参数 参数类型 说明 示例 下级对象 hostid String 主机名 time String 时间 ipproto Integer IP协议 1:v4; 2:v6 proto Integer 协议 1:icmp; 6:tcp; 17:udp sip String 源IP dip String 目的IP sport Integer 源端口 dport Integer 目的端口 dir Integer 方向 1:in2out; 2:out2in appid Integer 应用id action Integer 动作, 1:pass; 2:drop ruleid Long 规则id（入侵防御/访问控制/流量日志有） level String 事件等级, 1:Low; 2:Middle; 3:High （入侵防御/访问控制日志有） origin Integer 来源, 1:基础防御 2:虚拟补丁 3:访问控制 4:黑名单 5:白名单 （入侵防御/访问控制日志有） originbytes Long 正向字节数（流量日志有） originpackets Long 正向报文数（流量日志有） responsebytes Long 应答字节数（流量日志有） responsepackets Long 应答报文数（流量日志有） origintime String 发起时间（流量日志有） terminaltime String 终止时间（流量日志有） gwlbeid String gwlbe id（入侵防御日志有） className String 攻击类型（入侵防御日志有） virus String 病毒名称 (病毒日志有) md5 String md5值 (病毒日志有)

使用流程 一次完整的实时同步，是通过创建实时同步任务，以同步任务作为导向，依次进行同步进度观察、同步日志分析、同步数据一致性对比等多项操作。通过多项指标和数据的对比分析，可以帮助您实现不同业务系统间的数据实时同步。 一次完整的实时同步包含如下过程： 图 实时同步流程 步骤1：创建同步任务。根据需要，选择源和目标数据库，创建同步任务。 步骤2：查询同步进度。同步过程中，可以通过查看同步进度了解实时同步的完成情况。 步骤3：查看同步日志。同步日志包含告警、错误和提示等类型的信息，可根据此类信息分析系统存在的问题。 步骤4：对比同步项。实时同步提供对比功能，可根据需要查看对象级对比、数据级对比等，来确保源和目标数据库的数据一致性。 步骤5：本小节以MySQL>RDS for MySQL的实时同步为示例，介绍如何使用数据复制服务创建两个数据库实例之间的实时同步任务，其他存储引擎的配置流程类似。 前提条件 步骤1：已登录数据复制服务控制台。 步骤2：满足实时同步支持的数据库类型和版本，详情请参见实时同步。 操作步骤 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“下一步”。 表 任务和描述 参数 描述 :: 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 表 同步实例信息 参数 描述 :: 数据流动方向 选择“入云”，即目标端数据库为本云数据库。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“MySQL”。 网络类型 此处以公网网络为示例。 可根据业务场景选择公网网络、VPC网络和VPN、专线网络。 目标数据库实例 用户所创建的关系型数据库实例。 说明 目标数据库实例不支持选择只读实例。 目标数据库实例可以和源数据库选择同一个实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步类型 此处以“全量+增量”为示例。 “全量+增量”：该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 “增量”：增量同步通过解析日志等技术，将源端产生的增量数据同步至目标端。 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。 步骤 3 同步实例创建成功后，在“源库及目标库”页面，填选源库信息和目标库信息后，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 :: IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 说明 源数据库IP地址、端口、用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 表 目标库信息 参数 描述 :: 数据库实例名称 默认为创建同步任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 目标数据库对应的用户名。 数据库密码 目标数据库用户名对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 目标数据库用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 步骤 4 在“设置同步”页面，选择数据冲突策略和同步对象，单击“下一步”。 表 同步模式和对象 参数 描述 :: 流速模式 流速模式支持限速和不限速，默认为不限速。 限速自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为全天限流，您也可以根据业务需求自定义时段限流。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 不限速对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 限速模式只对全量阶段生效，增量阶段不生效。 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 增量阶段冲突策略 该冲突策略特指增量同步中的冲突处理策略，全量阶段的冲突默认忽略。冲突策略目前支持如下三种形式： 忽略当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 报错当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），同步任务将失败并立即中止。 覆盖当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 当数据发生冲突时，针对如下情况，建议选择“忽略”或者“覆盖”，否则建议选择“报错”： 目标数据库存在数据 多对一同步场景 目标数据库手动更新数据 是否过滤DROP DATABASE 实时同步过程中，源数据库端执行的DDL操作在一定程度上会影响数据的同步能力，为了降低同步数据的风险，数据复制服务提供了过滤DDL操作的功能，目前支持默认过滤删除数据库的操作。 是，表示过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示过程中将相关操作同步到目标库。 对象同步范围 对象同步范围支持普通索引和增量DDL同步。您可以根据业务需求选择是否进行同步。 启动位点 步骤2的同步类型选择“增量”时可见，增量同步的启动位点，任务的源库日志从位点后开始获取（不含当前启动位点）。 通过show master status命令获取源库位点，根据提示分别填写File、Position、ExecutedGtidSet（如果未开gtidmode，无需填写ExecutedGtidSet）。 数据同步拓扑 数据同步功能支持多种同步拓扑，您可以根据业务需求规划您的同步实例。数据同步拓扑说明可参考 数据同步拓扑介绍。 增量支持DDL 用户根据需求选择增量同步的DDL类型，不同链路支持的DDL类型以显示为准。 一对一、一对多场景：如果业务上认为源和目标应该使用保持严格一致，那么高危类DDL也应该勾选并同步。如果业务上确定某个高危DDL不应该发生，则可以不勾选同步高危类DDL，这样DRS将拦截过滤这个DDL，从而起到保护目标数据的作用。但需要知晓，过滤DDL的附带问题是可能导致同步失败，例如过滤删列动作。 多对一数据聚合场景：最佳方式是推荐只选择同步加列DDL，其他大部分DDL同步都可能因目标表修改而导致数据不一致或多对一中其他任务失败的情况发生。 同步对象 可选表级同步、库级同步，您可以根据业务场景选择对应的数据进行同步。 选择数据的时候支持搜索，以便您快速选择需要的数据库对象。 如果有切换源数据库的操作，请在选择同步对象前单击右上角 ，以确保待选择的对象为最新源数据库对象。 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考对象名映射。 步骤 5 在“数据加工”页面，根据需要选择数据加工的方式。 如果不需要数据加工，单击“下一步”。 如果需要数据加工，可选择“数据过滤”、“附加列”或“列加工”，参考 数据加工章节，设置相关规则。 步骤 6 在“预检查”页面，进行同步任务预校验，校验是否可进行。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 7 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表 任务启动设置 参数 描述 :: 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 8 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见 任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

参数 参数类型 说明 示例 下级对象 hostid String 主机名 time String 时间 ipproto Integer IP协议 1:v4; 2:v6 proto Integer 协议 1:icmp; 6:tcp; 17:udp sip String 源IP dip String 目的IP sport Integer 源端口 dport Integer 目的端口 dir Integer 方向 1:in2out; 2:out2in appid Integer 应用id action Integer 动作, 1:pass; 2:drop ruleid Long 规则id（入侵防御/访问控制/流量日志有） level String 事件等级, 1:Low; 2:Middle; 3:High （入侵防御/访问控制日志有） origin Integer 来源, 1:基础防御 2:虚拟补丁 3:访问控制 4:黑名单 5:白名单 （入侵防御/访问控制日志有） originbytes Long 正向字节数（流量日志有） originpackets Long 正向报文数（流量日志有） responsebytes Long 应答字节数（流量日志有） responsepackets Long 应答报文数（流量日志有） origintime String 发起时间（流量日志有） terminaltime String 终止时间（流量日志有） gwlbeid String gwlbe id（入侵防御日志有） className String 攻击类型（入侵防御日志有） virus String 病毒名称 (病毒日志有) md5 String md5值 (病毒日志有)

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

本章节主要介绍使用Hive的操作指导。 操作场景 该任务指导用户在运维场景或业务场景中使用Hive客户端。 前提条件 已安装客户端，例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Hive客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 用户登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 将实际的zookeeper主机名替换以下命令中的zkhostname1、zkhostname2、zkhostname3，执行命令登录Hive客户端。 plaintext beeline u "jdbc:hive2://zkhostname1:2181,zkhostname2:2181,zkhostname3:2181/default;serviceDiscoveryModezooKeeper;zooKeeperNamespacehiveserver2" 说明 beeline连接后可以编写并提交HQL语句执行相关任务。

产品功能及支持资源池一览 功能模块 产品功能 Ⅰ类型资源池 Ⅱ类型资源池 计费模式 按需计费 支持 支持 计费模式 包周期 支持 支持 计费变更 按需转包周期 支持 支持 计费变更 包周期转按需 支持 支持 实例规格 单节点（单机版） 支持 支持 实例规格 三节点副本集（一主两从） 支持 支持 实例规格 五节点副本集（一主四从） 支持 不支持 实例规格 七节点副本集（一主六从） 支持 不支持 实例规格 副本集只读从 支持 不支持 实例规格 分片集群 支持 不支持 实例规格 集群只读从 支持 不支持 数据库版本 3.4 支持 支持 数据库版本 4 支持 支持 实例部署 副本集跨可用区部署 华东1、华北2支持 不支持 实例部署 分片集群跨可用区部署 华东1、华北2支持 不支持 实例部署 跨可用区备份 华东1、华北2支持 不支持 实例管理 实例创建 支持 支持 实例管理 实例变配 支持 支持 实例管理 实例退订 支持 支持 实例管理 实例续费 支持 支持 实例管理 实例重启 支持 支持 实例管理 分片集群实例节点重启 支持 不支持 实例管理 实例参数变更 支持 支持 实例管理 设置可维护时间段 支持 支持 实例管理 导出实例列表 支持 不支持 实例管理 实例回收站 支持 支持 实例管理 主子帐号及IAM授权管理 支持 不支持 实例管理 修改实例名称 支持 不支持 实例管理 升级内核补丁版本 支持 不支持 实例访问 VPC内网访问 支持 支持 实例访问 公网IP访问 支持 支持 实例访问 只读节点单独访问 支持 不支持 实例访问 mongo shell访问 支持 支持 数据安全 云盘加密 支持 不支持 实例变更 扩容存储空间 支持 支持 实例变更 扩容备份空间 支持 支持 实例变更 单节点规格升配 支持 支持 实例变更 副本集规格升配 支持 支持 实例变更 分片集群Shard节点规格升配 支持 不支持 实例变更 分片集群Mongos节点规格升配 支持 不支持 实例变更 副本集增加实例节点 支持 不支持 实例变更 副本集增加只读节点 支持 不支持 实例变更 分片集群增加Shard 支持 不支持 实例变更 分片集群增加Mongos 支持 不支持 实例变更 副本集手动切换主备 支持 不支持 实例变更 分片集群手动切换主备 支持 不支持 备份管理 单节点手动备份 支持 支持 备份管理 副本集手动备份 支持 支持 备份管理 分片集群手动备份 支持 不支持 备份管理 单节点自动备份 支持 支持 备份管理 副本集自动备份 支持 支持 备份管理 分片集群自动备份 支持 不支持 备份管理 副本集增量备份 支持 不支持 备份管理 分片集群增量备份 支持 不支持 备份管理 查看备份结果 支持 支持 备份管理 对象存储 支持 不支持 备份管理 删除备份 支持 支持 备份管理 跨区域备份 仅华东1到西南1的链路支持 不支持 恢复管理 单节点恢复至单节点 支持 支持 恢复管理 单节点恢复至单节点新实例 支持 不支持 恢复管理 副本集恢复至相同节点数副本集 支持 支持 恢复管理 副本集恢复至相同节点数副本集新实例 支持 不支持 恢复管理 分片集群恢复至Shard数相同的分片集群 支持 不支持 恢复管理 分片集群恢复至Shard数相同的分片集群新实例 支持 不支持 恢复管理 单节点和副本集互相恢复 支持 不支持 恢复管理 多节点副本集互相恢复 支持 不支持 恢复管理 副本集按时间点恢复 支持 不支持 恢复管理 集群版按时间点恢复 支持 不支持 恢复管理 跨区域恢复 仅华东1到西南1的链路支持 不支持 恢复管理 查看恢复记录 不支持 支持 参数组管理 创建参数组 支持 支持 参数组管理 修改参数组 支持 支持 参数组管理 比较参数组 支持 支持 参数组管理 复制参数组 支持 支持 参数组管理 还原参数组 支持 支持 参数组管理 应用参数组 支持 支持 参数组管理 删除参数组 支持 支持 参数组管理 查看参数历史记录 支持 支持 参数组管理 导出参数 支持 不支持 数据库实例管理 修改实例端口 支持 支持 数据库实例管理 创建实例帐号 支持 支持 数据库实例管理 创建数据库 支持 支持 数据库实例管理 开启SSL 支持 支持 数据库实例管理 关闭SSL 支持 支持 数据库实例管理 重置数据库用户密码 支持 支持 数据库实例管理 变更安全组 支持 支持 监控管理 查看监控信息 支持 支持 监控管理 主机告警配置 支持 支持 监控管理 数据库告警配置 支持 支持 监控管理 告警中心 支持 支持 事件管理 查看计划内事件 支持 支持 事件管理 查看历史事件 支持 支持 日志管理 查看错误日志 支持 支持 日志管理 查看慢日志 支持 支持 日志管理 查看运行日志 支持 不支持 日志管理 日志配置管理 支持 不支持 任务列表 查看任务列表 支持 支持 白名单管理 添加白名单分组 支持 不支持 白名单管理 修改白名单分组 支持 不支持 白名单管理 删除白名单分组 支持 不支持 DTS数据迁移 副本集到副本集迁移 支持 不支持 DTS数据迁移 分片集群到分片集群迁移 支持 不支持 DTS数据迁移 副本集到分片集群迁移 支持 不支持 数据库工具 DMS登录数据库 支持 不支持 标签管理 统一标签视图 支持 不支持 标签管理 创建标签 支持 支持 标签管理 绑定标签 支持 支持 标签管理 解绑标签 支持 支持 标签管理 删除标签 支持 支持 标签管理 标签过滤查询 支持 不支持

本文介绍如何升级客户端。 操作场景 云容灾服务需要搭配客户端使用，当受保护的服务器安装的客户端不是最新版本时，您可以选择一键升级客户端至最新版本。 前提条件 该受保护的服务器已安装客户端，且客户端不是最新版本。 受保护的服务器状态为“已初始化”、“实时复制中”或“实时复制停止”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞服务器操作＞升级”。进入“升级容灾客户端”确认页面。 7. 确认信息后单击“确认”，服务器状态变为“客户端升级中”。 8. 当客户端版本显示最新版本时，且受保护的服务器状态恢复至升级前状态，说明升级成功。 注意 若升级过程中因服务器出错或网络等原因导致升级失败，则服务器状态从“客户端升级中”变为“升级失败”，此时您仅能执行注销操作，注销操作请参见

本章节介绍注册配置中心的计费项、计费方式和计费规则。本产品计费不包含负载均衡和容器服务等IaaS层资源的费用。 计费项 微服务引擎注册配置中心的计费项包含注册配置中心托管的普通实例费用、数据盘费用，其中数据盘费用单独计算。 计费方式 目前注册配置中心提供包年包月和按需付费两种付费模式。 按需付费：按需付费是后付费模式，您只需按实际情况进行使用，然后按照使用账单付费即可。为避免造成您的损失，如果您不想再使用此产品，则需要您在微服务引擎注册配置中心实例管理页面内将指定实例退订，系统才会正式停止计费。 包年包月：包年包月是预付费模式，按照包年包月的方式进行付费购买。只要您实际接入的实例数不超过您购买的实例数，不会造成额外的费用。包年包月的模式下，您需要在到期前进行续费或选择自动续费的方式，确保产品持续可用。 计费规则 实例计费规则 注册配置中心实例计费规则如下： 版本类型 主机类型 CPU(核） 内存（GB） 按需（元/节点/小时） 包月（元/节点/月） 注册配置中心单机版 X86通用型 2 4 0.461 221 注册配置中心集群版 X86通用型 2 4 0.77 369 注册配置中心集群版 X86通用型 4 8 1.413 677 注册配置中心集群版 X86通用型 8 16 2.7 1294 注册配置中心集群版 X86通用型 16 32 5.274 2528 注册配置中心企业版 X86通用型 2 4 1.51 724 注册配置中心企业版 X86通用型 4 8 2.869 1377 注册配置中心企业版 X86通用型 8 16 5.451 2616 注册配置中心企业版 X86通用型 16 32 10.357 4971 注册配置中心单机版（鲲鹏） ARM鲲鹏通用型 2 4 0.6 255 注册配置中心单机版（鲲鹏） ARM鲲鹏计算增强型 2 4 0.8 364 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 2 4 0.9 425 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 4 8 1.7 779 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 8 16 3.2 1489 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 16 32 6.1 2908 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 2 4 1.3 606 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 4 8 2.4 1111 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 8 16 4.5 2122 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 16 32 8.7 4144 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 2 4 1.8 833 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 4 8 3.3 1584 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 8 16 6.3 3009 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 16 32 12 5717 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 2 4 2.5 1188 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 4 8 4.8 2258 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 8 16 9 4288 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 16 32 17 8147 注册配置中心单机版（飞腾） ARM飞腾通用型 2 4 0.6 255 注册配置中心单机版（飞腾） ARM飞腾计算增强型 2 4 0.8 338 注册配置中心集群版（飞腾） ARM飞腾通用型 2 4 0.9 425 注册配置中心集群版（飞腾） ARM飞腾通用型 4 8 1.7 779 注册配置中心集群版（飞腾） ARM飞腾通用型 8 16 3.2 1489 注册配置中心集群版（飞腾） ARM飞腾通用型 16 32 6.1 2908 注册配置中心集群版（飞腾） ARM飞腾计算增强型 2 4 1.2 564 注册配置中心集群版（飞腾） ARM飞腾计算增强型 4 8 2.2 1033 注册配置中心集群版（飞腾） ARM飞腾计算增强型 8 16 4.2 1973 注册配置中心集群版（飞腾） ARM飞腾计算增强型 16 32 8.1 3854 注册配置中心企业版（飞腾） ARM飞腾通用型 2 4 1.8 833 注册配置中心企业版（飞腾） ARM飞腾通用型 4 8 3.3 1584 注册配置中心企业版（飞腾） ARM飞腾通用型 8 16 6.3 3009 注册配置中心企业版（飞腾） ARM飞腾通用型 16 32 12 5717 注册配置中心企业版（飞腾） ARM飞腾计算增强型 2 4 2.3 1104 注册配置中心企业版（飞腾） ARM飞腾计算增强型 4 8 4.4 2099 注册配置中心企业版（飞腾） ARM飞腾计算增强型 8 16 8.4 3987 注册配置中心企业版（飞腾） ARM飞腾计算增强型 16 32 15.8 7576 注册配置中心单机版（海光） X86海光通用型 2 4 0.6 255 注册配置中心单机版（海光） X86海光计算增强型 2 4 0.8 345 注册配置中心集群版（海光） X86海光通用型 2 4 0.9 425 注册配置中心集群版（海光） X86海光通用型 4 8 1.7 779 注册配置中心集群版（海光） X86海光通用型 8 16 3.2 1489 注册配置中心集群版（海光） X86海光通用型 16 32 6.1 2908 注册配置中心集群版（海光） X86海光计算增强型 2 4 1.2 574 注册配置中心集群版（海光） X86海光计算增强型 4 8 2.2 1052 注册配置中心集群版（海光） X86海光计算增强型 8 16 4.2 2011 注册配置中心集群版（海光） X86海光计算增强型 16 32 8.2 3926 注册配置中心企业版（海光） X86海光通用型 2 4 1.8 833 注册配置中心企业版（海光） X86海光通用型 4 8 3.3 1584 注册配置中心企业版（海光） X86海光通用型 8 16 6.3 3009 注册配置中心企业版（海光） X86海光通用型 16 32 12 5717 注册配置中心企业版（海光） X86海光计算增强型 2 4 2.4 1125 注册配置中心企业版（海光） X86海光计算增强型 4 8 4.5 2139 注册配置中心企业版（海光） X86海光计算增强型 8 16 8.5 4063 注册配置中心企业版（海光） X86海光计算增强型 16 32 16.1 7718 以订购注册配置中心集群版4C8G为例，若订购3节点，则价格为：677 3 2031元/月。 说明 企业版目前支持通过白名单方式开放订购，若您需要订购使用，请联系客户经理或提工单进行解决。

签名过程 签名过程如下图所示： 下表描述了图中显示的功能。用户需要为这些函数实现代码。 功能 描述 :: Lowercase() 将字符串转换为小写。 Hex() 小写16进制编码。 SHA256Hash() 安全散列算法（SHA）加密散列函数。 HMACSHA256() 使用签名密钥，根据SHA256算法计算出的签名值。 Trim() 删除任何前导或尾随空格。 UriEncode() URI编码每个字节。UriEncode（）必须强制执行以下规则： 除下列字符外，其他字符进行URI编码：'A' 'Z'，'a' 'z'，'0' '9'，' '，'.'，''和'~'。 空格字符是保留字符，必须编码为“％20”（而不是“+”）。 每个URI编码字节由'％'和两位十六进制值组成。 十六进制值中的字母必须为大写，例如“％1A”。 除了文件名之外，对正斜杠字符'/'进行编码。例如，如果文件名称为 photos/Jan/sample.jpg，则不对名称中的正斜杠进行编码。 说明 建议用户编写自己的自定义UriEncode函数，以确保您的编码可以正常工作。 以下是Java中的示例UriEncode（）函数。 public static String UriEncode(CharSequence input, boolean encodeSlash) { StringBuilder result new StringBuilder(); for (int i 0; i 'A' && ch 'a' && ch '0' && ch ))+":"+Trim( )+"n" Lowercase(Trim( ))+":"+Trim( )+"n" ... Lowercase(Trim( ))+":"+Trim( )+"n" CanonicalHeaders列表必须包括以下内容：HTTP Host标头。如果存在ContentType请求头，则必须将其添加到CanonicalHeaders列表中。所有xamz请求头，例如，如果您使用的是临时安全凭据，则需要在请求中包含xamzsecuritytoken，必须将此标题添加到CanonicalHeader列表中。 以下是CanonicalHeaders的示例，请求头名称为小写并已排序。 host:ooscn.ctyunapi.cn xamzcontentsha256:e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 xamzdate:20130708T220855Z 5. SignedHeaders是按字母顺序排序的，以分号分隔的小写请求头名称列表。列表中的请求头与用户在CanonicalHeaders字符串中包含的请求头相同。例如，对于前面的示例，SignedHeaders的值为： host;xamzcontentsha256;xamzdate 6. RequestPayload 是请求负载的SHA256哈希的十六进制值。 如果请求中没有负载，则计算空字符串的哈希值，如下所示： Hex(SHA256Hash("")) 哈希返回以下值： e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 例如：当用户使用PUT请求上传文件时，用户可以在请求体中提供文件数据。使用GET请求检索文件时，没有请求体，所以计算空字符串的哈希。 2. 创建待签名字符串 待签名的字符串格式如下： "AWS4HMACSHA256" + "n" + timeStampISO8601Format + "n" + + "n" + Hex(SHA256Hash( )) 常量字符串AWS4HMACSHA256指定用户使用的哈希算法HMACSHA256。 timeStamp是ISO 8601格式的当前UTC时间（例如20180501T000000Z）。 Scope是将生成的签名绑定到指定日期，OOS区域和服务。 date.Format( ) + "/" + + "/" + + "/aws4request" 3. 计算签名 使用SecretAccessKey作为初始哈希操作的密钥，对请求日期、区域和服务执行一系列加密哈希操作（HMAC 操作），从而派生签名密钥。伪代码如下： DateKey HMACSHA256("AWS4"+" ", " ") DateRegionKey HMACSHA256( , " ") DateRegionServiceKey HMACSHA256( , " ") SigningKey HMACSHA256( , "aws4request") 最终签名是使用签名密钥作为密钥，对待签名字符串计算得到HMACSHA256哈希值。伪代码如下： HMACSHA256(SigningKey, StringToSign) 4. 将签名信息添加到请求头 在计算签名后，将其添加到请求的HTTP请求头或查询字符串中。 将签名信息添加到Authorization标头的伪代码如下： Authorization: Credential / , SignedHeaders , Signature

使用须知 在创建同步任务前，请务必阅读以下使用须知。 说明 建议创建单独用于DRS任务连接的数据库帐号，避免因为数据库帐号密码修改，导致的任务连接失败。 连接源或目标数据库的帐号密码修改后，请尽快修改连接信息，避免任务连接失败后自动重试，导致数据库帐号被锁定影响使用。 表使用须知 类型名称 使用和操作限制 数据库权限设置 l 源数据库DRDS帐户至少需要具备一个权限，比如SELECT；DRDS物理分片数据库帐号需要具备如下权限：SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 l 提供的目标数据库帐号必须拥有如下权限：SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE。RDS for MySQL实例的root帐户默认已具备上述权限。 同步对象约束 l 全量同步支持数据、表结构和索引的同步。 l 源库不允许存在拆分键为timestamp类型的表。 l 源表的分库分表键要加到目标表的主键和唯一键中（也就是目标表的主键和唯一键中的列应该包含源表的分片列），避免数据冲突出现数据不一致问题。 源数据库要求 l 增量同步时，源物理分片数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 l 在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为3天。 l 增量同步时，必须设置MySQL源数据库的serverid。如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间；如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 l 源分库分表中间件中的库名、表名不能包含：'<>/以及非ASCII字符。 l MySQL源数据库建议开启skipnameresolve，减少连接超时的可能性。 l 源物理分片数据库GTID状态建议为开启状态。 目标数据库要求 l 目标数据库实例的运行状态必须正常，若数据库实例是主备实例，复制状态也必须正常。 l 目标数据库实例必须有足够的磁盘空间。 l 除了MySQL系统数据库之外，当目标库和源库同名时，目标数据库中若存在与源库同名的表，则表结构必须与源库保持一致。 l 目标数据库的字符集必须与源数据库一致。 l 目标数据库的时区设置必须与源数据库一致。 l DRS同步时会有大量数据写入目标库，目标库maxallowedpacket 参数过小会导致无法写入，建议将目标库maxallowedpacket参数值设置为大于100MB。 操作须知 l 数据类型不兼容时，可能引起同步失败。 l 支持断点续传功能，在主机系统崩溃的情况下，对于无主键的表可能会出现重复插入数据的情况。 l 源数据库中存在主键或唯一键重复的数据时, 直接同步将导致目标库数据比源库少, 请务必检查并订正数据后启动同步。 l 目标库为RDS for MySQL实例时，不支持带有TDE特性并建立具有加密功能表。 l 支持目标数据库中的表比源数据库多列场景，但是需要避免以下场景可能导致的任务失败。 − 目标端多的列要求非空且没有默认值，源端insert数据，同步到目标端后多的列为null，不符合目标端要求。 − 目标端多的列设置固定默认值，且有唯一约束。源端insert多条数据后，同步到目标端后多的列为固定默认值，不符合目标端要求。 l 任务创建后，目标库不能设置为只读。 l 任务创建后，源数据库不支持增加逻辑库或修改旧逻辑库关联新的RDS，否则会导致数据无法正常同步或任务失败。 l 同步过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 l 同步过程中，不允许源端DRDS正在同步的表做改变拆分键的操作；也不允许将单表/广播表改为拆分表，拆分表改为单表/广播表。 l 增量同步阶段，不支持源数据库进行恢复操作 l 增量同步阶段，支持部分DDL操作。 − 不支持 DROPDATABASE、DROPTABLE、TRUNCATETABLE、CREATEVIEW、DROPVIEW。 − 不支持使用Online DDL。 − 支持创建表，例如 ： create table ddltest (id int, c1 varchar(25), primary key(id)); create table ddltestgho like ddltest; − 支持表的重命名，源表和目标表必须都在对象选择里面，例如： rename table ddltest to ddltestnew; − 支持表字段的增和改，不支持删列，例如： alter table ddltest add column c2 varchar(25); alter table ddltest modify column c1 varchar(50); alter table ddltest alter c1 set default 'xxx'; − 支持修改表索引，例如： alter table ddltest drop primary key; alter table ddltest add primary key(id); alter table ddltest add index ddltestuk(id); alter table ddltest drop index ddltestuk; − 表级同步支持增加列、修改列、增加主键和普通索引。 − 库级同步支持新建表、rename表、增加列、修改列、增加主键和普通索引。 − 新增和修改表名、列名、索引名时不能超出63字符，否则任务会失败。 − 源库无主键表增加主键的时候，必须含有第一列，否则任务会失败。 l 增量同步阶段，对同一张表或列做DDL操作，需要在业务低峰期，并且时间间隔1分钟以上。

属性 名称 类型 必选项 默认值 有效值 描述 count integer 必须 count > 0 指定时间窗口内的请求数量阈值。 timewindow integer 必须 timewindow > 0 时间窗口的大小（以秒为单位），超过这个时间就会重置。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据，详情参见key的使用小节。如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedcode integer 可选 503 [200,...,599] 当请求超过阈值被拒绝时，返回的HTTP 状态码。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 allowdegradation boolean 可选 false 当限流插件功能临时不可用时（例如，Redis 超时）是否允许请求继续。当值设置为 true 时则自动允许请求继续，默认值是 false。 showlimitquotaheader boolean 可选 true 是否在响应头中显示XRateLimitLimit 和XRateLimitRemaining （限制的总请求数和剩余还可以发送的请求数），默认值是true。 group string 可选 非空 配置同样的group 的 Route 将共享同样的限流计数器。 redishost string 当policy为redis时必填 当使用redis 限速策略时，该属性是 Redis 服务节点的地址。 redisport integer 可选 6379 [1,...] 当使用redis 限速策略时，该属性是 Redis 服务节点的端口。 redispassword string 可选 当使用redis 或者 rediscluster 限速策略时，该属性是 Redis 服务节点的密码。 redistimeout integer 可选 1000 [1,...] 当使用redis 或者 rediscluster 限速策略时，该属性是 Redis 服务节点以毫秒为单位的超时时间。 redisclusternodes array 当policy 为 rediscluster 时必填 当使用rediscluster 限速策略时，该属性是 Redis 集群服务节点的地址列表（至少需要两个地址）。 redisclustername string 当policy 为 rediscluster 时必填 当使用rediscluster 限速策略时，该属性是 Redis 集群服务节点的名称。 count说明 当使用本地计数策略，即policy设置为local时，count数值为每个网关节点的限流计数。整个集群的限流计数count 节点数； 当使用redis时，即policy设置为redis或rediscluster时，count记录在redis中，表示整个集群的全局限流计数。 key的使用说明 用来做请求计数的有效值。 key的类型 key的取值类型使用keytype标识，keytype支持三种值："var", "varcombination", "constant" keytype为"constant"时，那么 key 会被当作常量。 keytype为"var"时， key 会被当作变量名称。 keytype 为 "varcombination"，那么 key 会当作变量组。比如如果设置 "remoteaddr consumername" 作为 key，那么插件会同时受 remoteaddr 和 consumername 两个变量的约束。 例如，可以使用主机名（或服务器区域）作为关键字，以便限制每个主机名规定时间内的请求次数。我们也可以使用客户端地址作为关键字，这样我们就可以避免单个客户端规定时间内多次的连接我们的服务。 当前接受的 key如下： key keytype为var时填写 keytype为varcombination时填写 "remoteaddr"（客户端 IP 地址） remoteaddr $remoteaddr "serveraddr"（服务端 IP 地址） serveraddr $serveraddr 请求头中的值"XForwardedFor" httpxforwardedFor $httpxforwardedFor 请求头中的值"XRealIP" httpxrealip $httpxrealip "consumername"（consumer 的 username） consumername $consumername "serviceid" serviceid $serviceid

本节介绍网络的用户指南:NGINX Ingress Controller。 NGINX Ingress Controller是一种常见的Ingress Controller实现，它利用NGINX的高级性能和灵活性来处理服务的路由和负载均衡。当一个Ingress资源在Kubernetes集群中被创建或更新时，Ingress Controller会检测到这些变化。然后，它会根据Ingress资源定义的规则，自动生成对应的NGINX配置，以实现请求的路由和负载均衡。 NGINX配置包括如何处理进入的网络请求（例如，基于主机名或URL路径进行路由），以及如何将请求路由到后端的服务实例。NGINX Ingress Controller会定期检查Ingress资源的变化，如果检测到任何更改，它会自动更新NGINX配置以反映这些更改。此外，NGINX Ingress Controller还支持一些高级特性，如SSL终止、WebSocket、HTTP/2和更复杂的负载均衡算法。这些特性都可以通过Kubernetes Ingress资源的注解来配置。 Nginx Ingress Controller通过Pod部署在工作节点，因此引入了相应的组件运行和运维成本，其工作原理如图所示： 注意 1、用户提交Ingress资源后，Nginx Ingress Controller会获取该资源并解析为转发规则，写入Nginx的配置文件（nginx.conf）； 2、触发Nginx进行reload，以加载更新后的配置文件，完成Nginx转发规则的修改和更新； 3、集群外客户端可通过控制节点IP或VIP（若存在）访问Nginx，Nginx组件根据转发规则将其转发至对应的服务Service，最终转发到对应的后端Pod。

RabbitMQ支持双向认证吗？ 不支持。 RabbitMQ实例是否支持扩容？ 不支持。 RabbitMQ实例是否支持修改可用区？ 不支持，您可以重新购买实例，以满足可用区要求。 RabbitMQ客户端连接报错原因分析？ RabbitMQ客户端连接失败，可能原因包括地址、端口填错、用户名或者密码填错。 连接地址不正确 Exception in thread "main"java.net.SocketTimeoutException: connect timed out at java.net.PlainSocketImpl.socketConnect(NativeMethod) at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350) 端口不正确 Exception in thread "main"java.net.ConnectException:Connection refused (Connection refused) at java.net.PlainSocketImpl.socketConnect(NativeMethod) at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350) at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206) 用户名或密码错误 Exception in thread "main"com.rabbitmq.client.AuthenticationFailureException: ACCESSREFUSED Login was refused using authentication mechanism PLAIN. For details see the broker logfile. at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:351) at com.rabbitmq.client.impl.recovery.RecoveryAwareAMQConnectionFactory.newConnection(RecoveryAwareAMQConnectionFactory.java:64) RabbitMQ实例是否支持不同的子网？ 支持。 客户端与实例在相同VPC内，可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 客户端与实例在不同VPC时，需建立VPC对等连接。 客户端是否可以连接同个RabbitMQ下多个Vhost？ 客户端可以连接同个RabbitMQ下多个Vhost。 Vhost（Virtual Hosts虚拟主机）是RabbitMQ的基本特性，每个Vhost相当于一个独立的虚拟消息服务器，每个Vhost数据目录不同，拥有自己的队列、交换器和权限控制机制。性能上，连接多个Vhost和单独使用一个Vhost差别不大。

操作场景 在不影响业务的情况下，通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，检验容灾方案的适用性、有效性。当真实故障发生时，通过预案快速恢复，提高业务连续性。 存储容灾服务提供的容灾演练功能，在容灾演练VPC（该VPC不能与容灾站点服务器所属VPC相同）内执行容灾演练，基于容灾站点服务器的磁盘快照，快速创建容灾演练服务器。 说明 当容灾演练服务器创建完成后，生产站点服务器和容灾演练服务器同时独立运行，数据不再实时同步。 为保证在灾难发生时，容灾切换能够正常进行，建议您定期做容灾演练。 使用须知 创建容灾演练时，如果保护组内的生产站点服务器加入了企业项目，容灾演练创建的演练服务器不会自动加入到企业项目，如有需要请手动将演练服务器加入到企业项目。 创建容灾演练时，如果生产站点服务器为Linux云服务器且为密钥方式登录，创建容灾演练后，创建的容灾演练服务器详情不显示密钥对信息，但可以使用容灾站点服务器的密钥对登录容灾演练的服务器。 创建容灾演练成功后，生产站点服务器中的“主机名”、“名称”、“委托”、“云服务器组”、“自动恢复”、“安全组”和“标签”配置项修改不会再自动同步到演练服务器上。您可以登录控制台，手动将这些配置项的修改添加到演练服务器上。 容灾演练操作只在容灾演练服务器配置主网卡，如果生产站点有从网卡，容灾演练不会自动配置，需要在容灾演练服务器详情页面手工绑定从网卡。

操作步骤 操作策略仅以下29节点支持配置： 上海6、北京4、内蒙5、西安3、重庆2、拉萨3、南京3、雄安2、晋中、郴州2、成都4、杭州2、上海7、西安4、福州3、泉州1、芜湖2、北京5、中卫2、贵州3、九江、内蒙6、 武汉4、佛山3、福州4、昆明2、海口2、保定、辽阳1。 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“操作策略”到达操作策略管理页面，点击“新建”按钮。 5.点击“新建”后出现以下界面，选择虚拟主机，添加策略名、匹配符号，和策略内容。 Queues参数 说明 Message TTL 消息过期时间：number型(单位:ms) Auto expire 队列过期时间，过期后队列自动删除：number型(单位:ms) Max length 队列能保存的最大消息数：number型(单位:个) Max length bytes 队列能保存的最大消息量：number型(单位:字节) Overflow behaviour 超过队列的最大设定值后消息接收策略： drophead：删除头部消息,一般就是最早发送的消息，保证队列可用 rejectpublish：拒绝接受新的消息，保证消息不丢失 6.在目标操作策略所在行，点击“删除”或“修改”即可删除或修改当前操作策略。

参数名称 参数描述 默认值 sessiontimeout Session闲置超时时间，单位为秒，0表示关闭超时限制。取值范围：0 ~ 86400。 600 datestyle 设置日期和时间值的显示格式。 ISO,MDY failedloginattempts 输入密码错误的次数达到该参数所设置的值时，帐户将会被自动锁定。配置为0时表示不限制密码输入错误的次数。取值范围：0 ~ 1000。 10 timezone 设置显示和解释时间类型数值时使用的时区。 UTC logtimezone 设置服务器写日志文件时使用的时区。 UTC enableresourcerecord 设置是否开启资源记录功能。 当SQL语句实际执行时间大于resourcetrackduration参数值（默认为60s，可自行设置）时，监控信息将会归档。 此功能开启后会引起存储空间膨胀及轻微性能影响，不用时请关闭。 说明 归档：监控信息保存在history视图，归档在info表。归档时间为三分钟，归档后history视图中的记录会被清除。 history视图GSWLMSESSIONHISTORY，对应存入info表GSWLMSESSIONINFO。 history视图GSWLMOPERATORHISTORY，对应存入info表GSWLMOPERATORINFO。 off querydop 用户自定义的查询并行度。 配置为0表示查询并行度自适应。 配置为1表示查询不并行。 配置为2表示查询并行度为2。 0 resourcetrackcost 设置对语句进行资源监控的最小执行代价。 值为1或者执行语句代价小于10时，不进行资源监控。值大于等于0时，执行语句的代价大于等于10并且超过这个参数的设定值就会进行资源监控。 SQL语句的预估执行代价可通过执行SQL命令Explain进行查询。 100000 resourcetrackduration 设置当前会话资源监控实时视图中记录的语句执行结束后进行归档的最小执行时间，单位为秒。 值为0时，资源监控实时视图中记录的所有语句都会进行历史信息归档。 值大于0时，资源监控实时视图中记录的语句的执行时间超过设定值就会进行历史信息归档。 60 passwordeffecttime 设置帐户密码的有效时间，临近或超过有效期系统会提示用户修改密码。 取值范围为0 ~999，单位为天。设置为0表示不开启有效期限制功能。 90 updatelockwaittimeout 该参数控制并发更新同一行时单个锁的最长等待时间。当申请的锁等待时间超过设定值时，系统会报错。0表示不等待，有锁时直接报错，单位为毫秒。 120000 enableresourcetrack 设置是否开启资源监控功能。开启后可以对SQL语句进行监控。 on passwordpolicy 使用CREATE ROLE/USER命令创建或ALTER ROLE/USER命令修改DWS帐户时，该参数决定是否进行密码复杂度检查。 0表示不采用任何密码复杂度策略。 1表示采用默认密码复杂度校验策略。 1 passwordreusetime 在使用ALTER USER或ALTER ROLE修改用户密码时，该参数指定是否对新密码进行可重用天数检查。 取值范围：0~3650，单位为天。0表示不检查密码可重用天数。正数表示新密码不能为该值指定的天数内使用过的密码。 说明 修改密码时会检查配置参数passwordreusetime和passwordreusemax。 passwordreusetime和passwordreusemax只要满足其中任一个为正数时，即认为密码可重用。 passwordreusetime为0时，表示不限制密码重用天数，仅限制密码重用次数。 passwordreusetime和passwordreusemax都为0时，表示不对密码重用进行限制。 60 passwordreusemax 在使用ALTER USER或ALTER ROLE修改用户密码时，该参数指定是否对新密码进行可重用次数检查。 0表示不检查密码可重用次数。正整数表示新密码不能为该值指定的次数内使用过的密码。 说明 修改密码时会检查配置参数passwordreusetime和passwordreusemax。 passwordreusetime和passwordreusemax只要满足其中任一个为正数时，即认为密码可重用。 passwordreusemax为0时，表示不限制密码重用次数，仅限制密码重用天数。 passwordreusetime和passwordreusemax都为0时，表示不对密码重用进行限制。 0 passwordlocktime 该参数指定帐户被锁定后自动解锁的时间。 0表示密码验证失败时，自动锁定功能不生效。 正数表示帐户被锁定后，当锁定时间超过该参数设定的值时，帐户将会被自行解锁。 1 passwordencryptiontype 该字段决定采用何种加密方式对用户密码进行加密存储。 0表示采用md5方式对密码加密。 1表示采用sha256方式对密码加密，兼容postgres客户端的md5用户认证方式。 2表示采用sha256方式对密码加密。md5为不安全的加密算法，不建议用户使用。 2 passwordnotifytime 该字段决定帐户密码到期前提醒的天数。 0表示不开启提醒功能。 1~999表示帐户密码到期前提醒的天数。 7 enablestatelesspoolerreuse pooler复用切换开关，重启集群生效。 on表示使用pooler复用模式。 off表示关闭pooler复用模式。 说明 CN和DN需要同步设置。如果CN设置为off，DN设置为on时会导致集群不能正常通信，因此必须对该参数做CN和DN全局相同的配置，重启集群才会生效。 off workmem 设置内部排序操作和Hash表在开始写入临时磁盘文件之前使用的内存大小，单位为KB。 ORDER BY，DISTINCT和merge joins都要用到排序操作。 Hash表在散列连接、散列为基础的聚集、散列为基础的IN子查询处理中都要用到。 对于复杂的查询，可能会同时并发运行好几个排序或者散列操作，每个都可以使用此参数所声明的内存量，不足时会使用临时文件。同样，好几个正在运行的会话可能会同时进行排序操作。因此使用的总内存可能是workmem的好几倍。 64MB maintenanceworkmem 设置在维护性操作（比如VACUUM、CREATE INDEX、ALTER TABLE ADD FOREIGN KEY等中可使用的最大的内存，单位为KB。 说明 该参数的设置会影响VACUUM、VACUUMFULL、CLUSTER、CREATE INDEX的执行效率。 128MB enableorccache 设置是否允许在初始化cstorebuffers时，将1/4的cstorebuffers空间预留，用于缓存orc元数据。 on表示开启缓存orc元数据，可提升hdfs表的查询性能，但是会占用列存buffer资源，导致列存性能下降。 off表示关闭缓存orc元数据。 on sqlusespacelimit 限制单个SQL在单个DN上，触发落盘操作时，落盘文件的空间大小，管控的空间包括普通表、临时表及中间结果集落盘占用的空间，单位为KB。其中1表示没有限制。 1 enablebitmapscan 控制优化器对位图扫描规划类型的使用。 on表示使用。 off表示不使用。 on enablehashagg 控制优化器对Hash聚集规划类型的使用。 on表示使用。 off表示不使用。 on enablehashjoin 控制优化器对Hash连接规划类型的使用。 on表示使用。 off表示不使用。 on enableindexscan 控制优化器对索引扫描规划类型的使用。 on表示使用。 off表示不使用。 on enableindexonlyscan 控制优化器对仅索引扫描规划类型的使用。 on表示使用。 off表示不使用。 on enablemergejoin 控制优化器对融合连接规划类型的使用。 on表示使用。 off表示不使用。 off enablenestloop 控制优化器对内表全表扫描嵌套循环连接规划类型的使用。虽然不能完全消除嵌套循环连接，但关闭该参数会使优化器在存在其他方法的时候优先选择其他方法。 on表示使用。 off表示不使用。 off enableseqscan 控制优化器对顺序扫描规划类型的使用。虽然不能完全消除顺序扫描，但关闭该参数会让优化器在存在其他方法的时候优先选择其他方法。 on表示使用。 off表示不使用。 on enabletidscan 控制优化器对TID扫描规划类型的使用。 on表示使用。 off表示不使用。 on enablekillquery CASCADE模式删除用户时，会删除此用户拥有的所有对象。此参数标识是否允许在删除用户的时候，取消锁定此用户所属对象的query。 on表示允许取消锁定。 off表示不允许取消锁定。 off enablevectorengine 控制优化器对向量化执行引擎的使用。 on表示使用。 off表示不使用。 on enablebroadcast 控制优化器对stream代价估算时对broadcast分布方式的使用。 on表示使用。 off表示不使用。 on skewoption 控制是否使用优化策略。 off：关闭策略。 normal：采用激进策略。对于不确定是否出现倾斜的场景，认为存在倾斜，并进行相应优化。 lazy：采用保守策略。对于不确定是否出现倾斜场景，认为不存在倾斜，不进行优化。 normal defaultstatisticstarget 为没有用ALTER TABLE SET STATISTICS设置字段目标的表设置缺省统计目标。此参数设置为正数是代表统计信息的样本数量，为负数时，代表使用百分比的形式设置统计目标，负数转换为对应的百分比，即5代表5%。 100 enablecodegen 标识是否允许开启代码生成优化，目前代码生成使用的是LLVM优化。 on表示允许开启代码生成优化。 off表示不允许开启代码生成优化。 on autoanalyze 标识是否允许在生成计划的时候，对于没有统计信息的表进行统计信息自动收集。 on表示允许自动进行统计信息收集。 off表示不允许自动进行统计信息收集。 说明 当前不支持对外表触发autoanalyze，如需收集，需用户手动执行analyze操作。 不支持对带有ON COMMIT [DELETE ROWS l DROP]选项的临时表触发autoanalyze，如需收集，需用户手动执行analyze操作。 如果在autoanalyze某个表的过程中数据库发生异常，当数据库正常运行之后再执行语句有可能仍提示需要收集此表的统计信息。此时需要用户对该表手动执行一次analyze操作，以同步统计信息数据。 off enablesonichashagg 标识是否依据规则约束使用基于面向列的hash表设计的Hash Agg算子。 on表示在满足约束条件时使用基于面向列的hash表设计的Hash Agg算子。 off表示不使用面向列的hash表设计的Hash Agg算子。 on loghostname 默认状态下，连接消息日志只显示正在连接主机的IP地址。打开此选项同时可以记录主机名。由于解析主机名可能需要一定的时间，可能影响数据库的性能。on表示可以同时记录主机名。off表示不可以同时记录主机名。 off maxactivestatements 设置全局的最大并发数量。此参数只应用到CN，且针对一个CN上的执行作业。设置为1和0表示对最大并发数不做限制。 60 enableresourcetrack 是否开启资源监控功能。 on resourcetracklevel 设置当前会话的资源监控的等级。该参数只有当参数enableresourcetrack为on时才有效。 none，不开启资源监控功能。 query，开启query级别资源监控功能，开启此功能会把SQL语句的计划信息（类似explain输出信息）记录到top SQL中。 perf，开启perf级别资源监控功能，开启此功能会把包含实际执行时间和执行行数的计划信息（类似explain analyze输出信息）记录到top SQL中。 operator，开启operator级别资源监控功能，开启此功能不仅会把包含实际执行时间和执行行数的信息记录到top SQL中，还会把算子级别执行信息刷新到top SQL中。 query enabledynamicworkload 是否开启动态负载管理功能。 on表示打开动态负载管理功能。 off表示关闭动态负载管理功能。 on topsqlretentiontime 设置历史TopSQL中gswlmsessioninfo和gswlmoperatorinfo表中数据的保存时间。单位为天。 值为0时，表示数据永久保存。 值大于0时，表示数据能够保存的对应天数。 0 trackcounts 控制收集数据库活动的统计数据。 on表示开启收集功能。 off表示关闭收集功能。 off autovacuum 控制数据库自动清理进程（autovacuum）的启动。自动清理进程运行的前提是将trackcounts设置为on。 on表示开启数据库自动清理进程。 off表示关闭数据库自动清理进程。 off autovacuummode 该参数仅在autovacuum设置为on的场景下生效，它控制autoanalyze或autovacuum的打开情况。 analyze表示只做autoanalyze。 vacuum表示只做autovacuum。 mix表示autoanalyze和autovacuum都做。 none表示二者都不做。 mix autoanalyzetimeout 设置autoanalyze的超时时间。在对某张表做autoanalyze时，如果该表的analyze时长超过了autoanalyzetimeout，则自动取消该表此次analyze，单位为秒。 5min autovacuumiolimits 控制autovacuum进程每秒触发IO的上限。其中1表示不控制，而是使用系统默认控制组。 1 autovacuummaxworkers 设置能同时运行的自动清理线程的最大数量。其中0表示不会自动进行autovacuum。 3 autovacuumnaptime 设置两次自动清理操作的时间间隔，单位为秒。 10min autovacuumvacuumthreshold 设置触发VACUUM的阈值。当表上被删除或更新的记录数超过设定的阈值时才会对这个表执行VACUUM操作。 50 autovacuumanalyzethreshold 设置触发ANALYZE操作的阈值。当表上被删除、插入或更新的记录数超过设定的阈值时才会对这个表执行ANALYZE操作。 50 autovacuumanalyzescalefactor 设置触发一个ANALYZE时增加到autovacuumanalyzethreshold的表大小的缩放系数。 0.1 statementtimeout 当语句执行时间超过该参数设置的时间（从服务器收到命令时开始计时）时，该语句将会报错并退出执行，单位为毫秒。 0 deadlocktimeout 设置死锁超时检测时间。当申请的锁超过设定值时，系统会检查是否产生了死锁，单位为毫秒。 1s lockwaittimeout 控制单个锁的最长等待时间。当申请的锁等待时间超过设定值时，系统会报错，单位为毫秒。 20min maxqueryretrytimes 指定SQL语句出错自动重试功能的最大重跑次数（目前支持重跑的错误类型为“Connection reset by peer”、“Lock wait timeout”和“Connection timed out”等，设定为0时关闭重跑功能。 6 maxpoolsize CN的连接池与其它某个CN/DN的最大连接数。 800 enablegtmfree 大并发场景下同一时刻存在活跃事务较多，GTM下发的快照变大且快照请求变多的情况下，瓶颈卡在GTM与CN通讯的网络上。为消除该瓶颈，引入GTMFREE模式。取消CN和GTM的交互，取消CN下发GTM获取的事务信息给DN。CN只向各个DN发送query，各个DN由本地产生快照及xid等信息，开启该参数支持分布式事务读最终一致性，即分布式事务只有写外部一致性，不具有读外部一致性。 off enablefastqueryshipping 控制查询优化器是否使用分布式框架。 on enablecrccheck 设置是否允许开启数据校验功能。写入表数据时生成校验信息，读取表数据时检查校验信息。不建议用户修改设置。 on explainperfmode 此参数用来指定explain的显示格式。 normal：代表使用默认的打印格式。 pretty：代表使用DWS改进后的新显示格式。新的格式层次清晰，计划包含了plan node id，性能分析简单直接。 summary：是在pretty的基础上增加了对打印信息的分析。 run：在summary的基础上，将统计的信息输出到csv格式的文件中，以便于进一步分析。 pretty udfmemorylimit 控制每个CN、DN执行UDF时可用的最大物理内存量，单位为KB。 200MB defaulttransactionreadonly 设置每个新创建事务是否是只读状态。on表示只读状态。off表示非只读状态。 off

本节主要介绍步骤一（1）：创建入云迁移任务 本章节将以MySQL到RDS for MySQL的迁移为示例，介绍在公网网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 公网网络适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库。 在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足入云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填选区域、任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择入云。 入云指目标端数据库为本云数据库。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 此处选择公网网络。 默认为公网网络类型，支持VPC网络、VPN网络、专线网络、公网网络。 VPC网络：适合云上数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库，该类型要求源数据库绑定弹性IP。 VPN网络：适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 专线网络：适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的关系型数据库实例。 目标库读写设置 只读 迁移中，目标数据库实例将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写 迁移中，目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。如果目标库有其他数据库需要在迁移时被业务使用，可设置该选项为读写。 说明 目前仅MySQL数据库支持目标库读写设置。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、启动失败、全量中、全量失败、增量中、增量失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 说明 源数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 如果单击“测试连接”后提示迁移实例和数据库的网络连接失败，请参考《数据库复制服务常见问题》中的“

功能集 功能 功能描述 参考文档 应用生命周期管理 创建/部署/更新/查看/启动/停止/删除应用 创建/部署/更新/查看/启动/停止/删除应用。 微服务治理 无损上线 在应用启动过程中，无损上线为应用提供服务延迟注册、服务就绪检查和服务小流量预热的保护能力 微服务治理 无损下线 在应用执行部署、停止、回滚、缩容和重置时，通过无损下线来保证应用正常关闭 微服务治理 金丝雀灰度 对于部署在 CAE 的 Spring Cloud 或 Dubbo 微服务应用，为了确保升级操作的安全性，您可以通过启用灰度发布（即金丝雀发布）的灰度规则进行小规模验证，验证通过后再全量升级 微服务治理 限流降级 CAE 支持使用微服务引擎 MSE 实现应用的限流降级，全面保障应用的可用性 微服务注册中心 使用 CAE 内置注册中心 CAE 为用户提供免费的内置 Nacos 注册中心，在无需购买或自建注册中心的情况下即可部署微服务应用到 CAE 平台 微服务注册中心 使用自建 Nacos 注册中心 CAE 支持使用自建 Nacos 注册中心实现服务的注册与发现功能 运维管理 基础监控 CAE 对应用所运行设备的 CPU、负载、内存、网络和磁盘进行数据采集与分析，并以动态图的方式展示，方便实时、直观地了解应用所运行设备地状态 运维管理 应用监控 CAE 为多种语言和框架提供无侵入的应用监控能力 运维管理 一键启停 CAE 为应用提供了一键启停按钮，方便用户进行运维操作，同时还支持批量启停操作 运维管理 日志管理 日志管理提供应用实时日志查询功能。 弹性伸缩 手动扩缩 在应用的实例负载过高时以手动方式添加新应用实例，在应用闲置时减少应用实例，能够高效利用应用资源、降低成本 弹性伸缩 自动扩缩 在分布式应用管理中，弹性伸缩能够感知应用内各个实例的状态，并根据实例状态自动增加或减少实例数量，即扩容或缩容 应用访问 基于 ELB 实现应用公网及私网访问 在 CAE 中部署应用后，可以通过添加公网 ELB 实现公网访问应用，也可以添加私网 ELB 实现同 VPC 内私网访问应用 配置管理 配置项（ConfigMap） 配置项是一种存储应用所需配置信息地资源类型，它可以作为容器运行环境中的环境变量，便于应用部署后灵活变更容器配置，也可以通过挂载配置文件的方式向容器中注入配置信息 配置管理 保密字典（Secret） 保密字典是一种用于存储和管理密钥、证书等敏感信息的资源类型。为避免敏感数据暴露到镜像或应用与任务部署参数中，推荐您使用 CAE 命名空间级别的保密字典 高级设置 设置启动命令 CAE 会根据预设的启动参数来启动容器 高级设置 设置环境变量 应用在系统中运行更需要配置特定的环境变量 高级设置 设置 Hosts 绑定 CAE 支持应用级别的实例，通过绑定 Hosts 对主机名进行解析，方便应用实例通过主机名进行访问 高级设置 设置持久化日志 CAE 集成了云日志服务的日志收集功能，支持将业务文件日志（容器内日志文件）、容器标准输出日志（stdio）无限制行数地收集至 ALS，便于您聚合分析。 高级设置 设置 NAS 存储 将 NAS 挂载至 CAE 应用实例，可以有效解决应用数据地持久化存储需求，并实现应用实例之间地数据共享 高级设置 设置 OSS 存储 OSS 适用于读多写少地场景，例如挂载配置文件或者前端静态文件等 高级设置 设置应用生命周期管理 如果您精通 K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理 高级设置 设置配置项 配置项能够将环境配置信息和容器镜像解耦，方便您修改应用配置 版本管理 版本回退 应用修改配置并部署后，会自动生成一个基于时间点的应用版本，您可以查看对应时间点应用版本的配置，也可以操作版本回退到指定时间点的应用版本

1、在新域名服务产品界面，点击“控制台”，进入到域名管理界面，找到需要解析的域名。 2、对需要解析的域名点击“域名解析” 3、在域名解析界面，点击“新增解析” 4、在新增解析界面，选择解析记录类型以及对应的相关内容，点击“提交”。即可完成域名的解析。 备注： 域名解析不得超过20条。 记录类型说明： A记录：将域名指向一个IPv4地址（例如：10.10.10.10）需要增加A记录。 NS记录：域名解析服务器记录，如果要将子域名指定某个域名服务器来解析，需要设置NS记录。 CNAME记录：如果将域名指向一个域名，实现与被指向域名相同的访问效果，需要增加CNAME记录。 MX记录：建立电子邮箱服务，将指向邮件服务器地址，需要设置MX记录。 TXT记录：可任意填写（可为空），通常用作SPF记录（反垃圾）邮件使用。 AAAA记录：用来指定主机名（或域名）对应的IPv6地址（例如：ff06:0:0:0:0:0:0:c3）记录 。 SRV记录：记录格式为优先级权重端口目标地址，每项中间需以空格分隔。例如"0 5 5060 sipserver.example.com"。 URL转发：将域名指向一个http协议地址，访问域名时，自动跳转到目标地址。若显示则访问时直接显示真实的目标地址，若显示隐藏则访问时会隐藏真实的目标地址。（仅中文域名可做URL转发类型的解析。）

本章节介绍Eureka服务管理功能 当您开通MSE Eureka实例后，MSE会对注册在其上的服务进行管理，您可以在服务管理界面对其进行管理端操作。 前提条件 1. 已开通MSE产品。 2. 已创建注册配置中心Eureka实例。 操作流程 进入实例管理页面后，在左侧选择页签服务管理可进入服务管理页面。服务管理页签包含两个子页签：服务列表和数据轨迹。 服务列表 展示当前注册到Eureka的所有服务，以及服务所包含实例的详细信息。您可以点击服务右侧操作中的详情查看对应服务的详细实例信息。详细信息中包含服务实例的主机名、访问地址、健康状态、注册时间等与客户端相关的基础信息，您可以在这里对注册到Eureka的服务的状态进行全局监控。 使用实例条目右侧操作中的下线或上线功能（当服务实例状态为“上线”时，展示“下线”按钮，反之，则展示“上线”按钮），可以在管理端设置该服务实例的对外可见状态。若服务实例状态为下线，则其他服务消费者将无法获取到该实例的相关信息，从而不会对该服务实例发起调用请求。 数据轨迹 展示针对某个服务的详细操作记录，包含上线、下线、请求、心跳、注册、注销事件。 点击服务右侧的数据轨迹界面，即可跳转到数据轨迹界面，通过在页面上方输入操作类型和所属服务来过滤操作记录，页面将会按照时间展示针对所属服务下某一实例这个操作对象在某一时间点发生了何种操作。 通过服务数据轨迹功能，您可以观察服务这个基本元素在Eureka中的完整生命周期流转过程，辅助排查注册中心故障。

本节介绍了RabbitMQ 接入方式。 安全接入点 RabbitMQ 安全接入点支持 "PLAIN"、"AMQPLAIN" 授权机制。 1、访问控制 RabbitMQ "PLAIN"、"AMQPLAIN"授权机制需要创建用户，从而获得对应虚拟主机的访问权限。 2、接入步骤 （1）新建用户（集群管理>用户>新建用户） （2）运行demo 客户端关键参数设置 "PLAIN"、"AMQPLAIN" 授权机制的客户端关键参数配置 String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; String vhost "/"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); SSL接入点 RabbitMQ 安全接入点支持 "EXTERNAL" 授权机制 1、访问控制 无 2、接入步骤 （1）下载SSL证书（实例概览>导出服务>下载SSL文件） （2）运行demo 客户端关键参数设置 "EXTERNAL" 授权机制的客户端关键参数配置 java String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c);

返回信息 描述 用户 执行慢查询的用户。这可以帮助您识别哪些用户的查询较慢，并可能需要进行性能调优或优化。 访问源地址 执行慢查询的客户端的IP地址或主机名。这个信息可以帮助您追踪慢查询的来源，并定位潜在的网络或连接问题。 起始时间 慢查询的开始时间。这个时间戳可以让您了解慢查询发生的具体时间，以便进行更精确的分析和对比。 持续时间 慢查询的执行时间，以毫秒为单位。这个指标反映了查询的耗时，让您可以找出执行时间较长的查询，并进行性能优化。 查询ID 每个查询都有一个唯一的查询ID。这个ID可以用于标识和跟踪慢查询，便于日志记录和调试。 内存使用量 慢查询执行期间使用的内存量。了解查询的内存消耗情况可以帮助您优化内存配置和调整查询的资源需求。 异常码 如果慢查询期间发生了异常或错误，会显示相应的异常码。这可以帮助您排查和解决慢查询过程中出现的问题。 SQL语句 慢查询的具体SQL语句。您可以查看查询的详细语句，从而深入分析查询逻辑和优化查询性能。 读取行数 查询期间读取的行数。这个指标可以帮助您了解查询的数据访问情况，并针对性地进行数据读取的优化。 读取数据大小 查询期间读取的数据量。这个指标可以帮助您评估查询的数据规模，并根据需要进行存储和网络资源的优化。 结果集行数 查询返回的结果集中的行数。这个指标可以帮助您了解查询结果的规模，并进行结果集处理的优化。

操作场景 在运行中始终不保存任何数据或状态的工作负载称为“无状态负载 Deployment”，例如nginx。您可以通过控制台或kubectl命令行创建无状态负载。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群 ，请参照集群管理>购买混合集群中内容进行创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。 通过控制台创建 云容器引擎提供了多种创建工作负载的方式，您可以通过如下方式进行创建： 基于“我的镜像”创建工作负载，用户首先需要将镜像上传至容器镜像服务。 基于“共享镜像”创建工作负载，即其它租户通过“容器镜像服务”共享给您的镜像。 您希望通过YAML方式创建工作负载，您可在“创建无状态工作负载”高级设置页面单击界面右侧的“YAML创建”，通过yaml的方式创建工作负载。YAML编写完成后，可单击“创建”，直接创建工作负载。 说明： YAML文件是和界面保持同步的，您也可以通过界面和YAML互动完成工作负载的创建。例如： 界面中填写工作负载名称后，YAML文件会自动关联该名称。 界面中添加完镜像后，YAML中也会自动关联该镜像。 控制台界面右侧的“YAML创建”不支持多个YAML混合，请分别创建，否则创建时将会报错。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，单击“创建无状态工作负载”。参照下表设置工作负载基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 实例数量 工作负载的实例数量。工作负载可以有一个或多个实例，用户可以设置具体实例个数，默认为2，可自定义设置为1。 每个工作负载实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，工作负载还能正常运行。若使用单实例，节点异常或实例异常会导致服务异常。 时区同步 单击开启后，容器将和节点使用相同时区。 须知：时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 2 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期：用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见配置中心>创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见配置中心>创建配置项。 说明： 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 3 单击“下一步：工作负载访问设置”，单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络管理>网络概述。 步骤 4 单击“下一步：高级设置”，配置更多高级策略。 升级策略：您可以指定无状态工作负载的升级方式，包括逐步“滚动升级”和整体“替换升级”。 − 滚动升级：将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 最大无效实例数：每次滚动升级允许的最大无效实例数，如果等于实例数有断服风险（最小存活实例数 实例数 最大无效实例数）。 − 替换升级：将先把您工作负载的老版本实例删除，再安装指定的新版本，升级过程中业务会中断。 缩容策略：为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 − 缩容时间窗 (s)：请输入时间，该时间为工作负载停止前命令的执行时间窗（09999秒），默认30秒。 − 缩容优先级：可根据业务需要选择“优先减少新实例”或“优先减少老实例”。 迁移策略：当工作负载实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗。 − 迁移时间窗 (s)：请输入时间，默认为300秒。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见亲和反亲和性调度>调度策略概述。 Pod高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 说明： 客户端DNS配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 5 配置完成后，单击“创建”，在创建成功页面单击“返回工作负载列表”，查看工作负载状态。 在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。工作负载状态不会实时更新，请刷新页面查看。 步骤 6 在“无状态负载 Deployment”页面的工作负载列表中，复制“外部访问地址”，可在浏览器中访问工作负载。 说明： 当工作负载访问方式设为“节点访问（NodePort）”并绑定弹性IP或设为“负载均衡 ( LoadBalancer )”时，才可以获取外部访问地址，可以访问外网。 工作负载列表页在超过500条以上时，将采用Kubernetes的分页机制进行分页。Kubernetes的分页机制：仅支持回到第一页和查看下一页，不支持查看上一页，且在分页显示的情况下，资源总数显示的是批量查询出的数目而不是真实总数。 通过kubectl命令行创建 本节以nginx工作负载为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为nginxdeployment.yaml的描述文件。其中，nginxdeployment.yaml为自定义名称，您可以随意命名。 vi nginxdeployment.yaml 描述文件内容如下。此处仅为示例，deployment的详细说明请参见kubernetes官方文档。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret 以上yaml字段解释如下表。 deployment字段详解 字段名称 字段说明 必选/可选 apiVersion 表示API的版本号。 说明 集群版本为1.9之前的无状态应用apiVersion格式为extensions/v1beta1，1.9之后的集群兼容extensions/v1beta1和apps/v1两种格式Version，请根据集群版本输入。 必选 kind 创建的对象类别。 必选 metadata 资源对象的元数据定义。 必选 name deployment的名称。 必选 Spec 用户对deployment的详细描述的主体部分都在spec中给出。 必选 replicas 实例数量。 必选 selector 定义Deployment可管理的容器实例。 必选 strategy 升级类型。当前支持两种升级方式，默认为滚动升级。 RollingUpdate：滚动升级。 ReplaceUpdate：替换升级。 可选 template 描述创建的容器实例详细信息。 必选 metadata 元数据。 必选 labels metadata.labels定义容器标签。 可选 spec: containers image（必选）：容器镜像名称。 imagePullPolicy（可选）：获取镜像的策略，可选值包括Always（每次都尝试重新下载镜像）、Never（仅使用本地镜像）、IfNotPresent（如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像），默认为Always。 name（必选）：容器名称。 必选 imagePullSecrets Pull镜像时使用的secret名称。若使用私有镜像，该参数为必选。 需要Pull SWR容器镜像仓库的镜像时，参数值固定为defaultsecret。 当Pull第三方镜像仓库的镜像时，需设置为创建的secret名称。 可选 步骤 3 创建deployment。 kubectl create f nginxdeployment.yaml 回显如下表示已开始创建deployment。 deployment "nginx" created 步骤 4 查看deployment状态。 kubectl get pods deployment状态显示为Running，表示deployment已创建成功。 NAME READY STATUS RESTARTS AGE icagentm9dkt 0/0 Running 0 3d nginx1212400781qv313 1/1 Running 0 3d 参数解析： NAME：pod的名称 READY：已经部署完毕的pod副本数 STATUS：状态 RESTARTS：重启次数 AGE：已经运行的时间 步骤 5 若工作负载（即deployment）需要被访问（集群内访问或节点访问），您需要设置访问方式，具体请参见8 网络管理创建对应服务。

控制台功能 依赖服务 需配置角色/策略 具体功能 管理中心 BSS bss:coupon:view bss:renewal:update bss:discount:view bss:order:view bss:order:pay bss:order:update 创建增量包或DataArts Studio实例 管理中心 KMS kms:cmk:get kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 管理中心 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail 创建DWS数据连接 管理中心 MRS mrs:cluster:get mrs:cluster:list 创建MRS数据连接 管理中心 VPC vpc:publicIps:get vpc:publicIps:list vpc:vpcs:get vpc:port:get vpc:subnets:get 创建MRS数据连接 管理中心 RDS rds::get rds::list 创建RDS数据连接 数据集成 VPC vpc:publicIps:get vpc:publicIps:list vpc:vpcs:get vpc:vpcs:list vpc:port:get vpc:subnets:get vpc:securityGroups:get vpc:firewalls:list vpc:routeTables:list vpc:subNetworkInterfaces:list 创建CDM集群或DataArts Studio实例 数据集成 ECS ecs:flavors:get ecs:cloudServerFlavors:get ecs:availabilityZones:list 创建CDM集群或DataArts Studio实例 数据集成 CDM cdm:cluster:create 创建CDM集群 数据集成 KMS kms:cmk:get kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 数据集成 MRS mrs:cluster:get mrs:cluster:list mrs:job:get mrs:job:list 创建MRS数据连接 数据集成 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail 创建DWS数据连接 数据集成 CDM cdm:cluster:get cdm:cluster:list cdm:link:operate cdm:job:operate 通过CDM控制台操作时，需要CDM服务权限 数据集成 CES ces::get ces::list 查看CES监控 数据集成 CSS css::get css::list 创建CSS连接 数据集成 CloudTable cloudtable::get cloudtable::list 创建CloudTable连接 数据集成 RDS rds::get rds::list 创建RDS连接 数据集成 RMS rms:resources:list 创建CDM集群 数据开发 OBS obs:object:GetObject obs:object:PutObject obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:bucket:CreateBucket 运行脚本、运行作业以及备份作业 数据开发 SMN smn:topic:publish smn:topic:list 作业通知 数据开发 KMS kms:cmk:get kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 数据开发 MRS mrs:cluster:get mrs:cluster:list mrs:job:submit mrs:job:delete mrs:job:stop mrs:sql:execute mrs:sql:cancel mrs:job:get mrs:job:list MRS类型作业节点运行： MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL 数据开发 DLI dli:queue:submitJob dli:jobs:create dli:jobs:update dli:jobs:get dli:jobs:list dli:jobs:listAll DLI类型作业节点运行： DLI SQL、DLI Spark 数据开发 OBS obs:object:GetObject obs:object:PutObject obs:object:DeleteObject obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:bucket:ListBucketVersions obs:bucket:CreateBucket obs:bucket:DeleteBucket OBS类型作业节点运行： Create OBS、Delete OBS、OBS Manager 数据开发 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail 创建DWS数据连接 数据开发 CDM cdm:cluster:get cdm:cluster:list cdm:job:operate 数据连接需要Agent的相关脚本、作业，以及CDM作业运行： RDS SQL、DWS SQL、Hive SQL、SPARK SQL、Shell、Python 数据开发 CES ces:metricData:list 运维概览，查询DLI队列CPU 数据开发 GES ges:graph:access ges:graph:operate ges:graph:list ges:graph:getDetail ges:metadata:create ges:metadata:operate ges:metadata:delete ges:metadata:list ges:metadata:getDetail ges:jobs:list ges:jobs:getDetail Import GES作业节点运行 数据开发 ECS ecs:servers:list ecs:servers:get ecs:servers:stop ecs:servers:start ecs:cloudServers:list Open/Close Resource作业节点运行，创建主机连接 数据开发 DLI dli:queue:submitJob dli:queue:cancelJob dli:group:useGroup dli:group:getGroup dli:group:updateGroup dli:group:deleteGroup dli:group:listAllGroup dli:database:createDatabase dli:database:dropDatabase dli:database:displayDatabase dli:database:displayAllDatabases dli:database:explain dli:database:createView dli:database:createTable dli:database:displayAllTables dli:database:createFunction dli:database:describeFunction dli:database:showFunctions dli:database:dropFunction dli:table:select dli:table:update dli:table:delete dli:table:dropTable dli:table:describeTable dli:table:showCreateTable dli:table:showPartitions dli:table:showSegments dli:table:showTableProperties dli:table:insertOverwriteTable dli:table:insertIntoTable dli:table:compaction dli:table:truncateTable dli:table:alterView dli:table:alterTableRename dli:table:alterTableAddColumns dli:table:alterTableDropColumns dli:table:alterTableChangeColumn dli:table:alterTableSetLocation dli:table:alterTableAddPartition dli:table:alterTableRenamePartition dli:table:alterTableSetProperties dli:table:alterTableRecoverPartition dli:table:alterTableDropPartition dli:column:select dli:jobs:create dli:jobs:delete dli:jobs:start dli:jobs:stop dli:jobs:update dli:jobs:export dli:jobs:get dli:jobs:list dli:jobs:listAll dli:resource:useResource dli:resource:updateResource dli:resource:deleteResource dli:resource:getResource dli:resource:listAllResource dli:variable:update dli:variable:delete DLI类型作业/脚本运行 数据开发 IAM iam:agencies:listAgencies 获取作业委托 数据开发 DIS DIS Operator DIS User DIS类型作业节点运行： DIS Stream、DIS Dump、DIS Client 数据开发 SWR SWR Admin 仅当在数据开发组件作业中使用 DLI Spark 节点选择自定义镜像时，需要容器镜像服务中的镜像读取权限。 推荐通过，添加所需镜像的读取权限。不推荐直接为用户授予SWR Admin系统角色， 可能存在权限过大的风险。 数据目录 OBS obs:object:GetObject obs:bucket:GetBucketStorage obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket OBS元数据采集 数据目录 DIS dis:streams:list dis:transferTasks:list DIS元数据采集 数据目录 CSS css:cluster:list CSS元数据采集 数据目录 GES ges:graph:list ges:graph:getDetail ges:metadata:list ges:metadata:getDetail GES元数据采集 数据目录 DLI dli:database:displayDatabase dli:database:displayAllDatabases dli:table:select dli:table:describeTable dli:table:showPartitions dli:table:showTableProperties dli:jobs:create dli:jobs:get DLI元数据采集&数据概要分析 数据目录 CDM cdm:cluster:list CSS元数据采集 数据质量 SMN smn:topic:publish smn:topic:list 配置作业通知 数据质量 OBS obs:object:GetObject obs:object:PutObject obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:bucket:CreateBucket 导出质量报告 数据质量 MRS mrs:job:submit mrs:sql:execute mrs:sql:cancel mrs:job:get MRS质量作业运行 数据质量 DLI dli:queue:submitJob dli:jobs:get dli:jobs:listAll DLI质量作业运行 数据安全 DLI dli:queue:submitJob dli:queue:cancelJob dli:database:displayDatabase dli:database:displayAllDatabases dli:database:displayAllTables dli:table:describeTable dli:jobs:create dli:jobs:stop dli:jobs:get dli:resource:deleteResource dli:resource:getResource dli:resource:listAllResource DLI权限管控 数据安全 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail DWS权限管控 数据安全 MRS mrs:cluster:list mrs:job:submit mrs:job:stop MRS权限管控 数据安全 KMS kms:cmk:list kms:cmk:encrypt kms:cmk:decrypt 使用KMS加解密 数据安全 CDM 任意cdm权限，例如cdm:cluster:get DWS和MRS权限管控

项目 配置项 说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64 字符。 基本信息 动作 支持“动态脱敏”或“允许访问”。 客户端 客户端来源 访问业务类型的客户端IP或IP组。 支持多个IP，使用逗号“,”分隔，例：10.10.1.1,10.10.1.2 支持子网掩码配置，例：10.10.1.1/24 支持IP 段配置，例：10.1.1.1010.1.1.20 。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端工具名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可配多个客户端工具名，使用逗号“,”分隔，例：db2bp.exe,javaw.exe,plsqldev.exe。 客户端 操作系统用户 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端 客户端主机名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端 密码桥账号 支持下拉框选择，需要存在支持密码代填的运维人员。 若不支持密码代填的数据库配置该项后会导致规则匹配失效。 服务端 数据库账号 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 行为 敏感数据 可选择“数据级别”或“敏感数据类型” 行为 数据级别 指定什么敏感数据等级需要触发脱敏，可选级别一级、二级、三级、四级、五级，可单选或多选。 行为 敏感数据类型 指定什么敏感数据类型需要触发脱敏，可选内置类型或后续新增的类型，类型间为“或”的关系，可单选或多选。 行为 操作类型 指定什么操作类型需要触发脱敏，支持的操作类型有Select、Update、Merge、With、Replace、InsertIntoTableSelect、Create(Materialized) View、CreateTableAsSelect。 其它 生效时间 可自定义或者选择时间组。自定义时间可选择任意时间、每天、每周或每月。

本文为您介绍容器安全卫士的基本概念。 容器 容器（Container）是一个视图隔离、资源可限制、独立文件系统的进程集合。它类似于虚拟机，但更轻量，可以在应用程序之间共享操作系统。 “视图隔离”是指能够看到部分进程以及具有独立的主机名等；控制资源使用率则是可以对内存大小以及CPU 使用个数等进行限制。常见的容器引擎包括Docker、Containerd等。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源等文件外，还包含了一些为运行准备的配置参数（如环境变量）。 镜像是容器的模板，而容器是镜像的实例。镜像是静态的，而容器是动态的。 仓库镜像是指存储在镜像仓库内的镜像，节点镜像是指存储在集群节点上的镜像。 仓库 仓库（Repository）是集中存储和分发容器镜像文件的场所，分为公共仓库和私有仓库。 集群 集群特指容器集群，即Kubernetes（简称k8s）集群或基于Kubernetes衍生的企业定制版（例如Openshift集群），由一套Kubernetes系统管理的多台服务器形成一个集群。 Kubernetes是一个容器的编排和管理系统，提供服务发现、弹性伸缩、负载均衡、故障自愈等功能。 Kubernetes将集群中的服务器划分为Master（控制节点）和Node（计算节点）： Master节点上运行着集群管理相关的一组进程，例如etcd、kubeapiserver、kubecontrollermanager和kubescheduler，这些进程实现了整个集群的资源管理、Pod调度、弹性伸缩、安全控制、系统监控和纠错等管理能力，并且都是全自动完成的。 Node作为集群中的计算节点，运行上层业务应用程序，在Node上Kubernetes管理的最小运行单元是Pod。Node上运行着Kubernetes的kubelet、kubeproxy服务进程，这些服务进程负责Pod的创建、启动、监控、重启、销毁以及实现软件模式的负载均衡器。

本小节介 云解析其它平台解析域名无缝迁移至云解析（平滑迁移）最佳实践。 提供域名解析的服务商都要求修改DNS，但修改DNS是存在解析中断的风险的。为了避免风险，凡计划使用云解析的用户，我们建议用户做如下操作。 准备工作 1. 联系原DNS服务商导出解析记录。 2. 从云解析平台下载《导入解析记录模板》，按模板填写要求，将整理后的解析记录类型为A、AAAA、CNAME的记录填写在模板中。 1. 登录云解析平台，在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。界面最下方为“解析记录批量操作”功能模块。 2. 点击“下载模板”下载《导入解析记录模板》。 3. 根据模板格式填写主机名、记录类型、线路类型、记录值、TTL等信息。 操作步骤 1. 通过天翼云购买解析服务。 2. 在天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 1. 在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。 2. 将《导入解析记录模板》数据批量导入云解析平台。点击“上传文件”将填写好的模板文件上传至平台，平台将根据操作情况反馈上传结果。 3. 手动添加无法批量导入的解析记录。 3. 检查解析记录是否同原数据一致，避免遗漏。 4. 修改DNS。解析记录设置完成后，需要到域名所在注册商处，将DNS修改为云解析指定的DNS服务器。 5. 等待解析生效。预计4872小时完成缓存刷新，这是由于各地Localdns服务器的域名缓存失效时间长短不一，需要等各地Localdns服务器主动来更新该域名最新DNS服务器地址，才可逐步实现全网生效。 6. 在缓存刷新的4872小时内，DNS解析仍有可能向原DNS发起DNS查询，所以原DNS服务商中的解析记录数据建议保留一周后删除。

本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

本页介绍天翼云TeleDB数据库连接设置相关参数。 listenaddresses (string) 指定服务器在哪些TCP/IP 地址上监听客户端连接。值的形式是一个逗号分隔的主机名和/或数字 IP 地址列表。特殊项对应所有可用 IP 接口。项0.0.0.0允许监听所有 IPv4 地址并且::允许监听所有 IPv6 地址。如果列表为空，服务器将根本不会监听任何 IP 接口，在这种情况中只能使用 Unix 域套接字来连接它。默认值是localhost，它只允许建立本地 TCP/IP “环回”连接。虽然客户端认证允许细粒度地控制谁能访问服务器，listenaddresses控制哪些接口接受连接尝试，这能帮助在不安全网络接口上阻止重复的恶意连接请求。这个参数只能在服务器启动时设置。 port (integer) 服务器监听的TCP 端口；默认是 5432 。请注意服务器会同一个端口号监听所有的 IP 地址。这个参数只能在服务器启动时设置。 maxconnections (integer) 决定数据库的最大并发连接数。默认值通常是100 个连接，但是如果内核设置不支持（initdb时决定），可能会比这个数少。这个参数只能在服务器启动时设置。当运行一个后备服务器时，你必须设置这个参数等于或大于主服务器上的参数。否则，后备服务器上可能无法允许查询。 superuserreservedconnections (integer) 决定为TeleDB超级用户连接而保留的连接“槽”数。同时活跃的并发连接最多maxconnections个。任何时候，活跃的并发连接数最多为maxconnections减去 superuserreservedconnections，新连接就只能由超级用户发起了，并且不会有新的复制连接被接受。默认值是 3 。这个值必须小于maxconnections的值。 这个参数只能在服务器启动时设置。

使用Flink客户端（MRS 3.x及之后版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行如下命令初始化环境变量。 source/opt/hadoopclient/bigdataenv 4.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.登录Manager，下载认证凭据。 登录集群的Manager界面，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本），选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/hadoopclient/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.将客户端安装节点的业务IP、Manager的浮动IP和Master节点IP添加到配置文件“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中的“jobmanager.web.accesscontrolalloworigin”和“jobmanager.web.allowaccessaddress”配置项中，IP地址之间使用英文逗号分隔。 jobmanager.web.accesscontrolalloworigin: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx 说明 客户端安装节点的业务IP获取方法： 集群内节点： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看安装客户端所在的节点IP。 集群外节点：安装客户端所在的弹性云主机的IP。 Manager的浮动IP获取方法： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示MRS Manager浮动IP地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到MRS Manager的浮动IP地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 e.配置安全认证，在“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/hadoopclient/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.参考“组件操作指南 > 使用Flink > 参考 > 签发证书样例”章节生成“generatekeystore.sh”脚本并放置在Flink的客户端bin目录下，执行如下命令进行安全加固，请参考“组件操作指南 >使用Flink > 安全加固 > 认证和加密”，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中关于SSL的值。 sh generatekeystore.sh 说明 执行认证和加密后会在Flink客户端的“conf”目录下生成“flink.keystore”和“flink.truststore”文件，并且在客户端配置文件“flinkconf.yaml”中将以下配置项进行了默认赋值： 将配置项“security.ssl.keystore”设置为“flink.keystore”文件所在绝对路径。 将配置项“security.ssl.truststore”设置为“flink.truststore”文件所在的绝对路径。 将配置项“security.cookie”设置为“generatekeystore.sh”脚本自动生成的一串随机规则密码。 默认“flinkconf.yaml”中“security.ssl.encrypt.enabled: false”，“generatekeystore.sh”脚本将配置项“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值设置为调用“generatekeystore.sh”脚本时输入的密码。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 −绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/hadoopclient/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 −相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/hadoopclient/Flink/flink/conf/”目录下新建目录，例如ssl。 cd /opt/hadoopclient/Flink/flink/conf/ mkdir ssl ii. 移动flink.keystore和flink.truststore文件到“/opt/hadoopclient/Flink/flink/conf/ssl/”中。 mv flink.keystore ssl/ mv flink.truststore ssl/ iii. 修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore 5.运行wordcount作业。 须知 用户在Flink提交作业或者运行作业时，应具有如下权限： 如果启用Ranger鉴权，当前用户必须属于hadoop组或者已在Ranger中为该用户添加“/flink”的读写权限。 如果停用Ranger鉴权，当前用户必须属于hadoop组。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/hadoopclient/Flink/flink/conf/”，则在“opt/hadoopclient/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 6. 作业提交成功后，客户端界面显示如下。 详见下图：在Yarn上提交作业成功 详见下图：启动session成功 详见下图：在session中提交作业成功 7. 使用运行用户进入Yarn服务的原生页面，具体操作参考“组件操作指南 >使用Flink > 查看Flink作业”，找到对应作业的application，单击application名称，进入到作业详情页面 若作业尚未结束，可单击“Tracking URL”链接进入到Flink的原生页面，查看作业的运行信息。 若作业已运行结束，对于在session中提交的作业，可以单击“Tracking URL”链接登录Flink原生页面查看作业信息。 详见下图： application

本节介绍了分布式消息服务RabbitMQ产品常见的名词解释。 Vhost 虚拟主机（Virtual Host），类似于Namespace命名空间的概念，逻辑隔离，每个用户里可以创建多个Vhost，每个Vhost可以创建若干个Exchange和Queue。 Queue 消息队列，每个消息都会被投入到一个或者多个Queue里。 Producer 消息生产者，即投递消息的程序。 Consumer 消息消费者，即接受消息的程序。 Connection TCP 连接，Producer 或 Consumer 与消息队列间的物理 TCP 连接。 Connection将应用与分布式消息服务RabbitMQ连接在一起。Connection会执行认证、IP解析、路由等底层网络任务。应用与分布式消息服务RabbitMQ建立Connection需要多个TCP报文交互，因而会消耗较多的网络资源和分布式消息服务RabbitMQ资源。大量的Connection会对分布式消息服务RabbitMQ造成巨大压力，甚至触发分布式消息服务RabbitMQ SYN洪水攻击防护，导致分布式消息服务RabbitMQ无响应，进而影响业务。 Channel 在客户端的每个物理TCP连接里，可建立多个Channel，每个Channel代表一个会话任务。 Channel是物理TCP连接中的虚拟连接。当应用通过Connection与分布式消息服务RabbitMQ建立连接后，所有的AMQP协议操作（例如创建队列、发送消息、接收消息等）都会通过Connection中的Channel完成。Channel可以复用Connection，即一个Connection下可以建立多个Channel。Channel不能脱离Connection独立存在，而必须存活在Connection中。当某个Connection断开时，该Connection下的所有Channel都会断开。当大量应用需要与分布式消息服务RabbitMQ建立多个连接时，建议您使用Channel来复用Connection，从而减少网络资源和分布式消息服务RabbitMQ资源消耗。 Connection和Channel的使用建议 保持Connection长连接，请勿频繁开启或关闭Connection。如果确实需要频繁开启或关闭连接，请使用Channel。 一个进程对应一个Connection，一个进程中的多个线程则分别对应一个Connection中的多个Channel。 Producer和Consumer分别使用不同的Connection进行消息发送和消费。

本文主要介绍NGINX Ingress控制器。 插件简介 Kubernetes通过kubeproxy服务实现了Service的对外发布及负载均衡，它的各种方式都是基于传输层实现的。在实际的互联网应用场景中，不仅要实现单纯的转发，还有更加细致的策略需求，如果使用真正的负载均衡器更会增加操作的灵活性和转发性能。 基于以上需求，Kubernetes引入了资源对象Ingress，Ingress为Service提供了可直接被集群外部访问的虚拟主机、负载均衡、SSL代理、HTTP路由等应用层转发功能。 Kubernetes官方发布了基于Nginx的Ingress控制器，NGINX Ingress控制器是一款使用configmap来存储nginx配置的插件，nginx ingress controller会将ingress生成一段nginx的配置，将这个配置通过Kubernetes API写到Nginx的Pod中，然后reload完成nginx的配置修改和更新。 NGINX Ingress控制器插件直接使用社区模板与镜像，CCE不提供额外维护，不建议用于商用场景。 开源社区地址： 说明 安装该插件时，您可以通过“定义nginx配置”添加配置，此处的设置将会全局生效，该参数直接通过配置nginx.conf生成，将影响管理的全部Ingress，相关参数可通过 安装该插件后，您在CCE控制台创建Ingress时可以开启“对接Nginx”按钮，并通过“Nginx配置”下的“自定义配置”将Kubernetes annotations添加到特定的Ingress对象，以自定义其行为，Kubernetes annotations字段详情请参见 请勿手动修改和删除CCE自动创建的ELB和监听器，否则将出现工作负载异常；若您已经误修改或删除，请卸载Nginx Ingress插件后重装。