本页介绍天翼云TeleDB数据库其他默认值相关参数。 dynamiclibrarypath (string) 如果需要打开一个可以动态装载的模块并且在CREATE FUNCTION或LOAD命令中指定的文件名没有目录部分（即名字中不包含斜线），那么系统将搜索这个路径以查找所需的文件。dynamiclibrarypath的值必须是一个冒号分隔（或者在 Windows 上以分号分隔）的绝对目录路径的列表。如果一个列表元素以特殊字符串开始，libdir会被替换为TeleDB包中已编译好的库目录。这里是TeleDB发布提供的模块被安装的位置（使用pgconfig pkglibdir来找到这个目录的名字）。例如：dynamiclibrarypath '/usr/local/lib/postgresql:/home/myproject/lib:libdir'或者在 Windows 环境中：dynamiclibrarypath 'C:toolspostgresql;H:myprojectlib;libdir'这个参数的默认值是'libdir'。如果该值被设置为一个空字符串，则关闭自动路径搜索。这个参数可以在运行时由超级用户修改，但是这样修改的设置只能保持到这个客户端连接的结尾，因此这个方法应该保留给开发目的。我们建议在postgresql.conf配置文件中设置这个参数。 ginfuzzysearchlimit (integer) GIN 索引返回的集合尺寸的软上限。

本页介绍天翼云TeleDB数据库共享库预载入相关参数。 为了载入附加的功能或者达到提高性能的目的，可用多个设置来预先载入共享库到服务器中。例如'$libdir/mylib'设置可能会导致mylib.so（或者某些平台上的mylib.sl）从安装的标准库目录被预装载。这些设置之间的区别在于生效的时间以及改变它们所需的特权。 可以用这个方法预装载TeleDB的过程语言库，通常是使用'$libdir/plXXX'语法，其中的XXX是pgsql、perl、tcl或python。 只有特别为与TeleDB一起使用设计的共享库才能以这种方式载入。每一个TeleDB支持的库都有一个“魔法块”，它会被检查以保证兼容性。由于这个原因，非TeleDB无法以这种方式被载入。你可能可以使用操作系统的工具（如LDPRELOAD）载入它。 总之，请参考特定模块的文档来用推荐的方法载入它。 localpreloadlibraries (string) 这个变量指定一个或者多个要在连接开始时预载入的共享库。它包含逗号分隔的库名称列表，其中每个名称都被解释为LOAD命令。项之间的空白被忽略；如果需要在名称中包含空格或逗号，请用双引号括住库名。这个参数在连接启动时起作用，对后续更改没有影响。 如果指定的库没有找到，连接尝试将会失败。任何用户都能设置这个选项。正因为如此，能被这样载入的库被严格限制为出现于安装的标准库目录中plugins子目录下的共享库（保证只有“安全的”库被安装到 这里是数据库管理员的责任）。localpreloadlibraries中的项可以显式 指定这个目录，例如libdir/plugins/mylib，或者只是指定库的名称— mylib 和 libdir/plugins/mylib的效果是相同的。这个功能的目的是允许非特权用户加载调试或性能测量库到特定会话， 而不需要显式的LOAD命令。为达到此目的，典型的使用PGOPTIONS环境变量或使用ALTER ROLE SET设置这个参数。除非一个模块被特别设计成由非超级用户以这种方式使用，通常不推荐使用这个设置。应该看看 sessionpreloadlibraries。

本文为您介绍在线创建索引避免阻塞DML语句的具体操作。 1. 新建索引 推荐使用加关键字concurrently的方式在线创建索引，此方式不阻塞DML、DQL语，不影响表的增、删、改、查操作。 例如，在teledb1表的id字段上创建索引语句如下： teledb create index concurrently teledb1ididx on teledb1(id); 2. 重建索引 TeleDB支持在相同字段上创建多个索引，重建索引推荐使用替换的方式，过程如下： 1. 使用concurrently方式在线创建新的索引。 2. 删除原索引（记得设置locktimeout）。 3. analyze表更新统计信息。 3. 更改主键 更改主键，推荐使用替换的方式，过程如下： 1. 在线创建新的包含主键列的唯一索引。 2. 执行以下SQL替换主键： ALTER TABLE teledb1 DROP CONSTRAINT teledb1pkey, ADD CONSTRAINT teledb1newpkey PRIMARY KEY USING INDEX teledb1iduidx; 3. analyze表更新统计信息。

本页为您介绍如何注册加密算法。 plaintext SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password); 参数描述： algoname采用的加密算法，其中加密算法支持 AES128：采用AES算法加密口令长度128。 AES192：采用AES算法加密口令长度192。 AES256：采用AES算法加密口令长度256。 SM4：采用国密SM4算法加密 password:密钥口令 SM4，密钥口令长度必须为16。 AES128，AES192，AES256，密钥口令长度不可超过64。 返回值：算法ID

本页为您介绍如何修改定时任务的ip和端口。 modifyhostport(jobno bigint,hostname text,port int)：第一个参数是定时任务的jodid；第二个参数是任务的ip；第三个参数是任务的端口。 plaintext select dbmsjob.modifyhostport(20002, 'localhost', 20001); 修改jobid为20002的定时任务连接的ip和端口 期望结果，查询dbmsjob.job表发现jobid为20002的定时任务的nodename字段为'localhost'

本页介绍天翼云TeleDB数据库自主访问权限控制。 权限管理 TeleDB采用三权分立体系，将数据库系统角色分为安全员、审计员和管理员。每个角色都被赋予不同的权限，三个角色相互独立、相互制约，从而消除系统中的超级权限，从系统角色设计上保障数据安全。 安全员 负责独立完成安全策略制定，包括强制访问、脱敏和加密策略。 审计员 负责独立完成审计策略制定，所有操作都可以被审计，包括审计员操作记录。 管理员 具备自主访问控制权限、运维权限，但不可干预安全员和审计员的操作。 TeleDB管控台用户账号密码管理 TeleDB支持对管控台账号进行定期检查，检查内容包括： 兼容四位版本解析。 账号名命名的规范性。 离职用户账号、临时账号是否有及时删除或禁止。 角色权限设置是否合理。 导出近3个月控制台日志，查阅是否有未预估的操作。 独立设置账号权限的，权限范围。 密码设置要求：禁止使用弱密码，密码必须超过8个字符，包含大小写英文字母、数字、特殊字符，其中特殊字符至少3个。 说明 安装完成后，为了确保数据库安全，建议删除管理系统和内核初始账号或修改初始密码。 TeleDB管控台角色管理 您可通过如下操作对角色权限进行管理。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理页面 3. 创建角色 (1) 在角色管理页面，单击创建角色，出现创建角色弹框。 (2) 在创建角色弹框，输入角色名称，权限类型选择TeleDB，勾选对应的权限，单击确定，完成权限的添加。 4. 编辑角色 单击目标角色所在的编辑按钮，修改对应的权限。 5. 删除角色 单击目标角色所在行的删除按钮，即可删除对应的权限。 6. 查看角色详情 单击目标角色所对应的详情，即可查看该角色所对应的具体权限。 7. 查看角色列表。 您可根据权限名称和角色进行搜索。 说明 权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。 数据库账号密码管理 账户和密码是连接数据库实例的凭证，客户端凭据账户和密码连接数据库实例时，服务器会判断用户身份，并分发对应的权限给客户端，与管控的账号和密码没有必然联系。 为保证连接实例的账户和密码安全性，有如下安全限制： 账号最多16个字符长度，建议由字母、数字、下划线组成，字母开头，字母或数字结尾。 如设置账号为临时账号，支持设置账号的过期时间，支持限制周期1天、7天、31天、90天以及永不过期。 密码应由864个字符组成，必须包含大小写英文字母、数字、特殊字符，其中特殊字符至少3个。 密码用password()函数转换成长度为40的字符串后存入系统表中，使用安全Hash算法。 系统根据规则提供随机密码。支持切换为弱密码模式，弱密码模式为不存在上述限制要求，该模式开启后存在安全风险，不建议开启。 密码最长使用期限不超过90天，建议每3个月更换一次账号密码。 限制客户端的IP连接方式，支持 IP、IP 段、%三种形式。 限制账户的最大并发连接数，0代表无限制。 限制账号读写方式，根据业务场景选择正常账号、只读账号、DCN读写分离账号。

本页介绍天翼云TeleDB数据库查询带分布键条件的最佳实践。 通过explain查看执行计划，查看SQL语句是否使用到分布键，DN下发DN情况可通过Node/s: 关键字来查看。 如果使用到了分布键，那么SQL只会下发到分布键对应的某个DN节点；如果没有用到分布键，那么SQL会下发到所有DN节点；没有带分布键的SQL，因为下发到了所有DN节点，消耗了更多的连接资源、计算资源，应尽量避免。 某个表的SQL语句可能有不同的where条件，在SQL优化时，应尽量确保高频并发的SQL语句是带了分布键条件。 例如，teledb1表的分布键f2，下面的SQL where条件为f11，没有带分布键条件，那么SQL将下发到所有DN节点执行。 teledb explain select from teledb1 where f11; QUERY PLAN Remote Fast Query Execution (cost0.00..0.00 rows0 width0) Node/s: dn001, dn002 > Gather (cost1000.00..7827.20 rows1 width14) Workers Planned: 2 > Parallel Seq Scan on teledb1 (cost0.00..6827.10 rows1 width14) Filter: (f1 1) (6 rows) 下面的SQL，where条件为f21，带了分布键条件，SQL只下发到了f21所在的DN节点dn001。 teledb explain select from teledb1 where f21; QUERY PLAN Remote Fast Query Execution (cost0.00..0.00 rows0 width0) Node/s: dn001 > Gather (cost1000.00..7827.20 rows1 width14) Workers Planned: 2 > Parallel Seq Scan on teledb1 (cost0.00..6827.10 rows1 width14) Filter: (f2 1) (6 rows)

本页介绍天翼云TeleDB数据库数据库安装环境的安全。 数据库安装环境的安全，建议应该参考信息安全等级保护（三级）标准进行建设，例如： 数据库应该安装在与互联网网络隔离的安全网络中，不应对外暴露数据库的具体物理位置、IP信息。 日常运维全过程应该进行有效控制，避免运维安全风险，除配置数据的安全功能外，还建议配置堡垒机对整个运维过程进行有效管理。 除数据库本身外，使用方应该保护应用通信流和所有相关的应用资源免受利用Web协议发动的攻击，包括SQL注入、跨站脚本、网页篡改和挂马等，同时提供防病毒功能，对各种病毒、蠕虫、木马进行检测和过滤等。以避免应用资源和网络被攻破后导致数据库内核心数据的泄露。 数据库安装的物理（虚拟）环境、操作系统等，应有效保障其安全，有效管理。

本页介绍天翼云TeleDB数据库的表填充因子设计规范。 对于更新（update/delete）频繁的表，要设置合适的填充因子，通常建议50～70%（默认100%），预留一部分页空间用于数据更新，这样可以减少或避免因部分字段更新而导致的索引更新问题（索引字段没有更新，但如果没有预留页空间，索引仍需要更新），而且并发性能更好。 可以设置表的填充因子，例如： alter table teledb1 set (fillfactor70); ALTER方式设置的填充因子，对于存量数据不会重新调整填充率，新写入的数据会按填充因子预留页空间；可以通过数据导出导入的方式更新存量数据填充率。 也可以在创建表时，指定填充因子，例如： create table teledb1(id int) with (fillfactor70);

名称 类型 定义 auditor name 创建或所有审计配置的用户的名称，通过pgcatalog.pggetuserbyid函数根据S.auditorid获取。 actionname text 与审计配置相关联的审计动作的名称，通过pgcatalog.pggetauditactionname函数根据S.actionid获取。 actionmode text 审计动作的模式或类型，通过pgcatalog.pggetauditactionmode函数根据S.actionmode获取。这个模式描述了在什么情况下触发审计动作。 actionison boolean 表示审计动作是否启用的状态。如果审计动作启用，这个字段将返回一个表示真值的指示（可能是true、1或其他表示启用的值）。

本页介绍透明加密功能的使用示例。 plaintext 创建插件 CREATE EXTENSION teledbxmls; 切换为安全管理员用户 c mlsadmin 注册内置的加密算法和对应密钥 使用国测sm4加密算法进行注册，获得对应的算法ID select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); Select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c root create table t1(id int,content int); c mlsadmin 将加密算法绑定到表上,其中1是上面创建的算法ID select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

本页介绍天翼云TeleDB数据库错误处理相关参数。 exitonerror (boolean) 如果为真，任何错误将中止当前会话。默认情况下，这个值被设置为假，这样只有FATAL 错误（致命）将中止会话。 restartaftercrash (boolean) 当被设置为真（默认值）时，TeleDB将在一次后端崩溃后自动重新初始化。让这个值设置为真通常是将数据库可用性最大化的最佳方法。但是在某些环境中，例如节点被集群软件调用时，禁用重启可能很有用，这样集群软件可以得到控制并且采取它认为适当的行动。

本页为您介绍如何修改定时任务的间隔时间。 "interval"(jobno bigint,"interval" text)：第一个参数是定时任务的jodid；第二个参数是任务的时间间隔。 plaintext select dbmsjob.interval(20002, '13 '); 每个小时的第13分钟执行作业 期望结果，查询dbmsjob.job表发现jobid为20002的定时任务的schedule字段为'13 '

本页为您介绍如何修改定时任务首次调度时间。 modifynextdate(jobno bigint, nextdate timestamptz)：第一个参数是定时任务的jodid；第二个参数是任务的调度时间。只有在这个时间之后，定时任务才有可能被调度。 plaintext select dbmsjob.modifynextdate(20002,'20241107 15:00:00'); 修改定时任务的调度时间，在这个时间之前不会调度定时任务。 期望结果：查询dbmsjob.job表中的jobid为20002的定时任务的nextdate字段为20241107 15:00:00

本页介绍天翼云TeleDB数据库通过配置文件设置参数。 设置数据库参数最基本的方法是编辑postgresql.conf文件，该配置文件默认在节点数据目录下。 配置文件中每一行指定一个参数。名称和值之间的等号是可选的。空白是无意义的（除了在一个引号引用的参数值内）并且空行被忽略。井号（ ）指示该行的剩余部分是一个注释。非简单标识符或者数字的参数值必须用单引号包围。要在参数值里嵌入单引号，要么写两个单引号（首选）或者在引号前放反斜线。 以这种方式设定的参数为实例提供了默认值。除非这些设置被覆盖，活动会话看到的就是这些设置。下面的小节描述了管理员或用户覆盖这些默认值的方法。 主服务器进程每次收到SIGHUP信号（最简单的方法是从命令行运行pgctl reload或调用 SQL函数pgreloadconf()来发送这个信号）后都会重新读取这个配置文件。主服务器进程还会把这个信号传播给所有正在运行的服务器进程，这样现有的会话也能采用新值（要等待它们完成当前正在执行的客户端命令之后才会发生）。另外，你可以直接向一个单一服务 器进程发送该信号。有些参数只能在服务器启动时设置，在配置文件中对这些条目的修改将被忽略，直到下次服务器重启。配置文件中的非法参数设置也会在SIGHUP处理过程中被忽略（但是会记录日志）。 除postgresql.conf之外，数据目录还包含一个文件postgresql.auto.conf，它具有和postgresql.conf相同的格式。这个文件保存了通过ALTER SYSTEM命令修改的参数设置。每当postgresql.conf被读取时这个文件会被自动读取，并且它的设置会以同样的方式生效。postgresql.auto.conf中的设置会覆盖postgresql.conf 中的设置。 如果SIGHUP信号没有产生预期效果，那么系统表pgfilesettings 有助于对配置文件的预测试更改，或者诊断问题。

本页介绍天翼云TeleDB数据库系统视图teledbvacuumadvice的内容。 1. 插件开启与关闭 开启：create extension pgvacuumadvice; 同时配置sharedpreloadlibriespgvacuumadvice； 关闭：drop extension pgvacuumadvice; 2. 插件表查找 plaintext select from teledbvacuumadvice; 3. 插件表字段 名称 类型 定义 tablename text 插件记录的表的名称 nodestr text 该表所在的DN节点 starttime timestamptz 上一次autovacuum开始时间 Endtime timestamptz 上一次autovacuum结束时间 systemusage text 上一次autovacuum用户态、内核态的CPU使用时间 ioreadrate real vacuum过程中磁盘读取速率；单位MB/s iowriterate real vacuum过程中磁盘写入速率；单位MB/s sizechange real vacuum前后表体积变化 failurereasonbigtable boolean 如果为t，系统中可能存在因表太大引起的autovacuum失效 failurereasonmanytables boolean 如果为t，系统中可能存在表数量太多引起的utovacuum失效 failurereasonmanytables boolean 如果为t，系统中可能存在表数量太多引起的utovacuum失效 failurereasonlongtransaction boolean 如果为t，系统中可能存在长事务引起的autovacuum失效 4. GUC参数解释与设置 pgvaccumadvice.longxactthreshold：如果事务持续时长超过该时间并阻塞autovacuum清理，则插件进行提示；单位分钟 pgvaccumadvice.bigrelthreshold ：如果表元组数超过该大小，并因此影响autovacuum触发，则插件进行提示 pgvaccumadvice.manyrelsthreshold：如果autovacuum清理过程中，收集到的表超过该数量，则插件进行提示

本页介绍透明数据加密的实现原理和使用方法。 透明数据加密（Transparent Data Encryption）通过在磁盘上存储的数据进行加密和解密来实现数据的保护。 透明：当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密：透明加密使用加密算法来加密数据，并将密钥存储在数据库服务器的受信任位置，以确保安全性。 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建立关联。同时支持将已经绑定的算法从schema，表和列上解绑，从而取消加密算法和数据库对象之间的关联关系。 透明加密通过teledbxmls插件，需要创建插件： plaintext 创建插件 create extension teledbxmls;

本页介绍全密态的使用示例。 plaintext 创建CMK主秘钥 CREATE CLIENT MASTER KEY cmk12 WITH ( KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2); CREATE CLIENT MASTER KEY cmk2 WITH ( KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2); 创建CEK数据秘钥 CREATE COLUMN ENCRYPTION KEY cek1 WITH VALUES ( CLIENTMASTERKEY cmk1, ALGORITHM SM4SM3); CREATE COLUMN ENCRYPTION KEY cek2 WITH VALUES ( CLIENTMASTERKEY cmk2, ALGORITHM SM4SM3); DROP CLIENT MASTER KEY cmk1 CASCADE; 创建加密表，col1未加密，col2使用cek1加密，col3和col4使用cek2加密 CREATE TABLE IF NOT EXISTS tbl1 ( col1 INT, col2 INT ENCRYPTED WITH ( COLUMNSENCRYPTIONKEY cek1, ENCRYPTIONTYPE DETERMINISTIC), col3 TEXT ENCRYPTED WITH ( COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC), col4 VARCHAR(20) ENCRYPTED WITH ( COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC) );

本页为您介绍如何禁用或启用定时任务。 broken(jobno bigint,broken bool)：第一个参数是定时任务的jodid；第二个参数是启用、禁用定时任务，true表示启用，false表示禁用。具体表现在job表的active字段。active为false表示禁用。 plaintext select dbmsjob.broken(20002,false); 禁用jobid为20002的定时任务 select dbmsjob.broken(20002, true); 启用jobid为20002的定时任务 期望结果，查询dbmsjob.job表中的jobid为20002的定时任务的active字段为falsetrue 启用定时任务 run(jobno bigint)：第一个参数是定时任务的jodid；具体表现在job表的active字段。 plaintext select dbmsjob.run(25002); 启用jobid为25002的定时任务。

本页介绍天翼云TeleDB数据库订阅相关参数。 这些设置控制逻辑复制订阅的行为。发布者的值无关紧要。 请注意，walreceivertimeout和 walretrieveretryinterval配置参数还影响逻辑复制工作。 maxlogicalreplicationworkers (int) 指定逻辑复制工作的最大数量。这包括应用工作和表同步工作。逻辑复制工作进程是从maxworkerprocesses 定义的进程池中取出的。默认值是4。 maxsyncworkerspersubscription (integer) 每个订阅的最大同步工作者数量。此参数控制订阅初始化期间或添加新表时初始数据副本的并行数量。目前，每个表只能有一个同步工作进程。同步工作进程是从maxlogicalreplicationworkers 定义的进程池中取出的。默认值是2。

vacuumdefercleanupage (integer) 指定VACUUM和HOT更新在清除死亡行版本之前，应该推迟多久（以事务数量计）。默认值是零个事务，表示死亡行版本将被尽可能快地清除，即当它们不再对任何打开的事务可见时尽快清除。在一个支持热后备服务器的主服务器上，你可能希望把这个参数设置为一个非零值。这允许后备机上的查询有更多时间来完成而不会由于先前的行清除产生冲突。但是，由于该值是用在主服务器上发生的写事务的数目衡量的，很难预测对后备机查询可用的附加时间到底是多少。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。你也可以考虑设置后备服务器上的hotstandbyfeedback作为使用这个参数的一种替代方案。这无法阻止已经达到oldsnapshotthreshold 所指定年龄的死亡行被清除。

walsendertimeout (integer) 中断那些停止活动超过指定毫秒数的复制连接。这对发送服务器检测一个后备机崩溃或网络中断有用。零值将禁用该超时机制。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。默认值是 60 秒。 trackcommittimestamp (boolean) 记录事务提交时间。这个参数只能在postgresql.conf文件或者服务器命令行上设置。缺省值是off。

bgwriterlrumultiplier (floating point) 每一轮次要写的脏缓冲区的数目基于最近几个轮次中服务器进程需要的新缓冲区的数目。最近所需的平均值乘以bgwriterlrumultiplier可以估算下一轮次中将会需要的缓冲区数目。脏缓冲区将被写出直到有很多干净可重用的缓冲区（然而，每一轮次中写出的缓冲区数不超过bgwriterlrumaxpages）。 因此，设置为 1.0 表示一种“刚刚好的”策略，这种策略会写出正好符合预测值的数目的缓冲区。 更大大的值可以为需求高峰提供某种缓冲，而更小的值则需要服务进程来处理一些写出操作。默认值是 2.0。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 bgwriterflushafter (integer) 不管何时后端写入器写入了超过bgwriterflushafter字节，尝试强制 OS 把这些写发送到底层存储上。这样做将限制内核页缓存中脏数据的量，降低了在检查点末尾发出一个fsync时或者 OS 在后台大批量写回数据时卡住的可能性。那常常会导致大幅度压缩的事务延迟，但是也有一些情况（特别是负载超过 sharedbuffers但小于 OS 页面高速缓存）的性能会降低。这种设置可能会在某些平台上没有效果。合法的范围在0 （禁用强制写回）和2MB之间。Linux 上的默认值是 512kB，其他平台上是0（如果BLCKSZ 不是8kB，默认值和最大值按比例缩放）。这个参数只能在postgresql.conf 文件中或者服务器命令行上设置。 较小的bgwriterlrumaxpages和bgwriterlrumultiplier可以降低由后台写入器造成的额外 I/O 开销。但更可能的是，服务器进程将必须自己发出写入操作，这会延迟交互式查询。

创建客户端CMK主密钥，用于加密CEK数据密钥。 plaintext CREATE CLIENT MASTER KEY clientmasterkeyname WITH ( KEYSTORE keystorename, KEYPATH "keypathvalue", ALGORITHM algorithmtype ); 参数描述： clientmasterkeyname：密钥对象名，在同一命名空间中满足唯一性约束,长度[1, 64] KEYSTORE：指定管理CMK的密钥工具或组件，取值如下： localkms： 本地KMS netcakms：网证通KMS,数据库内核连接管控的URL来连接KMS。其中，URL通过teledbxmanagerurl GUC配置进行设置，如果更改URL需要断开原有连接重新建立连接。 KEYPATH：KEYSTORE负责管理多个CMK密钥，KEYPATH选项用于在KEYSTORE中唯一标识CMK。其支持的字符范围包括09, az, AZ, 下划线'', 圆点'.'和短横线''。 ALGORITHM：由本语法创建的用于加密CEK，该参数用于指定加密算法的类型，支持 SM2：表示采用国密SM2算法 RSA2048，表示采用RSA算法密码长度为2048位。 RSA3072，表示采用RSA算法密码长度为3072位。

本页介绍天翼云TeleDB数据库通过Shell设置telesql/libpq客户端参数。 除了在数据库或者角色层面上设置全局默认值或者进行覆盖，还可以通过shell 工具把设置传递给TeleDB。服务器和libpq客户端库都能通过 shell 接受参数值。 在服务器启动期间，可以通过c命令行参数把参数设置传递给postgres命令。例如： postgres c logconnectionsyes c logdestination'syslog' 这种方式提供的设置会覆盖通过postgresql.conf或者 ALTER SYSTEM提供的设置，因此除了重启服务器之外无法从全局上改变它们。 当通过libpq启动一个客户端会话时，可以使用PGOPTIONS 环境变量指定参数设置。这种方式建立的设置构成了会话生存期间的默认值，但是不会影响其他的会话。由于历史原因，PGOPTIONS的格式和启动 postgres命令时用到的相似，特别是c标志必须被指定。 例如： env PGOPTIONS"c geqooff c statementtimeout5min" 通过shell 或者其他方式，其他客户端和库可能提供它们自己的机制，以便允许用户在不直接使用SQL命令的前提下修改会话设置。

本页介绍天翼云TeleDB数据库文件位置相关参数。 datadirectory (string) 指定用于数据存储的目录。这个选项只能在服务器启动时设置。 configfile (string) 指定主服务器配置文件postgresql.conf。这个参数只能在postgres命令行上设置。 hbafile (string) 指定基于主机认证配置文件pghba.conf。 这个参数只能在服务器启动的时候设置。 identfile (string) 指定用于用户名称映射的配置文件pgident.conf。 这个参数只能在服务器启动的时候设置。 externalpidfile (string) 指定可被服务器创建的用于管理程序的额外进程ID（PID）文件。这个参数只能在服务器启动的时候设置。 在默认安装中不会显式设置以上参数。相反，命令行参数D或者环境变量PGDATA指定数据目录，并且上述配置文件都能在数据目录中找到。 不建议更改上述参数默认值。

创建客户端CEK数据密钥，用来对数据库用户数据加解密。 plaintext CREACREATE COLUMN ENCRYPTION KEY columnencryptionkeyname WITH( CLIENTMASTERKEY clientmasterkeyname, ALGORITHM algorithmtype, ENCRYPTEDVALUE encryptedvalue ); 参数描述： columnencryptionkeyname：CEK数据密钥对象名，在同一命名空间中满足唯一性约束 CLIENTMASTERKEY：指定用于对当前CEK加密的CMK ALGORITHM：指定该CEK将用于何种加密算法，支持： AEADAES256CBCHMACSHA256：采用AES256 CBC模式对数据加密实现数据机密性，通过消息验证码(SHA256生成数据摘要)确保数据的完整性和身份校验。 AEADAES128CBCHMACSHA256：采用AES128 CBC模式对数据加密实现数据机密性，通过消息验证码(SHA256生成数据摘要)确保数据的完整性和身份校验。 SM4SM3：采用国密SM4 CBC模式对数据加密实现数据机密性，通过消息验证码(国密SM3生成数据摘要)确保数据的完整性和身份校验。 ENCRYPTEDVALUE（可选项）：用户指定的密钥口令，如果不指定，则会自动生成密钥。密钥口令长度范围为[28, 256]个字符。28个字符派生出来的密钥安全强度满足AES128。如果采用用AES256，密钥口令的长度需要39个字符。如果不指定，则会自动生成256比特的密钥。

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

安全功能 说明 访问控制 TeleDB支持通过设有用户权限控制和强制访问控制，对不同对象有不同的访问来控制权限，确保数据安全。 数据加密 TeleDB支持通过数据加密来确保只有授权的用户才能访问敏感信息，防止个人信息泄露。 审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。

本页为您介绍如何删除定时任务。 unschedule(jobno bigint)：第一个参数是定时任务的jodid。 plaintext select dbmsjob.unschedule(20002); 删除jobid为20002的定时任务 期望结果，查询dbmsjob.job表发现jobid为20002的定时任务不存在

本页为您介绍如何查询定时任务以及执行记录。 plaintext select from dbmsjob.job; 查询定时任务 select from dbmsjob.joblog; 查询定时任务的执行记录

本页介绍天翼云TeleDB数据库存储过程开发的GOTO语句。 teledb create or replace procedure pgoto(vmaxnum integer) as $$ declare maxnum integer; begin maxnum : vmaxnum; for i in 1..maxnum loop if i3 then goto label; end if; raise notice 'i%',i; end loop; > raise notice 'goto end'; end; $$ language plpgsql; CREATE PROCEDURE teledb call pgoto(5); NOTICE: i1 NOTICE: i2 NOTICE: goto end CALL teledb go 用于跳转到某个标签下。