本文主要介绍DRDS的主要使用流程。 使用流程 步骤一：购买DRDS实例。 步骤二：购买MySQL实例。 步骤三：DRDS关联MySQL实例。 步骤四：创建schema。 步骤五：创建DRDS帐号。 步骤六：连接DRDS实例逻辑库。 流程图

本章节主要介绍创建CDM集群。 CDM采用独立集群的方式为用户提供安全可靠的数据迁移服务，各集群之间相互隔离，不可相互访问。 CDM集群可用于如下场景： 用于创建并运行数据迁移作业。 作为管理中心组件连接数据湖时的Agent代理。 DataArts Studio实例中不包含CDM集群，如果您需要使用数据集成的功能，请参考用户指南中的“准备工作 > （可选）创建DataArts Studio增量包”章节，创建批量数据迁移集群。

本文主要介绍消息队列 Kafka 通过SSL接入的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 背景 云消息队列 Kafka 版实例如果选择SASLSSL接入时，可能会出现性能较差的情况。可以通过在客户端指定密码套件的方式，手动选择性能和安全性都较高的套件进行TLS通讯。 SSL握手时客户端发送Hello Client 并带上客户端支持的密码套件，服务端收到握手请求后，获取客户端带来的密码套件和服务端支持的密码套件取交集。密码套件加载顺序受客户端jdk版本影响，不同jdk版本，密码套件顺序不一样，可能会导致性能和安全性等无法保证。因此为了保证性能，SSL连接时客户端可以指定密码套件。 推荐的性能和安全性较高的密码套件 TLSECDHERSAWITHAES256GCMSHA384 TLSECDHERSAWITHAES128GCMSHA256 步骤 1.先按照SASLSSL协议接入Kafka，SASLSSL接入可参考文档 SASLSSL接入点接入 2.在此基础上增加 ssl.cipher.suites 配置 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"f6eca4dbc78df78d63fba980e448185f";");//注：上面的密码f6eca4dbc78df78d63fba980e448185f，为用户管理里面创建用户时填入的密码进行md5的结果，md5取32位小写 props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm",""); props.put("ssl.cipher.suites","TLSECDHERSAWITHAES256GCMSHA384,TLSECDHERSAWITHAES128GCMSHA256");//密码套件支持多个，用半角逗号分开

高安全性 利用SASL机制对用户身份进行认证，并利用SSL对通道进行加密传输，确保数据在传输过程中不被窃取或篡改，保证您的数据安全。还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 Kafka是一个分布式流处理平台，为了保证数据的高安全性，它提供了以下几个方面的功能和特性： 认证与授权：Kafka支持基于SSL认证，可以验证客户端和服务器之间的身份。同时也支持基于ACL（访问控制列表）的细粒度授权，可以控制哪些用户可以读写指定的topic。 SSL加密传输：Kafka可以通过SSL对消息进行加密传输，确保数据在网络传输过程中的机密性和完整性。 完全控制数据的访问：对于每个topic，可以定义不同的ACL，限制不同用户或者用户组的读写权限。这样可以确保只有授权的用户能够访问指定的数据。 可靠性 Kafka通过持久化存储、复制机制、可配置的数据保留策略、故障检测和自动恢复、缓存机制以及节点间数据同步等功能，提供了高度可靠的消息传递和存储机制。 持久化存储：Kafka使用日志数据结构来存储消息，并将消息写入磁盘上的文件中。这种持久化存储方式确保了消息在发生故障或崩溃时不会丢失。一份消息多份落盘存储，允许海量消息堆积。 复制机制：Kafka通过复制机制提供高可用性和容错能力。它使用主题分区的副本来在多个服务器上复制消息。当其中一个服务器出现故障时，副本可以继续为消费者提供服务。 可配置的数据保留策略：Kafka允许根据特定的需求配置数据保留策略。您可以设置消息在特定时间段或特定大小后删除，或者保留所有消息。这使得您可以根据存储资源和业务需求来管理数据。 故障检测和自动恢复：Kafka具有内置的故障检测和自动恢复机制。当发生故障时，Kafka可以自动检测到并尝试重新连接断开的节点，确保整个集群的正常运行。 缓存机制：Kafka使用缓存来提高读写性能。消息首先被写入内存中的缓存，然后批量写入磁盘。这种缓存机制可以提高吞吐量，并减少对磁盘的频繁访问。 节点间数据同步：Kafka使用分布式的数据同步协议来保证消息在副本之间的一致性。这确保了在故障和服务恢复期间的数据完整性。

全量更新主Master节点的原始客户端 场景描述 用户创建集群时，默认在集群所有节点的“/opt/client”目录安装保存了原始客户端。以下操作以“/opt/Bigdata/client”为例进行说明。 MRS普通集群，在console页面提交作业时，会使用master节点上预置安装的客户端进行作业提交。 用户也可使用master节点上预置安装的客户端来连接服务端、查看任务结果或管理数据等。 对集群安装补丁后，用户需要重新更新master节点上的客户端，才能保证继续使用内置客户端功能。 操作步骤 1.登录MRS Manager页面，具体请参见访问MRSManager（MRS2.x及之前版本），然后选择“服务管理”。 2.单击“下载客户端”。 “客户端类型”选择“完整客户端”，“下载路径”选择“服务器端”，单击“确定”开始生成客户端配置文件，文件生成后默认保存在主管理节点“/tmp/MRSclient”。文件保存路径支持自定义。 3.查询并登录主Master节点。 4.在弹性云服务器，切换到root用户，并将安装包复制到目录“/opt”。 sudo su root cp /tmp/MRSclient/MRSServicesClient.tar /opt 5.在“/opt”目录执行以下命令，解压压缩包获取校验文件与客户端配置包。 tar xvf MRSServicesClient.tar 6.执行以下命令，校验文件包。 sha256sum c MRSServicesClientConfig.tar.sha256 界面显示如下： MRSServicesClientConfig.tar: OK 7.执行以下命令，解压“MRSServicesClientConfig.tar”。 tar xvf MRSServicesClientConfig.tar 8.执行以下命令，移走原来老的客户端到/opt/Bigdata/clientbak目录下 mv /opt/Bigdata/client /opt/Bigdata/clientbak 9.执行以下命令，安装客户端到新的目录，客户端路径必须为“/opt/Bigdata/client”。 sh /opt/MRSServicesClientConfig/install.sh /opt/Bigdata/client 查看安装输出信息，如有以下结果表示客户端安装成功： Compon ents client installation is complete. 10.执行以下命令，修改/opt/Bigdata/client目录的所属用户和用户组。 chown omm:wheel /opt/Bigdata/client R 11.执行以下命令配置环境变量： source /opt/Bigdata/client/bigdataenv 12.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS 集群用户 例如, kinit admin 13.执行组件的客户端命令。 例如，执行以下命令查看HDFS目录： hdfs dfs ls /

典型架构图 安全增强措施 1. 数据加密 1. 使用SSL/TLS加密公网传输流量（如HTTPS） 2. 数据库启用透明数据加密（TDE）和天翼云KMS服务 2. 安全防护 1. 根据业务情况使用天翼云提供的安全产品进行公网防护。 成本优化建议 1. 按需分配公网IP：公网流量通过NAT网关共享出口，仅对必须暴露的服务使用独享的弹性IP（需要为云主机所在的子网配置指向IPv4网关的默认路由）。 2. 合理选择带宽： 1. 优先使用共享带宽降低弹性IP带宽成本。 2. 根据业务峰谷情况选择弹性IP的固定带宽或按流量计费模式。 3. 清理闲置资源：定期删除未使用的EIP、安全组、路由表等资源。 运维与监控 1. 自动化部署：使用天翼云原生API实现VPC、子网、安全组等资源的自动化编排。 2. 监控告警：配置云监控对使用的云资源进行告警，重点关注以下指标： 1. 弹性IP、共享带宽网络出入带宽利用 2. NAT网关并发连接数 3. 弹性负载均衡健康/异常后端主机数 常见问题规避 1. IP地址耗尽：预留至少20%的IP空间（如使用/16的VPC，按/24划分子网）。 如果出现VPC地址不足的情况，可以通过为VPC增加扩展网段的方式，扩容地址。 2. 安全组配置错误：遵循最小权限原则，禁止开放0.0.0.0/0到高危端口（如22、3389）。 3. 单可用区风险：确保关键服务（如数据库）部署在至少2个可用区。 通过以上设计，可在天翼云单地域单VPC环境下构建安全、高可用且易于扩展的网络架构，适用于中小型企业或独立业务系统。

本文介绍如何设置MTU以确保数据包的正常传输。 VPN网关只支持传输已经分片的数据包，不支持对数据包分片及数据包分片重组。在您使用IPsec VPN时，IPsec协议会对数据包进行加密，加密过程会扩大数据包长度，扩大后的数据包长度可能会超过网络中设置的最大数据传输单元MTU，影响数据包的正常传输。 MTU配置原则 本文以图中场景为例说明MTU配置原则。本地数据中心已与天翼云VPC建立了IPsec VPN连接。在客户端访问VPC资源时，数据包将被本地网关设备加密并被传输至互联网，经过互联网中的网络设备（如图中路由器2和路由器3）传输至天翼云VPN网关。 数据包从客户端传输至VPN网关的过程中，数据包的大小将会受到以下三种MTU的限制： 用户MTU 用户MTU即客户端和本地网关设备之间所有网络设备接口MTU的最小值。该MTU会限制客户端发送的数据包的大小。 如图中用户MTU取标记为1的接口中MTU的最小值。 公网接口MTU 公网接口MTU即本地网关设备连接VPN网关的公网接口上的MTU。该MTU会限制被加密后的数据包的大小。 如图中公网接口MTU取标记为2的接口的MTU。 路径MTU 路径MTU即互联网中所有网络设备接口MTU的最小值。该MTU会限制被加密后的数据包的大小。 您可以向互联网厂商咨询路径MTU。通常以太网的路径MTU默认为1500字节。 如图中路径MTU取标记为3的接口中MTU的最小值。 为确保数据包被正常传输，您需要在本地数据中心配置用户MTU和公网接口MTU，使上述三种MTU满足以下关系： 用户MTU的最大值min{公网接口MTU,路径MTU}101

m8a弹性云主机的规格 规格名称 CPU(核） 内存（GB） 基准带宽（Gbps） 最大带宽（Gbps） 最大收发包（万pps） 连接数（万） 网卡多队列 弹性网卡 云盘基础IOPS（万次） 云盘基础带宽 （Gbit/s） m8a.large.8 2 16 1.5 10 90 25 2 3 2.5 1.5 m8a.xlarge.8 4 32 2.5 10 100 25 4 4 3 2 m8a.2xlarge.8 8 64 4 15 160 25 8 4 4.5 2.5 m8a.4xlarge.8 16 128 7 15 200 50 16 8 6 3.5 m8a.8xlarge.8 32 256 10 25 300 100 32 8 8 5 m8a.12xlarge.8 48 384 16 25 450 150 48 8 12 8 m8a.16xlarge.8 64 512 20 25 600 200 64 8 16 10 m8a.24xlarge.8 96 768 32 无 900 300 64 15 24 16 m8a.32xlarge.8 128 1024 40 无 1200 400 64 15 32 20

本页介绍天翼云TeleDB数据库通过SQL设置参数。 TeleDB提供了三个SQL命令来建立配置默认值。已经提到过的ALTER SYSTEM命令提供了一种改变全局默认值的从SQL可访问的方法；它在功效上等效于编辑postgresql.conf。此外，还有两个命令可以针对每个数据库或者每个角色设置默认值： ALTER DATABASE命令允许针对一个数据库覆盖其全局设置。 ALTER ROLE命令允许用用户指定的值来覆盖全局设置和数据库设置。 只有当开始一个新的数据库会话时，用ALTER DATABASE和 ALTER ROLE设置的值才会被应用。它们会覆盖从配置文件或服务器命令行获得的值，并且作为该会话后续的默认值。注意某些设置在服务器启动后不能被更改，因此不能用这些命令来设置。 一但一个客户端连接到数据库，TeleDB会提供两个额外的SQL命令（以及等效的函数）用以影响会话本地的配置设置： SHOW命令允许察看所有参数的当前值。对应的函数是 currentsetting(settingname text)。 SET命令允许修改对于一个会话可以本地设置的参数的当前值， 它对其他会话没有影响。对应的函数是 setconfig(settingname, newvalue, islocal)。 此外，系统视图pgsettings可以被用来查看和改变会话本地的值： 查询这个视图与使用SHOW ALL相似，但是可以提供更多细节。它也更加灵活，因为可以为它指定过滤条件或者把它与其他关系进行连接。 在这个视图上使用UPDATE并且指定更新setting列，其效果等同于发出SET命令。例如，下面的命令 SET configurationparameter TO DEFAULT; 等效于： UPDATE pgsettings SET setting resetval WHERE name 'configurationparameter';

CDC是一种用于捕获，处理和同步TeleDBX实例数据变化的工具，允许将实例中的变更数据实时地同步到下游系统。本页为您介绍CDC的使用和管理操作。 初始化插件 1. 通过pgxcctl新建一个双CN、双DN的实例，并开启服务。 2. 通过telesql连接到CN节点。 3. 在配置文件中设置加载sharedpreloadlibraries。 创建插件 1. 通过telesql连接到CN节点。 执行sql “create extension teledbxcdc” 2. 执行telesql命令dx，查看插件teledbxcdc是否存在。 3. 执行sql “select teledbxinitcdcmeta();”对元数据进行初始化。 管理cdc复制槽 1. 执行以下语法在所有数据节点创建逻辑复制槽 plaintext select from teledbxcreatelogicalreplicationslot('cdcdemo','teledbxcdc'); 2. 执行以下语法查看元数据 plaintext select from teledbx.cdcslot; 3. 执行以下语法删除逻辑复制槽 plaintext select from teledbxdroplogicalreplicationslot('cdcdemo'); 读取变更数据 1. 执行以下语法对变更数据进行可重复读，返回结果为text类型 plaintext select from teledbxcdcpeekchanges('slotname', batchcount, optionalvalue); 2. 执行以下语法对变更数据进行可重复读，返回结果为binary类型 plaintext select from teledbxcdcpeekbinarychanges('slotname', batchcount, optionalvalue); 3. 执行以下语法推高逻辑复制槽位点 plaintext teledb 4. 执行以下语法对变更数据进行不可重复读，返回结果为text类型 plaintext select from teledbxcdcgetchanges('slotname', batchcount, optionalvalue); 5. 执行以下语法对变更数据进行不可重复读 plaintext select from teledbxcdcgetbinarychanges('slotname', batchcount, optionalvalue);

本文向您介绍如何上传企业版VPN对端网关证书。 场景描述 国密型对端网关，需要上传对端网关的CA证书，用于和VPN网关建立VPN连接。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，单击目标对端网关名称进入详情页面。 4. 在“CA证书”区域，单击“添加”。 5. 根据界面提示填写相关信息，单击“确定”。 表对端网关CA证书参数说明 参数 说明 取值样例 上传证书 对端网关的CA证书。 BEGIN CERTIFICATE CA证书 END CERTIFICATE 使用已上传证书 查看并勾选已上传证书，请注意证书到期时间。

本节主要介绍移除服务器命令。 ./stor server rm { n server } SERVERID [ d deldata ] [ f force ] 此命令用来从HBlock集群中移除服务器。 注意 如果移除服务器上有target，该target对应卷的高可用类型是ActiveStandby，移除服务器时，业务不会中断，此卷对应的target会切换到其他服务器上，客户端需要重新连接target对应的新服务器IP。 如果移除服务器上有target，该target对应卷的高可用类型是Disabled，移除服务器时，业务会中断，此卷对应的target会切换到其他服务器上，客户端需要重新连接target对应的新服务器IP。但服务器移除时，会有数据丢失风险。 如果执行日志采集后，产生的日志保存在服务器安装目录下，在服务器移除之后，该日志将被删除。如果产生的日志保存在HBlock的数据目录内，并且移除服务器时删除服务器HBlock数据目录中的数据，该日志也将被删除。 有服务器正在移除时，不能再移除其他服务器。如果必须移除，请使用强制移除，但有丢数据风险。 该节点的所有数据目录不属于任何存储池，允许移除该服务器。否则不能移除，如果必须移除，请使用强制移除，但有丢数据风险。 如果要移除服务器的某个数据目录属于基础存储池，且是基础存储池中仅剩的一个可用故障域中的节点，不允许移除。 如果服务器上有基础服务，不允许移除。 参数 参数 描述 n SERVERID 或 server SERVERID 要移除服务器的ID。 d 或 deldata 移除服务器时，删除服务器上HBlock数据目录中的数据。 f 或 force 强制移除服务器。 注意 强制移除服务器，可能造成数据丢失。

分布式缓存Redis缓存实例创建后，支持在控制台上升级实例的Redis大版本，例如将Redis 6.0升级至Redis 7.0等。 Redis大版本只支持升级，例如从6.0升级到7.0，不支持降级。 前提条件 1. Redis缓存实例处于“运行中”状态。 2. Redis缓存实例未开启SSL加密。 影响须知 实例升级不会更改实例的规格，仅升级Redis内核的大版本。 实例执行升级时会出现1~2次30秒内的连接闪断。 实例执行升级一般需要几分钟，升级期间控制台其他功能不可用，建议在业务低峰期操作。 升级完成后，新版本Redis不支持而旧版本Redis支持的功能将不可用。例如Redis 6.0支持离线全量Key分析，Redis 7.0不支持，将Redis 6.0升级至Redis 7.0后，离线全量Key分析功能将不可用。 Redis从其他版本升级到7.0，原有Redis数据备份文件将不可用。 升级完成后，实例的实例ID、连接地址、数据、白名单配置以及已创建的账号密码配置等均不会改变。 操作步骤 1.登录 Redis管理控制台。 2.在管理控制台左上角选择实例所在的区域。 3.在实例列表页，单击目标实例名称进入实例详情页面。 4.在实例详情页面，点击“大版本升级”按钮，选择需要升级的版本，点击保存，提交升级任务。 说明 如果没有大版本升级按钮，表明该实例引擎已经是最新版本。 5.升级一般需要几分钟，升级成功后可以在控制台看到实例Redis大版本的变更。

本节主要介绍移除服务器。 在“服务器管理”页面，选择要移除的服务，点击“操作”>“移除”，移除服务器。 注意 如果移除已损毁或者宕机的服务器，需要使用强制移除。强制移除服务器，会产生数据丢失风险，请谨慎操作。 如果移除服务器上有iSCSI目标，该iSCSI目标对应卷的高可用类型是ActiveStandby，移除服务器时，业务不会中断，此卷对应的iSCSI目标会切换到其他服务器上，客户端需要重新连接Target对应的新服务器IP。 如果移除服务器上有iSCSI目标，该iSCSI目标对应卷的高可用类型是Disabled，移除服务器时，业务会中断，此卷对应的iSCSI目标会切换到其他服务器上，客户端需要重新连接Target对应的新服务器IP。但服务器移除时，会有数据丢失风险。 如果执行日志采集后，产生的日志保存在服务器安装目录下，在服务器移除之后，该日志将被删除。如果产生的日志保存在HBlock的数据目录内，并且移除服务器时删除服务器HBlock数据目录中的数据，该日志也将被删除。 有服务器正在移除时，不能再移除其他服务器。如果必须移除，请使用强制移除，但有丢数据风险。 该节点的所有数据目录不属于任何存储池，允许移除该服务器。否则不能移除，如果必须移除，请使用强制移除，但有丢数据风险。 如果要移除服务器的某个数据目录属于基础存储池，且是基础存储池中仅剩的一个可用故障域中的节点，不允许移除。 如果服务器上有基础服务，不允许移除。 图1 移除服务器

本页介绍了文档数据库服务权限相关常见问题。 开通实例时的root账号拥有什么权限 当您在订购实例时，会创建root账号，该账号拥有文档数据库服务内置的root权限，您可以执行show roles命令可以查询root账号的权限。 文档数据库服务默认的权限机制 实例创建时会创建默认的root账号，用户密码可在订购时指定。该账号拥有文档数据库服务内置的root权限。与社区版MongoDB相比，文档数据库服务进行了系列安全加固，社区版MongoDB用户可以不使用鉴权方式直接连接MongoDB数据库，但是文档数据库服务则需要用户使用用户名密码认证方式进行数据库服务的连接，此外对于密码的强度也进行了校验，用户密码需要满足密码复杂度要求才可以。 文档数据库服务的角色管理 角色管理是一种用于控制用户访问权限的重要机制。通过角色管理，可以定义不同用户对数据库的操作权限。实例创建时会创建默认的root账号，此外您还可以针对实例进行自定义角色管理，通过实例的账号管理页，按需配置角色。 文档数据库服务的用户管理 在文档数据库服务中，用户管理是通过创建用户并分配角色来控制用户对数据库的访问权限文档数据库服务支持对不同数据库中的用户进行独立的管理，并可以为用户分配不同的角色以控制其权限范围。为了提供更细致更友好的数据库服务，文档数据库服务会创建默认的root账号，支持root账号的密码修改。此外文档数据库服务还提供针对实例进行自定义的账户管理，进入实例的账户管理页，可以新增账号以及配置相应的权限。

2、创建PING/TCP/UDP类型拨测任务参数配置 “任务类型”模块参数配置如下： 参数 模块 参数说明 是否必填 取值样例 任务名称 该站点监控的自定义名称 是 类型 公网拨测 是 场景 选择站点监控任务使用场景，支持端口性能、页面性能 是 端口性能 协议信息 选择拨测任务协议 是 PING 监控频率 执行一次站点监控探测任务的时间间隔。 是 1分钟 站点地址 请输入待探测的目标公网地址。注意：选择类型为“http”时，请填写协议头 是 拨测点选择 选择公网拨测源，支持多选 是 北京、成都 “拨测参数定义”模块参数配置如下(可选)： 参数 模块 参数说明 是否必填 取值样例 高级配置 1、拨测周期 站点拨测任务执行的每日时段 2、拨测时段 站点拨测任务执行的每日时段 是 1、星期天、星期一、星期二、星期三、星期四、星期五 星期六 2、00:00:0023:59:59 说明 1、PING类型拨测任务主要用于测试网络连通性和延迟。通过发送ICMP回显请求，可以获取数据包从拨测源到目标地址再返回的往返时间，以及数据包的丢失率，适用于检测网络的稳定性和响应速度。 2、TCP 类型拨测任务可以模拟建立和维护一个稳定的数据传输连接的过程，用于监控和分析数据传输性能，获取包括可用性、响应时间等指标数据。 3、UDP类型拨测 任务可以模拟在不需要建立连接的情况下的数据传输，同样可用于监控和分析数据传输性能，获取包括可用性、响应时间等指标数据。

检查其他设置 服务器开启了系统自动更新补丁功能。在确认服务器已更新该漏洞后，建议您在漏洞管理界面中忽略该漏洞。 服务器安装了更新的补丁将旧补丁覆盖（如，2016及以上系统，最新的月度补丁会覆盖以前的所有补丁）。在确认无误后，建议您在漏洞管理界面中忽略该漏洞。 其他安全软件对补丁安装进行了拦截（如“360安全卫士服务器版”），您可以先暂停使用安全软件，待漏洞修复后，在开启安全软件。 说明 微软已于2020年1月14日停止对Windows Server 2008 R2系统的更新和维护，如果需要继续使用该系统，则需要购买相应的ESU （扩展安全更新） 密钥并进行激活或更换Windows操作系统版本。 Linux系统服务器操作 无yum源配置 您的服务器可能未配置yum源，请根据您的Linux系统选择yum源进行配置。配置完成后，重新执行漏洞修复操作。 yum源没有相应软件的最新升级包 切换到有相应软件包的yum源，配置完成后，重新执行漏洞修复操作。 内网环境连接不上公网 在线修复漏洞时，需要连接Internet，通过外部yum源提供漏洞修复服务。 内核老版本存留 由于内核升级比较特殊，一般都会有老版本存留的问题。您可通过执行验证修复命令查看当前使用的内核版本是否已符合漏洞要求的版本。确认无误后，对于该漏洞告警，您可以在企业主机安全管理控制台的“漏洞管理 > Linux软件漏洞管理”页面进行忽略 。同时，不建议您删除老版本内核。 验证修复命令： 操作系统 修复命令 :: CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 SUSE zypper search dC matchwords软件名称

通过添加审计范围，设置需要审计的数据库范围 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围，设置需要审计的数据库范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。 6. 在审计范围列表框左上方，单击“添加审计范围”。 说明 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 7. 在弹出的对话框中，设置审计范围，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 名称 您可以自定义审计范围的名称。 audit00 数据库名称 选择待添加审计范围的数据库。 dbss 数据库账户 可选参数。输入数据库的用户名。 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 源端口 可选参数。输入访问待审计数据库的端口。 8. 单击“确定”。 添加成功，审计范围列表新增一条状态为“已启用”的审计范围。

本节介绍了通过SQL命令安装和卸载插件的相关内容。 通过SQL命令安装和卸载插件 本章节提供基于root用户的PostgreSQL插件管理方案，下列插件无需用户手动创建，其他插件均需要参考本章节内容手动创建。 autoexplain passwordcheck pgprofilepro pgsqlhistory plpgsql wal2json testdecoding 说明 RDS for PostgreSQL插件是数据库级生效，并不是全局生效。因此创建插件时需要在对应的业务库上进行手动创建。 RDS for PostgreSQL 11及以上版本的最新小版本，支持以root用户通过社区的方式来创建(create extension)、删除(drop extension)插件。 创建插件 以root用户连接需要创建插件的数据库，执行如下SQL创建插件。 select controlextension('create',' ', ' '); EXTENSIONNAME为插件名称，请参见支持的插件列表。 SCHEMA为模式名称，指定创建插件的模式位置，不指定该参数时默认为public模式。 示例如下： 创建postgis插件，创建位置为public schema。 plaintext 指定创建插件schema位置为public select controlextension('create','postgis', 'public'); controlextension create postgis successfully. (1 row) schema参数未指定时，默认schema位置为public select controlextension('create', 'postgis'); controlextension create postgis successfully. (1 row) 删除插件 以root用户连接需要创建插件的数据库，执行如下SQL删除插件。 select controlextension('drop',' ', ' '); EXTENSIONNAME为插件名称，请参见支持的插件列表。 SCHEMA为模式名称，在删除插件时参数无意义，可以不指定该参数。 示例如下： plaintext select controlextension('drop','postgis'); controlextension drop postgis successfully. (1 row)

本页介绍了关系数据库MySQL版资源池和产品功能概览。 针对关系数据库MySQL版帮助文档中“一类节点”的资源池进行说明。“一类节点”中的资源池分为I类型资源池和II类型资源池。推荐使用II类型资源池。 表1 资源池说明 I 类型资源池 北京5、晋中、辽阳1、内蒙古6、石家庄20、杭州2、合肥2、九江、南京3、上海7、芜湖2、郴州2、佛山3、福州4、福州25、广州X节点（仅省内可见）、海口2、衡阳3、武汉4、乌鲁木齐4、乌鲁木齐27、西安3、西安4、西安5、中卫2、成都4、贵州3、昆明2、拉萨3、重庆2、帆豫智联、中卫5、西宁2 说明 所有I 类型资源池自2025年6月17日起已不再支持新购实例，如有问题，请提单咨询。 II 类型资源池 全域可见：西南1、南宁23、长沙42、华北2、南昌5、青岛20、上海36、华南2、华东1、太原4、武汉41、郑州5、西安7、西南2贵州、杭州7、广州4、苏州、芜湖4、呼和浩特3、庆阳2、乌鲁木齐7、上海15、佛山7、沈阳8 仅当地省内可见：河北张家口IT上云1、长春3、湖南永州一城一池1、宁波2、北京行业云20、广州x节点xc可用区 国际站资源池 香港2（区分国内站和国际站），澳门（国内站），印度尼西亚1（国内站） 说明 1. Ⅰ类型资源池和Ⅱ类型资源池通过管理控制台，点击控制中心右侧的区域框进行选择。 2. 广州4、苏州资源池可以通过实例管理页签的“Ⅱ类型资源池切换”按钮进行选择。 3. 关于香港2节点，国内站可以正常访问关系数据库MySQL版控制台左上角选择香港2节点，国际站可以通过点击国际站官网，选择关系数据库MySQL产品，享受数据库服务。您需要注意的是国际站和非国际站资源池的账号系统是彼此独立的。 4. Ⅱ类型资源池中，华南2、西南1、广州4、华东1、华北2等资源池均加载了国产化系列实例类型。具体加载类型可参见实例规格，关于国产化云主机相关情况可参考国产化云主机，以了解不同系列区别。 5. Ⅱ类型资源池中，自2024年12月30日起，已完成架构升级的资源池有：西南1、华东1、华北2、长沙42、上海36、太原4、武汉41、郑州5、广州4、西南2贵州、南昌5、华南2等所有Ⅱ类型资源池。 表2 功能说明 功能模块 产品功能 I 类型资源池 II 类型资源池 计费模式 按需 支持 支持 计费模式 包周期 支持 支持 数据库工具 智能问答助手 不支持 部分资源池支持 数据库工具 智能运维与实例画像 不支持 部分资源池支持 数据库工具 支持DMS登录数据库 不支持 部分资源池支持 数据库工具 数据库克隆 不支持 支持 部署方式 跨可用区 不支持 部分资源池支持 规格 单机实例 支持 支持 规格 主备实例 支持 支持 规格 一主两备实例 支持 支持 规格 只读实例 仅部分资源池支持 支持 实例管理 备份空间扩容 支持 支持 实例管理 存储空间扩容 支持 支持 实例管理 规格扩容 支持 支持 实例管理 规格缩容 不支持 支持 实例管理 存储空间自动扩容 不支持 支持 实例管理 性能自动扩容 不支持 支持 实例管理 性能自动缩容 不支持 仅华北2、西安7支持 实例管理 系列升级 支持 支持 实例管理 参数模板 支持 支持 实例管理 参数模板导入导出 不支持 支持 实例管理 标签管理 支持 支持 实例管理 主备切换 支持 支持 实例管理 修改切换策略 不支持 支持 实例管理 修改数据复制方式 不支持 支持 实例管理 迁移可用区 不支持 仅西南1、华南2、华东1、华北2支持 实例管理 重启实例 支持 支持 实例管理 修改数据库端口 支持 支持 实例管理 设置可维护时间段 不支持 支持 实例管理 续订实例 支持 支持 实例管理 释放实例 支持 支持 实例管理 修改实例名称 支持 支持 实例管理 开启和关闭实例释放保护 不支持 支持 实例管理 MGR集群 不支持 仅西南1支持 实例管理 表名大小写 不支持 支持 实例管理 设置只读复制延迟 不支持 支持 实例管理 实例回收站 不支持 支持 实例管理 购买相同配置实例 不支持 支持 实例管理 只读转单机 不支持 西南1、华北2支持 实例管理 事件定时器 不支持 部分资源池支持 实例管理 设置数据库只读 不支持 支持 实例版本 升级内核小版本 不支持 支持 实例版本 升级数据库版本 不支持 仅华北2、西安7、长沙42、武汉41、杭州7支持 密码设置 自定义密码策略 不支持 支持 密码设置 修改密码 支持 支持 密码设置 密码锁定插件 不支持 支持 账号管理 创建账号 支持 支持 账号管理 修改账号权限 支持 支持 账号管理 重置高权限账号 不支持 支持 账号管理 基于数据库代理创建只读账号 不支持 仅西南1支持 账号管理 禁用root账号 不支持 仅西南1支持 数据库管理 创建数据库 支持 支持 数据库管理 删除数据库 支持 支持 监控告警 查看监控 支持 支持 监控告警 设置查看监控频率 不支持 支持 监控告警 设置报警规则 不支持 支持 问题诊断 死锁分析 不支持 仅西南1支持 问题诊断 空闲连接管理 不支持 支持 安全 透明数据加密TDE 不支持 仅华东1、西南1、华南2、杭州7支持 安全 SQL审计 不支持 支持 安全 SQL拦截 不支持 支持 安全 SSL加密 支持 支持 安全 云盘加密 不支持 仅华北2、华东1、西南1支持 安全 SQL限流 不支持 仅西南1支持 安全 动态脱敏 不支持 仅西南1支持 安全 IP白名单 不支持 支持 日志记录 日志管理 支持 支持 日志记录 任务列表 支持 支持 日志记录 操作记录 不支持 支持 日志记录 云审计 不支持 支持 备份 自动备份 支持 支持 备份 库表备份 不支持 支持 备份 手动备份 支持 支持 备份 对象存储 不支持 除广州4、苏州外其他均支持 备份 下载数据备份 不支持 未加载对象存储资源池不支持 备份 下载日志备份 不支持 未加载对象存储资源池不支持 备份 高频物理备份 支持 支持 备份 快照备份 不支持 白名单用户支持 备份 binlog本地设置 不支持 支持 备份 跨域备份 不支持 仅华东1、华北2、西南1支持 备份 备份类型转换 不支持 仅西南1、河北张家口IT上云1支持 备份 逻辑备份 不支持 仅华北2、西安7支持 恢复 恢复至原实例 支持 支持 恢复 恢复至新实例 不支持 支持 恢复 多库表恢复 不支持 支持 恢复 快照恢复 不支持 白名单用户支持 恢复 跨域恢复 不支持 仅华东1、华北2、西南1支持 恢复 SQL闪回 不支持 仅华东1支持 访问 数据库代理 不支持 支持 访问 IPv4 支持 支持 访问 IPv6 不支持 支持 访问 弹性IP 部分资源池支持 支持 访问 开通指定IP地址 不支持 支持 访问 实例内网域名 不支持 仅西南1、华东1、武汉41支持 访问 修改内网连接地址（IPV4） 不支持 仅部分资源池支持 访问 切换实例VPC 不支持 除广州4、苏州外其他均支持 计费变更 按需实例转包周期 支持 支持 计费变更 包周期实例转按需 支持 支持 其他 主子账号/账号委托 部分资源池支持 支持

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本文详细介绍零信任远程办公服务计费模式资费。 零信任服务适用场景 零信任服务即员工访问企业内网，基于零信任安全架构、身份管理实现实员工无需到传统办公场所，而是通过网络在异地完成工作任务的办公模式，通过购买“零信任服务”来提供零信任远程办公产品服务能力。 零信任服务远程办公计费概述 计费模式：混合计费 【计费项说明】 折扣规则：详细见零信任网络服务折扣说明。 计费方式 描述 说明 套餐计费 按照购买的套餐使用量进行计费 套餐为预付费 不同套餐版本提供能力不一致，具体套餐版本功能对比详情见：零信任服务版本差异对比 扩展服务 根据购买的功能进行计费 扩展服务的有效期与套餐服务有效期一致，套餐服务失效，扩展产品自动关停 按需计费 流量/带宽/短信用量超过已购买量时进行计费 按需使用则会出对应账单，开启按需后，支持关闭按需，可通过【控制台计费详情】进行按需服务的退订 关闭按需若使用量超出套餐+扩展服务时，则相应服务将受到限制。 计费周期：按月结算。 注意 零信任用于内网连接打通，提供远程办公服务，则需要部署连接器，AOne零信任服务提供连接器软件部署方式，您需要准备用于部署连接器软件的虚机或服务器，若您无可用的机器资源，则需自行购买虚机或服务器用于部署，连接器使用以及规格推荐见 涉及登录认证、企业应用相关或其他定制化需求需额外付费，详细资费可

介绍分布式消息服务RabbitMQ的功能使用限制。 限制项 约束和限制 描述 版本 当前服务端版本有3.8.9和3.8.35 兼容AMQP 091协议的客户端版本。 连接数 RabbitMQ单机和集群实例，不同实例规格的连接数上限不一致，具体限制，请参考产品规格。 。 通道数 2GB 磁盘剩余空间低于2GB会触发磁盘高水位，生产者流程被阻塞。 clusterpartitionhandling pauseminority 当集群发生网络分区时，代理会检查自己是否处于“少数派”（存储分区的代理数小于等于总代理数的一半称为少数派）。少数派中的代理将会自动关闭服务并定期检测网络状态，待分区恢复之后重新启动服务。如果未开启镜像队列，发生分区时少数派上的队列将无法生产消费。此策略相当于放弃了可用性而选择了数据一致性。 rabbitmqdelayedmessageexchange 插件延迟时间存在1%左右的误差，可能提前或者推迟发送消息给消费者。 实例是否开启消息延迟功能。 延时消息最大延时时间 7天 延时消息的最大延时时间。

本页介绍如何下载关系数据库MySQL版实例的SSL CA证书。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 数据库版本： 5.7，8.0 实例类型为：单机版，一主一备、一主两备、数据库代理实例。 实例的SSL状态需要为开启状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据安全 ，并选择SSL加密 页签，查看SSL开关状态。 单击SSL设置 ，进入SSL设置 对话框。然后单击SSL链路加密 右侧的图标，单击确定，开启SSL加密。 注意 如果是数据库代理实例，请于代理实例页面的连接地址区域查看。 5. 单击服务器证书 右侧下载证书。

205 [DBProxy]优化在控制台执行DDL语句审计不通过的处理逻辑，展示DDL审计规则不通过的具体信息。 158 [DBProxy]优化DDL HINT处理逻辑，增强HINT处理能力。 363 [DBProxy]优化通过DDL语句下发执行顺序，确保与物理分片顺序一致。 378 [前端]优化控制台创建表时设置分片规则相关配置，提升交互体验。 402 [管理平台]调整退订策略，使退订DRDS实例时自动解除所有关联MySQL实例的绑定状态，确保MySQL实例可以正常退订。 389 [前端]优化重启节点页面提示，提升交互体验。 373 [DBProxy]优化关联MySQL实例策略，使DRDS实例关联主备版MySQL实例时直接关联该MySQL实例主节点，提升操作效率。 374 [DBProxy]优化实例创建后的默认参数，减少故障发生率。 399 [DBProxy]优化ZooKeeper连接申请策略，消除异常场景可能出现的ZooKeeper连接数泄露问题。 425 优化检测分片库时MySQL连接数配置策略，提高实例安全性，该功能对公有云租户端不可见。 436 优化DRDS实例新增节点的防火墙策略，提高实例安全性，该功能对公有云租户端不可见。 427、428 [前端]优化DRDS实例关联MySQL相关的页面提示和操作引导，提升交互体验。 429 [前端]优化DRDS实例表回收站的相关页面提示，提升交互体验。

本文主要介绍如何在数据管理服务DMS实例列表中编辑实例绑定的管控规则。 前提条件 组织版本为企业版。 登录用户的角色为超级管理员、系统管理员、运维管理员或者实例Owner。 操作步骤 1. 用户以超级管理员身份登录DMS系统。 2. 在左侧菜单栏依次点击 数据资产 > 实例管理。 3. 在实例列表界面点击更多 ，点击管控规则，在弹窗中下拉选择要与当前实例绑定的规则集，然后输入托管的数据库账号和密码。 4. 点击测试连接 ，测试通过后，点击确定按钮。

请求示例 请求url /v4/monitor/querycustomeventdata 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "startTime": 1688119721, "endTime": 1688119736, "pageNo": 1, "pageSize": 10 } 响应示例 json { "statusCode":800, "returnObj":{ "customEventMonitorList": [ { "regionID": "81f7728662dd11ec810800155d307d5b", "customEventID": "EVENTacd8b6b4610b97d202306301808", "name": "主机异常事件", "info": "主机A断电异常关闭", "clock": 1688119722000 }, { "regionID": "81f7728662dd11ec810800155d307d5b", "customEventID": "EVENT789012345678901234567890123", "name": "网络异常事件", "info": "网络节点B连接中断", "clock": 1688119735000 } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 }, "errorCode":"", "message":"Success", "msgDesc":"成功" } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 其他 参见公共错误码说明

参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

本文为API接口鉴权签名生成指南。 完整的EOP请求，除了业务参数以外，还必须在请求头中包含以下鉴权信息： ctyuneoprequestid：请求ID eopdate：请求时间 EopAuthorization：构造的鉴权头（关键） 下面说明具体的签名生成流程。 一、准备工作 1. 获取密钥 ：登录天翼云控制台 → 账号中心 → 安全设置 → 用户AccessKey，获取ctyuneopak和ctyuneopsk。 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3. 在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。 4. 在创建AccessKey弹窗中复制AK/SK。 2. 生成时间：请求时间eopdate必须为北京时区的当前时间，格式为YYYYMMDDTHHMMSSZ（如：20211221T163614Z）。 3. 请求ID：每个请求都必须有一个唯一的ctyuneoprequestid，推荐用UUID生成。 二、签名生成流程（4步完成） 步骤1：构造待签名字符串 待签字符串由三部分构成：“需要签名的header参数”、“查询参数（如果有）”、“请求体（如果有）”，通过"n"连接。 plaintext 待签名字符串 排序后的请求头 + "n" + 排序后的查询参数 + "n" + 请求体SHA256哈希值 具体操作： 请求头处理 ：必须包含ctyuneoprequestid和eopdate，按header名称字母顺序排序。 plaintext header1:value1nheader2:value2nheader3:value3 查询参数处理 ：按参数名字母顺序排序，用&连接。 plaintext param1value1¶m2value2 请求体处理：对原始请求体进行SHA256哈希，转为16进制字符串。

本文为API接口鉴权签名生成指南。 完整的EOP请求，除了业务参数以外，还必须在请求头中包含以下鉴权信息： ctyuneoprequestid：请求ID eopdate：请求时间 EopAuthorization：构造的鉴权头（关键） 下面说明具体的签名生成流程。 一、准备工作 1. 获取密钥 ：登录天翼云控制台 → 账号中心 → 安全设置 → 用户AccessKey，获取ctyuneopak和ctyuneopsk。 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3. 在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。 4. 在创建AccessKey弹窗中复制AK/SK。 2. 生成时间：请求时间eopdate必须为北京时区的当前时间，格式为YYYYMMDDTHHMMSSZ（如：20211221T163614Z）。 3. 请求ID：每个请求都必须有一个唯一的ctyuneoprequestid，推荐用UUID生成。 二、签名生成流程（4步完成） 步骤1：构造待签名字符串 待签字符串由三部分构成：“需要签名的header参数”、“查询参数（如果有）”、“请求体（如果有）”，通过"n"连接。 plaintext 待签名字符串 排序后的请求头 + "n" + 排序后的查询参数 + "n" + 请求体SHA256哈希值 具体操作： 请求头处理 ：必须包含ctyuneoprequestid和eopdate，按header名称字母顺序排序。 plaintext header1:value1nheader2:value2nheader3:value3 查询参数处理 ：按参数名字母顺序排序，用&连接。 plaintext param1value1¶m2value2 请求体处理：对原始请求体进行SHA256哈希，转为16进制字符串。

操作步骤 1. 以客户端安装用户，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 运行Impala客户端命令，实现A业务。 直接执行Impala组件的客户端命令： impalashell 说明 默认情况下，impalashell尝试连接到localhost的21000端口上的Impala守护程序。如需连接到其他主机，请使用 i host:port 选项，例如：impalashell i xxx.xxx.xxx.xxx:21000。要自动连接到特定的Impala数据库，请使用 d 选项。例如，如果您的所有Kudu表都位于数据库“impalakudu”中，则d impalakudu可以使用此数据库。要退出ImpalaShell，请使用quit命令。 内部表的操作： 1. 根据表创建用户信息表userinfo并添加相关数据。 createtable userinfo(id string,name string,gender string,age int,addr string); insert into table userinfo(id,name,gender,age,addr)values("12005000201","A","男",19,"A城市"); ......（其他语句相同） 2. 在用户信息表userinfo中新增用户的学历、职称信息。 以增加编号为12005000201的用户的学历、职称信息为例，其他用户类似。 alter table userinfo add columns(education string,technical string); 3. 根据用户编号查询用户姓名和地址。 以查询编号为12005000201的用户姓名和地址为例，其他用户类似。 select name,addr from userinfo where id'12005000201'; 4. 删除用户信息表。 drop table userinfo; 外部分区表的操作： 创建外部分区表并导入数据 1. 创建外部表数据存储路径。 安全模式（集群开启了Kerberos认证）： cd /opt/hadoopclient source bigdataenv kinit hive 说明 用户hive需要具有Hive管理员权限。 impalashell hdfs dfs mkdir /hive hdfs dfs mkdir /hive/userinfo 普通模式（集群关闭了Kerberos认证）： su omm cd /opt/hadoopclient source bigdataenv impalashell hdfs dfs mkdir /hive hdfs dfs mkdir /hive/userinfo 2. 建表。 create external table userinfo(id string,name string,gender string,age int,addr string) partitioned by(year string) row format delimited fields terminated by ' ' lines terminated by 'n' stored as textfile location '/hive/userinfo'; 说明 fields terminated指明分隔的字符,如按空格分隔，' '。 lines terminated 指明分行的字符，如按换行分隔，'n'。 /hive/userinfo为数据文件的路径。 3. 导入数据。 a. 使用insert语句插入数据。 insert into userinfo partition(year"2018") values ("12005000201","A","男",19,"A城市"); b. 使用load data命令导入文件数据。 i.根据下表数据创建文件。如，文件名为txt.log，以空格拆分字段，以换行符作为行分隔符。 ii. 上传文件至hdfs。 hdfs dfs put txt.log /tmp iii. 加载数据到表中。 load data inpath '/tmp/txt.log' into table userinfo partition (year'2018'); 4. 查询导入数据。 select from userinfo; 5. 删除用户信息表。 drop table userinfo;

前置类型 关键词 模板下载 电子商务 第一类增值电信业务，第二类增值电信业务。单位名称包含商贸、百货，上传商贸类网站承诺书 教育 教育咨询、教育咨询服务、校外培训 广播电视电影 电影电视剧、影视、电视综艺、网络影视剧、电视栏目的制作 网约车 网约车 新闻 互联网新闻信息服务、新闻、互联网新闻发布 人力资源 人力资源、劳务派遣 药品医疗器械 药品、医疗器械、一、二、三类医疗器械 文化 直播、互联网直播服务、网络文化 游戏 游戏