本章节内容主要介绍实现副本集高可用和读写分离 最佳实践概述 场景描述 DDS副本集不仅可以通过存储多份数据副本来保证数据的高可靠性，还可以通过自动主备切换机制来保证服务的高可用。通过客户端读取不同的数据副本，可以提高数据的读取性能。请使用高可用方式连接副本集实例，否则，将无法体验副本集的高可用性和高读取性能。 方案正文 副本集的主节点不是固定的，当出现副本集配置改变、主节点宕机、人为主备切换等状况，会导致主备节点切换，此时副本集可能会选举出新主节点，原来的主节点则降为备节点。如下图所示： 图1 主备切换示意图 连接副本集实例（高可用方式） DDS副本集包含主、备、隐藏节点。其中，隐藏节点对用户不可见。您需要使用一种高可用的方式（即同时连接主节点和备节点的IP和端口）连接副本集实例，从而实现副本集的读写分离和高可用。 以下主要介绍如何使用URL和Java实现高可用连接实例的方法。 方法一：通过URL连接副本集实例 您可以在实例管理页面，单击目标实例，进入基本信息页面。在“网络信息 > 高可用连接地址”获取副本集的连接地址。 图2 获取副本集连接地址 示例：mongodb://rwuser:@192.168.0.148:8635,192.168.0.96:8635/test?authSourceadmin&replicaSetreplica 其中，“192.168.0.148:8635,192.168.0.96:8635”中包含一个主节点和一个备节点的IP及端口号。即使发生主备切换而更换了主节点，客户端仍然可以成功连接副本集实例。同时，提供副本集多个IP及端口号，可以扩展整个数据库的读写性能，如下图所示： 图3 数据读写示意图 方法二：Java驱动连接副本集实例 示例代码： MongoClientURI connectionString new MongoClientURI("mongodb://rwuser:@192.168.0.148:8635,192.168.0.96:8635/test?authSourceadmin&replicaSetreplica"); MongoClient client new MongoClient(connectionString); MongoDatabase database client.getDatabase("test"); MongoCollection collection database.getCollection("mycoll"); 表1 参数说明 参数 说明 rwuser: 启动鉴权的用户名和密码。 192.168.0.148:8635,192.168.0.96:8635 副本集主、备节点的IP及端口号。 test 待连接的数据库名称。 authSourceadmin 表示鉴权时，用户名所属的数据库。 replicaSetreplica 副本集实例类型名称。 连接副本集实例（非友好方式） 通过连接地址连接副本集实例 mongodb://rwuser:@192.168.0.148:8635/test?authSourceadmin&replicaSetreplica 其中，“192.168.0.148:8635”为暂时的主节点IP及端口号。当发生主备切换而更换了主节点，客户端将无法连接到副本集实例主节点，因为客户端无法知道新选举出的主节点的IP及端口号信息，导致整个数据库服务发生故障。同时，只提供主节点IP及端口号，读写只能在固定的主机上操作，无法扩展数据库的读写性能，如图下图所示： 图4 数据读写示意图 读写分离 读写分离的相关内容请参考mongodb官方文档。

本章节主要介绍权限机制。 FusionInsight采用LDAP存储用户和用户组的数据；角色的定义信息保存在关系数据库中，角色和权限的对应关系则保存在组件侧。 FusionInsight使用Kerberos进行统一认证。 用户权限校验流程大致如下： 1. 客户端（用户终端或FusionInsight组件服务）调用FusionInsight认证接口。 2. FusionInsight使用登录用户名和密码，到Kerberos进行认证。 3. 如果认证成功，客户端会发起访问服务端（FusionInsight组件服务）的请求。 4. 服务端会根据登录的用户，找到其属于的用户组和角色。 5. 服务端获得用户组拥有的所有权限和角色拥有的所有权限的并集。 6. 服务端判断客户端是否有权限访问其请求的资源。 示例场景（RBAC ）： HDFS中有三个文件fileA、fileB、fileC。 定义角色roleA对fileA有读和写权限，角色roleB对fileB有读权限。 定义groupA属于roleA；groupB属于roleB。 定义userA属于groupA和roleB，userB属于GroupB。 当userA登录成功并访问HDFS时： 1. HDFS获得useA属于的所有角色（roleB）。 2. HDFS同时还会获得userA属于的所有用户组所属于的角色（roleA）。 3. 此时，userA拥有roleA和roleB对应权限的并集。 4. 因此对于fileA，则userA有读写权限；对fileB，有读权限；对于fileC，无任何权限。 同理userB登录后： 1. userB只拥有roleB对应的权限。 2. 对于fileA，则userB无权限；对fileB，有读权限；对于fileC，无任何权限。

验证CPU独占与隔离 注意 FullPCPUs策略 使用FullPCPUs策略可以确保分配完整的物理CPU核心，避免跨物理核心的线程干扰 当节点剩余的逻辑CPU数量足够但完整的物理核心不足时，会继续分配 性能影响 CPU独占会减少节点上可用的CPU资源，可能影响整体资源利用率 建议只为真正需要稳定性能的关键业务应用配置CPU独占 监控与调优 定期监控CPU使用情况，根据实际负载调整资源分配 使用节点监控工具（如top、htop等）验证CPU隔离效果 兼容性 确保所有节点都正确配置了koordruntimeproxy 不同版本的Kubernetes和容器运行时可能需要不同的配置 常见问题 如何确认CPU独占是否生效？ 可以通过以下方式验证： 1. 检查Pod的注解中是否包含scheduling.koordinator.sh/resourcestatus字段。 2. 在节点上查看容器的cpuset配置是否与调度器分配一致。 3. 使用性能监控工具观察CPU使用情况。 为什么BE应用无法使用某些CPU核心？ 这是预期的行为。高优先级应用（LSE）独占的CPU核心会被排除在BE应用的cpuset之外，确保资源隔离。 如何修改已部署应用的CPU独占配置？ 需要更新应用的ColocationProfile配置，并重启相关Pod使配置生效。 CPU独占会影响节点调度吗？ 是的，调度器会考虑节点的可用CPU核心数量进行调度决策。当所有CPU核心都被独占时，新的高优先级应用将无法调度到该节点。

问题描述 客户端IP地址不在pghba.conf规则的白名单中，导致报错： FATAL: no pghba.conf entry for host"xx.xx.xx.xx", user "xxx", database "xxx",SSL off 可能影响 客户端无法连接数据库。 解决步骤 1. 评估客户IP是否在预期可访问范围内，如有需要，可在控制台手动添加访问规则，加入该IP地址或地址段，访问策略应为md5。 > 以下是针对具体ip的访问策略规则 > > host all all xx.xx.xx.xx/32 md5 连接池获取连接失败问题 问题描述 客户端连接报错： Failed to get pooled connections 可能影响 SQL执行报错； 解决步骤 此报错为CN节点与DN节点、DN节点之间建立连接失败导致，可能是网络异常或节点异常导致 解决办法： 1. 检查节点间网络是否正常，是否有丢包；如有网络问题，修复网络问题； 2. 检查所有节点状态是否正常，修复状态异常的节点； 3. 检查所有节点是否有连接数据打满的情况，清理会话或调大最大连接数maxconnections； 4. 清理空闲会话、清理长时间执行未结束的SQL语句。 是否有core产生，如有，连接运维工程师分析处理。 连接证书获取失败问题 问题描述 客户端连接报错： root certificate file "/xxx/xxx/.postgresql/root.crt" does not exist 可能影响 无法连接数据库； 解决步骤 此报错开启ssl认证，但证书文件不存在； 解决办法： 上传证书到报错提示的指定目录；并确认数据库用户有访问权限； 连接证书无效问题 问题描述 客户端连接报错： FATAL: connection requires a validclient certificate

本文为您介绍巡检记录。 操作场景 在巡检记录模板可以查看历史巡检记录结果，便于您分析资源健康趋势。同时您可以依据巡检建议，及时处置资源问题，提升业务能力。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击“智能巡检”下拉菜单，单击“巡检记录”，进入巡检记录页面。 5. 可以按巡检时间及巡检方案名称条件，检索获取相应巡检记录信息。 6. 巡检记录支持下载，可将巡检结果以文件（PDF/EXCEL格式）下载到本地。 注意 巡检记录仅保留31天，请及时关注处置。

本页介绍天翼云TeleDB数据库系统视图teledbvacuumadvice的内容。 1. 插件开启与关闭 开启：create extension pgvacuumadvice; 同时配置sharedpreloadlibriespgvacuumadvice； 关闭：drop extension pgvacuumadvice; 2. 插件表查找 plaintext select from teledbvacuumadvice; 3. 插件表字段 名称 类型 定义 tablename text 插件记录的表的名称 nodestr text 该表所在的DN节点 starttime timestamptz 上一次autovacuum开始时间 Endtime timestamptz 上一次autovacuum结束时间 systemusage text 上一次autovacuum用户态、内核态的CPU使用时间 ioreadrate real vacuum过程中磁盘读取速率；单位MB/s iowriterate real vacuum过程中磁盘写入速率；单位MB/s sizechange real vacuum前后表体积变化 failurereasonbigtable boolean 如果为t，系统中可能存在因表太大引起的autovacuum失效 failurereasonmanytables boolean 如果为t，系统中可能存在表数量太多引起的utovacuum失效 failurereasonmanytables boolean 如果为t，系统中可能存在表数量太多引起的utovacuum失效 failurereasonlongtransaction boolean 如果为t，系统中可能存在长事务引起的autovacuum失效 4. GUC参数解释与设置 pgvaccumadvice.longxactthreshold：如果事务持续时长超过该时间并阻塞autovacuum清理，则插件进行提示；单位分钟 pgvaccumadvice.bigrelthreshold ：如果表元组数超过该大小，并因此影响autovacuum触发，则插件进行提示 pgvaccumadvice.manyrelsthreshold：如果autovacuum清理过程中，收集到的表超过该数量，则插件进行提示

本节主要介绍如何进行主从切换 分布式缓存Redis管理控制台支持手动切换Redis实例的主从节点，该操作用于特殊场景，例如，释放所有业务连接或终止当前正在执行的业务操作。 主从切换须知 在主备节点切换间，业务会发生少于10秒的连接闪断，因此在操作前请确保应用具备断连重建能力。 当执行主备切换时，新的主备关系同步需要消耗较多资源，因此请在业务量空闲时间段执行操作。 主备之间数据同步采用半同步机制，理论上不丢失数据。 前提条件 只有当分布式缓存Redis缓存实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情管理。 4. 左侧菜单点击CloudDBA>Redis节点管理，进入Redis节点管理界面。 5. 在Redis节点管理界面，点击上方按钮“批量主从切换”，可完成所有节点的主从切换。或选择某一分片节点，单击操作栏下主从切换，点击确定后对该节点执行主从切换。

名称 描述 CORSConfiguration 最多包含100个CORSRules元素的容器。 类型：容器 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点: AllowedOrigin、 AllowedMethod、MaxAgeSeconds、ExposeHeader、ID。 父节点: CORSConfiguration。 ID 规则的唯一标示。最长255个字符。 类型：字符串。 父节点: CORSRule。 AllowedMethod 用户允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举。 取值：GET、PUT、HEAD、POST、DELETE。 父节点：CORSRule。 AllowedOrigin 用户允许跨域的源。最多包含一个 通配符。比如： 用户也可以只指定 表示允许所有源跨域访问。 类型：字符串。 父节点: CORSRule。 AllowedHeader 通过AccessControlRequestHeaders请求头，指定预检OPTIONS请求中允许的请求头。AccessControlRequestHeaders中的每个请求头名称，必须在规则中有匹配的相应条目。OOS将仅发送允许的响应头。规则中的每个 AllowedHeader 字符串可以最多包含一个 通配符字符。例如：xamz。 类型：字符串。 父节点：CORSRule。 MaxAgeSeconds 指定浏览器为预检请求缓存响应的时间 (以秒为单位)。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 父节点：CORSRule。 ExposeHeader 指定客户应用程序 (例如，JavaScript XMLHttpRequest文件) 能够访问的响应头。 类型：字符串。 父节点: CORSRule。

本节介绍翼甲控制台的设置功能。 告警配置 用户可在该界面根据业务需要添加告警规则。 （1）开通短信告警：点击“去开通”，可前往开通短信告警功能； （2）添加规则：点击“添加规则”，可添加新的告警规则，可根据具体业务需求对告警规则进行配置。 （3）删除：在列表首列点选告警规则，点击“批量删除”，可完成对规则的批量删除；在单条规则的最右侧操作列，点击“删除”，可完成对单条规则的删除。 （4）编辑：在已创建告警规则的最右侧操作列，点击“编辑”，可对单条规则的内容配置及启用状态进行编辑。 （5）复制：在已创建规则的最右侧操作列，点击“复制”，将会弹出“复制规则”确认框，用户可基于当前告警规则的字段进行二次编辑，点击确认后可创建规则。 （6）导出：点击“导出”，可导出告警规则信息的JSON文件。 （7）导入：将告警规则以JSON文件的格式编辑好后（可参照导出文件的模板），点击“导入”即可完成规则批量导入。 版本升级 在版本升级界面，用户可根据业务需求对防火墙、入侵防御特征库、病毒防护特征库、URL分类库等4个领域的内容，自定义配置自动升级规则及升级时间。

本章节主要介绍 翼MapReduce的管理资源分布功能。 用户需要了解服务和主机关键监控指标中最高、最低或平均监控数据形成的曲线，即资源分布情况时，可以在MRS Manager上查看，支持查询1小时以内的监控数据。 用户也可以在MRS Manager上修改资源分布，使服务和主机的资源分布图表中，可以按自定义的数值显示一条或多条最高、最低监控数据形成的曲线。 部分监控指标的资源分布不记录。 操作步骤 查看服务监控指标的资源分布 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“资源贡献排名”。 “指标”中选择服务的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 查看主机监控指标的资源分布 1. 单击“主机管理”。 2. 单击主机列表中指定的主机名称。 3. 单击“资源贡献排名”。 “指标”中选择主机的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 配置资源分布 1. 在MRS Manager，单击“系统设置”。 2. 在“配置”区域“监控和告警配置”下，单击“资源贡献排名配置”。 3. 修改资源分布的显示数量。 “TOP数量”填写最大值的显示数量。 “BOTTOM数量”填写最小值的显示数量。 说明 最大值与最小值的资源分布显示数量总和不能大于5。 4. 单击“确定”保存设置。 界面右上角提示“保存TOP数量和BOTTOM数量成功。”。

本章节主要介绍翼MapReduce的审计管理页面操作。 操作场景 “审计”页面记录用户对集群Manager页面操作信息。管理员可通过该页面查看用户在Manager上的历史操作记录。审计管理包含的审计内容信息，请参考关于日志章节中的“审计日志”。 概述 登录FusionInsight Manager，单击“审计”，界面展示如下图所示FusionInsight Manager审计信息，包括操作类型、安全级别、开始时间、结束时间、用户、来源名称、主机、服务、实例、操作结果等。 审计信息列表 用户可以在“所有安全级别”中选择“高危”、“危险”、“一般”和“提示”级别的审计日志。 在高级搜索中，用户可设置过滤条件来查询审计日志。 a. 在“操作类型”中，用户可根据用户管理、集群、服务、健康检查等来指定操作类型查询对应的审计日志。 b. 在“服务”中，用户可选择相应的服务来查询审计日志。 说明 在服务中选择“”，表示除服务以外其他类型的审计日志。 c. 在“操作结果”中，用户可选择所有、成功、失败和未知来查询审计日志。 单击手动刷新当前页面，也可在修改审计表格显示的列。 单击“导出全部”，可一次性导出所有审计信息，可导出“TXT”或者“CSV”格式。

监控大盘可以让您以全局的视角查看集群与工作空间的资源使用情况,通过此功能,您可从多个角度了解资源的利用情况以便更加合理地分配。 前置条件 资源限制：您已开通专属集群（专属集群需联系客户经理开通），该功能仅统计专属集群相应用量。 用户权限：账号为主账号，或者角色为IAM管理员。 功能介绍 集群监控大盘展现了专属集群下的集群资源概览、存储资源使用情况、集群整体与集群下节点的基础指标监控。进入“运维观测”>“监控大盘”菜单，上方点击“集群”Tab，在顶部栏切换需要查看的专属集群，即可查看该集群的监控，该功能仅对主账号以及IAM管理员用户开放。 集群资源概览 1. 统计说明及名词解释： 1. 该模块数据仅统计专属集群相关数据及展示专属集群监控。 2. 分配：是指分配到工作空间，即相关资源创建配额，该配额绑定工作空间的状态。被分配意味着该资源可以被任务使用：在本平台，建立专属集群后，您需要先创建配额，并在相应的工作空间里绑定配额，才可以在任务中选择配额运行任务，分配是专属集群资源可用的必要步骤。 3. 占用：占用是指被任务中的pod占用，这意味着分配的资源真正被任务使用； 4. 节点：即物理机实例，节点是集群的组成单元，每个节点对应一台物理机。 2. 各指标含义说明： 1. 分配率指标： 指标项 解释 节点健康度 健康节点数：指您所选的专属集群中，状态为Ready‌的节点数。在K8S集群中，Ready表示该节点健康且可接收Pod调度； 节点总数：您所选专属集群下的节点总数； 节点健康度：即健康节点数与总数的比值，反映了集群下可用节点数占比。 CPU分配率 已分配：您所选集群下，已被分配的CPU量； 总核数：您所选集群下的CPU总核数，是所有节点的CPU核数总和； CPU分配率：即已分配数与总核数的比值。 内存分配率 已分配：您所选集群下，已被分配的内存量； 总和数：您所选集群下的内存总量，是所有节点的内存量总和； CPU分配率：即已分配量与总量的比值。 显卡分配率 显卡分配数：您所选集群下，已被分配的显卡数； 显卡总数：您所选集群下的显卡总数，是所有节点的显卡数总和； 显卡分配率：即显卡分配数与显卡总数的比值。 显存分配率 显存分配量：您所选集群下，已被分配的显存量； 显存总量：您所选集群下的显存总量，是所有节点的显存量总和； 显存分配率：即显存分配量与显存总量的比值。 2. 显卡分配明细表： 字段 解释 集群名称 专属集群的名称； 显卡型号 专属集群下相应的显卡型号，比如NVIDIA L40S； 总卡数 指定专属集群下指定显卡型号的总卡数； 分配卡数 在总卡数下，被分配的显卡数； 实际占用卡数 在分配卡数下，实际被任务占用的卡数； 总显存量 指定专属集群下指定显卡型号的总显存量； 分配显存量 在总显存量下，被分配的显存量； 实际占用显存量 在分配显存量下，实际被任务占用的显存量。

约束条件 对于主备实例，复制延迟大于300秒无法升级小版本。 实例中存在异常节点，无法升级小版本。 目前MySQL实例最大可支持10万张表，大于10万张表时，可能会导致小版本升级失败。 云数据库MySQL暂不支持已开启事件定时器功能的实例升级内核小版本，若您想使用该功能，请先关闭事件定时器。具体操作请参考开启或关闭事件定时器。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择指定的主备实例，单击主实例名称。 步骤5 在“基本信息”页面，“数据库信息”模块的“数据库引擎”处，单击“升级”。 步骤6 在弹出框中，选择升级方式，单击“确定”。 立即升级：系统会立即升级您的数据库内核版本到当前最新版本。 可维护时间段内升级：系统会在您设置的可维护时间段内，升级您的数据库内核版本到当前最新版本。

本章节主要介绍ALM14016 DataNode直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS服务直接内存使用状态，当检测到DataNode实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14016 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 DataNode可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点DataNode实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14016 DataNode直接内存使用率超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > DataNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“DataNode内存使用详情”。查看直接内存使用情况。 3.查看DataNode使用的直接内存是否已达到DataNode设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > 全部配置 > DataNode > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.调整“XX:MaxDirectMemorySize”大小。 在“GCOPTS”中查看 “Xmx”配置的大小，并判断节点内存是否够用。 说明 节点内存是否够用可根据实际环境进行判断，例如可使用以下方法： 以root用户登录告警上报的实例的IP地址，执行free g命令，查看“free”列的“Mem”值即为节点可用内存，如下示例中节点可用内存为4G。 total used free shared buff/cache available Mem: 112 48 4 10 58 46 ...... 如果节点可用内存大于或等于“Xmx”的值，则节点内存够用。如果节点可用内存小于“Xmx”的值，则节点内存不够用。 − 是，修改“XX:MaxDirectMemorySize”的配置值与“Xmx”配置值相同。 − 否，适量调大“XX:MaxDirectMemorySize”的大小，但取值不得超过节点可用内存。 保存配置，重启DataNode实例。 6.查看告警信息，是否存在告警“ALM14008 DataNode堆内存使用率超过阈值”。 是，参考“ALM14008 DataNode堆内存使用率超过阈值”进行处理。 否，执行步骤7。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 背景信息 云WAF的Web全局防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web核心防护规则引擎的检测和防护。 Web核心防护则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见全局Web核心防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，完成以下功能配置。 配置项 说明 状态 开启或关闭Web核心防护规则引擎。防护规则引擎默认开启，为所有接入WAF防护的网站防御常见的Web应用攻击。 防护规则组 选择要应用的防护规则组。支持应用内置规则组和自定义规则组。 内置规则组包括： 正常规则组：按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。 严格规则组：按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。 宽松规则组：按照宽松防护程度去检测常见Web应用攻击。当您发现正常规则组下存在较多误拦截，或者业务存在较多不可控的用户输入（例如，富文本编辑器、技术论坛等），建议您选择该规则组。 自定义规则组：用户可根据业务情况自定义防护规则组。 单击“前去配置”，将跳转到防护规则组配置页面，您可以根据业务需要自定义防护规则组及要应用的防护规则。具体操作，请参见全局Web核心防护。

名称 描述 InitiateMultipartUploadResult 包含所有返回元素的容器。 类型：容器。 子节点：Bucket，Key，UploadId。 Bucket 分片上传对应的Bucket的名称。 类型：字符串。 父节点：InitiateMultipartUploadResult。 Key 分片上传对应的文件名称。 类型：字符串。 父节点：InitiateMultipartUploadResult。 UploadId 分片上传ID。 类型：字符串。 父节点：InitiateMultipartUploadResult。

参数 说明 HTTP 边缘节点以HTTP协议回源。 HTTPS 边缘节点以HTTPS协议回源。 跟随 客户端以HTTP或HTTPS协议请求边缘节点，边缘节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。

事件 描述 SetNode 修改节点信息 CreateNode 创建节点 DeleteNode 删除节点

您需要查看Proxy集群内各个存储节点的数据存储统计信息，当集群中各存储节点的数据存储分布不均匀时，您可对实例进行扩容或者清理数据。 当前仅Redis 3.0 Proxy集群实例支持查看数据存储统计信息，其他实例类型如主备只有一个存储节点，可在实例的基本信息中的已用内存查看，所以不支持。 说明 Cluster集群实例不止有一个存储节点，查看其数据存储统计信息可通过监控中的数据节点监控。 操作步骤 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 “缓存管理”页面支持通过搜索栏筛选对应的缓存实例。 步骤 4 实例类型选择Proxy集群，单击实例的名称，进入该实例的基本信息页面。 步骤 5 单击“节点管理”页签。 界面显示集群实例中各个节点的数据量信息。 当集群的节点数据存储容量满时，需要对实例进行扩容，具体扩容操作，请参考变更规格。

本章节主要介绍操作类问题中有关API使用的问题。 使用调整集群节点接口时参数nodeid如何配置？ 问题详情 使用调整集群节点接口时（/v1.1/{projectid}/clusterinfos/{clusterid}），请求参数“nodeid”如何配置？ 问题解答 使用调整集群节点接口时，请求参数“nodeid”的值固定为“nodeorderadd”。

本文介绍HTTPS双向认证功能原理。 功能介绍 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 单向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥正确后，随机生成一个密钥，并使用公钥进行加密后发送给全站加速节点。 4. 全站加速节点使用对应私钥进行解密，得到密钥。 5. 客户端与全站加速节点在后续通信过程中使用该密钥对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥对收到的数据进行解密，获取对应数据。 双向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端，并发送证书请求标记要求获取客户端证书。 3. 客户端验证域名的SSL证书公钥正确后，随机生成一个密钥A，并使用SSL证书公钥进行加密后发送给全站加速节点。同时客户端收到证书请求标记，将发送对应的客户端证书给全站加速节点，同时计算历史消息的hash值，将该hash值通过客户端私钥签名，并将签名结果也发送给全站加速节点。 4. 全站加速节点使用域名SSL证书对应的私钥进行解密，得到密钥A。同时获取客户端的证书和签名后，验证客户端证书是否可信，并使用客户端证书公钥和历史消息的hash值校验签名是否正确，存储验证结果。 5. 客户端与全站加速节点在后续通信过程中使用该密钥A对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥A对收到的数据进行解密，获取对应数据。 7. 后续客户端发送请求，如果之前验证是通过的则正常处理，否则立即返回错误响应，告诉客户端双向认证失败。

本文主要介绍模板插件类问题。 一、 集群安装nginxingress插件失败，一直处于创建中？ 问题背景 客户已经购买并搭建了CCE集群，希望在公网上可以访问到CCE上部署的应用服务，目前最高效的方式是在ingress资源上注册该应用的Service路径，从而满足要求。 但客户安装ingress插件后，插件状态一直显示“创建中”，nginxingresscontoller的pod一直处于pending状态。 解决方案 nginx限制的内存资源不足导致无法启动，取消限制后正常。 场景模拟 步骤 1 新集群3个节点，规格 6cpu，12G内存，每个节点2U4G。 步骤 2 单击nginxingress插件安装，选择规格2核2G。 步骤 3 nginxingress deployment安装成功，但是nginxingresscontroller安装失败。 一直处于创建中 安装失败 步骤 4 错误显示资源不足。 步骤 5 添加节点资源为4U8G后，nginxingress安装正常。 问题原因 最初建立的集群中各节点的基本配置为2U4G，且各节点上有kubelet，kubeproxy及docker等相关程序占用系统资源，导致节点可用资源低于2000m，无法满足nginxingress插件的要求，从而无法安装。 建议方案 请重新购买节点，节点要求（>4U8G）。

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

本章节主要介绍ALM25004 LdapServer数据同步异常的告警。 告警解释 系统按30秒周期性检测LdapServer数据，如果连续12次检测，Manager的主备LdapServer的数据内容都不一致，产生该告警，当两者的数据一致时，对应告警恢复。 系统按30秒周期性检测LdapServer数据，如果连续12次检测，集群中的LdapServer的数据与Manager的LdapServer数据都不一致，产生该告警，当两者的数据一致时，对应告警恢复。 告警属性 告警ID 告警级别 是否自动清除 25004 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机节点信息。 对系统的影响 LdapServer数据不一致时，有可能是Manager上的LdapServer数据损坏，也有可能是集群上的LdapServer数据损坏，此时数据损坏的LdapServer进程将无法对外提供服务，影响Manager和集群的认证功能。 可能原因 LdapServer进程所在的节点网络故障。 LdapServer进程异常。 OS重启导致的LdapServer数据损坏。 处理步骤 检查LdapServer所在的节点网络是否故障 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警”。记录该告警定位信息中的“主机名”的IP地址为IP1（若出现多个告警，则分别记录其中的IP地址为IP1、IP2、IP3等）。 2.联系运维人员，登录IP1节点，在这个节点上使用ping命令检查该节点与主OMS节点的管理平面IP是否可达。 是，执行步骤4。 否，执行步骤3。 3.联系网络管理员恢复网络，然后查看“LdapServer数据同步异常”告警是否恢复。 是，处理完毕。 否，执行步骤4。

本节介绍超卖调度与离线应用CPU压制的用户指南。 CPU QoS 功能包括节点资源超卖调度和 BE 离线应用 CPU 压制机制，帮助您实现资源的高效利用与动态调整。 适用场景 集群资源利用率低，需要提高节点资源使用效率。 需要在保证在线应用（LS 优先级）性能的同时，充分利用空闲资源运行离线应用（BE 优先级）。 需要在在线应用负载增加时，自动压制离线应用资源使用，确保在线应用性能。 功能概览 节点资源超卖调度：允许节点接受超过其声明资源总量的应用调度请求，提高资源利用率。 BE 应用 CPU 动态压制：根据在线应用的实际负载，动态调整离线应用可使用的 CPU 资源范围。 优先级差异化服务：确保高优先级应用（LS）获得资源保障，低优先级应用（BE）弹性使用剩余资源。 操作指南 节点资源超卖调度 BE 应用 CPU 动态压制 当节点上的在线应用（LS 优先级）CPU 负载增加时，混部系统会自动压制 BE 优先级应用的 CPU 使用范围，确保在线应用获得足够资源，同时最大化利用节点空闲资源。 压制机制 系统通过动态调整 BE 应用的 cpuset 范围来实现 CPU 压制 压制程度根据 LS 应用的实际负载动态变化 系统确保 BE 应用至少保留最小核心数（默认为 2 核），避免完全饿死 观察压制效果 1. 查看 BE 应用初始 CPU 分配 在节点负载较低时，BE 应用获得较大的 CPU 使用范围 plaintext $ kubectl n koordinatorsystem exec ti bash $ cat /hostcgroup/cpuset/kubepods.slice/kubepodsbesteffort.slice/cpuset.cpus 02

本文主要介绍了读写分离的配置与使用。 特性 会话不开启事务，读语句直接发送到slave执行。 会话开启事务，读语句发送到master上执行。这样才能保证同个事务内的数据可见。 开启读写分离 DRDS使用以下两种方式开启读写分离功能： 配置DRDS balance参数。 在select语句前增加 / !HINT({"balance":"?"})/ 注解。 方式一：读写分离属性配置 您可以在控制台设置读写分离，支持的配置如下。具体操作，请参见关联MySQL设置。 关闭 ：即balance 0，表示不开启读写分离，所有语句均发往写节点。 读语句发往读库 ：即balance 1，表示开启读写分离，所有事务外(autocommit1)的SELECT语句发往读节点；所有事务内(autocommit0)的语句发往写节点。 读语句随机发往读库和写库 ：即balance 2，表示开启读写分离，所有事务外(autocommit1)的SELECT语句随机发往读节点或写节点；所有事务内(autocommit0)的语句发往写节点。 自定义权重 ：即banlance 3，表示开启读写分离，支持根据实际情况，设置自定义读写分离权重。 方式二：HINT语句 使用 / !HINT({"balance":"?"})/ 注解可以强制指定 select 语句按照指定规则进行读写分离， balance 有三种取值方式，与DRDS的 balance 属性类似： / !HINT({"balance":"0"})/ 强制 select 语句发往写节点 。 / !HINT({"balance":"1"})/ 强制 select 语句发往读节点 。 / !HINT({"balance":"2"})/ 强制 select 语句随机发往数据库读节点或写节点。 注意 insert, update, delete语句在任何情况下都将发往写节点，所以读写分离实际只针对select语句。 / !HINT({"balance":"?"})/ 的读写分离规则优先级高于配置 balance 属性。 配置 balance 属性进行读写分离需结合 autocommit1 使用，而 / !HINT({"balance":"?"})/ 方式不需要。

本页面介绍如何在数据库实例中快速查看业务库表结构设计和数量分布情况 操作步骤 1. 进入实例详情页面。 2. 单击数据表管理，进入数据表管理页面。 3. 选择表查询对比 或表数据分布，查看数据表信息。 表查询对比： 场景：对比2个不同节点上相同业务表的建表差异，用于发现和分析可能因手动建表差异带来性能问题和数据安全问题。 1. 选择指定cluster及指定库/表，再选择对比的节点。 2. 单击对比，即可查看2个节点上的相同业务表的建表SQL差异。 表数据分布： 场景：查看业务表在多个节点上的表分布，用于发现数据分布是否合理，是否存在数据倾斜的情况 1. 选择指定cluster及指定库/表，再选择对比的数据节点。 2. 选择完成后，即可查看该表在不同计算存储节点上的数据分布情况。

本节为您介绍公共镜像相关概念及特点。 公共镜像是标准的操作系统镜像，向所有用户开放，包括操作系统以及预装的公共应用。公共镜像的维护由天翼云提供，公共镜像具有高度稳定性，请放心使用。 公共镜像类型 天翼云提供的公共镜像覆盖电信自研操作系统CTyunOS，国产化操作系统KylinOS、openEuler等、第三方开源及商业镜像等公共镜像，您可以根据实际需要选择。 公共镜像类型 描述 技术支持 CTyunOS镜像 天翼云针对ECS实例提供的定制化原生操作系统镜像。CTyunOS镜像均经过严格测试，确保镜像安全、稳定，保证您能够正常启动和使用镜像。 天翼云将为您在使用CTyunOS操作系统过程中遇到的问题提供技术支持。 第三方及开源公共镜像 由天翼云严格测试并制作发布，确保镜像安全、稳定，保证您能正常启动和使用镜像。第三方公共镜像包括： Windows系统：Windows Server。 Linux系统：龙蜥（Anolis）OS、Ubuntu、CentOS、CentOS Stream、Debian、Rocky Linux和AlmaLinux等。 对于开源操作系统镜像，请联系开源社区获得技术支持。同时，天翼云将对问题的调查提供相应的技术协助。 CTyunOS CTyunOS 2操作系统基于openEuler 20.03 LTS版本、CTyunOS 3基于openEuler 22.03SP1版本自主研发，包含天翼云完全自研的虚拟化增强组件和云平台组件，完善的编译工具链及开发环境等特性，具有高性能、高可靠、强安全和易扩展的特点。 CTyunOS操作系统 CTyunOS 2.0.1 64 位 CTyunOS 2.0.1 64 位 ARM 版 CTyunOS 22.06 64 位 CTyunOS 22.06 64 位 ARM 版 CTyunOS 23.01 64 位 CTyunOS 23.01 64 位 ARM 版 CTyunOS V2.0 25.05 64 位 CTyunOS V2.0 25.05 64 位 ARM 版 CTyunOS V4.0 25.07 64 位 CTyunOS V4.0 25.07 64 位 ARM 版

本章节主要介绍修复隔离主机补丁 。 若集群中存在主机被隔离的情况，集群补丁安装完成后，请参见本节操作对隔离主机进行补丁修复。修复完成后，被隔离的主机节点版本将与其他未被隔离的主机节点一致。 访问MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 1. 选择“系统设置 > 补丁管理”，进入补丁管理页面。 2. 在“操作”列表中，单击“详情”。 3. 在补丁详情界面，选中“Status”是“Isolated”的主机节点。 4. 单击“Select and Restore”，修复被隔离的主机节点。

本节介绍了如何进行云数据库TaurusDB实例的安全设置。 帐户密码等级设置 TaurusDB对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@%^+?,()&$特殊字符。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于TaurusDB数据库的初始化设置。 帐户说明 您在创建TaurusDB实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 删除、重命名、修改这些帐户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制帐户，用于只读节点在主实例上同步数据。 rdsBackup：备份帐户，用于后台的备份。 rdsMetric：指标监控帐户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理帐户，该帐户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本章节介绍人脸识别安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 人脸识别是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 人脸识别传输的数据是否经过加密呢？ 天翼云人脸识别采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用人脸识别服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，人脸识别公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用人脸识别服务后，图片数据就会立即释放，不会存储。