本章节以Linux操作系统为例，指导您通过弹性云主机公网方式连接GeminiDB Influx实例。 前提条件 GeminiDB Influx实例需要绑定弹性公网IP并设置安全组规则，确保可以通过弹性云主机访问弹性公网IP，具体操作请参见绑定弹性公网IP和设置安全组规则。 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 操作步骤 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 使用SSL方式连接数据库 ./influx ssl unsafeSsl host port 示例： ./influx ssl unsafeSsl host 10.xx.xx.xx port 8635 使用非SSL方式连接数据库 ./influx host port 示例： ./influx host 10.xx.xx.xx port 8635 表1 参数说明 参数 说明 待连接节点的弹性公网IP。您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“弹性IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的弹性公网IP即可。 若当前节点尚未绑定弹性公网IP，请参见绑定弹性公网IP 为当前实例绑定弹性公网IP后，再根据本章节操作连接实例。 待连接实例的端口，默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表2 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份通过后，再输入命令 show databases 。 show database 出现如下信息，表示示例连接成功： name: databases name internal

虚拟私有云支持主动访问公网,本文带您快速了解通过单个ECS访问公网和多个ECS访问公网。 单个弹性云主机访问公网 当您的某台弹性云主机需要主动访问公网，可以为弹性云主机绑定弹性IP，即可实现公网访问。 多个弹性云主机访问公网 如果您有多个弹性云主机实例需要访问公网，可以使用NAT网关服务，并将多个弹性云主机实例与NAT网关关联。按子网配置SNAT规则，轻松构建VPC的公网出口。对比弹性IP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了弹性云主机的相对安全。 对于可用区资源池，云主机使用弹性IP或者NAT网关的操作方法可以参考如何通过弹性IP或者NAT网关访问公网页面。

本文主要介绍VPC流日志简介。 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 注意 VPC流日志本身是免费的，但需要为使用过程中用到的其他云资源付费。例如，流日志数据存储在云日志服务中，将按云日志服务的标准收费，详情请参考云日志服务用户指南。 说明 VPC流日志功能支持区域： 华北华北，广东，广州4，北京北京2， 江苏苏州, 重庆重庆，陕西西安2，上海上海4，贵州贵州，湖南长沙2， 福建福州，浙江杭州，湖北武汉2，四川成都3，江西南昌 VPC流日志功能需要与云日志服务LTS结合使用，先在云日志服务中创建日志组和日志主题，然后再创建VPC流日志。配置流程如下图所示。 图配置VPC流日志 约束与限制 一个用户在单个区域内，最多可创建10个VPC流日志。

跨VPC后端 跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。使用跨VPC后端功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。 只有TCP，HTTP，HTTPS类型监听器支持跨VPC后端功能。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 通过跨VPC后端功能添加的后端云主机，默认的源地址透传功能会失效。

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID 58c5689018334b30a08ff9a3f8d5f314 autoPay 是 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 resSize 是 Integer 集群数量resSize，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

网站扫描查看漏洞修复建议的方法。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 查看网站资产列表，相关参数说明如下表所示。 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” ：目标域名已完成域名认证。 “未认证” ：目标域名未完成域名认证。单击“去认证”进行域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 5. 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 6. 选择“漏洞列表”页签，查看漏洞信息。 7. 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，用户可以根据修复建议修复漏洞。

本节介绍如何添加WAF防护策略。 前提条件 已添加防护网站。 约束条件 一个防护域名只能绑定一个防护策略。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在列表的左上角，单击“添加防护策略”。 步骤6 在弹出的对话框中，输入策略名称，单击“确定”。 步骤7 在目标策略所在行，单击策略名称，进入防护规则配置页面。 相关操作 若想修改策略名称，单击目标策略名称后的编辑按钮，在弹出的对话框中，重新输入新的策略名称即可。 若想删除添加的防护策略，在目标策略所在行的“操作”列，单击“删除”。 如果您想批量删除防护策略，勾选需要删除的策略，单击策略列表上方的“批量删除”。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

图片上传到OOS后，可以通过以下两种方式生成url访问，但是图片会以附件形式下载到本地： 将Bucket设置为公共读，然后按照模板访问，模板：BucketName.ooscn.ctyunapi.cn/ObjectName，或者ooscn.ctyunapi.cn/BucketName/ObjectName。 通过生成共享链接： 使用SDK中的generatePresignedUrl(GeneratePresignedUrlRequest)方法，生成共享链接 URL。 使用控制台“存储桶列表”>“文件列表”页文件分享功能生成共享链接。 基于安全合规要求， OOS禁止通过OOS的默认域名（存储桶访问地址或存储桶自定义域名）在线预览图片、网页等类型的文件，而是以附件形式下载。如果想通过url直接访问预览，需要通过静态网托管功能实现，即将已备案自定义域名和存储桶进行绑定，然后通过访问自定义域名实现在线预览。为Bucket绑定自定义域名请先联系天翼云客服申请，然后可以通过以下方法配置静态网站托管功能： 通过控制台进行配置，详见网站。 通过API进行配置，详见PUT Bucket Website。

参数 配置说明 目录和文件 支持选择要备份的目录和文件及不要备份的目录和文件。 注意：选择文件备份目录时，需选择非结构化数据（如视频、图片、附件、日志等）文件产生的数据路径。若选择"/"或包含系统文件的系统整盘、系统盘整个分区（如C盘），任务状态会变为停止。如需有系统盘整盘、整个分区的备份需求可选择整机备份方式实现。 镜像设置 校验方式：启用增量备份或差异备份时，当前备份数据与上次备份数据差异比对方式。 错误处理方式 如果源路径包含系统目录和文件，drnode程序可能无法访问某些特定的系统文件。对于这种情况，给出两种解决办法。此选项默认为“遇到错误，立即停止”。 文件打开方式 在镜像阶段，源端打开文件的方式，该选项只适用于Windows平台的工作机。在增量复制阶段，drnode程序不会读取文件内容。 文件安全属性 用户选择是否同步备份文件权限、用户属性等。此选项默认为同步。

创建托管前，需先创建托管视图，本节介绍如何创建托管视图。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在“托管视图”页签中，单击“创建托管视图”，右侧弹出创建托管视图页面。 5. 配置托管视图参数。 参数名称 参数说明 托管视图名称 设置托管视图名称。 绑定空间名称 选择需要绑定的工作空间。 描述 自定义托管视图描述信息。 6. 单击“确定”。 创建成功后，可以在“空间管理”或“空间托管”页面中查看已创建的托管视图。 相关操作 编辑托管视图 1. 在待编辑托管视图所在行“操作”列，单击“编辑”。 2. 在弹出的编辑托管视图中，修改托管视图参数后，单击“确定”。 删除托管视图 1. 在待删除视图所在行“操作”列，单击“删除”。 2. 在弹出确认框中，单击“确认”。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

本章节主要介绍翼MapReduce的权限管理。 如果您需要对上创建的MapReduce服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有MapReduce服务的使用权限，但是不希望他们拥有删除MRS集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用MRS，但是不允许删除MRS集群的权限策略，控制他们对MRS集群资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用MRS服务的其它功能。 IAM是提供权限管理的基础服务。 MRS权限说明 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MRS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MRS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MRS服务，管理员能够控制IAM用户仅能对集群进行指定的管理操作。如不允许某用户组删除集群，仅允许操作MRS集群基本操作，如创建集群、查询集群列表等。多数细粒度策略以API接口为粒度进行权限拆分。 如下表所示，包括了MRS的所有系统策略。 MRS系统策略 策略名称 描述 策略类别 MRS FullAccess MRS管理员权限，拥有该权限的用户可以拥有MRS所有权限。 细粒度策略 MRS CommonOperations MRS服务普通用户权限，拥有该权限的用户可以拥有MRS服务使用权限，无新增、删除资源权限。 细粒度策略 MRS ReadOnlyAccess MRS服务只读权限，拥有该权限的用户仅能查看MRS的资源。 细粒度策略 MRS Administrator 操作权限： 对MRS服务的所有执行权限。 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。 RBAC策略 下表列出了MRS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统策略的授权关系 操作 MRS FullAccess MRS CommonOperations MRS ReadOnlyAccess MRS Administrator 创建集群 √ x x √ 调整集群 √ x x √ 升级节点规格 √ x x √ 删除集群 √ x x √ 查询集群详情 √ √ √ √ 查询集群列表 √ √ √ √ 设置弹性伸缩策略 √ x x √ 查询主机列表 √ √ √ √ 查询操作日志 √ √ √ √ 创建并执行作业 √ √ x √ 停止作业 √ √ x √ 删除单个作业 √ √ x √ 批量删除作业 √ √ x √ 查询作业详情 √ √ √ √ 查询作业列表 √ √ √ √ 新建文件夹 √ √ x √ 删除文件 √ √ x √ 查询文件列表 √ √ √ √ 批量操作集群标签 √ √ x √ 创建单个集群标签 √ √ x √ 删除单个集群标签 √ √ x √ 按照标签查询资源列表 √ √ √ √ 查询集群标签 √ √ √ √ 访问Manager页面 √ √ x √ 查询补丁列表 √ √ √ √ 安装补丁 √ √ x √ 卸载补丁 √ √ x √ 运维通道授权 √ √ x √ 运维通道日志共享 √ √ x √ 查询告警列表 √ √ √ √ 订阅告警消息提醒 √ √ x √ 提交SQL语句 √ √ x √ 查询SQL结果 √ √ x √ 取消SQL执行任务 √ √ x √

使用前准备 1.天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提 （1）如需使用服务请先完成实名认证，请参考账号中心实名认证。 （2）如需使用按需服务，请确认账号余额≥100 元。 部署OpenClaw应用 步骤一：获取大模型API Key OpenClaw需要调用大模型能力，这里使用天翼云息壤模型推理服务。 1.访问天翼云息壤模型推理服务。 2.点击左侧菜单【服务接入】进入服务接入页面，点击【创建服务组】按钮，在创建服务组页面中选择“DeepSeekV3.2（正式版）”，提交表单。（新用户免费额度为2500万tokens，体验时间为2周） 3. 回到【服务接入】页面，复制您的 APP Key 以供使用。 步骤二：订购并部署 OpenClaw 应用 1. 登录应用托管控制台，选择左侧菜单【应用市场】，点击进入对应页面。 2. 在应用市场页面，选择目标应用，点击【开启应用】，进入应用部署页面。 3. 填写获取的天翼云息壤模型推理服务APP KEY（填入息壤APIKEY），设置OpenClaw的网关密码（用于连接OpenClaw网关），选择访问策略，勾选同意用户协议，点击【部署应用】，即可完成OpenClaw应用服务部署。 访问策略：访问策略为服务的公网访问提供安全防护。应用需选择配置白名单访问策略（不支持黑名单访问策略），且白名单内IP数不超过10个，如没有可用的策略请新建。 白名单配置：点击【访问策略】注释行【去新建】，或直接在【应用访问策略】选择策略信息进行操作，编辑白名单配置，将您的IP地址添加到IP地址/网段，并点击确认即可（见下图）。 获取出口 IP 操作指引：可在官网文档【用户指南应用访问策略访问策略管理】中查看。 重要：建议开启白名单策略防护，避免公网全面暴露带来安全风险。 4.提交表单后进入应用实例列表页面，点击操作栏【访问】按钮，点击下拉访问链接，进入OpenClaw使用界面。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置主机类型、 vCPU、内存、镜像、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 账户密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。开启后，在云主机创建成功后35分钟将完成详细监控Agent安装，启用云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、节点等信息。 前提条件 已正确配置安全组。 登录Kafka Manager 创建一台与Kafka专享实例相同VPC和相同安全组的Windows服务器。 获取Kafka Manager地址。 在实例详情信息页面，获取Kafka Manager的地址。 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。 查看Kafka Manager 在进入Kafka Manger集群管理页面后，您可以查看Kafka集群的监控、节点等信息。 集群信息页 单击Clusters中的集群列表，即可进入集群信息页。如图所示。 − 图中①区域表示功能导航栏 Cluster: 集群，统计集群列表和集群详情。 Brokers: 节点，统计当前集群中各节点的状态信息。 Topic: 队列，统计当前集群中的kafka队列。 Preferred Replica Election: 强制进行一次队列leader的最优选举（不建议用户操作）。 Reassign Partitions: 进行分区副本的重分配（不建议用户操作）。 Consumers: 统计集群中的消费组状态。 − 图中②区域表示集群信息统计，包含集群的Topic数和集群的节点数。 集群信息页 集群所有节点统计页 单击功能导航栏中的Brokers，即可进入节点统计页。如图54所示。 − 图中①区域节点列表，包含总的字节流入和字节流出。 − 图中②集群监控信息。 所有节点统计页 具体节点统计页 单击id列表中具体的Broker，即可查看对应节点的统计信息。如图55所示。 − 图中①区域表示对应节点总的统计信息，包括队列数、分区数、分区leader数、消息速率占比、写入字节占比以及流出字节占比。 − 图中②区域表示节点监控信息。 具体Broker信息 查看实例的Topic 在导航栏选择Topic，并在下拉列表中选择List。页面如图56所示，展示了队列列表以及分区数等。 列表中以“”开头的队列为内部队列，严禁操作，否则可能导致业务问题。 查看实例的Topic 队列详情页 单击具体的Topic名称，进入如图57所示页面。 − 图中①区域表示队列基本信息，包括副本数(Replication)，分区数(Number of Partitions)，消息数(Sum of partition offsets)等。 − 图中②区域表示节点与队列分区的对应关系。 − 图中③区域表示该队列的消费组列表。单击消费组名称可进入该消费组的详情页。 − 图中④区域表示队列的配置信息。详情参考kafka队列官方配置文档(

本文介绍HBlock、CSI插件和Cinder驱动插件的生命周期策略。 通过HBlock、CSI插件和Cinder驱动插件的产品生命周期支持策略，您可以了解各生命周期阶段的服务变化，以便合理规划产品使用与续保服务，有序实施版本更新或升级，最大限度保证数据安全及业务连续性。 定义 阶段 服务支持 全面支持阶段（General Availability，GA） 产品发布，进入全面支持阶段，针对该阶段发现的软件缺陷和安全漏洞提供修复版本，维护产品更新和升级。 终止支持阶段（End of Support Life，EOSL） 停止该版本产品所有支持，请尽快升级到提供支持的产品版本。 HBlock各版本生命周期 版本 全面支持阶段 终止支持阶段 4.0 2026年03月24日 2028年09月24日 3.10 2025年09月25日 2028年03月25日 3.9 2025年04月21日 2027年10月21日 3.8 2025年02月14日 2027年08月14日 3.7 2024年08月08日 2027年02月08日 3.6 2024年06月03日 2026年12月03日 3.5 2024年03月04日 2026年09月04日 3.4 2023年07月12日 2026年01月12日 3.3 2022年12月23日 2025年06月23日 3.2 2022年09月26日 2025年03月26日 3.1 2022年06月14日 2024年12月14日 3.0 2022年01月18日 2024年07月18日 2.1 2021年08月27日 2024年02月27日 2.0 2021年05月28日 2023年11月28日

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

第4章 服务范围 远程运维服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云远程运维服务范围包含： 天翼云产品使用咨询、日常巡检、问题处理、故障处理、操作指导、最佳实践等。 天翼云产品相关操作的技术支持。 天翼云管理控制台相关的问题支持。 天翼云远程运维服务范围不包含： 应用的开发和运维，包括但不限于应用开发、部署、测试、问题诊断等。 IDC和硬件设备维护，包括网络设备、服务器、存储等硬件巡检、更换、诊断等（天翼云提供的除外）。 第三方软件问题，包括但不限于OFFICE、WPS办公软件等。 第5章 前提条件 客户需提前至少20个工作日申请远程运维服务，天翼云解决方案架构师评估需求可行性，确定是否提供远程运维服务。 运维专家现场服务2天起售，需提前15个工作日申请，现场服务只在远程运维服务的服务期内提供，运维专家现场服务工作时间为工作日9:00~18:00。 若已购买运维专家现场服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 运维专家现场服务，客户需签署运维进场和离场报告或签到表。 客户需在天翼云承接远程运维服务后，提供必要的访问通道、权限、授权、协助配合天翼云开展远程运维服务。 客户需审核天翼云制定的远程运维服务计划和服务方案，以书面形式（包括但不限于电子邮件）确认。如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 客户需授权天翼云对云上资源和应用进行监控和分析。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

本文介绍了使用天翼云防火墙（原生版）的使用流程和步骤说明。 一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界、内网VPC边界管控与安全防护，并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能，帮助用户完成网络边界防护与等保合规业务。 使用流程 使用流程如下图： 互联网边界防护 操作步骤 说明 相关文档 购买云防火墙（原生版） 成功注册天翼云账号后，打开控制中心，切换资源池至目标资源池，选择云防火墙（原生版）产品，点击购买配额。 购买C100实例 开启防护 打开云防火墙（原生版）控制台，选择防火墙开关，开启防护。 开启弹性IP防护 开启公网NAT网关防护 开启弹性负载均衡防护 配置防护策略 购买成功后，打开云防火墙（原生版）控制台，配置访问控制策略和防护策略。 支持配置以下防护策略： 入向/出向防护规则：按照IP地址、端口、协议、应用等维度设置防护规则进行流量管控。 黑/白名单规则：按照IP地址进行流量管控，来自黑名单内的流量会直接拦截，来自白名单内的流量会直接放行。 入侵防御：根据入侵防御规则库拦截网络攻击，支持基础防御、虚拟补丁、DDoS防护。 配置互联网边界防护规则 配置入侵防御防护规则 查看防护结果 策略配置成功后，查看防护结果日志，防火墙成功开启。 日志审计

本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 跨站请求伪造 跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据，诱导受害者访问，如果受害者浏览器保持目标站点的认证会话，则受害者在访问攻击者构造的页面或URL的同时，携带自己的认证身份向目标站点发起了攻击者伪造的请求。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。 跨站脚本攻击 一种网站应用程序的安全漏洞攻击，攻击者将恶意代码注入到网页上，用户在浏览网页时恶意代码会被执行，从而达到恶意盗取用户信息的目的。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

DRDS实例创建成功后，默认未绑定弹性IP，不能使用公网访问功能。您可以为DRDS实例绑定弹性IP，来通过公网访问数据库实例。本文为您介绍DRDS绑定公网IP的具体操作。 为节点绑定/解绑弹性IP 您可以为DRDS实例的单个节点绑定弹性IP，绑定后，即可通过该节点的弹性IP访问数据库实例。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 前提条件 已创建弹性IP。具体操作，请参见申请弹性IP。 注意事项 绑定弹性公网IP后，请在安全组中设置严格的出入规则，以加强系统安全性。 在绑定弹性IP后，请将客户端公网出口IP加入至白名单中，否则将无法通过弹性IP访问数据库。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理， 进入实例基本信息页面。 4. 在连接信息 区域，找到目标节点，单击绑定弹性IP。 5. 在对话框中，选择弹性公网IP，单击绑定。 6. 使用弹性IP地址，连接DRDS节点。 7. 如果您不再需要使用弹性IP，单击解绑弹性IP，即可进行解绑。 为分组绑定ELB实例 您可以创建自定义分组并关联ELB实例，关联后，即可通过分组ELB实例的弹性IP来访问数据库实例。

介绍挂载点管理相关操作。 功能说明 产品控制台提供挂载点管理功能，用户可以便捷地管理文件空间的挂载点信息。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 使用说明 目前天津资源池2区、天津资源池3区支持挂载点管理操作。其他资源池挂载点信息可以参考文件空间管理。 NFS协议 添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限管理，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加操作。 用户映射说明 nosquash：使用root用户访问文件系统映射为root用户。 rootsquash：以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash：无论以何种用户身份访问，均映射为nfsnobody用户。 nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点，选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。 管理挂载点 1. 在管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该NFS文件资源。 SMB协议

本章主要介绍开启跨域访问。 什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图 跨域访问 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： a. 请求方法是HEAD，GET，或者POST。 b. HTTP的头信息不超出以下范围： Accept AcceptLanguage ContentLanguage LastEventID ContentType：取值范围：application/xwwwformurlencoded、multipart/formdata、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“AccessControlAllowOrigin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。 开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。如需自定义跨域的请求头、跨域的请求方法和指定授权访问的域，请使用跨域资源共享策略说明。 简单跨域访问 如果是创建新的API，在“安全配置”时，勾选“开启支持跨域（CORS）”开关。详细的使用指导，可参考[简单请求](

本实践介绍了通过生命周期策略实现数据自动管理的操作场景、前提条件与操作步骤。 操作场景 对于以下场景中的对象数据，通过生命周期管理可自动将某些无需访问的文件删除，也可将一些不再频繁访问的文件转换为低频访问存储或归档存储，进而降低费用，优化存储资源利用。 数据的定期删除：存储桶开启多版本控制后，数据被覆盖和删除操作后会以历史版本的形式保存下来，桶中累积了大量的历史版本数据，需要定期自动删除过期或无用的数据。 数据转换：需要根据数据的访问频次及重要性，自动将数据自动从高频访问存储转换到低频访问存储或归档存储的场景，以降低成本。 合规性要求：需要根据法规或合规要求进行数据保留期限管理和删除操作的场景，以释放存储资源并保护数据安全。 方案优势 节省存储成本：生命周期策略可以根据数据的使用模式和重要性，自动将不再需要的数据转移到更经济的存储类型或实施数据删除。对于长期存储的低频访问数据，可以将其迁移至成本更低的归档存储类型，从而显著降低存储成本。 简化数据管理：通过生命周期策略，您无需手动干预来管理数据的存储过程。一旦设置了适当的策略，系统将自动执行转换和删除等操作。这节省了管理员的时间和精力，并且减少了人为错误的风险。 保证数据合规性：生命周期策略可以确保数据按照法律、合规和行业要求进行管理。您可以设置策略来满足特定的数据保留周期要求，并自动执行数据删除以遵守隐私和安全规定。

本文简述URL黑/白名单的功能、注意事项和配置方法。 功能介绍 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL黑名单：将特定的URL地址添加到黑名单中，CDN将拦截并阻止所有对该URL的访问请求。这主要用于禁止用户访问不安全或不被允许的网站资源。 URL白名单：与黑名单相反，白名单允许用户访问列表中的特定URL地址。只有被明确添加到白名单中的URL才能被访问，其他URL禁止访问。 注意事项 1. URL黑名单与URL白名单只能二选一，不可同时配置，为互斥关系。 2. URL黑名单请求仍可访问到CDN加速节点，但是会被CDN加速节点拒绝并返回403状态码。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【URL黑白名单】模块，开启功能。 6. 设置类型，选择【白名单】或【黑名单】，使用换行符分隔，支持正则表达式。 7. 单击【保存】，完成配置。 参数名 说明 URL黑白名单 默认关闭，开启后可配置URL黑白名单。 类型 可选择配置白名单或者黑名单，二选一。配置需使用正则表达式，只匹配uri及?后参数。 黑名单：黑名单内的URL资源无法访问。 白名单：只有白名单内的URL资源可以访问。

使用空闲节点扩容 对于大规模的集群扩容，基于可靠性的考虑，可通过添加节点提前准备好需要扩容的ECS或BMS节点，在扩容时选择使用空闲节点扩容。 说明 在大规模扩容时建议关闭自动重分布，有利于扩容阶段失败重试，从而增加可靠性。 扩容完成后，再手动执行重分布操作，保证重分布阶段也可进行多次失败重试。 说明 · 集群内必须提前添加好一定数量的可用节点才可以使用空闲节点扩容。 · 在反亲和部署模式下，使用空闲节点扩容的节点数量只能是安全环的整数倍。 · 提交扩容前需完成扩容准备操作，即准备即将进行扩容任务配置的工作，请耐心等待一段时间。 操作步骤 1. 登录DWS 管理控制台。 2. 单击“集群管理”。默认显示用户所有的集群列表。 3. 集群列表中，在指定集群所在行的“操作”列，选择“更多 > 扩容”。 如果集群内存在空闲节点，系统将显示“是否从已添加节点扩容”的页面，否则直接显示常规扩容页面。 4. 单击 “扩容准备” 按钮，等待扩容准备完成。 5. 扩容页面用户可根据自身需求选择。 配置好扩容和重分布参数后，单击“下一步：确认”。 6. 确认无误后，单击“提交”开始扩容。 查看扩容详情 1. 登录DWS 管理控制台。 2. 单击“集群管理”，默认显示用户所有的集群列表。 3. 集群列表中，在指定集群所在行的“任务信息”列，单击“查看详情”。 4. 进入“扩容详情”页面，用户可查看集群此时的扩容状态。 说明 离线扩容期间集群将变为只读状态，请谨慎操作。 为保证用户的数据安全建议在开始扩容操作之前创建手动快照。

本章主要介绍翼MapReduce的备份HDFS业务数据功能。 操作场景 为了确保HDFS日常用户的业务数据安全，或者系统管理员需要对HDFS进行重大操作（如升级或迁移等），需要对HDFS数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HDFS任务并备份数据。支持创建任务自动或手动备份数据。 说明 加密目录不支持备份恢复。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以“hdfs”用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。

配置升级 当master、core或task节点实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升实例规格。 节点扩容 当master、core或task节点组内的资源无法满足您的业务需求时，您可以使用节点扩容功能增加实例数量。 节点缩容 当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 新增节点组 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加实例组。 磁盘扩容 当master、core或task节点的数据存储空间无法满足您的业务需求时，您可以使用磁盘扩容功能增加数据盘的空间。 集群运维管理 翼MR Manager提供资源概览、集群服务、主机、租户与资源、监控与告警、运维与配置等运维管理功能。 1. 资源概览：展示该集群下所有主机的CPU、内存、网络等信息，包括CPU使用率、磁盘使用率、内存使用率、网络发送速率等。 2. 集群服务：展示当前集群下的所有集群服务，并按组件类型、以列表视图列出，在集群服务列表处支持一键启动所有集群服务、一键停止所有集群服务。 3. 主机：默认展示当前集群下的所有主机列表，可查看当前运维平台的所有主机信息。也可以查看主机上的角色实例分配和告警历史信息。 4. 租户与资源：以集群服务为维度对LDAP用户、Kerberos安全凭证和YARN队列进行管理。LDAP用户管理展示当前集群下的LDAP用户和用户组等信息；Kerberos安全凭证支持新建Principal、删除Principal，支持Keytab分发与下载，并支持查看Keytab的分发记录；YARN队列管理支持YARN队列新建、编辑与删除，capacityscheduler.xml的全局属性配置，支持YARN队列的同步生效并支持查看同步生效记录。 5. 监控与告警：支持指标查询和告警历史功能。指标查询支持查询角色实例级、主机级的监控指标，支持指标结果的绘图操作，让用户更直观获取监控项变化；告警历史支持按照集群服务级、角色实例级、主机级查询告警内容。 6. 运维与配置：支持流水线历史、配置管理、配置历史、配置同步历史。流水线历史展示所有流水线的运行历史记录，以及操作人；配置管理支持查看不同集群服务的配置文件，并进行新增、修改、删除配置等操作；配置历史支持查看配置文件不同版本的配置内容、并支持不同版本之前的内容对比；配置同步历史支持查看不同环境的配置同步历史、配置同步操作人，以及配置同步详情。

本文主要介绍集群升级前须知 升级前，您可以在CCE控制台确认您的集群是否可以进行升级操作。确认方法请参见集群升级概述。 注意事项 升级集群前，您需要知晓以下事项： 请务必慎重并选择合适的时间段进行升级，以减少升级对您的业务带来的影响。 集群升级前，请参考Kubernetes版本发布说明了解每个集群版本发布的特性以及差异，否则可能因为应用不兼容新集群版本而导致升级后异常。例如，您需要检查集群中是否使用了目标版本废弃的API，否则可能导致升级后调用接口失败。 在配置中心修改集群配置后的10分钟内请勿进行集群升级操作，否则可能由于操作冲突导致集群升级失败。 集群升级时，以下几点注意事项可能会对您的业务存在影响，请您关注： 集群升级过程中，不建议对集群进行任何操作。尤其是关机、重启或删除节点等操作，都会导致升级失败。 集群升级前，请确认集群中未执行高危操作，否则可能导致集群升级失败或升级后配置丢失。例如，常见的高危操作有本地修改集群节点的配置、通过ELB控制台修改CCE管理的监听器配置等。建议您通过CCE控制台修改相关配置，以便在升级时自动继承。 集群升级过程中，已运行工作负载业务不会中断，但API Server访问会短暂中断，如果业务需要访问API Server可能会受到影响。 集群升级过程中默认不限制应用调度。但下列旧版本集群升级过程中，仍然会给节点打上“node.kubernetes.io/upgrade”（效果为“NoSchedule”）的污点，并在集群升级完成后移除该污点。 所有v1.15集群 所有v1.17集群 补丁版本小于等于v1.19.16r4的1.19集群 补丁版本小于等于v1.21.7r0的1.21集群 补丁版本小于等于v1.23.5r0的1.23集群 集群升级过程中，如果同时升级插件，在集群资源使用率较高的情况下可能会导致插件Pod抢占业务Pod资源，业务Pod被驱逐重建，插件升级完成后将自动恢复。 在将集群升级至v1.28及以上版本时，系统会创建同等数量的新控制节点逐步替换旧节点，升级完成后控制节点的IP地址将发生变更。若您原先直接通过控制节点IP访问集群，请改用集群统一的公网或内网地址进行访问，详见集群连接信息。 集群升级过程中，系统将自动编辑/etc/rc.local文件。此操作可能会触发某些安全程序的相应告警，请您知悉并忽略由此产生的安全告警。

fromcollapselimit (integer) 如果生成的FROM列表不超过这么多项，规划器将把子查询融合到上层查询。较小的值可以减少规划时间，但是可能 会生成较差的查询计划。默认值是 8。将这个值设置为geqothreshold或更大，可能触发使用 GEQO 规划器，从而产生非最优计划。 joincollapselimit (integer) 如果得出的列表中不超过这么多项，那么规划器将把显式JOIN（除了FULL JOIN）结构重写到 FROM项列表中。较小的值可减少规划时间，但是可能会生成差些的查询计划。默认情况下，这个变量被设置成和fromcollapselimit相同，这样适合大多数使用。把它设置为 1 可避免任何显式JOIN的重排序。因此查询中指定的显式连接顺序就是关系被连接的实际顺序。因为查询规划器并不是总能 选取最优的连接顺序，高级用户可以选择暂时把这个变量设置为 1，然后显式地指定他们想要的连接顺序。将这个值设置为geqothreshold或更大，可能触发使用 GEQO 规划器，从而产生非最优计划。 forceparallelmode (enum) 允许为测试目的使用并行查询，即便是并不期望在性能上得到效益。forceparallelmode的允许值是off （只在期望改进性能时才使用并行模式）、on （只要查询被认为是安全的，就强制使用并行查询）以及 regress（和on相似， 但是有如下文所解释的额外行为改变）。更具体地说，把这个值设置为on 会在任何一个对于并行查询安全的查询计划顶端增加一个 Gather节点，这样查询会在一个并行工作者中运行。即便当一个并行工作者不可用或者不能被使用时，诸如开始一个子事务等在并行查询环境中会被禁止的操作将会被禁止，除非规划器相信这样做会导致查询失败。 当这个选项被设置时如果出现失败或者意料之外的结果， 查询使用的某些函数可能需要被标记为PARALLEL UNSAFE （或者可能是PARALLEL RESTRICTED）。把这个值设置为regress具有设置成on 所有相同的效果，外加一些有助于自动回归测试的额外的效果。一般来说，来自于一个并行工作者的消息会包括一个上下文行指出这一点，但是设置为regress会消除这一行，这样输出就和非并行执行完全一样。同样，被这个设置加到计划上的 Gather节点在EXPLAIN输出终会被隐藏起来，这样产生的输出匹配设置为off时产生的输出。