本文简述websocket协议特点和应用场景。 背景介绍 HTTP 协议有一个缺陷：通信只能由客户端发起。这种单向请求的特点，注定了如果服务器有连续的状态变化，客户端要获知就只能使用"轮询"的方案。 轮询是在特定的时间间隔（如每1秒），由浏览器对服务器发出HTTP请求，然后由服务器返回最新的数据给客户端的浏览器。这种传统的模式带来很明显的缺点，即浏览器需要不断的向服务器发出请求，显而易见，轮询不仅效率特别低，且特别浪费带宽资源，因为HTTP请求可能包含较长的头部，其中真正有效的数据可能只是很小的一部分，显然这样会浪费很多带宽资源。 因此，工程师们一直在思考，有没有更好的方法。websocket 就是这样发明的。websocket 协议诞生于2008年，2011年成为国际标准，目前所有浏览器均已支持。它最大的特点全双工通信，浏览器和服务器只需要做一个握手的动作，然后浏览器和服务器之间就形成了一条快速通道，两者之间就可以直接互相传送数据了，如下右图所示。可见，websocket 协议，能更好的节省服务器资源和带宽，并且能够更实时地进行通讯。 websocket的优势： 较少的控制开销：在连接创建后，服务器和客户端之间交换数据时，用于协议控制的数据包头部相对较小。 更强的实时性：由于协议是全双工的，所以服务器可以随时主动给客户端下发数据。相对于HTTP请求需要等待客户端发起请求服务端才能响应，延迟明显更少；即使是和Comet等类似的长轮询比较，其也能在短时间内更多次地传递数据。 保持连接状态：与HTTP不同的是，Websocket需要先创建连接，这就使得其成为一种有状态的协议，之后通信时可以省略部分状态信息。而HTTP请求可能需要在每个请求都携带状态信息（如身份认证等）。 更好的二进制支持：Websocket定义了二进制帧，相对HTTP，可以更轻松地处理二进制内容。 可以支持扩展：Websocket定义了扩展，用户可以扩展协议、实现部分自定义的子协议。 更好的压缩效果：相对于HTTP压缩，Websocket在适当的扩展支持下，可以沿用之前内容的上下文，在传递类似的数据时，可以显著地提高压缩率。 与 HTTP 协议有着良好的兼容性：默认端口也是80和443，并且握手阶段采用 HTTP 协议，因此握手时不容易屏蔽，能通过各种 HTTP 代理服务器。 没有同源限制：客户端可以与任意服务器通信。

介绍Linux主机挂载块存储的最佳实践。 实践背景 块空间使用的是iSCSI协议，因此在新建块空间后需要使用iSCSI客户端来连接块空间。 本实践是在centos 7上，具有免密sudo权限的普通用户使用iSCSI客户端连接天翼云媒体存储块空间，并且对其进行格式化的过程。 操作步骤 1.执行以下命令，安装iSCSI客户端。 sudo yum install y iscsiinitiatorutils sudo yum install y devicemappermultipath 当系统出现如下所示的更新完毕作为依赖被升级完毕的提示时，说明软件安装完成。 若已安装过所需软件，系统会提示对应的软件包已安装并且是最新版本无须任何处理。 2.配置iSCSI多路径，具体步骤如下： （1） 执行以下命令，生成配置文件/etc/multipath.conf。 mpathconf enable withmultipathd y （2）执行以下命令，修改多路径配置。 sudo vi /etc/multipath.conf （3）添加如下内容。 defaults { userfriendlynames yes pathgroupingpolicy failover failback immediate nopathretry fail } devices { device { vendor "LIOORG" hardwarehandler "1 alua" pathgroupingpolicy "failover" pathselector "queuelength 0" failback 60 pathchecker tur prio alua prioargs exclusiveprefbit fastiofailtmo 25 nopathretry queue } device { vendor "CTyun" pathgroupingpolicy "failover" pathselector "queuelength 0" failback 60 pathchecker tur prioargs exclusiveprefbit fastiofailtmo 25 nopathretry queue } } （4）执行以下命令，进行服务重启。 sudo systemctl restart multipathd 3.修改iSCSI Client的InitiatorName，具体步骤如下： （1）运行以下命令。 sudo vi /etc/iscsi/initiatorname.iscsi （2）将InitiatorName（下图红框内内容）修改为创建块空间时填写的CHAP iqn；具体可参考操作步骤【块空间管理】查看所需挂载块空间的CHAP iqn信息（图中的例子为iqn.209901.com.client.cicdtestcy:230323）。 4.修改CHAP权限，具体步骤如下： （1）运行以下命令。 sudo vi /etc/iscsi/iscsid.conf （2）找到以下内容： 修改为下图中内容，其中红框内的username的等号后面填写创建块空间时设定的CHAP用户（图中的例子为testblockzd），password的等号后面填写创建块空间时设定的CHAP密钥（图中的例子为111111111111）。 5.连接块空间，具体步骤如下： （1）为确保连接顺利，先执行 setenforce 0 命令临时禁用防火墙。 （2）执行以下命令，重启相关组件。 sudo systemctl restart iscsid （3）执行以下命令增加iSCSI连接target，具体的targetname参数与portal参见块空间信息中的targetIqn、网关地址与数据端口，具体查看步骤可见操作步骤【块空间管理】。 sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:13260 opnew sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:23260 opnew （4）执行以下命令，进行登入操作。 sudo iscsiadm m node T iqn.201810.com.redhat.iscsigw:iscsiigw l 说明 对于步骤5(3)、5(4)，可直接通过块空间详情复制对应的操作命令，具体界面如图所示： 更多块空间管理操作可参考： （5）若系统出现以下提示表示登录成功。 （6）可通过以下命令查看新增磁盘。 sudo lsscsi sudo fdisk l sudo lsblk sudo multipath l 注意： 执行后会发现除了机器的原有磁盘外，还挂载了三个新的磁盘，一个是以/dev/mapper/开头的磁盘，另外两个是以/dev/sd开头的磁盘，我们挂载的是前者，即是以/dev/mapper/的磁盘。 每次挂载，该磁盘后面的名字都可能不一样。 如果你有多个块空间使用了同一个iqn，每个块在查看磁盘时均会看到一个以/dev/mapper/开头的磁盘以及两个以/dev/sd开头的磁盘，请总是使用以/dev/mapper/开头的磁盘来进行挂载。 （7）根据系统协议执行以下命令，进行磁盘格式化： xfs文件系统： sudo mkfs.xfs /dev/mapper/mpatha ext4文件系统： sudo mkfs.ext4 /dev/mapper/mpatha 注意 ：可以根据实际需求选择命令，将命令中“/dev/mapper/mpatha”部分改为步骤（6）中查找到的新增磁盘地址。 （8）执行以下命令，挂载到本地目录。 sudo mount /dev/mapper/mpatha /mnt/iscsiMnt 注意： mount后第一部分为新增磁盘的实际地址。 mount后第二部分为进行挂载的本地目录地址。 可以通过mount l命令查看是否挂载成功，若显示信息中包含挂载信息则挂载成功，以上样例对应的挂载信息如下，该样例已成功挂载。 （9）执行以下命令，查看已连接的目标。 sudo iscsiadm m session 6.如需断开连接，则执行以下命令。 sudo iscsiadm m node T iqn.201810.com.redhat.iscsigw:iscsiigw u 7.执行以下命令，删除所有记录。 sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:13260 opdelete sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:23260 opdelete 说明 对于步骤6、7，可直接通过块空间详情复制对应的操作命令，具体界面如图所示： 更多块空间管理操作可参考：

本节介绍漏洞扫描服务的扫描IP有哪些。 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109 说明 VSS会模拟客户端使用随机端口连接被测试设备，建议放通来自vss这些ip的全量端口。

DRDS支持直接连接DBProxy执行DDL语句，其中，OPTIMIZE TABLE用于优化表性能和空间利用，提升查询性能、更新统计信息等，本文为您介绍OPTIMIZE TABLE语句。 注意 仅V5.1.20.0.13及以后版本的实例，支持使用本文介绍的DDL语句。 OPTIMIZE TABLE语句会根据分片规则的设置在标准库和对应的分片库上执行。 支持的语法如下： plaintext OPTIMIZE TABLE mytable; 注意 只支持单个表。

参数 配置说明 类型 脚本切换资源：高可用规则发生切换的过程中执行，从节点变为主节点时执行获取资源执行脚本，主节点变为从节点时执行释放资源执行脚本。 卷组切换：高可用规则主节点和从节点需要事先配置连接iSCSI目标且发现共享磁盘，根据高可用规则角色，当前主节点会挂载指定的共享磁盘，变为从节点时会卸载指定的共享磁盘。

本节主要介绍通过kubectl对接多个集群。 使用场景 客户想使用同一个kubectl客户端工具，通过切换当前用户的方式达到切换集群的效果。 图 kubectl对接多集群示意 配置前提 kubectl命令客户端工具所在的ECS云主机，能够curl通集群A和集群B的vip地址+5443端口。 以下配置仅供参考，为了方便，直接在A集群的一个节点作为客户端（节点绑定了EIP）。 为了方便访问，给B集群的VIP地址绑定了公网IP（假设为：1.2.3.4），理论上如果A、B在同一VPC，可以不这样操作。 客户端配置对A的访问 直接参考《CCE用户指南》中的“通过kubectl连接CCE集群”。 客户端上配置对B的访问 我们要用访问B的集群，要知道B的地址，还要带上认证去访问，那么必须要把相应的信息补齐。 步骤如下： 步骤 1 录入B集群的集群信息 kubectl config setcluster clusterk8s server insecureskiptlsverifytrue insecureskiptlsverifytrue这个参数一定要带上，这是忽略校验客户端证书 步骤 2 录入去B集群的认证信息 首先在B上操作： 方式一：将B集群的证书传入到客服端使用，在客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin clientcertificateclient.crt embedcertstrue 方式二：在集群B上获取认证token 1.创建一个sa用户 kubectl create sa mysa 2.给sa用户授权 kubectl create clusterrolebinding myrolebinding serviceaccountdefault:mysa clusterroleclusteradmin 3.获取用户的token kubectl describe secret mysatokenxxx awk '/token:/{print $2}' > token 将获取的token传入到客户端。 4.客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin token$token 步骤 3将集群B的上下文详细信息添加到配置文件中 kubectl config setcontext uiadmin@cyd clusterclusterk8s useruiadmin 此时在客户端上： Kubectl config usecontext internal 切换到集群A Kubectl config usecontext uiadmin@cyd 切换到集群B 步骤 4验证配置 其他情况： 如果配置完报X509错误，应该是忘记传入参数 insecureskiptlsverifytrue 可在使用时带上该参数即可，例如：kubectl get pod insecureskiptlsverifytrue

公网VIP 公网虚拟IP（Virtual IP Address，简称VIP）是一个可以绑定到多个虚拟机网卡的IP地址，您可以将多个主备部署的虚拟机绑定同一个公网IP，配合keepalived使用，业务从主服务器故障后切换至备服务器即可实现平滑无感知。 NAT64服务 NAT64服务可实现IPv6和IPv4的网络地址和协议转换，为部署在IPv4网络环境下的业务提供IPv6访问能力，支持通过 IPv6 网络侧用户发起连接访问 IPv4 网络侧的资源。

后续操作 开启/关闭代理：单击“操作”列的“开启/关闭代理”，可以控制代理数据库的开启和关闭状态，开启代理之后，应用即可将JDBC连接从物理数据库上切换至代理数据库上。 开启/关闭仿真模式：选择“操作”列的“仿真 > 开启/关闭”，仿真模式下，代理数据库将会把应用产生的数据SQL根据配置的规则进行解析后，存入仿真文件中，由应用判断改写后的SQL是否符合要求。

本节主要介绍如何使用API升级HBlock。 此操作用来升级HBlock。 说明 可以通过查询升级进度接口查询升级服务是否完成。 免费版仅支持2年内升级。 注意 升级期间建议仅执行查询操作，避免其他操作，以免引起服务异常。 升级过程中系统会做检查，如果不符合升级条件，可能会导致升级失败，升级失败的原因可以在执行升级操作的服务器上查看日志upgrade.log（日志路径：HBlock安装目录/logs/ops/upgrade.log）。建议升级之前对系统进行检查，确保： 所有状态正常： 所有HBlock服务器连接正常，没有处于删除状态的服务器。 HBlock处于working、upgrading状态。 如果软件许可证是订阅模式，需在有效期内；如果软件许可证是永久许可模式，需在维保期限内；如果处于试用期，需试用期未结束。 集群版：如果卷是高可用类型，至少保证卷的主备连接正常。 没有处于失败或者任务进行中状态的卷。 系统整体数据冗余度不降级，正常数据百分比为100%。并且，可用故障域数量和健康数量大于所有卷的写入需求。 升级监听服务（stor:ua）正常。 协议解析服务（stor:ps）正常。 集群版：数据服务（stor:dsx）正常。 集群版：基础服务正常：元数据管理服务（stor:mdm）、日志服务（stor:ls）、协调服务（stor:cs）。 注意 执行升级HBlock前，确保每个服务器的HBlock安装路径对应的文件系统，存在至少1 GiB的可用空间。 如果集群由不同架构服务器组成，请添加所有架构的升级文件，并保持版本一致。

本节主要介绍如何使用API清空卷。 此操作用来清空卷。 注意 如果克隆卷执行清空所有卷数据及卷对应的快照，会变成独立卷。 卷处于Wiping、WipeFailed状态时，不支持读写。 清空卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/wipe HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "scope":scope } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要清空的卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 scope String 指定清空卷的数据范围。 取值： All：清空所有卷数据及卷对应的快照。 注意 如果卷存在关联的克隆卷，不能执行清空所有卷数据及卷对应快照的操作。 NoSnapshot：清空卷数据，保留卷对应的快照。后续可以使用卷快照进行卷回滚、或者导出备份。 注意 克隆卷不能执行仅清空卷数据保留对应快照的操作。 默认值为All。 否 请求示例1 清空卷lun01，包括卷数据及对应的快照。 plaintext PUT /rest/v1/block/lun/lun01/wipe HTTP/1.1 Date: Fri, 12 Dec 2025 03:31:37 GMT ContentType: application/json; charsetutf8 ContentLength: 25 Authorization: HBlock userName:signature Host: 192.168.0.64:1443 { "scope": "All" }

约束限制 订购高版本8.0的MySQL版实例，且新实例和源实例在同一下VPC下。订购MySQL实例的具体操作，请参见步骤一：创建实例。 订购数据传输服务DTS实例，且实例网络类型选择VPC网络。订购DTS实例的具体操作，请参见订购数据迁移实例。 设置源实例binlog保留足够时长，防止增量同步时相关Binlog被清理。 设置源实例和目标实例的日志包大小（maxallowedpacket）大于500M。 调整SQLMODE去除8.0不支持的参数，例如NOAUTOCREATEUSER。 说明 其他约束限制，请参见数据传输服务DTS。 操作步骤 1. 配置源库及⽬标库信息。 进入DTS控制台，选择数据迁移在目前实例对应的DTS服务上单击实例配置。 2. 填⼊源库与⽬标库的相关配置信息，包括数据库类型、IP地址端⼝、数据库账号、数据库密码等信息。 注意 如果选择连接⽅式为SSL安全连接，则需要上传正确的证书⽂件。 3. 单击下一步进行迁移数据选择。 4. 单击下一步进行迁移前检查。检查项确认无误后开始迁移。 5. 进入实例详细中查看迁移进度，当出现增量无延迟后说明两边实例数据迁移同步完成。 6. 进行数据检查以及业务检查，待检查无误后，可以切换数据库并停止同步数据。 说明 源数据库建议保留一段时间，再进行删除。

创建分片表和相关注意事项 使用 mongo shell 客户端连接到 mongos 节点，创建分片表的步骤和命令如下。 1. 设置对应的 database 为分片模式。 sh.enableSharding( ) 2. 指定分片键创建分片表。 sh.shardCollection( , , , ) 命令中其中参数说明： namespace：是 . 的形式，比如 "mydb.myshardcollection"。 key：表示分片键和分片策略，1 表示范围分片，"hashed" 表示哈希分片。比如 {"myshardKey": "hashed"}。 unique：表示分片键是否有全局唯一性约束，true 表示唯一，对于哈希分片来说只能是 false。 options：表示分片的参数选项，对于哈希分片来说可以指定预分配的 chunk 个数，比如 {numInitialChunks: 5}。 每个 chunk 的默认大小是 64MB, 对于哈希分片可以通过 numInitialChunks 预分配 chunk，能够有效降低写入过程中 chunk 分裂迁移带来的性能抖动。 配置 balancer 窗口 分片集群内部有 balancer 模块进行数据均衡，保证每个 shard 的 chunk 个数大体相同。Balancer 操作涉及到 chunk 迁移，因此也会占用 shard server 上的硬件资源。 用户可以通过配置 balancer 窗口来指定后台哪些时间段进行数据均衡操作，通过将均衡操作指定在业务低峰期，可以有效避免对线上业务的影响。 设置和步骤和方法如下： 1. 使用 mongo shell 连接到 mongos 节点。 2. 切换到 config 数据库（use config）。 3. 确认 balancer 开关是开启的（sh.getBalancerState()）。 4. 设置 balancer 时间窗口。 db.settings.update( { id: "balancer" }, { $set: { activeWindow : { start : " ", stop : " " } } }, { upsert: true } ) 其中 “起始时间” 和 “结束时间” 都是 HH:MM 的形式，比如 02:30。

选择系统防护页签，可对终端设置防护。 参数 说明 病毒防护 针对网络中流行的病毒、木马进行全面查杀。 系统登录防护 配置登录权限。 配置病毒防护 病毒查杀用于对网络中流行的病毒、木马进行全面查杀。适用于需要自定义修改配置策略模板病毒防护场景。 1. 选择病毒查杀页签。 2. 配置检测引擎、实时防护等参数。 详细配置请参见下表： 参数 说明 通用设置 检测引擎 检测引擎选项： 默认引擎（高性能跨平台通用引擎，建议开启）。 深度扫描引擎（开启后将占用200MB磁盘空间，深度扫描引擎占用内存更多，但扫描速度更快（进行压缩包扫描时需要选择“深度扫描引擎”）。 网马引擎（网马专用引擎，根据网马特征扫描）。 通用设置 检测提升 扫描缓存加速（建议开启）。 病毒扫描 扫描模式 极速扫描。 低资源扫描，CPU使用率低于限额（默认50%，建议不低于20%）。 实时防护 扫描时机 默认全部勾选，用户可根据实际场景进行勾选。 当文件被执行时，将会触发实时防护功能。 当文件被修改时，将会触发实时防护功能。 当存储介质被连接时，将会触发实时防护功能。 实时防护 处理方式 发现病毒（文件执行、文件修改、存储介质连接时）后的处理方式： 自动处理（优先进行文件修复，修复失败后再隔离）。 仅记录。由用户自行选择。 删除（删除病毒文件）。

功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 XSS 检测防御存储型跨站脚本(CrossSite Scripting，XSS)注入攻击。 × × × √ √ √ Linux 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × × √ √ √ Linux 实时检测 上传Webshell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × × √ √ √ Linux 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × × √ √ √ Linux 实时检测 Struts2 OGNL OGNL代码执行检测。 × × × √ √ √ Linux 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × × √ √ √ Linux 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × × √ √ √ Linux 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × × √ √ √ Linux 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × × √ √ √ Linux 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × × √ √ √ Linux 实时检测

问题原因 在CDM界面创建迁移作业，配置DLI目的连接参数时，“资源队列”参数错误选成了DLI的“通用队列”，应该选择DLI的“SQL队列”。 解决方案 1.登录DLI管理控制台，选择“队列管理”，在队列管理界面查看是否有“SQL队列”类型的队列。 −是，执行3。 −否，执行2购买“SQL队列”类型的队列。 2.单击“购买队列”创建队列，其中队列类型选择“SQL队列”，选择其他参数后提交创建。 3.在CDM侧重新配置迁移作业的DLI目的连接参数，其中资源队列”参数选择已创建的DLI“SQL队列”。 4.CDM重新提交迁移作业，查看作业执行日志。 SQL作业访问报错：File not Found 问题现象 执行SQL作业访问报错：File not Found。 解决措施 文件报错找不到，一般是读写冲突产生的，建议查询一下SQL查询报错表的时候，是否有作业正在覆盖写对应数据。 SQL作业访问报错：DLI.0003: AccessControlException XXX 问题现象 SQL作业访问报错：DLI.0003: AccessControlException XXX。 解决措施 请查看下AccessControlException写的OBS桶，确认当前账号是否有访问桶的权限。 SQL作业访问外表报错：DLI.0001: org.apache.hadoop.security.AccessControlException: verifyBucketExists on}: status [403] 问题现象 SQL作业访问外表报错：DLI.0001: org.apache.hadoop.security.AccessControlException: verifyBucketExists on {{桶名}}: status [403]。 解决措施 当前账号没有访问该外表所在OBS桶的权限，请添加相应OBS权限再执行该查询。 执行SQL语句报错：The current account does not have permission to perform this operation,the current account was restricted. Restricted for no budget.

步骤五：安装Agent 添加安全规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。 1. 登录控制台进入数据库安全服务。 2. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 3. 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。 4. 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图所示。 5. 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图18中的“安装节点IP”）。 6. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。 7. 执行以下命令，进入Agent安装包“xxx.tar”所在目录。 8. cd Agent安装包所在目录t。 9. 执行以下命令，解压缩“xxx.tar”安装包。 10. tar xvf xxx.tar。 11. 执行以下命令，进入“install.sh”脚本所在目录。 12. cd install.sh脚本所在目录t。 13. 执行以下命令，安装Agent。 14. sh install.sh 15. 如果界面回显以下信息，说明安装成功。 start agent starting audit agent audit agent started start success install dbss audit agent done!

本节介绍了跟踪标记的相关内容。 操作场景 使用存储过程进行跟踪标记，跟踪标记的主要用途如下： 获取比较深入的RDS for SQL Server信息，如Lock Manager的各种锁定操作。 改变某些RDS for SQL Server预设定的行为，如停止查询优化器寻找执行计划的超时时间。 改变某些命令当前的行为，如终止使用查询提示。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 约束 执行此存储过程的必须是拥有[CREATE ANY DATABASE]权限的用户。如果不具备此权限的用户尝试执行该存储过程，系统将会如下提示： plaintext Database restores can only be performed by database logins with [CREATE ANY DATABASE] permissions. 当前版本仅支持的跟踪标记为“1117, 1118, 1204, 1211, 1222, 1224, 3604”，如果对其他标记进行操作，系统将会如下提示： plaintext Current version just open 1117, 1118, 1204, 1211, 1222, 1224, 3604 permission. 跟踪标记操作仅包括1，0，1，若出现其他操作，系统将会如下提示： plaintext Just support Open:1 Close:0 Check:1 操作步骤 执行以下命令，进行跟踪标记。 EXEC msdb.dbo.rdsdbcctrace @TraceFlag, @TraceAction; @ TraceFlag：指定跟踪标记序号，当前仅支持 1117, 1118, 1204, 1211, 1222, 1224, 3604。 @ TraceAction：指定跟踪标记操作，1为打开跟踪标记，0为关闭跟踪标记，1为查看跟踪标记。 打开跟踪标记1117，示例如下： EXEC msdb.dbo.rdsdbcctrace 1117, 1;

本节介绍了升级DCS实例小版本/代理版本的相关内容。 DCS会不定期升级实例小版本和代理版本，优化产品功能和修复产品缺陷，提升服务稳定性。本章节介绍如何升级已创建实例的小版本或代理版本到最新版。 升级实例小版本或代理版本不会改变实例的连接地址、访问密码、白名单配置、参数及告警配置等信息。 约束与限制 仅Redis 4.0及以上版本实例支持升级实例的小版本/代理版本。 仅Proxy集群和读写分离实例涉及代理版本（Proxy版本），其他实例类型不涉及。 如果实例已经为最新小版本/代理版本，不支持升级。 实例升级小版本时，Cluster集群请确保客户端能正常处理MOVED和ASK命令，否则会导致请求失败。 实例升级小版本或代理版本后不支持回退。 升级影响 建议在业务低峰期执行实例小版本升级。业务高峰期（如实例内存利用率、CPU利用率达到90%以上或写入流量过大）升级可能会失败，若升级失败，请在业务低峰期再次尝试升级。 实例升级小版本采用节点迁移的方式，在数据迁移过程中，访问时延会增大，每迁移一个分片会发生一次秒级闪断和一分钟以内的只读，请确保客户端应用具备重连机制和处理异常的能力。 实例升级代理版本过程中会发生秒级连接闪断，请确保客户端应用具备重连机制和处理异常的能力，建议在业务低峰期升级。

场景描述 国密型VPN网关证书到期或失效后，需要更换VPN网关证书。 更换VPN网关证书，对端网关需要使用新的配套CA证书与VPN网关进行重协商，否则连接中断。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面需要上传证书的国密型VPN网关所在行，选择“更多 > 查看/上传证书”。 4. 单击“更换”，根据界面提示填写相关信息。 表VPN网关证书参数说明 参数 说明 取值样例 证书名称 不支持修改。 与原证书名称保持一致。 新签名证书 签名证书用于对数据进行签名认证，以保证数据的有效性和不可否认性。 以文本方式打开签名证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 BEGIN CERTIFICATE 签名证书 END CERTIFICATE BEGIN CERTIFICATE CA证书 END CERTIFICATE 新签名私钥 签名私钥用于对签名证书加密过的数据进行解密，签名私钥是非公开的，由用户自行保管。 以文本方式打开签名私钥KEY格式的文件（后缀名为“.key”），将私钥复制到此处。 BEGIN EC PRIVATE KEY 签名私钥 END EC PRIVATE KEY 新加密证书 加密证书用于对VPN连接的传输数据进行加密，以保证数据的保密性和完整性。签发该加密证书的CA机构需和签发签名证书的CA机构保持一致。 以文本方式打开加密证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 BEGIN CERTIFICATE 加密证书 END CERTIFICATE 新加密私钥 加密私钥用于对加密证书加密过的数据进行解密，加密私钥是非公开的，由用户自行保管。 以文本方式打开加密私钥KEY格式的文件（后缀名为“.key”），将私钥内容复制到此处。 BEGIN EC PRIVATE KEY 加密私钥 END EC PRIVATE KEY 5. 勾选“我已知晓上述内容，确认更换证书”，单击“确定”。

创建工作空间 步骤 1 以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1 所示。 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择新建工作新建工作空间的模式。 l简单模式：即传统的DataArts Studio工作空间模式，使用方便，但无法对数据开发流程和表权限进行强管控。 l企业模式：企业模式下DataArts Studio数据开发组件以及对应管理中心组件数据连接支持设置开发环境和生产环境，有效隔离开发者对生产环境业务的影响。企业模式的相关介绍请参见 DataArts Studio企业模式概述。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l一个企业项目下只能创建一个DataArts Studio实例。 l需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 l如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlflog{projectId}”命名的OBS桶中。{projectId}即项目ID，您可以参考获取项目ID和账号ID进行获取。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 l如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlflog{projectId}”命名的OBS桶中。 步骤 3 配置完成后，单击“确定”完成工作空间的创建。

本文介绍在AOne零信任如何进行客户端设置。 背景说明 企业可根据不同的安全要求和合规标准设置不同的客户端策略。 功能说明 超时注销登录 用户账号长时间连接内网，存在账号盗用、占用会话导致并发超过上限等风险，管理员可自定义配置超时注销策略。变更配置后续重新登录客户端才可生效。 根据企业场景配置账号超时注销方式，企业可分别对桌面端和移动端设置不同的超时规则，当客户端连接内网或无内网访问流量达到设定时间（桌面端默认 5 小时、移动端默认 3 小时 ），就会自动注销登录状态，再次访问内网时需重新登录，这样能有效保障内网访问安全 。 注意 移动端暂未发版本，有需要可以 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速，配置详情见客户端限速。 客户端自保护 支持客户端防卸载能力，适用于企业强管控合规要求，配置详情见客户端自保护。 开机自动启用AOne 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能，配置详情见开机自动启用AOne。

本文介绍Windows私有镜像的制作方法。Windows镜像目前只适用于x8664标准裸金属。 1. 获取系统安装镜像 请联系windowsserver官方获取系统的安装光盘镜像，下面我们假设您已经获取了windowsserver2016的系统安装光盘镜像cnwindowsserver2016vlx64dvd11636695.iso 2. 使用virtmanager安装操作系统 2.1 确保有使用virtmanager的权限 注意，使用virtmanager需要必要的权限。如果使用非root用户操作virtmanager，可以把用户加入libvirt组。参考Libvirt，重启后当前用户加入libvirt组生效。 plaintext 把当前用户加入到libvirt组 sudo gpasswd a $USER libvirt 2.2 激活默认的虚拟网络 打开virtmanager，选中QEMU/KVM后，点上方菜单“编辑”> “连接详情”。出现“连接详情”窗口后选择“虚拟网络”标签页，点下方的三角按钮，激活默认的虚拟网络。 2.3 创建新虚拟机 点击工具栏中的“创建新虚拟机”以创建新虚拟机。选择“本地安装介质（ISO映像或者光驱）”后，点“Forward”。 2.4 选择ISO光盘镜像和要安装的操作系统 选择ISO光盘镜像：点击“浏览”，选“本地浏览”后选择下载好的windowsserver2016的ISO镜像。也可直接手动输入ISO镜像的路径。 选择要安装的操作系统：默认检测出要安装的操作系统，或手动选择windowsserver2016。 完成上面的配置后，点击“Forward”。

项目 描述 编辑 点击“编辑”按钮（仅集群版支持），可以编辑节点名称及节点描述信息。 重映射 点击“重映射”按钮（仅集群版支持），可以变更父节点名称。 服务器ID 服务器ID。 节点名称 节点在集群中的全路径名称（仅集群版支持），从根节点开始，使用 name:name:name 格式来唯一标识该节点的名称。 父节点名称 该服务器的父节点名称（仅集群版支持）。 业务IP 业务网的IP和端口号。 集群IP 集群网的IP。 描述 节点描述（仅集群版支持）。 基础服务 服务器上的基础服务（仅集群版基础服务器支持），包括基础服务名称、对应的状态和数据目录。 基础服务名称： 元数据管理服务mdm。 日志服务ls。 协调服务cs。 基础服务状态： 可用。 不可用。 正在迁移。 未知。 端口 目前HBlock占用的端口： 端口范围：可以点击“修改”按钮，修改端口的范围。建议指定的端口范围至少包含500个端口。 说明 后续新增的数据服务端口会从修改后的端口范围中选择，已使用的端口值不变。 修改端口范围时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 iSCSI端口。 Web端口。 数据端口（仅集群版支持）。 存储端口（仅集群版支持）。 管理端口。 元数据端口（仅集群版支持）。 软件版本 软件版本号。 状态 服务器状态： 已连接。 未连接。 移除中。

分布式缓存Redis 分布式缓存Redis是指在内存中以KV形式存储数据，且数据呈分片存储特征。其应用在存储以读取为主的数据，缩短响应时延，减少对数据库依赖，提升业务感知速度。 实例 实例是独立运行的Redis数据库服务器， 是用户购买 Redis 服务的基本单位，您只需要获取它的连接地址和密码，即可像使用本地 Redis 一样进行开发，而无需操心底层运维。 集群实例 采用集群架构部署的Redis实例，数据多分片存储，具备更好的扩展性和更高性能。 代理节点 代理节点（Proxy）负责协调客户端与集群Redis节点之间的通信，简化客户端逻辑，并提供路由、负载均衡和故障转移等功能。 Redis节点 Redis节点用于数据存储，分为主、从节点。 Redis集群 定义一组Redis数据存储节点组成一个Redis存储集群。 公网访问 可以为开通的Redis实例绑定公网弹性IP，客户端即可通过公网弹性IP访问Redis实例，具体使用请参考公网连接Redis实例。 跨可用区部署 将实例的主、备节点分别部署在不同的可用区中，在创建实例时可分别选择主可用区与备可用区，以实现高可用。 分片 分片是一种数据分布和负载均衡策略。它允许将数据划分为多个片段或分片，并将每个片段分布在集群中的不同节点上。每个节点都负责存储和处理一个或多个分片的数据。通过将数据分散在多个节点上，可以提高集群的整体性能和可扩展性，

本文介绍pgAdmin如何通过可视化界面对关系数据库PostgreSQL版进行备份恢复。 备份恢复是关系数据库PostgreSQL版的常用功能，作用对象可以是database、schema、table等具有存储意义的对象。pgAdmin可以以可视化界面实现该功能，以下以database的备份恢复为例。 备份 打开数据库Server连接，选择指定的database，右键选择Backup...，弹出备份选项框，如下图所示： 其中各项含义为： General：备份的元数据，包括生成Filename、备份方式、编码方式等，必填项。 Data/Objects：选择备份的数据范围，包括是否只保存数据或是否只保存schema之类，需要用户根据自身需求选择。 Options：其余选项，选择是否选择oid、是否选择DDL操作等，需要用户根据自身需求选择。 点击Backup，后台会开始执行备份，备份文件存在于一开始填写的Filename。执行结果会在结束时于右下角显示。 恢复 pgAdmin的恢复操作与备份操作互为逆操作，操作类似。打开数据库Server连接，选择指定的database，右键选择Restore...，弹出备份选项框。 General：包括恢复文件的格式、文件名等，用于恢复备份生成的文件。 Data/Objects：与备份类似，即是否选择从备份文件中恢复某项数据。 Options：与备份类似，即是否选择恢复操作的某些特定选项，如恢复某语句失败是否继续进行恢复等。 点击Restore，后台会开始从给定文件进行恢复，执行结果会在结束时于右下角显示。

命令新增和优化 1. 客户端管理增强 Rediscli支持集群管理 在Redis 4.0以及之前版本，需要安装redistrib模块，管理集群。 Redis 5.0对Rediscli做了优化，集成了集群的所有管理功能。具体使用可以通过命令rediscli cluster help查看帮助信息。 优化客户端在频繁连接与中断场景下的性能 当您的应用需要使用短连接时，这个优化价值凸显。 2.有序集合使用更简单 有序集合新增两个命令：ZPOPMIN和ZPOPMAX。 ZPOPMIN key [count] 删除并返回有序集合key中的最多count个具有最低得分的成员。如果返回多个成员，也会按照得分高低（value值比较），从低到高排列。 ZPOPMAX key [count] 删除并返回有序集合key中的最多count个具有最高得分的成员。如果返回多个成员，也会按照得分高低（value值比较），从高到低排列。 3.help增加更多子命令说明 支持help直接查看快速使用攻略，你不再需要每次登录redis.io去查找。例如，命令行输入stream使用攻略：xinfo help 127.0.0.1:6379> xinfo help 1) XINFO arg arg ... arg. Subcommands are: 2) CONSUMERS Show consumer groups of group . 3) GROUPS Show the stream consumer groups. 4) STREAM Show information about the stream. 5) HELP Print this help. 127.0.0.1:6379> 4.Rediscli命令输入提示 Rediscli在输入完整的命令后，会展示参数提醒，帮助用户记忆命令语法格式。 如下图所示，输入zadd命令，Rediscli使用浅颜色字体显示zadd的语法。

项目 说明 测试实例规格 基础标准版双副本8G。 测试实例引擎版本 6.0。 测试实例地域和可用区 上海36 可用区1。 压测机器的规格 c7.2xlarge.2。 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位。 压测机器地域和可用区 上海36 可用区1。 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接。 压测工具 redisbenchmark。

项目 说明 测试实例规格 基础标准版双副本8G。 测试实例引擎版本 7.0。 测试实例地域和可用区 上海36 可用区1。 压测机器的规格 c7.2xlarge.2。 压测机器的操作系统 CTyunOS 2.0.121.06.4 64位。 压测机器地域和可用区 上海36 可用区1。 压测机器网络 与Redis实例为相同VPC区，与Redis实例可通过VPC连接。 压测工具 redisbenchmark。

场景2 连接和QPS升高导致CPU上升 问题原因：业务请求增高导致实例CPU升高，需要从业务侧分析请求变化的原因。 排查思路： 查看QPS、当前活跃连接数、数据库总连接数、CPU使用率监控指标是否吻合。 QPS的含义是每秒查询数，QPS和当前活跃连接数同时上升，且QPS和CPU使用率曲线变化吻合，可以确定是业务请求增高导致CPU上升，如下图： 该场景下，SQL语句一般比较简单，执行效率也高，数据库侧优化余地小，需要从业务源头优化。 解决方案： 1. 单纯的QPS高导致CPU使用率过高，往往出现在实例规格较小的情况下，建议升级实例CPU规格。 2. 优化慢查询，优化方法参照场景1 慢查询导致CPU升高的解决方案。若优化慢查询后效果不明显，建议升级实例CPU规格。 3. 对于数据量大的表，建议通过分库分表减小单次查询访问的数据量。 大并发慢查询导致CPU资源耗尽问题 场景描述 数据库实例上存在大量并发的select count(0)慢操作，系统CPU耗尽，随时有宕机的风险。 Show processlist信息： 该sql慢日志查询信息：

km2ne弹性云主机的规格（停售） 规格名称 CPU(核） 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力 （万PPS） 连接数 （万） 网卡多队列 弹性网卡 km2ne.large.8 2 16 10/2 90 12 2 3 km2ne.xlarge.8 4 32 10/3 100 25 4 4 km2ne.2xlarge.8 8 64 10/5 200 50 8 6 km2ne.3xlarge.8 12 96 10/8 300 60 12 6 km2ne.4xlarge.8 16 128 15/10 400 80 16 8 km2ne.6xlarge.8 24 192 15/12 600 90 16 8 km2ne.8xlarge.8 32 256 20/15 800 100 16 8 km2ne.12xlarge.8 48 384 24/20 1200 150 16 8 km2ne.16xlarge.8 64 512 32/24 1600 200 32 8 km2ne.24xlarge.8 96 768 无/32 2000 300 32 8

配置字段 是否必填 配置说明 处置动作 是 监控观察：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 降权访问：限制用户仅能访问指定的对应等级应用，其他均无法访问。 处置通知 否 配置为监控观察处置动作时，可选是否从客户端通知员工，其他处置动作默认会通过客户端提示员工。 处置提示语 是 可自定义，自定义提示语可针对英文、中文进行分别自定义。 自动恢复 是 默认勾选，且不可配置，若用户被处置后，自主进行了修复，下次触发该动态授权未命中匹配条件，则自动恢复处置。

本页介绍了如何配置驱动和运行环境。 驱动安装 1. 下载连接文档数据库服务使用的驱动包“mongojavadriver3.10.1.jar”，此安装包提供了访问文档数据库服务实例的API接口。 2. 在项目的pom.xml中添加如下依赖。 org.mongodb mongojavadriver 3.10.1 环境 客户端需配置JDK1.8。JDK是跨平台的，支持Windows，Linux等多种平台 。