参数 是否必选 说明 基本属性 表名 是 数据表的名称。只能包含英文字母、数字、“ ”，不能为纯数字，不能以“ ”开头，且长度为1~63个字符。 别名 否 数据表的别名，只能包含中文字符、英文字母、数字、“ ”，不能为纯数字，不能以“ ”开头，且长度为1~63个字符。 数据连接 是 选择数据表所属的数据连接。 数据库 是 选择数据表所属的数据库。 模式 是 选择数据库的模式。 表描述 否 数据表的描述信息。 高级选项 否 提供以下高级选项： 选择数据表的存储方式 − 行存模式 − 列存模式 选择数据表的压缩级别 − 行存模式：压缩级别的有效值为YES/NO。 − 列存模式：压缩级别的有效值为YES/NO/LOW/MIDDLE/HIGH，还可以配置列存模式同一压缩级别下不同的压缩水平03（数值越大，表示同一压缩级别下压缩比越大）。 表结构 列名 是 填写列名，列名不能重复。 数据分类 是 选择数据类型的类别： 数值类型 货币类型 布尔类型 二进制类型 字符类型 时间类型 几何类型 网络地址类型 位串类型 文本搜索类型 UUID类型 JSON类型 对象标识符类型 类型 是 选择数据类型。 列描述 否 填写列的描述信息。 是否建ES索引 否 单击复选框时，表示需要建立ES索引。建立ES索引时，请同时在“CloudSearch集群名”中选择建立好的CSS集群。如何创建CSS集群，请参见《 ES索引数据类型 否 选择ES索引的数据类型： text keyword date long integer short byte double boolean binary 操作 否 单击 ，增加列。

当记录值有多个IP地址时，域名是如何解析的？ 当解析记录的“值”包含多个IP地址时，域名解析会返回所有的IP地址，但返回IP地址的顺序是随机的，浏览器默认取第一个返回的IP地址作为解析结果。根据大量测试数据显示，解析到各IP地址的比例接近相等。 内网DNS并发有什么限制？ 为保证内网域名的解析效率，内网DNS服务器会限制来自单个IP地址的解析流量，QPS最大不能超过2000。如果某个服务器请求DNS解析的频率特别高，超出了正常的业务访问量，即QPS超过2000，则超出部分的解析请求将会被清洗，内网DNS服务器将不会处理超出的这部分解析请求。 DNS是否同时支持IPv4和IPv6解析？ NS可以同时支持IPv4解析和IPv6解析。您可以在DNS上为域名同时添加A类型和AAAA类型的解析记录，实现IPv4和IPv6的解析。 例如，为域名example.com同时添加如下记录： 域名 记录集类型 记录集值 www.example.com A 192.168.1.2 www.example.com AAAA 2407:c080:0:ffff:ffff:fffe:0:1 怎样设置弹性云主机的私网IP的反向解析？ 反向域名解析提供通过IP地址查找域名的功能。 如果要设置ECS服务器私网IP的反向解析，可以通过在创建内网域名之后添加PTR记录集实现。 设置私网IP的反向解析，其域名格式是x.x.x.x.inaddr.arpa。 说明 inaddr.arpa是反向解析的顶级域。 例如，私网IP是192.168.1.10，其反向域名格式是10.1.168.192.inaddr.arpa。 可以创建内网域名192.inaddr.arpa，然后添加10.1.168.192.inaddr.arpa的PTR记录集来实现设置该私网IP的反向解析记录。

本章节主要介绍备份元数据。 操作场景 为了确保元数据信息安全，或者用户需要对元数据功能进行重大操作（如扩容缩容、安装补丁包、升级或迁移等）前后，需要对元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。元数据包含OMS数据、LdapServer数据、DBService数据和NameNode数据。备份Manager数据包含同时备份OMS数据和LdapServer数据。 默认情况下，元数据备份由“default”任务支持。该任务指导用户通过MRS Manager创建备份任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 需要准备一个用于备份数据的备集群，且网络连通。每个集群的安全组，需分别添加对端集群的安全组入方向规则，允许安全组中所有弹性云主机全部协议全部端口的访问请求。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“数据存放路径/LocalBackup/”是否有充足的空间。 操作步骤 创建备份任务 1. 在MRS Manager，选择“系统设置 > 备份管理”。 2. 单击“创建备份任务”。 设置备份策略 1. 在“任务名称”填写备份任务的名称。 2. 在“备份类型”选择备份任务的运行类型，“周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 创建周期备份任务，还需要填写以下参数： “开始时间”：表示任务第一次启动的时间。 “周期”：表示任务下次启动，与上一次运行的时间间隔，支持“按小时”或“按天”。 “备份策略”：表示任务每次启动时备份的数据量。支持“首次全量备份，后续增量备份”、“每次都全量备份”和“每n次进行一次全量备份”。选择“每n次进行一次全量备份”时，需要指定n的值。

本节主要介绍支持审计的关键操作列表 通过云审计服务，您可以记录与文档数据库服务相关的操作事件，便于日后的查询、审计和回溯。 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance ddsRestoreToOldInstance 创建实例 instance ddsCreateInstance 删除实例 instance ddsDeleteInstance 重启实例 instance ddsRestartInstance 扩节点 instance ddsGrowInstance 扩磁盘 instance ddsExtendInstanceVolume 重置数据库密码 instance ddsResetPassword 实例重命名 instance ddsRenameInstance 切换SSL instance ddsSwitchSsl 修改实例端口 instance ddsModifyInstancePort 创建备份 backup ddsCreateBackup 删除备份 backup ddsDeleteBackup 设置备份策略 backup ddsSetBackupPolicy 应用参数模板 parameterGroup ddsApplyConfigurations 复制参数模板 parameterGroup ddsCopyConfigurations 重置参数模板 parameterGroup ddsResetConfigurations 创建参数模板 parameterGroup ddsCreateConfigurations 删除参数模板 parameterGroup ddsDeleteConfigurations 更新参数模板 parameterGroup ddsUpdateConfigurations 绑定公网IP instance ddsBindEIP 解绑公网IP instance ddsUnBindEIP 修改标签 tag ddsModifyTag 删除实例标签 tag ddsDeleteInstanceTag 添加实例标签 tag ddsAddInstanceTag 扩容失败回退 instance ddsDeleteExtendedDdsNode 规格变更 instance ddsResizeInstance 实例解冻 instance ddsUnfreezeInstance 实例冻结 instance ddsFreezeInstance 修改内网地址 instance ddsModifyIP 修改内网域名 instance ddsModifyDNSName 设置集群均衡开关 instance ddsSetBalancer 内部通信方式切换 instance ddsSwitchInnerSsl 添加只读节点 instance AddReadonlyNode 集群开启shard/config IP instance ddsCreateIp 修改实例安全组 instance ddsModifySecurityGroup 迁移可用区 instance ddsMigrateAvailabilityZone 实例备注 instance ddsModifyInstanceRemark 可维护时间段 instance ddsModifyInstanceMaintenanceWindow 补丁升级 instance ddsUpgradeDatastorePatch 主备切换 instance ddsReplicaSetSwitchover 跨网段访问配置 instance ddsModifyInstanceSourceSubnet 实例参数修改 parameterGroup ddsUpdateInstanceConfigurations 实例导出参数模板 parameterGroup ddsSaveConfigurations 设置跨区域备份策略 backup ddsModifyOffsiteBackupPolicy 慢日志开启明文显示 instance ddsOpenSlowLogPlaintextSwitch 慢日志关闭明文显示 instance ddsCloseSlowLogPlaintextSwitch 下载错误/慢日志 instance ddsDownloadLog 实例开启审计策略 instance ddsOpenAuditLog 实例关闭审计策略 instance ddsCloseAuditLog 实例下载审计日志 instance ddsDownloadAuditLog 实例删除审计日志 instance ddsDeleteAuditLogFile 回收站策略 instance ddsModifyRecyclePolicy

本章节会介绍如何变更数据库代理的规格 操作场景 CPU/内存规格可根据业务需要进行变更，当实例的状态由“代理实例规格变更中”变为“正常”，则说明变更成功。 目前仅支持按需计费的数据库代理进行规格变更。 约束限制 主实例、只读实例和数据库代理的实例状态正常时才可进行规格变更。 当实例进行CPU/内存规格变更时，该实例不可被删除。 规格变更会重启数据库代理实例，请在业务低峰期进行规格变更。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称。 5、在“数据库代理”页面，“代理实例信息”模块的“代理实例规格”处，单击“规格变更”。 您可以根据自己的需求缩小或扩大规格。 规格变更时会提示“修改CPU/内存后，将会重启数据库代理实例。请选择业务低峰期，避免业务异常中断。” 如果切换时间选择“可维护时间段”，任务在变更期间会导致数据库代理实例重启，业务暂时中断。建议将变更时间段设置在业务低峰期，具体设置请参考设置可维护时间段。 6、进行规格确认。 如需重新选择，单击“上一步”，回到上个页面，修改规格。 按需计费模式的实例，单击“提交”，提交变更。 由规格变更产生的费用，您可在“费用中心 > 消费明细”中查看费用详情。 7、查看变更结果。 任务提交成功后，单击“返回云数据库RDS列表”，在实例管理页面，可以看到实例状态为“代理实例规格变更中”。稍后在对应的“数据库代理”页面，查看实例规格，检查修改是否成功。此过程需要13～15分钟。

本节介绍了变更备机可用区的内容。 操作场景 您可以将主备实例的备机迁移至同一区域内的其它可用区。 约束限制 RDS for MySQL 5.6、5.7、8.0版本的主备实例支持备机可用区迁移功能。 业务高峰期批量写操作可能会导致迁移失败，为确保迁移成功，请选择业务低峰期操作。 迁移期间将短暂停止DDL语句和event定时任务，请选择业务低峰期操作，避免业务异常中断。 如果备机迁移出现问题，任务中心会显示任务状态为失败，但是实例管理页面的运行状态一栏仍会显示“备机迁移中”，此时实例进入了锁保护状态，无法进行操作，您可以通过提交客服工单的方式来解决此问题。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 可用区迁移”，进入“可用区迁移”页面。 步骤 5 在“可用区迁移”页面，选择目标可用区，单击“提交”。 步骤 6 迁移可用区成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 可用区迁移过程中，状态显示为“备机迁移中”。您可以通过“任务中心”查看详细进度。具体请参见任务中心。 在实例列表的右上角，单击 刷新列表，可查看到可用区迁移完成后，实例状态显示为“正常”。 在“基本信息”页面的“可用区”处，可以查看到备机迁移后所在的可用区。 结束

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书。对于手动验证域名的证书,您需及时验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

资源 默认限制 一个账号在单地域可创建的经典型（免费）负载均衡数量（个） 1（经典型负载均衡同VPC内多实例性能共享，无性能保障。如用于生产业务，建议选择性能保障型实例。性能保障型未上线的地域，建议联系您的客户经理，由天翼云工程师评估后为您调整配额） 一个账号在单地域可创建性能保障型负载均衡数量（个） 20（可开工单评估提升配额） 一个负载均衡实例可添加的监听器数量（个） 30（可开工单评估提升配额） 一个监听器/转发策略可关联的后端主机组数量（个） 1（不支持调整） 一个后端主机组可关联的监听器/转发策略数量（个） 1（不支持调整） 一个负载均衡实例的后端主机组可添加的云主机类型的后端主机数量（个） 100（可开工单评估提升配额） 一个账号在单地域可添加的跨VPC后端IP类型的后端主机数量（个） 100（可开工单评估提升配额） 一个负载均衡实例中的监听器可选择的端口范围 165535（不支持调整） 一个监听器可设置的访问策略组数量（个） 1（不支持调整） 一个监听器可设置的扩展域名数量（个） 3（不支持调整） 一个账号在单地域可创建的后端主机组数量（个） 100（可开工单评估提升配额） 一个账号在单地域可创建的访问策略组数量（个） 20（可开工单评估提升配额） 一个访问策略组可包含的地址段数量（个） 50（可开工单评估提升配额。仅集群模式资源池支持调整，主备、集群模式资源池列表见 一个账号在单地域可创建的证书数量（个） 10（可开工单评估提升配额）

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书,请配合天翼云验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本章介绍初始化容量大于2TB的Linux数据盘(parted)的方法。 操作场景 本文以物理机的操作系统为“CentOS 7.4 64位”、云硬盘容量为3 TB举例，采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 前提条件 已登录物理机。 已挂载数据盘至物理机，且该数据盘未初始化。 划分分区并挂载磁盘 本操作以该场景为例，当物理机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1. 执行以下命令，查看新增数据盘。 plaintext lsblk 回显类似如下信息： plaintext [root@bmscentos74 ~] lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 40G 0 disk ├─vda1 253:1 0 1G 0 part /boot └─vda2 253:2 0 39G 0 part / vdb 253:16 0 3T 0 disk 表示当前的服务器有两块磁盘，“/dev/vda”是系统盘，“/dev/vdb”是新增数据盘。 2. 执行以下命令，进入parted分区工具，开始对新增数据盘执行分区操作。 plaintext parted 新增数据盘 以新挂载的数据盘“/dev/vdb”为例： plaintext parted /dev/vdb 回显类似如下信息： plaintext [root@bmscentos74 ~]

四层服务 针对四层服务（TCP/UDP协议）：开启监听器的“获取客户端IP”功能。 注意 开启此功能后，执行后端服务器迁移任务时，可能出现流量中断（例如单向下载、推送类型的流量）。所以后端服务器迁移完成后，需要通过报文重传来恢复流量。 监听器开启此功能后，后端服务器不能作为客户端访问此监听器。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能，开启“获取客户端IP”功能会重新上线后端服务器，新建流量会有12个健康检查间隔的中断。 1、 1）开启监听器的“获取客户端IP”功能。 2）登录管理控制台。在管理控制台左上角选择区域和项目。 3）在页面中选择“网络 > 弹性负载均衡”。 4）在“负载均衡器”界面，单击需要操作的负载均衡名称。 5）切换到“监听器”页签。 新增场景：单击“添加监听器”。 修改场景：在需要修改的监听器名称右侧所在行的操作列，单击“编辑”。 6）开启“获取客户端IP”开关。 7）设置后端服务器的安全组、网络ACL、操作系统和软件的安全规则，使客户端的IP地址能够访问后端服务器。 说明 开启“获取客户端IP”之后，不支持同一台服务器既作为后端云主机又作为客户端的场景。如果后端云主机和客户端使用同一台云主机，且开启“获取客户端IP”，则后端云主机会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。 2、 开启“获取客户端IP”之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器，且开启“获取客户端IP”，则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。

监控Java应用需要先为Java应用安装Agent,您可以选择以手动方式或脚本方式安装Agent,本文介绍如何为Java应用手动安装Agent。 为Java应用手动安装Agent。 准备工作 1. DNS配置：上报域名为内网域名，需要在dns配置文件(/etc/resolv.conf)第一行加上 nameserver 100.95.0.1 才生效。 2. 检查VPC接入情况：使用agent前，需要先接入云主机所在的VPC网络。 下载Agent 各个资源池的下载地址都不一样，在接入应用面板的STEP1区域下载对应的Agent。 注意 javaagent目前仅支持JDK 8、11、17版本。 安装Agent 进入Agent压缩包所在目录并将其解压至任意工作目录下。 plaintext unzip ctyunArmsAgent.zip d /{user.workspace}/ “{user.workspace}”是示例路径，此处及以下均请根据具体环境替换为正确的路径 。 复制以下JVM参数，添加到应用服务的启动脚本中。 plaintext nohup java javaagent:/{user.workspace}/ctyunArmsAgent/ctyunArmsAgent.jar Dotel.resource.attributesservice.namemyservice Darms.licenseKeySgrpVvT0@14462p5oHbdZ Dotel.exporter.otlp.endpoint jar {jar.name}.jar & license.key和endpoint 是我们为您自动生成的。 service.name 是您的应用名称，请将 myservice 替换成您自己的应用名。 如需在同一台服务器为一个应用部署多个进程实例，则应在Dotel.resource.attributes内容中增加配置：instance.id逻辑实例名，使用逗号与其他配置隔开，如若无此配置，则多个进程实例数据将合并为同一个实例。 启动应用 请在重新启动您的应用，大约5分钟后Agent将会安装完毕。 结果验证 约5分钟后，若Java应用出现在应用列表页面中且有数据上报，则说明接入成功。

本节将为您介绍如何进行企业项目创建管理与授权。 创建企业项目 企业项目管理服务提供统一的云资源企业项目管理，以及企业项目内的资源管理，成员管理。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“企业项目”进入企业管理页面，单击右上角“创建企业项目”。 4. 在“创建企业项目”弹窗对“企业项目名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 授权 通过为企业项目添加用户组，并设置策略，实现企业项目和用户组的权限关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“用户组”进入用户组管理页面，单击右上角“创建用户组”。 4. 在“创建用户组”弹窗对“用户组名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 5. 回到“企业项目”，找到创建好的企业项目，单击“查看用户组”。 6. 在“用户组”页签单击“设置用户组”。 7. 选择在步骤4创建好的用户组进行设置后，单击“确认”完成添加。 8. 您可在该用户组“设置策略”完成具体策略设置。

本文介绍分布式缓存服务Redis版功能类常见问题 分布式缓存服务Redis版与Redis是什么关系？ 天翼云分布式缓存服务Redis版是完全兼容Redis协议的云原生高性能内存数据库。 任何兼容Redis的客户端都可以与分布式缓存服务Redis版建立连接进行数据存储及相应操作。 Redis实例是否有CPU处理能力、带宽和连接数等限制？ 分布式缓存服务Redis实例在CPU处理能力、数据传输带宽（上行/下行）和连接数等方面都有限制。 不同规格实例的性能参数有所区别，详情请参见规格概览，您也可以查看购买页上的对应提示。 单个实例有多少个数据库？ 单个分布式缓存服务Redis版实例默认有256个数据库（DB）。 说明 集群架构实例默认也有256个数据库（DB）。 Redis实例是否都有主从节点？ 节点类型为主备版的Redis实例（含集群实例）都具备主从节点，单机版本的Redis实例则仅具备主节点。具体请参考实例类型概览 目前支持的实例规格包括标准版单机、标准版主备、集群版单机、集群版主备，可根据业务场景选用不同规格的实例。通过自研的aof+rdb持久化机制，所有产品系列都支持数据持久化，满足高性能的同时兼顾数据可靠。 分布式缓存服务Redis版是否开放了作为只读节点的从节点？ 分布式缓存服务Redis版是主从（MasterReplica）双节点的架构，这种架构下，通常有一个主节点（Master）和一个或多个从节点（Replica）。主节点负责写操作和处理读操作，而从节点则负责复制主节点的数据，提供冗余备份和支持读操作的负载均衡。 目前暂未将从节点作为只读节点开放。

本文介绍关系数据库PostgreSQL版的性能测试方法。 前提条件 快速创建关系数据库PostgreSQL版实例。 创建弹性云主机ECS。 测试环境 测试使用ECS和RDS实例均在西南1可用区1。 测试使用ECS和RDS实例在同一VPC内。 测试使用ECS信息： 规格为s6.4xlarge.2 镜像为CentOS 7.9 测试使用关系数据库PostgreSQL版信息： 规格为S7系列下各规格 版本为PostgreSQL 12.20 存储类型为超高IO数据盘500G 参数模板为RDS默认参数模板 说明 1.ECS规格较高是为了保证测试时性能瓶颈不在ECS端。 2.RDS数据盘大小涉及IOPS及IO吞吐量上限，需确保容量符合IO能力要求。 测试工具 Sysbench工具 Sysbench是一个跨平台且支持多线程的模块化基准测试工具，用于评估系统在运行高负载的数据库时相关核心参数的性能表现。 本次测试使用的Sysbench版本为1.0.20，具体的参数说明及安装命令如下： 表1 Sysbench参数说明 参数 说明 dbdriver 数据库引擎。 pgsqlhost 实例连接地址。 pgsqlport 实例连接端口。 pgsqluser 实例账号。 pgsqlpassword 实例账号对应的密码。 pgsqldb 实例用于测试的数据库名。 tablesize 测试表大小。 tables 测试表数量。 events 测试请求数量。 time 测试时间。 threads 测试并发线程数。 percentile 需要统计的百分比，默认值为95%，即请求在95%的情况下的执行时间。 reportinterval 测试进度报告输出频率，表示N秒输出一次测试进度报告。 skiptrx 是否跳过事务。1：跳过0：不跳过 安装方法 ECS实例执行如下命令安装Sysbench。 bash wget c sudo yum install make automake libtool pkgconfig libaiodevel postgresqldevel unzip 1.0.20.zip cd sysbench1.0.20

本页主要介绍关系数据库MySQL版的性能测试方法。 前提条件 快速创建关系数据库MySQL版实例。 创建弹性云主机ECS。 测试环境 测试使用ECS和RDS实例均在同一地域、同一可用区。所有测试在西南1资源池完成。 测试使用ECS和RDS实例在同一VPC内。 测试使用ECS信息： 规格为s8.4xlarge.2 镜像为CentOS 7.9 测试使用RDS信息： 规格为通用计算增强型C7下各规格、存储类型为超高IO数据盘500G； 通用计算增强型C8下各规格、存储类型为XSSD1数据盘500G； 参数模板均为RDS默认参数模板。 说明 1.ECS规格较高是为了保证测试时性能瓶颈不在ECS端。 2.RDS数据盘大小涉及IOPS及IO吞吐量上限，需确保容量符合IO能力要求。 测试工具 Sysbench工具 Sysbench是一个跨平台且支持多线程的模块化基准测试工具，用于评估系统在运行高负载的数据库时相关核心参数的性能表现。 本次测试使用的Sysbench版本为1.0.20。 表1 Sysbench参数说明 参数 说明 dbdriver 数据库引擎。 mysqlhost RDS实例连接地址。 mysqlport RDS实例连接端口。 mysqluser RDS实例账号。 mysqlpassword RDS实例账号对应的密码。 mysqldb RDS实例用于测试的数据库名。 tablesize 测试表大小。 tables 测试表数量。 events 测试请求数量。 time 测试时间。 threads 测试并发线程数。 percentile 需要统计的百分比，默认值为95%，即请求在95%的情况下的执行时间。 reportinterval 测试进度报告输出频率，表示N秒输出一次测试进度报告。 skiptrx 是否跳过事务。1：跳过0：不跳过 安装方法 ECS实例执行如下命令安装Sysbench。 plaintext sudo yum install gcc gccc++ autoconf automake make libtool mysqldevel git mysql git clone

本节主要介绍添加服务类问题 添加的对外访问方式不能生效，如何排查？ 出现上述问题可能是访问相关的资源配置有缺失或错误，请按照如下方法进行排查： 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群，使用kubectl get gateway n istiosystem命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc n istiosystem命令查看使用的ingressgateway是否有对应的IP和端口，且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERRUNSAFEPORT”错误，是因为该端口被浏览器识别为危险端口，此时应更换为其他外部端口。 一键创建体验应用为什么启动很慢？ 体验应用包含productpage、details、ratings和reviews 4个服务，需要创建所有相关的工作负载和Istio相关的资源（DestinationRule、VirtualService、Gateway）等，因此创建时间较长。 一键创建体验应用部署成功以后，为何不能访问页面？ 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建，后端服务器健康状态是否正常。 添加路由时，为什么选不到对应的服务？ 添加路由时，目标服务会根据对应的网关协议进行过滤。过滤规则如下： HTTP协议的网关可以选择HTTP协议的服务 TCP协议的网关可以选择TCP协议的服务 GRPC协议的网关可以选择GRPC协议的服务 HTTPS协议的网关可以选择HTTP、GRPC协议的服务 TLS协议的网关如果打开了TLS终止，只能选择TCP协议的服务；关闭了TLS终止，只能选择TLS协议的服务

本页介绍了内网连接实例如何设置安全组规则和白名单规则。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和文档数据库服务实例提供访问策略。 为了保障文档数据库服务的安全性和稳定性，在使用文档数据库服务实例之前，您需要设置相应的安全组规则，开通需访问数据库的IP地址和端口。 通过内网连接文档数据库服务实例时，设置安全组规则分为如下两种情况： ECS与文档数据库服务实例在相同安全组时，默认ECS与文档数据库服务实例互通，无需设置安全组规则，执行内网通过Mongo Shell连接实例。 ECS与文档数据库服务实例在不同安全组时，需要为文档数据库服务和ECS分别设置安全组规则。 设置文档数据库服务安全组规则：为文档数据库服务所在安全组配置相应的“入方向”规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放行时，需要为ECS所在安全组配置相应的“出方向”规则。 白名单 白名单是在安全组之上，针对单个文档数据库实例更细粒度的IP地址访问安全管理。 安全组入方向规则配置步骤 1. 进入TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 3. 在“基本信息 > 网络 > 安全组”处，单击编辑，选择安全组。 4. 单击vpc名称，进入网络控制台，选择“访问控制 > 安全组”。 5. 在安全组页面，选择指定安全组，单击名称，进入安全组详情页面。 6. 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 7. 根据界面提示配置安全组规则。 8. 单击“确定”。

本节为您介绍如何添加AAAA类型记录集。 操作场景 当您想要直接使用域名访问网站、Web应用程序或者云主机时，可以通过为域名增加AAAA类型记录集实现。 更多关于记录集类型的介绍，请参见支持记录集类型。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 可以看到已创建好的域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录界面，单击“添加记录集”。 4. 出现“添加记录集”弹窗，根据需求进行配置。 表1 添加AAAA类型记录集参数说明 参数 说明 取值样例 主机记录 如果要添加www.example.com的解析记录，则主机记录填写“www”;如果想针对example.com下的所有子域名都指向同一个IP地址，则主机记录填写“”。 www 类型 记录集的类型，此处为AAAA类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 AAAA – 将域名指向IPv6地址 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 填写IPv6地址，最多可以输入8个不重复地址，每行一个。 ff03:0db8:85a3:0:0:8a2e:0370:7334 描述 选填字段，最多支持输入100个字符。 5. 填写完成后，点击“确定”完成AAAA类型记录集创建。 6. 在“解析记录”页面，可以看到创建成功的解析记录。

本节为您介绍如何添加SRV类型记录集。 操作场景 当您想要记录某个云主机对外提供哪些服务，可以通过为域名增加SRV类型记录集实现。 更多关于记录集类型的介绍，请参见支持记录集类型。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 可以看到已创建好的域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录界面，单击“添加记录集”。 4. 出现“添加记录集”弹窗，根据需求进行配置。 表1 添加SRV类型记录集参数说明 参数 说明 取值样例 主机记录 SRV主机记录格式:服务的名字.协议的类型,协议通常为TCP或UDP,服务为应用层服务名,如FTP/SIP等。 ftp.tcp表示通过TCP协议提供FTP服务。 类型 记录集的类型，此处为SRV类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 SRV – 记录提供特定服务的服务器 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 SRV记录：填写指定服务的服务器地址，最多可以输入8个不重复地址，每行一个。格式：[优先级] [权重] [端口号] [目标地址] 3 0 2176 xmppserver.example.com 描述 选填字段，最多支持输入100个字符。 5. 填写完成后，点击“确定”完成SRV类型记录集创建。 6. 在“解析记录”页面，可以看到创建成功的解析记录。

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

本节介绍如何导入/导出资产。 操作场景 态势感知（专业版）支持导入云外各种资产，导入后，可以呈现资产的安全状态。同时，还可以将资产信息导出。 约束与限制 仅支持导入.xlsx格式的文件，且单次导入文件大小不超过5MB。 最多支持导出9999条资产信息。 导入资产 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，选择对应资产页签，如主机资产、网站、数据库等。 例如，需要导入主机资产，则选择“主机资产”页签。 需要导入部门或业务系统，则选择“部门及业务系统”页签。 6. 导入资产，在资产列表左上方，单击“导入”，弹出导入资产对话框。 导入部门，单击“部门”下方的导入按钮，弹出导入部门对话框。 导入业务系统，单击“业务系统”下方的“导入”按钮，弹出导入业务系统对话框。 7. 在导入资产对话框中，单击“下载模板”，并根据模板填写要求填写待导入资产信息。 在导入部门对话框中，单击“下载模板”，并根据模板填写要求填写待导入部门信息。 在导入业务系统对话框中，单击“下载模板”，并根据模板填写要求填写待导入业务系统信息。 8. 待导入文件信息填写完成后，在导入对话框中，单击“添加文件”，并选择需要导入的Excel文件。 9. 选择完成后，单击“确定”，完成导入。 10. 导入完成后，在左侧导航栏选择“资产管理> 资产管理”，在资产管理页面选择导入资产对应的资产页签，即可在资产列表中查看已导入的资产。

参数 子参数 说明 区域 您可以根据业务要求，选择具体的区域。 项目 选择区域后，才能选择项目。 迁移方式Linux Linux块级 Linux块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。这种方式同步效率高，但兼容性差。 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 迁移方式Windows Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 专线或VPN 需要您提前创建源端服务器到目的端服务器所在VPC子网的专线或VPN。 若源端和目的端在同一个VPC内，网络类型可选择“专线或VPN”。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。设置为0时，代表不限流。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 服务器选择 已有服务器 目的端配置时，在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 目的端配置时，根据需求，您可以配置虚拟私有云、子网、安全组等参数。

源端服务器环境、剩余空间及其他要求。 源端服务器剩余空间要求： Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 源端服务器环境要求： 源端服务器时间与标准时间一致，避免源端Agent注册失败。 当源端服务器为Linux系统时，执行rsync v查看是否安装Rsync库。当前主流服务器系统已默认安装Rsync库，无需手动安装。 当未安装Rsync库，执行如下命令安装Rsync库： CentOS：执行 yum y install rsync。 Ubuntu：执行 aptget y install rsync。 Debian：执行 aptget y install rsync。 SUSE：执行 zypper install rsync。 其他平台系统：参见官网安装相关文档。 搭建IPv6网络并创建目的端 使用IPv6进行主机迁移前，需要先搭建一个IPv6网段的VPC，并在VPC中创建一个带有IPv6地址的目的端ECS。 注意事项 确保源端服务器能够使用IPv6网络。 子网配置时，请务必勾选“ 开启IPv6 ”，将自动为子网分配IPv6网段。 弹性云主机ECS仅部分规格支持IPv6网络，目的端需要选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格。 网络配置时，务必选择“ 自动分配IPv6地址 ”，绑定共享带宽为可选，根据需求配置。 安全组入方向规则需要放通IPv6端口。 说明 Windows系统需要开放TCP的8899端口、8900端口和22端口。 Linux系统文件级迁移开放22端口，块级迁移开放8900端口、22端口。 以上端口，建议只对源端服务器开放。 创建迁移任务 主机迁移服务支持在双栈网络下使用IPv6进行数据迁移。

简述存储能力常用术语。 块存储 块存储主要为云服务器提供的块设备产品，具有高性能和低时延的特点，支持随机读写。用户可以像使用物理硬盘一样格式化并建立文件系统来使用块存储，可满足大部分通用业务场景下的数据存储需求。 文件存储 文件存储也称为文件级存储或基于文件的存储，数据会以单条信息的形式存储在文件夹中。当用户需要访问该数据时，用户的计算机需要知道相应的查找路径。存储在文件中的数据会根据数量有限的元数据来进行整理和检索，这些元数据会告诉计算机文件所在的确切位置。 对象存储 对象存储，也称为基于对象的存储，是一种扁平结构，其中的文件被拆分成多个部分并散布在多个硬件间。在对象存储中，数据会被分解为称为“对象”的离散单元，并保存在单个存储库中，而不是作为文件夹中的文件或服务器上的块来保存。 访问密钥（AK/SK） 媒体存储对象存储协议通过AK/SK认证方式进行认证鉴权，即使用Access Key（AK）/ Secret access Key（SK）加密的方法来验证某个请求发送者身份。 当用户使用媒体存储提供的SDK或API进行二次开发时，需通过AK/SK认证方式完成认证鉴权。 媒体存储中的对象存储支持密钥管理功能，用户可通过控制台进行相关操作。 Access Key(AK)：访问密钥ID，与私有访问密钥关联的唯一标识符；一个访问密钥ID对应一个用户，一个用户可以同时拥有5个访问密钥ID。访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret access Key(SK)：私有访问密钥, 与访问密钥ID结合使用，对请求进行加密签名，标识发送方，防止请求信息被篡改。

本章节主要介绍DataArts Studio的开发一个DWS SQL作业流程。 介绍如何在数据开发模块上通过DWS SQL算子进行作业开发。 场景说明 本教程通过开发一个DWS作业来统计某门店的前一天销售额。 环境准备 已开通DWS服务，并创建DWS集群，为DWS SQL提供运行环境。 已开通CDM增量包，并创建CDM集群。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与DWS集群保持一致，确保网络互通。 创建DWS的数据连接 开发DWS SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到DWS的连接，数据连接名称为“dwslink”。 关键参数说明： 集群名：环境准备中创建的DWS集群名称。 绑定Agent：环境准备中创建的CDM集群。 创建数据库 在DWS中创建数据库，以“gaussdb”数据库为例。详情请参新建数据库进行操作。 创建数据表 在“gaussdb”数据库中创建数据表tradelog和tradereport。详情请参考如下建表脚本。 create schema storesales; set currentschema storesales; drop table if exists tradelog; CREATE TABLE tradelog ( sn VARCHAR(16), tradetime DATE, tradecount INTEGER(8) ); set currentschema storesales; drop table if exists tradereport; CREATE TABLE tradereport ( rq DATE, tradetotal INTEGER(8) ); 开发DWS SQL脚本 在“数据开发 > 脚本开发”模块中创建一个DWS SQL脚本，脚本名称为“dwssql”。在编辑器中输入SQL语句，通过SQL语句来实现统计前一天的销售额。 开发脚本 说明 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：创建DWS的数据连接中已创建的连接。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

参数名称 说明 取值样例 添加方式 您可以选择Agent的添加方式。 选择已有Agent 当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 创建Agent 如果待添加Agent的数据库需要创建Agent，请创建新的Agent。 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时，需配置该参数。 审计RDS关系型数据库，需要选择“应用端”。 应用端 安装节点IP “安装节点类型”选择“应用端”时，需配置该参数。安装节点IP只能填写一个，每个Agent安装节点IP不同。 IP地址为应用端内网IP地址。 IP必须为内网IP地址，支持IPv4和IPv6格式。 须知 当审计RDS关系型数据库且应用端在云下时，代理端将作为应用端，此时，“安装节点IP”需要配置为代理端的IP地址。 192.168.1.1 审计网卡名称 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的网卡名称。 CPU阈值(%) 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的CPU阈值，缺省值为“80”。 须知 当服务器的CPU超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。 80 内存阈值(%) 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的内存阈值，缺省值为“80”。 须知 当服务器上的内存超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。 80 操作系统 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的操作系统，可以选择“LINUX64”或“WINDOWS64”。 LINUX64

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

基于范围的分片键设置 步骤 1 使用如下命令，开启数据库分片开关。 sh.enableSharding (database) 说明 参数database表示要开启分片集合的数据库。 步骤 2 设置分片键。 sh.shardCollection (namespace, key) 说明 参数namespace表示需要进行分片的目标集合的完整命名空间.。 key表示要设置分片键的索引。 如果需要进行分片的目标集合是空集合，可以不创建索引直接进行下一步的分片设置，该操作会自动创建索引。 sh.shardCollection() 如果需要进行分片的目标集合是非空集合，则需要先创建索引key。然后使用如下命令设置分片键。 sh.shardCollection() 基于哈希的分片键设置 步骤 1 使用如下命令，开启数据库分片开关。 sh.enableSharding (database) 说明 参数database表示要开启分片集合的数据库。 步骤 2 设置基于哈希的分片键。 sh.shardCollection ( " . ", { : "hashed" } , false, {numInitialChunks: 预置的chunk个数}) 其中numInitialChunks值的估算方法是：db.collection.stats().size / 10102410241024 。 如果集合已经包含数据，则需要先使用如下命令对需要创建的基于哈希的分片键先创建哈希索引： db.collection.createIndex() 然后再使用如下命令创建基于哈希的分片键： sh.shardCollection() 扩大带宽是否会对DRS正在进行中的任务产生影响 扩大云连接带宽时需要重建带宽链路，则会导致网络断开，此时是否会对DRS任务产生影响取决于网络断开的时间以及源库IP有没有发生变化。例如针对MySQL引擎而言，如果网络断开1天，而在这1天时间内源库binlog被清理了（MySQL都有binlog清理策略，用户侧自己配置的），就无法进行任务续传，需要重置任务。如果网络中断的时间很短，并且带宽链路更换完成后源库的VPN内的IP地址没有变，则是可以继续续传任务，不会对DRS任务产生影响。

原理 任务 在进行备份恢复之前，需要先创建备份恢复任务，并指定任务的参数，例如任务名称、备份数据源和备份文件保存的目录类型等等。通过执行备份恢复任务，用户可完成数据的备份恢复需求。在使用Manager执行恢复HDFS、HBase、Hive和NameNode数据时，无法访问集群。 每个备份任务可同时备份不同的数据源，每个数据源将生成独立的备份文件，每次备份的所有备份文件组成一个备份文件集，可用于恢复任务。备份任务支持将备份文件保存在Linux本地磁盘、本集群HDFS与备集群HDFS中。 备份任务提供全量备份或增量备份的策略，云数据备份任务不支持增量备份策略。如果备份的路径类型是NFS或CIFS，不建议使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 说明 任务运行规则： 某个任务已经处于执行状态，则当前任务无法重复执行，其他任务也无法启动。 周期任务自动执行时，距离该任务上次执行的时间间隔需要在120秒以上，否则任务推迟到下个周期启动。手动启动任务无时间间隔限制。 周期任务自动执行时，当前时间不得晚于任务开始时间120秒以上，否则任务推迟到下个周期启动。 周期任务锁定时无法自动执行，需要手动解锁。 OMS、DBService、Kafka和NameNode备份任务开始执行前，若主管理节点“LocalBackup”分区可用空间小于20GB，则无法开始执行。 管理员在规划备份恢复任务时，请严格根据业务逻辑、数据存储结构、数据库或表关联关系，选择需要备份或者恢复的数据。系统默认创建间隔为1小时的周期备份任务“defaultoms”、“default 集群ID ”，支持全量备份OMS及集群的DBService、NameNode等元数据到本地磁盘。