顺序消息是分布式消息服务RocketMQ版提供的一种严格按照顺序来发布和消费的消息类型。 顺序消息分为全局顺序消息和分区顺序消息： 全局顺序消息：对于指定的一个Topic，将队列数量设置为1，这个队列内所有消息按照严格的先入先出FIFO（First In First Out）的顺序进行发布和订阅。 分区顺序消息：对于指定的一个Topic，同一个队列内的消息按照严格的FIFO顺序进行发布和订阅。生产者指定分区选择算法，保证需要按顺序消费的消息被分配到同一个队列。 全局顺序消息和分区顺序消息的区别仅为队列数量不同，代码没有区别。 收发消息前，请参考收集连接信息收集RocketMQ所需的连接信息。 准备环境 开源的Java客户端支持连接分布式消息服务RocketMQ版，推荐使用的客户端版本为4.9.7。 通过以下任意一种方式引入依赖： 1. 使用Maven方式引入依赖。 org.apache.rocketmq rocketmqclient 4.9.7 org.apache.rocketmq rocketmqacl 4.9.7 2. 点击下载依赖JAR包：rocketmqall4.9.7binrelease.zip 发送顺序消息 参考如下示例代码 import org.apache.rocketmq.acl.common.AclClientRPCHook; import org.apache.rocketmq.acl.common.SessionCredentials; import org.apache.rocketmq.client.producer.DefaultMQProducer; import org.apache.rocketmq.client.producer.SendResult; import org.apache.rocketmq.common.message.Message; import org.apache.rocketmq.remoting.RPCHook; import org.apache.rocketmq.remoting.common.RemotingHelper; public class ProducerFifoExample { private static RPCHook getAclRPCHook() { return new AclClientRPCHook(new SessionCredentials( "accessKey", // 分布式消息服务RocketMQ控制台用户管理菜单中创建的用户ID "accessSecret" // 分布式消息服务RocketMQ控制台用户管理菜单中创建的密钥 )); } public static void main(String[] args) throws Exception { / 创建Producer，如果想开启消息轨迹，可以按照如下方式创建： DefaultMQProducer producer new DefaultMQProducer("YOUR GROUP ID", getAclRPCHook(), true, null); / DefaultMQProducer producer new DefaultMQProducer("YOUR GROUP ID", getAclRPCHook()); // 填入控制台NAMESRV接入点地址 producer.setNamesrvAddr("XXX:xxx"); ; // 如果需要开启SSL，请增加此行代码 producer.start(); for (int i 0; i { // 选择适合自己的分区选择算法，保证同一个参数得到的结果相同。 Integer id (Integer) arg; int index id % mqs.size(); return mqs.get(index); }, orderId); System.out.printf("%s%n", sendResult); } catch (Exception e) { e.printStackTrace(); } } producer.shutdown(); } } 注意 上述代码中，相同id的消息需要保证顺序，不同id的消息不需要保证顺序，所以在分区选择算法中以“id/队列个数的余数”作为消息发送的队列。

本文主要介绍关系数据库PostgreSQL版的性能概述及指标说明。 性能概述 天翼云关系数据库PostgreSQL版是一款基于云计算平台的在线关系型数据库服务，完全兼容PostgreSQL 12、13、14、15、16版本，提供单机、主备、一主两备、只读四种实例类型，提供备份、恢复、扩容、监控等数据库服务。 具有即开即用、稳定可靠、安全运行、弹性伸缩等特点，您仅需要简单的几步配置，就可在分钟级获得可用的生产数据库。天翼云数据库专家结合中国电信生产业务实践针对数据库内核及参数不断优化，不断提升服务质量，保证产品的高稳定、高可靠和高可用性。 指标说明 实例性能测试的指标包括： 每秒执行事务数TPS（Transactions Per Second） 数据库每秒执行的事务数，以COMMIT成功次数为准。 SysBench标准OLTP读写混合场景中一个事务包含18个读写SQL。 SysBench标准OLTP只读场景中一个事务包含14个读SQL（10条主键点查询、4条范围查询）。 SysBench标准OLTP只写场景中一个事务包含4个写SQL（2条UPDATE、1条DETELE、1条INSERT）。 每秒执行请求数QPS（Queries Per Second） 数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DETELE、COMMIT等。

本节主要介绍移除服务器命令。 ./stor server rm { n server } SERVERID [ d deldata ] [ f force ] 此命令用来从HBlock集群中移除服务器。 注意 如果移除服务器上有Target，该Target对应卷的高可用类型是ActiveStandby，移除服务器时，业务不会中断，此卷对应的Target会切换到其他服务器上，客户端需要重新连接Target对应的新服务器IP。 如果移除服务器上有Target，该Target对应卷的高可用类型是Disabled，移除服务器时，业务会中断，此卷对应的Target会切换到其他服务器上，客户端需要重新连接Target对应的新服务器IP。但服务器移除时，会有数据丢失风险。 如果执行日志采集后，产生的日志保存在服务器安装目录下，在服务器移除之后，该日志将被删除。如果产生的日志保存在HBlock的数据目录内，并且移除服务器时删除服务器HBlock数据目录中的数据，该日志也将被删除。 有服务器正在移除时，不能再移除其他服务器。如果必须移除，请使用强制移除，但有丢数据风险。 该节点的所有数据目录不属于任何存储池，允许移除该服务器。否则不能移除，如果必须移除，请使用强制移除，但有丢数据风险。 如果要移除服务器的某个数据目录属于基础存储池，且是基础存储池中仅剩的一个可用故障域中的节点，不允许移除。 如果服务器上有基础服务，不允许移除。 参数 参数 描述 n SERVERID 或 server SERVERID 要移除服务器的ID。 d 或 deldata 移除服务器时，删除服务器上HBlock数据目录中的数据。 f 或 force 强制移除服务器。 注意 强制移除服务器，可能造成数据丢失。

本页面主要介绍了MySQL只读实例和读写分离功能相关的问题。 MySQL实例同步延迟原因与处理 主库执行了大事务，需要等待大事务执行完成，主备复制延迟才能恢复,可以将大事务拆分为小事务，分批执行。 对无主键表更新，需要给无主键表增加主键，给缺少二级索引的表增加索引。 DDL操作，该场景为正常现象，等DDL执行完成后，主备复制延迟才能恢复。建议在业务低峰期执行DDL操作。 只读实例等待MDL锁，kill只读节点上阻塞DDL操作的长事务，或者在业务侧提交该长事务。 只读实例规格小于主实例，只读实例扩大规格，与主实例规格匹配。 MySQL实例支持读写分离吗 开通数据库代理服务后，如果没有订购只读实例或主实例是单实例，通过配置读写分离规则，读写请求实际路由到主实例。 开通数据库代理服务后，如果存在只读实例或主实例非单实例，通过配置读写分离规则，读写请求会按照权重请求到各个实例。 MySQL实例支持分库分表及读写分离的业务功能吗 关系数据库MySQL版支持分库分表及读写分离功能，具体如下： 分库分表功能依赖于分布式关系型数据库（Distributed Relational Database Service，简称 DRDS），解决使用上的性能扩展问题。 关系数据库MySQL版可以最多创建5个只读实例，主实例和只读实例都有独立IP的连接地址。 MySQL实例支持申请多个读写分离地址吗 目前关系数据库MySQL版暂时只支持1个读写分离连接地址。 开通数据库代理服务后，通过配置读写分离规则，读写请求会按照权重请求到各个实例。

如果您暂时不需要使用按需或包周期的关系数据库MySQL版实例，可以暂停该实例。实例暂停后计算资源将被冻结，不再产生资源费用，可以有效为您节省成本。本文为您介绍如何暂停实例、恢复实例，及按需计费实例欠费暂停的处理方法。 注意 从2024年4月14日起部分资源池下线该功能，详情请参见【下线】2024年4月14日起关系数据库MySQL版下线部分资源池暂停实例功能。目前，仅II类型资源池的西南1资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例为主实例，并且实例下面没有只读实例。如果有只读实例，请先退订只读实例，具体操作，请参考退订。 实例没有开启数据库代理。如果有数据库代理，请先关闭代理服务，具体操作，请参考关闭MySQL数据库代理服务。 实例状态为运行中 。 影响 实例暂停期间所有功能均会失效，包括：连接实例、备份、恢复、变更配置等。 实例暂停时，会进行一次全量备份，暂停期间所有备份数据超过保留天数后仍会过期。 实例暂停后，原有内外网连接地址将会保留，当再次启动实例时，仍可使用。 已暂停实例的有效全备可用于恢复到新实例。 已暂停的实例（不论是否到期）如果超过7天仍未重启，将会自动进入回收站，在回收站如果超过7天未处理，将会被注销。

本章节为您介绍如何快速使用数据脱敏能力。 第一步：新增数据源 1.使用系统管理员账号登录数据脱敏实例。 2.在左侧目标栏选择“数据资产管理 > 数据源/目标”，进入“数据源/目标”管理页面。 3.单击页面左上角的“新增”按钮，在右侧的窗口中数据需要新增数据源的相关信息。 注意 不同的数据源类型会存在不同的参数填写情况。 若您选择的数据源类型为StructFile下的LOCAL/FTP/SFTP，且文件类型为csv/txt/del，则可以在高级属性中填写表头行数：若表头行数为0，将自动填充表头；若行数大于1，则仅保留最后一行作为新表头，此配置可以使数据扫描更加准确。 4.填写完成后，单击窗口左下角的“测试连接”按钮，测试数据源的连通性。 5.连接成功后，若需要再新增目标请单击“保存并新增数据目标”重复上述操作，否则请单击“保存”按钮。 第二步：配置脱敏任务 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“脱敏/水印任务 > 结构化任务 ”，进入“结构化任务”页面。 3.单击页面左上角的“新增”按钮，进入“任务新增”界面。 4.填写完成后，单击“下一步”即可完成脱敏规则的基础配置。 第三步：配置脱敏规则 在完成基础配置后，会开始脱敏规则的创建。 配置数据脱敏任务时，您可以选择手动配置所需字段对应的脱敏规则，或者一键选择数据安全专区提供的脱敏模板。 若您希望创建自己的脱敏模板，可单击“管理”按钮，进入对应配置页面配置自定义脱敏模板，单击“保存”后单击“刷新” ，即可在下拉框中选择新创建的自定义模板。如下图所示。

查看Agent信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择查看的Agent所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，如下所示，相关参数如下。 Agent参数说明 参数名称 说明 Agent ID Agent的ID，由系统自动生成。 安装节点类型 安装节点的类型，包括“数据库端”或“应用端”。 安装节点IP 安装Agent的节点的IP地址。 操作系统 安装Agent运行的操作系统。 审计网卡名称 安装节点的网卡名称。 CPU阈值(%) 安装节点的CPU阈值，缺省值为“80”。 说明 当安装节点的CPU超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的CPU。 内存阈值(%) 安装节点的内存阈值，缺省值为“80”。 说明 当安装节点的内存超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的内存。 通用 Agent是否为通用Agent。 运行状态 安装节点的运行状态。 您可以根据使用需求，对添加的Agent执行以下操作： 关闭 在需要关闭的Agent所在行的“操作”列，单击“关闭”后，在弹出的提示框中，单击“确定”，Agent状态为“关闭”。 关闭Agent后，数据库安全审计将停止对连接该Agent的数据库进行安全审计。 删除 在需要删除的Agent所在行的“操作”列，单击“删除”后，在弹出的提示框中，单击“确定”，删除该Agent。 删除Agent后，如果需要对连接该Agent的数据库进行安全审计，请重新添加Agent。

本节介绍了表空间管理的操作场景等相关内容。 操作场景 关系型数据库提供基于root用户的PostgreSQL表空间管理方案。 创建表空间 步骤 1 以root用户连接数据库，并创建表空间。 psql host port dbname usernameroot c "select controltablespace ('create', ' ');" 表 参数说明 参数 说明 RDSADDRESS RDS实例的IP地址。 DBPORT RDS数据库实例的端口。 DBNAME 数据库名称。 TABLESPACENAME 表空间名称。 步骤 2 根据提示输入root用户密码。 登录至数据库“mydb”中并创建表空间“tbspc1”示例如下： psql host192.168.6.141 port5432 dbnamemydb usernameroot c "select controltablespace('create', 'tbspc1');" plaintext Password for user root: controltablespace create tablespace tbspc1 successfully. (1 row) 如创建不成功，详细信息请查看该实例错误日志。 说明 为考虑性能，用户最多可创建20个表空间。 结束 授权表空间使用权限 步骤 1 以root用户连接数据库，并授权表空间使用权限给指定用户。 psql host port dbname usernameroot c "select controltablespace ('alter', ' ', ' ');" 表 参数说明 参数 说明 RDSADDRESS RDS实例的IP地址。 DBPORT RDS数据库实例的端口。 DBNAME 数据库名称。 TABLESPACENAME 表空间名称。 USERNAME 表空间的用户名。 步骤 2 根据提示输入root用户密码。 登录至数据库“mydb”中并授权表空间“tbspc1”使用权限示例如下：

本节介绍了什么是默认配额、什么是资源中心、区域和可用区等基本概念。 什么是默认配额 默认配额是指每个用户在每个区域节点资源的数量，如果默认配额无法满足用户需求，可通过控制台申请调整配额。 什么是资源中心 资源中心指的是云硬盘所在的物理位置。您可以根据您的客户群体分布的不同选择不同地域的云硬盘服务。 针对国内，目前可供选择的地域有贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨/沈阳 3/内蒙 3/华北节点 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 ● 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 ● 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域和可用区

本文主要介绍消息队列 Kafka 通过SSL接入的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 背景 云消息队列 Kafka 版实例如果选择SASLSSL接入时，可能会出现性能较差的情况。可以通过在客户端指定密码套件的方式，手动选择性能和安全性都较高的套件进行TLS通讯。 SSL握手时客户端发送Hello Client 并带上客户端支持的密码套件，服务端收到握手请求后，获取客户端带来的密码套件和服务端支持的密码套件取交集。密码套件加载顺序受客户端jdk版本影响，不同jdk版本，密码套件顺序不一样，可能会导致性能和安全性等无法保证。因此为了保证性能，SSL连接时客户端可以指定密码套件。 推荐的性能和安全性较高的密码套件 TLSECDHERSAWITHAES256GCMSHA384 TLSECDHERSAWITHAES128GCMSHA256 步骤 1.先按照SASLSSL协议接入Kafka，SASLSSL接入可参考文档 SASLSSL接入点接入 2.在此基础上增加 ssl.cipher.suites 配置 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"f6eca4dbc78df78d63fba980e448185f";");//注：上面的密码f6eca4dbc78df78d63fba980e448185f，为用户管理里面创建用户时填入的密码进行md5的结果，md5取32位小写 props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm",""); props.put("ssl.cipher.suites","TLSECDHERSAWITHAES256GCMSHA384,TLSECDHERSAWITHAES128GCMSHA256");//密码套件支持多个，用半角逗号分开

高安全性 利用SASL机制对用户身份进行认证，并利用SSL对通道进行加密传输，确保数据在传输过程中不被窃取或篡改，保证您的数据安全。还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 Kafka是一个分布式流处理平台，为了保证数据的高安全性，它提供了以下几个方面的功能和特性： 认证与授权：Kafka支持基于SSL认证，可以验证客户端和服务器之间的身份。同时也支持基于ACL（访问控制列表）的细粒度授权，可以控制哪些用户可以读写指定的topic。 SSL加密传输：Kafka可以通过SSL对消息进行加密传输，确保数据在网络传输过程中的机密性和完整性。 完全控制数据的访问：对于每个topic，可以定义不同的ACL，限制不同用户或者用户组的读写权限。这样可以确保只有授权的用户能够访问指定的数据。 可靠性 Kafka通过持久化存储、复制机制、可配置的数据保留策略、故障检测和自动恢复、缓存机制以及节点间数据同步等功能，提供了高度可靠的消息传递和存储机制。 持久化存储：Kafka使用日志数据结构来存储消息，并将消息写入磁盘上的文件中。这种持久化存储方式确保了消息在发生故障或崩溃时不会丢失。一份消息多份落盘存储，允许海量消息堆积。 复制机制：Kafka通过复制机制提供高可用性和容错能力。它使用主题分区的副本来在多个服务器上复制消息。当其中一个服务器出现故障时，副本可以继续为消费者提供服务。 可配置的数据保留策略：Kafka允许根据特定的需求配置数据保留策略。您可以设置消息在特定时间段或特定大小后删除，或者保留所有消息。这使得您可以根据存储资源和业务需求来管理数据。 故障检测和自动恢复：Kafka具有内置的故障检测和自动恢复机制。当发生故障时，Kafka可以自动检测到并尝试重新连接断开的节点，确保整个集群的正常运行。 缓存机制：Kafka使用缓存来提高读写性能。消息首先被写入内存中的缓存，然后批量写入磁盘。这种缓存机制可以提高吞吐量，并减少对磁盘的频繁访问。 节点间数据同步：Kafka使用分布式的数据同步协议来保证消息在副本之间的一致性。这确保了在故障和服务恢复期间的数据完整性。

全量更新主Master节点的原始客户端 场景描述 用户创建集群时，默认在集群所有节点的“/opt/client”目录安装保存了原始客户端。以下操作以“/opt/Bigdata/client”为例进行说明。 MRS普通集群，在console页面提交作业时，会使用master节点上预置安装的客户端进行作业提交。 用户也可使用master节点上预置安装的客户端来连接服务端、查看任务结果或管理数据等。 对集群安装补丁后，用户需要重新更新master节点上的客户端，才能保证继续使用内置客户端功能。 操作步骤 1.登录MRS Manager页面，具体请参见访问MRSManager（MRS2.x及之前版本），然后选择“服务管理”。 2.单击“下载客户端”。 “客户端类型”选择“完整客户端”，“下载路径”选择“服务器端”，单击“确定”开始生成客户端配置文件，文件生成后默认保存在主管理节点“/tmp/MRSclient”。文件保存路径支持自定义。 3.查询并登录主Master节点。 4.在弹性云服务器，切换到root用户，并将安装包复制到目录“/opt”。 sudo su root cp /tmp/MRSclient/MRSServicesClient.tar /opt 5.在“/opt”目录执行以下命令，解压压缩包获取校验文件与客户端配置包。 tar xvf MRSServicesClient.tar 6.执行以下命令，校验文件包。 sha256sum c MRSServicesClientConfig.tar.sha256 界面显示如下： MRSServicesClientConfig.tar: OK 7.执行以下命令，解压“MRSServicesClientConfig.tar”。 tar xvf MRSServicesClientConfig.tar 8.执行以下命令，移走原来老的客户端到/opt/Bigdata/clientbak目录下 mv /opt/Bigdata/client /opt/Bigdata/clientbak 9.执行以下命令，安装客户端到新的目录，客户端路径必须为“/opt/Bigdata/client”。 sh /opt/MRSServicesClientConfig/install.sh /opt/Bigdata/client 查看安装输出信息，如有以下结果表示客户端安装成功： Compon ents client installation is complete. 10.执行以下命令，修改/opt/Bigdata/client目录的所属用户和用户组。 chown omm:wheel /opt/Bigdata/client R 11.执行以下命令配置环境变量： source /opt/Bigdata/client/bigdataenv 12.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS 集群用户 例如, kinit admin 13.执行组件的客户端命令。 例如，执行以下命令查看HDFS目录： hdfs dfs ls /

项目 告警项 阈值告警（指标告警） 实例CPU使用率 实例内存使用率 实例磁盘使用率 实例TPS 实例QPS 实例连接使用率 实例复制延迟时间 实例连接数 实例活动线程数 MySQL执行语句时在硬盘上自动创建的临时表的数量 打开表数 InnoDB Buffer Pool读缓存命中率 mdl锁阻塞的连接数 当前全部会话 当前活跃会话 MySQL服务进程CPU使用率 备份空间使用量 MySQL读写吞吐量 慢查询次数 InnoDB表平均等待行锁时间 InnoDB表等待行锁次数 备份空间使用率（如果是对象存储实例，则按照免费额度的百分比进行告警） 等待表锁次数dml级 长事务个数 状态告警 实例状态（异常告警） 事件告警 主备切换 密码过期提醒 备份失败 恢复失败 SSL证书到期 磁盘空间即将耗尽 数据库代理异常 数据库代理关联节点剔除 数据库代理关联节点加入 说明 可通过参数设置修改defaultpasswordlifetime参数，此变量用于定义全局自动密码过期策略，单位为天，为0时表示永不过期。 如果将其设置为n天，则从账户密码创建起，在到期前3天（第n3天）会收到密码到期提醒，请及时更换密码。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

本节包含了通用计算增强型C6s弹性云主机的概述、规格、适用场景。 概述 C6s型云主机搭载第二代英特尔® 至强® 可扩展处理器，兼具高性能、高稳定性、低时延、高性价比的特点，适用于互联网、游戏、渲染等场景，特别是对计算及网络稳定性有较高要求的场景。 类型 CPU基频/睿频 CPU型号 ::: C6s 2.6GHz/3.5GHz Intel 6278C 适用场景 适用于互联网、游戏、渲染等场景，特别是对计算及网络稳定性有较高要求的场景。 游戏业务场景：满足游戏行业高性能、高稳定性要求。 渲染场景：优质渲染效果下提供极致性价比。 其他场景：游戏加速器、视频弹幕、建站、APP开发等。 规格 表 C6s型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6s.large.2 2 4 1/1 30 50 2 2 KVM c6s.xlarge.2 4 8 2/2 60 50 2 3 KVM c6s.2xlarge.2 8 16 4/4 120 100 4 4 KVM c6s.3xlarge.2 12 24 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.2 16 32 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.2 24 48 11/11 350 200 8 8 KVM c6s.8xlarge.2 32 64 15/15 450 300 16 8 KVM c6s.12xlarge.2 48 96 22/22 650 400 16 8 KVM c6s.16xlarge.2 64 128 30/30 850 500 32 8 KVM c6s.large.4 2 8 1/1 30 50 2 2 KVM c6s.xlarge.4 4 16 2/2 60 50 2 3 KVM c6s.2xlarge.4 8 32 4/4 120 100 4 4 KVM c6s.3xlarge.4 12 48 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.4 16 64 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.4 24 96 11/11 350 200 8 8 KVM c6s.8xlarge.4 32 128 15/15 450 300 16 8 KVM c6s.12xlarge.4 48 192 22/22 650 400 16 8 KVM c6s.16xlarge.4 64 256 30/30 850 500 32 8 KVM

本文介绍如何设置MTU以确保数据包的正常传输。 VPN网关只支持传输已经分片的数据包，不支持对数据包分片及数据包分片重组。在您使用IPsec VPN时，IPsec协议会对数据包进行加密，加密过程会扩大数据包长度，扩大后的数据包长度可能会超过网络中设置的最大数据传输单元MTU，影响数据包的正常传输。 MTU配置原则 本文以图中场景为例说明MTU配置原则。本地数据中心已与天翼云VPC建立了IPsec VPN连接。在客户端访问VPC资源时，数据包将被本地网关设备加密并被传输至互联网，经过互联网中的网络设备（如图中路由器2和路由器3）传输至天翼云VPN网关。 数据包从客户端传输至VPN网关的过程中，数据包的大小将会受到以下三种MTU的限制： 用户MTU 用户MTU即客户端和本地网关设备之间所有网络设备接口MTU的最小值。该MTU会限制客户端发送的数据包的大小。 如图中用户MTU取标记为1的接口中MTU的最小值。 公网接口MTU 公网接口MTU即本地网关设备连接VPN网关的公网接口上的MTU。该MTU会限制被加密后的数据包的大小。 如图中公网接口MTU取标记为2的接口的MTU。 路径MTU 路径MTU即互联网中所有网络设备接口MTU的最小值。该MTU会限制被加密后的数据包的大小。 您可以向互联网厂商咨询路径MTU。通常以太网的路径MTU默认为1500字节。 如图中路径MTU取标记为3的接口中MTU的最小值。 为确保数据包被正常传输，您需要在本地数据中心配置用户MTU和公网接口MTU，使上述三种MTU满足以下关系： 用户MTU的最大值min{公网接口MTU,路径MTU}101

参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

本文主要介绍如何在数据管理服务DMS实例列表中编辑实例绑定的管控规则。 前提条件 组织版本为企业版。 登录用户的角色为超级管理员、系统管理员、运维管理员或者实例Owner。 操作步骤 1. 用户以超级管理员身份登录DMS系统。 2. 在左侧菜单栏依次点击 数据资产 > 实例管理。 3. 在实例列表界面点击更多 ，点击管控规则，在弹窗中下拉选择要与当前实例绑定的规则集，然后输入托管的数据库账号和密码。 4. 点击测试连接 ，测试通过后，点击确定按钮。

请求示例 请求url /v4/monitor/querycustomeventdata 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "startTime": 1688119721, "endTime": 1688119736, "pageNo": 1, "pageSize": 10 } 响应示例 json { "statusCode":800, "returnObj":{ "customEventMonitorList": [ { "regionID": "81f7728662dd11ec810800155d307d5b", "customEventID": "EVENTacd8b6b4610b97d202306301808", "name": "主机异常事件", "info": "主机A断电异常关闭", "clock": 1688119722000 }, { "regionID": "81f7728662dd11ec810800155d307d5b", "customEventID": "EVENT789012345678901234567890123", "name": "网络异常事件", "info": "网络节点B连接中断", "clock": 1688119735000 } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 }, "errorCode":"", "message":"Success", "msgDesc":"成功" } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 其他 参见公共错误码说明

常见报错 场景一 plaintext ERROR: permission denied for function controlextension 解决方法：未使用root用户执行controlextension函数，需更改连接用户为root。 场景二 plaintext ERROR: function controlextension(unknown, unknown) is not unique 解决方法：在不指定schema时，可能存在同名函数，导致函数不唯一无法运行，可选择添加schema参数重试。 场景三 plaintext ERROR: function controlextension(unknown, unknown) does not exist 解决方法：controlextension函数在postgres库不存在，postgres库作为RDS运维库，禁止创建插件。

本节主要介绍移除服务器。 在“服务器管理”页面，选择要移除的服务，点击“操作”>“移除”，移除服务器。 注意 如果移除已损毁或者宕机的服务器，需要使用强制移除。强制移除服务器，会产生数据丢失风险，请谨慎操作。 如果移除服务器上有iSCSI目标，该iSCSI目标对应卷的高可用类型是ActiveStandby，移除服务器时，业务不会中断，此卷对应的iSCSI目标会切换到其他服务器上，客户端需要重新连接Target对应的新服务器IP。 如果移除服务器上有iSCSI目标，该iSCSI目标对应卷的高可用类型是Disabled，移除服务器时，业务会中断，此卷对应的iSCSI目标会切换到其他服务器上，客户端需要重新连接Target对应的新服务器IP。但服务器移除时，会有数据丢失风险。 如果执行日志采集后，产生的日志保存在服务器安装目录下，在服务器移除之后，该日志将被删除。如果产生的日志保存在HBlock的数据目录内，并且移除服务器时删除服务器HBlock数据目录中的数据，该日志也将被删除。 有服务器正在移除时，不能再移除其他服务器。如果必须移除，请使用强制移除，但有丢数据风险。 该节点的所有数据目录不属于任何存储池，允许移除该服务器。否则不能移除，如果必须移除，请使用强制移除，但有丢数据风险。 如果要移除服务器的某个数据目录属于基础存储池，且是基础存储池中仅剩的一个可用故障域中的节点，不允许移除。 如果服务器上有基础服务，不允许移除。 图1 移除服务器

本页介绍了文档数据库服务权限相关常见问题。 开通实例时的root账号拥有什么权限 当您在订购实例时，会创建root账号，该账号拥有文档数据库服务内置的root权限，您可以执行show roles命令可以查询root账号的权限。 文档数据库服务默认的权限机制 实例创建时会创建默认的root账号，用户密码可在订购时指定。该账号拥有文档数据库服务内置的root权限。与社区版MongoDB相比，文档数据库服务进行了系列安全加固，社区版MongoDB用户可以不使用鉴权方式直接连接MongoDB数据库，但是文档数据库服务则需要用户使用用户名密码认证方式进行数据库服务的连接，此外对于密码的强度也进行了校验，用户密码需要满足密码复杂度要求才可以。 文档数据库服务的角色管理 角色管理是一种用于控制用户访问权限的重要机制。通过角色管理，可以定义不同用户对数据库的操作权限。实例创建时会创建默认的root账号，此外您还可以针对实例进行自定义角色管理，通过实例的账号管理页，按需配置角色。 文档数据库服务的用户管理 在文档数据库服务中，用户管理是通过创建用户并分配角色来控制用户对数据库的访问权限文档数据库服务支持对不同数据库中的用户进行独立的管理，并可以为用户分配不同的角色以控制其权限范围。为了提供更细致更友好的数据库服务，文档数据库服务会创建默认的root账号，支持root账号的密码修改。此外文档数据库服务还提供针对实例进行自定义的账户管理，进入实例的账户管理页，可以新增账号以及配置相应的权限。

2、创建PING/TCP/UDP类型拨测任务参数配置 “任务类型”模块参数配置如下： 参数 模块 参数说明 是否必填 取值样例 任务名称 该站点监控的自定义名称 是 类型 公网拨测 是 场景 选择站点监控任务使用场景，支持端口性能、页面性能 是 端口性能 协议信息 选择拨测任务协议 是 PING 监控频率 执行一次站点监控探测任务的时间间隔。 是 1分钟 站点地址 请输入待探测的目标公网地址。注意：选择类型为“http”时，请填写协议头 是 拨测点选择 选择公网拨测源，支持多选 是 北京、成都 “拨测参数定义”模块参数配置如下(可选)： 参数 模块 参数说明 是否必填 取值样例 高级配置 1、拨测周期 站点拨测任务执行的每日时段 2、拨测时段 站点拨测任务执行的每日时段 是 1、星期天、星期一、星期二、星期三、星期四、星期五 星期六 2、00:00:0023:59:59 说明 1、PING类型拨测任务主要用于测试网络连通性和延迟。通过发送ICMP回显请求，可以获取数据包从拨测源到目标地址再返回的往返时间，以及数据包的丢失率，适用于检测网络的稳定性和响应速度。 2、TCP 类型拨测任务可以模拟建立和维护一个稳定的数据传输连接的过程，用于监控和分析数据传输性能，获取包括可用性、响应时间等指标数据。 3、UDP类型拨测 任务可以模拟在不需要建立连接的情况下的数据传输，同样可用于监控和分析数据传输性能，获取包括可用性、响应时间等指标数据。

检查其他设置 服务器开启了系统自动更新补丁功能。在确认服务器已更新该漏洞后，建议您在漏洞管理界面中忽略该漏洞。 服务器安装了更新的补丁将旧补丁覆盖（如，2016及以上系统，最新的月度补丁会覆盖以前的所有补丁）。在确认无误后，建议您在漏洞管理界面中忽略该漏洞。 其他安全软件对补丁安装进行了拦截（如“360安全卫士服务器版”），您可以先暂停使用安全软件，待漏洞修复后，在开启安全软件。 说明 微软已于2020年1月14日停止对Windows Server 2008 R2系统的更新和维护，如果需要继续使用该系统，则需要购买相应的ESU （扩展安全更新） 密钥并进行激活或更换Windows操作系统版本。 Linux系统服务器操作 无yum源配置 您的服务器可能未配置yum源，请根据您的Linux系统选择yum源进行配置。配置完成后，重新执行漏洞修复操作。 yum源没有相应软件的最新升级包 切换到有相应软件包的yum源，配置完成后，重新执行漏洞修复操作。 内网环境连接不上公网 在线修复漏洞时，需要连接Internet，通过外部yum源提供漏洞修复服务。 内核老版本存留 由于内核升级比较特殊，一般都会有老版本存留的问题。您可通过执行验证修复命令查看当前使用的内核版本是否已符合漏洞要求的版本。确认无误后，对于该漏洞告警，您可以在企业主机安全管理控制台的“漏洞管理 > Linux软件漏洞管理”页面进行忽略 。同时，不建议您删除老版本内核。 验证修复命令： 操作系统 修复命令 :: CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 SUSE zypper search dC matchwords软件名称

通过添加审计范围，设置需要审计的数据库范围 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围，设置需要审计的数据库范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。 6. 在审计范围列表框左上方，单击“添加审计范围”。 说明 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 7. 在弹出的对话框中，设置审计范围，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 名称 您可以自定义审计范围的名称。 audit00 数据库名称 选择待添加审计范围的数据库。 dbss 数据库账户 可选参数。输入数据库的用户名。 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 源端口 可选参数。输入访问待审计数据库的端口。 8. 单击“确定”。 添加成功，审计范围列表新增一条状态为“已启用”的审计范围。

本文向您介绍如何上传企业版VPN对端网关证书。 场景描述 国密型对端网关，需要上传对端网关的CA证书，用于和VPN网关建立VPN连接。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，单击目标对端网关名称进入详情页面。 4. 在“CA证书”区域，单击“添加”。 5. 根据界面提示填写相关信息，单击“确定”。 表对端网关CA证书参数说明 参数 说明 取值样例 上传证书 对端网关的CA证书。 BEGIN CERTIFICATE CA证书 END CERTIFICATE 使用已上传证书 查看并勾选已上传证书，请注意证书到期时间。

您可以使用HPFSNFS客户端进行挂载，本文帮助您快速上手文件系统挂载。 操作场景 当创建文件系统后，如您需要使用云主机或CPU物理机来挂载该文件系统，实现多个客户端共享访问的场景。 前提条件 在需要操作的地域已创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Linux，具体操作步骤参见创建弹性云主机。 已创建并行文件的文件系统，具体操作步骤参见创建文件系统。 文件系统配置了协议服务功能，具体操作步骤参见创建协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算”>“弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/hpfs”。 plaintext mkdir /mnt/hpfs 7. 执行如下命令挂载文件系统。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 注意 文件系统详情页>协议服务列表：查看VPC挂载地址或VPCE挂载地址，可根据您客户端组网方式选择，具体操作步骤参见：查询协议服务。 挂载命令参数说明： 参数 说明 vers 文件系统版本，可选3或4。建议取值：3。 proto 客户端向服务器发起传输请求使用的协议，可以为udp或者tcp，建议取值：tcp。 async sync为同步写入，表示将写入文件的数据立即写入服务端；async为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求NFS服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议取值：async。 nolock 选择是否使用NLM协议在服务端锁文件。当选择nolock选项时，不使用NLM锁，锁请求仅在本机进行，仅对本机有效，其他客户端不受锁的影响。如果不存在多客户端同时修改同一文件的场景，建议取值nolock以获取更好的性能。如不加此参数，则默认为lock。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 noresvport 网络故障时自动切换端口，保障网络连接。手动挂载和自动挂载时均建议加入此参数。 wsize 每次向服务器写入文件的最大字节数，实际数据小于或等于此值。wsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时服务器和客户端进行协商后设置。建议取值：最大值1048576。 rsize 每次向服务器读取文件的最大字节数，实际数据小于或等于此值。rsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时服务器和客户端进行协商后设置。建议取值：最大值1048576。 timeo NFS客户端重传请求前的等待时间(单位为0.1秒)。建议取值：600。 挂载地址 挂载地址在文件系统详情页获取，在文件系统详情页>协议服务列表，选择VPC挂载地址或VPCE挂载地址，点击复制即可。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，例如上一步创建的“/mnt/hpfs”。 8. 建议使用NFSv3协议挂载，如需使用NFSv4协议挂载，请在每个NFS客户端按以下步骤配置nfs4uniqueid。 plaintext

205 [DBProxy]优化在控制台执行DDL语句审计不通过的处理逻辑，展示DDL审计规则不通过的具体信息。 158 [DBProxy]优化DDL HINT处理逻辑，增强HINT处理能力。 363 [DBProxy]优化通过DDL语句下发执行顺序，确保与物理分片顺序一致。 378 [前端]优化控制台创建表时设置分片规则相关配置，提升交互体验。 402 [管理平台]调整退订策略，使退订DRDS实例时自动解除所有关联MySQL实例的绑定状态，确保MySQL实例可以正常退订。 389 [前端]优化重启节点页面提示，提升交互体验。 373 [DBProxy]优化关联MySQL实例策略，使DRDS实例关联主备版MySQL实例时直接关联该MySQL实例主节点，提升操作效率。 374 [DBProxy]优化实例创建后的默认参数，减少故障发生率。 399 [DBProxy]优化ZooKeeper连接申请策略，消除异常场景可能出现的ZooKeeper连接数泄露问题。 425 优化检测分片库时MySQL连接数配置策略，提高实例安全性，该功能对公有云租户端不可见。 436 优化DRDS实例新增节点的防火墙策略，提高实例安全性，该功能对公有云租户端不可见。 427、428 [前端]优化DRDS实例关联MySQL相关的页面提示和操作引导，提升交互体验。 429 [前端]优化DRDS实例表回收站的相关页面提示，提升交互体验。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

介绍分布式消息服务RabbitMQ的功能使用限制。 限制项 约束和限制 描述 版本 当前服务端版本有3.8.9和3.8.35 兼容AMQP 091协议的客户端版本。 连接数 RabbitMQ单机和集群实例，不同实例规格的连接数上限不一致，具体限制，请参考产品规格。 。 通道数 2GB 磁盘剩余空间低于2GB会触发磁盘高水位，生产者流程被阻塞。 clusterpartitionhandling pauseminority 当集群发生网络分区时，代理会检查自己是否处于“少数派”（存储分区的代理数小于等于总代理数的一半称为少数派）。少数派中的代理将会自动关闭服务并定期检测网络状态，待分区恢复之后重新启动服务。如果未开启镜像队列，发生分区时少数派上的队列将无法生产消费。此策略相当于放弃了可用性而选择了数据一致性。 rabbitmqdelayedmessageexchange 插件延迟时间存在1%左右的误差，可能提前或者推迟发送消息给消费者。 实例是否开启消息延迟功能。 延时消息最大延时时间 7天 延时消息的最大延时时间。

本页介绍如何下载关系数据库MySQL版实例的SSL CA证书。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 数据库版本： 5.7，8.0 实例类型为：单机版，一主一备、一主两备、数据库代理实例。 实例的SSL状态需要为开启状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据安全 ，并选择SSL加密 页签，查看SSL开关状态。 单击SSL设置 ，进入SSL设置 对话框。然后单击SSL链路加密 右侧的图标，单击确定，开启SSL加密。 注意 如果是数据库代理实例，请于代理实例页面的连接地址区域查看。 5. 单击服务器证书 右侧下载证书。