场景举例： 安全组默认拒绝所有来自外部的请求，创建好弹性云主机后，您可以使用ping程序测试弹性云主机之间的通讯状况，则您需要添加安全组规则放通ICMP协议端口。 安全组配置方法： IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 ICMP 入方向 Any 0.0.0.0/0 弹性云主机做Web服务器 场景举例： 如果您在弹性云主机上部署了网站，即弹性云主机作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要在弹性云主机所在安全组中添加以下安全组规则。 安全组配置方法： IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 80（HTTP） 0.0.0.0/0 IPv4 允许 TCP 入方向 443（HTTPS） 0.0.0.0/0 弹性云主机做DNS服务器 场景举例： 如果您将弹性云主机设置为DNS服务器，则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云服务器所在安全组中添加以下安全组规则。 安全组配置方法： IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 53 0.0.0.0/0 IPv4 允许 UDP 入方向 53 0.0.0.0/0 使用FTP上传或下载文件

支持的镜像 CTyunOS 2.0.1 64位 ARM版 CentOS 7.8 64位 64位 KylinOS V10 SP1 64位 备注：各资源池支持的具体版本可能略有出入，请以控制台实际支持的版本为准。 说明 PCH1型云主机的公共镜像中均已默认安装了cnmon驱动及cntoolkit工具包。

设置防护目录 网页防篡改功能需要有防护目录才能起到防护作用，网页防篡改提供以下目录防护模式： 保护指定目录 您最多可在主机中添加50个防护目录，详细操作请参见保护指定目录。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。 开启网页防篡改 1. 登录管理控制台。 2. 在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3. 在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4. 在左侧导航树中，选择“主动防御 > 网页防篡改”，进入“网页防篡改”界面，单击“添加防护服务器”。 添加防护服务器 5. 在“添加防护服务器”页面，选择需要开启防护的服务器，选择目标配额，可默认随机选择，单击“添加并开启防护”。 6. 开启“网页防篡改”防护服务后，请在控制台上查看主机安全服务的开启状态。 “网页防篡改版”开启后，旗舰版防护会同步开启。 选择“主动防御 > 网页防篡改”，目标服务器所在行的“防护状态”为“防护中”，则表示网页防篡改版已开启。 选择“资产管理 > 主机管理 > 云服务器”，目标服务器所在行的“防护状态”为“防护中”，且在“操作”列中主机不能“关闭防护”和“切换版本”，则表示网页防篡改赠送的旗舰版已开启。 选择“资产管理 > 主机管理 > 云服务器”，目标主机所在行的“防护状态”为“防护中”，且“版本/到期时间”为“网页防篡改版”，则表示网页防篡改赠送的旗舰版已开启。 注意 您也可以通过在“资产管理 > 主机管理 > 防护配额”页面，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启网页防篡改防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启网页防篡改后如果需要更新网站请先临时关闭网页防篡改，完成更新后再开启。否则会造成网站更新失败。 关闭网页防篡改期间，您的网站不受保护，更新网页后，请及时开启网页防篡改。

本章节为您介绍标识相关内容。 标识管理界面，在该界面可进行新增，编辑，查看，管理标识。 添加的用户是自动注册到标识列表上，包括绑定的手机号和邮箱地址。 标识状态有两种：已激活，未激活。 当用户的邮箱地址符合机构域名时，则会自动激活。 查看标识信息 1. 使用管理员账号登录协同签名服务。 2. 在左侧导航栏选择“标识管理”，跳转至“标识管理”页面。 3. 选择需要查看的标识，单击“操作”列的“查看”按钮，即可查看标识信息。 说明 查看列表上记录标识的安全属性，如初始服务月数，私钥下载次数，是否自动延期，服务起始时间，结束时间等。 记录私钥标识的下载记录，下载时间，下载的密钥类型，绑定的设备信息，对应的密码机等信息。 设备管理 1. 使用管理员账号登录协同签名服务。 2. 在左侧导航栏选择“标识管理”，跳转至“标识管理”页面。 3. 选择需要进行设备管理的标识，单击“操作”列的“设备管理”按钮，即可查看绑定的设备信息。 说明 这里记录的是下载私钥标识的设备信息。 当标识开启设备认证时，一旦绑定了设备，其他设备就无法下载该标私钥，点击解绑后，则私钥标识可以到其他设备上去下载。

本节主要介绍如何在智能视图服务控制台创建、下载GB35114凭证。 设备控制台创建证书并下载 登录当前设备的管理控制台，地址通常为设备IP。平台接入方式下拉选择【28181】并勾选【启用国密模式】后，在证书管理点击【创建】。 在弹出的窗口中填入相应的信息完成证书创建并下载到本地。 平台侧创建GB35114凭证并下载 在平台侧的凭证管理页面，点击【新建GB35114凭证】，选择刚刚下载到本地的证书并上传，平台可自动解析出证书中包含的信息并显示设备名称和国标ID，配置好证书截止的有效时间后点击【确定】完成GB35114凭证的创建。 创建完成后，可在凭证列表查看该凭证并下载使用。

本文介绍SSL VPN连接相关问题。 如何理解SSL VPN连接中的本端子网和客户端地址池？ SSL VPN是一种通过SSL协议实现远程访问内部网络的方式。 在建立SSL VPN服务端时，本端子网是指企业内部的网络，而客户端地址池则是用于分配给客户端虚拟网卡的IP地址集合。 从天翼云的角度来看，本端子网一般指VPC网络，VPC是Virtual Private Cloud的缩写，它指用户在云平台上虚拟化的私有网络。而客户端地址池是用于分配给客户端虚拟网卡的IP地址集合。当用户通过SSL VPN连接到企业内网时，客户端虚拟网卡会获得一个属于该地址池的IP地址，以便可以在企业内部网络中访问相应的资源。通过正确配置本端子网和客户端地址池，可以确保SSL VPN连接的稳定性和安全性。 客户端连接失败怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 配置错误 SSL客户端配置错误。 请排查客户端VPN软件的配置是否与服务端配置一致。 SSL客户端证书到期 SSL客户端证书过期或无效。 1. 请排查SSL客户端证书的有效性。SSL客户端证书默认有效期为10年。2. 请删除现有的SSL客户端证书及所有配置，然后重新创建、下载、安装SSL客户端证书。开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。 客户端连接数超限 当前SSL服务端下的客户端连接数超限。 在VPN网关实例下查看已连接的客户端数量，确认在线客户端数量是否超限。 IP地址问题 VPC下的IP地址与客户端的IP地址冲突。 请根据实际情况，修改SSL服务端的本端网段（VPC或云间高速的网段）或者客户端网段以确保两侧IP地址不冲突。 IP地址问题 SSL服务端的客户端网段配置的太小，导致客户端无法被分配IP地址。 请确保您指定的客户端网段所包含的IP地址数量大于SSL VPN客户端数量。 VPN软件问题 客户端VPN软件冲突。 1.如果您的客户端上安装了多个VPN客户端软件，建议仅使用一个VPN客户端软件建立SSL VPN连接。

本文为您介绍飞塔防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctForti IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录飞塔防火墙命令行。 2. 添加IPsec VPN第一阶段的IKE配置。 config vpn ipsec phase1interface edit "Fotrictyun" set interface "wan" set peertype any set netdevice disable set proposal aes128sha1 set dpd onidle set dhgrp 5 set keylife 86400 set remotegw 121...152 set psksecret ctForti next end 3. 添加IPsec VPN第二阶段的IPsec配置。 config vpn ipsec phase2interface edit "Fotrictyun" set phase1name "Fotrictyun" set proposal aes128sha1 set dhgrp 5 set keylifeseconds 3600 set autonegotiate enable set srcsubnet 192.168.0.0 255.255.255.0 set dstsubnet 192.168.3.0 255.255.255.0 next end 4. 配置防火墙策略。 config firewall address edit "Local192.168.0.0/24" set subnet 192.168.0.0 255.255.255.0 next edit "Remote192.168.3.0/24" set subnet 192.168.3.0 255.255.255.0 next edit "ctyunVPNGateway" set subnet 121...152 255.255.255.255 next end config firewall policy edit 4 set srcintf "lan" set dstintf "toctyun" set action accept set srcaddr "Local192.168.0.0/24" set dstaddr "Remote192.168.3.0/24" set schedule "always" set service "ALL" next edit 5 set srcintf "toctyun" set dstintf "lan" set action accept set srcaddr "Remote192.168.3.0/24" set dstaddr "Local192.168.0.0/24" set schedule "always" set service "ALL" next end 5. 配置访问VPC的静态路由。 config router static edit 3 set dst 192.168.3.0 255.255.255.0 set device "toctyun" next edit 4 set dst 192.168.3.0 255.255.255.0 set distance 254 set blackhole enable next end 6. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本页介绍了天翼云关系数据库MySQL版的资源以及磁盘管理的一些常见问题。 创建MySQL实例需要多长时间 根据实例规格、资源池当前负载情况，开通实例所需时长会有所差异，平均时间为5~10分钟。 其中只读实例的创建时间与主实例的数据量有关，数据量越大，创建时间越长。 占用MySQL实例磁盘空间的日志有哪些 文件类型 文件种类 日志文件 undolog、redolog、binlog、慢日志、错误日志。如果开启了审计，还会存在审计日志。 数据文件 数据库内容文件和索引文件。 其他文件 ibdata、iblogfile0和临时文件等。 MySQL实例是否支持磁盘缩容 关系数据库MySQL版实例暂不支持对磁盘进行缩容操作。 您可以通过创建新的所需磁盘空间的数据库实例，并通过恢复操作将数据库迁入到新实例。详细操作可参考“用户指南”中 实例覆盖性恢复。 哪些内容会占用用户所创建的MySQL实例空间 占用用户所创建实例的空间主要有如下部分： 用户正常的数据（不包含备份数据，备份数据在单独的存储空间存储）。 磁盘空间会有必要的文件系统开销，这些开销主要包括inode、reserved block等。 关系数据库MySQL版实例正常运行所需的数据，比如系统数据库、数据库回滚日志、数据库重做日志、binlog文件文件、索引等。 DDL操作对实例磁盘空间的要求 为了确保数据库业务正常，应该避免在应用业务高峰进行DDL（Data Definition Language）等操作，因为这些操作可能会导致磁盘空间爆增。如果必须进行DDL操作时，请务必确保磁盘空间大于等于表空间两倍大小+10GB，即：假设实例的表空间为100GB，在进行DDL操作时，需提前检查确保磁盘空间大于等于1002+10210GB。

说明：本章节会介绍如何通过弹性云主机通过内网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 登录弹性云服务器。 通过弹性云服务器连接关系型数据库实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC、子网内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 2 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 3 在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

2.3 数据集准备 2.3.1 数据集下载(以coco2017数据集为例) plaintext 下载图文理解数据 (1)用户需要自行下载COCO2017数据集COCO2017，并解压到项目目录下的./data/COCO2017文件夹中 下载地址: (2)获取图片数据集的描述文件（LLaVAInstruct150K），下载至./data/路径下，和第(1)步的COCO2017文件夹放同一路径下 下载地址: 最终./data文件夹的呈现形式如下: $playground ├── data ├── COCO2017 ├── train2017 ├── llavainstruct150k.json ├── mllmformatllavainstructdata.json ... 请将数据集文件下载到指定目录中，下载完成后请检查文件完整性，为后续的数据预处理环节做好准备。 2.3.2 数据集预处理 下载完成后，需要对原始数据集进行预处理，将图片以及图片描述放置同一文件内。以下是预处理的关键步骤： plaintext vim ./examples/qwen2vl/llavainstruct2mllmdemoformat.py 修改路径，以下分别是图片描述路径、数据预处理后的文件保存路径、图片路径 修改完成后，直接运行脚本： plaintext python ./examples/qwen2vl/llavainstruct2mllmdemoformat.py 运行完成后，终端显示如下信息： 通过以上步骤，您已成功将原始数据集转换为可直接用于训练的数据格式，此时也可以在文件管理器中看到生成的数据预处理文件。 三、模型训练

本文主要介绍使用Mac远程连接Windows云主机报错:证书或相关链无效怎么处理。 问题描述 使用Mac版Microsoft Remote Desktop工具，远程连接Windows云主机。 图 Mac版Microsoft Remote Desktop工具 由于Mac系统的特殊性，在使用Mac系统远程登录Windows云主机时，需要在Mac端和Windows云主机内部执行相关配置，才能远程连接成功。使用Mac远程连接时，出现报错“证书或相关链无效”。 图 证书或相关链无效 可能原因 云主机策略组设置的问题。 操作步骤 1.在本地主机左上角的菜单栏选择“RDC > 首选项”打开Microsoft Remote Desktop的偏好设置。 图 选择首选项 2.选择“安全性”，并修改参数配置。 图 选择安全性 3.再次远程连接Windows云主机，如果仍出现报错“证书或相关链无效”，请执行4。 4.使用控制台提供的远程连接功能（VNC方式）登录Windows云主机。 5.按快捷键“Win+R”打开“运行”窗口。 6.输入“gpedit.msc”，进入“本地组策略编辑器”。 7.在左侧导航栏，选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 安全”。 图 远程桌面会话主机 8.根据界面提示，修改如下两项配置： −启用“远程（RDP）连接要求使用指定的安全层”。 图 远程（RDP）连接要求使用指定的安全层 −禁用“要求使用网络级别的身份验证对远程连接的用户进行身份验证”。 图 远程连接身份认证 9.关闭组策略编辑器，然后重启云主机。

安装Agent会不会对自身的业务稳定性产生影响？ 不会。Agent是纯应用层的，不会给系统装任何的驱动，不会影响系统的稳定性；Agent的带宽和资源占用很小；Agent已经通过各种业务场景长时间运行测试。 网页防篡改（原生版）购买后遇到问题后如何解决？ 天翼云为客户提供7天×24小时客服服务，包括客服的售后热线（4008109889）咨询服务和在线工单服务，解答、处理客户在使用天翼云服务过程中遇到的问题，《专用服务条款》另有约定的，适用《专用服务条款》的约定。 网页防篡改（原生版） 的计费方式是什么？ 网页防篡改（原生版）计费方式为包周期计费，包周期计费是一种预付费模式，即先付费在使用，支持包年/包月。 网页防篡改（原生版） 的计费项是什么？ 网页防篡改（原生版）是服务器安全卫士（原生版）的增值产品，计费项为您订购的防护服务器台数，您选定防护台数和订购时长后，系统可自动计算出您的计费情况。 网页防篡改（原生版）的配额续费条件是什么 ？ 您所需续费的配额，需要为未到期或已到期状态。

4.1.1 安装MegaRAID SAS驱动 注意，Ubuntu中的MegaRAID SAS驱动可能和硬件匹配，不需要自行安装。这里只是一个样例，展示如何安装驱动。 首先，可从从 /megaraidsas07.733.00.001dkms.noarch.deb 4.1.2 安装OFED驱动（弹性裸金属必须） OFED（OpenFabrics Enterprise Distribution）是一个用于高性能计算（HPC）和数据中心的网络驱动程序和软件包集合。它主要用于支持InfiniBand和以太网网络接口卡（NIC），特别是Mellanox的ConnectX系列适配器。下面介绍如何通过此方法安装OFED驱动。 首先，可从从 < 页面根据硬件信息搜索需要的驱动。 可下载iso或tgz包，下面介绍iso的安装方式： plaintext 创建临时目录，并挂载iso mkdir /tmp/mlnx mount MLNXOFEDLINUX24.102.1.8.0ubuntu22.04x8664.iso /tmp/mlnx 安装ofed驱动 pushd /tmp/mlnx ./mlnxofedinstall withoutfwupdate all q popd 卸载iso并删除临时安装目录 umount /tmp/mlnx && rmdir /tmp/mlnx 注意：安装OFED驱动时，安装过程可能会提示缺少依赖包，按照提示按照所需依赖包即可。

本章介绍关系数据库的专属云部署架构和所需资源情况。 专属云关系数据库MySQL版（CTRDS MySQL）是一个开源对象关系型数据库管理系统，并侧重于可扩展性和标准的符合性，被业界誉为“最先进的开源数据库”。相对于公有云关系型数据库来说，专属云关系型数据库部署在用户独享的专属计算资源内，与专属计算及专属存储共同提供整体的专属云服务。 专属云关系型数据库按照项目制部署，需要具备以下几个条件方可部署： 1、专属计算资源采用C系列主机； 2、如采用专属存储，请购买超高IO的专属存储资源； 3、主备实例和只读实例需要满足反亲和性，如要开通主备数据库或单机+只读实例，需要至少2台以上专属计算宿主机，如要开通主备+只读实例，则至少需要3台以上专属计算宿主机。 说明 备注：目前专属云关系数据库仅支持按需付费。

本页介绍了如何创建天翼云RDSPostgreSQL产品只读实例。 RDSPostgreSQL产品只读实例的创建方法如下： 操作场景 假如您遇到应用程序在读操作方面的负载远大于写负载，并且读IO压力太大的情况下，可以考虑创建只读实例来分担主库上的读负载。只读实例的相关功能及限制，您可以通过点击只读实例简介了解。 前提条件 当前主实例为可用实例。 注意事项 个数限制：1个主实例最多可以创建5个只读实例。 生命周期：RDSPostgreSQL的只读实例支持单独退订，但如果主实例退订，则对应的只读实例也会随之退订。 计费模式：仅支持按需计费。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库，只读实例的数据库与主实例保持一致。 账号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。 实例版本：主实例数据库版本必须是12.16P3/13.12P2/14.9P2/15.4P2及以上版本。 操作步骤 1. 登录天翼云门户。 2. 打开控制中心。 3. 单击管理控制台左上角的，选择区域和项目。 4. 选择“数据库 > 关系数据库PostgreSQL版”，进入关系数据库PostgreSQL版控制台。 5. 在左侧目录中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 6. 在【实例管理】的实例列表中选择运行中的RDSPostgreSQL目标实例，点击操作列“更多”按钮，选择“创建只读实例”按钮。 7. 进入只读实例订购页面，根据需要创建只读实例。 8. 点击下一步，进入“配置确认”页面。 9. 点击立即创建按钮，等待一段时间即可创建只读实例。

在CTS旧版事件列表查看审计事件 1. 登录控制台，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 用户每次登录云审计控制台时，控制台默认显示新版事件列表，单击页面右上方的“返回旧版”按钮，切换至旧版事件列表页面。 4. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 5. 事件列表支持通过筛选来查询对应的操作事件，如图所示。 6. 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 各个云服务的资源类型请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 各个云服务支持审计的操作事件的名称请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 7. 选择完查询条件后，单击“查询”。 8. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 1. 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 2. 单击按钮，可以获取到事件操作记录的最新信息。 9. 在事件的“是否篡改”列中，您可以查看该事件是否被篡改： 1. 上报的审计日志没有被篡改，显示“否”； 2. 上报的审计日志被篡改，显示“是”。 10. 在需要查看的事件左侧，单击展开该记录的详细信息。 11. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 12. （可选）在旧版事件列表页面，单击右上方的“体验新版”按钮，可切换至新版事件列表页面。

注意 数据库代理关闭即刻注销，数据将全部清除无法找回，请确认数据保存后进行关闭。 操作场景 关闭数据库代理服务。 约束限制 数据库版本： 5.7，8.0。 已开启数据库代理服务。 关闭数据库代理 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库代理，进入数据库代理页面。 5. 单击关闭代理服务 ，进入退订页面后单击确定，即可退订代理服务。

本节主要介绍准备RDA依赖资源 概述 在使用RDA之前，您需要提前准备相关依赖资源，包括天翼云测试账号，账号可创建弹性云主机、虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。 准备依赖资源 迁移源端测试账号： 天翼云目的端测试账号： 购买一台windows弹性云主机用于安装RDA软件工具； 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装 说明 （RDA控制机和oms agent工具机迁移完成后均可释放） 获取天翼云测试账号AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。

本文介绍如何修改慢日志阈值。 注意事项 慢日志阈值默认为1秒，取值范围为1秒~3600秒之间的整数。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【慢日志】，进入慢日志页面。 5. 单击【慢日志】按钮，打开慢日志设置弹窗，修改慢日志采集阈值，然后单击确认修改慢日志的采集阈值。

本文主要介绍续订RDSPostgreSQL实例。 操作场景 您可根据业务需要，对单个“包年/包月”实例进行续费。 约束限制 按需付费的数据库实例冻结后，在实例保留期内，您充值账户余额后会自动续订，无需手动续订。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，单击“更多”选择“续订”操作，进入续订页面，对实例进行续订操作。 6. 在续订页面选择续订的时长，完成付款即可。

区域 资源 资源说明 数量 天翼云（本端） 虚拟私有云子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的本端二层连接子网，此处为云上ECS所在子网 3 天翼云（本端） 虚拟私有云子网 子网名称：Subnet C 子网网段：192.168.5.0/24 第二个二层连接：二层连接C内的二层连接子网，此处为云上ECS所在子网 3 天翼云（本端） 虚拟私有云子网 子网名称：Subnet B 子网网段：192.168.0.0/24 本端隧道子网，云上的隧道子网，此处为DC和ESW所在子网 3 天翼云（本端） 弹性云主机ECS Subnet A内地ECS，此处两台主机为IDC业务上云后扩展的两台主机。私有IP地址：192.168.3.4私有IP地址：192.168.3.5Subnet C内地ECS：私有IP地址：192.168.5.4私有IP地址：192.168.5.5 4 天翼云（本端） 企业交换机 ESW 隧道连接方式：云专线隧道子网：Subnet B 1 天翼云（本端） 二层连接 二层连接A，连接云上和云下Subnet A隧道IP：192.168.0.98隧道号：5530二层连接C，连接云上和云下Subnet C隧道IP：192.168.0.98隧道号：5540基于同一个企业交换机的两个二层连接，隧道IP地址保持一致，但是隧道号不能重复。 2 客户IDC（远端） 客户IDC内子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的远端二层连接子网，客户IDC业务集群所在的子网 3 客户IDC（远端） 客户IDC内子网 子网名称：Subnet C 子网网段：192.168.5.0/24 第二个二层连接：二层连接C内的远端二层连接子网，客户IDC业务集群所在的子网 3 客户IDC（远端） 客户IDC内子网 子网名称：Subnet D 子网网段：200.51.51.0/24 远端隧道子网：客户IDC内的隧道子网 3 客户IDC（远端） 二层连接对应的IDC内VXLAN隧道 二层连接A，连接云上和云下Subnet A隧道IP：200.51.51.100隧道号：5530二层连接C，连接云上和云下Subnet C隧道IP：200.51.51.100隧道号：5540 2

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

操作步骤 一、安装agent(Linux) 1. 使用root账号，登录服务器。 2. 执行如下命令，确认Agent安装情况。 systemctl status ctcmagent 如果返回 Unit ctcmagent.service could not be found，则为主机未安装监控插件。 3. 按照“Agent插件获取”章节下载对应版本agent插件，并上传至服务器目录下。 4. 通过命令解压agent文件包，并进入解压目录下。 5. 执行如下命令，完成Agent安装与启动。 bash install.sh 二、安装agent(Windows) 1. 使用具有“管理员”权限的账号（例如administrator）登录服务器。 2. 在浏览器地址栏输入“Agent插件获取”章节的下载路径，下载并保存安装包。 3. 将ctcm文件夹拷贝到C:Windows目录下。 4. 将 Python27 拷贝至C盘 c:Python27 （“无需python依赖版本”可略过此步骤 ） 在cmd执行命令设置环境变量 set PYTHONHOMEc:Python27 set PYTHONPATHc:Python27Lib set PATH%PYTHONHOME%;%PATH% 5. 修改配置文件C:Windowsctcmconfctcmagentd.conf 注意 安装时需要修改配置文件中的“Hostname”，配置成机器的uuid，获取方式见README.md文件中“注意事项”章节第5条，注意所有字母要求全部小写。 6. 管理员模式，执行install.bat，完成agent安装与启动。 说明 Linux 版本ctcmagent安装方法，参见 “Agent插件获取”章节链接所下载压缩包中readme.txt文件。 windows版本ctcmagent安装方法，参见 “Agent插件获取”章节链接所下载压缩包中README.md文件。 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，需等待35分钟，刷新后即可查看监控数据。 安装Agent插件后如长时间数据异常，可参考最佳实践案例排查问题 注意 1. 如果用户使用了k8s等相关虚拟化软件，软件可能会自动创建大量挂载盘或网卡。这种情况下会影响ctcmagent采集监控数据的效率，可能会导致云监控控制台无监控数据情况的发生。

方向 类型和协议端口 源地址/目的地址 规则用途 入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的SSH(22)端口，用于远程登录Linux云主机。 入方向 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的RDP(3389)端口，用于远程登录Windows云主机。 入方向 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的HTTP(80)端口，用于通过HTTP协议访问网站。 入方向 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的HTTPS(443)端口，用于通过HTTPS协议访问网站。 入方向 TCP : 2021 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的FTP(20和21)端口，用于远程连接云主机上传或者下载文件。 入方向 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云主机的所有端口，用于通过ping命令测试云主机的网络连通性。 出方向 全部(IPv4) 全部(IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云主机可访问外部任意IP和端口。

接口描述：调用本接口查询回源请求失败率数据 请求方式：post 请求路径：/statistics/querymissrequestfailureratedata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 时间粒度为24h时，查询开始时间与结束时间需要跨天，否则查询的数据为空； 最大返回记录50000条记录； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟，对应如下，若开始时间超过可查询历史数据时间范围，超过部分的数据为0： 时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天 请求参数说明： 参数 类型 是否必传 名称 描述 ::::: starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，[点击查看省份及对应的省编码 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商及对应的运营商编码 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳，时间戳(秒) endtime int 否 结束时间戳，时间戳(秒) interval string 否 时间粒度 reqmissrequestfailureratedatainterval list 否 每个时间间隔的回源请求失败率 reqmissrequestfailureratedatainterval[].timestamp int 否 时间片开始时间戳 reqmissrequestfailureratedatainterval[].producttype string 否 产品类型 reqmissrequestfailureratedatainterval[].domain string 否 域名 reqmissrequestfailureratedatainterval[].province int 否 省编码 reqmissrequestfailureratedatainterval[].isp string 否 运营商编码 reqmissrequestfailureratedatainterval[].networklayerprotocol string 否 网络层协议 reqmissrequestfailureratedatainterval[].applicationlayerprotocol string 否 应用层协议 reqmissrequestfailureratedatainterval[].missrequestfailurerate float 否 回源请求失败率（百分比）

4.1.1 安装MegaRAID SAS驱动 注意，Ubuntu中的MegaRAID SAS驱动可能和硬件匹配，不需要自行安装。这里只是一个样例，展示如何安装驱动。 首先，可从从 /megaraidsas07.733.00.001dkms.noarch.deb 4.1.2 安装OFED驱动（弹性裸金属必须） OFED（OpenFabrics Enterprise Distribution）是一个用于高性能计算（HPC）和数据中心的网络驱动程序和软件包集合。它主要用于支持InfiniBand和以太网网络接口卡（NIC），特别是Mellanox的ConnectX系列适配器。下面介绍如何通过此方法安装OFED驱动。 首先，可从从 < 页面根据硬件信息搜索需要的驱动。 可下载iso或tgz包，下面介绍iso的安装方式： plaintext 创建临时目录，并挂载iso mkdir /tmp/mlnx mount MLNXOFEDLINUX24.102.1.8.0ubuntu22.04x8664.iso /tmp/mlnx 安装ofed驱动 pushd /tmp/mlnx ./mlnxofedinstall withoutfwupdate all q popd 卸载iso并删除临时安装目录 umount /tmp/mlnx && rmdir /tmp/mlnx 注意：安装OFED驱动时，安装过程可能会提示缺少依赖包，按照提示按照所需依赖包即可。

本文介绍RDSPostgreSQL安全白皮书内容。 关系数据库PostgreSQL版（以下简称RDSPostgreSQL）是天翼云为用户打造的一款安全可信赖的数据库产品。 为了保障用户数据安全，高效支撑客户业务运行，天翼云禁止非客户授权人员操作用户实例与数据，禁止运维人员未经授权接入用户实例，禁止任何人非法处理客户数据。 另外，RDSPostgreSQL支持包括VPC、安全组、自动备份和跨可用区部署在内的多种特性，帮助用户更好管理数据，保障用户数据安全。 网络隔离 VPC（Virtual Private Cloud，即虚拟私有云）是一种运行在公有云上，专为某个用户私有使用的资源集合。在天翼云上，用户开通的RDSPostgreSQL实例运行在独立的VPC内，可以通过配置VPC控制连接数据库的IP地址段，量身定制网络访问策略。在网络层面，VPC配合安全组，用户即可便捷实现RDSPostgreSQL实例的网络隔离，从而保障RDSPostgreSQL实例的高安全性。 数据隔离 RDSPostgreSQL实例存储的所有数据都是以用户维度来分配和管理的，不同用户之间的数据相互独立、资源隔离，不会受到彼此的干扰与影响。另外，多可用区部署更提升了用户数据安全性。 访问控制 用户创建RDSPostgreSQL实例时，系统会默认会为用户分配一个独享的数据库主账户，该账户允许用户操作其所创建的数据库，且账户密码只能由用户保存，保障用户数据仅供用户本身访问。另外，用户还可以根据自身业务需要，创建其他权限的账户，从而实现权限分离。用户还可以通过安全组设置RDSPostgreSQL实例的出入访问策略，控制实例的网络访问范围。

DDoS弹性防护服务资费 计费模式：后付费，按天计费。 服务区域：中国内地 弹性峰值（Gbps） 标准价格 0Gbps<弹性峰值≤10Gbps 860元/天 10Gbps<弹性峰值≤20Gbps 1760元/天 20Gbps<弹性峰值≤30Gbps 2660元/天 30Gbps<弹性峰值≤40Gbps 3260元/天 40Gbps<弹性峰值≤50Gbps 4060元/天 50Gbps<弹性峰值≤60Gbps 4960元/天 60Gbps<弹性峰值≤70Gbps 5760元/天 70Gbps<弹性峰值≤80Gbps 6560元/天 80Gbps<弹性峰值≤100Gbps 8160元/天 100Gbps<弹性峰值≤150Gbps 15060元/天 150Gbps<弹性峰值≤200Gbps 20160元/天 200Gbps<弹性峰值≤500Gbps 66660元/天 500Gbps<弹性峰值 98860元/天 假设您订购了边缘接入服务基础版套餐，套餐内将赠送1次攻击防护，攻击峰值小于40Gbps。 同时，还订购10Gbps防护带宽扩展服务，并且开启了弹性峰值为100G的DDoS弹性防护。 情况一：只要攻击峰值小于10Gbps，无论攻击持续多长时间，均不会产生额外费用，也不会扣除套餐内赠送的防护次数。 情况二：若用户套餐内的防护次数还有剩余，当天攻击峰值超过10Gbps，小于40Gbps，则当晚24点将扣除1次防护次数，不会产生弹性费用。 情况三：若用户套餐内的防护次数还有剩余，当天攻击峰值超过40Gbps，小于110Gbps(10Gbps+100Gbps)，则当晚将触发产生弹性账单，不会扣除防护次数。 情况四：若攻击峰值一旦超过110Gbps(10Gbps+100Gbps)，那么系统将触发客户名下所有域名回源2小时，2小时后自动解封。当日不会扣除防护次数，不会产生弹性费用。 总结：若订购了DDoS防护带宽且开启了DDoS弹性防护，则DDoS防护带宽以内的攻击提供保底防护。若攻击峰值超过DDoS防护带宽，则优先判断套餐内赠送的防护次数是否能防护，若能，则当晚24点扣除1次防护次数；若不能（无剩余次数或攻击峰值超过套餐内的防护峰值），则会再判断攻击峰值是否在弹性峰值以内，弹性峰值 以内的攻击将提供防护，产生当日的弹性账单，攻击峰值超过弹性峰值，将触发域名回源2小时，2小时后解封。（防护判断抵扣顺序：DDoS防护带宽＞防护次数－＞DDoS弹性防护）

查看开票记录 1. 进入“财务管理>消费汇总与发票”页面。 2. 选择需要查看开票记录的账号，点击操作栏的“发票列表”。 3. 可查看已开票信息，同时还可以进行下载、退票、撤销等操作。 说明 若发票下载失败，请于2448小时后再尝试下载。

多台弹性云服务器是否可以使用同一个RDS数据库 在数据库的压力承载范围内，多台弹性云服务器是可以使用同一个关系型数据库来支撑业务的。 MySQL开启GTID后有哪些限制 MySQL默认开启GTID且不支持关闭，主备关系的建立等功能均依赖GTID。如果关闭GTID，会对整个RDS的功能（比如备份恢复、主备倒换）受到影响甚至无法运行。 社区版MySQL开启GTID后，如下三种语句执行会报错： 使用select语句建表（create table...select）会报错。 如果在一个事务中同时处理支持事务的引擎（InnoDB）和不支持事务的引擎（MyISAM）会报错。 显式事务中创建临时表（create temporary table）会报错。 为了放开社区版的这些约束，云数据库RDS对MySQL内核进行了改造，以支持这些语句。 不同RDS实例的CPU和内存是否共享 CPU和内存指的是购买的实例规格，并且服务器是独立的，不会出现不同RDS共用资源的情况。 RDS实例内能运行多少个数据库 关系型数据库服务没有强制限制在一个RDS实例内能运行多少个数据库，这取决于数据库引擎自身设置。 如果CPU、内存和磁盘大小均满足的情况下，实例允许数据库数量没有限制。数据库中表的数量会影响备份速度。表数量超过50万，备份将会失败。 RDS for MySQL创建的数据库、表数量没有限制。这取决于MySQL自身，详情请查看MySQL官方文档。 RDS for PostgreSQL可创建无限个数据库、无限个数据库帐号。

多台弹性云主机是否可以使用同一个RDS数据库 在数据库的压力承载范围内，多台弹性云主机是可以使用同一个关系型数据库来支撑业务的。 MySQL开启GTID后有哪些限制 MySQL默认开启GTID且不支持关闭，主备关系的建立等功能均依赖GTID。如果关闭GTID，会对整个RDS的功能（比如备份恢复、主备倒换）受到影响甚至无法运行。 社区版MySQL开启GTID后，如下三种语句执行会报错： 使用select语句建表（create table...select）会报错。 如果在一个事务中同时处理支持事务的引擎（InnoDB）和不支持事务的引擎（MyISAM）会报错。 显式事务中创建临时表（create temporary table）会报错。 为了放开社区版的这些约束，云数据库RDS对MySQL内核进行了改造，以支持这些语句。 不同RDS实例的CPU和内存是否共享 CPU和内存指的是购买的实例规格，并且服务器是独立的，不会出现不同RDS共用资源的情况。 RDS实例内能运行多少个数据库 关系型数据库服务没有强制限制在一个RDS实例内能运行多少个数据库，这取决于数据库引擎自身设置。 如果CPU、内存和磁盘大小均满足的情况下，实例允许数据库数量没有限制。数据库中表的数量会影响备份速度。表数量超过50万，备份将会失败。 RDS for MySQL创建的数据库、表数量没有限制。这取决于MySQL自身，详情请查看MySQL官方文档。 RDS for PostgreSQL可创建无限个数据库、无限个数据库帐号。