本页介绍天翼云TeleDB数据库其他规划器选项相关参数。 defaultstatisticstarget (integer) 为没有通过ALTER TABLE SET STATISTICS设置列相关目标的表列设置默认统计目标。更大的值增加了需要做ANALYZE的时间，但是可能会改善规划器的估计质量。默认值是 100。 constraintexclusion (enum) constraintexclusion的允许值是on（对所有表检查约束）、off（从不检查约束）和partition（只对继承的子表和UNION ALL子查询检查约束）。partition是默认设置。它通常被用于继承和分区表来提高性能。当对一个特定表允许这个参数，规划器比较查询条件和表的CHECK约束，并且忽略那些条件违反约束的表扫描。例如：CREATE TABLE parent(key integer, ...); CREATE TABLE child1000(check (key between 1000 and 1999)) INHERITS(parent); CREATE TABLE child2000(check (key between 2000 and 2999)) INHERITS(parent); ... SELECT FROM parent WHERE key 2400;在启用约束排除时，这个SELECT将完全不会扫描child1000，从而提高性能。目前，约束排除只在用来实现表分区的情况中被默认启用。为所有表启用它会增加额外的规划开销，特别是在简单查询上并且不会产生任何好处。如果没有分区表时，最好是完全关闭它。、 cursortuplefraction (floating point) 设置规划器对将被检索的一个游标的行的比例的估计。默认值是0.1。更小的值使得规划器偏向为游标使用“快速开始”计划，它将很快地检索前几行但是可能需要很长时间来获取所有行。更大的值强调总的估计时间。最大设置为 1.0，游标将和普通查询完全一样地被规划，只考虑总估计时间并且不考虑前几行会被多快地返回。

本页介绍天翼云TeleDB数据库检查点相关参数。 checkpointtimeout (integer) 自动WAL 检查点之间的最长时间，以秒计。 有效值在30秒和1天之间。 默认是 5 分钟（5min）。 增加这个参数的值会增加崩溃恢复所需的时间。 这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 checkpointcompletiontarget (floating point) 指定检查点完成的目标，作为检查点之间总时间的一部分。默认是0.5。 这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 checkpointflushafter (integer) 在执行检查点时，只要有checkpointflushafter字节被写入， 就尝试强制 OS 把这些写发送到底层存储。 这样做将会限制内核页面高速缓存中的脏数据数量， 降低在检查点末尾发出fsync或者 OS 在后台大批量写回数据时被卡住的可能性。 那常常会导致大幅度压缩的事务延迟，但是也有一些情况 （特别是负载超过sharedbuffers但小于 OS 页面高速缓存） 的性能会降低。这种设置可能会在某些平台上没有效果。合法的范围在 0（禁用强制写回）和2MB之间。 Linux 上的默认值是256kB，其他平台上是0 （如果BLCKSZ不是8kB，默认值和最大值会等比例缩放）。 这个参数只能在postgresql.conf文件中或者服务器命令行上设置。 checkpointwarning (integer) 如果由于填充检查点段文件导致的检查点之间的间隔低于这个参数表示的秒数，那么就向服务器日志写一个消息（它建议增加maxwalsize的值）。默认值是 30 秒（30s）。零则关闭警告。如果checkpointtimeout低于checkpointwarning，则不会有警告产生。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。

本页介绍天翼云TeleDB数据库内核资源相关参数。 maxfilesperprocess (integer) 设置每个服务器子进程允许同时打开的最大文件数目。默认是1000 个文件。如果内核强制一个安全的针对每个进程的限制，那么你不用操心这个设置。但是在 一些平台上（特别是大多数 BSD 系统），如果很多进程都尝试打开很多文件，内核将允许独立进程打开比个系统真正可以支持的数目大得多得文件数。如果你发现自己看到了“Too many open files”这样的失败，可尝试减小这个设置。这个参数只能在服务器启动时设置。 enableglobalplancache 是否开启global plancache，设置成on的时候，打开global plancache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局执行计划缓存（global plancache）功能，能够让不同的连接共享同一份Plan Cache。这个参数改了之后需要重启生效。 enableglobalsyscache 是否开启global syscache，设置成on的时候，打开global syscache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局元数据缓存功能，可以让所有进程共享同一个缓存条目，提高内存利用效率，降低因此发生OOM的风险。这个参数改了之后需要重启生效。 globalplancachesize 该参数表示可使用的global plancache的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 globalcachesize 该参数表示可使用的元数据缓存的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 enableremotedataaccessplan 是否开启RDA，默认off。设置成on的时候，打开RDA功能。设置成off的时候，关闭该功能。打开开关，表示打开远程数据访问（RDA）功能。参数类型：布尔。是否动态生效：是。

本小节介绍服务器安全卫士的产品功能。 资产清点 资产清点致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精准识别和动态感知，让保护对象清晰可见。资产清点功能提供12余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。 风险发现 风险发现致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。 入侵检测 主机入侵检测系统，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 合规基线 合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。 病毒查杀 结合多个病毒检测引擎，能够实时、准确地发现主机上的病毒进程，并提供多角度的分析结果，和相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。

Web应用防火墙的带宽扩展包是否有购买上限？ 当前Web应用防火墙最大支持购买扩展20个扩展包。 产品是否可以试用，试用周期为多长时间？ 云等保专区支持试用，如需申请试用，请联系客户经理下单。 主机安全如何确定购买个数？ 主机安全的购买个数依据需要防护的ECS数量确定，需要防护多少个ECS就购买多少个主机安全。 云等保专区产品是否支持跨资源池防护使用？ 不支持，云等保专区会在每个资源池进行加载，为保证用户业务数据安全，暂时不支持用户跨资源池使用，用户可在就近资源池进行云等保专区产品的购买。 云等保专区产品是否支持跨VPC防护？ 支持，但是需要通过对等连通打通两个VPC之间的网络连接。 Web应用防火墙购买数量是否具有限制？ 不限制购买数量，但是一个订单只能购买一个Web应用防火墙（扩展包最多20个），要购买多个，需下多个订单。 云等保专区是否对接云监控服务？ 已对接云监控服务。 说明 目前该能力为灰度上线，仅针对白名单用户开放。 若需使用该能力，请通过提工单的方式，申请加白并开通云监控服务。 支持的区域为：华东1、西南1、上海33、华南2。 支持云监控服务的原子能力为：Web应用防火墙v1.0，日志审计v1.0，堡垒机v1.0，数据库审计v1.0。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

典型架构图 安全增强措施 1. 最小权限原则 1. 跨VPC访问仅开放必要端口 2. NAT网关SNAT/DNAT规则严格配置 2. 精细跨VPC路由管理 1. 需要跨VPC互通的子网和不需要跨VPC互通的子网设计不同的子网路由表，仅对需要跨VPC互通的路由中添加执行对等连接的路由。 2. 路由表中指向对等连接的路由的目的地址不包含非必要地址范围。 3. 网络隔离 1. 数据库子网：禁止直接跨VPC访问，仅允许通过应用层代理。 2. 堡垒机子网：部署在独立VPC，严格限制入站流量。 成本优化建议 1. 共享资源：通过共享VPC集中部署NAT网关、堡垒机等服务，减少重复资源开销。 2. 按需互通：仅在有业务需求的VPC间建立对等连接，避免构建全互联（FullMesh）网络，以控制路由表的规模和复杂度。 运维与监控 1. 自动化部署：使用天翼云原生API实现VPC、子网、安全组、对等连接、路由表等资源的自动化编排。 2. 监控告警：配置云监控对使用的云资源进行告警，重点关注以下指标 3. 弹性IP、共享带宽网络出入带宽利用率 4. NAT网关并发连接数 5. 弹性负载均衡健康/异常后端主机数 6. 为资源如VPC打标签（如 env:prod、owner:teamA），便于资源分类管理。

子网间是否可以通信？ 子网是属于VPC的资源，一个VPC内的子网默认可以进行通信，不同VPC的子网默认不能进行通信，可以通过创建对等连接使不同VPC的子网通信。 说明： 若子网关联了网络ACL，需先放通网络ACL。 子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部，VPC提供三段私网网段，10.0.0.0/8～24、172.16.0.0/12～24和192.168.0.0/16～24，子网的网段须在这些范围内，且子网的掩码范围为子网所在VPC掩码~29。 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云允许您创建私有、隔离的虚拟网络环境。在虚拟私有云中，可以对私有IP地址范围、子网和网络网关等进行控制。弹性云服务器、裸金属服务器、数据库和部分应用等会在虚拟私有云中创建的安全网络。 子网被相关资源使用时，无法删除子网。 您可以通过控制台首页查看帐户下所有资源，根据子网信息排查各资源是否在待删除的子网中。先删除子网中的全部资源，再删除子网。 可参考以下常用的资源实例进行排查，具体请以帐户下资源为准。 弹性云服务器 裸金属服务器 RDS实例 弹性负载均衡器 VPN 私有IP地址 自定义路由 NAT网关 终端节点与终端节点服务

天翼云弹性高性能计算产品为您提供优质的服务体验,本文带您了解天翼云弹性高性能计算的产品优势。 快速交付，部署灵活 天翼云弹性高性能计算平台操作简洁、易于上手，您可以在天翼云控制台快速创建高性能计算集群，一键部署出您需要的高性能计算环境和应用程序，创建完成后即可立即提交作业开始工作。相较于传统超算漫长的部署周期，弹性高性能计算部署灵活、分钟级交付、资源即租即用，您可以随时选用最新硬件。 成本低廉，无需运维 天翼云弹性高性能计算平台服务免费，您仅需以租用的方式支付实例费用便可使用高性能计算平台。您无需关注HPC集群本身的设备运维、网络安全、机房故障等一系列运维事件，无需投入大量资金，极大地降低了中小客户的使用门槛。而传统超算需投入大量人力成本和物料成本，包括服务器、系统、数据库等软硬件费用及机房机柜费用和运维成本，对个人用户及中小企业不友好。 云端数据，安全可靠 不同租户之间资源隔离，数据安全有保障。基于虚拟私有云实现的网络访问隔离，充分保证了集群网络的安全性。支持对接弹性文件存储，满足企业数据安全和可靠性诉求。 弹性资源，按需配置 您可以根据自己的需求对集群进行扩容、缩容，灵活适配业务规模需求。相较于传统超算，天翼云弹性高性能计算更加灵活、可以充分有效地利用资源，降低成本。

前言——私有知识库作用简介 大模型私有知识库是结合大语言模型技术与企业或组织自有数据的一种知识管理和应用方案，旨在为特定用户群体提供更精准、专业且安全的知识服务。 大模型私有知识库是基于大语言模型构建的，专门服务于特定组织或个人的知识存储和检索系统。它整合组织内部的专业知识、业务数据、历史文档等，形成专属知识集合，借助大模型的强大语言理解和生成能力，为用户提供高效的知识查询和问答服务。 本教程提供一种基于开源框架的私有知识库搭建方案。如果需要构建企业级服务且对数据安全有需求，则需相关企业对该服务进行定制，以完成私有知识库的搭建。 本文介绍的方法采用了开源框架自带的数据库服务，但该方法不保证相关数据在开源框架下的安全性。请务必在上传前对敏感数据进行脱敏处理。 本教程使用的GPU云主机规格如下所示，用于部署 DeepSeekr1:70b 模型，配置仅供参考。 plaintext cpu 32核  内存 128G GPU: NVIDIA A102 (48GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。

前言——私有知识库作用简介 大模型私有知识库是结合大语言模型技术与企业或组织自有数据的一种知识管理和应用方案，旨在为特定用户群体提供更精准、专业且安全的知识服务。 大模型私有知识库是基于大语言模型构建的，专门服务于特定组织或个人的知识存储和检索系统。它整合组织内部的专业知识、业务数据、历史文档等，形成专属知识集合，借助大模型的强大语言理解和生成能力，为用户提供高效的知识查询和问答服务。 本教程提供一种基于开源框架的私有知识库搭建方案。如果需要构建企业级服务且对数据安全有需求，则需相关企业对该服务进行定制，以完成私有知识库的搭建。 本文介绍的方法采用了开源框架自带的数据库服务，但该方法不保证相关数据在开源框架下的安全性。请务必在上传前对敏感数据进行脱敏处理。 本教程使用的GPU云主机规格如下所示，用于部署 DeepSeekr1:70b 模型，配置仅供参考。 plaintext cpu 32核  内存 128G GPU: NVIDIA A102 (48GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。

本章节介绍注册中心迁移方案 MSE Nacos Sync迁移方案 本文介绍基于Nacos Sync 注册中心的迁移方案。 迁移方案简介 Nacos sync 是一个支持多种注册中心的同步组件，目前支持Nacos 和Zookeeper 注册中心 的双向同步，另外还支持Eureka 和Consul数据同步到Nacos。 迁移工具介绍 在迁移过程中，Nacos sync能够将源集群上的服务信息同步到目标集群实例上，从而实现配置中心之间的平滑迁移。 Nacos Sync 本身是无状态的，将任务等状态数据保存在数据库中，所以水平扩展非常方便。Nacos Sync 通过定时任务补偿机制处理宕机节点未处理完毕的任务数据。注册配置中心实例已经内置同步工具，无需用户额外安装，迁移方法可以参考章节：迁移上云。 Nacos Sync适配Zookeeper、Nacos和Eureka 的服务注册逻辑，能够实现从Zookeeper、Nacos和Eureka 自动获取服务，一键同步，操作非常简单。 支持的注册中心类型 源注册中心 目标注册中心 说明 Nacos Nacos Nacos原生服务类型。 Zookeeper Nacos 基于Curator实现的服务发现功能和Dubbo服务。 Zookeeper Zookeeper 服务和配置。 Eureka Nacos Eureka原生服务类型。Eureka原生服务名为大写，但Nacos Sync会将服务名名转换成小写。 从Dubbo Nacos迁移到MSE 本文介绍如何从Dubbo+Nacos 迁移服务到MSE。

本文介绍云主机等公有云资源如何实现内网访问相同地域的应用实例。 前提条件 云主机等资源与应用托管应用实例处于相同地域，且应用实例使用共享网络。 已申请获取应用托管的VPC终端节点服务的服务实例ID（请通过您的客户经理或工单提交申请）。 云资源访问应用实例与应用实例访问云资源需分别申请，应用实例访问云资源详见最佳实践【应用实例通过内网访问数据库等云资源】。 创建VPC终端节点 1. 为云主机等资源创建VPC终端节点。登录天翼云网络控制台，在左侧导航栏单击【VPC终端节点】【终端节点】，单击【创建终端节点】按钮。 2. 在创建终端节点页面，配置相关信息。 字段 说明 服务类型 请选择“按服务实例ID查找服务” 可用服务 请填入已获取的“应用托管的VPC终端节点服务的服务实例ID” 虚拟私有云 请选择云主机等资源所在的虚拟私有云 3. 提供账号邮箱，由应用托管后台添加终端节点服务白名单，并审核连接申请（请通过您的客户经理或工单提交申请）。 确定连接状态 1. 应用托管平台侧通过连接申请后，可在终端节点列表查看到状态为“已连接”。

本节介绍分布式缓存增强版的产品规格 本节介绍分布式缓存增强版的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽（Gbps）、DB数等。 内存：您可以通过在控制台节点管理列表查看各节点剩余内存，具体操作请参考查看Redis集群信息。 连接数上限：连接并发数，表示允许客户端同时连接的个数。您可在控制台中查看具体实例的连接数，具体操作请参考基本指标。连接数上限可在实例创建后支持在控制台中修改，具体操作请参考接入机配置。 QPS：即Query Per Second，表示Redis实例每秒执行的命令数。 带宽限制：表中的带宽值是Redis实例单分片的带宽，Redis实例的网络传输能力的上限带宽分别应用于上行带宽和下行带宽，如果某规格的带宽为0.8Gbps，则该规格实例的上下行带宽都是0.8Gbps。 表中的带宽为内网带宽。外网带宽取决于内网带宽，同时受到Redis实例与客户端之间的网络带宽限制，建议使用内网连接方式，排除外网影响，发挥最大的带宽性能。 DB数：Redis可提供的数据库最大数量。 说明 分布式缓存Redis增强版适合并发量大、高吞吐、低延时，对性能要求超过基础版实例的场景。相比基础版，重点增强多线程性能，提高底层资源利用率。

本节介绍云等保专区产品的应用场景。 等保合规场景 场景特点 随着《网络安全法》、《信息安全技术网络安全等级保护基本要求》以及各个行业法律法规的发布，用户对于网络安全建设的重视程度日渐提升，等级保护建设逐渐成为了网络安全建设的基线，各行各业的用户都在开始进行等级保护合规建设。 解决的问题 云等保专区产品为更好更快捷地帮助用户完成等级保护建设，特地推出等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版套餐，用户仅需要根据自己实际合规等级需要，通过勾选对应套餐，就能够轻松通过等保二级、三级测评，满足等保合规要求。 安全加固场景 场景特点 用户开通云主机将业务部署完成后，需要对于云上业务进行安全加固防护，会使用到安全产品的能力，例如下一代防火墙的访问控制能力、Web应用防火墙的Web应用攻击防护能力、主机安全的漏洞检测与防护能力等。 解决的问题 云等保专区专项推出等保自定义版，能够提供下一代防火墙、Web应用防火墙、日志审计、主机安全、堡垒机、数据库审计以及漏洞扫描等原子能力，用户可根据自己当前云业务网络安全建设的薄弱点以及安全加固防护的需求，进行自主选择需要的安全原子能力进行安全加固建设。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本小节主要介绍RDSPostgreSQL的pglogical插件使用方法。 操作场景 RDSPostgreSQL支持 pglogical插件，为PostgreSQL数据库提供了逻辑流复制发布和订阅的功能。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS pglogical; 卸载插件 sql DROP EXTENSION IF EXISTS pglogical; 使用示例 1.在发布端创建发布节点（实例A） sql SELECT pglogical.createnode( nodename : 'provider', dsn : 'host127.0.0.1 port dbnametest userroot password密码' ); 2.配置复制集。将public中的所有表添加到default复制集（实例A） sql SELECT pglogical.replicationsetaddalltables('default', ARRAY['public']); 3.在订阅端创建订阅节点。 一旦设置了发布端节点，订阅者就可以订阅它。首先必须创建订阅者节点（实例B）： sql SELECT pglogical.createnode( nodename : 'subscriber', dsn : 'host127.0.0.1 port dbnametest userroot password密码' ); 4.在订阅端创建订阅（实例B)。 sql SELECT pglogical.createsubscription( subscriptionname : 'subscription', providerdsn : 'host port dbnametest userroot password密码' ); 创建订阅后，将在后台启动同步和复制流程。 常见问题 此插件使用方法与开源方法一致，请详见pglogical开源社区。

OpenSearch Dashboards OpenSearch Dashboards提供了直观的可用于创建、共享、交互式的开发、运维数据分析平台。与OpenSearch搭配使用，并提供角色基础访问控制能力。文内或简称为Dashboards。 支持多用户角色的权限管理 支持包括甘特图在内的多种数据呈现方式 支持多种数据统计方式 支持高阶的索引管理能力 支持通知告警功能 支持基于SQL的查询能力 支持CSV、PDF、Excel等文件的报告生成功能 Logstash Logstash是数据管道服务，通过可扩展的输入、过滤和输出体系，实时采集、转换和加载多源异构数据，并灵活对接各类存储与分析平台，是ELK（Elastic Stack）生态的核心组件之一。天翼云提供的全托管的Logstash服务，支持一键部署、可视化管道配置和数据管道集中管理。 支持文件、数据库、消息队列等多种数据源采集 支持灵活的数据处理，如字段提取、数据脱敏等 内置健康检查机制，支持通过API或可视化界面监控数据管道运行状态 Cerebro Cerebro 是一个功能强大且易于使用的云搜索服务管理工具，适合开发、运维和数据分析等多种场景。通过Cerebro可以对实例进行Web可视化管理，如监控实时的磁盘、集群负载、内存使用率等，通过其直观的界面和丰富的功能，用户可以更高效地管理和监控云搜索实例。云搜索服务兼容开源Cerebro，适配0.9.4。 支持可视化数据管理 支持监控实例实时负载

数据卷类型 卷说明 控制台 OpenAPI 云硬盘 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景 支持 支持 弹性文件 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持 支持 支持 对象存储 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务 支持 支持 EmptyDir 临时目录(EmptyDir)是ECI为客户提供的一种空目录存储形态，用于临时存放数据，便于容器组内多个容器之间进行数据共享 支持 支持 配置项 配置项(configFile)是ECI为客户提供的一种存放配置文件的存储形态，用于向ECI实例注入配置数据，便于容器从自定义路径读取相关配置信息 支持 支持 自定义临时存储 ECI实例默认为用户提供40GiB的免费存储空间，如果该空间无法满足用户需求，支持自定义临时存储空间大小 支持 支持

本章节主要介绍选择表模型的最佳实践。 在设计数据仓库模型的时候，最常见的有两种：星型模型与雪花模型。选择哪一种模型需要根据业务需求以及性能的多重考量来定。 星型模型由包含数据库核心数据的中央事实数据表和为事实数据表提供描述性属性信息的多个维度表组成。维度表通过主键关联事实表中的外键。如下图。 −所有的事实都必须保持同一个粒度。 −不同的维度之间没有任何关联。 星型模型 雪花模型是在基于星型模型之上拓展来的，每一个维度可以再扩散出更多的维度，根据维度的层级拆分成颗粒度不同的多张表。如下图。 −优点是减少维度表的数据量，各个维度表之间按需关联。 −缺点是需要额外维护维度表的数量。 雪花模型 本实践基于TPCDS的SS（Store Sales）模型做验证。该模型为雪花模型，下图显示了该数据模型的结构。 TPCDS Store Sales ERDiagram 有关该模型中事实表StoreSales及各维度表的信息，请查阅TPCDS官方文档。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 dlilink 访问标识(AK) 密钥(SK) 访问DLI数据库时鉴权所需的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，如下图所示：单击新增访问密钥 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。 项目ID DLI服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2. 在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。

本章节介绍如果管理云堡垒机的工单审批规则。 工单功能是指运维用户在申请资源访问权限或命令使用权限时，可通过工单申请资源的范围，以及提交工单的方式。 新增工单审批规则 1. 使用管理员账号登录云堡垒机系统。 2. 在左侧导航栏选择“工单管理”>“审批规则”，进入“审批规则”页面。 3. 单击左上角的【新增】按钮，弹出“规则审批”配置窗口。 4. 在弹出的对话框中配置相关内容，具体见下表，配置完成后单击“提交”。 规则名称 输入您的审批规则名称。 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 数据导出授权 注意 字符授权工单默认开通所有命令的使用权限，若您需要限制高危命令的使用请在“字符命令授权”模块将对应用户纳管入相关授权规则当中。 审核人 选择该审批规则的具体审核人员，可多选。 用户（可选） 选择该条审批规则可以提交的相关用户，可多选。 用户组（可选） 选择该条审批规则可以提交的相关用户组，可多选。 后续管理 若需修改审批规则，可单击“操作”列的“编辑”按钮，在弹出的编辑窗口重新配置相关内容。 若不再需要某条审批规则 ，可在单击“操作”列的“删除”按钮。删除后的信息不能找回，请谨慎操作。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

对象存储可以存储哪些类型的数据？ 对象存储可以存储各种类型的非结构化数据。例如： 图片和图像文件：对象存储可以存储照片、绘画、图标等各种图像文件格式，如JPEG、PNG、GIF等。 音频和音乐文件：对象存储可以存储音频文件、音乐曲目、语音记录等，如MP3、WAV、FLAC等格式。 视频文件：对象存储可以存储视频文件、电影、录像等，如MP4、AVI、MKV等格式。 文本文件：对象存储可以存储各种文本文件，如TXT、PDF、DOC、PPT等格式，包括电子书、报告、笔记等。 日志文件：对象存储适用于存储大量的日志文件，如系统日志、应用程序日志、访问日志等。 备份与归档数据：对象存储提供了安全可靠的存储介质，适合用于备份和长期归档数据，如数据库备份、企业数据归档等。 其他文件类型：除了上述常见的文件类型，对象存储也可以存储各种其他文件类型，如压缩文件、数据集文件等。 对象存储将数据存储在哪里？ 对象存储（简称ZOS）默认将数据存放在指定地域的某个可用区（AZ）。如果用户开启了多AZ存储，ZOS会采用多可用区内的数据冗余存储机制，将用户的数据冗余存储在同一地域（Region）的多个可用区。当某个可用区不可用时，仍然能够保障数据的正常访问。 通过多可用区存储机制，ZOS提供了高可用性和容灾能力，有效降低了单个可用区故障对数据的影响，保障数据的安全和可靠性，用户可以放心地使用ZOS。

一个弹性IP可以给几个弹性云主机使用？ 一个弹性IP只能绑定一个弹性云主机使用。 弹性IP的分配策略是什么？ 新申请的弹性IP默认是随机分配。 为防止误删除操作，EIP存在24小时缓存机制，对于已释放过弹性IP的用户，24小时内会优先分配之前使用过的EIP。 如需申请新的弹性IP地址，建议您先申请新的EIP后再释放旧的EIP。 弹性IP时，是否可以指定IP地址？ 新申请的弹性IP默认是随机分配。对于已释放过弹性IP的用户，会优先分配之前使用过的EIP。 弹性IP是否会变化？ 不会改变。 弹性云主机关机和开机不影响弹性IP地址。 切换计费模式不影响弹性IP的地址。 若因资源到期或欠费可能会导致EIP被释放。 如何查询弹性IP归属地？ 如您需查询已购买EIP资源的归属地，可通过第三方网站进行查询，例如： 。 第三方网站可能会有IP地址数据库更新不及时的情况，会出现查询结果与实际区域不同的情况，请酌情选择。 如果其他第三方网站的查询结果和 。 带宽是否支持跨帐号使用？ 带宽不支持跨帐号使用。每个用户只能使用并管理自己的EIP带宽（独享带宽）及共享带宽。

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上与另一个安全组内的一台弹性云主机间共享数据， 设置为内网互通。 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 安全组配置方法： 在云服务器所在安全组中添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通。 例如安全组sgA内的云服务器访问安全组sgB内的Oracle数据库服务，您需要通过在安全组sgB中添加一条入方向规则，放通Oracle(1521)端口，允许来自安全组sgA内云服务器的请求进入。安全组规则如下所示。 IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 1521 安全组：sgA 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

本节介绍了容器镜像服务: Dockerfile高效编写指引。 概述 Docker依赖Dockerfile来自动构建镜像。Dockerfile的语法虽然简单，但是如何编写Dockerfile来减小镜像大小并加快镜像构建速度却需要实践经验的累积。本节介绍Dockerfile编写的一些最佳实践，以帮助编写出高效的Dockerfile。 通过.dockerignore排除文件 Docker在构建镜像时，会将Dockerfile目录中的所有文件收集到进程中。对于不需要参与构建的文件，可以通过.dockerignore文件来进行排除，从而减小镜像的大小。.dockerignore的语法类似.gitignore，示例如下: plaintext .git/ nodemodules/ 该示例排除了Dockerfile目录中的.git和nodemodules两个文件夹。 容器只运行单个应用 Docker虽然支持运行多个进程，例如将前端、后端和数据库都运行在一个Docker容器中，但这样做会带来一些问题： 构建时间长，修改某个应用导致整体重新构建 镜像体积大 不同应用所需资源不同，扩展时导致资源浪费 因此，最好将服务拆分成不同的应用，对每个应用单独进行镜像构建和部署。例如一个依赖node.js和MySQL的服务的Dockerfile原本需要安装两者的依赖： plaintext RUN aptget install y nodejs mysql 进行拆分之后，node.js和MySQL服务可以单独部署。 node.js服务的Dockerfile包含： plaintext RUN aptget install y nodejs MySQL服务的Dockerfile包含： plaintext RUN aptget install y mysql

本节主要介绍分布式缓存服务Redis的登录方式 您可以通过密码登录或账号+密码登录的方式访问分布式缓存服务Redis版实例。 密码登录 登录方式：仅输入密码即可登录，无需输入账号。集群版为：实例名称 实例密码；标准版为：实例密码。 使用限制：此方式仅会以实例默认账号进行登录，默认账号通常为以实例名称命名的账号（例如分布式缓存Redis2mxkvix）。无法通过此方式登录其他普通账号 。 特点：与原生Redis登录方式一致，符合多数用户的使用习惯。但由于一个实例只有一个默认账号，可能会导致该实例使用同一账号连接多个应用的情况。 标准版rediscli连接示例： rediscli h {host} p {port} a {password} Cluster集群rediscli连接示例： rediscli h {host} p {port} a {password} c 读写分离rediscli连接示例： rediscli h {host} p {port} a {password} 账号+密码登录 登录方式：输入账号和密码，账号与密码以英文井号（ ）分隔，格式为user password。 使用限制：目前仅集群版本支持该登录方式，需在实例详情页面维护账号信息。默认账号与普通账号均可使用此方式登录。 特点：您可以为Redis实例创建多个账号，在不同应用中以不同的账号登录，提高数据安全性。关于如何创建数据库账号，请参考创建与管理账号。 集群版rediscli连接示例： rediscli h {host} p {port} a {user}

本章节介绍云容器集群节点磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、有状态应用（如数据库Pod）的批量写入、大数据文件读写或底层存储介质的性能瓶颈，都可能导致云容器引擎（CCE）节点的磁盘 IO 饱和。这种情况会直接造成 Pod 的请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、有状态应用（如数据库Pod）的批量写入、大数据文件读写或底层存储介质的性能瓶颈，都可能导致云容器引擎（CCE）节点的磁盘 IO 饱和。这种情况会直接造成 Pod 的请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。