对比项 文档数据库服务 自建数据库 服务可用性 99.95% 自行保障，自行搭建主从复制，部署高可用环境等。 数据持久性 99.9999999% 自行保障，自行搭建主从复制，自建RAID等。 系统安全性 防DDoS攻击，及时自动修复各种数据库安全漏洞。 支持审计日志。 需要购买昂贵的硬件设备和软件服务，自行检测和修复安全漏洞等。 需要购买额外审计系统。 数据库备份 支持自动备份，根据业务运行周期设置自动备份策略。 支持随时手动备份数据，手动备份支持物理备份，备份效率提升3倍。 备份文件自动上传到对象存储服务（OBS）保存。 自行搭建设置和后期维护。 开源版本仅支持逻辑备份，备份效率低。 监控告警 已对接云监控服务（CES），监控可视化，可在CES上查看一段时间内的监控指标，以及设置阈值告警。 自行编写监控脚本和告警脚本，保存监控数据和绘制图表。 主机托管 无主机托管费用，即买即用。 自行购买3台服务器设备，托管费用昂贵。 维护成本 无额外运维成本，支持秒级性能监控和设置阈值告警、事件告警。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 快速部署，即开即用，支持弹性扩容，一键规格变更。 需要购买和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 日志转储 支持保留1个月的慢日志和错误日志。 自行转储日志文件，自行导出和查询日志信息。 高可用监控 具备高可用能力，支持秒级Switchover和Failover。 自行部署高可用监控，手工命令行执行主备切换，可能会有数据丢失。

本节主要介绍OBS桶和对象相关问题。 创建桶失败 若当前用户所创建的桶已达到上限100个，删除一些闲置的桶再创建。 若是当前桶名已存在，则更换桶名再创建。在OBS中，桶名必须是全局唯一的，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 用户删除桶后，立即创建同名桶或并行文件系统会创建失败，需要等待30分钟才能创建。 检查帐号是否拥有权限，若无权限，请授予对应的操作权限。 检查帐号是否已欠费或余额不足。若欠费，请先续费。 检查本地与OBS的网络是否正常，若存在网络故障，解决网络故障，确保网络正常。 若以上都不是，请根据返回的错误码进一步判断。 上传对象失败 检查本地与OBS的网络是否正常，若存在网络故障，解决网络故障，确保网络正常。 上传对象时弹出“Service Unavailable”的错误提示，则可能是因为当前服务器繁忙，请稍后重试。 检查帐号是否已欠费或余额不足。若欠费，请先续费。 检查帐号是否拥有桶的上传对象权限，请综合IAM策略、桶策略和桶ACL共同检查。若无权限，请先授权。 对于OBS Browser+，数据库紊乱也会造成上传失败，您可以清空数据库后再次上传文件。在数据库路径下，删除所有文件。 对于OBS Browser+，您还要检查您的电脑系统是否使用了搜狗输入法，若是，请升级搜狗输入法到最新版本。 若以上都不是，请联系客服进一步解决。

本节包含了推理加速型Pi3云主机的概述、规格。 概述 Pi3型弹性云主机采用专为AI推理打造的NVIDIA A30 GPU，能够提供超强的实时推理能力。单卡24GB显存，933GB/s带宽使得Pi3也同时可以支持一定的训练场景。其理论AI训练吞吐量三倍于NVIDA V100显卡，六倍于前代Pi2型服务器的T4显卡。Pi3型弹性云主机借助NVIDIA A30的运算器，能够提供最大330TOPS的INT8算力（开启稀疏性）。理论峰值单精度浮点性能：TF32：10.3TFLOPS，Tensor核心性能：TF32: 82TFLOPS 165TFLOPS（开启稀疏性）。 类型 CPU 基频/ 睿频 CPU型号 Pi3 2.6GHz/3.5GHz 6348 规格 表 Pi3弹性云主机的规格 规格名称 vCPU 内存 （GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力 （万PPS） 网卡多队列数 网卡个数上限 GPU 显存 （GiB） 本地盘 虚拟化类型 pi3.6xlarge.4 24 96 25/9 400 8 8 1 NVIDIA A30 24 KVM pi3.12xlarge.4 48 192 35/18 750 8 8 2 NVIDIA A30 48 KVM pi348u1g.12xlarge.4 48 192 35/18 750 16 8 1 NVIDIA A30 24 KVM pi348u1g.24xlarge.4 96 384 40/36 850 32 8 2 NVIDIA A30 48 KVM Pi3型弹性云主机功能如下： 处理器：第三代英特尔® 至强® 可扩展处理器 6348，主频2.6GHz，睿频3.5GHz。 支持NVIDIA A30 GPU卡NVLINK互联技术，单实例最大支持2张A30 GPU卡。 提供GPU硬件直通能力。 单GPU单精度计算能力最高10.3 TFLOPS。 单GPU INT8计算能力最高330 TOPS。 单GPU提供24GiB GDDR6显存，带宽933GiB/s。 内置1个OFA和1个NVJPEG和4个NVDEC。

本文主要介绍 镜像管理类问题 如何安装容器引擎？ 容器引擎几乎支持在所有操作系统上安装，用户可以根据需要选择要安装的容器引擎版本。 说明 容器镜像服务支持使用容器引擎1.11.2 及以上版本上传镜像。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性IP后才能访问。 另外，在Linux 操作系统下，可以使用如下命令快速安装容器引擎。 curl fsSL get.docker.com o getdocker.sh sh getdocker.sh 如何制作容器镜像？ 自行制作容器镜像，主要有两种方法： 制作快照方式获得镜像（偶尔制作的镜像）：在基础镜像上（比如Ubuntu），先登录镜像系统并安装容器引擎软件，然后整体制作快照。 Dockerfile方式构建镜像（经常更新的镜像）：将软件安装的流程写成Dockerfile，使用docker build构建成容器镜像。 方法一：制作快照方式获得镜像 如果后续镜像没有变化，可采用方法一制作镜像。 具体操作如下： 找一台主机，安装容器引擎软件。 启动一个空白的基础容器，并进入容器。 例如：启动一个CentOS的容器。 docker run it centos 执行安装任务。 yum install XXX git clone cd bwa;make 说明 请预先安装好Git，并检查本机是否有ssh key设置。 输入exit退出容器。 制作快照。 docker commit m "xx" a "test" containerid test/image:tag a：提交的镜像作者。 containerid：步骤2中的容器id。可以使用docker ps a查询得到容器id。 m：提交时的说明文字。 test/image:tag：仓库名/镜像名:TAG名。 执行docker images可以查看到制作完成的容器镜像。

本节介绍了本地Linux主机使用SFTP上传文件到Linux云主机的操作场景、操作步骤。 操作场景 本节操作以CentOS操作系统为例，介绍配置SFTP、使用SFTP上传或下载文件、文件夹的操作步骤。 操作步骤 1. 以root用户登录云主机。 2. 执行以下命令查看ssh版本，OpenSSH版本大于等于4.8p1。 ssh V 回显信息如下所示： OpenSSH7.4p1, OpenSSL 1.0.2kfips 26 Jan 2017 3. 创建用户和组，以user1用户为例。 groupadd sftp useradd g sftp s /sbin/nologin user1 4. 设置用户密码。 passwd user1 图 设置用户密码 5. 设置目录权限。 chown root:sftp /home/user1 chmod 755 R /home/user1 mkdir /home/user1/upload chown R user1:sftp /home/user1/upload chmod R 755 /home/user1/upload 6. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 图 sshdconfig文件补充配置信息后 7. 重启云主机，或执行以下命令重启sshd服务。 service sshd restart 或 systemctl restart sshd 8. 执行以下命令，远程连接到服务器。 sftp root@IP地址 9. 连接成功后，您可以使用交互式的sftp命令。 10. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r 下载文件：get r

本节介绍了变更弹性云主机规格时的问题描述和处理流程。 操作场景 Windows弹性云主机变更规格后，可能会发生磁盘脱机，因此，变更规格后，需检查磁盘挂载状态是否正常。本节操作介绍变更规格后检查磁盘挂载状态的操作步骤。 操作步骤 1. 对比规格变更前、后，在“计算机”中查询的磁盘个数是否一致。 − 是，表示磁盘挂载状态正常，结束。 − 否，表示存在磁盘脱机，执行2。 示例： 以使用Windows 2008镜像的云主机为例，假设变更规格前，云主机挂载有1块系统盘、2块数据盘，如下图所示。 图 变更规格前磁盘挂载情况 变更规格后，查看磁盘挂载情况，如下图所示。 图 变更规格后磁盘挂载情况 只查询到1块系统盘，因此，变更规格前、后，显示的磁盘个数不一致，表示数据盘处于“脱机”状态。 2. 将磁盘设置为“联机”状态。 a. 选择“开始”菜单，右键单击“计算机”，并选择“管理”。 系统弹窗显示“服务器管理器”页面。 b. 在左侧导航栏，选择“存储 > 磁盘管理”。 进入“磁盘管理页面”。 c. 在左侧窗格中出现磁盘列表，分别右键单击脱机的磁盘，并选择“联机”，将脱机磁盘进行联机。 图 联机 3. 再次在“计算机”中查询磁盘的个数，检查与变更规格前是否一致。 − 是，结束。 − 否，请联系客服获取技术支持。 图 联机后磁盘挂载情况

本节介绍了设置网卡属性为DHCP(Windows)的操作场景、前提条件、操作步骤。 操作场景 通过云主机或者外部镜像文件创建私有镜像时，如果云主机或镜像文件所在虚拟机的网络配置是静态IP地址时，您需要修改网卡属性为DHCP，以使私有镜像发放的新云主机可以动态获取IP地址。 本节以Windows Server 2008 R2操作系统为例。其他操作系统配置方法略有区别，请参考对应操作系统的相关资料进行操作，文档中不对此进行详细说明。 说明： 使用外部镜像文件创建私有镜像时，设置网卡属性操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 已登录创建Windows私有镜像所使用的云主机。 登录云主机的详细操作请参见《弹性云主机用户指南》。 操作步骤 1. 在云主机上选择“开始 > 控制面板”。 2. 单击“网络和Internet”。 3. 单击“网络和共享中心”，如下图所示。 网络和共享中心 4. 选择您已经设置为静态IP的连接。以单击“本地连接 2”为例，如下图所示。 本地连接 2状态 5. 单击“属性”，选择您配置的协议版本。 6. 在“常规”页签中勾选“自动获得IP地址”和“自动获得DNS服务器地址”，单击“确定”，如下图所示。 说明： 建议您记录原有网络信息，以便后续可以修改回原有配置。 配置网络获取IP方式 7. 系统会自动获取IP地址。建议您保存原有的地址信息，方便后续修改回原有配置。

本文主要介绍弹性伸缩使用的使用限制。 功能限制 在应用系统中添加弹性伸缩后，使用时有以下功能限制： 弹性伸缩的云主机中运行的应用需要是无状态、可横向扩展的。 说明 无状态：关于应用的既往事务，没有任何记录和参考，每项事务处理均是从头开始。无状态应用运行的实例不会在本地存储需要持久化的数据。例如：可以将无状态事务看作一台自动售货机：一个请求对应一个响应。 有状态：是可以周而复始、反复发生的应用和流程，操作是在之前的事务背景下执行的，当前事务可能会受到之前事务的影响。有状态应用运行的实例会在本地存储需要持久化的数据。例如：可以将有状态事务看作网上银行或电子邮件，有上下文记录。 弹性伸缩会自动释放云主机，所以弹性伸缩组内的云主机不可以保存应用的状态信息（例如session）和相关数据（如数据库、日志等）。如果应用中需要云主机保存状态或日志信息，可以考虑把相关信息保存到独立的服务器中。 弹性伸缩无法纵向扩展，即弹性伸缩无法自动升降ECS实例的vCPU和内存等配置。 配额限制 弹性伸缩对用户的资源数量或容量做的配额限制如下表所示。 类别 描述 默认值 ::: 弹性伸缩组 用户可以创建的最多伸缩组个数。 10 弹性伸缩配置 用户可以创建的最多伸缩配置个数。 100 弹性伸缩策略 某个弹性伸缩组下可以创建的最多伸缩策略个数。 10 弹性伸缩实例 某个弹性伸缩组下可以创建的最多实例个数。 200

本节描述了云主机的网站应用、企业电商、图形渲染、高性能计算的应用场景。 网站应用 对CPU、内存、硬盘空间和带宽无特殊要求，对安全性、可靠性要求高，服务一般只需要部署在一台或少量的服务器上，一次投入成本少，后期维护成本低的场景。例如网站开发测试环境、小型数据库应用。 推荐使用通用型弹性云主机，主要提供均衡的计算、内存和网络资源，适用于业务负载压力适中的应用场景，满足企业或个人普通业务搬迁上云需求。 企业电商 对内存要求高、数据量大并且数据访问量大、要求快速的数据交换和处理的场景。例如广告精准营销、电商、移动APP。 推荐使用内存优化型弹性云主机，主要提供高内存实例，同时可以配置超高IO的云硬盘和合适的带宽。 图形渲染 对图像视频质量要求高、大内存，大量数据处理，I/O并发能力。可以完成快速的数据处理交换以及大量的GPU计算能力的场景。例如图形渲染、工程制图。 推荐使用GPU图形加速型弹性云主机，G1型弹性云主机基于NVIDIA Tesla M60硬件虚拟化技术，提供较为经济的图形加速能力。能够支持DirectX、OpenGL，可以提供最大显存1GiB、分辨率为4096×2160的图形图像处理能力。 高性能计算 高计算能力、高吞吐量的场景。例如科学计算、基因工程、游戏动画、生物制药计算和存储系统。 推荐使用高性能计算型弹性云主机，主要使用在受计算限制的高性能处理器的应用程序上，适合要求提供海量并行计算资源、高性能的基础设施服务，需要达到高性能计算和海量存储，对渲染的效率有一定保障的场景。

4.2 错误操作导致内核升级的情况 解决方法：切换回旧内核，以旧内核重新启动操作系统，不需对组件驱动进行任何操作； 首先查看当前使用的内核版本，显示为新内核5.4.0159generic uname r 本文新内核为5.4.0159generic，旧内核为：5.4.080generic 查看服务器启动内核的顺序 cat /boot/grub/grub.cfg grep menu 修改默认内核版本 sudo gedit /etc/default/grub 改为GRUBDEFAULT"一级目录>旧内核版本”，如图 更新grub设置 sudo updategrub 重启电脑 reboot 查看重启后是否切换回旧内核 uname r （可选）删除新内核（默认基于旧内核启动了，用户可选择删或不删） sudo apt remove linuximage 其中 是要删除的内核版本号。 上述完成了内核的切换，继续使用旧内核，则可以正常使用相关组件。 4.3 原组件与新内核不兼容的情况 解决方法：筛选出不兼容的组件，并根据新内核 的版本对组件的驱动进行重装； （1） 首先需要查看NVIDIA GPU驱动、CUDA和cuDNN支持的linux内核版本，并根据新内核的版本重装不兼容的组件； NVIDIA GPU驱动支持的Linux内核版本 NVIDIA的官方文档中列出了不同GPU驱动版本支持的Linux内核版本，NVIDIA GPU驱动支持的Linux内核版本文档：

分布式缓存Redis 分布式缓存Redis是指在内存中以KV形式存储数据，且数据呈分片存储特征。其应用在存储以读取为主的数据，缩短响应时延，减少对数据库依赖，提升业务感知速度。 实例 实例是独立运行的Redis数据库服务器， 是用户购买 Redis 服务的基本单位，您只需要获取它的连接地址和密码，即可像使用本地 Redis 一样进行开发，而无需操心底层运维。 集群实例 采用集群架构部署的Redis实例，数据多分片存储，具备更好的扩展性和更高性能。 代理节点 代理节点（Proxy）负责协调客户端与集群Redis节点之间的通信，简化客户端逻辑，并提供路由、负载均衡和故障转移等功能。 Redis节点 Redis节点用于数据存储，分为主、从节点。 Redis集群 定义一组Redis数据存储节点组成一个Redis存储集群。 公网访问 可以为开通的Redis实例绑定公网弹性IP，客户端即可通过公网弹性IP访问Redis实例，具体使用请参考公网连接Redis实例。 跨可用区部署 将实例的主、备节点分别部署在不同的可用区中，在创建实例时可分别选择主可用区与备可用区，以实现高可用。 分片 分片是一种数据分布和负载均衡策略。它允许将数据划分为多个片段或分片，并将每个片段分布在集群中的不同节点上。每个节点都负责存储和处理一个或多个分片的数据。通过将数据分散在多个节点上，可以提高集群的整体性能和可扩展性，

本文介绍了云防火墙(原生版)产品入侵防御的防护配置功能。 云防火墙（原生版）的入侵防御功能支持防护网络攻击，可以实时检测并拦截恶意端口扫描、暴力破解、远程代码执行、漏洞利用等云上常见等网络攻击，避免服务器被挖矿或勒索。 防护配置 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“入侵防御 > 防护配置”。 3. 在页面上方切换云防火墙实例。 4. 配置防护模式。 观察模式：针对攻击行为仅记录及告警，不拦截。 拦截模式：自动拦截攻击行为，并记录且告警。 5. 高级设置。 虚拟补丁：针对可被远程利用的高危漏洞，应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。 DDoS防护：针对常见DDoS攻击进行实时自动防御。 病毒防护：通过病毒特征检测来识别病毒文件并产生日志。 6. 创建白名单。 说明 部分实例不支持使用白名单功能。 参数名称 参数说明 名称 自定义名单名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

本小节介绍日志审计(原生版)功能特性。 日志采集 全面采集网络行为及数据库操作日志、服务器主机及网络设备日志、常规应用及业务系统日志，并对日志进行统一归并处理，便于后续分析。 采集是日志审计（原生版）系统的重要功能模块，它承载了日志或事件采集标准化、过滤、归并功能，是系统进行分析的第一步，用户通过指定需要采集的目标、相关采集参数（Syslog、SNMPTrap等被动方式无需指定）、相关的过滤策略和归并策略等创建日志采集器，以收集相关设备或系统的日志。 不同的系统或设备所产生的日志格式是不尽相同的，这给分析和统计带了巨大的麻烦，所以在日志审计（原生版）系统中内置了众多的标准化脚本以处理这种情形；即便对于某些特殊的设备，如某个系统的新型号，您没有发现相关的解析脚本，日志审计（原生版）系统也提供了相应的定制方法以解决这些问题。 日志检索 基于海量数据的高速检索能力，可以实现多重条件组合的快速检索和精确定位，并且支持事件的交互式检索分析快速生成图表直观呈现分析内容，并能直接保存成仪表板展示。 亿级（TB）原始日志查询耗时低于1秒； 支持简单易用的日志查询普通模式，根据系统预置的查询条件，根据用户需求查询对应的日志，并且支持查询条件的保存，供后续快捷使用； 支持更加精确的高级模式查询，根据页面的指导提示，通过组合查询表达式完成精确查询。

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

问题描述： 云主机1更新了文件A，但是云主机2立即去读取时，仍然获取到的是旧的内容。 问题原因： 这涉及两个原因：第一个原因是，云主机1在写入文件A后，并不会立即进行刷新（flush），而是先进行PageCache操作，依赖于应用层调用fsync或者close来进行刷新。第二个原因是，云主机2存在文件缓存，可能不会立即从服务器获取最新的内容。例如，在云主机1更新文件A时，云主机2已经缓存了数据，当云主机2再次读取时，仍然使用了缓存中的旧内容。 解决方案： 方案一：在云主机1更新文件后，一定要执行close或者调用fsync。在云主机2读取文件之前，重新打开文件，然后再进行读取。 方案二：关闭云主机1和云主机2的所有缓存。这会导致性能较差，所以请根据实际业务情况选择适合的方案。 关闭云主机1的缓存：在挂载时，添加noac参数，确保所有写入立即落盘。挂载命令示例如下： plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600,noac 挂载地址 本地挂载路径1 关闭云主机2的缓存：在挂载时，添加actimeo0参数，忽略所有缓存。挂载命令示例如下： plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600,actimeo0 挂载地址 本地挂载路径2 根据实际情况合理以上方案可要确保云主机1更新文件后，云主机2能立即获取到最新内容。 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。

本文介绍了自定义集群APIServer证书SAN的用户指南。 操作场景 主题备用名称（Subject Alternative Name，缩写SAN）允许将IP地址、域名等值与证书关联。SAN通常用于TLS握手阶段客户端校验服务端证书中的SAN是否与客户端实际访问的IP地址或域名匹配。 当客户端无法直接访问集群内网私有IP地址或公网IP地址，如域名访问、DNAT访问等场景，此时可将能直接访问的IP地址或域名通过SAN的方式签入集群服务端证书，以支持客户端开启双向认证，提高安全性。 此外，跨域访问或代理访问场景可通过自定义SAN实现。域名访问场景的典型使用方式如下： 配置容器组的hostAliases或配置主机/etc/hosts，添加域名映射； 内网DNS使用，云解析服务支持配置集群弹性IP与自定义域名的映射关系； 自建DNS服务器，自行添加A记录。 添加自定义SAN 1. 登录CCE控制台； 2. 在集群列表中单击集群名称，进入集群信息页； 3. 点击“自定义证书SAN”旁的编辑按钮，在弹窗口中添加IP地址或域名，然后单击“确认”。 4. 专有版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般3到10分钟后可看到修改后的端口范围，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。 5. 托管版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般耗时3到10分钟，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。

基于XA的事务方案 XA的定义 XA是X/Open DTP定义的两阶段提交协议，是交易中间件与数据库之间的接口规范（即接口函数），交易中间件用它来通知数据库事务的开始、结束以及提交、回滚等，提交或回滚事务必须产生一致的结果（全部提交或全部回滚）。XA接口函数由数据库厂商提供。通常情况下，交易中间件与数据库通过XA接口规范，使用两阶段提交来完成一个全局事务，XA规范的基础是两阶段提交协议。 原理 分布式XA事务利用物理数据库提供了对XA事务的支持，实现跨数据库事务的一致性。为保证事务的原子性（Atomicity）和一致性（Consistency），使用二阶段提交，将事务提交分成PREPARE和COMMIT两个阶段： PREPARE阶段中，数据节点准备好所有事务提交所需的资源（例如加锁、写日志等)；这个阶段保证了事务数据的高可用性：数据库挂了恢复后，也会恢复还没提交的PREPARE事务。 COMMIT阶段中，各个数据节点才真正提交事务。 当用户进行一个分布式XA事务时，DRDS作为事务管理器角色。DRDS会屏蔽XA事务实现的细节。对用户而言，跟普通事务是一样的流程。 XA事务流程 1. XA事务开启：执行UDAL XA START。这时DRDS会返回这个XA事务的XID。 2. XA事务执行：执行各种语句。这时DRDS跟普通事务一样的处理。 3. XA事务提交 : 执行COMMIT或ROLLBACK。 DRDS首先等待所有数据节点（MySQL服务器）PREPARE成功，之后再向各个数据节点发送COMMIT请求。

本文主要介绍通过自定义域名访问集群 操作场景 集群服务端证书中签入的 主题备用名称（Subject Alternative Name，缩写SAN） 。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性：服务端证书是否被客户端信任的CA所签发，且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时，您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书，以支持客户端开启双向认证，提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 域名访问场景的典型使用方式如下： 客户端配置Host域名指定DNS域名地址，或者客户端主机配置/etc/hosts，添加域名映射。 云上内网使用，云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性IP可以继续使用双向认证+自定义域名访问集群，无需重新下载kubeconfig.json配置文件。 自建DNS服务器，自行添加A记录。 约束与限制 仅支持1.19及以上版本集群。 添加自定义SAN 步骤 1 登录CCE控制台。 步骤 2 在集群列表中单击集群，进入集群详情页。 步骤 3 在连接信息的自定义SAN处单击，在弹出的窗口中添加IP地址或域名，然后单击“保存”。 说明 当前操作将会短暂重启kubeapiserver并更新kubeConfig.json文件，请避免在此期间操作集群。 请输入域名或ip，以英文逗号（,）分隔，最多128个。 自定义域名如需绑定弹性公网，请确保已配置公网地址。

此小节介绍数据库审计的产品规格。 在“一类节点”区域，数据库审计提供了标准版、专业版、高级版和旗舰版四种服务版本，您可以根据业务需求选择相应的服务版本。 说明 在“一类节点”区域，购买数据库审计无需再配套开通云服务器。 分类 标准版 高级版 企业版 旗舰版 支持的数据库实例个数 3个 6个 12个 30个 吞吐量峰值 3,000条/秒 6,000条/秒 12,000条/秒 35,000条/秒 入库速率 360万条/小时 720万条/小时 1440万条/小时 1440万条/小时 支持的SQL语句存储量 4亿条在线SQL语句存储。 50亿条归档SQL语句存储。 6亿条在线SQL语句存储。 100亿条归档SQL语句存储。 10亿条在线SQL语句存储。 200亿条归档SQL语句存储。 16亿条在线SQL语句存储。 200亿条归档SQL语句存储。 资源需求 CPU：4U 内存：16GB 硬盘：512GB CPU：8U 内存：32GB 硬盘：1TB CPU：16U 内存：64GB 硬盘：2TB CPU：16U 内存：64GB 硬盘：5TB 在“二类节点”区域，数据库审计提供以下实例规格，请您参照下表选择需要的实例规格。 支持的数据库实例个数 推荐云主机的资源需求 3个 CPU：4U 内存：16GB 硬盘：500GB 6个 CPU：8U 内存：16GB 硬盘：1TB 9个 CPU：8U 内存：16GB 硬盘：1TB 12个 CPU：16U 内存：32GB 硬盘：2TB 15个 CPU：16U 内存：32GB 硬盘：2TB 18个 CPU：16U 内存：32GB 硬盘：3TB 21个 CPU：16U 内存：32GB 硬盘：3TB 24个 CPU：16U 内存：32GB 硬盘：3TB 27个 CPU：16U 内存：64GB 硬盘：4TB 30个 CPU：16U 内存：64GB 硬盘：4TB

ip nginxDir"/usr/local" 路径 rontHttpsPort9083 端口 prometheusVersion"prometheus2.31.1.linuxamd64" pushgatewayVersion"pushgateway1.4.2.linuxamd64" alertManagerVersion"alertmanager0.23.0.linuxamd64" opengateway openGatewayAdminPort9014 端口 openGatewayCorePort9013 端口 openApiHttpPort7084 端口 openGatewayCoreHost"" 部署 IP 地址 openapiTenantId11 openapiUserId11 openapiCloudTypeprivatecloud mysql init initMysqlUserroot 控制台公共库 root 用户 initMysqlBin"/teledb/teledb8801/bin/mysql" 控制台公共库路径 initMysqlUserPwd"" root 的密码 3. 执行deploy.sh脚本 执行如下命令。 cd /app/teledbdcpdeploy/deploy/mysql vi inituser.sql 修改inituser.sql文件中创建数据库用户密码，使其与dcp密码一致。 输入 :wq!保存退出。 vi deploy.sh 单节点公共库填写ps efgrep mysql查询sock路径，高可用公共库需要填写VIPIP和端口，通过该命令查询：h VIPIP p端口 执行如下命令，执行deploy.sh脚本 sh deploy.sh 4. 执行控制台服务脚本deploydcp.sh 执行如下命令 sudo sh deploydcp.sh 启动web和gateway服务 sudo systemctl start teledbdcpweb sudo systemctl start teledbdcpapigateway 执行如下命令，检查是否启动。 sudo systemctl status teledbdcpweb sudo systemctl status teledbdcpapigateway 5. 验证前端是否部署完成 curl k 如果是服务器重启，nginx 需要手动启动： /usr/local/nginx/sbin/nginx c /usr/local/nginx/conf/nginx.conf 6. 启动相关服务 执行如下命令，运行prometheus 的脚本 deploypromethues.sh sudo sh deploypromethues.sh 执行如下命令，启动prometheus 相关服务 sudo systemctl start prometheus sudo systemctl start alertmanager sudo systemctl start pushgateway 执行如下命令查看服务情况 sudo systemctl status prometheus sudo systemctl status alertmanager sudo systemctl status pushgateway

本文主要介绍 将Prometheus的数据上报到AOM 如果您已经部署并正在使用开源prometheus，可直接进行步骤3。 本章主要介绍通过部署Prometheus将AccessCode配置到Prometheus的配置文件并使之生效。 前提条件 已创建弹性云主机ECS。 操作步骤 步骤 1 安装并启动Prometheus，具体操作请参见Prometheus官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 登录ECS，找到prometheus的配置文件。 示例：如果通过以下命令启动 ./prometheus config.fileprometheus.yml 则找到prometheus.yml并将以下配置添加到末尾： remotewrite:url: ' tlsconfig: insecureskipverify: true bearertoken: '{accesscode}' 参数说明： regionname为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的名称不同。 projectid 为项目的ID。 一个完整的配置示意如下，您需要配置斜体部分： my global configglobal: scrapeinterval: 15s

本章节主要介绍OBS数据迁移到云搜索服务。 操作场景 CDM支持在云上各服务之间相互迁移数据，本章节介绍如何通过CDM将数据从OBS迁移到云搜索服务中，流程如下： 1.创建CDM集群 2.创建云搜索服务连接 3.创建OBS连接 4.创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已经开通了云搜索服务，且获取云搜索服务集群的IP地址和端口。 创建CDM集群 参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC必须和云搜索服务集群所在VPC一致，且推荐子网、安全组也与云搜索服务一致。 如果安全控制原因不能使用相同子网和安全组，那么需要确保安全组规则能允许CDM访问云搜索服务集群。 创建云搜索服务连接 1.单击CDM集群后的“作业管理”，进入作业管理界面，再选择“连接管理 > 新建连接”，进入选择连接器类型的界面。 2.连接器类型选择“云搜索服务”后单击“下一步”，配置云搜索服务连接参数。 名称：用户自定义连接名称，例如“csslink”。 Elasticsearch服务器列表：配置为云搜索服务集群（支持5.X以上版本）的连接地址、端口，格式为“ip:port”，多个地址之间使用分号（；）分隔，例如192.168.0.1:9200;192.168.0.2:9200。 用户名、密码：配置为访问云搜索服务集群的用户，需要拥有数据库的读写权限。 3.单击“保存”回到连接管理界面。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 obslink OBS终端节点 您可以通过以下任一方式获取Endpoint信息： OBS桶的Endpoint，可以进入OBS控制台概览页，点击桶名称后查看桶的基本信息获取。 终端节点（Endpoint）即调用API的请求地址，不同服务不同区域的终端节点不同。Endpoint可从企业管理员处获取。 这里支持用户输入桶级别的域名，例如：test.ctyun.cn，则在查询OBS桶的时候，只能查询到test这个桶。 端口 数据传输协议端口，https是443，http是80。 443 OBS桶类型 用户下拉选择即可，一般选择为“对象存储”。 对象存储 访问标识(AK) 密钥(SK) AK和SK分别为登录OBS服务器的访问标识与密钥。 您需要先创建当前帐号的访问密钥，并获得对应的AK和SK。 您可以通过如下方式获取访问密钥。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

本章节主要介绍数据治理中心的管理驱动功能。 JDBC即Java DataBase Connectivity，java数据库连接；JDBC提供的API可以让JAVA通过API方式访问关系型数据库，执行SQL语句，获取数据。 CDM连接关系数据库前，需要先上传所需关系数据库的JDK8版本.jar格式驱动。 前提条件 已创建集群。 已参见获取驱动表下载对应的驱动。 已参见配置FTP/SFTP连接创建SFTP连接并将对应的驱动上传至线下文件服务器（可选）。 如何获取驱动 不同类型的关系数据库，需要适配不同类型的驱动。注意，上传的驱动版本不必与待连接的数据库版本相匹配，直接参考下表获取建议版本的JDK8 .jar格式驱动即可。 关系数据库类型 驱动名称 获取地址 建议版本 云数据库MySQL MySQL MYSQL 5.1.48，获取mysqlconnectorjava5.1.48.jar Oracle ORACLE6 ORACLE7 ORACLE8 驱动包下载地址： 历史版本驱动包下载地址： ojdbc8的12.2.0.1版本，获取ojdbc8.jar 说明 不支持使用新版本（如Oracle Database 21c (21.3) drivers），会导致创建作业时无法获取模式名。 云数据库PostgreSQL PostgreSQL POSTGRESQL 42.1.4的JDBC 4.2版本，获取postgresql42.1.4.jar 云数据库SQL Server Microsoft SQL Server SQLServer 驱动包下载地址： 历史版本驱动包下载地址：

本章节主要介绍数据仓库服务的术语解释。 DWS的管理概念 集群 表示由多个节点组成的服务器群组。DWS以集群为单位进行组织，一个DWS集群由多个在相同子网中的相同规格的节点组成，共同提供服务。 节点 每个DWS集群部署节点取值范围为3~256，其中实时数仓（单机模式）取值为1，每个节点都支持存储与分析数据。 规格 用户创建DWS集群时需要指定集群节点的规格，不同规格节点使用的CPU、内存和存储资源不同。 快照 快照是用户根据需要创建的DWS集群备份，用于还原创建快照时的集群数据。快照会一直保存，直到用户使用管理控制台将此快照删除（自动快照不支持手动删除）。快照会占用用户使用的OBS配额。 Project Project用于将OpenStack的资源（计算资源、存储资源和网络资源）进行分组和隔离。Project可以是一个部门或者一个项目组。一个帐户中可以创建多个Project。 DWS的数据库概念 数据库 一个DWS集群实际上是一个支持联机分析处理方式的数据库平台，属于分析性的关系型数据库。 联机分析处理 联机分析处理（Online Analytical Processing，简称OLAP），是DWS集群的主要工作方式，支持复杂的分析操作，侧重决策支持，并且提供直观易懂的查询结果。 大规模并行处理 大规模并行处理（Massive Parallel Processing，简称MPP，也可称为无共享架构），是指在DWS集群的每个节点中，都有独立的内存计算和磁盘存储系统，DWS根据数据库模型和应用特点，将业务数据划分到不同节点上，通过节点间的网络彼此连接协同计算，使集群作为整体提供数据库服务以满足业务需要。

包年/包月注册配置中心到期后会影响注册配置中心正常运行。如果您想继续使用，需要在指定的时间内为注册配置中心续费，否则注册配置中心将被删除，数据丢失且不可恢复。 续费操作仅适用于包年/包月注册配置中心，按需计费云服务器不需要续费，只需要保证账户余额充足即可。 注册配置中心在到期前续费成功，所有资源得以保留，且注册配置中心运行不受影响。 续费相关的功能 包年/包月注册配置中心续费相关的功能如下表所示。 功能 说明 手动续费 包年/包月注册配置中心从购买到被自动删除之前，您可以随时在费用中心为其续费，以延长注册配置中心的使用时间。 自动续费 开通自动续费后，注册配置中心会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。 在一个包年/包月注册配置中心生命周期的不同阶段，您可以根据需要选择一种方式进行续费。 注册配置中心从购买到到期前，处于正常运行阶段，资源状态为“使用中”。 到期后，资源状态变为“已过期”。 到期未续费时，注册配置中心首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除。 在注册配置中心到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至注册配置中心到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

本章节指导用户下载并安装文件备份的客户端。 操作说明 用户在进行文件备份前，需先在目标服务器或虚拟机上更改安全组和安装客户端。 目前仅支持64位操作系统的主机，暂不支持32位操作系统的主机。 Linux操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 在文件备份界面，选择“文件备份”页签。单击“新增备份客户端”，操作系统选择“Linux”。 3. 使用root账号登录目标主机。 4. 在主机输入 curl kv obs. 命令，如果能正常返回网络时延数据则表示连通性正常。Region ID是根据用户所选择的区域，例如广州4的Region ID为cngzgd1。 5. 完善云服务备份控制台界面的安装命令。 /bin/bash c "$(curl kfsSL ID.obs.Region ID.ctyun.cn/deploy/cbragent/installcbragent.sh)" a {} s {} p 1137769eeeXXXXXXXXXXXXXXX c cbr.Region ID.ctyun.cn o obs.Region ID.ctyun.cn region id：可以复制安装界面的Region ID。 在命令的“a {}”和“s {}”的“{}”中分别替换为您账号中的AK、SK。替换AK、SK后，{}无需再进行保留。如何获取AKSK。 6.在主机中执行复制好的命令安装客户端。 7.安装完成后，如果回显提示安装成功，则表示安装完成且成功。 8.等待1分钟左右即可在“云服务备份 > 文件备份 > 文件备份”资源列表中查看客户端。状态为“正常”，则表示云服务备份成功发现客户端且运行正常。

本节介绍了初始化容量大于2TB的Linux数据盘（parted）的相关内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”、磁盘容量为3 TB举例，采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1.执行以下命令，查看新增数据盘。 lsblk 回显类似如下信息： [root@ecscentos74 ~]

本小节介绍数据库安全审计RDS关系型数据库（安装Agent）最佳实践。 方案架构 数据库安全审计采用旁路部署模式，通过在访问数据库的应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量，Agent将获取的流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对数据库的安全审计。 审计RDS关系型数据库（安装Agent）架构图 本文以POSTGRESQL 7.4版本的关系型数据库为例，详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本节详细介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。 数据库类型 POSTGRESQL 数据库版本 7.4 数据库IP地址 192.168.1.31 应用端IP地址 （安装节点IP地址） 192.168.1.132 端口 8000 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

本章节主要介绍如何创建Vhost。 操作场景 每个Vhost（Virtual Hosts）相当于一个相对独立的RabbitMQ服务器。Vhost用作逻辑隔离，分别管理Exchange、Queue和Binding，使得应用安全地运行在不同的Vhost上，相互之间不会干扰。一个实例下可以有多个Vhost，一个Vhost里可以有若干个Exchange和Queue。生产者和消费者连接RabbitMQ实例时，需要指定一个Vhost。Vhost的相关介绍，请参考官网文档Virtual Hosts。 本章节主要介绍创建Vhost的操作，有以下几种方式，您可以根据实际情况选择任意一种方式： 方式一：在控制台创建 方式二：使用RabbitMQ WebUI创建 方式三：调用API创建 方式一：在控制台创建 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 单击实例名称，进入实例详情页面。 步骤 5 在左侧导航栏选择“Vhost列表”，进入Vhost列表页面。 步骤 6 单击“创建Vhost”，弹出“创建Vhost”对话框。 步骤 7 设置Vhost的名称，单击“确定”。 创建成功后，在Vhost列表页面显示创建成功的Vhost。 图1 Vhost列表（控制台） “tracing”表示是否开启消息追踪功能。开启消息追踪后，您可以跟踪消息的转发路径。 说明 Vhost创建成功后，无法修改名称。 实例创建后，会自动创建一个名为“/”的Vhost。

本章主要介绍数据库权限类问题 root帐号为什么没有super权限 关系型数据库没有给root帐号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill，reset slave等，很有可能导致主备关系异常而出现故障。 对于要求super权限的场景，RDS可以提供服务化能力，也可以通过其他方法绕过super权限的限制。 举例1：通过登录数据库执行如下命令来修改参数，会报权限不足，您只能通过RDS界面修改参数。 set global 参数名 参数值 ; 如果您的脚本中包含set global 命令导致super缺失，请删除set global命令，通过RDS界面修改参数。 举例2：执行如下命令出现报错，也是因为没有super权限导致，只需要去除 definer'root' 关键字即可。 create definer'root'@'%’ trigger(procedure)… 如果您缺失super权限，可以使用mysqldump导入数据。 举例3：如果在创建RDS for PostgreSQL插件时缺少super权限，请参考通过SQL命令安装和卸载插件进行创建。 RDS for MySQL内置帐户介绍 您在创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 mysql.session：用于插件内部使用访问服务器 。 mysql.sys：用于sys schema中对象的定义。 rdsAdmin：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制帐户，用于备实例或只读实例在主实例上同步数据。 rdsMetric：指标监控帐户，用于watchdog采集数据库状态数据。 rdsbackup：备份帐户，用于后台的备份。 dscreadonly：用于数据脱敏。

本文主要介绍数据库权限类问题 root帐号为什么没有super权限 关系型数据库没有给root帐号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill，reset slave等，很有可能导致主备关系异常而出现故障。 对于要求super权限的场景，RDS可以提供服务化能力，也可以通过其他方法绕过super权限的限制。 举例1：通过登录数据库执行如下命令来修改参数，会报权限不足，您只能通过RDS界面修改参数。 set global 参数名 参数值 ; 如果您的脚本中包含set global 命令导致super缺失，请删除set global命令，通过RDS界面修改参数。 举例2：执行如下命令出现报错，也是因为没有super权限导致，只需要去除 definer'root' 关键字即可。 create definer'root'@'%’ trigger(procedure)… 如果您缺失super权限，可以使用mysqldump导入数据。 举例3：如果在创建RDS for PostgreSQL插件时缺少super权限，请参考通过SQL命令安装和卸载插件进行创建。 RDS for MySQL内置帐户介绍 您在创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 mysql.session：用于插件内部使用访问服务器 。 mysql.sys：用于sys schema中对象的定义。 rdsAdmin：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制帐户，用于备实例或只读实例在主实例上同步数据。 rdsMetric：指标监控帐户，用于watchdog采集数据库状态数据。 rdsbackup：备份帐户，用于后台的备份。 dscreadonly：用于数据脱敏。