为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。除默认常用的DML审计规则外，您还可以根据实际情况新增DML审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在审计规则列表上方，单击新增DML审计配置。 7. 在对话框中，配置审计规则参数，然后单击确定。 参数 说明 DML审计规则 审计规则的名称。 审计类型 审计匹配规则，取值范围： 参数化sql匹配 原始sql匹配 正则式匹配 SQL 当审计类型 设置为参数化sql匹配 或原始sql匹配时，需要输入审计的SQL语句。 正则表达式 当审计类型 设置为正则式匹配时，需要输入审计的正则表达式。 审计方式 支持配置为拒绝 或警告。 注意 对于审计方式 为拒绝 的审计规则，DRDS实例直接向前端提示报错信息，拒绝语句执行。 对于审计方式 为警告的审计规则，DRDS实例会将语句的相关信息记录到审计日志中，该日志可提供给开发人员对SQL语句进行参考优化，您可以在审计日志中查看相关信息。

本小节主要介绍设置RDSPostgreSQL实例的网络变更功能。 操作场景 当您的实例网络配置需要进行调整时，控制台支持将您的实例网络按照您的需求和现有可用网络配置进行变更，满足您的实际网络配置要求。 注意事项 实例需处于正常运行状态，网络更新后，实例连接地址将会发生变化，需要更新您的业务配置的数据库连接地址； 如已绑定弹性IP，需要先进行解绑，方可继续操作； 如开通了只读实例、数据库代理相关服务的实例，需要先将其退订后方可继续操作； 目前仅支持备份介质为对象存储的实例进行网络变更； 网络变更时，ipv4的子网仅能选择ipv4的子网进行变更； 因涉及连接地址变更，请您尽量在业务低峰期执行该操作，避免出现阻塞。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例管理详情页面的基本信息中，点击"网络"的"网络"项。 7. 在弹出框界面，选择您需要变更的目标网络信息，确认变更信息无误后，点击"确认"提交变更任务。 8. 系统处理您的网络变更任务时，实例状态会置为"网络变更中"，其中部分操作不可用。 9. 系统处理成后，实例状态会恢复正常，您可在实例管理详情页面查看您实例的最新网络信息。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见功能加载说明。

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

本节介绍应用市场的开通与试用流程。 管理员可以在AI云电脑（政企版）控制台的协同套件功能中选择“试用”或“开通”不同版本的应用市场服务。 1.登录AI云电脑（政企版）控制台，选择菜单“协同套件”，打开应用市场可选择开启试用，每个租户只有一次免费试用机会，试用期90天，试用版具备与旗舰版一致的完整功能，且不限制管控桌面数，可用存储为100GB。 2.在开通功能页面，可选择所需的应用市场版本、桌面数、可用存储空间等。 3.应用市场提供基础版与旗舰版，功能与价格有所差异，开通时请按需选择。 版本 功能 价格 基础版 提供企业自建应用库 免费 旗舰版 基础版功能上，提供应用分发、黑白名单管控、日志记录等 10元/台/月 4.自建应用存储空间按25GB步长增减；自建应用存储空间适用AI云电脑数据盘资源包资费：40元/100GB/月。 5.使用资源包抵扣支付开通按计算包1C2G41元/月，存储包100GB＝40元/月的价格换算抵扣，每1C2G或100GB约开通4个管控桌面，当余数不足4个桌面时按4个桌面进行资源包扣除。支持计算包和存储包组合抵扣，实际抵扣额请以开通页面为准。 举例：开通旗舰版和7个开通桌面数，需2C4G计算包进行抵扣。 6.开通后，可根据使用需求进行版本升级、扩容、续订、退订等操作，并可在应用市场菜单中使用和配置相关功能。

迁移速度由源端带宽决定还是目的端带宽决定？ 迁移速度取决于源端的出口带宽和目的端的入云带宽。取两者中较小值进行迁移。 如何处理“权限不够，请添加相应细粒度权限”？ 问题描述：迁移过程中提示“SMS.0204权限不够，错误原因：xxx，请添加相应细粒度权限”。具体的错误原因与缺失的细粒度权限有关。 问题原因和解决方案： 1、 目的端账户余额不满足大于100元的条件，余额不足会导致迁移失败，请充值或申请权限，然后重新发起迁移任务。 2、 主机迁移服务在迁移过程中会用到ECS，VPC，IMS，EVS等的相关权限，缺少其中的某些权限会导致迁移失败。请检查权限并在IAM控制台创建用户组，授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”权限。 迁移需要在控制机，源端和目标端分别开放哪些端口？ 请参考RDA 控制台页面，配置管网络设置—通信矩阵菜单项，开放对应端口： 新建迁移任务需要对目的端服务器做哪些准备？ 迁移前，若选择迁移到已有服务器，请做以下准备工作： 1. 确保天翼云上有满足条件的弹性云服务器。 2. 确保源端服务器可以访问目的端服务器（即弹性云服务器），即要有可用的EIP，或者配置VPN、专线。 3. 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组，如果是Windows系统需要开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 4. 迁移过程中禁止操作目的端弹性云服务器（包括关机、重启、挂载磁盘、卸载磁盘、修改密码等），否则会导致迁移失败。

本文介绍了天翼云AOne会议音频相关问题。 用户听不到声音如何排查？ 请按以下步骤排查： 1. Windows端请右键点击任务栏音量图标，打开“音量合成器”，确认系统音量和AOne会议音量未被静音或设置为0。 2. 检查是否选择了正确的音频接入方式（如耳机、蓝牙设备）。 3. 确认系统默认音频输出设备设置正确。 4. 尝试重新插拔音频设备（如耳机、麦克风）或重启设备。 主持人如何静音其他与会成员？ 1. 进入会议界面，点击“成员”按钮。 2. 可点击“全体静音”，一次性将所有成员静音。 3. 或将鼠标悬停在某位成员上，点击“静音”图标即可单独静音该成员。 主持人如何解除他人静音？ 1. 在“成员管理”页面中，找到被静音的成员。 2. 鼠标悬停后点击“解除静音”图标，等待被解静音的人员开启麦克风。 会议中讲话突然没声音（iOS相关问题）怎么办？ 如您使用的是iOS设备，且在会议中突然无法发声： 1. 前往“设置”>“通用”>“隔空播放与连续互通”。 2. 检查是否将声音误投至其他设备（如Apple TV、AirPods）。 3. 可尝试关闭“隔空播放”或切换为本机播放。 会议中无法使用麦克风怎么办？ Web客户端：访问 Windows客户端：前往系统“设置”>“隐私与安全性”>“麦克风”，确认“AOne会议”已获得麦克风访问权限。 macOS客户端：前往系统“设置”>“隐私与安全性”>“麦克风”，启用“AOne会议”权限后，重启客户端使设置生效。 iOS客户端：前往系统“设置”>“隐私与安全性”>“麦克风”，在列表中打开“AOne会议”的权限，设置完成后请重启AOne会议即可。 Android客户端：前往系统“设置”>“隐私”>“麦克风”，在列表中打开“AOne会议”的权限，设置完成后请重启AOne会议即可。

使用子账号登录后，创建命名空间时企业项目为什么列表为空，怎么解决？ 问题描述：用户使用子账号登录后，创建命名空间时企业项目下拉列表为空，如下图所示： 问题根因：子账号登录后，企业项目为空或没有默认企业项目时，一般原因为主账号未给该子账号授权，需要使用主账号登录IAM控制台并对子账号进行授权。 操作步骤： 1. 进入天翼云官网，使用主账号登录后，右上角选择“我的”，点击“账号中心”。 2. 点击左侧菜单栏的“统一身份认证”，进入统一认证服务IAM平台。 3. 点击IAM平台左侧菜单栏的“用户组”，选择子用户需要加入的用户组，并点击“用户组管理”。若需要创建用户组，点击右上角的“创建用户组”按钮进行用户组创建。 4. 在用户组管理的弹窗里，选择子账号并点击“添加”按钮，确认添加完毕后，点击弹窗下方“确定”按钮。 5. 点击左侧菜单栏的“企业项目”，选择需要加入的企业项目，并点击操作列的“查看用户组”。 6. 点击该用户组操作列的“设置策略”，将需要设置的策略项移入已选策略后，点击“确定”，完成对该用户组的策略设置。若当前企业项目下无当前子账号所在用户组，需先点击“设置用户组”将该用户组加入。 7. 使用控制台登录子账号后，该子账号即可查看所属用户组所在的企业项目。

告警和攻击的区别 安全告警区分告警和攻击： 告警：告警则是基于态势感知（专业版）的威胁检测模型生成的模型告警，也可以是用户自定义或导入的告警。 攻击：攻击是原始的防线告警。 攻击是原始的防线告警。二者的区别如下： 名称 数据来源 支持的管理操作 告警 态势感知（专业版）威胁检测模型生成的告警。 用户自定义新增的告警。 用户导入的告警。 查看告警信息：可以通过查看告警列表了解近360天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 告警转事件或关联事件：当收到告警信息且经过分析后，如果发现有攻击成功或有其他较为严重影响的，则需要进行单独处理，可以将它转为事件或关联事件。 一键阻断或解封：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断，拦截该恶意IP的访问。 关闭或删除告警：确认告警已处理完成，问题已解决，可选择关闭告警。当确认是无效告警或冗余告警或过期告警，用户可选择删除告警。告警删除后将无法恢复，请谨慎操作。 新增或编辑告警：态势感知（专业版）支持管理云上资产和云外资产，资产管理更多信息请参见资产管理概述。其中，云上资产的告警可以通过接入日志数据自动同步到态势感知（专业版），云外资产的告警数据需要用户在态势感知（专业版）通过[新增告警](

如何加快迁移速度？ 需要提升您的网络速率。如果网络速率小于500kbit/s，您需要排查以下三个方面： 如果源端服务器在数据中心，请您排查源端服务器所在网络到公网的带宽、交换设备、路由设备、安全设备（防火墙等）、网络线路、协议网络相关因素等是否有限制或者使用不正确。如果有问题，需要您联系网络专业人员修复。建议您源端服务器所在网络到天翼云公网的网络速率大于10Mbit/s。 排查源端出口带宽和目的端入云带宽大小，扩大两者之间较小的带宽，也可根据需求将两者同时扩大。 确保源端服务器与目的端服务器的OS设置正确。对于Windows系统，您可以使用 perfmon命令调用资源监视器监控网络；对于Linux系统，推荐使用sar工具监控或者使用 /proc/net/dev监控网卡的速度。如果网速较慢，说明您的OS配置可能不正确。需要提醒的是，您的OS服务、进程等不能对网卡做限速。 如果您源端服务器有大量的文件（例如50万个100KB的文件)，并且这些文件是残留的无用数据，请提前删除再做迁移。 请排查您源端服务器的I/O读写性能、CPU性能。Windows可以使用 perfmon命令调用资源监视器监控CPU和I/O读写性能，Linux使用 top/ps和 iostat/iotop来监控CPU和I/O性能。如果您的源端I/O读写性能、CPU性能差，建议您增加I/O和CPU的资源或者减少服务器运行的负载。 为什么迁移进度条进度时快时慢？ 在主机迁移的过程中，除了迁移还包含了模块初始化、备份、清理等各种操作，这些操作也会推动进度条的增长，而这些操作的用时难以准确预估，因此会导致迁移进度条增速时快时慢。该现象属于正常现象，请耐心等待迁移完成即可。

本页介绍天翼云TeleDB数据库连接设置相关参数。 listenaddresses (string) 指定服务器在哪些TCP/IP 地址上监听客户端连接。值的形式是一个逗号分隔的主机名和/或数字 IP 地址列表。特殊项对应所有可用 IP 接口。项0.0.0.0允许监听所有 IPv4 地址并且::允许监听所有 IPv6 地址。如果列表为空，服务器将根本不会监听任何 IP 接口，在这种情况中只能使用 Unix 域套接字来连接它。默认值是localhost，它只允许建立本地 TCP/IP “环回”连接。虽然客户端认证允许细粒度地控制谁能访问服务器，listenaddresses控制哪些接口接受连接尝试，这能帮助在不安全网络接口上阻止重复的恶意连接请求。这个参数只能在服务器启动时设置。 port (integer) 服务器监听的TCP 端口；默认是 5432 。请注意服务器会同一个端口号监听所有的 IP 地址。这个参数只能在服务器启动时设置。 maxconnections (integer) 决定数据库的最大并发连接数。默认值通常是100 个连接，但是如果内核设置不支持（initdb时决定），可能会比这个数少。这个参数只能在服务器启动时设置。当运行一个后备服务器时，你必须设置这个参数等于或大于主服务器上的参数。否则，后备服务器上可能无法允许查询。 superuserreservedconnections (integer) 决定为TeleDB超级用户连接而保留的连接“槽”数。同时活跃的并发连接最多maxconnections个。任何时候，活跃的并发连接数最多为maxconnections减去 superuserreservedconnections，新连接就只能由超级用户发起了，并且不会有新的复制连接被接受。默认值是 3 。这个值必须小于maxconnections的值。 这个参数只能在服务器启动时设置。

介绍鉴权管理具体步骤。 功能说明 用户在连接文件系统时，需要获取鉴权信息进行相应的鉴权操作。 产品控制台系统鉴权信息管理，用户可通过控制台完成相关操作。 根据资源池不同，操作有所不用，请根据具体的资源池参考相关操作。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 以下操作除天津资源池2区、天津资源池3区外适用 CIFS资源通过资源连接时的账号密码进行控制，在创建后可以通过控制台对密码进行修改，操作步骤如下： 1.登录媒体存储控制台，进入文件空间界面，找到需要修改CIFS密码的存储文件空间，点击【修改CIFS密码】。 2.根据弹窗指引，输入原密码、新密码并确认密码，点击【保存】，完成修改CIFS密码操作。 以下操作适用于天津资源池2区、天津资源池3区 NFS协议 1. 进入文件系统列表操作栏，选择对应NFS文件空间，点击【 管理 】进入页面。 2. 进入页面后，选择对应的挂载点，点击【 管理权限组 】。 3. 在弹窗页面，对权限和用户客户端的映射更改，然后保存点击【确认】。 用户映射说明如下表： 选项 映射说明 nosquash 使用root用户访问文件系统映射为root用户。 rootsquash 以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash 无论以何种用户身份访问，均映射为nfsnobody用户。 用户映射说明配置建议如下： nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点。 选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。 若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。

本页介绍天翼云TeleDB数据库归档相关参数。 archivemode (enum) 当启用archivemode时，可以通过设置archivecommand命令将完成的 WAL段发送到归档存储。 除了off，要禁用两种模式on和 always。在正常操作过程中，两种模式没有区别，但是 当设置为always时，归档恢复或者待机模式中激活WAL归档。 在always模式中， 从归档中恢复所有文件或者再次归档使用流复制传输的文件。archivemode和archivecommand 是独立的变量，这样可以在不影响归档模式的前提下修改 archivecommand。这个参数只能在服务器启动时设置。 当wallevel被设置为minimal时， archivemode不能被启用。 archivecommand (string) 本地shell 命令被执行来归档一个完成的 WAL 文件段。字符串中的任何%p被替换成要被归档的文件的路径名， 而%f只被文件名替换（路径名是相对于服务器的工作目录， 即集簇的数据目录）。如果要在命令里嵌入一个真正的%字符，可以使用%%。有一点很重要，该命令只在成功时返回一个零作为退出状态。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。除非服务器启动时启用了archivemode，否则它会被忽略。如果archivemode被启用时，archivecommand是一个空字符串（默认），WAL 归档会被临时禁用，但服务器仍会继续累计 WAL 段文件，期待着一个命令被提供。将archivecommand设置为一个只返回真但不做任何事的命令（例如/bin/true或 Windows 上的REM）实际上会禁用归档，也会打破归档恢复所需的 WAL 文件链，因此只有在极少数情况下才能用。

本页介绍天翼云TeleDB数据库异步行为相关参数。 effectiveioconcurrency (integer) 设置TeleDB可以同时被执行的并发磁盘 I/O 操作的数量。调高这个值，可以增加任何单个数据库会话试图并行发起的 I/O 操作的数目。允许的范围是 1 到 1000，或 0 表示禁用异步 I/O 请求。当前这个设置仅影响位图堆扫描。对于磁盘驱动器，这个设置的一个很好的出发点是组成一个被用于该数据库的 RAID 0 条带或 RAID 1 镜像的独立驱动器数量（对 RAID 5 而言，校验驱动器不计入）。 但是，如果数据库经常忙于在并发会话中发出的多个查询，较低的值可能足以使磁盘阵列繁忙。比保持磁盘繁忙所需的值更高的值只会造成额外的 CPU 开销。SSD 以及其他基于内存的存储常常能处理很多并发请求， 因此它们的最佳值可能是数百。异步 I/O 依赖于一个有效的posixfadvise函数 （一些操作系统可能没有）。 如果不存在这个函数，将这个参数设置为除 0 之外的任何东西将导致错误。在一些操作系统上（如Solaris） 虽然提供了这个函数，但它不会做任何事情。支持的系统上缺省为1，否则为0。对于一个特定表空间中的表，可以通过设定该表空间的同名参数（见ALTER TABLESPACE） 可以覆盖这个值。 maxworkerprocesses (integer) 设置系统能够支持的后台进程的最大数量。这个参数只能在服务器启动时设置。默认值为8。在运行一个后备服务器时，你必须把这个参数设置为等于或者高于主控服务器上的值。否则， 后备服务器上可能不会允许查询。修改此值时，也要考虑调整 maxparallelworkers和 maxparallelworkerspergather。

配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。天翼云CDN为您提供三种鉴权方式，本文为您详细介绍鉴权方式B的原理和示例说明。 原理说明 鉴权方式B访问URL构成： 下文以如下URL作为示例： URL鉴权字段说明： 字段 描述 DomainName CDN加速域名。 Filename 实际回源访问的URI，即域名后面"/"开头，去掉一级和二级目录后，截止到"?"之前的部分。即如上示例中的/test/test.mp4。 timestamp 1. 鉴权URL生成的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间的总秒数 ，默认为十进制整数，也可选择十六进制/YYYYMMDDHHMMSS。 2. 与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+CDN配置的鉴权URL有效时长。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(keytimestampFileName)。 1. md5加密元素分隔符默认无符号，也可自定义。 2. 这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。 校验方法 CDN服务器接收到请求后，会按照如下步骤进行校验： 1. 时间校验：判断系统当前时间是否在区间[timestamp，timestamp+有效时间]内。超出该区间，认为过期失效并返回HTTP 403错误。 2. 加密串校验：时间校验通过后，比对CDN服务器计算出来的md5hash值与访问请求中带的md5hash值是否相同，结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。

本章节主要介绍文件增量迁移。 CDM支持对文件类数据源进行增量迁移，全量迁移完成之后，第二次运行作业时可以导出全部新增的文件，或者只导出特定的目录/文件。 目前CDM支持以下文件增量迁移方式： 1.增量导出指定目录的文件 −适用场景：源端数据源为文件类型（OBS/HDFS/FTP/SFTP）。这种增量迁移方式，只追加写入文件，不会更新或删除已存在的记录。 −关键配置：文件/路径过滤器+定时执行作业。 −前提条件：源端目录或文件名带有时间字段。 2.增量导出指定时间以后的文件 −适用场景：源端数据源为文件类型（OBS/HDFS/FTP/SFTP）。这里的指定时间，是指文件的修改时间，当文件的修改时间晚于指定的时间，CDM才迁移该文件。 −关键配置：时间过滤+定时执行作业。 −前提条件：无。 文件/路径过滤器 参数位置：在创建表/文件迁移作业时，如果源端数据源为文件类型，那么源端作业参数的高级属性中可以看到“过滤类型”参数，该参数可选择：通配符或正则表达式。 参数原理：“过滤类型”选择“通配符”时，CDM就可以通过用户配置的通配符过滤文件或路径，CDM只迁移满足指定条件的文件或路径。 配置样例： 例如源端文件名带有时间字段“20171015 20:25:26”，这个时刻生成的文件为“/opt/data/file20171015202526.data”，则在创建作业时，参数配置如下： a.过滤类型：选择“通配符”。 b.文件过滤器：配置为“ ${dateformat(yyyyMMdd,1,DAY)} ” （这是CDM支持的日期宏变量格式，详见 时间宏变量使用解析）。 c.配置作业定时自动执行，“重复周期”为1天。 这样每天就可以把昨天生成的文件都导入到目的端目录，实现增量同步。 文件增量迁移场景下，“路径过滤器”的使用方法同“文件过滤器”一样，需要路径名称里带有时间字段，这样可以定期增量同步指定目录下的所有文件。

本章节主要介绍数据治理中心DataArts Studio的实例退订操作。 退订DataArts Studio实例 当用户不需要使用某个DataArts Studio实例时，可以参考如下操作退订该实例。 1.登录天翼云控制中心； 2.在“数据分析”项目下，单击【数据治理中心 DataArts Studio】； 3.找到创建成功的DataArts Studio实例，核实实例信息，点击“退订”即可。 详见下图：选择退订 删除作业 当用户不需要使用某个作业时，可以参考如下操作删除该作业，以减少作业的配额占用。 普通删除 1.登录数据治理中心控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2.在数据开发主界面的左侧导航栏，选择“数据开发>作业开发”。 3.在作业目录中，右键单击作业名称，选择“删除”。 4.在弹出的“删除作业”页面，单击“确定”，删除作业。 批量删除 1.登录数据治理中心控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2.在数据开发主界面的左侧导航栏，选择“数据开发 > 作业开发”。 3.在作业目录顶部，单击，选择“显示复选框”，在作业目录前出现复选框。 4.选择需要删除的作业，再次单击，选择“删除作业”。 5.在弹出的“删除作业”页面，单击“确定”，批量删除作业。

此小节介绍云审计服务支持的关键操作。 如何查看云审计日志 开启了云审计服务后，系统开始记录DBSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看DBSS的云审计日志 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“管理与监管 > 云审计服务”，进入云审计服务信息页面。 3. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4. 单击事件列表上方的“Region”，设置对应的操作事件条件。当前事件列表支持四个维度的组合查询. “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。 5. 单击“查询”，查看对应的操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图所示。 7. 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图所示，显示了该操作事件结构的详细信息。 云审计服务支持的DBSS操作列表 数据库安全服务通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的DBSS操作列表如表所示。 操作名称 资源类型 事件名称 创建实例 dbss createInstance 删除实例 dbss deleteInstance 开启实例 dbss startInstance 关闭实例 dbss stopInstance 重启实例 dbss rebootInstance 实例状态变化 dbss cloudServiceInstanceStatus 创建包周期实例 dbss cloudServiceInstanceCreate 实例元数据变化 dbss updateMetaData

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

名词 说明 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

参数名称 参数描述 默认值 sessiontimeout Session闲置超时时间，单位为秒，0表示关闭超时限制。取值范围：0 ~ 86400。 600 datestyle 设置日期和时间值的显示格式。 ISO,MDY failedloginattempts 输入密码错误的次数达到该参数所设置的值时，帐户将会被自动锁定。配置为0时表示不限制密码输入错误的次数。取值范围：0 ~ 1000。 10 timezone 设置显示和解释时间类型数值时使用的时区。 UTC logtimezone 设置服务器写日志文件时使用的时区。 UTC enableresourcerecord 设置是否开启资源记录功能。 当SQL语句实际执行时间大于resourcetrackduration参数值（默认为60s，可自行设置）时，监控信息将会归档。 此功能开启后会引起存储空间膨胀及轻微性能影响，不用时请关闭。 说明 归档：监控信息保存在history视图，归档在info表。归档时间为三分钟，归档后history视图中的记录会被清除。 history视图GSWLMSESSIONHISTORY，对应存入info表GSWLMSESSIONINFO。 history视图GSWLMOPERATORHISTORY，对应存入info表GSWLMOPERATORINFO。 off querydop 用户自定义的查询并行度。 配置为0表示查询并行度自适应。 配置为1表示查询不并行。 配置为2表示查询并行度为2。 0 resourcetrackcost 设置对语句进行资源监控的最小执行代价。 值为1或者执行语句代价小于10时，不进行资源监控。值大于等于0时，执行语句的代价大于等于10并且超过这个参数的设定值就会进行资源监控。 SQL语句的预估执行代价可通过执行SQL命令Explain进行查询。 100000 resourcetrackduration 设置当前会话资源监控实时视图中记录的语句执行结束后进行归档的最小执行时间，单位为秒。 值为0时，资源监控实时视图中记录的所有语句都会进行历史信息归档。 值大于0时，资源监控实时视图中记录的语句的执行时间超过设定值就会进行历史信息归档。 60 passwordeffecttime 设置帐户密码的有效时间，临近或超过有效期系统会提示用户修改密码。 取值范围为0 ~999，单位为天。设置为0表示不开启有效期限制功能。 90 updatelockwaittimeout 该参数控制并发更新同一行时单个锁的最长等待时间。当申请的锁等待时间超过设定值时，系统会报错。0表示不等待，有锁时直接报错，单位为毫秒。 120000 enableresourcetrack 设置是否开启资源监控功能。开启后可以对SQL语句进行监控。 on passwordpolicy 使用CREATE ROLE/USER命令创建或ALTER ROLE/USER命令修改DWS帐户时，该参数决定是否进行密码复杂度检查。 0表示不采用任何密码复杂度策略。 1表示采用默认密码复杂度校验策略。 1 passwordreusetime 在使用ALTER USER或ALTER ROLE修改用户密码时，该参数指定是否对新密码进行可重用天数检查。 取值范围：0~3650，单位为天。0表示不检查密码可重用天数。正数表示新密码不能为该值指定的天数内使用过的密码。 说明 修改密码时会检查配置参数passwordreusetime和passwordreusemax。 passwordreusetime和passwordreusemax只要满足其中任一个为正数时，即认为密码可重用。 passwordreusetime为0时，表示不限制密码重用天数，仅限制密码重用次数。 passwordreusetime和passwordreusemax都为0时，表示不对密码重用进行限制。 60 passwordreusemax 在使用ALTER USER或ALTER ROLE修改用户密码时，该参数指定是否对新密码进行可重用次数检查。 0表示不检查密码可重用次数。正整数表示新密码不能为该值指定的次数内使用过的密码。 说明 修改密码时会检查配置参数passwordreusetime和passwordreusemax。 passwordreusetime和passwordreusemax只要满足其中任一个为正数时，即认为密码可重用。 passwordreusemax为0时，表示不限制密码重用次数，仅限制密码重用天数。 passwordreusetime和passwordreusemax都为0时，表示不对密码重用进行限制。 0 passwordlocktime 该参数指定帐户被锁定后自动解锁的时间。 0表示密码验证失败时，自动锁定功能不生效。 正数表示帐户被锁定后，当锁定时间超过该参数设定的值时，帐户将会被自行解锁。 1 passwordencryptiontype 该字段决定采用何种加密方式对用户密码进行加密存储。 0表示采用md5方式对密码加密。 1表示采用sha256方式对密码加密，兼容postgres客户端的md5用户认证方式。 2表示采用sha256方式对密码加密。md5为不安全的加密算法，不建议用户使用。 2 passwordnotifytime 该字段决定帐户密码到期前提醒的天数。 0表示不开启提醒功能。 1~999表示帐户密码到期前提醒的天数。 7 enablestatelesspoolerreuse pooler复用切换开关，重启集群生效。 on表示使用pooler复用模式。 off表示关闭pooler复用模式。 说明 CN和DN需要同步设置。如果CN设置为off，DN设置为on时会导致集群不能正常通信，因此必须对该参数做CN和DN全局相同的配置，重启集群才会生效。 off workmem 设置内部排序操作和Hash表在开始写入临时磁盘文件之前使用的内存大小，单位为KB。 ORDER BY，DISTINCT和merge joins都要用到排序操作。 Hash表在散列连接、散列为基础的聚集、散列为基础的IN子查询处理中都要用到。 对于复杂的查询，可能会同时并发运行好几个排序或者散列操作，每个都可以使用此参数所声明的内存量，不足时会使用临时文件。同样，好几个正在运行的会话可能会同时进行排序操作。因此使用的总内存可能是workmem的好几倍。 64MB maintenanceworkmem 设置在维护性操作（比如VACUUM、CREATE INDEX、ALTER TABLE ADD FOREIGN KEY等中可使用的最大的内存，单位为KB。 说明 该参数的设置会影响VACUUM、VACUUMFULL、CLUSTER、CREATE INDEX的执行效率。 128MB enableorccache 设置是否允许在初始化cstorebuffers时，将1/4的cstorebuffers空间预留，用于缓存orc元数据。 on表示开启缓存orc元数据，可提升hdfs表的查询性能，但是会占用列存buffer资源，导致列存性能下降。 off表示关闭缓存orc元数据。 on sqlusespacelimit 限制单个SQL在单个DN上，触发落盘操作时，落盘文件的空间大小，管控的空间包括普通表、临时表及中间结果集落盘占用的空间，单位为KB。其中1表示没有限制。 1 enablebitmapscan 控制优化器对位图扫描规划类型的使用。 on表示使用。 off表示不使用。 on enablehashagg 控制优化器对Hash聚集规划类型的使用。 on表示使用。 off表示不使用。 on enablehashjoin 控制优化器对Hash连接规划类型的使用。 on表示使用。 off表示不使用。 on enableindexscan 控制优化器对索引扫描规划类型的使用。 on表示使用。 off表示不使用。 on enableindexonlyscan 控制优化器对仅索引扫描规划类型的使用。 on表示使用。 off表示不使用。 on enablemergejoin 控制优化器对融合连接规划类型的使用。 on表示使用。 off表示不使用。 off enablenestloop 控制优化器对内表全表扫描嵌套循环连接规划类型的使用。虽然不能完全消除嵌套循环连接，但关闭该参数会使优化器在存在其他方法的时候优先选择其他方法。 on表示使用。 off表示不使用。 off enableseqscan 控制优化器对顺序扫描规划类型的使用。虽然不能完全消除顺序扫描，但关闭该参数会让优化器在存在其他方法的时候优先选择其他方法。 on表示使用。 off表示不使用。 on enabletidscan 控制优化器对TID扫描规划类型的使用。 on表示使用。 off表示不使用。 on enablekillquery CASCADE模式删除用户时，会删除此用户拥有的所有对象。此参数标识是否允许在删除用户的时候，取消锁定此用户所属对象的query。 on表示允许取消锁定。 off表示不允许取消锁定。 off enablevectorengine 控制优化器对向量化执行引擎的使用。 on表示使用。 off表示不使用。 on enablebroadcast 控制优化器对stream代价估算时对broadcast分布方式的使用。 on表示使用。 off表示不使用。 on skewoption 控制是否使用优化策略。 off：关闭策略。 normal：采用激进策略。对于不确定是否出现倾斜的场景，认为存在倾斜，并进行相应优化。 lazy：采用保守策略。对于不确定是否出现倾斜场景，认为不存在倾斜，不进行优化。 normal defaultstatisticstarget 为没有用ALTER TABLE SET STATISTICS设置字段目标的表设置缺省统计目标。此参数设置为正数是代表统计信息的样本数量，为负数时，代表使用百分比的形式设置统计目标，负数转换为对应的百分比，即5代表5%。 100 enablecodegen 标识是否允许开启代码生成优化，目前代码生成使用的是LLVM优化。 on表示允许开启代码生成优化。 off表示不允许开启代码生成优化。 on autoanalyze 标识是否允许在生成计划的时候，对于没有统计信息的表进行统计信息自动收集。 on表示允许自动进行统计信息收集。 off表示不允许自动进行统计信息收集。 说明 当前不支持对外表触发autoanalyze，如需收集，需用户手动执行analyze操作。 不支持对带有ON COMMIT [DELETE ROWS l DROP]选项的临时表触发autoanalyze，如需收集，需用户手动执行analyze操作。 如果在autoanalyze某个表的过程中数据库发生异常，当数据库正常运行之后再执行语句有可能仍提示需要收集此表的统计信息。此时需要用户对该表手动执行一次analyze操作，以同步统计信息数据。 off enablesonichashagg 标识是否依据规则约束使用基于面向列的hash表设计的Hash Agg算子。 on表示在满足约束条件时使用基于面向列的hash表设计的Hash Agg算子。 off表示不使用面向列的hash表设计的Hash Agg算子。 on loghostname 默认状态下，连接消息日志只显示正在连接主机的IP地址。打开此选项同时可以记录主机名。由于解析主机名可能需要一定的时间，可能影响数据库的性能。on表示可以同时记录主机名。off表示不可以同时记录主机名。 off maxactivestatements 设置全局的最大并发数量。此参数只应用到CN，且针对一个CN上的执行作业。设置为1和0表示对最大并发数不做限制。 60 enableresourcetrack 是否开启资源监控功能。 on resourcetracklevel 设置当前会话的资源监控的等级。该参数只有当参数enableresourcetrack为on时才有效。 none，不开启资源监控功能。 query，开启query级别资源监控功能，开启此功能会把SQL语句的计划信息（类似explain输出信息）记录到top SQL中。 perf，开启perf级别资源监控功能，开启此功能会把包含实际执行时间和执行行数的计划信息（类似explain analyze输出信息）记录到top SQL中。 operator，开启operator级别资源监控功能，开启此功能不仅会把包含实际执行时间和执行行数的信息记录到top SQL中，还会把算子级别执行信息刷新到top SQL中。 query enabledynamicworkload 是否开启动态负载管理功能。 on表示打开动态负载管理功能。 off表示关闭动态负载管理功能。 on topsqlretentiontime 设置历史TopSQL中gswlmsessioninfo和gswlmoperatorinfo表中数据的保存时间。单位为天。 值为0时，表示数据永久保存。 值大于0时，表示数据能够保存的对应天数。 0 trackcounts 控制收集数据库活动的统计数据。 on表示开启收集功能。 off表示关闭收集功能。 off autovacuum 控制数据库自动清理进程（autovacuum）的启动。自动清理进程运行的前提是将trackcounts设置为on。 on表示开启数据库自动清理进程。 off表示关闭数据库自动清理进程。 off autovacuummode 该参数仅在autovacuum设置为on的场景下生效，它控制autoanalyze或autovacuum的打开情况。 analyze表示只做autoanalyze。 vacuum表示只做autovacuum。 mix表示autoanalyze和autovacuum都做。 none表示二者都不做。 mix autoanalyzetimeout 设置autoanalyze的超时时间。在对某张表做autoanalyze时，如果该表的analyze时长超过了autoanalyzetimeout，则自动取消该表此次analyze，单位为秒。 5min autovacuumiolimits 控制autovacuum进程每秒触发IO的上限。其中1表示不控制，而是使用系统默认控制组。 1 autovacuummaxworkers 设置能同时运行的自动清理线程的最大数量。其中0表示不会自动进行autovacuum。 3 autovacuumnaptime 设置两次自动清理操作的时间间隔，单位为秒。 10min autovacuumvacuumthreshold 设置触发VACUUM的阈值。当表上被删除或更新的记录数超过设定的阈值时才会对这个表执行VACUUM操作。 50 autovacuumanalyzethreshold 设置触发ANALYZE操作的阈值。当表上被删除、插入或更新的记录数超过设定的阈值时才会对这个表执行ANALYZE操作。 50 autovacuumanalyzescalefactor 设置触发一个ANALYZE时增加到autovacuumanalyzethreshold的表大小的缩放系数。 0.1 statementtimeout 当语句执行时间超过该参数设置的时间（从服务器收到命令时开始计时）时，该语句将会报错并退出执行，单位为毫秒。 0 deadlocktimeout 设置死锁超时检测时间。当申请的锁超过设定值时，系统会检查是否产生了死锁，单位为毫秒。 1s lockwaittimeout 控制单个锁的最长等待时间。当申请的锁等待时间超过设定值时，系统会报错，单位为毫秒。 20min maxqueryretrytimes 指定SQL语句出错自动重试功能的最大重跑次数（目前支持重跑的错误类型为“Connection reset by peer”、“Lock wait timeout”和“Connection timed out”等，设定为0时关闭重跑功能。 6 maxpoolsize CN的连接池与其它某个CN/DN的最大连接数。 800 enablegtmfree 大并发场景下同一时刻存在活跃事务较多，GTM下发的快照变大且快照请求变多的情况下，瓶颈卡在GTM与CN通讯的网络上。为消除该瓶颈，引入GTMFREE模式。取消CN和GTM的交互，取消CN下发GTM获取的事务信息给DN。CN只向各个DN发送query，各个DN由本地产生快照及xid等信息，开启该参数支持分布式事务读最终一致性，即分布式事务只有写外部一致性，不具有读外部一致性。 off enablefastqueryshipping 控制查询优化器是否使用分布式框架。 on enablecrccheck 设置是否允许开启数据校验功能。写入表数据时生成校验信息，读取表数据时检查校验信息。不建议用户修改设置。 on explainperfmode 此参数用来指定explain的显示格式。 normal：代表使用默认的打印格式。 pretty：代表使用DWS改进后的新显示格式。新的格式层次清晰，计划包含了plan node id，性能分析简单直接。 summary：是在pretty的基础上增加了对打印信息的分析。 run：在summary的基础上，将统计的信息输出到csv格式的文件中，以便于进一步分析。 pretty udfmemorylimit 控制每个CN、DN执行UDF时可用的最大物理内存量，单位为KB。 200MB defaulttransactionreadonly 设置每个新创建事务是否是只读状态。on表示只读状态。off表示非只读状态。 off

本文为您介绍KMS集成云产品提供服务端加密能力详情。 密钥管理服务（KMS）与云硬盘、对象存储、弹性文件、关系型数据库MYSQL版等产品实现了服务端集成，在使用这些云服务时，可通过密钥管理服务实现对数据的加解密，并集中使用密钥管理服务（KMS）对密钥进行管理。 支持服务端加密的密钥类型 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 云产品 默认密钥 AES256（默认） 用户自行创建 用户主密钥软件 AES256 用户自行创建 用户主密钥硬件 AES256 SM4 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品在每个资源池支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、计划删除、自定义别名等操作。 用户主密钥 云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS服务标准资费进行计费，请您确保账户余额充足，避免因KMS服务冻结导致云产品无法正常调用KMS服务进行加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非未被用于云产品加密，避免删除后导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云产品加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云产品加密使用。若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。

本节介绍了如何在控制台变更域名的服务区域。 使用场景 根据域名所提供服务的区域，用户可选择与之相匹配的边缘安全加速平台服务区域。例如：某站点的主要客户群体在中国内地，则域名接入边缘安全加速平台后，选择“中国内地”服务区域。客户端访问域名站点的流量，就会就近接入进入中国内地区域的边缘节点。 当服务区域为中国内地，站点请求会被调度到中国内的节点。 当服务区域为全球（不含中国内地），站点请求会被调度到全球（不含中国内地）的节点。 当服务区域为全球，站点请求会被调度到中国内地或全球（不含中国内地）的节点。 前提条件 订购边缘安全加速服务，加速区域为“全球”的套餐。加速区域为“中国内地”或者“全球（不含中国内地）”的套餐，不可变更域名的服务区域。 域名状态为“已启用”。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.在域名操作栏点击“区域变更”，选择服务区域后点击确定即可。 注意 1、不同服务区域对应不同资费标准，服务区域包含中国内地时，域名请先完成在中国大陆的ICP备案，同时完成公安网的备案。 2、修改服务区域，由于服务节点变更，短期内回源的流量会增加，命中率会下降，请您留意源站运行情况。 3、 修改服务区域可能会引起回源IP变更，如果您的源站有回源IP白名单限制，请通过 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本文介绍分片回源的适用场景和配置方法。 功能介绍 分片回源，是指边缘节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给边缘安全加速平台。分片回源功能开启后，边缘节点以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 下表为分片回源功能不同状态下的相关描述： 功能 状态 描述 分片回源 关闭 分片回源功能未开启时，若客户端发起Range请求，Range请求头部Start值的偏移量在一定范围内（默认为5MB），例如Range：10485762097152（其中1048576为Start值，2097152为End值），边缘加速平台会默认回源获取完整文件并缓存，同时响应给客户端Range范围内的数据内容。如Range请求的Start值范围超出5MB，且边缘节点尚未缓存完整文件，则边缘节点直接透传Range请求回源站，响应数据给用户的同时，不缓存对应文件。 分片回源 开启 开启分片回源后，无论客户端发起的是否Range请求，边缘节点无缓存时，均按配置的Range分片大小回源，如源站响应206状态码，则边缘缓存对应分片内容，并响应206（如客户端为Range请求）或200（如客户端为完整文件请求）给客户端。 客户端发起Range请求，边缘安全加速平台有Range范围的文件内容缓存时，直接响应206状态码及对应范围缓存内容给客户端。 分片回源 自适应 天翼云边缘安全加速平台同时支持自适应回源，即：如果客户端携带Range请求头，则按分片回源；如果客户端没有携带Range请求头，则按完整文件回源。 按分片回源时，会按照配置的分片大小回源，响应数据给用户的同时缓存文件。 注意 分片回源功能默认关闭。

示例四：图片检测（Base64 方式） 请求体： java { "checkService":"imagesecuritycheck", "reqId":"req1004", "imageBase64":"data:image/jpeg;base64,/9j/4AAQSkZJRgAB..." } 示例五：参数缺失（失败场景） 请求体（缺少reqId）： java { "checkService":"textinputcheck", "prompt":"hello" } 返回： java { "code":"500", "subCode":"500", "message":"请求ID不能为空", "success":false, "data":null } 完整调用示例（Java） 以下示例展示了如何同时构造业务签名（XHMACSIGNATURE）并发起文本输入检测请求。完整的 EOP 签名（EopAuthorization）请参考天翼云 EOP SDK 或按上文步骤自行实现。 java importcn.hutool.crypto.digest.HMac; importcn.hutool.crypto.SecureUtil; importcn.hutool.core.codec.Base64; importjava.net.http.HttpClient; importjava.net.http.HttpRequest; importjava.net.http.HttpResponse; importjava.net.URI; importjava.util.UUID; publicclass AiGuardClient { privatestaticfinalString APIURL " privatestaticfinalString ACCOUNTID "youraccountid"; privatestaticfinalString APPCODE "yourappcode";// AK privatestaticfinalString PUBLICKEY "yourpublickey"; privatestaticfinalString PRIVATEKEY "yourprivatekey";// SK publicstaticvoidmain(String[] args)throwsException{ // 构造业务签名（XHMACSIGNATURE） long timestamp System.currentTimeMillis(); String message PUBLICKEY +""+ timestamp; HMac hMac SecureUtil.hmacSha256(PRIVATEKEY); String xHmacSignature Base64.encode(hMac.digest(message)); // EOP 签名所需参数 String eopRequestId UUID.randomUUID().toString(); String eopDate getCurrentEopDate();// 格式：yyyyMMddTHHmmssZ，北京时间 String eopAuthorization buildEopAuthorization(APPCODE, PRIVATEKEY, eopRequestId, eopDate, requestBody); // buildEopAuthorization 方法请参照 5.8.2 节四步签名算法自行实现 String requestBody """ { "checkService": "textinputcheck", "reqId": "requuid001", "prompt": "这是待检测的用户输入内容" } """; HttpClient client HttpClient.newHttpClient(); HttpRequest request HttpRequest.newBuilder() .uri(URI.create(APIURL)) .header("ContentType","application/json") .header("accountid", ACCOUNTID) .header("XAPPCODE", APPCODE) .header("XREQUESTDATE",String.valueOf(timestamp)) .header("XHMACSIGNATURE", xHmacSignature) .header("ctyuneoprequestid", eopRequestId) .header("Eopdate", eopDate) .header("EopAuthorization", eopAuthorization) .POST(HttpRequest.BodyPublishers.ofString(requestBody)) .build(); HttpResponse response client.send(request, HttpResponse.BodyHandlers.ofString()); System.out.println("Response: "+ response.body()); } }

示例四：图片检测（Base64 方式） 请求体： java { "checkService":"imagesecuritycheck", "reqId":"req1004", "imageBase64":"data:image/jpeg;base64,/9j/4AAQSkZJRgAB..." } 示例五：参数缺失（失败场景） 请求体（缺少reqId）： java { "checkService":"textinputcheck", "prompt":"hello" } 返回： java { "code":"500", "subCode":"500", "message":"请求ID不能为空", "success":false, "data":null } 完整调用示例（Java） 以下示例展示了如何同时构造业务签名（XHMACSIGNATURE）并发起文本输入检测请求。完整的 EOP 签名（EopAuthorization）请参考天翼云 EOP SDK 或按上文步骤自行实现。 java importcn.hutool.crypto.digest.HMac; importcn.hutool.crypto.SecureUtil; importcn.hutool.core.codec.Base64; importjava.net.http.HttpClient; importjava.net.http.HttpRequest; importjava.net.http.HttpResponse; importjava.net.URI; importjava.util.UUID; publicclass AiGuardClient { privatestaticfinalString APIURL " privatestaticfinalString ACCOUNTID "youraccountid"; privatestaticfinalString APPCODE "yourappcode";// AK privatestaticfinalString PUBLICKEY "yourpublickey"; privatestaticfinalString PRIVATEKEY "yourprivatekey";// SK publicstaticvoidmain(String[] args)throwsException{ // 构造业务签名（XHMACSIGNATURE） long timestamp System.currentTimeMillis(); String message PUBLICKEY +""+ timestamp; HMac hMac SecureUtil.hmacSha256(PRIVATEKEY); String xHmacSignature Base64.encode(hMac.digest(message)); // EOP 签名所需参数 String eopRequestId UUID.randomUUID().toString(); String eopDate getCurrentEopDate();// 格式：yyyyMMddTHHmmssZ，北京时间 String eopAuthorization buildEopAuthorization(APPCODE, PRIVATEKEY, eopRequestId, eopDate, requestBody); // buildEopAuthorization 方法请参照 5.8.2 节四步签名算法自行实现 String requestBody """ { "checkService": "textinputcheck", "reqId": "requuid001", "prompt": "这是待检测的用户输入内容" } """; HttpClient client HttpClient.newHttpClient(); HttpRequest request HttpRequest.newBuilder() .uri(URI.create(APIURL)) .header("ContentType","application/json") .header("accountid", ACCOUNTID) .header("XAPPCODE", APPCODE) .header("XREQUESTDATE",String.valueOf(timestamp)) .header("XHMACSIGNATURE", xHmacSignature) .header("ctyuneoprequestid", eopRequestId) .header("Eopdate", eopDate) .header("EopAuthorization", eopAuthorization) .POST(HttpRequest.BodyPublishers.ofString(requestBody)) .build(); HttpResponse response client.send(request, HttpResponse.BodyHandlers.ofString()); System.out.println("Response: "+ response.body()); } }

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 7. 在文件系统详情页面复制挂载命令，并在客户端执行挂载。挂载完成后使用 df h命令查看文件系统挂载情况。挂载命令获取见下图： 注意 请将挂载命令中的“/localfolder”替换为您在第6步创建的本地挂载路径。 8. 挂载完成后使用 df h命令查看文件系统挂载情况。 9. 配置开机自动挂载。 注意 为避免已挂载文件系统的云主机重启后挂载信息丢失，建议设置重启时进行自动挂载。 1. 执行“vi /etc/rc.d/rc.local”编辑 rc.local 文件，在文件末尾新增挂载信息，挂载命令可在文件系统详情页获取（见上方第7步）。配置完成后，单击“Esc”键，并输入 :wq，保存文件并退出。配置样例如下： plaintext sleep 10s && sudo 挂载命令 2. 执行“chmod +x /etc/rc.d/rc.local ”。 3. 完成上述配置后，当云主机重启时，系统会等待10s后自动挂载。 10. （可选）建议使用NFSv3协议挂载，如需使用 NFSv4 协议挂载，请在每个 NFS 客户端按以下步骤配置nfs4uniqueid。 plaintext

本文介绍了如何使用ctbatch工具提交作业。 1.亲和性简介 在 HPC（高性能计算）场景中，亲和性是指将计算任务与硬件资源（CPU/GPU 等）进行精准匹配调度的能力： 同构亲和性：针对 Intel、鲲鹏、中科海光等同类 CPU 架构，实现任务与物理核 / 处理器插槽（Socket）的绑定。 异构亲和性：针对 NVIDIA GPU（CUDA 架构）、中科海光（RocM 架构）等异构硬件，实现任务与单 GPU、多 GPU 的灵活绑定。 2.ctbatch 传统 HPC 调度需依赖调度器（如 Slurm）+ 编译器 + MPI 通信库的组合适配，且不同调度器（Slurm/PBS）、硬件架构的适配规则不统一，导致任务部署效率低、资源利用率差。 ctbatch是天翼云HPC提交作业工具, 通过抽象化的 CLI 工具，统一不同调度器、硬件架构的亲和性调度逻辑。 shell $ ctbatch [h] [q QUEUENAME] [J JOBNAME] [N NODENUM] [w NODELSIT] [ppn TASKSPERNODE] [c CPUSPERTASK] [g GPUSPERNODE] [t MAXTIME] [exclusive] [mpi] [gpubind] [env] [userdefinedmodule] [norun] [command] 命名参数 说明 q QUEUENAME, queue QUEUENAME 作业队列名, 必填 J, JOBNAME, jobname JOBNAME 作业名, 最长50字符 N NODENUM, nodes NODENUM 节点数, 正整数 w NODELSIT, nodelist NODELSIT 节点列表(逗号分隔) ppn TASKSPERNODE, taskspernode TASKSPERNODE 每节点任务数 c CPUSPERTASK, cpuspertask CPUSPERTASK 每任务CPU核心数 g GPUSPERNODE, gpuspernode GPUSPERNODE 每节点GPU数 t MAXTIME, maxtime MAXTIME 最大运行时间 exclusive 独占 mpi 所用的mpi, OpenMPI, OpenMPIcudaaware gpubind 使用gpu亲和性, mpi和gpu卡映射分为11 1n n1 env 自定义环境变量 userdefinedmodule 自定义需加载的module norun 生成作业脚本 command 执行的程序

本文介绍了如何使用ctbatch工具提交作业。 1.亲和性简介 在 HPC（高性能计算）场景中，亲和性是指将计算任务与硬件资源（CPU/GPU 等）进行精准匹配调度的能力： 同构亲和性：针对 Intel、鲲鹏、中科海光等同类 CPU 架构，实现任务与物理核 / 处理器插槽（Socket）的绑定。 异构亲和性：针对 NVIDIA GPU（CUDA 架构）、中科海光（RocM 架构）等异构硬件，实现任务与单 GPU、多 GPU 的灵活绑定。 2.ctbatch 传统 HPC 调度需依赖调度器（如 Slurm）+ 编译器 + MPI 通信库的组合适配，且不同调度器（Slurm/PBS）、硬件架构的适配规则不统一，导致任务部署效率低、资源利用率差。 ctbatch是天翼云HPC提交作业工具, 通过抽象化的 CLI 工具，统一不同调度器、硬件架构的亲和性调度逻辑。 shell $ ctbatch [h] [q QUEUENAME] [J JOBNAME] [N NODENUM] [w NODELSIT] [ppn TASKSPERNODE] [c CPUSPERTASK] [g GPUSPERNODE] [t MAXTIME] [exclusive] [mpi] [gpubind] [env] [userdefinedmodule] [norun] [command] 命名参数 说明 q QUEUENAME, queue QUEUENAME 作业队列名, 必填 J, JOBNAME, jobname JOBNAME 作业名, 最长50字符 N NODENUM, nodes NODENUM 节点数, 正整数 w NODELSIT, nodelist NODELSIT 节点列表(逗号分隔) ppn TASKSPERNODE, taskspernode TASKSPERNODE 每节点任务数 c CPUSPERTASK, cpuspertask CPUSPERTASK 每任务CPU核心数 g GPUSPERNODE, gpuspernode GPUSPERNODE 每节点GPU数 t MAXTIME, maxtime MAXTIME 最大运行时间 exclusive 独占 mpi 所用的mpi, OpenMPI, OpenMPIcudaaware gpubind 使用gpu亲和性, mpi和gpu卡映射分为11 1n n1 env 自定义环境变量 userdefinedmodule 自定义需加载的module norun 生成作业脚本 command 执行的程序

本文帮助您了解对象存储查看资源包详情的相关步骤。 如果您已购买资源包，您可以在ZOS管理控制台上查看已购买资源包的使用详情。 查看方法 1.点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2.在管理控制台上方点击图标，选择所需的资源池节点。 3.在系统首页，选择“存储>对象存储”。 4.在ZOS管理控制台点击右上角“资源包管理”。 5.在资源包管理页面，可以根据存储容量包、公网流出流量包、请求次数包三个类别查看不同的资源包信息。由于计费订单是每小时产生的，所以用量和余量的数据更新的时间节点是前一小时账单出来后，非实时数据。 当前用量：展示当前二级分类下，已订购的所有资源包的累计抵扣量。 当前余量：展示当前二级分类下，已订购的所有资源包的剩余量之和。 本月将过期数量：展示当前二级分类下，从当前时间段到月底会过期的资源包数量。 本月将过期总量 ：展示当前二级分类下，从当前时间段到月底会过期的资源包的规格之和。 在每个资源包类型下，还可查看已购买资源包的详细信息，包括资源包类型、存储类型、资源包规格、剩余量、生效时间和到期时间，也可以进行续订或退订操作。 说明 当前余量是针对二级分类下已订购的所有资源包的剩余量累加后再四舍五入保留两位小数进行展示，而列表的剩余量是针对单条资源包剩余量四舍五入后进行展示，故列表展示的剩余量之和和二级分类下的当前余量的最后一位小数可能会有误差。 资源清空后，不再对存储容量包进行抵扣，存储容量包的当前用量和剩余量展示为最后一次抵扣后的数值。在上传资源后，会根据使用量进行刷新。

本文为您介绍什么是专有宿主机。 产品介绍 天翼云专有宿主机是一款提供物理资源完全独享的云服务器产品。您可以将云服务器实例部署在专属的物理主机上，满足对资源隔离、安全合规和性能稳定的严苛要求。与多租户共享的虚拟化环境不同，专有宿主机确保您独享整台物理服务器的所有计算资源。 专有宿主机与共享宿主机的区别如下图所示: 核心概念 1. 资源独享与强隔离：作为专有宿主机的唯一租户，您无需与其他用户共享计算物理资源，彻底避免资源共用带来的性格干扰与安全风险。 2. 虚拟化控制权：您在专有物理资源上拥有完整的虚拟化调度权，可以自主规划、创建、管理多台云主机实例。 应用场景 场景一：对系统稳定运行有要求的行业 对系统的运行稳定性有要求的业务，比如企业关键应用上云，专有宿主机能够为关键业务上云提供专属的计算与，并通过高度可靠的逻辑隔离网络环境，满足业务系统对高可靠性、高性能和高安全性的运行要求，确保系统稳定运行。 场景二：对资源使用灵活性要求高的行业 对于需要自主规划和部署资源的场景，专有宿主机支持用户在指定上部署ECS实例，并提供自动部署功能。使用专有宿主机可以查看云主机与专有宿主机的拓扑关系，可以通过控制台灵活地创建和删除资源，借助镜像服务及备份服务快速部署或恢复环境。灵活的部署与有助于提升用户对应用架构的编排与控制能力。 场景三：受严格监管与高标准防护约束的行业应用 在金融、政务等对安全性、性能及可靠性有高要求的领域，专有宿主机提供了一个独享物理服务器资源的单用户环境，即用户独占物理主机，保证对其享有更多的控制权，且与其他用户的资源物理隔离，满足了用户对合规性、安全性的需求。

本页介绍天翼云TeleDB数据库实例运行快照。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择实例运行快照 页签。 2. 快照设置 1. 单击快照设置 ，弹出实例运行快照策略设置 对话框。 2. 在实例运行快照策略设置 对话框中，打开运行快照开启状态，输入快照开启时间和快照间隔时间，单击确定 完成设置。 3. 手动快照 单击手动快照 可立即执行快照。 4. 查询快照列表 可通过设置起始时间和结束时间，单击查询筛选已产生的快照列表。 5. 查看快照详情 单击对应快照记录的详情，可查看该快照的详细信息。 具体内容包括： 数据库状态：节点名称、IP、端口、角色、日志同步状态、运行状态。 数据库核心配置：synchronouscommit、maxpoolsize、autovaccum、maxconnection、workmem、walkeepsegments、vacuumdelta、sharedbuffers的参数值。 数据库连接分析：包括CN和DN的连接情况，如avgconn、avgconnactive、avgconnidle、avgconnlock等。 DataNode节点请求量统计：统计DN节点的增删改查请求量。 数据库检查点：节点的检查点情况，如checkpointstimed、checkpointsreq等。 存储情况分节点统计：节点的存储情况，如totalsize、totaltups。 慢查询TOP 50：慢查询的TOP 50情况。 错误日志情况：包括错误信息、级别。 buffer命中率分析：包括平均、最大和最小情况。 锁分析（最多展示等待时间最长50条）。 节点CPU/内存利用率概况：节点CPU/内存利用率。 死锁详情：最多展示最近的50条。 回滚详情：最多展示最近的50条。 二阶段残留事务详情：二阶段残留事务详细信息。 6. 快照对比 1. 单击对应快照记录的快照对比，弹出快照对比对话框。 2. 在快照对比对话框，选择要对比的快照，单击确定可查看快照对比信息。

本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量全站加速流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。