本章节介绍故障演练服务中创建VPC终端节点相关功能。 概述 在为弹性云主机 和云容器引擎 安装探针之前，需要先建立故障演练服务控制面与目标实例间的网络连通性，具体是通过创建VPC终端节点实现。 创建步骤 1. 登录VPC终端节点控制台。 2. 单击左侧菜单栏终端节点 ，点击页面右上角创建终端节点。 3. 服务类型 选择按服务实例ID查找服务。 4. 可用服务 中，填入故障演练专属服务实例ID （见下表），点击验证。 5. 虚拟私有云 选择目标故障演练资源所属VPC ，子网选择目标资源相关的子网。 6. 点击下一步确认订单 ，开通VPC终端节点。 服务列表 资源池 服务实例ID 服务实例名称 华东1 endpserjraeobv2mr vpcectgchaosserverhd1 西南1 endpserh1ti3dqy70 vpcectgchaosserverxn1 华北2 endpser1k6c0s0fdc vpcectgchaosserverhb2 西安7 endpserq2im8cy7tj vpcectgchaosserverxa7

使用文件传输 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“文件传输”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如Filezilla、WinSCP等)，即可使用文件传输。 说明 仅企业版/高级版支持H5运维。标准版不支持H5运维。 做H5运维操作前请先放通18443端口，参见安全组策略设置。可使用telnet 堡垒机IP 18443命令验证端口是否放通。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或通过客户端工具传输文件。 请务必确认您传输的文件不包含任何敏感数据（如密码、密钥、身份证号等）、恶意代码（如病毒、木马、脚本后门等）或未授权的受控信息。如需对文件内容进行安全检查，建议提前使用本地杀毒软件或内容检测工具进行扫描。 访问数据库资产 方式一：堡垒机单点登录 说明 堡垒机单点登录运维数据库仅适用于Windows系统用户，对于Mac系统请使用方式二：“本地访问初始化”登录。 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“数据库”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如Navicat、DBeaver等)，即可单点登录访问数据库资产。 说明 支持纳管的数据库请参考：使用限制章节。

本节介绍了限制子账户只能看到具有权限的数据库清单的相关内容。 操作场景 使用存储过程，将某个自定义数据库的权限授予由rdsuser账户创建的指定子账户，并限制该账户对其他数据库的可见性。限制之后，子账户对不具权限的数据库不可见，也无法对其进行相关操作。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 约束 对于系统库，不可通过此存储过程进行授权给子账户。如果您试图为子账户授予系统库权限，系统将会有如下提示： plaintext Error DatabaseName. Please can not include in ('msdb','master','model','tempdb','rdsadmin') . 对于系统管理员账户，不可通过此存储过程进行授权。如果您试图为管理员账户授予任意数据库权限，系统将会有如下提示： plaintext Error Login. Please can not include in ('rdsadmin','rdsmirror','rdsbackup','rdsuser') . 若某个账户已经是指定数据库的用户，不可再通过此存储过程对该账户授予该数据库的权限。否则，系统将会有如下提示： plaintext The proposed new database owner is already a user or aliased in the database. 这种情况下，您可以通过管理账户“rdsuser”将该子账户从该数据库中删除之后，再通过执行此存储过程进行授权。 若某个账户具有Create Any Database权限，则此存储过程对该账户不生效。 操作步骤 执行以下命令，进行限制子账户查看数据库权限。 EXEC rdsadmin.dbo.rdsAUTHORIZATIONDatabaseForLogin ‘@DBName’, ‘@Login’; @ DBName：要授予权限的数据库。 @ Login：要授予权限的账户。 为“user1”账户授予数据库“testDB1”的权限，示例如下： EXEC rdsadmin.dbo.rdsAUTHORIZATIONDatabaseForLogin ‘testDB1’, ‘user1’; 授权成功之后，user1将具备testDB1的权限，对其可见并可对其进行操作；并且对其余无权限数据库保持不可见且不可操作。

本文介绍了如何配置RDSPostgreSQL安全组。 RDSPostgreSQL开通后，您连接访问前需要对实例进行安全组相关设置，具体指引如下： 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和RDSPostgreSQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用RDSPostgreSQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDSPostgreSQL实例时，需要为RDSPostgreSQL所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和RDSPostgreSQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当RDSPostgreSQL实例加入该安全组后，即受到这些访问规则的保护。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的RDSPostgreSQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的RDSPostgreSQL实例。 操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“华东1”。 3. 在页面中找到【网络】>【虚拟私有云】，并点击进入。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击“安全组名称”列对应的安全组，进入安全组详情界面。 6. 根据实际情况，选择“入方向规则”或者“出方向规则”。 7. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 8. 根据界面提示配置安全组规则。 9. 单击“确定”。

本章节主要介绍翼MapReduce服务的产品优势。 翼MapReduce（简称：“翼MR”）服务，历经集团和云公司的大规模集群和业务打磨，提供全年多级用户SLA保障。 翼MR具有如下优势： 高安全 翼MR服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性；使用Kerberos和Ranger安全技术实现全组件的认证和授权；支持库、表、字段级数据权限管控。 优开源 基于Hadoop3.3.3等开源最新组件，保证版本性能的同时，优化了底层资源占用，对任务和引擎进行定制化管控。 高可靠 完成对开源组件100+次的代码及配置优化，实现高SLA；支持节点组采用反亲和技术，虚拟机分布在不同物理机上，以保证服务高可用。 易运维 翼MR提供可视化的大数据集群运维管理平台，全链路可视化操作降低运维门槛，助力实现90%日常运维场景便捷操作，提升运维效率。 低成本 翼MR集群基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，可以用时再创建、用时再扩容，用完就销毁，确保成本最优。

本页介绍天翼云TeleDB数据库账号管理信息。 账密管理支持查看当前实例所有数据库账号、新建账号、删除账号、编辑账号。 1. 账号列表显示实例下所有账号信息，包括账号名、主机信息、权限等，支持按账号名模糊搜索。当前登录的数据库用户需要具备数据库账号管理权限，否则无法查看账号列表。 2. 新建账号 1. 选择数据源管理 > 元数据管理，进入实例列表页面。 2. 在实例列表页面选择更多 > 数据库用户管理 ，进入账号管理 页面。 3. 单击创建账号 按钮，输入账号名、密码等必填信息。 4. 单击确定 按钮，生成创建账号的DDL语句。 5. 在DDL预览弹窗中，单击执行按钮即可完成账号的创建。 6. 可以为账号设置全局权限和对象权限，以及密码到期时间、连接数限制等选项。在创建账号时，可以自动检测密码强度，提高安全性。 3. 编辑账号 1. 选择数据源管理 > 元数据管理，进入实例列表页面。 2. 在实例列表页面单击更多 > 数据库用户管理 按钮进入账号管理页面。 3. 单击列表操作菜单的编辑 按钮，进入编辑页面。 4. 按需修改所需要的属性内容。 5. 单击确定按钮，生成修改账号的DDL语句。 6. 在DDL预览弹窗中，单击执行按钮即可完成账号的修改。 7. 可以编辑修改账号的账密、全局权限、对象权限，以及密码到期时间、连接数限制等选项。 注意 不支持修改用户名。 4. 删除账号 1. 选择数据源管理 > 元数据管理，进入实例列表页面。 2. 在实例列表页面单击更多 > 数据库用户管理 按钮进入账号管理页面。 3. 单击列表操作菜单的删除 按钮，二次确认无误后，单击确定完成对指定账号的删除。

本章节主要介绍DataArts Studio的表达式使用示例流程。 通过本示例，用户可以了解数据开发模块EL表达式的如下应用： 如何在数据开发模块的SQL脚本中使用变量？ 作业如何传递参数给SQL脚本变量？ 在参数中如何使用EL表达式？ 背景信息 使用数据开发模块的作业编排和作业调度功能，每日通过统计交易明细表，生成日交易统计报表。 本示例涉及的数据表如下所示： tradelog：记录每一笔交易数据。 tradereport：根据tradelog统计产生，记录每日交易汇总。 前提条件 已建立DLI的数据连接，以“dlidemo”数据连接为例。 如未建立，请参考创建数据连接进行操作。 已在DLI中创建数据库，以“dlidb”数据库为例。 如未创建，请参考新建数据库进行操作。 已在“dlidb”数据库中创建数据表tradelog和tradereport。 如未创建，请参考新建数据表进行操作。 操作步骤 1.新建和开发SQL脚本。 a.在数据开发模块控制台的左侧导航栏，选择“数据开发 > 脚本开发”。 b.进入右侧区域页面，选择“新建SQL脚本 > DLI”。 c.进入SQL脚本开发页面，在脚本属性栏选择“数据连接”、“数据库”、“资源队列”。 d.在脚本编辑器中输入以下SQL语句。 INSERT OVERWRITE TABLE tradereport SELECT sum(tradecount), '${yesterday}' FROM tradelog where dateformat(tradetime, 'yyyyMMdd') '${yesterday}' e.单击，将脚本的名称设置为“generatetradereport”。 2.新建和开发作业。 a.在数据开发模块控制台的左侧导航栏，选择“数据开发 > 作业开发”。 b.进入右侧区域页面，单击“新建作业”，新建一个名称为“job”的空作业。 c.进入作业开发页面，将DLI SQL节点拖至画布中，单击其图标并配置“节点属性”。 关键属性说明： SQL脚本：关联步骤1中开发完成的SQL脚本“generatetradereport”。 数据库名称：自动填写SQL脚本“generatetradereport”中选择的数据库。 队列名称：自动填写SQL脚本“generatetradereport”中选择的资源队列。 脚本参数：显示SQL脚本“generatetradereport”中的参数“yesterday”，输入以下EL表达式作为其参数值。

了解什么是存储资源盘活系统。 HBlock是中国电信天翼云自主研发的存储资源盘活系统（Storage Resource Reutilization System，简称SRRS），是一款轻量级存储集群控制器，实现了全用户态的软件定义存储，将通用服务器及其管理的闲置存储资源转换成高可用的虚拟磁盘，通过标准 iSCSI 协议提供分布式块存储服务，挂载给本地服务器（或其他远程服务器）使用，实现对资源的集约利用。同时，产品拥有良好的异构设备兼容性及场景化适配能力，支持数据上传到对象存储，提供软件和一体机两种产品形态。 在非联网模式下，HBlock软件可被视为本地盘阵的替代品，用于本地数据存储；在联网模式下，HBlock软件还可以作为本地与云端存储之间的桥梁，将全量数据自动同步到对象存储中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

问题现象 ClickHouse会限制group by使用的内存量，在使用ClickHouse客户端执行SQL查询时报如下错误： Progress: 1.83 billion rows, 85.31 GB (68.80 million rows/s., 3.21 GB/s.) 6%Received exception from server: Code: 241. DB::Exception: Received from localhost:9000, 127.0.0.1. DB::Exception: Memory limit (for query) exceeded: would use 9.31 GiB (attempt to allocate chunk of 1048576 bytes), maximum: 9.31 GiB: (while reading column hits): 解决方法 在执行SQL语句前，执行如下命令。注意执行前保证集群有足够内存可以设置。 SET maxmemoryusage 128000000000; 128G 如果没有上述大小内存可用，ClickHouse可以通过如下设置将“溢出”数据到磁盘。建议将maxmemoryusage设置为maxbytesbeforeexternalgroupby大小的两倍。 set maxbytesbeforeexternalgroupby20000000000; 20G set maxmemoryusage40000000000; 40G 如果客户数据量大，而且是全表查询，建议按照分区进行查询或者进行升级集群core节点的规格。 Spark运行作业报错“java.io.IOException: Connection reset by peer”如何处理？ 问题现象 Spark作业运行一直不结束，查看日志报错：java.io.IOException: Connection reset by peer。 解决方法 修改提交参数，加上参数“executor.memoryOverhead”。 Spark作业访问OBS报错“requestIdXXX”如何处理？ 问题现象 Spark作业访问OBS报错：requestId4971883851071737250 解决方法 登录Spark客户端节点，进入conf目录，修改配置文件“coresite.xml”中的“fs.obs.metrics.switch”参数值为“false”。 Spark作业报错“UnknownScannerExeception”如何处理？ 问题现象 Spark作业运行查看日志有些WARN日志，作业运行很慢，Caused by显示：UnknownScannerExeception。

本章节介绍如何设置数据库监控告警规则。 操作场景 通过设置关系型数据库告警规则，用户可自定义监控目标与通知策略，及时了解关系型数据库运行状况，从而起到预警作用。 设置关系型数据库的告警规则包括设置告警规则名称、服务、维度、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“管理与部署 > 云监控”。 步骤 3 在左侧导航树栏，选择“告警 > 告警规则”。 步骤 4 在“告警规则”界面，单击“创建告警规则”进行添加。

全局索引是一组非分片键和分片键的映射关系，通过非分片键查询到分片键，直接计算出数据所在的分片节点，从而提升非分片键查询（select语句）时的效率，避免广播查询。本文对分布式关系数据库DRDS全局索引功能进行说明。 核心特性 全局索引的核心特性说明如下： 增量索引追加 解析binlog数据，提取非分片键和分片键的映射关系。 支持全量索引重建 通过JDBC从数据库中获取全量数据。 以单索引单分片为最小任务单元分配重建任务。 索引存储 索引数据以keyvalue方式存储在分布式缓存中。 索引配置 索引项相关的配置与DRDS实例共用，配置修改实时同步。 库表信息变更自动同步更新。 索引延时 正常情况下，索引与数据库延时在秒级以内。 注意事项 DRDS实例版本不同全局索引的管理入口可能存在差异，具体版本说明如下，请以控制台实际情况为准： V5.1.20.0.13及以后版本：Giserver与DBProxy合并部署，不再区分DBProxy和Giserver两种实例，即购买DRDS实例时，将自动为该实例部署Giserver与DBProxy，且两者之间底层服务与进程互相隔离、故障互相隔离，更具安全性和性价比。 说明 您可以在控制台的左侧导航栏选择DRDS > 实例管理 ，进入实例列表页面，再单击目标DRDS实例操作 列的管理 ，进入实例基本信息 页面，然后单击目录树的全局索引，管理您的GiServer。 V5.1.20.0.13以前的版本：存在DBProxy和Giserver两种实例，存量GiServer实例不影响使用。 说明 您可以在控制台的左侧导航栏选择DRDS > 全局索引，进入全局索引管理页面，管理您的GiSever实例。

您可以使用天翼云云监控产品来监控您的物理机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握物理机的运行状态和各项性能指标。 指标监控 对物理机的各项运行指标进行实时监控，还可以查询历史的监控指标情况。 监控告警 通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在物理机上的服务持续可用。 更多内容请参见云监控。

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

Web应用防火墙可以和CDN同时使用吗？ 只要您当前的CDN服务商支持通过CNAME的方式指定回源服务器，就可以同时使用。 存在的潜在问题：对客户端访问流量拦截，Web应用防火墙会返回一个拦截页面。而CDN缓存拦截页面后，会导致正常用户访问该资源时无论是否违规，得到的都是之前的拦截页面，从而影响正常访问。经过CDN后，客户端的真实IP会被CDN替换掉，因此在业务出现问题时，排障会比较困难，定位问题点需时较长。经过CDN后，真实的客户端会被CDN隐藏，Web应用防火墙的部分功能将会失效，如基于源IP频率的检测、基于地理位置、IP情报库等功能无法使用。 什么是Web应用防火墙回源IP段？ 回源IP段是云WAF对业务请求检测过滤后，代理真实客户端请求与源站建立网络连接的公网IP地址段。网站接入云WAF防护后，源站服务器侧的所有请求来源IP都会变成云WAF回源IP，而真实客户端IP会被插入HTTP头部的XForwardedFor字段中。 什么是QPS？ WAF中的网站QPS指的是当日00:00:00到23:59:59之间访问该网站的每秒请求数。 什么是SQL注入攻击？ 攻击者通过把SQL命令插入到Web表单提交、输入URI或页面请求的查询字符串等手段，利用应用程序的数据库层上的安全漏洞，从而使数据库受到攻击，造成敏感数据窃取或删改，甚至进一步导致网站被嵌入恶意代码、植入后门等危害。

数据库安全审计的日志处理机制是什么？ 数据库安全审计的审计日志存放在日志数据库中，日志的处理机制说明如下： 当日志数据库的磁盘空间使用率达到85%及以上时，系统将自动循环删除存放时间最久的审计日志（每次删除一天的审计日志），直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时，数据库安全审计将停止审计功能，系统将不保存新生成的审计日志。 数据库安全审计的审计日志是否支持备份？ 数据库安全审计支持手动和自动两种备份方式。备份日志后，审计日志将备份到对象存储服务上，并自动为您创建桶，桶按用量需要单独收费。 注意 手动备份数据库审计日志会备份所有的日志，当您的日志量过大时，建议您使用自动备份。自动备份周期建议按天自动备份。 数据库安全审计的审计日志支持直接转存OBS吗？ 不支持。数据库安全审计的审计日志是存放在日志数据库中的。若您需要将日志保存于对象存储服务（OBS），请登录数据库安全服务控制台，设置备份审计日志。 数据库安全审计支持手动备份和自动备份两种模式。 自动备份支持“每天”、“每周”、“每月”三种备份周期备份审计日志。 手动备份支持“备份最近24小时日志”、“最近7天日志”、“最近30天日志”和“全部日志”四种备份范围。 当您的日志量比较大时，建议您按每天来自动备份日志。 日志备份到OBS，服务会自动为您创建桶。桶按照存储量收费。

本文介绍如何挂载CIFS文件系统到Windows云主机。 操作场景 CIFS类型的文件系统仅支持使用Windows操作系统的云主机进行挂载。本此以Windows Sever 2012标准版操作系统为例进行CIFS类型的文件系统的挂载。其他版本请参考以下主要步骤，根据实际界面进行配置。 注意事项 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式。 如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单联系技术人员进行相关评估和配置。同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Windows Sever 2012标准版，具体操作步骤参见创建弹性云主机。 已创建该VPC下的文件系统，文件系统的协议类型为CIFS，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑>映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹及为文件系统的挂载地址，可在文件系统的详情页获取，如下图。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 地域资源池挂载地址获取： 可用区资源池挂载地址获取： 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务MQTT已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务RabbitMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目：将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

如何修改Clickhouse服务的allowdropdetached配置项? 用root用户登录Clickhouse客户端所在节点。 1.进入客户端目录，配置环境变量。 cd /opt/客户端安装目录 source bigdataenv 2.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS集群用户 说明 该用户必须具有Clickhouse管理员权限。 3.执行命令clickhouse client host 192.168.42.90 secure m ，其中192.168.42.90为ClickHouseServer实例节点IP，执行结果如下： [root@server21100820010017 hadoopclient] clickhouse client host 192.168.42.90 secure m ClickHouse client version 21.3.4.25. Connecting to 192.168.42.90:21427. Connected to ClickHouse server version 21.3.4 revision 54447. 4.执行命令修改allowdropdetached的值。 例如：设置allowdropdetached1 set allowdropdetached1; 5.执行如下命令查看allowdropdetached的值： SELECT 　FROM system.settings　WHERE name 'allowdropdetached'; 6.执行命令 q; 退出clickhouse client。 执行Spark任务报内存不足告警如何处理？ 问题现象 执行Spark任务就会报内存不足告警，告警id：18022，可用内存会陡降到0。 处理步骤 在SQL脚本前设置executor参数，限制executor的核数和内存。 例如设置如下： set hive.execution.enginespark; set spark.executor.cores2; set spark.executor.memory4G; set spark.executor.instances10; 参数值大小请根据实际业务情况调整。 ClickHouse系统表日志过大，如何添加定期删除策略？

本文为您介绍DRDS支持的HINT语法。 语法说明 HINT语法是一种数据库提供的特殊SQL语法，允许用户通过相关的语法干预数据库的SQL执行方式；DRDS在统一数据访问层，统一规划了HINT信息，用于在路由解析和连接层通信。HINT语法的基本格式为： plaintext / !HINT(文本)/sql 其中，为了支持更灵活的扩展和定义，文本的内容需采用JSON格式，sql为需要执行的SQL语句。 注意 前缀!HINT() 必须大写。 如果通过命令行方式使用HINT语法，则需要加上参数commentstrue，例如： plaintext $ mysql h127.0.0.1 P8866 uroot p commentstrue 支持的语法 读写分离 通过如下语法，可以强制指定语句按照指定规则进行读写分离。 plaintext / !HINT({"balance":"1"})/sql 其中，支持如下三种取值： 0：强制语句发往写节点。 1：强制语句发往读节点。 2：强制语句随机发往数据库读节点或写节点。 示例如下：

本章节会介绍如何通过常用工具Navicat连接PostgreSQL。 场景描述 概述： Navicat for PostgreSQL 是一套易于使用的图形化 PostgreSQL 数据库开发工具。从编写简单的 SQL 查询到开发复杂的数据库，Navicat for PostgreSQL 都能迎合大部份用户的需要，包括 PostgreSQL 初学者以及经验丰富的开发人员。 典型行业：互联网企业。 适配场景：适用于 PostgreSQL 初学者以及经验丰富的开发人员。 方案优势 简单的SQL编辑，可视化SQL创建工具 跨平台许可，支持包括Windows、macOS、Linux等

本文介绍脱敏算法的相关功能，包括新增脱敏算法、查看脱敏算法列表、编辑/查看脱敏算法、删除脱敏算法和类似创建脱敏算法，并介绍系统内置脱敏算法。 前提条件 用户需要具有进入敏感数据保护页面的菜单权限，菜单权限参考权限说明。 敏感数据保护为企业版功能，请切换到DMS企业版后使用该功能，切换步骤及实例注意事项详见版本说明。 当前仅支持MySQL、PostgreSQL、SQL Server、DRDS数据库。 操作步骤 1. 登录数据管理服务DMS系统。 2. 在左侧菜单栏依次点击数据资产 > 敏感数据保护。 3. 在敏感数据保护页面中，选择脱敏算法页签。 注意事项 组织版本由基础版切换为企业版时，需要超级管理员补充托管的账密。 功能介绍 新增脱敏算法 除系统内置脱敏算法外，用户可以自定义脱敏算法，并应用到敏感列上。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择脱敏算法页签，进入脱敏算法页面。 4. 在脱敏算法页面，点击左上角的新增算法按钮，弹出新增算法侧边栏。 5. 在新增算法侧边栏中，可以配置算法名称、数据库类型、一级分类、二级分类、算法描述、原始数据，配置完成后点击确定按钮即可提交算法。 6. 具体配置说明如下表： 配置名 配置项 配置说明 算法名称 / 具有唯一性，不能与组织内已有算法名称重复 数据库类型 / 脱敏算法只能应用于对应数据库类型的敏感列，不支持编辑脱敏算法的数据库类型 一级分类 哈希 包含MD5二级分类 一级分类 变换 包含数字去精度、日期取整二级分类 一级分类 掩码 包含保留前x后y、保留前x至y、遮盖前x后y、遮盖前x至y、特殊字符前遮盖、特殊字符后遮盖二级分类 二级分类 MD5 需要配置盐值，可以将字符串值脱敏为其MD5值 二级分类 数字去精度 需要配置保留小数点位数，可以将小数值脱敏为保留至指定位数 二级分类 日期取整 需要配置取整单位，包括年、月、日、时、分、秒，可以将日期值脱敏为保留至指定时间单位 二级分类 保留前x后y 需要配置前、后的保留位数以及遮盖符，保留位数必须大于0，遮盖符包括&、

本节主要介绍基本概念 使用IAM服务时常用的基本概念包括：帐号、IAM用户、帐号与IAM用户的关系、用户组、身份凭证、授权、权限、项目、委托、身份凭证。 账号 您首次使用天翼云时注册的帐号是您的资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以进行重置用户密码、分配用户权限等操作。 帐号不能在IAM中修改和删除，您可以在天翼云官网“账号中心”修改帐号信息，如果您需要删除帐号，可以在“账号中心”进行注销。 IAM用户 由帐号在IAM中创建的用户，一般为具体云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据帐号授予的权限使用资源。 如果您忘记了IAM用户的登录密码，可以在天翼云官网“账号中心 > 统一身份认证 > 用户”中重置密码。 帐号与IAM用户的关系 帐号与IAM用户可以类比为父子关系，帐号是资源归属以及计费主体，对其拥有的资源具有所有权限。IAM用户由帐号创建，只能拥有帐号授予的资源使用权限，帐号可以随时修改或者撤销IAM用户的使用权限。 图 账号与IAM用户 授权 授权是您将完成具体工作所需要的权限授予IAM用户，授权通过定义权限策略生效，通过给用户组授予策略（包括系统策略和自定义策略），用户组中的用户就能获得策略中定义的权限，这一过程称为授权。用户获得具体云服务的权限后，可以对云服务进行操作，例如，管理您帐号中的ECS资源。 图 授权

控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订 说明 退订堡垒机不会自动退订对应云主机，请您单独退订云主机。

本节为您介绍天翼云CTRDS PostgreSQL为源的迁移任务源端配置。 前提条件 （1）天翼云CTRDS PostgreSQL数据库的源端版本为12.x、13.x、14.x版本。 （2）天翼云CTRDS PostgreSQL数据库WAL日志设置wallevellogical，且maxreplicationslots大于10。 （3）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 （4）增量数据迁移期间，CMS会在源库中创建后缀为cloudlogslot的replication slot用于复制数据。 （5）任务完成后会主动删除该replication slot，如果您在迁移期间修改了数据库密码，或者删除了访问IP白名单，则会导致该replication slot无法自动删除，此时需要您在源库手动删除，避免其持续累积占用磁盘空间导致RDS PostgreSQL实例不可用。 （6）如果天翼云CTRDS PostgreSQL发生了主备切换，则需要您登录备库来手动清理。 使用限制 无主键表仅支持全量迁移，但不支持增量迁移和稽核修复； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据； 目标库非自建PostgreSQL的情况下，结构迁移仅支持迁移表结构。 源端权限要求 迁移模式 所需权限 基础权限 模式层级：USAGE 表层级： SELECT 全量迁移 需具备基础权限 结构迁移 需具备基础权限 增量迁移 需具备基础权限，且用户为超级用户或者复制角色 复制角色赋予方法：alter user 用户名 with replication 稽核修复 需具备基础权限 源端配置请参照自建PostgreSQL为源的迁移任务源端配置。

通过天翼云控制台进入登录页面 1. 登录天翼云密码服务管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的综合网关服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：口令登录 1. 在登录页面选择“口令登录”。 2. 依次输入用户名、密码、验证码。 说明 首次登录实例时，请根据界面提示修改密码，否则无法进入系统。 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 3. 单击“登录”，验证后即可成功登录系统。 登录方式二：UKEY登录 注意 首次使用UKEY登录时，需要在综合安全网关服务登录页面下载并安装UKEY插件。 1. 在登录页面选择“UKEY登录”。 2. 依次输入用户名、密码。 3. 接入UKEY，自动识别已签发UKEY。 4. 输入PIN码。 5. 输入验证码。 6. 单击“登录”，验证后即可成功登录系统。

本章节会介绍如何设置数据库监控告警规则。 操作场景 通过设置关系型数据库告警规则，用户可自定义监控目标与通知策略，及时了解关系型数据库运行状况，从而起到预警作用。 设置关系型数据库的告警规则包括设置告警规则名称、服务、维度、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“管理与部署 > 云监控”。 步骤 3 在左侧导航树栏，选择“告警 > 告警规则”。 在“告警规则”界面，单击“创建告警规则”进行添加。

本页介绍天翼云TeleDB数据库在线升级。 操作场景 随着产品功能不断迭代升级，用户可根据自己业务需求选择升级内核版本。为了帮助您最大程度减少升级过程的繁琐及升级过程对业务的影响，您可在TeleDB控制台进行在线升级。 操作步骤 1. 切换至TeleDB控制台，在左侧导航单击实例详情 ，进入实例详情页面。 2. 在实例详情 页面，单击右上角操作下拉框的在线升级 ，出现实例升级 对话框。 3. 在实例升级 对话框，填写任务名称 ，选择升级版本 及升级节点 ，单击下一步 。 4. 确认升级相关信息，单击升级 。 5. 单击立即前往 ，可跳转至任务管理页面查看任务执行详情。

高可用 故障自动切换 SQL Server主备版实例，采用主从双节点架构，故障时自动切换。 数据备份 支持自动备份和手动备份两种备份方式，用户可以设置自动备份策略，也可以在业务关键点执行手动备份，多种方式保障数据安全可靠。 数据恢复 支持按备份集和指定时间点的恢复数据，保障数据可用性。 数据可靠 数据持久性高达99.9999999%，保证数据安全可靠，保护您的业务免受故障影响。

本文主要介绍云日志服务的查询语句语法。 云日志服务提供一套查询分析语句，由查询条件与SQL语句组成，两者通过管道符竖线 分割。 查询条件：通过查询条件指定日志内容需要匹配的条件，返回符合该条件的日志。例如使用 'status:404' 查询响应状态码为404的日志。检索条件为空代表无检索条件，即所有日志均可被查询出来。 SQL语句：通过SQL语句可针对符合检索条件的日志进行统计分析，返回统计分析结果。例如使用以下查询分析语句，统计响应状态码为404的日志数量。 plaintext status:404 select count() as num 本文主要介绍查询语句语法，SQL语法与使用说明请查看SQL语法。若您只需要查询日志，不需要进行统计分析，则可省略其中的管道符及SQL语句。 查询方式 根据索引配置方式可分为全文搜索和字段搜索，根据搜索精确程度可分为精确搜索和模糊搜索。 以下为云日志服务提供的各种查询方式介绍以及查询语句示例。 全文查询 前提条件：配置索引时开启了全文索引，详情请查看索引配置。 语法说明：日志单元配置全文索引后，日志服务将原始日志拆分成多个关键词。您可直接输入关键词进行检索。 plaintext keyword1 [ [ and or not ] keyword2 ] ... 使用示例：以下示例均为搜索原文中同时包含ERROR和INFO关键词的日志 plaintext ERROR INFO plaintext ERROR and INFO 注意 message为日志原文对应的内置字段，查询语句ERROR等同于message:ERROR，默认匹配日志原文的内容。 多个关键词默认通过AND连接，查询语句ERROR INFO等同于ERROR and INFO。

您成功购买数据加密网关实例后，可在天翼云密码服务管理控制台登录。 通过天翼云控制台进入登录页面 1. 登录天翼云密码服务管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的数据加密网关实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：账号及密码登录 1. 在登录页面选择“用户名/口令”。 2. 依次输入用户名、密码。 说明 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 3. 单击“登录”即可登录数据加密网关。 注意 初始管理员首次登录后，进入租户列表列表页面，单击操作列的“初始化人员”，对运维账号、审计账号、管理员账号进行初始化。请妥善保存各个角色账号的密码。 登录方式二：使用UKEY登录 注意 首次使用UKEY登录时，需要根据界面提示下载并安装UKEY插件。 1. 在登录页面选择“USBKEY登录”。 2. 插入UKEY设备后刷新页面。 3. 输入USBKEY口令。 4. 单击“登录”，验证通过后即可登录系统。