本文介绍了DMS SQL明细功能，DMS SQL明细用于记录DMS用户对数据源进行的操作。 前提条件 登录用户的角色为超级管理员、系统管理员、审计管理员。 录入并登录实例，对实例内的数据进行变更或者查询以生成SQL审计记录。 操作步骤 1. 用户登录DMS系统。 2. 在左侧菜单栏依次点击 安全协作 > 操作审计 。 3. 点击DMS SQL明细标签，进入审计界面。 注意事项 DMS SQL明细的日志记录基础版可保存7天，企业版可保存180天。 DMS SQL明细不会审计所有类型的SQL语句，例如SHOW 、USE等常规数据库操作，不涉及敏感数据，将不会被审计。 仅超级管理员、系统管理员和审计管理员可以进入DMS SQL明细界面，查看审计的相关记录。 功能介绍 DMS SQL明细日志记录了用户于何时对哪个数据源执行了什么类型的SQL语句，并对该操作给出高风险、中风险、低风险三种等级的风险评估。对数据源的记录最精细可以审计到表级别 ，同时也会记录SQL执行的结果、查询耗时、影响行数等信息。若执行失败，会记录对应的报错信息。 DMS SQL明细搜索 DMS SQL明细支持的搜索项包括执行时间、SQL类型、执行风险、操作用户、实例名称、实例地址、库名/模式名、表名、功能、执行状态。其中操作用户、实例名称、实例地址、库名/模式名、表名等搜索项支持模糊搜索。若用户想清除已经选择的搜索项，可以点击重置按钮。

本节为您介绍数据库迁移工具提供订阅任务搜索功能。 数据库迁移工具提供订阅任务搜索功能，用户可根据ID、任务名称、状态、任务时间、是否异常筛选出想要查看的迁移任务，查询条件之间是并且的关系。 ID 基于ID列的精确查询条件 名称 基于任务名称列的模糊查询条件 状态 基于状态列的下拉选项精确查询条件 时间 基于启动时间列的时间段精确查询条件 异常任务 该搜索条件支持搜索表有延迟、堆积的任务

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

本章节主要介绍逆向数据库维度建模操作。 通过逆向数据库，您可以将其他数据源的数据库中的表导入到指定的关系模型中。 前提条件 在逆向数据库之前，请先在DataArts Studio数据目录模块中对数据库进行元数据采集，以便同步数据目录时可以同步成功，否则同步数据目录将执行失败。有关数据目录元数据采集的具体操作，请参见任务管理。 逆向数据库导入表到维度模型中 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 2. 在DataArts Studio数据架构控制台，单击左侧导航栏的“维度建模”进入维度建模页面。 3. 打开需要逆向数据库导入的维度或表的页签，然后单击列表上方的“逆向数据库”。 4. 在“逆向数据库”对话框中配置参数。 参数名称 说明 所属主题 单击“选择主题”按钮选择所属的主题信息。 数据连接类型 选择维度建模的逆向数据库。 数据连接 选择所需要的数据连接。 如需从其他数据源逆向数据库到关系模型中，需要先在DataArts Studio管理中心创建一个数据连接，以便连接数据源。创建数据连接的操作，请参见创建数据连接。 数据库 选择数据库。 队列 仅限DLI连接类型，需选择DLI队列。 Schema DWS或POSTGRESQL的模式。该参数在DWS或POSTGRESQL连接类型有效。 更新已有表 在导入时，只有创建或更新操作，不会删除已有的表。 不更新 ：如果表已存在，将直接跳过，不更新。 更新 ：如果表已存在，更新已有的表信息。如果表处于“已发布”状态，表更新后，您需要重新发布表，才能使更新后的表生效。 数据表 选择“全部”时，将数据库中的所有的表都导入。 选择“部分”时，请选择需要导入的表。 5. 单击“确定”开始执行逆向数据库操作。等待操作执行完成，即可在“上次逆向”中查看结果或者执行重新逆向操作。

本章节主要介绍了如何通过JDBC连接池与DRDS对接，实现数据操作。 应用连接池选择 连接资源是数据库中非常宝贵及有限的资源，应用并发量很大时，如果没有连接池，会占用大量的数据库的连接，导致后端数据库连接不足，无法正常提供服务，我们建议应用使用连接池来完成连接工作。在java中，推荐HikariCP作为应用连接池。 JDBC约束 不支持 rewriteBatchedStatementstrue 参数设置(默认为 false)。 BLOB, BINARY, VARBINARY 字段不能使用 setBlob() 或 setBinaryStream() 方法设置参数 。 操作步骤 1. 在控制台创建表并配置分片规则，参考建表DDL如下。 json create table if not exists enumtable( id int not null, code int not null, content varchar(250) not null, primary key(id) )engineinnodb charsetutf8; 2. 配置依赖。 json com.zaxxer HikariCP 4.0.3 3. 配置JDBC连接池参数。 yaml > 4. 连接DRDS实例执行相关sql。 json import com.zaxxer.hikari.HikariDataSource; import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class JDBCTest { public static void main(String[] args) throws SQLException { ApplicationContext app new ClassPathXmlApplicationContext("application.xml"); HikariDataSource dataSource (HikariDataSource) app.getBean("dataSourceHikari"); Connection conn null; try { conn dataSource.getConnection(); //开启事务 conn.setAutoCommit(false); // 插入测试数据 PreparedStatement ps1 conn.prepareStatement("insert into enumtable (id,code,content) values (?,?,?);"); ps1.setInt(1, 1); ps1.setInt(2, 1001); ps1.setString(3, "测试数据"); ps1.executeUpdate(); conn.commit (); //查询条件带上分片键或切片索引键，否则语句将广播执行 PreparedStatement ps2 conn.prepareStatement("SELECT FROM enumtable WHERE id ?"); ps2.setInt(1, 1); ResultSet rs ps2.executeQuery(); rs.next(); String space ""; for (int i 1; i < rs.getMetaData().getColumnCount(); i++) { System.out.print(space + rs.getMetaData().getColumnName(i) + " " + rs.getString(i)); space ", "; } } catch (Exception e) { e.printStackTrace(); } finally { if (conn ! null) { conn.close(); } } } }

本文为您介绍开启Web核心防护能后，如何配置防护规则引擎。 Web核心防护提供最新的OWASP TOP10威胁防御，包含但不限于SQL注入攻击，XSS跨站攻击、跨站请求伪造攻击、参数污染、命令执行、服务端代码注入、信息泄露、预测资源位置、缓存溢出、Cookie投毒、XML注入、远程文件包含、XPath注入、路径遍历、认证攻击、LDAP注入、逃避检测攻击、目录遍历、HTTP响应拆分、XML解析漏洞、恶意文件上传、远程命令执行、文件包含、多层编译攻击、动态应用混淆、恶意扫描爬虫、网站挂马、后门上传等黑客攻击。支持防护针对Web应用框架和组件漏洞发起的攻击，深度发现经过混淆、变形的恶意隐藏的Web请求，在造成破坏之前预防、阻断，提供设备指纹识别，识别隐藏攻击。 支持防逃逸，自动还原常见编码，解码常见编码类型包含URL编码、JavaScriptUnicode编码、HEX编码、HTML实体编码、Java序列化编码、PHP序列化编码、Base64编码、UTF7编码、UTF8编码、混合嵌套编码、ASCII编码、IIS反斜杠编码等。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 背景信息 云WAF的Web全局防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web核心防护规则引擎的检测和防护。 Web核心防护则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见全局Web核心防护。

本节为您介绍WAN+4G/5G链路备份的操作场景、前提条件、操作步骤。 操作场景 智能网关设备可以配置有线带宽WAN和无线4G/5G互为主备链路，例如：设置有线宽带WAN为主用链路，无线4G/5G为备用链路。当主用链路发生故障时，自动切换至备用链路。您可以在智能网关管理控制台查看当前智能网关设备接入Internet的链路状态。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建，且未进行链路设置。 在购买智能网关时，开启LTE/5G服务。开启后，智能网关硬件设备出厂时会携带一个4G/5G模块，该模块插入智能接入网关设备后可作为有线宽带WAN备份链路，在有线宽带WAN链路故障时为您传输数据。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击目标智能网关“操作”列的“链路设置”。 5. 在链路设置界面，根据页面提示进行主备链路设置。 6. 单击“确认”按钮。

资源冻结、解冻、欠费保留期到期时对业务的影响 资源冻结：云硬盘状态变为“已冻结”，限制云硬盘资源的访问和使用，例如磁盘被冻结时，磁盘IO会被限制。存储在云硬盘中的数据予以保留，欠费冻结保留期内的云硬盘不会按照已绑定的云硬盘自动快照策略执行快照创建任务。 资源解冻：云硬盘状态更新，解除限制云硬盘资源的访问和使用。但是需要您自行检查资源是否可以正常使用。 欠费保留期到期：销毁云硬盘资源，销毁存储在云硬盘中的数据。 资源使用建议 按需计费模式的云硬盘进入欠费保留期后将影响资源的正常使用，为避免因为账户欠费影响您的业务和数据，建议您开通帐户可用额度预警功能，并关注账户欠费等相关通知信息，以便及时充值，以确保帐户余额充足。 试用及卡券管理 天翼云官网试用规则请参见天翼云帮助中心费用中心试用规则。 优惠券使用规则请参见天翼云帮助中心费用中心优惠券使用。 代金券使用规则请参见天翼云帮助中心费用中心代金券使用。 提货券使用规则请参见天翼云帮助中心费用中心提货券使用。

本节介绍 Web应用防火墙（独享版）的安全总览页面。 您通过Web应用防火墙服务查看防护日志，可查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 已为防护域名添加了一个或者多个防护规则。 规格限制 在“安全总览”界面，最多可以查看30天的防护数据。 QPS计算方式 不同时间段的QPS计算方式不同，QPS在各时间段的取值说明如下表所示。 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟，取1分钟内的平均值 间隔1分钟，取1分钟内的最大值 “3天” 间隔5分钟，取5分钟内的平均值 间隔5分钟，取5分钟内的最大值 “7天” 间隔10分钟，取每5分钟内平均值的最大值 间隔10分钟，取10分钟内最大值 “30天” 间隔1小时，取每5分钟内平均值的最大值 间隔1小时，取1小时内最大值 说明 QPS（Queries PerSecond）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在页面上方，设置要查询的网站、实例以及查询时间。 默认统计的是该账号所有项目下添加到WAF的所有网站的相关数据。 “域名接入”：统计的是选择添加到WAF的防护网站的接入信息。单击“查看”跳转到“网站设置”界面，可以查看防护域名详细信息。 查询时间：可选择昨天、今天、3天、7天、30天。 5. 查看统计的总的请求次数、攻击次数以及各类型攻击的页面总数。 “请求次数”中统计的次数为网站的PV（Page Views）值，即用户每次访问网站，在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站，在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”，可查看请求次数、攻击次数、Web基础防护、精准防护、CC攻击防护、爬虫攻击防护排名TOP 10的数据。 6. “安全统计”模块数据展示。 “按天统计”：勾选后，显示的是间隔一天统计一次的数据；不勾选，统计的数据周期根据选择的时间段而定，具体如下： “昨天”、“今天”：间隔两分钟统计一次数据。 “3天”：间隔5分钟统计一次数据。 “7天”：间隔10分钟统计一次数据。 “30天”：间隔1小时统计一次数据。 安全统计参数说明： 参数 说明 请求次数 统计的是域名被访问的总请求量、攻击总量以及被各类攻击类型攻击的页面总数。 QPS 域名平均每秒钟的请求量。QPS的取值说明参考[](file:///D:/01%20%E6%96%87%E6%A1%A3%E9%9C%80%E6%B1%82/WAF%E5%90%88%E8%90%A5/Web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%88%E7%8B%AC%E4%BA%AB%E7%89%88%EF%BC%89%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97.docx

本节介绍了如何查看云数据库TaurusDB的任务中心。 查看任务 您可以通过“任务中心”查看任务执行进度和结果，并进行管理。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“任务中心”页面，选择目标任务，查看任务信息。 通过任务名称/任务ID、、实例名称/ID确定目标任务，或在右上角的“全部任务类型”的下拉列表中，输入任务名称来确定目标任务。 单击页面右侧的，查看某一时间段内的任务执行进度和状态，默认时长为一周。 任务保留时长最多为30天。 系统支持查看以下状态的任务： 执行中 完成 失败 删除任务 对于不再需要展示的任务，您可以通过“任务中心”进行任务记录的删除。删除任务仅删除记录，不会删除数据库实例或者停止正在执行中的任务。 注意 删除任务将无法恢复，请谨慎操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“任务中心”页面，选择目标任务，单击操作列的“删除”，在弹出框中单击“确定”，删除任务。 TaurusDB支持删除以下状态的任务： 完成 失败

尊敬的天翼云客户，分布式缓存服务Redis版自2025年12月27日起，订购和续订2年、3年选项默认不开放，调整为白名单特性。 调整时间 2025年12月27日 影响范围 所有区域 调整影响 新订购和续订的实例默认不开放2年、3年选项，您可以选择1年包年选项，如仍需要23年包周期选项，请联系技术支持开通后使用。 已购买2年、3年且还在服务期间的实例仍可继续正常使用不受影响。

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 当前仅支持同版本、同实例规格内变更资产规格，不支持跨版本变更或跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。

本节主要介绍权限管理类问题 无法找到特定服务的权限怎么办？ 天翼云服务分为项目级服务和全局级服务两种，需正确选择权限作用范围才能找到特定权限。如对象存储OBS属于全局级服务，弹性云主机属于项目级服务。 如已正确选择服务级别和服务名称仍无法找到服务，则该需要设置权限的服务暂不支持IAM。 权限没有生效怎么办？ 企业管理员在IAM控制台给IAM用户设置权限后，IAM子用户登录天翼云后发现权限没有生效，无法使用服务。 1. 可能原因：管理员授予IAM用户所在用户组的权限不正确。 解决方法：管理员确认并修改授予IAM用户所在用户组的权限，方法请参考：用户指南 > 用户组及授权。 2. 可能原因：管理员授予的权限已拒绝相关操作的授权项。 解决方法：管理员查看已授予IAM用户的系统权限详情，确认已授予的权限是否有拒绝操作的语句，方法请参考：用户指南 > 权限管理> 策略。如系统权限无法满足您的场景需要，管理员可以创建自定义策略，允许该操作对应的授权项，方法请参考：用户指南> 权限管理> 自定义策略。 3. 可能原因：管理员给用户组授予权限后，忘记将IAM用户添加至用户组中。 解决方法：管理员将IAM用户添加至用户组中，方法请参见：用户指南 > 用户组及授权> 用户组添加/移除用户。 4. 可能原因：对于区域级服务，管理员没有在在对应的区域进行授权。 解决方法：管理员在对IAM所在用户组授权时，选择对应的区域。如果管理员授予用户默认区域项目的权限，用户只能访问该默认项目中的资源，不拥有该默认项目下IAM子项目的权限，建议您授予IAM用户最小区域权限，方法请参见：用户指南 > 用户组及授权> 创建用户组并授权。 5. 可能原因：对于区域级服务，IAM用户登录控制台后，没有切换到授权区域。 解决方法：IAM用户访问区域级服务时，请切换至授权区域，方法请参见：用户指南 > 项目。 6. 可能原因：管理员授予的OBS权限由于系统设计的原因，授权后需等待1530分钟才可生效。 解决方法：请IAM用户和管理员等待1530分钟后重试。 7. 可能原因：浏览器缓存导致权限信息未更新。 解决方法：请清理浏览器缓存后重试。 8. 可能原因：管理员同时在IAM和企业管理给用户授权，基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理。 解决方法：请管理员根据情况在IAM控制台修改用户权限。

是否可以通过控制中心远程登录 SSH登录失败时，请首先尝试能否通过管理控制中心远程登录物理机。 1. 登录管理控制中心。 2. 选择“计算 > 物理机”。 3. 选择待登录的物理机，单击“操作”列的“远程登录”。 开始建立连接，大约1分钟后进入登录界面，按“Enter”后输入用户名“root”和密码。 排查思路 远程登录物理机正常，但无法通过SSH连接方式登录物理机时，我们推荐您按照以下思路排查问题。 检查网络是否正常 请确保您的计算机与物理机在同一网络中。 检查网络连接是否稳定，排除网络故障的可能性。 安全组配置是否正确 请确保物理机所在的安全组配置允许SSH连接。 检查安全组规则是否正确设置，确保SSH端口（默认为22）是开放的。 “/etc/fstab”文件中未注释非系统盘信息 检查"/etc/fstab"文件是否有非系统盘（数据盘）的配置，并确保这些配置正确注释或配置正确。 远程访问端口配置异常 检查物理机的SSH服务是否启动，并且监听正确的端口（默认为22）。 请确保网络中没有其他设备占用了相同的端口。 CPU负载过高 检查物理机的CPU使用率，如果CPU负载过高可能会导致SSH连接失败。 如果负载过高，尝试释放物理机的资源或优化应用程序以减轻CPU负载。 如果上述指导无法帮助您远程登录物理机，请记录资源信息和问题发生时间，然后提交工单，联系天翼云技术支持。 远程登录物理机时，对浏览器版本有什么要求？ 用户使用远程登录方式访问物理机时，需要使用兼容的浏览器版本。以下是支持的浏览器版本列表： 浏览器 版本 Google Chrome 31.075.0 Mozilla Firefox 27.062.0 Internet Explorer 10.011.0 请确保您使用的浏览器版本在上述范围内，以获得最佳的远程登录体验。如果您的浏览器版本不在支持列表中，建议您升级至兼容的版本或尝试其他支持的浏览器。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

介绍WEB端直传媒体存储流程优化实践。 优化实践 在WEB端需要将用户的数据上传到媒体存储，常见的方法通常是让用户通过浏览器先上传文件到用户的应用服务器，然后应用服务器再上传到媒体存储。这种方案上传的中转数据需要经过用户应用服务器，传输效率低，同时在多任务上传的过程，无疑会增加应用服务器的压力。具体的上传流程如下图： 本文将介绍另外一种方案，通过在WEB端直接调用PostObject接口，将用户的文件对象直传给天翼云媒体存储。这种方案，具有传输效率高，降低用户应用服务器压力等优点。 WEB端直传媒体存储流程如下图： 在WEB端直传，我们主要基于媒体存储的post接口，用表单上传的方式，将对象上传到指定的桶里面，所以在上传之前，我们需要先创建桶。同时上传的对象文件，最大不能超过5GB。 利用post接口进行表单直传的详细具体步骤： 1.将post上传接口中基于表单上传需要发送的Policy信息，发送给应用服务器。我们假设发送给应用服务器的Policy信息，如下： {"expiration":"20231228T00:00:00Z","conditions":[{"bucket":"openapihptest"},{"key":"postdog.png"}]} 2.应用服务器收到Policy信息后，对其进行签名，然后返回给用户。 应用服务器，我们可以采用Java,Python,GoLang等语言进行开发，计算post上传的签名信息。 我们假设后端应用服务器是python开发的，使用v2签名，示例代码如下： import base64 import hmac import hashlib import binascii def sign2(key, msg): return hmac.new(bytes(key, encoding'utf8'), msg.encode("utf8"), hashlib.sha1).digest() def getSignatureKey2(key, encodepolicy): signaturebyte sign2(key, encodepolicy) return binascii.b2abase64(signaturebyte) if name "main": SK 'xxxxx' bucketName 'xx' objectKey 'xx' expirationTime "20231228T00:00:00Z" policy "{"expiration": "%s"," ""conditions": [" "{"bucket": "%s" }," "{"key":"%s"}" "]}" % (expirationTime, bucketName, objectKey) print(f"policy:{policy}") encodePolicy bytes.decode(base64.b64encode(policy.encode('utf8'))) print(f"encodePolicy:{encodePolicy}")

本节介绍翼甲控制台监控首页内容。 监控首页 用户进入翼甲卫士控制台后，可在监控首页页面对防护概览进行了解。 基础信息总览：可看到当前防火墙的各组件版本信息及资源使用率。 防护总览：可看到按照不同时间维度查（最近一小时、一天、一周）询流量趋势以及桌面防护情况。 告警监控总览：可以按照不同时间维度（最近一小时、一天、一周）查阅告警事件详情及处理结果。

日志下载说明 1、登录DDoS高防（边缘云版）控制台。 2、筛选对应域名和时间后，单击对应域名日志记录的下载图标，具体如下图示：

操作场景 云硬盘创建或导入CCE后，可以在工作负载中挂载云硬盘。 须知： 云硬盘不支持跨可用区挂载。在挂载前，您可以使用 kubectl get pvc 命令查询当前集群所在分区下可用PVC。 操作步骤 步骤 1 执行如下命令，配置名为“evspodexample.yaml”的创建Pod的yaml文件。 touch evspodexample.yaml vi evspodexample.yaml 在无状态工作负载中基于pvc共享式使用云硬盘存储示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: evspodexample namespace: default spec: replicas: 1 selector: matchLabels: app: evspodexample template: metadata: labels: app: evspodexample spec: containers: image: nginx name: container0 volumeMounts: mountPath: /tmp name: pvcevsexample restartPolicy: Always volumes: name: pvcevsexample persistentVolumeClaim: claimName: pvcevsautoexample 表 关键参数说明 前置路径 参数 描述 spec.template.spec.containers.volumeMounts name 容器内挂载卷的名称。 spec.template.spec.containers.volumeMounts mountPath 容器内挂载路径，示例中挂载到“/tmp”路径。 spec.template.spec.volumes name 卷的名称。 spec.template.spec.volumes.persistentVolumeClaim claimName 已有PVC名称。 “spec.template.spec.containers.volumeMounts.name ”和 “spec.template.spec.volumes.name”有映射关系，必须保持一致。 在有状态工作负载中基于PVCTemplate独占式使用云硬盘存储示例： 1.15及以上版本的集群，yaml示例如下： apiVersion: apps/v1 kind: StatefulSet metadata: name: deployevssatain namespace: default generation: 1 labels: appgroup: '' annotations: container.io/container0: /swr/dockerimage/nginx.png description: '' spec: replicas: 1 selector: matchLabels: app: deployevssatain failuredomain.beta.kubernetes.io/region: region01 failuredomain.beta.kubernetes.io/zone: AZ01 template: metadata: labels: app: deployevssatain failuredomain.beta.kubernetes.io/region: region01 failuredomain.beta.kubernetes.io/zone: AZ01 annotations: metrics.alpha.kubernetes.io/customendpoints: '[{"api":"","path":"","port":"","names":""}]' pod.alpha.kubernetes.io/initialized: 'true' spec: containers: name: container0 image: 'nginx:1.12alpineperl' env: name: PAASAPPNAME value: deployevssatain name: PAASNAMESPACE value: default name: PAASPROJECTID value: a2cd8e998dca42e98a41f596c636dbda resources: {} volumeMounts: name: bssatamountoptionpvc mountPath: /tmp terminationMessagePath: /dev/terminationlog terminationMessagePolicy: File imagePullPolicy: IfNotPresent restartPolicy: Always terminationGracePeriodSeconds: 30 dnsPolicy: ClusterFirst securityContext: {} imagePullSecrets: name: defaultsecret affinity: {} schedulerName: defaultscheduler volumeClaimTemplates: metadata: name: bssatamountoptionpvc namespace: default annotations: everest.io/diskvolumetype: SATA spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi storageClassName: csidisk serviceName: wwww podManagementPolicy: OrderedReady updateStrategy: type: RollingUpdate revisionHistoryLimit: 10 表1关键参数说明 前置路径 参数 描述 metadata name 创建的工作负载名称。 spec.template.spec.containers image 工作负载的镜像。 spec.template.spec.containers.volumeMount mountPath 容器内挂载路径，示例中挂载到“/tmp”路径。 spec serviceName 工作负载对应的服务，服务创建过程请参见6.3 创建有状态负载(StatefulSet)。 “spec.template.spec.containers.volumeMounts.name ”和 “spec.volumeClaimTemplates.metadata.name”有映射关系，必须保持一致。 1.13及之前版本，yaml示例如下： apiVersion: apps/v1 kind: StatefulSet metadata: name: deployevssatain namespace: default generation: 1 labels: appgroup: '' annotations: container.io/container0: /swr/dockerimage/nginx.png description: '' spec: replicas: 1 selector: matchLabels: app: deployevssatain failuredomain.beta.kubernetes.io/region: region01 failuredomain.beta.kubernetes.io/zone: AZ01 template: metadata: labels: app: deployevssatain failuredomain.beta.kubernetes.io/region: region01 failuredomain.beta.kubernetes.io/zone: AZ01 annotations: metrics.alpha.kubernetes.io/customendpoints: '[{"api":"","path":"","port":"","names":""}]' pod.alpha.kubernetes.io/initialized: 'true' spec: containers: name: container0 image: 'nginx:1.12alpineperl' env: name: PAASAPPNAME value: deployevssatain name: PAASNAMESPACE value: default name: PAASPROJECTID value: a2cd8e998dca42e98a41f596c636dbda resources: {} volumeMounts: name: bssatamountoptionpvc mountPath: /tmp terminationMessagePath: /dev/terminationlog terminationMessagePolicy: File imagePullPolicy: IfNotPresent restartPolicy: Always terminationGracePeriodSeconds: 30 dnsPolicy: ClusterFirst securityContext: {} imagePullSecrets: name: defaultsecret affinity: {} schedulerName: defaultscheduler volumeClaimTemplates: metadata: name: bssatamountoptionpvc annotations: volume.beta.kubernetes.io/storageclass: sata volume.beta.kubernetes.io/storageprovisioner: flexvolumectyun.com/fuxivol spec: accessModes: ReadWriteMany resources: requests: storage: 10Gi serviceName: wwww podManagementPolicy: OrderedReady updateStrategy: type: RollingUpdate revisionHistoryLimit: 10 表 关键参数说明 前置路径 参数 描述 metadata name 创建的工作负载名称。 spec.template.spec.containers image 工作负载的镜像。 spec.template.spec.containers.volumeMount mountPath 容器内挂载路径，示例中挂载到“/tmp”路径。 spec serviceName 工作负载对应的服务，服务创建过程请参见6.3 创建有状态负载(StatefulSet)。 “spec.template.spec.containers.volumeMounts.name ”和 “spec.volumeClaimTemplates.metadata.name”有映射关系，必须保持一致。 步骤 2 执行如下命令创建Pod。 kubectl create f evspodexample.yaml 创建完成后，登录CCE控制台，在左侧导航栏中选择“存储管理 > 云硬盘存储卷”。单击PVC名称，在PVC详情页面可查看云硬盘和PVC的绑定关系。

本文介绍边缘安全加速平台边缘接入服务不同套餐版本适用的业务规模、支持的功能情况。 套餐和版本概述 天翼云边缘安全加速平台边缘接入服务支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的功能情况。 边缘安全加速平台边缘接入服务的套餐版本分为：基础版、定制版。 适用的业务规模 下表描述了不同版本适用的业务规模。一般情况下，对于中小型规模的企业网站，推荐您选择基础版。 注意 定制版不支持线上订购，若需要订购，请提交工单给天翼云客服。 加速区域 中国内地 全球（不含中国内地） 全球 价格（元/月） 2000 3000 3400 适用场景 适合访问请求和源站都在中国内地的TCP/UDP等四层加速场景。 适合如下三种加速场景： 1. 源站在海外访问请求在国内的TCP/UDP等四层加速场景。 2. 源站在国内访问请求在海外的TCP/UDP等四层加速场景。 3. 源站和访问请求都在海外的TCP/UDP等四层加速场景。 全球范围内加速您的四层TCP/UDP应用，不限制访问区域与源站所在地。 上下行带宽/流量 中国内地：10Mbps/1TB 全球（不含中国内地）：5Mbps/500GB 中国内地：2.5Mbps/250GB 全球（不含中国内地）：2.5Mbps/250GB 四层DDoS防护 防护流量：40Gbps 防护次数：1次 平台级尽力防护 中国内地：防护流量：40Gbps；防护次数：1次 全球（不含中国内地）：平台级尽力防护 IP应用加速域名个数 1 1 1 端口数 5 5 5

本文主要介绍云日志服务的图表概述。 天翼云云日志服务可通过统计图表的方式对日志的检索分析结果进行可视化展示，使您能方便直观地了解应用运行情况。在统计图表页面，您可选择合适的图表类型，目前支持的图表类型如下。 图表类型 使用场景 表格 图表是一种常见的数据展示方式，它通过将数据结构化整理，实现了数据的比较和统计，在许多情况下都可以使用。 柱状图 柱状图用于描述分类数据，直观展现每个分类项之间的大小对比关系。在统计近一天各种错误码类型出现次数等分类统计场景中特别适用。 时序图 时序图要求被统计的数据具备时间顺序字段，根据时间顺序来组织和聚合指标。它能够清晰地展现指标随时间变化的趋势。 饼图 饼图用于表示不同分类的占比情况，各分类项的比例由扇区大小来体现。适用于分析错误码占比等情况的统计场景。 流图 流图是围绕中心轴线进行布局的一种堆叠面积图。不同的分类信息使用不同颜色的线条代表，原数据集中的时间属性，将默认映射到X轴上，以三维关系进行展示。 数值图 数字图用于表示单一数据，能够更好地展示单一的数据信息和关键指标，可重点突出关键信息和数据。 散点图 散点图是一种在直角坐标系平面上，通过数据点展示两个变量关系的图表。 词云图 词云图可用于进行数据可视化，如展示文本数据中关键词的频率分布。 漏斗图 漏斗图适用于业务流程比较规范、周期长、环节多的单流程单向分析。 雷达图 雷达图用于展示多维数据。 拓扑图 拓扑图主要用直观地展示系统架构、服务间的依赖关系以及数据流的方向

本章节主要介绍数据仓库服务的告警规则。 概述 阈值告警相关概念： 告警规则：告警规则由告警规则名称，告警规则描述，规则绑定集群列表，告警策略触发关系，告警策略项构成。一条告警规则可绑定某个指定集群或所有集群，拥有一个或多个告警策略。其中，告警策略之间组合关系由“策略触发关系”选项描述。告警规则的阈值触发和抑制条件由每条告警策略描述。 告警策略：为某个告警指标指定的触发条件，抑制条件，告警级别的组合称为告警策略。 告警指标：数据库集群的某个指标项，一般是一个时间序列数据，例如：节点CPU使用率，查询触发下盘量等。 告警规则分类： 默认规则：DWS阈值告警模块的最佳实践。 自定义规则：用户可自由选择或组合监控指标形成个性化的告警规则。目前版本仅支持用户自定义schema使用率告警规则。 告警规则操作： 修改：修改告警规则的选项。所有告警规则都可以修改编辑，但默认告警规则只能修改部分选项，而自定义告警规则可以修改全部选项。 启用/停用：启用或停用告警规则。所有的告警规则都可以启用/停用，启用后告警规则会被告警引擎纳入检查列表，可以正常触发。停用后的告警规则将被告警引擎移出检查列表，不会触发该规则检查。 删除：删除告警规则。只有自定义告警规则可以被删除，用户无法删除默认告警规则。

自动续订和扣费规则 支付方式及支付时间：将在资源到期前10天和前7天进行两次自动续订下单及扣费。 自动续订订单出账后不可取消。客户如有问题，可发起退订，自动续订订单的退订与退订规则保持一致，退订的同时，该资源的自动续订自动关闭。 自动续订和手动续订关系 在7天或更短时间内到期的资源，或已到期资源，需手动续订，无法设置自动续订。 开通自动续订功能后，也可以进行手动续订。在自动续订扣费日前进行手动续订，系统将按照手动续订后的到期日期，重新计算下一次自动续订的下单时间。 自动续订操作 开通自动续订 步骤1 进入“续订管理”页面。 步骤2 设置查询条件。 可综合利用到期时间、产品类型、是否开通自动续订查询资源。 由于自动续订两次下单时间为到期前10天和前7天，建议您选择“到期时间≥10天”。 步骤3 单个自动续订与批量自动续订可使用不同的操作方式： 单个自动续订：在续订管理页面找到待续订的资源，单击操作列的“开通自动续订”。 批量自动续订：在续订管理页面勾选需要续订的资源，单击资源列表下方的“设置自动续订”。 步骤4 设置“自动续订周期”，仔细阅读《天翼云自动续订服务协议》，如果同意全部约定，则勾选“我已阅读并同意遵守《天翼云自动续订服务协议》的约定”，单击“确定提交”。 开通自动续订功能并不会直接下单扣费，系统将在资源到期前第10天、第7天下单扣费，此处续订金额目的在于提醒用户，预付费用户的账户余额需至少大于等于此处续订金额才可自动续订成功。

本文为您介绍云容灾满足的灾难恢复能力等级。 根据国家标准《信息系统灾难恢复规范》GB/T 209882007，灾难恢复能力等级示例如下表所示： 灾难恢复能力等级 等级名 RTO RPO 1 基本支持 2天以上 1天至7天 2 备用场地支持 24小时以上 1天至7天 3 电子传输和部分设备支持 12小时以上 数小时至1天 4 电子传输及完整设备支持 数小时至2天 数小时至1天 5 实时数据传输及完整设备支持 数分钟至2天 0到30分钟 6 数据零丢失和远程集群支持 数分钟 0 云容灾为云主机提供跨可用区的容灾保护能力，支持数据实时复制，RPO可达秒级、RTO可达分钟级，满足国标容灾等级5级要求。

DLI系统权限 如下表所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 DLI系统权限 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

项目 场景 云硬盘存储 EVS目前支持普通I/O、高I/O、超高I/O三种规格。 普通I/O：后端存储由SATA存储介质提供，适用于大容量、读写速率要求不高、事务处理较少的场景，如：开发测试、企业办公应用。 高I/O：后端存储由SAS存储介质提供，适用于性能相对较高、读写速率要求高、有实时数据存储需求的场景，如：创建文件系统、分布式文件共享。 超高I/O：后端存储SSD存储介质提供，适用于高性能、高读写速率要求、数据密集型的场景，如：NoSQL、关系型数据库、数据仓库（如Oracle RAC、SAP HANA）。 文件存储 文件存储适用于媒体处理、内容管理、大数据和分析工作负载程序等场景。 对象存储 标准存储：适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。例如云应用、数据分析、内容分析、热点对象等。 低频访问存储： 适用于不频繁访问（平均一年少于12次），但需要快速获取数据的业务场景。例如静态网站托管、备份/活跃归档、作为云服务的存储资源池或者备份存储等。 主机路径挂载 将应用组件所在宿主机的文件目录挂载到应用指定的挂载点中，如应用组件需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 临时路径挂载 用于临时存储，生命周期与应用组件实例相同。应用实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载 将配置项中的key映射到应用中，可以用于挂载配置文件到指定应用组件目录。 密钥挂载 将应用认证信息、应用密钥等敏感信息存储在密钥中，并将密钥挂载到应用组件的指定路径中。

本章节介绍如何测试PostgreSQL的性能。 PostgreSQL是一个开源对象关系型数据库管理系统，并侧重于可扩展性和标准的符合性，被业界誉为“最先进的开源数据库”。PostgreSQL面向企业复杂SQL处理的OLTP在线事务处理场景，支持NoSQL数据类型（JSON/XML/hstore），支持GIS地理信息处理，在可靠性、数据完整性方面有良好声誉，适用于互联网网站、位置应用系统、复杂数据对象处理等应用场景。 支持postgis插件，空间应用卓越，达到国际标准。更接近Oracle数据库，去 “O” 成本低。 适用场景丰富，费用低，随时可以根据业务情况弹性伸缩所需的资源，按需开支，量身订做。

本节为您介绍物理机对云硬盘服务的支持情况。 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为物理机提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 物理机服务中的部分物理机规格不支持挂载云硬盘。 部分物理机规格支持挂载使用的云硬盘类型，包括普通 IO（SATA）、高 IO（SAS）、超高 IO（SSD）、通用型SSD（SSD）四种类型的云硬盘，用户可根据物理机所承载的业务类型选配所需IO能力的数据盘。具体请参考云硬盘产品文档。 说明：所选规格对云硬盘挂载支持情况可在选配界面查看，如下图。 1. 物理机规格不支持挂载云硬盘，在选配界面挂载云硬盘时会提示“当前所选规格不支持挂载云硬盘”。见下图： 2. 物理机规格支持挂载云硬盘，在选配页面挂载云硬盘时，会展示云硬盘供用户选择。见下图：

云堡垒机创建成功后，可以修改VPC和子网吗？ 云堡垒机创建成功后，VPC和子网不可更改。如需修改 ，请先退订云堡垒机，然后重新购买。 云堡垒机创建成功后，可以删除admin账号吗？ 系统管理员账号admin拥有系统最高操作权限，该账号是不允许删除的。 但是admin账号支持锁定。 如果忘记admin密码，支持通过云堡垒机控制台重置密码。 云堡垒机实例有哪些规格？ 目前云堡垒机提供标准版 和专业版两个功能版本，标准版版本配备10、20、50、100、200、500、1000、5000、10000资产规格，专业版配备10、20、50、100、200、500、1000、5000、10000资产规格。 实例版本规格 功能版本 功能说明 :: 标准版 基础功能：身份认证、权限控制、账号管理、安全审计 专业版 基础功能：身份认证、权限控制、账号管理、安全审计增强功能：自动化运维、数据库运维审计 不同规格配置说明 资产数 最大并发数 CPU 内存 系统盘 数据盘 :::::: 10 10 4核 8GB 100GB 200GB 20 20 4核 8GB 100GB 200GB 50 50 4核 8GB 100GB 500GB 100 100 4核 8GB 100GB 1000GB 200 200 4核 8GB 100GB 1000GB 500 500 8核 16GB 100GB 2000GB 1000 1000 8核 16GB 100GB 2000GB 5000 2000 16核 32GB 100GB 3000GB 10000 2000 16核 32GB 100GB 4000GB 如何配置云堡垒机的安全组？

本章节主要介绍权限机制。 FusionInsight采用LDAP存储用户和用户组的数据；角色的定义信息保存在关系数据库中，角色和权限的对应关系则保存在组件侧。 FusionInsight使用Kerberos进行统一认证。 用户权限校验流程大致如下： 1. 客户端（用户终端或FusionInsight组件服务）调用FusionInsight认证接口。 2. FusionInsight使用登录用户名和密码，到Kerberos进行认证。 3. 如果认证成功，客户端会发起访问服务端（FusionInsight组件服务）的请求。 4. 服务端会根据登录的用户，找到其属于的用户组和角色。 5. 服务端获得用户组拥有的所有权限和角色拥有的所有权限的并集。 6. 服务端判断客户端是否有权限访问其请求的资源。 示例场景（RBAC ）： HDFS中有三个文件fileA、fileB、fileC。 定义角色roleA对fileA有读和写权限，角色roleB对fileB有读权限。 定义groupA属于roleA；groupB属于roleB。 定义userA属于groupA和roleB，userB属于GroupB。 当userA登录成功并访问HDFS时： 1. HDFS获得useA属于的所有角色（roleB）。 2. HDFS同时还会获得userA属于的所有用户组所属于的角色（roleA）。 3. 此时，userA拥有roleA和roleB对应权限的并集。 4. 因此对于fileA，则userA有读写权限；对fileB，有读权限；对于fileC，无任何权限。 同理userB登录后： 1. userB只拥有roleB对应的权限。 2. 对于fileA，则userB无权限；对fileB，有读权限；对于fileC，无任何权限。

本节介绍了数据库基本使用相关问题与处理方法。 主备机分别执行MATCH AGAINST语句后结果不一致的原因 MATCH (columnName) AGAINST ('keywords')用于检索MySQL的FullText index，其返回的结果是keywords在每一行的columnName列中的相关度。主机采用persistent方式获取统计信息，备机采用transient方式获取统计信息，获取表的统计信息中的行数字段(statnrows)会存在一些误差，导致同一张表的统计信息的行数字段(statnrows)在主备是不一样的，而 MATCH … AGAINST …的结果，也就是相关度的计算中使用了statnrows，导致主备的MATCH … AGAINST …的结果不一致。

升级实例规格 具体操作请参见： 升级云SAAS型实例规格 增加独享版实例的节点数量 新增购买资源扩展包 具体操作请参见： 扩增云SAAS型实例资源扩展包 扩增独享型实例资源扩展包