群的名称，打开“集群详情”页面。 4. 在“连接信息”区域，用户可以查看并获取集群的连接地址信息，包括内网地址、公网地址等。 详见下图：连接数据 参数名 参数解释 内网域名 通过内部网络访问集群数据库的域名地址。内网访问域名在创建集群时自动生成。通过域名访问DWS集群，域名解析器具有负载均衡的功能。 单击“修改”可以修改内网访问域名。访问域名由字母、数字、中划线组成，以大小写字母开头，长度为4~63个字符。 更多信息请参见管理集群访问域名。 内网IP 通过内部网络访问集群数据库的IP地址。 说明 内网访问IP地址在创建集群时自动生成，生成后的IP地址是固定的。 内网访问IP的数量对应的是CN节点的个数，可以通过登录任一节点连接到集群。 通过内网访问某个固定的IP，工作负载会集中在一个CN上。 公网域名 通过外部网络访问集群数据库的域名地址。 更多信息请参见管理集群访问域名。 公网IP 通过外部网络访问集群数据库的IP地址。 说明 如果创建集群时没有绑定弹性IP，“公网IP”显示为空，可以单击“绑定弹性IP”为集群绑定弹性IP。 如果创建集群时绑定了弹性IP，可以单击“解绑弹性IP”为集群解绑弹性IP。 初始管理员用户 创建集群时指定的数据库管理员用户。当用户第一次连接集群时，需要使用初始数据库管理员用户及其密码连接到默认数据库。 端口 通过公网或者内网访问集群数据库的端口号。端口号在创建集群时指定，它是集群监听客户端连接的端口。 默认数据库 创建集群时默认自动创建的数据库。当用户第一次连接集群时，需要连接到该默认数据库。 弹性负载均衡地址 为实现集群高可用，解决CN单点问题，集群创建后需手动绑定弹性负载均衡（ELB），连接集群时建议连接ELB地址。

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，帮助您安全的控制 HPFS 服务的访问及操作权限，实现对HPFS的访问控制。 基本概念 并行文件服务HPFS已对接云平台统一身份认证（IAM），支持通过IAM对HPFS的资源进行访问控制管理。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证。详细请查看：术语解释 IAM的相关文档请查看：统一身份认证（一类节点）。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如HPFS的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 操作步骤 创建IAM用户并授权使用HPFS，示例流程 1. 登录天翼云控制台，在右上角点击头像选择“账号中心”，在左侧导航中选择“统一身份认证”，或者直接点击IAM控制台。 2. 在IAM里，左侧导航中点击“用户组”，点击右上角的“创建用户组”。 3. 在“创建用户组”界面，输入用户组名称和描述，单击“确定”，完成用户组创建。用户组是用户的集合，IAM通过用户组功能实现用户的授权。 4. 您需要新建用户或将已创建的用户，加入刚建好的用户组里。在左侧导航窗格中，点击“用户”，点击右上角“创建用户”。 5. 在用户组列表中，单击新建的用户组右侧“查看”，可以检查是否已将用户添加到组中，确认符合预期后，点击“授权”。 6. 选择策略，在右上角“请输入策略名称进行搜索”框内输入“并行”进行搜索，勾选需要授予用户组的资源池级策略，单击“下一步”。并行文件的管理者可以对资源进行创建、扩容、删除等所有操作，并行文件查看者只支持查看资源列表、详情。如您需要更细粒度的权限设置，可通过创建自定义策略来进行授权管理。 7. 由于并行文件在创建资源的是否，需要选择企业项目，所以还需要将用户也添加到企业项目并授权对应权限。在左侧导航窗格中，点击“企业项目”，选择指定的企业项目一般为default，点击右侧“查看用户组”。 8. 在用户组tab页，点击“设置用户组”，然后选择刚创建的用户组。 9. 在加入的用户组右侧操作里，点击“设置策略”，并选择并行文件的对应策略。 10. 完成以上操作后，主账号需要将创建IAM用户时输入的邮箱及密码告知对应的员工，这些员工就可以使用邮箱和密码登录天翼云。如果登录失败，IAM用户可以联系管理员重置密码。对应员工使用IAM用户登录HPFS管理控制台，验证用户权限。

DTS服务等级协议变更说明。 尊敬的用户您好，我们将于2026年2月14日更新《天翼云数据传输服务DTS版服务等级协议》以期向您展示更加清晰完整的条款内容，帮助您更加清楚高效地了解我们的产品服务。 本次更新内容如下： 1. 将原协议第二条 服务承诺 和第三条 服务说明 的内容合并到新的第二条 服务说明与承诺，并更新关于服务不可用的定义，修改后内容如下： 服务不可用：指依照数据传输服务平台的系统日志，显示用户使用的数据迁移、数据同步功能因天翼云原因导致的从源数据库到目标数据库写入数据失败，且失败状态连续超过五分钟视为服务不可用，低于五分钟的不可用时间不视为服务不可用。 2. 将原协议第四条 赔偿方案 变更为 第三条服务补偿，并更新关于补偿申请时限的说明，新增关于补偿申请方法的说明，相关修改和新增内容如下： 补偿申请时限：用户可在每服务周期账单结清后对该服务周期没有达到服务可用性承诺的云服务提出补偿申请，且补偿申请必须在该云服务没有达到服务可用性承诺的服务周期结束后两个月内提出。超出申请时限的补偿申请将不被受理。天翼云将对用户的申请进行合理评估，并依据本SLA约定及诚信原则就是否适用补偿做出决定。 补偿申请方法：用户可以在天翼云用户中心提交工单申请补偿。 3. 将原协议第五条 不可抗力及免责 变更为第四条 限制，并新增如下条款： 以下原因导致的甲方数据传输服务不可用的情况不计在不可用时间内： 甲方的应用程序或安装活动所引起的； 任何天翼云所属设备以外的网络、设备故障或配置调整引起的； 系统或服务日常维护而引起的； 甲方使用DTS免费任务或处于收费任务的免费阶段的； 甲方未遵循天翼云产品官方使用文档或使用建议引起的； 甲方的源端数据库或目标端数据库自身原因导致的； 由于源端数据库或者目标端数据库用户名、密码修改后，甲方未及时在DTS控制台更新导致的； 由甲方操作所引起的不可用，包括但不限于实例被意外重启、源端数据库或者目标端数据库参数修改不当以及删改数据库账户、权限后未及时在DTS控制台更新等； 依照法律法规，应监管部门要求或依照协议及协议中援引的政策用户的服务被暂停或终止的。 4. 将原协议第五条 不可抗力及免责 中关于协议生效的内容放到新增的第五条 协议生效及其他并更新说明，修改后内容如下： 本服务等级协议自用户申请天翼云数据传输服务之日起生效并遵行。终止日期以《天翼云数据传输服务DTS版服务协议》的终止为准。 天翼云有权对本SLA条款作出修改。如本SLA条款有任何修改，天翼云将提前30天以网站公示或发送邮件的方式通知用户。如用户不同意天翼云对SLA所做的修改，用户有权停止使用DTS服务，如用户继续使用DTS服务，则视为用户接受修改后的SLA。 本次更新将于2026年2月14日正式更新至官网协议文档，请您务必认真阅读上述变更内容，若您不同意天翼云即将对SLA所做的修改，您有权停止使用DTS服务，如您继续使用DTS服务，则视为您接受修改后的SLA。

本地快速恢复 使用DistCp将本集群HBase、HDFS和Hive数据备份在备集群HDFS中以后，本集群HDFS保留了备份数据的快照。用户可以通过创建本地快速恢复任务，直接从本集群HDFS的快照文件中恢复数据。 NAS NAS（Network Attached Storage）是一种特殊的专用数据存储服务器，包括存储器件和内嵌系统软件，可提供跨平台文件共享功能。利用NFS（支持NFSv3、NFSv4）和CIFS（支持SMBv2、SMBv3）协议，用户可以连通MRS的业务平面与NAS服务器，将数据备份至NAS或从NAS恢复数据。 说明 数据备份至NAS前，系统会自动将NAS共享地址挂载为本地分区。在备份结束后，系统会卸载NAS共享分区。 为防止备份恢复失败，数据备份及恢复期间，请勿访问NAS服务器挂载至本地的共享地址，如：“/srv/BigData/LocalBackup/nas”。 业务数据备份至NAS时，会使用DistCp。 规格 备份恢复特性规格 项目 参数 备份或恢复任务最大数量（个） 100 同一集群同时运行的任务数量（个） 1 等待运行的任务最大数量（个） 199 Linux本地磁盘最大备份文件大小（GB） 600 说明 若业务数据存储在ZooKeeper中的上层组件，在备份恢复这类数据时，需确保单个备份或恢复任务的znode数量不会过大，否则会造成任务失败，并影响Zookeeper的服务性能。可通过如下方法确认单个备份或恢复任务的znode数量： l 单个备份或恢复任务的znode数量要少于操作系统的文件句柄限制。查看句柄限制的方式如下： l 使用shell命令输入：cat /proc/sys/fs/filemax，用于查看系统级的最大限制。 1. 使用shell命令输入：ulimit n，用于查看用户级的限制。 l 对于父目录的znode数量超过上述限制的情形，可以通过其子目录进行批量备份与恢复。使用Zookeeper提供的客户端脚本查看znode数量的方式： l 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Zookeeper > 实例”，查看Zookeeper各角色的管理IP。 1. 登录客户端所在节点，执行如下命令： zkCli.sh serverip:port，其中ip可以为任意管理IP，port默认值是2181。 2. 当看到如下输出信息时，表示已经成功连接上Zookeeper服务器。 WatchedEvent state:SyncConnected type:None path:null [zk: ip:port(CONNECIED) 0] 3. 使用getusage命令查看待备份目录的znode数量，例如： getusage /hbase/region，输出结果中"Node countxxxxxx"即表示region目录下存储的znode数量。 “default”任务规格 项目 OMS HBase Kafka DBService NameNode 备份周期 1小时 1小时 1小时 1小时 1小时 最大备份数 168个（7天历史数据） 168个（7天历史数据） 168个（7天历史数据） 168个（7天历史数据） 24个（1天历史数据） 单个备份文件最大大小 10MB 10 MB 512MB 100MB 20GB 最大占用磁盘大小 1.64GB 1.64 GB 84GB 16.41GB 480GB 备份数据保存位置 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 说明 默认任务保存的备份数据，请管理员根据企业运维要求，定期转移并保存到集群外部。 管理员可直接创建DistCp备份任务将OMS、DBService和NameNode等的数据保存到外部集群。 集群数据的备份任务运行时长可根据要备份的数据量除以集群与备份设备之间的网络带宽来计算得出，在实际场景中，建议将计算得出的时常乘以1.5作为任务执行时长参考值。 执行数据备份任务会对集群的最大IO性能产生影响，建议备份任务运行时间与集群业务高峰错开。

本文详细介绍零信任全球加速服务计费模式资费。 零信任全球加速适用场景 零信任全球加速服务基于中国电信强大网络资源和天翼云全球分布式边缘节点，采用合法、合规的跨境线路，提高跨境访问速度，保障海外电商、全球化办公等业务体验。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则：不享受包年折扣 注意 全球加速不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 全球加速支持连接器接入、客户端接入访问公网应用。 客户端接入时，需要配置对应账号，可配置的账号数受零信任远程办公所订购的账号数量限制。详见零信任远程办公计费概述。 如您未订购零信任远程办公，将赠送10个账号数，客户端PC 2.24.0 ，移动端 2.7.0 版本以上支持 。 如您同时订购零信任远程办公和全球加速，账号数按照零信任远程办公订购值生效。 零信任全球加速计费概述 标准资费说明 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 全球加速带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中国内地 (100Mbps,+] 35 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 香港 (1Gbps,+] 135 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 亚太 (1Gbps,+] 490 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 美洲 (1Gbps,+] 510 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 欧洲 (1Gbps,+] 520 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 全球加速带宽 包周期 中东非 (1Gbps,+] 680 每个区域1M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公的中国内地带宽用于限制中国内地客户端接入的带宽，远程办公连接器中国内地带宽为免费赠送。 当远程办公中国内地连接器复用办公组网/全球加速已有的稳定隧道时，属于网络能力升级。为保障整条隧道链路的稳定性与公平性，同时满足统一计费与带宽管控要求，当远程办公连接器与办公组网/全球加速共用时，需按照已订购的带宽规格统一限速与计费。

弃用和移除 Kubernetes 1.27版本 在Kubernetes 1.27版本，针对卷扩展 GA 特性的以下特性门禁将被移除，且不得再在 featuregates 标志中引用。（ ExpandCSIVolumes，ExpandInUsePersistentVolumes，ExpandPersistentVolumes ） 在Kubernetes 1.27版本，移除masterservicenamespace 命令行参数。该参数支持指定在何处创建名为kubernetes的Service来表示API服务器。自v1.26版本已被弃用，1.27版本正式移除。 在Kubernetes 1.27版本，移除 ControllerManagerLeaderMigration 特性门禁。Leader Migration 提供了一种机制，让 HA 集群在升级多副本的控制平面时通过在 kubecontrollermanager 和 cloudcontrollermanager 这两个组件之间共享的资源锁，安全地迁移“特定于云平台”的控制器。特性自 v1.24 正式发布，被无条件启用， 在 v1.27 版本中此特性门禁选项将被移除。 在Kubernetes 1.27版本，移除 enabletaintmanager 命令行参数。该参数支持的特性基于污点的驱逐已被默认启用， 且在标志被移除时也将继续被隐式启用。 在Kubernetes 1.27版本，移除podevictiontimeout 命令行参数。弃用的命令行参数 podevictiontimeout 将被从 kubecontrollermanager 中移除。 在Kubernetes 1.27版本，移除 CSI Migration 特性门禁。CSI migration 程序允许从树内卷插件移动到树外 CSI 驱动程序。 CSI 迁移自 Kubernetes v1.16 起正式发布，关联的 CSIMigration 特性门禁将在 v1.27 中被移除。 在Kubernetes 1.27版本，移除 CSIInlineVolume 特性门禁。CSI Ephemeral Volume 特性允许在 Pod 规约中直接指定 CSI 卷作为临时使用场景。这些 CSI 卷可用于使用挂载的卷直接在 Pod 内注入任意状态，例如配置、Secret、身份、变量或类似信息。 此特性在 v1.25 中进阶至正式发布。因此，此特性门禁 CSIInlineVolume 将在 v1.27 版本中移除。 在Kubernetes 1.27版本，移除 EphemeralContainers 特性门禁。对于 Kubernetes v1.27，临时容器的 API 支持被无条件启用；EphemeralContainers 特性门禁将被移除。 在Kubernetes 1.27版本，移除 LocalStorageCapacityIsolation 特性门禁。Local Ephemeral Storage Capacity Isolation 特性在 v1.25 中进阶至正式发布。此特性支持 emptyDir 卷这类 Pod 之间本地临时存储的容量隔离， 因此可以硬性限制 Pod 对共享资源的消耗。如果本地临时存储的消耗超过了配置的限制，kubelet 将驱逐 Pod。 特性门禁 LocalStorageCapacityIsolation 将在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 NetworkPolicyEndPort 特性门禁。Kubernetes v1.25 版本将 NetworkPolicy 中的 endPort 进阶至正式发布。 支持 endPort 字段的 NetworkPolicy 提供程序可用于指定一系列端口以应用 NetworkPolicy。 在Kubernetes 1.27版本，移除 StatefulSetMinReadySeconds 特性门禁。对于作为 StatefulSet 一部分的 Pod，只有当 Pod 至少在 minReadySeconds 中指定的持续期内可用（并通过检查）时，Kubernetes 才会将此 Pod 标记为只读。 该特性在 Kubernetes v1.25 中正式发布，StatefulSetMinReadySeconds 特性门禁将锁定为 true，并在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 IdentifyPodOS 特性门禁。启用该特性门禁，您可以为 Pod 指定操作系统，此项特性支持自 v1.25 版本进入稳定。 IdentifyPodOS 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 DaemonSetUpdateSurge 特性门禁。Kubernetes v1.25 版本还稳定了对 DaemonSet Pod 的浪涌支持， 其实现是为了最大限度地减少部署期间 DaemonSet 的停机时间。 DaemonSetUpdateSurge 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 containerruntime 命令行参数。kubelet 接受一个已弃用的命令行参数 containerruntime， 并且在移除 dockershim 代码后，唯一有效的值将是 remote。 Kubernetes v1.27 将移除该参数，该参数自 v1.24 版本以来已被弃用。

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

本节主要介绍OBS的权限管理。 如果您需要对OBS资源，为企业中的员工设置不同的用户访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有OBS的使用权限，但是不希望他们拥有删除OBS资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用OBS，但是不允许删除OBS资源的权限，控制他们对OBS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用OBS的其它功能。 IAM是云平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《天翼云统一身份认证服务用户指南》“产品介绍”章节。 OBS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如完全控制权限、只读权限，您可以直接使用这些系统策略。 OBS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问OBS时，不需要切换区域。 RBAC策略：RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限，如访问整个服务、管理整个服务，RBAC策略无法针对服务中的具体操作做权限控制。 说明 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待10~15分钟策略才能生效。 下表为OBS的所有系统策略。 策略名称 描述 策略类别 Tenant Administrator 操作权限：对帐号拥有的所有云资源执行任意操作。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 Tenant Guest 操作权限：对帐号拥有的所有云资源的只读权限。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 用户拥有OBS资源权限后，对应在OBS上可以执行的具体操作下表所示。 操作名称 Tenant Administrator权限 Tenant Guest权限 列举桶 可以 可以 创建桶 可以 不可以 删除桶 可以 不可以 获取桶基本信息 可以 可以 管理桶访问权限 可以 不可以 管理桶策略 可以 不可以 修改桶存储类别 可以 不可以 列举对象 可以 可以 列举多版本对象 可以 可以 上传文件 可以 不可以 新建文件夹 可以 不可以 删除文件 可以 不可以 删除文件夹 可以 不可以 下载文件 可以 可以 删除多版本文件 可以 不可以 下载多版本文件 可以 可以 修改对象存储类别 可以 不可以 恢复文件 可以 不可以 取消删除文件 可以 不可以 删除碎片 可以 不可以 管理对象访问权限 可以 不可以 设置对象元数据 可以 不可以 获取对象元数据 可以 不可以 管理多版本控制 可以 不可以 管理日志记录 可以 不可以 管理标签 可以 不可以 管理生命周期规则 可以 不可以 管理静态网站托管 可以 不可以 管理CORS规则 可以 不可以 管理防盗链 可以 不可以 管理跨区域复制 可以 不可以 管理图片处理 可以 不可以 设置对象ACL 可以 不可以 设置指定版本对象ACL 可以 不可以 获取对象ACL 可以 可以 获取指定版本对象ACL 可以 可以 多段上传 可以 不可以 列举已上传段 可以 可以 取消多段上传任务 可以 不可以

本节主要介绍应用组件部署 部署方式说明 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云平台上轻松部署、管理和扩展容器化应用程序。 如果创建的组件未开启构建，则不支持容器部署。 部署组件 本节介绍如何将静态组件部署到对应的环境上。 新建应用组件时，也可以选择“创建并部署”，部署操作与本节介绍步骤相同。 前提条件 1. 已经创建应用组件或者正在创建应用组件并完成了静态组件配置，请参考新建应用组件。 2. 已经完成环境创建，请参考环境管理。 3. 如果您基于软件包或者镜像包部署组件，需要将软件包或者镜像包上传： 将软件包上传至OBS对象存储中 将镜像包上传至镜像仓库，请参考上传镜像。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”页。 3、在“组件列表”选择已经创建的组件，单击“操作”栏“部署”。 4、设置基本配置，其中带“”标志的参数为必填参数。 参数 参数说明 :: 环境 选择已创建的环境。 部署版本 组件版本号，例如：1.0.0。 描述 组件的描述信息。 部署系统 支持云容器引擎。 详情请参见部署方式说明。 基础资源 会自动加载所选环境包含的基础资源，根据实际业务需要进行选择。 实例数量 组件可以有一个或多个实例，用户可以设置具体实例个数。 设置多个实例主要用于实现高可靠性，当某个实例故障时，应用组件还能正常运行。 资源配额 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”。 组件状态 根据需要设置组件状态。 5、单击“下一步 组件配置”，配置组件。 “组件类型”为“通用”且运行时为“Docker”的组件，执行以下操作： a.选择镜像。支持多容器，可以单击“添加容器”增加镜像。 b.设置“镜像版本”。 c.输入“容器名称”。 d.（可选）设置“资源配额”。组件无法调度到剩余资源小于申请值的节点上。可以根据需要自定义“CPU配额”和“内存配额”。 e.（可选）设置“高级设置” 展开“高级设置> 组件配置”，可以设置“环境变量”，请参考设置应用环境变量。 展开“高级设置 > 部署配置”： 设置“启动命令”、“生命周期”，请参考设置应用生命周期。 设置“数据存储”，请参考设置数据存储。 展开“高级设置 > 运维监控”： 设置“日志采集”，请参考配置应用日志策略。 设置“健康检查”，请参考设置应用健康检查。 f.（可选）开启“公网访问” i.设置“公网ELB” 选择已经创建的负载均衡。 若不存在，请单击“新增ELB”创建新的负载均衡。 ii.（可选）设置“HTTPS” 若开启HTTPS，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。 iii.设置“域名” 在输入框中输入自定义域名。详情请参考配置域名映射。 iv.设置“监听端口” 设置应用进程的监听端口。 g.（可选）设置“数据库” 选择已经创建的缓存实例。 h.（可选）设置“时区” 修改容器节点的时区，默认和容器节点所在Region的时区一致。 i.（可选）设置“调度策略”，请参考设置应用组件实例调度策略。 j.（可选）设置“升级策略”，请参考设置应用组件实例升级策略。 k.（可选）设置“性能管理”，请参考设置应用性能管理。 其他类型的组件，执行以下操作： a.设置“镜像” 应用来源为软件包，会加载已经配置的组件静态信息。 组件运行时为Docker，需要从SWR镜像仓库选择镜像包。 b.（可选）开启“公网访问” i.设置“公网ELB” 选择已经创建的负载均衡。 若不存在，请单击“新增ELB”创建新的负载均衡，详情请参考“帮助中心 > 弹性负载均衡 > 用户指南 > 负载均衡器 > 创建负载均衡器”创建增强型负载均衡器。 ii.（可选）设置“HTTPS” 若开启HTTPS，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。创建服务器证书请参考“帮助中心 > 弹性负载均衡 > 用户指南 > 证书管理 > 创建证书”创建证书。 iii.设置“域名” 在输入框中输入自定义域名。详情请参考配置域名映射。 iv.（可选）设置“监听端口” 应用进程的监听端口，对于Tomcat8运行时，默认为8080，也支持自定义。 c.（可选）设置“JVM” 组件运行时为“Java8”、“Tomcat8”时需要设置。 输入JVM参数，如Xms256m Xmx1024m，多个参数以空格间隔，不填则使用默认值。 d.（可选）设置“Tomcat配置” 组件运行时为“Tomcat8”时需要配置。 i.勾选“配置参数”，弹出“Tomcat配置”对话框。 ii.单击“使用示例模板”，根据业务要求编辑模板文件。 iii.单击“确定”。 e.（可选）设置“微服务引擎” 微服务类型组件需要设置该参数。 默认选择环境中添加的微服务引擎，创建微服务引擎请参考创建微服务引擎专享版。 f.（可选）设置“数据库” 选择已经创建的缓存实例。 g.（可选）设置“时区” 修改容器的时区，默认和容器节点所在Region的时区一致。 h.（可选）设置“高级设置” 部署系统选择虚机部署时，只能设置“环境变量”。 展开“高级设置> 组件配置”，可以设置“环境变量”，请参考设置应用环境变量。 展开“高级设置 > 部署配置”： 设置“启动命令”、“生命周期”，请参考设置应用生命周期。 设置“数据存储”，请参考设置数据存储。 设置“调度策略”，请参考设置应用组件实例调度策略。 设置“升级策略”，请参考设置应用组件实例升级策略。 展开“高级设置 > 运维监控”： 设置“日志采集”，请参考配置应用日志策略。 设置“健康检查”，请参考设置应用健康检查。 设置“性能管理”，请参考设置应用性能管理。 设置“自定义监控指标”，请参考设置应用组件自定义指标监控。 6、单击“下一步 规格确认”，确认规格无误后，单击“部署”。 组件部署完成后，在应用“概览”页的“环境视图”可查看组件状态。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。