IAM项目与企业项目的区别 IAM项目 IAM项目是以每一个天翼云资源节点为粒度进行资源及服务隔离，是物理隔离。 IAM项目与资源节点一一对应，IAM项目中的资源不能转移，只能删除后重建。 企业项目 企业项目可理解为IAM项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。 企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。如果您开通了企业管理，将不能创建IAM项目。 企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的细粒度授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 区域和可用区 什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 图 区域和可用区

本文简述websocket协议特点和应用场景。 背景介绍 HTTP 协议有一个缺陷：通信只能由客户端发起。这种单向请求的特点，注定了如果服务器有连续的状态变化，客户端要获知就只能使用"轮询"的方案。 轮询是在特定的时间间隔（如每1秒），由浏览器对服务器发出HTTP请求，然后由服务器返回最新的数据给客户端的浏览器。这种传统的模式带来很明显的缺点，即浏览器需要不断的向服务器发出请求，显而易见，轮询不仅效率特别低，且特别浪费带宽资源，因为HTTP请求可能包含较长的头部，其中真正有效的数据可能只是很小的一部分，显然这样会浪费很多带宽资源。 因此，工程师们一直在思考，有没有更好的方法。websocket 就是这样发明的。websocket 协议诞生于2008年，2011年成为国际标准，目前所有浏览器均已支持。它最大的特点全双工通信，浏览器和服务器只需要做一个握手的动作，然后浏览器和服务器之间就形成了一条快速通道，两者之间就可以直接互相传送数据了，如下右图所示。可见，websocket 协议，能更好的节省服务器资源和带宽，并且能够更实时地进行通讯。 websocket的优势： 较少的控制开销：在连接创建后，服务器和客户端之间交换数据时，用于协议控制的数据包头部相对较小。 更强的实时性：由于协议是全双工的，所以服务器可以随时主动给客户端下发数据。相对于HTTP请求需要等待客户端发起请求服务端才能响应，延迟明显更少；即使是和Comet等类似的长轮询比较，其也能在短时间内更多次地传递数据。 保持连接状态：与HTTP不同的是，Websocket需要先创建连接，这就使得其成为一种有状态的协议，之后通信时可以省略部分状态信息。而HTTP请求可能需要在每个请求都携带状态信息（如身份认证等）。 更好的二进制支持：Websocket定义了二进制帧，相对HTTP，可以更轻松地处理二进制内容。 可以支持扩展：Websocket定义了扩展，用户可以扩展协议、实现部分自定义的子协议。 更好的压缩效果：相对于HTTP压缩，Websocket在适当的扩展支持下，可以沿用之前内容的上下文，在传递类似的数据时，可以显著地提高压缩率。 与 HTTP 协议有着良好的兼容性：默认端口也是80和443，并且握手阶段采用 HTTP 协议，因此握手时不容易屏蔽，能通过各种 HTTP 代理服务器。 没有同源限制：客户端可以与任意服务器通信。

本节介绍在Windows操作系统环境下安装天翼云电脑遇到补丁缺失等问题时的解决方法。 Windows安装运行问题 在Windows操作系统环境下安装天翼AI云电脑时，为确保AI云电脑客户端及相关组件正常安装， 需确保Windows installer服务正常运行，系统盘剩余容量大于600M。 Win7系统需提前安装SP1补丁(KB976932)、KB3033929、KB2999226补丁，否则将导致登录客户端报异常退出、桌面不能连接、模块加载失败等问题。用户可参考以下指引完成补丁安装。 Windows7操作系统缺少SP1补丁的解决办法 ●请根据本地计算机操作系统版本，到以下地址下载对应安装包运行安装： ●查看补丁安装情况 第1步 启动Windows 7操作系统，点击任务栏"开始"按钮。选择"所有程序控制面板"项。 第2步 打开"控制面板"程序窗口，点击下侧"程序"图标。 第3步 打开"程序"选项界面，点击上侧"程序和功能"图标。 第4步 打开"程序和功能"选项界面，点击左侧"查看已安装的更新"图标。 KB3033929补丁缺失解决办法 ●请根据本地计算机操作系统版本，到以下地址下载对应安装包运行安装： 32位地址： 64位地址： ●查看补丁安装情况 第1步 启动Windows 7操作系统，点击任务栏"开始"按钮。选择"所有程序控制面板"项。 第2步 打开"控制面板"程序窗口，点击下侧"程序"图标。

项目 说明 测试实例规格 基础标准版双副本8G。 测试实例引擎版本 6.0。 测试实例地域和可用区 上海36 可用区1。 压测机器的规格 c7.2xlarge.2。 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位。 压测机器地域和可用区 上海36 可用区1。 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接。 压测工具 redisbenchmark。

获取设备权限信息，如下所示 权限名称 获取目的 收集频率 申请时机 ACCESSNETWORKSTATE 区分移动网络或WiFi网络 使用SDK时可用 使用SDK时 BINDVPNSERVICE 绑定VPN服务，用于连接内网 使用SDK时可用 使用SDK时 INTERNET 查看网络状态，用于数据上报 使用SDK时可用 使用SDK时 ACCESSWIFISTATE 允许访问WiFi网络状态信息 使用SDK时可用 使用SDK时

项目 说明 测试实例规格 基础标准版双副本8G。 测试实例引擎版本 7.0。 测试实例地域和可用区 上海36 可用区1。 压测机器的规格 c7.2xlarge.2。 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位。 压测机器地域和可用区 上海36 可用区1。 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接。 压测工具 redisbenchmark。

本页面介绍了天翼云云数据库ClickHouse如何创建新实例。 本页详细的创建实例过程能够帮助您更好的开始使用天翼云云数据库ClickHouse。 操作场景 本节将介绍在云数据库ClickHouse服务的管理控制台创建实例的过程。 云数据库ClickHouse支持“包年/包月”和“按需计费”两种计费模式，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 新建实例 1. 在登录云数据库ClickHouse的控制台后，在集群列表页面，点击右上方的"订购实例"按钮，跳转至实例订购页面。 2. 选择计费模式。 包年/包月：若选择该模式，跳过步骤6，执行步骤7。 按需计费：若选择该模式，继续执行步骤。 3. 选择数据库基本信息。 参数 描述 :: 引擎类型 所订购的数据库引擎，默认选择“CLICKHOUSE”。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 请根据实际业务需求选择合适的数据库引擎版本，建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 副本类型 目前提供单副本和双副本两种副本类型。 在单副本架构中，数据仅存储在一个节点上。这种架构适用于开发和测试环境，或者对于数据可靠性要求不高的场景。 双副本架构提供更高的可用性和容错性。数据在两个节点上进行复制，一主一备。 可用区 目前4.0资源池支持多AZ部署高可用，该参数的选择限制如下： 单副本：仅能部署在单个可用区，节点总数的范围为148，节点总数增加步长为1。 双副本：可以选择单可用区部署也可以选择多可用区部署。 双副本单可用区：双副本的节点总数的范围为248，节点总数增加步长为2。 双副本多可用区：双副本的节点总数的范围为648，节点总数增加步长为6，此时协调节点为每个可用区一个。当三个可用区中有一个可用区不可用时，仍能保证能够访问完整数据。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 4. 实例规格。 参数 描述 :: 性能类型 云数据库ClickHouse支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。 目前支持的实例规格CPU架构均为X86架构，分为：通用型、计算增强型和内存优化型。具体的机器类型因您所选的区域而异。 节点规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 计算节点数量 单副本：节点总数的范围为148，节点总数增加步长为1。 双副本单可用区：双副本的节点总数的范围为248，节点总数增加步长为2。 双副本多可用区：双副本的节点总数的范围为648，节点总数增加步长为6。 节点存储类型 数据库是应用系统最为重要基础组件，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。云数据库ClickHouse暂时不支持创建实例后变更存储类型。 节点存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。计算节点存储空间支持100GB到32000GB，协调节点存储空间支持100GB到1000GB。 用户选择容量大小必须为10的整数倍。数据库创建成功后可进行扩容。 说明 云数据库ClickHouse的性能，取决于用户申请云数据库ClickHouse时所选择的配置。可供用户选择的硬件配置项为性能规格、存储类型以及存储空间。 5. 选择实例所在网络配置。 参数 描述 :: 虚拟私有云 云数据库ClickHouse实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，云数据库ClickHouse默认为您分配资源。 须知：目前云数据库ClickHouse实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建云数据库ClickHouse实例的子网默认开启DHCP功能，不可关闭。 创建实例时云数据库ClickHouse会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强云数据库ClickHouse与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，云数据库ClickHouse服务默认为您分配内网安全组资源。 6. 集群配置 输入实例名称，实例名称必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 7. 按需选择购买周期。 参数 描述 :: 购买时长（包年/包月） 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 购买数量 云数据库ClickHouse暂不支持批量创建实例。 8. 对于按需计费的实例，进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交申请”，完成购买实例的申请。 跳过步骤9，直接执行步骤10 。 9. 对于包年/包月模式的实例，进行订单确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果订单确认无误，单击“去支付”，进入“付款”页面。 如果暂不确定实例规格，单击“提交，暂不付款”，系统将保留您的订单，稍后可在“费用 > 我的订单”中支付或取消订单。 对于“包年/包月”模式的实例，付款成功后，才会创建。 10. 选择付费方式，完成付费。

本文介绍分布式消息服务RocketMQ的消费者实例查询操作内容。 场景描述 RocketMQ显示当前在线的消费者实例有以下作用： 监控消费者状态：通过显示当前在线的消费者实例，可以实时监控消费者的状态。可以了解消费者的连接情况、消费进度和消费速率等信息，帮助及时发现消费者异常或故障，以便进行及时处理和调整。 故障排查与追踪：通过显示当前在线的消费者实例，可以帮助定位消息消费失败的原因。可以查看每个消费者实例的消费情况，包括消费的消息数量、消费延迟等信息，方便排查故障和进行问题定位。 综上所述，显示当前在线的消费者实例可以帮助监控消费者状态、故障排查等，为系统的稳定运行提供重要支持。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入消费者实例查询菜单，列出了指定集群和Broker下的消费组消费的情况。 列表展示了指定集群和指定Broker下的消费组消费的情况。 连接实例 显示该消费组，当前在线的消费者实例列表。 堆积量 显示该消费组消费指定Topic时，还有多少未消费。

本节主要介绍清空卷命令。 ./stor lun {W wipe }{n name } LUNNAME [ scope SCOPE ] 此命令用来清空卷。 注意 如果克隆卷执行清空所有卷数据及卷对应的快照，会变成独立卷。 卷处于Wiping、WipeFailed状态时，不支持读写。 清空卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 参数 参数 描述 n LUNNAME 或 name LUNNAME 指定需要清空的卷的名称。 scope SCOPE 指定清空卷的数据范围。 取值： All：清空所有卷数据及卷对应的快照。 注意 如果卷存在关联的克隆卷，不能执行清空所有卷数据及卷对应快照的操作。 NoSnapshot：清空卷数据，保留卷对应的快照。后续可以使用卷快照进行卷回滚、或者导出备份。 注意 克隆卷不能执行仅清空卷数据保留对应快照的操作。 默认值为All。 示例 示例1 清空卷lun04a，包括卷数据及对应的快照。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun W n lun04a Start wiping LUN lun04a. You can list lun to check whether the wipe operation is completed. 示例2 清空卷lun04b，清空卷数据，保留卷对应的快照。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun W n lun04b scope NoSnapshot Start wiping LUN lun04b. Please note that all existing snapshots will be preserved. You can list lun to check whether the wipe operation is completed.

本文带您了解什么是分布式消息服务RocketMQ产品。 分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品，兼容开源RocketMQ客户端，提供高效可靠的消息传递服务，解决分布式应用系统之间的消息数据通信难题，用于系统间的解耦，用户只需专注业务，无需部署运维，适用于电商、金融、政企等多样业务场景。 产品示意图 分布式消息服务RocketMQ发布订阅基本流程如下： 1、Producer连接Nameserver，产生数据放入不同的Topic； 2、对于RocketMQ，一个Topic可以分布在各个Broker上，我们可以把一个Topic分布在一个Broker上的子集定义为一个Topic分片； 3、将Topic分片再切分为若干等分，其中的一份就是一个Queue。每个Topic分片等分的Queue的数量可以不同，由用户在创建Topic时指定； 4、Consumer连接Nameserver，根据Broker分配的Queue来消费数据。 核心组件 分布式消息服务RocketMQ主要由Producer、Broker、Consumer三部分组成，其中Producer负责生产消息，Consumer负责消费消息，Broker负责存储消息。Broker在实际部署过程中对应1台或者多台服务器，每个Broker可以存储多个Topic的消息，每个Topic的消息也可以分片存储于不同的Broker。Message Queue用于存储消息的物理地址，每个Topic中的消息地址存储于多个Message Queue中。ConsumerGroup由多个Consumer实例构成。更多信息请参见产品架构。

前提条件 已注册企业微信，且账号为企业管理员。 创建企业微信智能机器人 1.用企业管理员账号登录++企业微信平台++，点击安全与管理>管理工具菜单，点击智能机器人，开始创建智能机器人。 2. 下拉智能机器人创建页面至底部，点击【API模式创建】。 3. 进入API模式创建后，在API配置中，连接方式选择【使用长连接】，配置方法中字段Bot ID 及Secret，对应OpenClaw中的Bot Id 及Secret（步骤见下），填写完后点击保存。 步骤三： 配置OpenClaw Channels 1. 通过访问地址打开OpenClaw，点击左侧菜单【Channels】进入channel配置页面，配置Bot Id及Secret。 2. 完成参数输入后，点击页面的【Save】按钮保存配置，再点击【Reload】按钮重启OpenClaw网关，使配置生效。 3. 返回企业微信智能机器人创建页面，点击【创建】按钮，等待机器人创建完成。 步骤四：测试机器人 1. 在企业微信机器人对话框中，将配对码复制（如下图红框），发送给openclaw对进行配对过程。 2.配对成功后，打开企业微信客户端，在【通讯录】中找到并选择已创建的企业微信智能机器人，即可发起对话测试。

本节介绍了变更数据捕获（CDC）的相关内容。 操作场景 使用存储过程对指定数据库开启或关闭变更数据捕获功能。变更数据捕获可记录应用到所启用的表中的插入、更新和删除活动，同时采用易于使用的关系格式提供变更详细信息。 说明 仅RDS for SQL Server企业版和RDS for SQL Server 2016及其以上版本的标准版支持变更数据捕获。 关于变更数据捕获的其他功能可参考官方文档。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 执行此存储过程的必须是拥有[CREATE ANY DATABASE]权限的用户。如果不具备此权限的用户尝试执行该存储过程，系统将会如下提示： plaintext Database restores can only be performed by database logins with [CREATE ANY DATABASE] permissions. 约束 对于系统库，不可进行开启或关闭变更数据捕获功能。如果您试图对系统库进行此操作，系统将会如下提示： plaintext CDC can not open on system database and [rdsadmin]. 变更数据捕获功能操作仅包括 1，0，若尝试进行其他操作，系统将会如下提示： plaintext @dbAction just support 1:open 0:close 操作步骤 执行以下命令，开启或关闭变更数据捕获。 EXEC msdb.dbo.rdscdcdb '@DBName', @dbAction; @ DBName：指定要操作的数据库。 @ dbAction：指定操作，1为开启变更数据捕获，0为关闭变更数据捕获。 对“testDB1”打开变更数据捕获，示例如下： EXEC msdb.dbo.rdscdcdb 'testDB1', 1;

编辑角色 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待编辑角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理 ”，单击待编辑角色“操作”列的“编辑”。 步骤 5 根据实际业务需求，修改“服务组”和“权限动作”。 步骤 6 单击“保存”，完成角色编辑。 删除角色 说明： 角色删除后无法恢复，请谨慎操作。 删除角色前要先确认该角色没有被帐号关联。取消角色同帐号之间的关联，请参考编辑帐号。 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待删除角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理 ”，单击待删除角色“操作”列的“删除”。 步骤 5 在输入框输入“DELETE”，单击“确定”。

本文介绍如何为Pod配置时区。 本文将介绍如何为 ECI Pod 配置不同的时区，确保您的应用程序、日志和时间戳记录遵循正确的时间和日期。 操作步骤 为Kubernetes Pod设置时区的最简单方法是在Pod中添加一个Volume，然后将该Volume挂载到Pod中的某个目录。该目录可以包含代表时区的一个或多个文件。这种方法的优点是可以在Pod内的多个容器中重用时区设置，而无需在每个容器中都复制一遍。 您想要创建一个configmap，并导入所需的时区信息。为了指定时区，需要进行相应的配置，请选择/usr/share/zoneinfo/Asia/目录下的配置文件进行导入。以下是一个示例： 1.创建应用的YAML配置文件timezone.yaml，内容示例如下： apiVersion: v1 kind: Pod metadata: name: timezonepodinitcontainer spec: initContainers: name: timezonesetup image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine" command: ["/bin/sh", "c"] args: cp /usr/share/zoneinfo/Asia/Shanghai /timezone/localtime volumeMounts: name: timezoneconfig mountPath: /timezone containers: name: maincontainer image: busybox command: "tail" "f" "/dev/null" volumeMounts: name: timezoneconfig mountPath: /etc/localtime subPath: localtime volumes: name: timezoneconfig emptyDir: {} 2.通过该配置文件部署busybox应用。 kubectl apply f timezone.yaml 预期返回： NAME READY STATUSRESTARTS AGE timezone 1/1 Running0 1m30s 3.进入指定容器。 通过弹性容器实例ECI控制台，选择指定的容器组，点击“远程连接”连接容器。 4.在容器中运行date R命令，显示当前的日期和时间。如果返回的时间与您设置的时区信息相符，则表示设置成功。以下是设置成功后的示例返回结果： /

本页介绍天翼云TeleDB数据库状态运行快照。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击实例监控 ，选择状态运行快照页签。 2. 快照设置 1. 单击快照设置 ，弹出状态运行快照策略设置对话框。 2. 在状态运行快照策略设置 对话框中，打开运行快照开启状态，输入快照开启时间和快照间隔时间，单击确定完成设置。 3. 手动快照 单击手动快照可立即执行快照。 4. 查询快照列表 可通过设置起始时间和结束时间，单击查询筛选已产生的快照列表。 5. 查看快照详情 单击对应快照记录的详情，可查看该快照的详细信息。 具体内容包括： 数据库状态：节点名称、IP、端口、角色、日志同步状态、运行状态。 数据库核心配置：synchronouscommit、maxpoolsize、autovaccum、maxconnection、workmem、walkeepsegments、vacuumdelta、sharedbuffers的参数值。 数据库连接分析：包括CN和DN的连接情况，如avgconn、avgconnactive、avgconnidle、avgconnlock等。 DataNode节点请求量统计：统计DN节点的增删改查请求量。 数据库检查点：节点的检查点情况，如checkpointstimed、checkpointsreq、数据库vaccum统计和实例vaccum情况等。 存储情况分节点统计：节点的存储情况，如totalsize、totaltups。 慢查询TOP 50：慢查询的TOP 50情况。 错误日志情况：包括错误信息、级别。 buffer命中率分析：包括平均、最大和最小情况。 锁分析（最多展示等待时间最长50条）。 节点CPU/内存利用率概况。 死锁与二事务残留详情。

参数 参数类型 说明 示例 ID String 终端节点服务ID endpser4bz2ogmq11 name String 终端节点服务名称 szyy2 vpcID String 所属的专有网络id vpcsrsiebllhc description String 描述 type String 接口还是反向，interface:接口，reverse:反向 interface autoConnection Boolean 是否自动连接 true rules Array of Objects 接口规则数据 见下表 backends Array of Objects 后端数据 见下表 createdAt String 创建时间 20221024T01:20:06Z updatedAt String 更新时间 20221024T01:20:06Z

项目 说明 测试实例规格 基础读写分离8G(2副本) 测试实例引擎版本 6.0 测试实例地域和可用区 上海36 可用区1 压测机器的规格 c7.2xlarge.2 16核 32G 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位 压测机器地域和可用区 上海36 可用区1 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接 压测工具 redisbenchmark 读写分离 关闭

本节主要介绍通过kubectl对接多个集群。 使用场景 客户想使用同一个kubectl客户端工具，通过切换当前用户的方式达到切换集群的效果。 图 kubectl对接多集群示意 配置前提 kubectl命令客户端工具所在的ECS云主机，能够curl通集群A和集群B的vip地址+5443端口。 以下配置仅供参考，为了方便，直接在A集群的一个节点作为客户端（节点绑定了EIP）。 为了方便访问，给B集群的VIP地址绑定了公网IP（假设为：1.2.3.4），理论上如果A、B在同一VPC，可以不这样操作。 客户端配置对A的访问 直接参考《CCE用户指南》中的“通过kubectl连接CCE集群”。 客户端上配置对B的访问 我们要用访问B的集群，要知道B的地址，还要带上认证去访问，那么必须要把相应的信息补齐。 步骤如下： 步骤 1 录入B集群的集群信息 kubectl config setcluster clusterk8s server insecureskiptlsverifytrue insecureskiptlsverifytrue这个参数一定要带上，这是忽略校验客户端证书 步骤 2 录入去B集群的认证信息 首先在B上操作： 方式一：将B集群的证书传入到客服端使用，在客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin clientcertificateclient.crt embedcertstrue 方式二：在集群B上获取认证token 1.创建一个sa用户 kubectl create sa mysa 2.给sa用户授权 kubectl create clusterrolebinding myrolebinding serviceaccountdefault:mysa clusterroleclusteradmin 3.获取用户的token kubectl describe secret mysatokenxxx awk '/token:/{print $2}' > token 将获取的token传入到客户端。 4.客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin token$token 步骤 3将集群B的上下文详细信息添加到配置文件中 kubectl config setcontext uiadmin@cyd clusterclusterk8s useruiadmin 此时在客户端上： Kubectl config usecontext internal 切换到集群A Kubectl config usecontext uiadmin@cyd 切换到集群B 步骤 4验证配置 其他情况： 如果配置完报X509错误，应该是忘记传入参数 insecureskiptlsverifytrue 可在使用时带上该参数即可，例如：kubectl get pod insecureskiptlsverifytrue

创建工作空间 步骤 1 以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1 所示。 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择新建工作新建工作空间的模式。 l简单模式：即传统的DataArts Studio工作空间模式，使用方便，但无法对数据开发流程和表权限进行强管控。 l企业模式：企业模式下DataArts Studio数据开发组件以及对应管理中心组件数据连接支持设置开发环境和生产环境，有效隔离开发者对生产环境业务的影响。企业模式的相关介绍请参见 DataArts Studio企业模式概述。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l一个企业项目下只能创建一个DataArts Studio实例。 l需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 l如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlflog{projectId}”命名的OBS桶中。{projectId}即项目ID，您可以参考获取项目ID和账号ID进行获取。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 l如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlflog{projectId}”命名的OBS桶中。 步骤 3 配置完成后，单击“确定”完成工作空间的创建。

本页介绍了如何配置驱动和运行环境。 驱动安装 1. 下载连接文档数据库服务使用的驱动包“mongojavadriver3.10.1.jar”，此安装包提供了访问文档数据库服务实例的API接口。 2. 在项目的pom.xml中添加如下依赖。 org.mongodb mongojavadriver 3.10.1 环境 客户端需配置JDK1.8。JDK是跨平台的，支持Windows，Linux等多种平台 。

场景2 连接和QPS升高导致CPU上升 问题原因：业务请求增高导致实例CPU升高，需要从业务侧分析请求变化的原因。 排查思路： 查看QPS、当前活跃连接数、数据库总连接数、CPU使用率监控指标是否吻合。 QPS的含义是每秒查询数，QPS和当前活跃连接数同时上升，且QPS和CPU使用率曲线变化吻合，可以确定是业务请求增高导致CPU上升，如下图： 该场景下，SQL语句一般比较简单，执行效率也高，数据库侧优化余地小，需要从业务源头优化。 解决方案： 1. 单纯的QPS高导致CPU使用率过高，往往出现在实例规格较小的情况下，建议升级实例CPU规格。 2. 优化慢查询，优化方法参照场景1 慢查询导致CPU升高的解决方案。若优化慢查询后效果不明显，建议升级实例CPU规格。 3. 对于数据量大的表，建议通过分库分表减小单次查询访问的数据量。 大并发慢查询导致CPU资源耗尽问题 场景描述 数据库实例上存在大量并发的select count(0)慢操作，系统CPU耗尽，随时有宕机的风险。 Show processlist信息： 该sql慢日志查询信息：

本章节主要介绍配置OBS目的端参数。 作业中目的连接为配置OBS连接时，即导入数据到云服务OBS时，目的端作业参数如下表所示。 高级属性里的参数为可选参数，默认隐藏，单击界面上的“显示高级属性”后显示。 表 OBS作为目的端时的作业参数 参数类型 参数名 说明 取值样例 基本参数 桶名 写入数据的OBS桶名。 bucket2 基本参数 写入目录 写入数据到OBS服务器的目录，目录前面不加“/”。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 directory/ 基本参数 文件格式 写入后的文件格式，可选择以下文件格式： CSV格式：按CSV格式写入，适用于数据表到文件的迁移。 二进制格式：选择“二进制格式”时不解析文件内容直接传输，CDM会原样写入文件，不改变原始文件格式，适用于文件到文件的迁移。 如果是文件类数据源（FTP/SFTP/HDFS/OBS）之间相互迁移数据，此处的“文件格式”只能选择与源端的文件格式一致。 CSV格式 基本参数 重复文件处理方式 只有文件名和文件大小都相同才会判定为重复文件。写入时如果出现文件重复，可选择如下处理方式： 替换重复文件 跳过重复文件 停止任务 跳过重复文件 高级属性 加密方式 选择是否对上传的数据进行加密，以及加密方式： 无：不加密，直接写入数据。 KMS：使用数据加密服务中的KMS进行加密。如果启用KMS加密则无法进行数据的MD5校验。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 KMS 高级属性 KMS ID 写入文件时加密使用的密钥，“加密方式”选择“KMS”时显示该参数。单击输入框后面的，可以直接选择在数据加密服务中已创建好的KMS密钥。 当使用与CDM集群相同项目下的KMS密钥时，不需要修改下面的“项目ID”参数。 当用户使用其它项目下的KMS密钥时，需要修改下面的“项目ID”参数。 53440ccb3e73470098b571ff5476e621 高级属性 项目ID KMS ID所属的项目ID，该参数默认值为当前CDM集群所属的项目ID。 当“KMS ID”与CDM集群在同一个项目下时，这里的“项目ID”保持默认即可。 当“KMS ID”使用的是其它项目下的KMS ID时，这里需要修改为KMS所属的项目ID。 9bd7c4bd54e5417198f9591bef07ae67 高级属性 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成。 请您牢记这里配置的“数据加密密钥”，解密时的密钥与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 高级属性 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成。 请您牢记这里配置的“初始化向量”，解密时的初始化向量与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F 高级属性 复制ContentType属性 “文件格式”为“二进制”，且源端、目的端都为对象存储时，才有该参数。 选择“是”后，迁移对象文件时会复制源文件的ContentType属性，主要用于静态网站的迁移场景。 归档存储的桶不支持设置ContentType属性，所以如果开启了该参数，目的端选择写入的桶时，必须选择非归档存储的桶。 否 高级属性 换行符 文件中的换行符，默认自动识别“n”、“r”或“rn”。“文件格式”为“二进制格式”时该参数值无效。 n 高级属性 字段分隔符 文件中的字段分隔符。“文件格式”为“二进制格式”时该参数值无效。 , 高级属性 写入文件大小 源端为数据库时该参数才显示，支持按大小分成多个文件存储，避免导出的文件过大，单位为MB。 1024 高级属性 校验MD5值 使用“二进制格式”传输文件时，才能校验MD5值。选择校验MD5值时，无法使用KMS加密。 计算源文件的MD5值，并与OBS返回的MD5值进行校验。如果源端已经存在MD5文件，则直接读取源端的MD5文件与OBS返回的MD5值进行校验。 是 高级属性 记录校验结果 当选择校验MD5值时，可以选择是否记录校验结果。 是 高级属性 校验结果写入连接 可以指定任意一个OBS连接，将MD5校验结果写入该连接的桶下。 obslink 高级属性 OBS桶 写入MD5校验结果的OBS桶。 cdm05 高级属性 写入目录 写入MD5校验结果的目录。 /md5/ 高级属性 编码类型 文件编码类型，例如：“UTF8”或“GBK”。“文件格式”为“二进制格式”时该参数值无效。 GBK 高级属性 使用包围符 “文件格式”为“CSV格式”，才有该参数，用于将数据库的表迁移到文件系统的场景。 选择“是”时，如果源端数据表中的某一个字段内容包含字段分隔符或换行符，写入目的端时CDM会使用双引号（"）作为包围符将该字段内容括起来，作为一个整体存储，避免其中的字段分隔符误将一个字段分隔成两个，或者换行符误将字段换行。例如：数据库中某字段为hello,world，使用包围符后，导出到CSV文件的时候数据为"hello,world"。 否 高级属性 首行为标题行 从关系型数据库导出数据到OBS，“文件格式”为“CSV格式”时，才有该参数。 在迁移表到CSV文件时，CDM默认是不迁移表的标题行，如果该参数选择“是”，CDM在才会将表的标题行数据写入文件。 否 高级属性 作业成功标识文件 当作业执行成功时，会在写入目录下生成一个标识文件，文件名由用户指定。不指定时默认关闭该功能。 finish.txt 高级属性 自定义目录层次 选择“是”时，支持迁移后的文件按照自定义的目录存储。即只迁移文件，不迁移文件所归属的目录。 是 高级属性 目录层次 自定义迁移后文件的存储路径，支持时间宏变量。 ${dateformat(yyyyMMdd HH:mm:ss, 1, DAY)} 高级属性 自定义文件名 从关系型数据库导出数据到OBS，且“文件格式”为“CSV格式”时，才有该参数。 用户可以通过该参数自定义OBS端生成的文件名，支持以下自定义方式： 字符串，支持特殊字符。例如“cdm

配置字段 是否必填 配置说明 处置动作 是 监控观察：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 降权访问：限制用户仅能访问指定的对应等级应用，其他均无法访问。 处置通知 否 配置为监控观察处置动作时，可选是否从客户端通知员工，其他处置动作默认会通过客户端提示员工。 处置提示语 是 可自定义，自定义提示语可针对英文、中文进行分别自定义。 自动恢复 是 默认勾选，且不可配置，若用户被处置后，自主进行了修复，下次触发该动态授权未命中匹配条件，则自动恢复处置。

本文介绍了如何正确配置NFS服务的白名单 1.概述 科研助手提供外部挂载NFS持久化存储数据服务的功能，为了您的数据安全，请根据本文步骤正确配置NFS服务白名单，防止他人未授权访问NFS服务。 2.前置要求 1）在NFS服务器中启动NFS服务并允许任意来源访问 2）在科研助手的存储源中成功创建自建NFS存储源 3.配置白名单 当科研助手成功访问您的NFS服务时，科研助手会与您的NFS访问建立访问连接，您可通过查询访问连接的来源IP设置白名单： 1）通过SSH登录NFS服务器 2）在终端中输入以下指令查询NFS服务访问来源IP（NFS默认端口为2049，请根据实际情况修改查询指令）： netstat anp grep 2049 grep ESTABLISHED 右边的IP就是科研助手访问您NFS服务的IP地址。 3）将科研助手IP地址加入到NFS服务的白名单中 通过vi指令编辑/etc/exports 文件: vi /etc/exports 打开后默认【】是所有IP允许访问NFS访问， 按键盘【i】按键进入编辑模式，将【】改为步骤二中的【科研助手IP】： 按键盘【ESC】按键后输入:wq 保存文件。 4）重启NFS服务 service nfs restart 5）测试科研助手的数据集能否正常访问NFS中的文件。

本节主要介绍如何使用API清空卷。 此操作用来清空卷。 注意 如果克隆卷执行清空所有卷数据及卷对应的快照，会变成独立卷。 卷处于Wiping、WipeFailed状态时，不支持读写。 清空卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/wipe HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "scope":scope } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要清空的卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 scope String 指定清空卷的数据范围。 取值： All：清空所有卷数据及卷对应的快照。 注意 如果卷存在关联的克隆卷，不能执行清空所有卷数据及卷对应快照的操作。 NoSnapshot：清空卷数据，保留卷对应的快照。后续可以使用卷快照进行卷回滚、或者导出备份。 注意 克隆卷不能执行仅清空卷数据保留对应快照的操作。 默认值为All。 否 请求示例1 清空卷lun01，包括卷数据及对应的快照。 plaintext PUT /rest/v1/block/lun/lun01/wipe HTTP/1.1 Date: Fri, 12 Dec 2025 03:31:37 GMT ContentType: application/json; charsetutf8 ContentLength: 25 Authorization: HBlock userName:signature Host: 192.168.0.64:1443 { "scope": "All" }

约束限制 订购高版本8.0的MySQL版实例，且新实例和源实例在同一下VPC下。订购MySQL实例的具体操作，请参见步骤一：创建实例。 订购数据传输服务DTS实例，且实例网络类型选择VPC网络。订购DTS实例的具体操作，请参见订购数据迁移实例。 设置源实例binlog保留足够时长，防止增量同步时相关Binlog被清理。 设置源实例和目标实例的日志包大小（maxallowedpacket）大于500M。 调整SQLMODE去除8.0不支持的参数，例如NOAUTOCREATEUSER。 说明 其他约束限制，请参见数据传输服务DTS。 操作步骤 1. 配置源库及⽬标库信息。 进入DTS控制台，选择数据迁移在目前实例对应的DTS服务上单击实例配置。 2. 填⼊源库与⽬标库的相关配置信息，包括数据库类型、IP地址端⼝、数据库账号、数据库密码等信息。 注意 如果选择连接⽅式为SSL安全连接，则需要上传正确的证书⽂件。 3. 单击下一步进行迁移数据选择。 4. 单击下一步进行迁移前检查。检查项确认无误后开始迁移。 5. 进入实例详细中查看迁移进度，当出现增量无延迟后说明两边实例数据迁移同步完成。 6. 进行数据检查以及业务检查，待检查无误后，可以切换数据库并停止同步数据。 说明 源数据库建议保留一段时间，再进行删除。

本章节介绍如何创建一个注册配置中心实例,并改造一个微服务快速接入您创建的注册配置中心。 概述 注册配置中心提供多种类型的引擎，您可以按需创建满足您需求的服务实例，不需要部署和维护这些基础微服务组件，开发者可以完全专注微服务应用本身的开发。 以下步骤将演示创建一个注册配置中心实例，并改造一个微服务快速接入您创建的注册配置中心。演示中开通的引擎类型为Nacos。 创建一个注册配置中心实例 1. 首先，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面。 2. 左上角选择目标资源，这里以华东1为例，进入微服务引擎控制台。 3. 左侧菜单栏点击注册配置中心> 实例列表，进入注册配置中心控制台实例列表页面。 4. 点击实例列表左上角的创建实例跳转至产品订购页面。 5. 选择系列/引擎类型，实例规格，选择节点数量，选择子网、VPC和安全组后，点击确认订单。不同资源池节点订购方式有所不同，以具体功能页面为准。 6. 点击下一步、跳转至订单确认页面，点击确认提交订单，支付完成后等待5~10分钟，可以在控制台页面看到开通成功的实例。 进入实例的管理页面 实例开通完成后，进入实例列表页面，点击实例ID或者实例名称，即可进入实例的管理页面。 获取实例的内网连接地址，该地址就是您在VPC内部连接该Nacos引擎的访问地址。 另外基础信息还包括规格、磁盘、网络以及节点状态等一系列信息。

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

创建分片表和相关注意事项 使用 mongo shell 客户端连接到 mongos 节点，创建分片表的步骤和命令如下。 1. 设置对应的 database 为分片模式。 sh.enableSharding( ) 2. 指定分片键创建分片表。 sh.shardCollection( , , , ) 命令中其中参数说明： namespace：是 . 的形式，比如 "mydb.myshardcollection"。 key：表示分片键和分片策略，1 表示范围分片，"hashed" 表示哈希分片。比如 {"myshardKey": "hashed"}。 unique：表示分片键是否有全局唯一性约束，true 表示唯一，对于哈希分片来说只能是 false。 options：表示分片的参数选项，对于哈希分片来说可以指定预分配的 chunk 个数，比如 {numInitialChunks: 5}。 每个 chunk 的默认大小是 64MB, 对于哈希分片可以通过 numInitialChunks 预分配 chunk，能够有效降低写入过程中 chunk 分裂迁移带来的性能抖动。 配置 balancer 窗口 分片集群内部有 balancer 模块进行数据均衡，保证每个 shard 的 chunk 个数大体相同。Balancer 操作涉及到 chunk 迁移，因此也会占用 shard server 上的硬件资源。 用户可以通过配置 balancer 窗口来指定后台哪些时间段进行数据均衡操作，通过将均衡操作指定在业务低峰期，可以有效避免对线上业务的影响。 设置和步骤和方法如下： 1. 使用 mongo shell 连接到 mongos 节点。 2. 切换到 config 数据库（use config）。 3. 确认 balancer 开关是开启的（sh.getBalancerState()）。 4. 设置 balancer 时间窗口。 db.settings.update( { id: "balancer" }, { $set: { activeWindow : { start : " ", stop : " " } } }, { upsert: true } ) 其中 “起始时间” 和 “结束时间” 都是 HH:MM 的形式，比如 02:30。

选择系统防护页签，可对终端设置防护。 参数 说明 病毒防护 针对网络中流行的病毒、木马进行全面查杀。 系统登录防护 配置登录权限。 配置病毒防护 病毒查杀用于对网络中流行的病毒、木马进行全面查杀。适用于需要自定义修改配置策略模板病毒防护场景。 1. 选择病毒查杀页签。 2. 配置检测引擎、实时防护等参数。 详细配置请参见下表： 参数 说明 通用设置 检测引擎 检测引擎选项： 默认引擎（高性能跨平台通用引擎，建议开启）。 深度扫描引擎（开启后将占用200MB磁盘空间，深度扫描引擎占用内存更多，但扫描速度更快（进行压缩包扫描时需要选择“深度扫描引擎”）。 网马引擎（网马专用引擎，根据网马特征扫描）。 通用设置 检测提升 扫描缓存加速（建议开启）。 病毒扫描 扫描模式 极速扫描。 低资源扫描，CPU使用率低于限额（默认50%，建议不低于20%）。 实时防护 扫描时机 默认全部勾选，用户可根据实际场景进行勾选。 当文件被执行时，将会触发实时防护功能。 当文件被修改时，将会触发实时防护功能。 当存储介质被连接时，将会触发实时防护功能。 实时防护 处理方式 发现病毒（文件执行、文件修改、存储介质连接时）后的处理方式： 自动处理（优先进行文件修复，修复失败后再隔离）。 仅记录。由用户自行选择。 删除（删除病毒文件）。

功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 XSS 检测防御存储型跨站脚本(CrossSite Scripting，XSS)注入攻击。 × × × √ √ √ Linux 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × × √ √ √ Linux 实时检测 上传Webshell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × × √ √ √ Linux 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × × √ √ √ Linux 实时检测 Struts2 OGNL OGNL代码执行检测。 × × × √ √ √ Linux 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × × √ √ √ Linux 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × × √ √ √ Linux 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × × √ √ √ Linux 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × × √ √ √ Linux 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × × √ √ √ Linux 实时检测

问题原因 在CDM界面创建迁移作业，配置DLI目的连接参数时，“资源队列”参数错误选成了DLI的“通用队列”，应该选择DLI的“SQL队列”。 解决方案 1.登录DLI管理控制台，选择“队列管理”，在队列管理界面查看是否有“SQL队列”类型的队列。 −是，执行3。 −否，执行2购买“SQL队列”类型的队列。 2.单击“购买队列”创建队列，其中队列类型选择“SQL队列”，选择其他参数后提交创建。 3.在CDM侧重新配置迁移作业的DLI目的连接参数，其中资源队列”参数选择已创建的DLI“SQL队列”。 4.CDM重新提交迁移作业，查看作业执行日志。 SQL作业访问报错：File not Found 问题现象 执行SQL作业访问报错：File not Found。 解决措施 文件报错找不到，一般是读写冲突产生的，建议查询一下SQL查询报错表的时候，是否有作业正在覆盖写对应数据。 SQL作业访问报错：DLI.0003: AccessControlException XXX 问题现象 SQL作业访问报错：DLI.0003: AccessControlException XXX。 解决措施 请查看下AccessControlException写的OBS桶，确认当前账号是否有访问桶的权限。 SQL作业访问外表报错：DLI.0001: org.apache.hadoop.security.AccessControlException: verifyBucketExists on}: status [403] 问题现象 SQL作业访问外表报错：DLI.0001: org.apache.hadoop.security.AccessControlException: verifyBucketExists on {{桶名}}: status [403]。 解决措施 当前账号没有访问该外表所在OBS桶的权限，请添加相应OBS权限再执行该查询。 执行SQL语句报错：The current account does not have permission to perform this operation,the current account was restricted. Restricted for no budget.