应用性能监控(Application Performance Monitoring,APM)是天翼云可观测体系中的一款产品,能帮助您进行应用性能管理。 应用性能监控（APM）作为天翼云可观测体系中的关键产品，可以为应用、容器等不同对象提供全链路一体化的监控解决方案，帮助您实现全栈性能监控与端到端追踪诊断，为您的应用健康保驾护航。APM包含以下子能力，您在构建自己的监控体系时，可根据业务需求选择使用。 应用监控：无需修改您的应用代码，只需为应用安装探针，APM就可以为应用构建全方位监控，掌控应用运行状态，包括错、慢接口定位、性能瓶颈洞察，重现调用参数与调用链路，可帮助您大幅提升运维效率。 Prometheus监控：全面对接开源 Prometheus 生态，与云容器服务高度集成，集成丰富的容器基础监控指标，提供高可用、全托管的Prometheus监控能力，减少开发和运维成本。（目前仅华东1资源池支持Prometheus监控能力） 关键特性 可视化监控：无需配置，自动监控JVM、基础资源、URL、Exception、SQL等各类监控指标，并提供可视化图表展示。 全链路追踪：自动发现应用的上下游依赖关系，捕获计算并立体展示不同应用之间组成的调用链，进行全链路拓扑化追踪，轻松发现异常调用。 灵活告警：提供几十项告警指标配置，具备静默策略等告警收敛能力，支持短信、邮件、IM应用等多通知渠道，满足客户各场景的灵活告警诉求。 容器Prometheus监控：无缝对接天翼云云容器引擎，提供多种开箱即用的预置监控仪表盘，集成丰富的容器基础监控指标。

本章节主要介绍翼MapReduce服务如何扩容数据盘容量。 当master、core或task节点的数据存储空间无法满足您的业务需求时，您可以使用磁盘扩容功能增加数据盘的空间。 背景信息 1. V2.15版本起，翼MR集群支持磁盘扩容功能。 2. 当前翼MapReduce控制台仅支持对数据盘容量进行扩容，不支持系统盘扩容。 3. 仅支持对状态为“运行中”的集群进行磁盘扩容操作。 4. 当前云硬盘不支持缩容，扩容生效后无法缩小，请按需规划存储空间。 5. 磁盘扩容成功后，低于V2.19.3版本的集群，需要登录云主机扩展分区和文件系统，V2.19.3版本起，无需进行该操作。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“节点管理”，在需要扩容磁盘的节点组的“操作”列单击“磁盘扩容”，在磁盘扩容弹窗中进行配置。 4. 选择需要扩容的配置并完成支付后，可在“节点管理”的节点信息中，查看磁盘扩容结果，当节点组状态从“变更中”变为“运行中”，且容量已增加，表示扩容成功。 5. 扩容成功后，低于V2.19.3版本的集群，需要登录云主机扩展分区和文件系统，详细操作方式请参考数据盘扩展磁盘分区和文件系统。

本文主要介绍入门指引。 本文将为您介绍分布式消息服务Kafka入门的基本流程，主要包括控制台创建Kafka专享版实例、使用弹性云主机连接实例的操作，帮助您快速上手Kafka。 您还可以通过API方式创建Kafka实例、在业务代码中连接Kafka实例。 操作流程 图Kafka使用流程 1. 环境准备 Kafka实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 Kafka实例创建后，您需要在弹性云主机中下载和安装Kafka开源客户端，然后才能进行生产消息和消费消息。 2. 创建Kafka实例 在创建实例时，您可以选择是否开启SASL访问，开启后，数据加密传输，安全性更高。同时，SASL开关只能在创建实例时设置，实例创建成功后，不支持修改。 3. （可选）创建Topic Kafka实例创建成功后，如果没有开启“Kafka自动创建Topic”，需要手动创建Topic，然后才能进行生产消息和消费消息。 4. 连接实例 针对实例是否开启SASL开关，在连接时是否需要下载证书，区分以下两种场景： 未使用SASL：包含内网访问和公网访问。 使用SASL：包含内网访问和公网访问。 5. 配置告警 配置Kafka实例监控告警策略，监控实际业务运行状态。 说明 关于Kafka的相关概念，请参考

天翼云为您提供天翼云点播服务协议,请您点击查看。 天翼云点播服务协议

本章节主要介绍数据仓库服务的权限管理。 如果您需要对云上的DWS资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云帐号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DWS的使用权限，但是不希望他们拥有删除集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DWS，但是不允许删除集群的权限，控制他们对DWS资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DWS服务的其它功能。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证用户指南中的“产品介绍”。 DWS权限 默认情况下，IAM管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DWS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DWS时，需要先切换至授权区域。 角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DWS服务，IAM管理员能够控制IAM用户仅能对某一类资源进行指定的管理操作。 如下表所示，包括了DWS的所有系统权限。 DWS系统权限 系统角色/策略名称 描述 类别 依赖关系 DWS ReadOnlyAccess 数据仓库服务只读权限，拥有该权限的用户仅能查看数据仓库服务资源。 系统策略 无 DWS FullAccess 数据仓库服务数据库管理员权限，拥有数据仓库服务所有权限。 系统策略 无 DWS Administrator DWS数据库管理员权限，拥有对数据仓库服务的所有执行权限。 拥有VPC Administrator权限的DWS用户可以创建VPC或子网。 拥有云监控Administrator权限的DWS用户，可以查看DWS集群的监控指标信息。 系统角色 依赖Tenant Guest和Server Administrator策略，需要在同项目中勾选依赖的策略。 DWS Database Access DWS数据库访问权限，拥有该权限的用户，可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。 系统角色 依赖DWS Administrator，需要在同项目中勾选依赖的策略。 下表列出了DWS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统策略。 说明 每个区域的每个项目首次使用弹性IP绑定功能时，系统将提示创建名称为“DWSAccessVPC”委托以授权DWS访问VPC。授权成功后，DWS可以在绑定弹性IP的虚拟机故障时切换至健康虚拟机。 在实际业务中，除了具备策略权限外还需要给不同角色的用户授予不同的资源操作权限。例如创建快照、重启集群等操作，详情请参见《数据仓库服务用户操作指南》中“策略语法：细粒度策略”章节。 默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，在使用弹性IP绑定功能时页面会屏蔽绑定按钮，此时需联系有“DWS Administrator”权限的用户在当前页面完成对DWS的委托授权。 DWS常用操作与系统权限的关系 操作 DWS FullAccess DWS ReadOnlyAccess DWS Administrator DWS Database Access 创建/恢复集群 √ x √ x 获取集群列表 √ √ √ x 获取单个集群详情 √ √ √ x 设置自动快照 √ x √ x 设置安全参数/参数组 √ x √ x 重启集群 √ x √ x 扩容集群 √ x √ x 重置密码 √ x √ x 删除集群 √ x √ x 设置可维护时间段 √ x √ x 绑定EIP x x √ x 解绑EIP x x √ x 创建DNS域名 √ x √ x 释放DNS域名 √ x √ x 修改DNS域名 √ x √ x 创建MRS连接 √ x √ x 更新MRS连接 √ x √ x 删除MRS连接 √ x √ x 添加/删除标签 √ x √ x 编辑标签 √ x √ x 创建快照 √ x √ x 获取快照列表 √ √ √ √ 删除快照 √ x √ x 复制快照 √ x √ x

本页主要介绍了MySQL实例一些常见的监控指标。 用户平时需要关注实例的哪些监控指标 用户需关注实例运行状态、CPU 利用率、内存利用率、磁盘空间利用率、网络、数据库的线程数QPS/TPS等相关指标。 用户可以根据实际应用场景配置告警提示，当收到告警，可采取相应措施消除告警。设置告警请参考监控与告警设置自定义告警规则。 如果用户收到与CPU利用率、内存利用率有关的告警，可以通过实例规格变更分别增大CPU、内存，请参考实例管理规格扩容。 如果用户收到与磁盘空间利用率有关的告警，可以通过磁盘空间扩容增大磁盘空间，请参考实例管理存储空间扩容。 MySQL实例内存使用率指标的计算方法 在实例列表页面，点击实例右侧的“监控”查看监控，可以看到相关监控指标，具体支持的监控指标可以参考支持的监控指标。 MySQL实例内存使用率指标的计算方法： 内存使用率 （总内存 –（空闲内存 + 给文件的缓冲大小 + 高速缓冲存储器使用的大小））/ 总内存。 如何设置主备复制延时的告警规则 关系数据库MySQL版目前暂不支持设置主备复制延时的告警。如果您想确认当前主备实例是否存在延时，您可以查看监控指标中的主从复制延迟指标，该指标只有从节点有数据。或者您可以提交工单进行请求。

云原生API网关以托管的方式来做流量入口,提供丰富的流量治理能力,支持多种服务发现方式,如容器服务、MSE Nacos、固定地址和DNS域名,并以统一的模型支持服务版本以及灰度发布能力。本文介绍基于容器服务K8s发现机制来实践服务发布策略。 前提条件 了解蓝绿部署、A/B测试以及金丝雀发布机制。详细信息，请参见 服务发布策略。 已具备云容器引擎CCE实例，参见 创建一个CCE应用集群。 已完成云原生API网关创建，具体操作，请参见创建网关实例。 部署服务 容器内部署服务 首先在容器内部署两个版本的服务，两个版本的Deployment分别挂到reviewsv1和reviewsv2服务下： plaintext apiVersion: v1 kind: Service metadata: name: reviewsv1 labels: workloadKind: Deployment workloadName: reviewsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: reviews version: v1 apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv1 spec: replicas: 1 selector: matchLabels: name: reviewsv1 template: metadata: labels: app: reviews version: v1 name: reviewsv1 source: CCE spec: containers: name: reviews image: 'registryvpccrs' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: v1 kind: Service metadata: name: reviewsv2 labels: workloadKind: Deployment workloadName: reviewsv2 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: reviews version: v2 apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv2 spec: replicas: 1 selector: matchLabels: name: reviewsv2 template: metadata: labels: app: reviews version: v2 name: reviewsv2 source: CCE spec: containers: name: reviews image: 'registryvpccrs' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {}

本文为您介绍攻击挑战功能。 功能介绍 攻击挑战指自动阻断在短时间内发起多次 Web 攻击（规则引擎触发）的客户端 IP，一段时间内阻止所有请求，阻断日志可以在攻击日志中查看，可以快速拦截恶意攻击 Web 的 IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用攻击挑战功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“攻击挑战”模块，可以配置攻击挑战策略； 配置说明 配置项 说明 开关 防护策略开关，可选择开启或者关闭策略 处理动作 请求触发攻击挑战策略后的处理动作，可选择拦截或者告警 攻击类型 仅勾选的攻击类型会做统计。点击“全部”按钮就自动选中所有攻击类型 统计周期 防护策略的统计周期，支持配置秒级粒度 统计粒度 统计粒度支持选择IP、Header、UA、COOKIE、客户端端口、服务端口 阈值 在【统计周期】内的【统计粒度】的请求数，触发的策略超过【阈值】次数，则执行【处理动作】 其中阈值即触发已选攻击类型的攻击阈值。有两种触发条件：命中防护规则达N次、命中防护规则ID达M个，当两者同时配置时，攻击满足两个条件才会触发拦截 拦截时间 指客户端IP满足触发条件后，处理动作会持续的时间 例外ID 例外的规则ID，规则ID可在域名规则中查询 例外客户端IP 不需要经过攻击挑战策略的客户端IP

本章节向您介绍如何克隆安全组与复制安全组规则。 克隆安全组 操作场景 VPC支持同区域或者跨区域克隆安全组，方便您将相同的安全组规则快速应用到不同区域的弹性云主机上。 当您遇到如下场景时，推荐您使用克隆安全组功能： 假设您已经在区域A创建了一个安全组sgA，此时您需要为区域B内的弹性云主机使用与sgA完全相同的规则，您可以直接将sgA克隆到区域B，而不需要在区域B重新创建安全组。 如果您的业务需要执行新的安全组规则，您可以克隆原有的安全组作为备份。 如果您需要修改当前业务使用的安全组规则，建议您可以克隆一个测试安全组，在测试环境调测成功后，再修改运行的业务安全组。 约束与限制 同一个区域内克隆安全组时，可以克隆安全组内的全部规则。 跨区域克隆安全组时，仅支持克隆源/目的地址是IP地址或者本安全组的规则，不支持克隆源/目的地址是其他安全组和IP地址组的规则。 克隆安全组功能是克隆安全组及安全组规则，不支持克隆此安全组关联的实例。 克隆安全组支持在同一个账号内使用，如果您需要跨账号快速创建安全组，则推荐您使用导入/导出安全组规则功能。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列的“克隆”。 3. 根据界面提示，选择新克隆安全组所在的区域，名称等参数。 4. 参数设置完成后，单击“确定”，完成安全组克隆，您可以在对应区域的安全组列表中，查看克隆成功的安全组。 复制安全组规则

审计信息筛选 根据5W1H（What、Where、When、Who、Why、How）分析模型进行规则设置，提供丰富的规则条件配置方法。 内置900多条安全相关的审计分析规则。 根据采集到的数据进行数据分析和产生行为模型。 审计结果查询。 预警与报表 提供Syslog、短信、邮件、SNMP、钉钉、企业微信等告警通知方式，可第一时间通知管理人员。 可与综合日志审计分析平台等进行日志的整合。 内置23种高价值、符合法律法规的分析报表，可从数据库账号增删、密码修改、权限变更、高危操作、违规告警、账号复用、数据库性能分析等维度进行分析。 提供自定义报表功能，可根据客户的业务需要，选择不同的维度和指标对审计数据进行统计和分析。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“数据库审计 > 数据库审计v1.0”，进入数据库审计v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到数据库审计v1.0控制台。 使用数据库审计v1.0 了解更多数据库审计相关操作内容，请下载阅读《云等保专区数据库审计 v1.0 用户指南》。 开启IPv6防护 数据库审计不支持IPv4和IPv6的切换。若需要开启IPv6防护，请确保在购买数据库审计资源时，所选子网已开启IPv6，否则需要重新购买。 购买数据库审计时，选择的子网已启用IPv6，则自动开启IPv6防护。 购买数据库审计时，选择的子网未启用IPv6，则需重新下单数据库审计，确保其所选子网已开启IPv6。详细操作请参见创建IPv4/IPv6双栈子网、购买云等保专区。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能 用户自动化运维可执行的命令和脚本受到命令权限的限制 新建自动运维策略 1.使用“管理角色”或“运维角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3.单击“新增”，开始新增自动运维策略。 4.在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5.单击“确认”，弹出“验证用户身份”窗口。 6.在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

准备工作 已购买零信任远程办公服务（VPN版本及以上支持），并完成基本的远程办公接入（配置用户与组织、配置应用资源、配置应用授权、部署连接器），实现网络已连通。 准备好用于自有的域名（泛域名），该域名需具备解析管理权限以及拥有对应域名的 SSL 证书。若无对应域名，可联系我们进行审核安排处理。 明确要接入的应用（应用必须为Web类应用）。 无端访问配置 配置说明 1.登录边缘安全加速平台控制台。 2.支持在AOne零信任工作台进行配置。 3.在左侧导航栏，选择应用无端访问进行相应配置。 需要提供泛域名、并完成证书配置后将提供CNAME地址，请将泛域名DNS解析指向提供的CNAME地址。 字段说明： 配置字段 是否必填 说明 泛域名 是 域名需要完成ICP备案并且域名需要进行域名归属权校验。 证书备注名 是 为保证访问安全性，仅支持HTTPS访问，则需要提供对应域名证书，证书配置见证书管理。 门户登录地址 是 即门户登录时使用的地址，即泛域名下的具体域名。

本节为您介绍Oracle RAC系统安装的系统环境配置信息。 Oracle RAC系统的安装，需要进行较多的实例配置，配置遗漏或者错误会导致安装失败。详细配置方法请参照具体的配置手册，或咨询Oracle专家，示例仅展示CentOS7下静默安装Oracle RAC的主要步骤。实例配置可参考Oracle官方文档。 系统及软件信息 在本次示例中： 实例的操作系统为：CentOS Linux release 7.6.1810，内核版本为：3.10.0957.el7.x8664。 Oracle RAC的软件版本为：19c（19.3）Linux x8664。 NTP配置 Oracle RAC需要集群内所有实例的时间保持一致，时钟差距过大，会导致集群节点无法正常启动。可以通过公网或者内网NTP server同步好集群内各个实例的时钟。 ntpdate swap空间配置 Oracle文档建议内存在4GB16GB的实例，swap空间配置与内存空间一致，内存大于16GB的实例，swap空间配置为16GB即可。 fallocate l 16G /swapfile 此⽅式，swapon可能会失败，可以直接dd⼀个文件 dd if/dev/zero of/swapfile count1024k bs16384 chmod 600 /swapfile mkswap /swapfile swapon /swapfile /dev/shm 共享内存配置 需要确认/etc/fstab中配置了/dev/shm共享内存设备的正确挂载，类型需为 tmpfs 。 防火墙 检查Oracle相关服务没有被防火墙阻止（不建议直接关闭防火墙服务，除非在内网可信任网络内）。

本文为您介绍分布式消息服务MQTT消息收发内容。 会话机制 终端 clean sessiontrue,断线后会话信息清除，再次上线后之前所有的订阅关系以及离线消息丢失。 clean sessionfalse断开连接的情况下，MQTT Broker也会为断连客户端保存一个会话，默认2小时，超期未重连订购关系清除；对于clean sessionfalse的客户端断线重连后可接收Qos>0的离线消息。对于客户端因网络等各种原因断线，需要加上重连和订购关系重新订购机制。 离线消息 对于clean sessionfalse的客户端，在未超出会话失效期，断线重连后可接收Qos>0的离线消息。 系统主题 系统主题 说明 mq2mqtt 用于云端服务向终端发送消息。发往该主题消息会转发至MQTT Broker实现云端与移动端互通 mqttdeviceconnect 设备上线主题，内容 {"clientid":客户端ID,"ts":上线时间戳 } mqttdevicedisconnect 设备下线主题，内容 {"clientid":客户端ID,"ts":下线时间戳 } SDK支持 分布式消息服务MQTT支持标准的MQTT协议，理论上适配所有的MQTT客户端SDK。 推荐对应的第三方 SDK 如下表： 语言/平台 推荐的第三方SDK Java Eclipse Paho SDK iOS MQTTClientFramework Android Eclipse Paho SDK JavaScript Eclipse Paho JavaScript Python Eclipse Paho Python SDK C Eclipse Paho C SDK C Eclipse Paho C SDK Golang Eclipse Paho Golang SDK Node.js MQTTJS PHP MosquittoPHP

RabbitMQ专享实例是否支持公网访问？ RabbitMQ专享实例支持公网访问。 在创建RabbitMQ专享实例的“更多”选项中，选择开启“公网访问”可自主控制是否进行公网访问，并选择已购买的弹性IP及带宽。或创建完后，在实例详情页中将公网访问开关打开。 RabbitMQ实例是否支持跨VPC和跨子网访问？ RabbitMQ实例支持跨VPC和子网访问，可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 SSL方式连接RabbitMQ实例失败？ 首先排查安全组的入方向规则，是否放开了端口5671（SSL方式访问）或5672（非SSL访问）。 其次，参考如下内容配置SSL单向认证： ConnectionFactory factory new ConnectionFactory(); factory.setHost(host); factory.setPort(port); factory.setUsername(user); factory.setPassword(password); factory.useSslProtocol(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); 客户端是否可以通过DNAT方式访问RabbitMQ实例？ 可以。 为什么RabbitMQ集群只有一个连接地址？ RabbitMQ集群实例的连接地址，实际上是实例的LVS节点地址（负载均衡地址），客户端连接实例时，通过负载均衡器将客户端请求分发到集群实例的各个节点。 RabbitMQ实例集群的队列是否有备份？ RabbitMQ实例默认开启了镜像队列，会在集群中多个代理上备份队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

介绍天翼云边缘安全加速平台—安全与加速服务对QUIC协议的支持情况以及配置说明。 适用场景 目前，天翼云边缘安全加速平台—安全与加速服务开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入边缘安全加速平台—安全与加速服务。 支持的QUIC类型 目前，天翼云边缘安全加速平台—安全与加速服务同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 注意事项 如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 如果您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版以及以上版本。

本章节会介绍关系型数据库的安全防护措施。 关系型数据库是天翼云提供的一款安全、可信的数据库服务。 RDS秉承天翼云对租户的安全承诺，尊重租户数据主权，坚持中立、客观的立场，恪守业务边界，不碰租户数据，不会利用租户数据谋取商业价值。RDS允许租户快速发放不同类型数据库，并可根据业务需要，对计算资源和存储资源进行弹性扩容。RDS提供自动备份、即时备份、数据库恢复等功能，以防止数据丢失。参数组功能，则允许租户根据业务需要进行数据库调优。 RDS还提供多个特性来保障租户数据库的可靠性和安全性，例如VPC、安全组、权限设置、SSL连接、自动备份、时间点恢复和跨可用区部署等。 网络隔离 VPC允许租户通过配置VPC入站IP范围，来控制连接数据库的IP地址段。RDS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署RDS的高可用实例选择此子网完成，RDS在创建完实例后会为租户分配此子网的IP地址，用于连接数据库。RDS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接数据库。租户可以综合运用子网和安全组的配置，来完成RDS实例的隔离，提升RDS实例的安全性。

本文将向您介绍如何删除终端节点服务,以便您根据实际需求进行操作。 操作场景 当您的业务需求发生变化，需要重新配置或不再需要特定终端节点服务时，可以考虑将其删除。 注意事项 终端节点服务删除后无法恢复，在删除之前，请确保没有依赖该服务的其他资源，并备份必要的数据以防止数据丢失。 约束及限制 您只能删除由用户私有服务创建的终端节点服务，无权删除系统配置的终端节点服务。 当终端节点服务含有存在状态为“已连接”状态的终端节点时，无法直接删除，需先删除对应的终端节点。终端节点服务下终端节点的状态详情请参考终端节点有哪些状态。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”。 5. 在终端节点服务列表选择要删除的终端节点服务，点击终端节点服务所在行的“删除”按钮。 6. 在弹出的对话框点击“确定”按钮，即可完成删除操作。

本文介绍分布式缓存服务Redis主备 分布式缓存Redis主备在单机的基础上，增加了备用节点以保证服务的高可用性与数据可靠性，部署架构采用主备双节点模式，主节点提供日常服务访问，备用节点提供数据高可用。当主节点发生故障不可用，系统将自动进行秒级切换至备节点，以保证服务的连续性。 架构示意图 说明 主备实例包含了master和replica节点。开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当检测主节点发生故障，备节点升级为主节点，恢复业务。 特点 数据同步 通过增量数据同步的方式，保持缓存实例主备节点的数据一致性。当节点出现故障，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 主备秒级自动切换 当主节点出现故障不可用，系统会自动在30秒内切换至备节点，备节点升级为主节点，恢复正常数据访问，无需用户操作，从而保证服务连续性。 多可用区部署 开通实例时支持多可用区部署，主备节点可部署在不同的AZ内，节点间电力与网络均物理隔离，当一个可用区不可用时，其他可用区中的节点可以继续提供服务，避免单点故障，进一步提高数据可靠性。

如果您的实例类型不能满足业务需求，您可以手动升级实例以提高实例性能，例如将单机升级至一主一备。本文介绍关系数据库MySQL版产品的系列升级功能。 前提条件 实例状态为运行中。 内核版本为最新。 注意事项 实例系列升级期间数据库服务将不可用，时间为5分钟左右（时间可能会根据网络等原因有所变化，以实际为准），建议您合理安排业务，谨慎操作。 系列升级后，数据库实例的节点信息发生变更，若实例已开启数据库代理，则需要在数据库代理页面重新设置节点权重，以刷新后端的节点信息。 系列升级过程中，新节点的数据初始化会对主节点带来额外的IO开销，可能会影响正常的业务SQL执行效率。建议您选择业务低峰期操作。 操作步骤 注意 关系数据库MySQL版产品系列升级支持： 单机升级至一主一备 单机升级至一主两备 一主一备升级至一主两备 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 系列升级。 4. 在系列升级页面，对实例进行升级操作。

操作场景 当您想要为域名增加一条到IPv6地址的解析记录时，可以执行本操作添加记录集。支持为内网域名添加AAAA类型记录集。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 内网DNS”。 进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。 进入域名列表页面。 4. （可选）如果选择“内网域名”，请单击管理控制台左上角的，选择区域和项目。 5. 在待添加记录集的域名所在行，单击“名称”列的域名名称。 6. 单击“添加记录集”。 系统进入“添加记录集”页面。 7. 设置记录集参数，如下表所示。 表添加AAAA类型记录集参数说明 参数 参数说明 取值样例 主机记录 域名（后缀无需用户手动填写）。如果输入框未填值，则参数值默认为该域名的名称。 www 类型 记录集的类型，此处为AAAA类型。 AAAA – 将域名指向IPv6地址 TTL(秒) 记录集的有效缓存时间，以秒为单位。 默认为“5min”，即300s。 值 域名对应的IPv6地址。多个IPv6地址以换行符分隔。 ff03:0db8:85a3:0:0:8a2e:0370:7334 描述 可选配置，对域名的描述。长度不超过255个字符。 The description of the hostname. 8. 单击“确定”，完成记录集的添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。

堡垒机v2.0常见问题请参见云堡垒机（原生版）常见问题。

插件卸载 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“卸载”。

本章介绍函数工作流如何管理函数日志。 云日志服务（LTS）管理函数日志 FunctionGraph支持开通云日志服务(LTS)，使用更丰富的函数日志管理功能。开通云日志服务后，FunctionGraph会自动创建1个日志组，在这个日志组下会创建20个日志流，函数的日志会随机出现在某个日志流中，比如函数A第一次执行将日志存放在了日志流A中，那么以后都会固定在日志流A中，但是1个日志流中可能包含多个函数的日志。 说明 默认创建的20个日志流，您无法自定义。您可以在函数的“日志”页签下，单击“F12”，找到query接口里的日志流ID，再到lts里找到对应的日志流ID。 若在LTS控制台误删函数日志组，之前的日志数据不可找回，FunctionGraph服务不感知该操作。此时您可以通过修改函数常规设置中的描述信息，保存后触发重建函数日志组。 设置查询条件。 请求列表：支持设置请求ID、调用结果（执行成功、执行失败）、原因分析（初始化失败、加载失败、系统错误、调用超时、内存超限、磁盘超限、代码异常） 请求日志：支持关键字、请求ID、实例ID 调用结果 调用结果 说明 执行成功 函数执行成功打印的日志。 执行失败 函数执行失败打印的日志，包函调用超时、内存超限、磁盘超限、代码异常四种情况。 若想查看调用超时的日志信息，请将“日志类型”切换为调用超时，另外3种执行失败下的日志类型查看方法相同。

本文介绍高级会控功能。 适用场景 会议开启了云录制，希望将某位参会者的视频画面设置为云录制画面的焦点。 会议开启了直播，希望将某位参会者的视频画面设置为直播画面的焦点。 操作方法 1. 会议创建者预定会议后，在会议列表中找到该会议，点击右侧“更多” > “会议控制”，打开高级会议页面。 2. 会议主持人在会中可通过底部工具栏“更多” > “会议控制”，打开高级会控页面。 3. 在会议布局区域，选择您需要设置为焦点画面的“已入会”用户，直接将其拖拽到框内即可。 4. 如需恢复默认布局，可点击焦点会场右上角的“X”按钮，将原焦点会场的用户移除。 注意事项 1. 当会中有人共享屏幕时，系统会自动将共享屏幕内容设置为焦点画面。如会中无人共享屏幕，默认采用宫格视图布局，不设定焦点画面。若希望将某个参会者的视频画面设置为焦点会场，可通过高级会控功能进行设置。若该参会者未开启视频，则焦点画面将显示其头像。 2. 高级会控的布局设置，仅应用于云录制和直播的画面布局，不会影响参会者本地客户端的视图。 3. 当前仅支持默认自动布局，暂不支持增加自定义布局。 4. 当前仅支持将已入会的成员设置为焦点会场。暂不支持将未入会成员设置为焦点会场。 5. 此功能仅支持会议创建者、主持人、联席主持人操作。 6. 直播封面当前仅支持输入图片URL，暂不支持上传图片。

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

本章节介绍如何保护Always on Availability Groups模式下的SQL Server。 当前云主机备份只支持单个虚拟机的一致性备份，对于集群数据库暂不支持，完整支持将在后续版本中推出。 在Always On模式下，SQL Server服务在主备节点上都是启动的，数据由主复制到备，主上拥有全部的数据。故在创建云主机备份时，只需要将主节点加入策略进行备份。在主备发生切换后，及时调整策略，确保始终对主节点进行备份。 由于SQL Server自身的机制，在恢复主时，可能会触发同步，使备节点上的数据也被覆盖，导致备份时刻之后新产生的数据丢失，所以建议只有在主备节点均不可用时才进行整机恢复，防止非预期的数据丢失。

本文主要介绍Serverless集群的天翼云存储插件cstorcsi，其使用过程中常见的问题及分析流程。 通用分析流程 1. 选择“插件”下的“插件实例”，查看cstorcsi实例，运行是否异常。 2. 选择“工作负载”下的“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1. 用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2. can not support RWX in filesystem mode for disk。 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”选择“持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3. failed to create disk volume, message: disk size should be in range [10G ,32T]。 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为：failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。 解决方案：创建存储卷声明时，其容量需要调整为合理范围大小。

本文将为您介绍如何修改云主机的VPC网段和子网的网段。 操作场景 VPC、子网创建好后，网段是不支持修改的。 如需修改VPC网段可以通过切换子网来实现，如需修改子网网段可以通过切换子网来实现。 VPC网段、子网的网段一旦创建，不能进行修改。 操作步骤 您可以通过切换子网或者更换VPC来实现，具体参考如何修改内网IP、切换VPC。

本节主要介绍创建IAM用户 如果您是管理员，在云服务平台创建了多种资源，例如弹性云主机、云硬盘、物理机等，您需要将资源分配给企业中不同的员工或者应用程序使用，为了避免分享自己的帐号密码，您可以使用天翼云官网的用户管理功能，给员工或应用程序创建IAM用户。 默认情况下， 新创建的IAM用户没有任何权限 ，管理员需要为其授予权限，或将其加入用户组，并给用户组授权，用户组中的用户将获得用户组的权限。IAM用户拥有权限后，IAM用户就可以基于权限对云服务进行操作。 注意 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云服务资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 如果删除并重新创建同名用户，则需要重新授权。 操作步骤 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择已创建好的用户组，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

本节介绍通过管理员激活方式的用户管理。 操作场景 通过管理员激活方式的用户，您可以查看用户已有云手机数，也可以对已创建的用户进行修改用户信息、数据导出、重置密码、解锁帐户、删除账户等操作。 创建用户 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.点击“创建用户”，进入“创建用户”页面； 4.选择“管理员激活”； 5.填写用户的“用户账号”和“密码“，可批量导入； 6点击“确定”，完成用户的创建。 修改用户信息 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.在需要修改用户名的用户所在行，点击“修改”，弹出“修改用户信息”对话框； 4.在“用户名”文本框输入修改后的用户名； 5.可以在通知邮箱输入框填写邮箱（填写通知邮箱后，重置密码操作则需要把邮件发送至用户的预留邮箱）； 6.点击“确定”，完成云手机用户信息的修改。 重置密码 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.在需要重置密码的用户所在行，点击“更多”，在下拉菜单中点击“重置密码”，弹出“重置密码”的弹窗； 4.在输入框重置密码，并确认密码； 5.点击”确定“，即可完成密码重置。 解锁账户 当用户连续输入错误密码导致账户被锁定时，可执行该操作解锁用户。 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.在需要解锁账户的用户所在行，点击“更多”，下拉菜单中点击“解锁账户”，即可解锁账户。

本章节介绍Kafka Broker分区Leader不可用故障演练。 背景介绍 分布式消息服务 Kafka 集群中，分区 Leader 节点宕机、网络分区或资源过载等因素均可能造成分区 Leader 不可用，进而引发对应分区服务中断、客户端请求失败、Leader 重选举导致延迟升高及副本同步紊乱等问题，本演练可帮助验证集群高可用选举机制的有效性、监控告警的及时性，以及业务系统应对此类故障的容错能力与恢复效率。 基本原理 指定一个或多个分区Leader，通过调用Kafka模拟Leader故障OpenAPI，触发Leader重新选举。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择分区Leader不可用动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 主题分区：指定需要模拟分区Leader不可用的目标对象。