本页介绍天翼云TeleDB数据库参数配置相关操作。 操作步骤 1. 切换至TeleDB控制台，单击系统信息 > 基本信息 ，选择参数配置页签。 2. 在下拉框选择Agent或Center，输入参数名称 ，单击查询 。 3. 单击查询出参数所在行的编辑按钮。 4. 在编辑系统参数对话框，输入参数值 ，单击确定 。

天翼云监控支持使用监控面板可视化展示多个实例监控数据，本文为您介绍该应用场景下的操作步骤。 应用背景 当您资源数量较多时，逐个查看各实例的监控数据将耗费大量时间精力。云监控的监控面板能够可视化展示多个实例监控数据，帮助您实现同时对多个实例情况的批量了解，从而提高日常监控效率。 操作步骤 1.登录管理控制台。 2.单击“管理与部署 > 云监控服务”。 3.单击“监控面板”，即可进入监控面板界面并查看。 4.切换至“自定义面板”，您可以通过配置监控面板中的监控视图实现多个实例监控数据的可视化呈现。新建监控面板，或在上方监控面板的下拉菜单中选择切换到需要添加监控视图的监控面板，然后单击，进入“创建监控视图”页面。 5.在“添加监控视图”界面，根据需要选择监控的各实例对象及其指标，并点击确定。 6.这时此监控面板上即可查看新添加监控视图的监控走势图，实现多实例监控数据监控。单击，可放大查看详细的指标对比数据。

本页介绍天翼云TeleDB数据库Oracle语法中的二进制操作函数。 emptyclob 需要加载插件teledbxoraclepackagefunction plaintext create extension teledboraclepackagefunction; 初始化CLOB 字段。 plaintext teledb select emptyclob(); emptyclob (1 row) teledb create table t1 (f1 int,f2 clob); CREATE TABLE teledb insert into t1(f1,f2) values (1,emptyclob()); INSERT 0 1 teledb

添加监控视图 在完成监控看板的创建后，您就可以添加监控视图对云服务进行监控。目前每个监控看板最多支持24个监控视图。 在同一个监控视图里，您可以添加20个监控指标，支持跨服务、跨维度、跨指标进行对比监控。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 选择“总览 > 监控面板”，切换到需要添加监控视图的监控面板，然后单击“添加监控视图”。 系统弹出“添加监控视图”窗口。 4. 在“添加监控视图”界面，参照表1完成参数配置。 表 1 配置参数 参数 参数说明 标题 自定义关注指标组件的标题名称，该名称只能由中文、英文字母、数字、下划线、中划线组成，长度限制为128字节。 取值样例：widgetaxaj 归属企业项目 监控视图关联的企业项目，只有有企业项目的权限，才有权查看此监控视图的监控数据。 资源类型 所关注指标对应的服务名称。 取值样例：云硬盘 维度 所关注指标的维度名称。 取值样例：磁盘 监控对象 所关注指标对应的监控对象，数量上限为20个。可支持一次勾选多个监控对象。 监控指标 所关注指标的名称。 取值样例：磁盘读带宽 5. 单击“确定”，完成监控视图的添加。 在所选的监控看板上可以查看新添加监控视图的监控走势图，单击，可放大查看详细的指标对比数据。

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本章节主要介绍翼MapReduce的修改服务自定义配置参数操作。 操作场景 MRS集群各个组件支持开源的所有参数，其中部分关键使用场景的参数支持在FusionInsight Manager界面进行修改，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，管理员可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，如果服务状态为“配置过期”，则需要重启此服务，重启期间该服务不可用。 修改服务配置参数并重启生效后，需要重新下载并安装客户端，或者下载配置文件刷新客户端。 前提条件 管理员已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 选择“配置 > 全部配置”。 5. 在左侧导航栏定位到某个一级节点，并选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存管理员新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 6. 在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击“＋”或“－”增加或删除一条自定义参数。 7. 单击“保存”，在弹出的“保存配置”窗口中确认修改参数，单击“确定”。界面提示“操作成功。”，单击“完成”，配置保存成功。 保存完成后请重新启动配置过期的服务或实例以使配置生效。

本章节主要介绍翼MapReduce的修改OMS服务配置参数操作。 操作场景 根据用户环境的安全要求，管理员可以在FusionInsight Manager修改OMS中Kerberos与LDAP配置。 对系统的影响 修改OMS的服务配置参数后，需要重启对应的OMS模块，此时FusionInsight Manager将无法正常使用。 操作步骤 修改okerberos配置 1. 登录FusionInsight Manager，选择“系统 > OMS”。 2. 在okerberos所在行，单击“修改配置”。 3. 根据下表所示的说明修改参数。 okerberos参数配置一览表 参数名 说明 连接KDC最大时延（毫秒） 应用连接到Kerberos的超时时间，单位为毫秒，请填写整数值。 最大尝试次数 应用连接到Kerberos的最大重试次数，请填写整数值。 操作Ldap最大时延（毫秒） Kerberos连接LDAP的超时时间，单位为毫秒。 搜索Ldap最大时延（毫秒） Kerberos在LDAP查询用户信息的超时时间，单位为毫秒。 Kadmin监听端口 kadmin服务的端口。 KDC监听端口 kinit服务的端口。 Kpasswd监听端口 kpasswd服务的端口。 4. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 修改oldap配置 5. 在oldap所在行，单击“修改配置”。 6. 根据下表所示的说明修改参数。 oldap参数配置一览表 参数名 说明 Ldap服务监听端口 LDAP服务端口号。 7. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 说明 如果重置LDAP帐户口令需要重启ACS，操作步骤如下： 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置： sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh复制 提示以下信息表示命令执行成功： Modify realm successfully. Use the new password to log into FusionInsight again.复制 执行 sh $CONTROLLERHOME/sbin/acscmd.sh stop ，停止ACS。 执行 sh $CONTROLLERHOME/sbin/acscmd.sh start ，启动ACS。

本章主要介绍翼MapReduce的解锁系统内部用功能。 操作场景 若服务出现异常状态，有可能是系统内部用户被锁定，请及时解锁，否则会影响集群正常运行。系统内部用户列表请参见用户帐号一览表。系统内部用户无法使用FusionInsight Manager解锁。 前提条件 根据用户帐号一览表获取LDAP管理员“cnroot,dchadoop,dccom”的默认密码。 操作步骤 1.使用以下方法确认系统内部用户是否被锁定： a.查询oldap端口： 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”。 “Ldap服务监听端口”参数值即为oldap端口。 b.查询域名方法： 登录FusionInsight Manager，选择“系统 > 权限 > 域和互信”。 “本端域”参数即为域名。 例如当前系统域名为“9427068F6EFA4833B43E60CB641E5B6C.COM”。 c.在集群内节点上以omm用户执行以下命令查询密码认证失败次数： ldapsearch H ldaps://OMS浮动IP地址:OLdap端口 LLL x D cnroot,dchadoop,dccom b krbPrincipalName系统内部用户名@当前域名,cn当前域名,cnkrbcontainer,dchadoop,dccom w LDAP管理员密码 e ppolicy grep krbLoginFailedCount 例如，查看oms/manager用户认证失败次数： ldapsearch H ldaps://10.5.146.118:21750 LLL x D cnroot,dchadoop,dccom b krbPrincipalNameoms/manager@9427068F6EFA4833B43E60CB641E5B6C.COM,cn9427068F6EFA4833B43E60CB641E5B6C.COM,cnkrbcontainer,dchadoop,dccom w cnroot,dchadoop,dccom 用户密码 e ppolicy grep krbLoginFailedCount krbLoginFailedCount: 5 d.登录FusionInsight Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。 e.查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。 说明 查看运行日志，也可以确认系统内部用户是否被锁定。 2.以omm用户登录主管理节点，执行以下命令解锁。 sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName 系统内部用户名 例如， sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName oms/manager

配置OBS转储 云监控各监控指标的原始数据的保留周期为两天，超过保留周期后原始数据将不再保存。用户可以开通对象存储服务，然后将原始数据同步保存至OBS，以保存更长时间。 关于如何配置OBS转储，具体请参见《云监控服务用户指南》中“查看云服务历史监控数据配置OBS数据存储”章节。

本页介绍天翼云TeleDB数据库修改单个节点上参数。 操作步骤 1. 切换至TeleDB控制台，在左侧导航单击参数管理。 2. 在数据库参数 页签，在搜索框中输入配置项搜索 需修改的参数，单击查询， 查找要修改的目标节点。 3. 在查找出的参数行，单击编辑 按钮，出现编辑配置项对话框。 4. 将修改值根据自己的需求设置为需调整后的参数，单击确定， 出现提示对话框。 5. 您可单击立即前往查看任务详情。

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

本小节介绍Web应用防火墙网站基础防护最佳实践。 基础防护配置是基于中国电信多年Web安全防护经验的策略与规则集，全面覆盖OWASP TOP10攻击防护，包括SQL注入、XSS，应用漏洞攻击等常见的Web攻击。 您可以根据网站的实际情况对基础防护规则进行调整，包括但不限于开关网站的安全防护、调整防护模式为阻断或预警、调整防护等级、调整应用对象相关的安全策略、调整基于攻击类型的攻击特征的防护状态和防护模式。 Web应用防火墙为您提供724的技术支持服务，在基础防护配置调整的过程中产生任何问题或疑问都可以通过客户响应快速获得技术支撑。 防护模式： 为了更好的适配您的业务，基础防护模式分为阻断状态和预警，接入防护后默认为阻断状态 ，您可以在平台通过各项规则管理进行系统化定制。 阻断会直接拦截被判定为非法请求的相关数据包。 预警仅会记录非法请求，但是不会进行阻断。 配置建议： 如果用户对网站的相关配置或相关安全配置不尽了解，则推荐采用默认的中等防护等级和阻断模式。 如果用户对安全性需求较高则推荐采用高级防护等级，在采用高级防护等级时，推荐您先使用预警模式观察数周安全规则对网站产生的影响，并根据观察结果对安全规则进行微调，以免严格的安全策略导致产生大量误拦截对网站业务造成影响。

本文通过对DNS解析验证、文件验证两种验证方式的详细操作说明，方便客户做域名归属权验证。 背景说明 客户在天翼云客户控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1. 客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云客户控制台返回的TXT记录值（如下记录值仅为示例）。 说明 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云客户控制台，在【域名管理】【域名列表】【添加域名】界面，在【加速域名】输入待验证的域名后，单击【进入验证环节】，验证通过就可以正常操作添加域名。

本页为您介绍如何进入数据库专家服务控制台页面。 操作步骤 第一步，打开天翼云官网 第二步，选择控制中心。 第三步，选择北京北京5资源池。 第四步，在【数据库】下拉选择【数据库专家服务】，点击进入数据库专家服务控制台。

您的备案信息填写完毕提交后，需经过天翼云初审和管局审核，各审核环节注意事项如下： 天翼云审核： 1.备案电话保持畅通：在您提交备案申请后，天翼云审核专员会在1工作日左右拨打您的电话号码，请您保持电话畅通并注意接听来电。 2.资料补充：天翼云初审时，审核人员会根据各省市管局要求或者依据您的备案申请具体情况，可能需要您完成一些其他的核验操作。 天翼云审核与管局审核之间： 天翼云将您的备案订单提交管局后，您会收到工信部发送的核验短信（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。核验成功后备案申请才能进入管局审核，超期未核验，您的备案申请将被驳回。 管局审核： 1.备案电话保持畅通：部分地区管局可能会拨打备案信息中相关负责人的电话号码进行备案信息核实，请您保持电话畅通注意接听来电。 2.网站内容符合要求：部分地区管局需要查看已备案成功的网站内容是否合规、未备案网站是否关闭，请您在备案审核期间保证网站内容符合要求。

本文主要介绍kubeprometheusstack。 插件简介 云原生监控插件（kubeprometheusstack）通过使用Prometheusoperator和Prometheus，提供简单易用的端到端Kubernetes集群监控能力。 使用kubeprometheusstack可将监控数据与容器智能分析对接，在容器智能分析控制台查看监控数据，配置告警等。 开源社区地址： 约束与限制 在默认配置下，插件中的kubestatemetrics组件不采集Kubernetes资源的所有的labels和annotation。如需采集，您需要手动在启动参数中开启采集开关，并同时检查名称为kubestatemetrics的ServiceMonitor中采集白名单是否添加相应指标，详情请参见采集Pod所有labels和annotations。 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 kubeprometheusstack ，单击“安装”。 步骤 2 在安装插件页面，选择插件规格，并配置相关参数。 开启智能分析 ：默认不开启。开启后需选择智能分析工作区，在容器智能分析控制台查看监控数据，配置告警等。 对接第三方 ：将普罗数据上报至第三方监控系统，需填写第三方监控系统的地址和Token，并选择是否跳过证书认证。 普罗高可用 ：高可用会在集群中将Prometheusserver、Prometheusoperator、thanosquery、custommetricsapiserver、alertmanager组件按多实例方式部署。 安装grafana ：通过grafana 可视化浏览普罗监控数据。grafana 会默认创建大小为 5 GiB 的存储卷，卸载插件时 grafana 的 存储卷不随插件被删除 。首次登录默认用户名与密码均为admin，登录后会立即让您修改密码。 采集周期 ：采集监控数据的周期。 数据保留期 ：监控数据保留的时长。 存储 ：选择用于存储监控数据的磁盘类型和大小。 调度策略 ：可单独配置插件各个组件的节点亲和性和污点容忍能力。可以配置多个调度策略，不配置亲和节点键和容忍节点污点键则默认不开启对应的调度策略。 作用范围：可选择调度策略生效的插件实例，默认对全部实例生效。当指定组件实例名称时，将覆盖全部实例所配置的调度策略。 亲和节点标签键：填写节点标签键，为插件实例设置节点亲和性。 亲和节点标签值：填写节点标签值，为插件实例设置节点亲和性。 容忍节点污点键：目前仅支持污点键级别的污点容忍策略，组件可以调度到拥有该污点键的节点。 步骤 3 完成以上配置后，单击“安装”。

本文主要介绍分布式消息服务RabbitMQ的入门指引。 本文将为您介绍分布式消息服务RabbitMQ入门的基本流程，主要包括控制台创建RabbitMQ实例、使用弹性云主机连接实例的操作，帮助您快速上手RabbitMQ。 操作流程 图1 RabbitMQ使用流程 环境准备 RabbitMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RabbitMQ实例 在创建实例时，您可以选择是否开启SSL访问，开启后，数据加密传输，安全性更高。同时，SSL开关只能在创建实例时设置，实例创建成功后，不支持修改。 连接实例 客户端连接实例，根据实例是否开启SSL开关，存在以下两种场景：不使用SSL证书连接和使用SSL证书连接。 配置必须的监控告警 配置RabbitMQ实例监控告警策略，监控实际业务运行状态。 说明 关于RabbitMQ的相关概念，请参考

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本节主要介绍产品功能 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。例如：控制用户Charlie能管理项目B的VPC，而让用户James只能查看项目B中VPC的数据。 图 权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中删除用户或将用户添加进其他用户组，实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给更专业、高效的其他帐号或者云服务，这些账号或者云服务可以根据权限代替您进行日常工作。

本文主要介绍查看监控数据。 操作场景 云监控对Kafka实例的运行状态进行日常监控，可以通过控制台直观的查看Kafka实例各项监控指标。 前提条件 已创建Kafka实例，且实例中有可消费的消息。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，查看监控数据。 在Kafka实例名称后，单击。跳转到云监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。 单击Kafka实例名称，进入实例详情页。在左侧导航栏单击“监控”，进入监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz

本小节主要介绍RDSPostgreSQL的teledbfirewall插件使用方法。 操作场景 RDSPostgreSQL支持 teledbfirewall插件，用于PostgreSQL的SQL黑名单扩展，旨在保护来自 SQL 注入或意外查询的数据库。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 注意事项 1. 只支持explain verbose 可以输出的语句DML。 2. 安装插件后，可在管理控制台设置teledbfirewall.firewall参数并重启实例，详情请参见修改RDSPostgreSQL实例参数。 teledbfirewall.firewall取值如下： disable：关闭模式 blacklist：黑名单模式 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS teledbfirewall; 卸载插件 sql DROP EXTENSION IF EXISTS teledbfirewall; 使用示例 sql 1. 首先使用explain verbose xxx; 获取对应sql的query id explain verbose select count(1) from pgclass; 2. 使用函数 teledbappendblacklist 将获取的query id添加到黑名单中 select teledbappendblacklist(3307043014); 3. 查看当前黑名单内容 select from teledbfirewall.firewalltable; select from teledbfirewall.teledbfirewallstatements ; 4. 使用函数 teledbremoveblacklist(); 将对应id从黑名单中移除 select teledbremoveblacklist(3307043014);

本节介绍了设置安全组规则的相关内容。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

尊敬的天翼云用户： 您好！ 为确保您的SSL证书持续符合行业安全规范，我们特此通知一项由全球证书颁发机构与浏览器论坛（CA/B Forum）制定的重要政策变更。 变更背景 根据CA/B论坛最新投票决议（SC081），自2026年3月15日 起，所有公开信任的SSL/TLS证书最长有效期将缩短至199天。 此项变更是全球范围内提升网络安全的重要举措，极大地降低了私钥在签发前泄露的风险，从而加强了数字证书作为互联网信任基石的安全性。 影响范围 证书版本 加密标准 有效期 Secursite、Geotrust、TrustAsia 国际标准 2026年2月24日~2027年3月15日签发的证书，有效期最长为199天。 标准版 国际标准 2026年3月1日~2027年3月15日签发的证书，有效期最长为199天。 CFCA 国际标准 2026年3月14日~2027年3月15日签发的证书，有效期最长为199天。 Globalsign 国际标准 2026年3月15日~2027年3月15日签发的证书，有效期最长为199天。 Secursite、Geotrust、TrustAsia、标准版、CFCA、Globalsign 国际标准 2027年3月15日之后签发的证书，有效期最长为99天。 说明 国密算法证书：标准版、CFCA、TrustAisa品牌国密算法SM2证书，有效期不变，暂不受该政策影响。 私有（内网）证书：有效期不变，暂不受该政策影响。 测试证书：免费的测试证书有效期依然为3个月，暂不受该政策影响。

本节主要介绍 Linux客户端怎么和云存储网关服务端断开连接。 应用场景 Linux客户端需要断开云存储网关服务端。 前提条件 Linux客户端已经挂载了云存储网关的卷。 具体操作 在Linux 系统中，由于写入磁盘的操作通常会被缓存进行优化，因此数据在写入磁盘之前可能会留存在内存中一段时间，这样可以提高系统的性能。但是，在某些情况下，例如系统崩溃或断电，这些缓存的数据可能会丢失。为了避免这种情况发生，可以使用sync命令将缓存中的数据强制写入硬盘，以确保数据的持久化存储。 1. 执行sync命令。 说明 对于云存储网关Linux客户端，需要先执行sync命令才能断开连接，否则可能丢失数据。Linux系统的sync命令可以将内存中的缓存数据强制写入硬盘，以确保数据的持久化存储。 执行sync命令后，会将所有缓存数据写入硬盘。请注意，sync命令可能需要一些时间才能完成，具体时间取决于系统中缓存数据的大小和硬盘的速度。 sync 2. 应用停止写入后，执行umount进行卸载，使用iscsiadm断开连接。 umount DIRECTORYNAMEORPATH iscsiadm m node T iSCSITARGETIQN p SERVERIP u

本文概括介绍天翼云CDN缓存相关的功能及使用场景。 功能简介 缓存相关功能主要包括：缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、HTTP响应头、缓存key设置、跨域资源共享等，每个功能均支持灵活的配置，从而满足客户不同的应用场景。 功能 说明 缓存过期时间设置 缓存过期时间指源站资源在CDN节点缓存的时长，达到预设时间，资源将会被CDN节点标记为缓存过期。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 状态码过期时间 CDN节点从源站获取资源时，源站会返回响应状态码，针对4xx、5xx等特殊状态码，您可以在天翼云CDN上配置状态码过期时间。配置完成后，当客户端再次请求相同资源时，如状态码未过期，会由CDN直接响应特殊状态码，不会触发回源，减轻源站压力。 状态码过期时间（源站优先） 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key设置 缓存key是一个文件在CDN节点上缓存时唯一的身份ID，每个在CDN节点上缓存的文件都会对应一个缓存key。通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

前提条件 已开通DRDS实例，并且开通同VPC、同子网的负载均衡实例（即ELB实例）。 相关ELB未关联任何主机或云服务。 ELB实例已绑定弹性IP地址。具体操作，请参见负载均衡绑定/解绑弹性IP。 注意 如果您的分组已绑定了ELB实例，则您可以直接在弹性负载均衡控制台上为该ELB实例绑定弹性IP，然后使用该弹性IP地址连接DRDS实例。本文以新建分组并配置已绑定弹性IP的ELB实例为例，为您介绍具体操作。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理， 进入实例基本信息页面。 4. 创建分组并配置ELB信息。 1. 单击分组管理 ，进入分组管理页面，然后单击创建分组。 2. 在创建分组 对话框中，配置ELB实例信息，详细的参数配置信息，请参见创建自定义分组。 5. 获取弹性IP信息。 1. 进入实例基本信息页面。 2. 在连接信息 区域，找到新创建的分组，并于连接信息 处获取eip信息，即为弹性IP。 6. 使用弹性IP地址，连接DRDS实例。 说明 如果您的DRDS实例不再需要使用弹性IP，您可以在弹性负载均衡控制台解绑弹性IP。

稳定性 对于两阶段提交的事务，要及时提交或回滚，防止导致数据库膨胀。 选择业务低峰期变更表结构，如添加字段，索引操作。 业务高峰期创建索引时，建议使用CONCURRENTLY语法，并行创建索引，不堵塞表的DML。 业务高峰期修改表结构，要提前进行测试，防止表的REWRITE。 DDL操作需要设置锁等待超时时间，防止阻塞相关表的操作。 单个数据库库容量超过2T，需要考虑分库。 频繁访问的表，单表记录过2000万，或超过10GB，需要考虑分表或创建分区。 PostgreSQL的备库、只读库单进程回放WAL日志，最大回放速度为50 MB/s~70 MB/s，因此需要控制主库数据写入压力在50 MB/s以下，避免备机、只读复制异常。 日常运维 在实例管理界面下载慢SQL，及时关注并解决性能问题。 定期关注数据库的资源使用情况，若业务压力存在较大波动，建议配置资源告警，必要时扩充规格。业务写入压力过大会导致数据库重启恢复过程缓慢，影响业务可用性。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 大批量数据删除、更新后，应对被操作表执行VACUUM。 关注可用复制槽数以及创建的复制槽，请始终保持至少有一个空余的复制槽可供数据库备份使用，否则数据库备份会失败。 及时清理不再使用的复制槽，防止复制槽阻塞日志回收。 不要使用不记录日志的表（UNLOGGED TABLE），因为该表的数据会在数据库异常（如OOM、底层故障等）或发生主备倒换后丢失。 尽量避免对系统表做vacuum full操作，若有必要建议使用vacuum；否则执行vacuum full，并重启数据库后，可能导致数据库长时间无法连接。

操作步骤 1. 使用Putty或其他终端以root用户登录到已安装Agent的弹性云主机中。 2. 执行如下命令，下载并运行批量安装脚本。 plaintext cd /usr/local && curl k O && bash batchagentinstall.sh r cnjssz1 u 0.1.9 t 2.5.6 d ces.cnjssz1.ctyun.cn 注：命令中的部分内容为示例说明（苏州资源池举例：uniagentcnjssz1.obs.cnjssz1.ctyun.cn，cnjssz1，ces.cnjssz1.ctyun.cn），对应资源池请登录控制台Agent安装引导页面，选择您需要安装Agent的资源池获取具体Agent包地址，或者通过前提条件表格获取。 3. 安装完成后，登录云监控服务管理控制台，单击左侧导航栏的“主机监控”。查看所有已安装Agent的弹性云服务器列表。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 4. （可选）安装完成后如果不需要pexpect模块，则执行如下命令，到python安装目录下删除pexepct和ptyprocess模块。 plaintext cd /usr/lib/python2.7/sitepackages rm pexpect3.2py2.7.egginfo f rm ptyprocess0.5.2py2.7.egginfo f

本节主要介绍怎么通过控制台下载文件。 您可以通过OBS管理控制台将存储在OBS中的文件下载至本地。 约束与限制 对于存储类别为归档存储的对象，需要确认对象的状态为“已恢复”才能对其进行下载。 受用户侧网络的影响，使用OBS控制台下载大文件可能会导致失败，建议使用Browser+工具下载大小超过500MB的文件。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 选中待下载的文件，并单击右侧的“下载”或“更多>下载为”，根据浏览器提示完成文件下载。 说明 在“下载为”对话框，右键单击“对象”，选择“复制链接地址”，可以获取到对象的下载链接地址。

本小节介绍Web应用防火墙计费类常见问题。 一个域名包支持多少个二级域名？ 一个域名包支持包含1个一级域名（www.baidu.com）以及这个一级域名下二级域名（如 abc.baidu.com）总计10个域名的防护。 如果超过10个，需要购买实例增加域名包数量以支持域名防护。 选择带宽是否需要和网站业务带宽匹配？ 是的，Web应用防火墙最低标准带宽为200Mbps，真实业务带不能高于这个标准，如高于标准200Mbps，则需要拓展带宽包。 Web应用防火墙是付费产品吗？ 天翼云Web应用防火墙作为天翼云安全业务的一个重要产品，作为付费的增值业务服务产品提供给天翼云客户，需要用户购买，收费的标准详见计费模式。 产品是否可以试用，周期为多长时间？ 支持试用，周期为三个月。 线上是否支持试用订购？ 不支持。 试用暂时只支持线下渠道，需联系客户经理进行试用。 我已经购买了Web应用防火墙产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如配置上传、下发、测试验证等操作。