GDS简介 GPUDirect Storage（GDS）是NVIDIA推出的一项关键技术，用于实现GPU显存与兼容存储系统之间的直接数据通路，从而绕过CPU和系统内存拷贝。该技术旨在解决高性能计算与AI训练场景中，存储I/O可能成为整体性能瓶颈的问题。其主要优势包括： 1. 降低数据访问延迟：缩短GPU等待数据的时间。 2. 提高有效带宽：最大化GPU从存储读取和写入数据的吞吐量。 3. 释放CPU资源：减少CPU在I/O路径上的介入，使其更专注于计算任务。 天翼云高性能并行文件服务HPFS已支持GPUDirect Storage技术。用户可在基于NVIDIA GPU的主机上，部署支持GDS的应用程序，并通过cuFile API直接访问HPFS文件系统。实测表明，相较于传统的POSIX API标准访问方式，此项优化可带来约30% 的吞吐性能提升，显著加速GPU数据处理流水线。 GDS原理 通过传统的POSIX API读取流程如下： plaintext int fd open(...) void sysmembuf, gpumembuf; sysmembuf malloc(bufsize); cudaMalloc(gpumembuf, bufsize); pread(fd, sysmembuf, bufsize); cudaMemcpy(sysmembuf, gpumembuf, bufsize, H2D); cuStreamSynchronize(0); 使用GDS API可以绕过CPU直接从HPFS读取，使得数据不经过内存直接从HPFS复制GPU显存，大幅提升性能: plaintext int fd open(filename, ODIRECT,...) CUFileHandlet fh; CUFileDescrt desc; desc.typeCUFILEHANDLETYPEOPAQUEFD; desc.handle.fd fd; cuFileHandleRegister(&fh, &desc); void gpumembuf; cudaMalloc(gpumembuf, bufsize); cuFileRead(&fh, gpumembuf, bufsize, ...);

本章节介绍Kafka Broker节点磁盘IO高负载故障演练。 背景介绍 分布式消息服务 Kafka 集群的性能与稳定性高度依赖底层磁盘 IO 能力，高并发写入、集群数据复制、海量消息存储检索及磁盘故障恢复等场景易导致 Broker 节点磁盘 IO 触达瓶颈，引发消息持久化延迟等问题，本演练可测试业务系统的响应与恢复能力。 基本原理 指定或随机一个Broker节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择Broker 磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：开启读压力模式，创建一个临时文件并对其进行持续的读取操作。 写负载：开启写压力模式，持续向一个临时文件写入数据。 块大小：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本节主要介绍使用HBlock Cinder驱动插件的前置条件。 安装部署HBlock 3.5.0或以上版本，详细安装过程可以参考服务器端部署。 如果对接HBlock集群版，Cinder、Glance、Nova所在节点需要安装iSCSI工具及配置MPIO。 安装iSCSI工具： 如果操作系统是CentOS/RHEL，请安装iscsiinitiatorutils，安装命令如下： plaintext yum y install iscsiinitiatorutils 注意 安装iSCSI initiator 6.2.087410 或以上版本。 如果操作系统是Ubuntu Ubuntu/Debian，安装命令如下： plaintext apt install openiscsi 配置MPIO步骤： 1. 安装 MPIO 说明 如果已安装MPIO，可以忽略此步骤。 对于CentOS plaintext yum install devicemappermultipath devicemappermultipathlibs 对于Ubuntu plaintext apt install multipathtools 2. 配置 MPIO 1. 复制 /usr/share/doc/devicemappermultipathX.Y.Z/multipath.conf（其中X.Y.Z为multipath的实际版本号，请根据实际情况查找multipath.conf）到 /etc/multipath.conf。 2. 在/etc/multipath.conf中增加如下配置： 注意 配置文件multipath.conf中，如果multipath部分与devices部分中有相同参数，multipath中的参数值会覆盖devices中的参数值。为了正常使用HBlock卷，需要删除multipath中的与下列字段相同的参数。 plaintext defaults { userfriendlynames yes findmultipaths yes uidattribute "IDWWN" } devices { device { vendor "CTYUN" product "iSCSI LUN Device" pathgroupingpolicy failover pathchecker tur pathselector "roundrobin 0" hardwarehandler "1 alua" rrweight priorities nopathretry queue prio alua } } 3. 重启multipathd服务 对于CentOS plaintext systemctl restart multipathd systemctl enable multipathd 对于Ubuntu plaintext systemctl restart multipathtools.service systemctl enable multipathtools.service

本节主要介绍分布式消息服务Kafka的创建Topic说明 背景信息 Kafka的主题（Topic）是对消息进行分类和组织的概念。主题是Kafka中最基本的逻辑单元，用于区分不同类型的消息。 每个主题可以有多个分区（Partition），每个分区都是一个有序的消息日志。分区允许消息在集群中进行并行处理，提高了吞吐量和并发性能。 主题的特点包括： 逻辑分类：主题可以根据业务需求或数据类型进行逻辑分类，例如订单主题、日志主题、用户行为主题等。 多分区：主题可以被分成多个分区，每个分区都有自己的消息顺序。分区可以在不同的节点上进行存储和处理，实现了水平扩展和负载均衡。 副本复制：每个分区可以有多个副本（Replica），副本用于提供高可用性和容错性。副本可以分布在不同的节点上，当节点故障时可以自动进行故障转移。 持久化存储：主题中的消息被持久化存储在磁盘上，确保消息的可靠性和持久性。消费者可以随时消费主题中的历史消息，而不仅仅是最新的消息。 通过使用主题，Kafka能够有效地组织和管理大规模的消息流。主题的分区和副本机制提供了高可用性和容错性，使得Kafka成为处理大规模实时数据流的理想选择。 前提条件 已购买并部署分布式消息服务Kafka 操作步骤 创建Topic （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“Topic管理”后、点击“创建Topic”。 （5）点击“创建Topic”后，输入Topic名称、分区数等参数。 （6）创建好Topic后，可以点击“更多”按钮中的“生产消息”来测试其是否正常。

本节介绍如何管理安全报告，包括启用、停用、编辑、删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 安全报告”，进入安全报告页面。 5. 管理安全报告。 操作名称 执行步骤 启用/停用安全报告 在安全报告页面中，单击目标报告模块中的未启用或启用按钮。 安全报告状态更新为启用，则表示启用成功。 安全报告状态更新为未启用，则表示停用成功。 编辑安全报告 1. 在安全报告页面中，单击目标报告中的“编辑”按钮，跳转到报告基本信息配置页面。 2. （可选）编辑报告基本信息。 3. 单击“下一步：报告选择”，跳转到报告选择页面。 4. （可选）勾选报告布局。 5. 单击右上角“完成”。 删除安全报告 1. 在安全报告页面中，单击目标报告中的“删除”，弹出删除报告确认窗口。 2. 单击“确定”。 下载安全报告 1. 在安全报告管理页面，单击待下载报告右下角“更多”按钮，在功能下拉菜单中单击“下载”，弹出报告预览页面。 2. 单击预览页面上方的“下载”按钮，并在弹出的对话框中，选择报告格式后，单击“确定”。系统将自动下载对应格式的报告到本地。 分享安全报告 1. 在安全报告管理页面，单击待分享报告右下角“更多”按钮，在功能下拉菜单中单击“分享”。 2. 在弹出的对话框中，单击复制按钮，进行分享。 3. 分享完成后，可以单击“确定”，关闭对话框。

配置 说明 是否迁移数据库账号和权限 请根据实际情况选择是否迁移源库的账号和权限。若选择“是”： 会对源库账号的授权信息和目标库登录用户的授权信息进行检查；如果目标库登录用户不包含源库账号所需的授权信息，则该源库账号的权限不进行迁移。 如果源库和目标库存在相同的账号信息，则在目标端会跳过该账号和权限的迁移。 账号迁移在所有表，视图，函数等结构迁移完成之后再迁移。 是否将目标库实例属性设置为只读 请根据实际情况选择是否将目标库实例属性设置为只读，仅当目标库为云实例时可设置。若选择“是”，则DTS任务运行时，目标库实例只允许DTS进行写操作，其它均不可写。 是否限制全量迁移速率 请根据实际情况选择是否设置全量限速。若选择“限速”，则可以按每秒全量迁移的行数RPS、每秒全量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 是否限制增量迁移速率 请根据实际情况选择是否设置增量限速。若选择“限速”，则可以按每秒增量迁移的行数RPS、每秒增量迁移的数据量(MB)两个维度进行设置，可单独设置任一维度，也可同时设置；同时设置时，系统以先达到的限速条件为准。 大小写策略 请根据实际情况选择大小写策略。大小写策略适用于当前配置页面上未选择或修改的级别数据，如选择了整库则针对表名和列名做转换， 如果选择了表，则对列名做转换。 选择"源和目标保持一致"时，目标库将和源库保存一致。 选择“转换为小写”时，目标库的对象名将转换为小写。 双向同步方案 请根据实际情况选择双向同步方案。 选择“回环表方式”，兼容性强，但会对数据库CPU造成额外开销。 选择“内核打标方式”时，性能优、延迟低、数据一致性高，但依赖数据库内核能力，仅当两端数据库为云实例，且均支持打标时可选。

本章节主要介绍 更换HA证书 。 操作场景 HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导用户为MRS Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。 证书文件和密钥文件可由用户生成。 对系统的影响 更换过程中MRS Manager需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要更换的HA根证书文件“rootca.crt”和密钥文件“rootca.pem”。 准备一个访问密钥文件的密码password，例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险。 密码字符长度至少为8个字符。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.:;'(){}[]/<>@ $%^&+中的4种类型字符。 操作步骤 登录主管理节点。 1. 执行以下命令切换用户： sudo su root su omm 2. 执行以下命令在主管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录生成“rootca.crt”和“rootca.pem”： sh${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootcacountry country state state city city company company organize organize commonname commonname email管理员邮箱 password password 例如，执行以下命令： sh${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootcacountryCN stategd citysz companyxx organizeITcommonnameHADOOP.COM emailabc@xx.1com passwordUserpwd@123 提示以下信息表示命令执行成功： Generate rootca pair success. 3. 在主管理节点以“omm”用户执行以下命令，复制“rootca.crt”和“rootca.pem”到“${BIGDATAHOME}/om0.0.1/security/certHA”目录。 cparp ${OMSRUNPATH}/workspace0/ha/local/cert/rootca. ${BIGDATAHOME}/om0.0.1/security/certHA 4. 使用“omm”用户将主管理节点生成的“rootca.crt”和“rootca.pem”复制到备管理节点“${BIGDATAHOME}/om0.0.1/security/certHA”目录。 5. 执行以下命令，生成HA用户证书并自动替换。 sh${BIGDATAHOME}/om0.0.1/sbin/replacehaSSLCert.sh 根据提示信息输入password，并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功： [INFO] Succeed to replace ha ssl cert. 6. 执行以下命令，重启OMS。 sh${BIGDATAHOME}/om0.0.1/sbin/restartoms.sh 界面提示以下信息： start HA successfully. 7. 登录备管理节点并切换到omm用户，重复步骤6步骤7。 执行 sh ${BIGDATAHOME}/om0.0.1/sbin/statusoms.sh ，查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新访问MRS Manager表示操作成功。

本文介绍了数据管理服务实例录入的两种方法。 您可以在实例列表 页、数据资产 页及团队管理页录入新实例。 前提条件 已准备好支持录入的数据库类型，详细请参见添加云数据库、添加公网/直连数据库等。 通过实例列表录入实例 1. 在右侧菜单栏中点击实例列表 。 2. 在实例列表页面点击 添加实例 。 3. 在添加实例弹窗中输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。 通过实例管理页录入实例 1. 在左侧菜单栏中，选择 数据资产 >实例管理。 2. 在打开的实例列表页点击添加实例按钮。 3. 在添加实例弹窗输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。 通过团队管理页录入实例 1. 在左侧菜单栏中，选择 安全协作 > 团队管理 。 2. 进入团队管理页后，点击切换团队实例管理标签页。 3. 点击团队实例管理页左上方的添加实例至团队按钮。 4. 输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。

本节介绍了全局参数相关问题与处理方法。 客户端修改全局参数失败 场景描述 客户端修改全局参数，报错“ERROR 1227 (42000): Access denied”。 原因分析 TaurusDB不支持在数据库中执行修改全局参数的命令，需要通过管理控制台修改。 解决方案 登录管理控制台修改参数。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例的基本信息页面。 步骤 5 在左侧导航栏中选择“参数修改”，在“参数”页签查看并修改对应参数。 客户端超时参数设置导致连接超时退出 场景描述 使用数据库时，经常遇到连接退出，导致后续语句执行失败的情况。 原因分析 在使用连接器或API连接数据库时，客户端会有一些默认的参数配置。其中有一些比较重要的参数如socketTimeout、connectTimeout等，会影响客户端连接的超时时间。如果超过这个时间，一直没使用的连接就会断开。 解决方案 将socketTimeout、connectTimeout等参数的默认值调整为合适的值。 在程序中注意处理断线重连的功能。 推荐直接使用连接池 。 修改全局变量成功但未生效 场景描述 使用Console上的参数修改功能修改longquerytime成功，但未生效。

本文将以CentOS,Ubuntu操作系统镜像为示例,介绍Linux操作系统进入单用户模式的背景,前提,约束与步骤。 背景介绍 用户模式介绍 Linux操作系统有两种重要的用户模式，一种是多用户模式，一种是单用户模式，具体介绍如下： 多用户模式（multiuser mode）：多用户模式是Linux系统默认的运行模式。在多用户模式下，系统可以同时支持多个用户登录，并运行各种服务和进程。多用户模式提供了完整的功能和服务，包括网络服务、图形界面等。 单用户模式（singleuser mode）：单用户模式是一种特殊的启动模式，提供了一个最小化但强大的环境，允许管理员以超级用户权限进行操作。进入单用户模式后，系统只会加载最基本的服务和功能，只有一个命令行界面，不会启动图形界面和网络服务。 单用户模式应用场景 单用户模式通常应用于以下场景： 系统故障排除和修复：当系统遇到启动问题、文件系统错误、网络配置问题或其他故障时。管理员可以以超级用户权限登录，并执行诊断、修复和恢复任务，如修复文件系统、检查硬件、还原配置文件等。 系统备份和还原：单用户模式提供了对系统磁盘的完全访问权限。这使得管理员可以在单用户模式下执行备份和还原操作，包括创建和还原系统快照、复制重要数据、修复损坏的文件系统等。 系统配置和维护：单用户模式提供了一个干净且最小化的系统环境，使管理员能够进行系统配置和维护操作，而不会受到其他服务或用户的干扰。这包括更新软件包、重建启动引导程序、更改网络配置等。 安全审计：单用户模式可以用于进行安全审计。管理员可以检查系统日志、分析安全事件、查找潜在的漏洞，并采取必要的措施来加固系统和提高安全性。

运营商 运营商编码 中国电信 001 中国联通 002 中国移动 003 中国铁通 004 教育网 005 鹏博士 006

内网DNS可实现后端服务器故障，其他服务器接管此服务，本节帮助您了解后端服务器故障，其他服务器接管此服务的解决方案。 操作场景 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 解决方案 为ECS1提供的服务创建一个内网域名，这样当ECS1故障时，通过修改内网DNS的域名解析记录即可切换为ECS2. 无需中断业务，也不需要重新发布网站。 表1内网域名配置详情： 设备 内网域名 关联VPC 内网IP 记录集类型 说明 ECS1 main.finance.test vpcfinance 10.0.0.4 A 公共接口ECS ECS2 vpcfinance 10.0.0.5 A 备份公共接口ECS RDS1 main.db.test vpcfinance 10.0.1.1 A 数据库，用于存储业务数据 RDS2 vpcfinance 10.0.1.2 A 备份数据库 操作步骤 1. 登录到内网DNS控制中心页面。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 单击“创建内网域名”。 4. 在“创建内网域名”弹窗，参考“表1内网域名配置详情”创建内网域名finance.test 和db.test。 5. 在创建好的内网域名，单击“管理记录集>添加记录集”创建A记录。 6. 参考“表1 内网域名配置详情”，完成内网域名及记录集创建配置。 7. 设置云主机的DNS服务地址为内网DNS地址。具体步骤可参见更改主机DNS使内网DNS配置生效。 8. 当ECS1故障时，在内网域名的记录集下修改记录集的IP地址为ECS2的地址。这样用户的程序和接口均不需要变化既可以替换到备用云主机继续提供服务。

本小节主要介绍如何进入下载中心。 下载中心提供客户端工具下载链接，包括数据库客户端等工具包。 操作步骤 1. 登录云堡垒机系统。 2. 单击右上角，进入下载中心工具列表页面。 3. 单击，即可跳转到第三方工具页面，根据实际需求下载工具。

飞腾系列为国产云主机,搭载飞腾处理器,分为飞腾通用型、飞腾计算型和飞腾内存型。 飞腾通用型 飞腾通用型搭载飞腾处理器，云主机实例共享CPU。提供基础计算能力，可满足基础业务上云需求。 飞腾通用型适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 规格特点 规格名称 计算 磁盘类型 网络 飞腾通用型fs1 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：116 3.处理器：飞腾S2500 4.基频：2.1GHz 1.普通IO 2.高IO 3.通用型SSD 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：100万PPS 3.最大内网带宽：6Gbps fs1弹性云主机的规格 注意 “央企北京1”提供的云主机规格的网络指标（最大带宽、基准带宽、最大收发包能力）与本文内容不一致，请以对应创建页面所展示的数值为准。 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 fs1.small.1 1 1 0.8/0.1 10 1 fs1.medium.2 1 2 0.8/0.1 10 1 fs1.medium.4 1 4 0.8/0.1 10 1 fs1.large.2 2 4 1.5/0.2 15 1 fs1.large.4 2 8 1.5/0.2 15 1 fs1.xlarge.2 4 8 2/0.35 25 1 fs1.xlarge.4 4 16 2/0.35 25 1 fs1.2xlarge.2 8 16 3/0.75 50 2 fs1.2xlarge.4 8 32 3/0.75 50 2 fs1.4xlarge.2 16 32 6/2 100 4 fs1.4xlarge.4 16 64 6/2 100 4

本章节介绍专属云分布式缓存服务Redis版的产品价格。 产品介绍 打造的分布式keyValue 数据库服务，兼容Redis 协议，主要用于持久化数据的存储或缓存数据的存储；DCS 提供单机、主备、集群多种实例类型，支持自动容灾切换、在线扩容、数据备份、实例监控等数据库服务。资费标准包括单机实例、主备实例和集群实例。 收费标准 表 Redis 实例类型 格(GB) 标准资费（元/小时） ::: 单机 2 0.08 单机 4 0.174 单机 8 0.36 单机 16 0.744 单机 32 1.52 单机 64 3.104 主备 2 0.141 主备 4 0.29 主备 8 0.572 主备 16 1.152 主备 32 2.32 主备 64 4.736 集群 64 13.54 集群 128 27.08 集群 256 54.38 集群 512 —— 集群 1024 ——

本页介绍了 WriteConcern 的概念以及如何使用 WriteConcern 提升数据安全。 文档数据库服务实例采用多副本存储数据，其中一个副本的角色是 primary 接受数据写入，其他节点通过 oplog 同步数据变更。 如果 primary 节点在成功写入数据后就宕机了，但是数据还没有被其他 secondary 节点同步。此时后台会重新选举一个正常的 secondary节点为新 primary 节点，但是这个新 primary 节点不包含最新写入的数据。而原 primary 节点在修复完成并重新加入到副本集之后会成为 secondary 节点，之前最新写入的数据会进行 rollback。 为了避免 primary 节点意外宕机导致部分数据被回滚的情况，用户可以指定 write concern 设置写入级别，指定数据成功复制到多少个节点之后再返回。 Write concern 指定的格式如下： { w: , j: , wtimeout: } 其中 w 指定了数据成功复制到多少个 mongod 节点之后再返回结果给客户端（包含 primary 节点自己），常用的配置包括： 数字。比如 0、1 等。 "majority"。服务端会根据副本集当前有投票权的节点个数自动计算大多数节点的个数，比如 3 个 mongod 节点的副本集，每个 mongod 节点默认都有投票权限，则 "majority" 个数为 2。 参数 j 表示是否后台写完 journal 再返回成功，可以指定为 true 或者 false。如果 w 指定了 “majority”，则默认 j 为 true。 wtimeout 表示操作的执行超时，以毫秒为单位，在 w 大于 1 时生效。 对于 3 副本的节点，建议 w 指定为 "majority"，并根据业务的实际需求指定 wtimeout。这样可以避免主节点在意外宕机后出现的部分数据丢失，通过能兼顾较好的可用性。使用示例如下： db.coll.insert({a:1}, {writeConcern: {w: "majority", wtimeout: 1000}})

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

本节主要介绍OBS产品与其它服务的关系。 功能 相关服务 通过IAM服务实现以下功能： 用户身份鉴权 IAM用户权限设置 IAM委托设置 统一身份认证服务（Identity and Access Management，IAM） 标签用于标识OBS中的桶，以实现对OBS中的桶进行分类。 标签管理服务（Tag Management Service，TMS） 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密服务（Data Encryption Workshop，DEW） OBS可以作为其他云服务的存储资源池，例如关系型数据库（RDS），镜像服务（IMS），云审计服务（CTS）等。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本章节主要介绍数据治理中心的配置Elasticsearch/云搜索服务（CSS）连接功能。 Elasticsearch Elasticsearch连接适用于Elasticsearch服务，以及用户在本地数据中心或ECS上自建的Elasticsearch。 说明 Elasticsearch连接器只支持非安全模式。 连接Elasticsearch时，相关参数详见下表：Elasticsearch连接参数。 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 云搜索服务（CSS） 云搜索服务基于Elasticsearch引擎，该连接适用于将各类日志文件或数据库记录迁移到Elasticsearch引擎进行搜索和分析。 连接云搜索服务(CSS)时，相关参数详见下表：云搜索服务(CSS)连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

本页介绍了公网连接实例如何设置安全组规则。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和文档数据库服务实例提供访问策略。 为了保障文档数据库服务的安全性和稳定性，在使用文档数据库服务实例之前，您需要设置相应的安全组规则，开通需访问数据库的IP地址和端口。 使用公网连接文档数据库服务实例时，需要为文档数据库服务所在安全组配置相应的“入方向”规则。 白名单 白名单是在安全组之上，针对单个文档数据库实例更细粒度的IP地址访问安全管理。 入方向规则配置步骤 1. 进入TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 3. 在“基本信息 > 网络 > 安全组”处，单击编辑，选择安全组。 4. 单击vpc名称，进入网络控制台，选择“访问控制 > 安全组”。 5. 在安全组页面，选择指定安全组，单击名称，进入安全组详情页面。 6. 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 7. 根据界面提示配置安全组规则。 8. 单击“确定”。 白名单公网访问设置 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“添加白名单分组”按钮，或者对已有的白名单分组，点击操作栏的“修改”按钮。 5. 在弹窗页中，业务访问类型选择“公网访问”、再配置允许访问的公网IP名单信息，点击“确定”按钮即可完成白名单分组添加或修改。具体可参考白名单管理。

本章节会介绍如何将单机实例转为主备实例。 操作场景 关系型数据库支持数据库单机实例转为主备实例。在保留原实例资源的情况下提高了实例的可靠性。单机转主备实例操作对主实例业务没有影响。 主备实例可实现自动故障倒换，备机快速接管业务。建议您将主备实例选择到不同的可用区，享受跨可用区，同城容灾的高可用服务。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择单机实例，单击“操作”列的“更多 > 转主备”，进入“转主备”页面。 5. 在转主备时，您只需选择“备可用区”，其他信息默认与主实例相同。确认信息无误，单击“提交”。 6. 单机转主备创建成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 7. 在实例列表的右上角，单击刷新列表，可查看到单机转主备完成后，实例状态显示为“正常”，“实例类型”显示为“主备”。

本章节介绍Kafka Broker节点磁盘IO高负载故障演练。 背景介绍 分布式消息服务 Kafka 集群的性能与稳定性高度依赖底层磁盘 IO 能力，高并发写入、集群数据复制、海量消息存储检索及磁盘故障恢复等场景易导致 Broker 节点磁盘 IO 触达瓶颈，引发消息持久化延迟等问题，本演练可测试业务系统的响应与恢复能力。 基本原理 指定或随机一个Broker节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式消息服务Kafka，然后单击添加资源。 3. 在弹出的对话框中，勾选目标分布式消息服务Kafka实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式消息服务Kafka。 添加实例 ：单击添加实例 ，勾选上一步中添加的分布式消息服务Kafka实例。 添加故障动作 ：单击立即添加 ，在列表中选择Broker 磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：开启读压力模式，创建一个临时文件并对其进行持续的读取操作。 写负载：开启写压力模式，持续向一个临时文件写入数据。 块大小：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

挖矿软件概念 1.什么是挖矿 简单来说，挖矿就是将算力转换为比特币：挖矿会通过算力去计算区块链中，下ー个哈希值的过程。谁能第一个计算出来，并通知全网得到验证，谁就算挖到了这个区块，拥有这个区块的奖励和打包的矿工费（比特币）。 2.为什么要挖矿 因为比特币目前在市场上有很高的价值。（其中既有合法层面的价值：例如被部分国家认定为合法货币。也有非法价值：比特币无法被追踪，对于不法分子来说是洗钱的手段之一） 3.黑产挖矿 既然挖矿需要的是算力，也就是需要计算机进行大量的数学运算。这时候如果用自己的设备挖矿，需要支出：大量时间+设备费+电费+降温等运维费+... 大量的成本。 所以不法分子就会通过各种方式，入侵含有脆弱点的系统，将这些系统的算力据为己有，也就是盗取算力。然后将这部分窃取来的算力转换为比特币。 不法分子如何黑产挖矿 制造病毒：不法分子首先会通过各种方式制造挖矿病毒，挖矿病毒一般会通过各种方式隐藏自己，以便在主机拥有者不知情的情况下窃取主机算力进行挖矿。 入侵系统：通过手动或者自动方式入侵存在脆弱点的系统。手动或者自动将病毒植入受害系统内网。 横向扩散：挖矿病毒会尝试攻击可以通信的其他机器，如果攻破了某台机器，就会复制自身，将自己植入另一台机器中。然后新的被攻破机器继续横向….直到内网不存在脆弱点或者所有机器都被植入挖矿木马 持续优化挖矿病毒：挖矿病毒制造者根据最新爆发的漏洞，安全产品的防御逻辑等。改变病毒的特征，增加新的横向手段。

避免安装不必要的包 避免安装额外的或不必要的包，可以降低镜像的复杂度，减少镜像大小以及构建时间。当需要更新包时，推荐使用aptget install y xxx来升级指定的包，避免安装不必要的依赖。aptget upgrade会自动更新所有的依赖包，导致构建过程不确定，可能产生不一致的镜像，因此应该尽量避免使用。 减少镜像层并利用缓存 Docker镜像是分层的，Dockerfile中的每个指令都会创建一个新的镜像层，镜像层将被缓存和复用。当Dockerfile的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了，对应的镜像层缓存就会失效，且之后的镜像层缓存都会失效。 对于以下Dockerfile: plaintext FROM ubuntu ADD . /app RUN aptget update RUN aptget install y nodejs RUN cd /app && npm install CMD npm start 可以将两条aptget相关的RUN指令合并，来减少镜像层，并且防止aptget update命中缓存从而导致aptget install安装过期的依赖。同时，将aptget指令前移，防止因为每次源代码变动生成新的镜像层，从而导致aptget指令缓存失效。所以最终调整的结果为: plaintext FROM ubuntu RUN aptget update && aptget install y nodejs ADD ./app RUN cd /app && npm install CMD npm start 删除指令生成的多余文件 假设我们更新了aptget源，下载解压并安装了一些软件包，它们都保存在/var/lib/apt/lists/目录中。但是，运行应用时Docker镜像中并不需要这些文件。所以最好将它们删除，防止Docker镜像变大。示例: plaintext RUN aptget update && aptget install y nodejs && rm rf /var/lib/apt/lists/

天翼云Prometheus监控服务提供了Remote Read的标准接口，您可以通过这个接口远程访问天翼云上Prometheus的监控数据。本文以开源Prometheus访问天翼云Prometheus监控为例介绍如何使用Remote Read地址。 使用限制 Remote Read接口暂不支持HTTP/2。 前提条件 已创建Prometheus 版实例 远程读取的客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Read地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制Remote Read地址。 步骤三：配置开源版Prometheus 1. 安装开源Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remoteread链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remoteread: 替换为您的Remote Read地址。 url: " readrecent: true 3. 重启开源版Prometheus服务。

本章节介绍管理对象的具体步骤。 功能说明 您可在媒体存储控制台完成对象相关的管理操作。 前提条件 登录媒体存储控制台。 已完成新建Bucket操作，具体可参考 新建Bucket 。 已完成上传对象操作，具体可参考 上传对象 。 查看对象基础信息 1. 选择对应的存储区域和当前bucket，可查看已上传的文件列表，文件列表包含文件名、文件大小、媒体类型、存储类型、更新时间和操作等内容。 2. 点击【详情】，可进入对象详情页。 3. 在对象详情页可进行下载、复制文件URL、查看自定义元数据等操作。 修改对象元数据 您可通过修改对象元数据，修改标准HTTP头或自定义元数据。更多关于元数据的介绍，可参考：对象元数据。 注意 本功能目前仅部分资源池支持，具体资源池可参考： 如您所开通的资源池暂不支持修改元数据，则会展示【查看自定义元数据】。 1. 点击对象【详情】，进入页面后，选择【修改元数据】。 2. 用户可修改对象元数据以及自定义元数据，可直接在输入框修改或点击【添加参数】新增自定义元数据。完成元数据修改后，点击【确定】完成操作。 更改对象访问权限 1. 在文件列表找到需要操作的对象，右侧操作栏，点击【设置权限】。 2. 在弹窗修改对象的访问权限，或修改其他用户对此对象的访问权限。更多关于对象权限的说明，可参考：[ACL对象ACL权限](

本章主要介绍翼MapReduce的启用集群间拷贝功能。 操作场景 当用户需要将保存在HDFS中的数据从当前集群备份到另外一个集群时，需要使用DistCp工具。DistCp工具依赖于集群间拷贝功能，该功能默认未启用。拷贝数据的集群双方都需要配置。 管理员可以根据以下指导，在FusionInsight Manager修改参数以启用集群间拷贝功能。启用之后即可创建将数据备份至远端HDFS（RemoteHDFS）的备份任务。 对系统的影响 启用集群间复制功能需要重启Yarn，服务重启期间无法访问。 前提条件 拷贝数据的集群的HDFS的参数“hadoop.rpc.protection”需使用相同的数据传输方式。默认设置为“privacy”表示加密，“authentication”表示不加密。 对于安全模式的集群，集群之间需要配置系统互信。 操作步骤 1.登录其中一个集群的FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务> Yarn > 配置”，单击“全部配置”。 3.左边菜单栏中选择“Yarn > 集群间拷贝”。 4.修改参数“dfs.namenode.rpcaddress”，在“haclusterX.remotenn1”右侧填写对端集群其中一个NameNode实例的业务IP和RPC端口，在“haclusterX.remotenn2”右侧填写对端集群另外一个NameNode实例的业务IP和RPC端口。 “haclusterX.remotenn1”和“haclusterX.remotenn2”不区分主备NameNode。NameNode RPC端口默认为“8020”，不支持通过Manager修改。 修改后参数值例如：“10.1.1.1:8020”和“10.1.1.2:8020”。 说明 如果本集群数据要备份至多个集群的HDFS中，可以继续配置对应的NameNode RPC地址至haclusterX1、haclusterX2、haclusterX3、haclusterX4。 5.单击“保存”，并在确认对话框中单击“确定”。 6.重启Yarn服务。 7.登录另外一个集群的FusionInsight Manager，重复2~6。

本页为本地PostgreSQL迁移到RDS for PostgreSQL的最佳实践网络和准备工作概述。 网络通信方式 本地数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 为本地数据库开放公网访问 本地数据库需要支持公网访问，同时具备公网ip或者域名。 3. 数据库添加白名单 数据库需要添加DTS数据迁移实例中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。 源库处理 1. 登录自建PostgreSQL所属的服务器。 2. 修改配置文件postgresql.conf，将配置文件中的wallevel设置为logical。 3. 将DTS的IP地址加入至自建PostgreSQL的配置文件pghba.conf中。如果您已将信任地址配置为0.0.0.0/0（如下图所示），可跳过本步骤。 如果任务包含增量迁移，需安装PostgreSQL的逻辑解码器输出插件Decoderbufs，建议安装v2.1.1.Final以上版本，低版本可能会导致PostgreSQL数据库出现coredump，详细的安装步骤可参考PostgreSQL官网文档。

前提条件 确保源端、目标端之间网络互通。 目标端GeminiDB Influx已创建好对应的数据库和RP(Retention Policy)。 操作步骤 如需进行社区版InfluxDB到GeminiDB Influx的迁移，您可以在管理控制台右上角，选择“邮箱账号 > 提交工单”，联系技术支持进行处理。 迁移性能参考 迁移环境： 源端：4C16GB的弹性云主机部署开源InfluxDB以及迁移工具。 目标端：4C16GB，3节点GeminiDB Influx实例。 迁移性能： 源端单一进程数据导出速率为1GB/min。 目标端单线程导入速率为1GB/min。

此小节介绍禁用或启用SQL注入的检测规则。 数据库安全审计的SQL注入检测默认开启，您可以禁用或启用SQL注入的检测规则。 注意 一条审计数据只能命中SQL注入检测中的一个规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 SQL注入检测的状态为“已禁用”时，可以启用SQL注入检测。 SQL注入检测的状态为“已启用”时，可以禁用SQL注入检测。 禁用SQL注入检测 SQL注入检测默认开启，您可以根据使用需要禁用SQL注入检查规则。禁用SQL注入检测规则后，该审计规则在审计中将不生效。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要禁用SQL注入检测的实例。选择“SQL注入”页签。 6. 在SQL注入检测规则所在行的“操作”列，单击“禁用”，如下图所示。 禁用SQL注入检测成功，该SQL注入检测规则的状态为“已禁用”。 后续处理 禁用SQL注入检测规则后，如果您需要启动该规则，请在SQL注入检测规则所在行的“操作”列，单击“启用”，如下图所示，启用该规则。 启用SQL注入检测成功，该SQL注入检测规则的状态为“已启用”。