本页介绍天翼云TeleDB数据库高效的SQL计算能力。 SQL计算能力是指根据业务SQL生成最优执行计划，通过算子下推、并行执行和RDA等技术，提升分布式执行效率。 算子下推： 在Sharding的单节点执行或当增删改查等不需要DN节点间数据交互的场景下，CN节点将SQL直接下发至DN跨节点执行。 在关联查询等需要DN节点间数据交互的场景下，CN将执行计划下发给DN，DN间通过RDA网络框架完成数据重分布。 并行执行：节点间支持DDL、DML等SQL语句并行执行；节点内支持基于数据页的并行查询。 RDA（ Remote Data Access ）：RDA模块实现的重分布逻辑分为三个模块，分别是RDA算子模块，Backend和Forwarder模块之间通信的内存管理模块，网络通信模块Forwarder。 RDA(Remote Data Access)算子是指进行远程数据访问的数据库算子。其生命周期中包括RDAInit、RDAExec和RDAEnd。 RDAInit：在RDAInit阶段，初始化RDA算子所需的资源，包括数据缓冲区和共享内存文件，把共享内存文件名通过Socket发送给本节点forwarder进程。 RDAExec：在RDAExec阶段，RDA算子需要完成两方面的工作：1.数据在集群范围内的分发，每扫到数据，则按重分布键计算Dest节点，确定相应共享内存对象和缓冲区；先尝试把数据写共享内存，供forwarder进程读取；若写失败，则写缓冲区。2.算子拉取远端数据进行本地计算，根据Src节点，确定相应共享内存对象和缓冲区；从共享内存读取数据并写入缓冲区，从缓冲区读取一行数据进行计算。 RDAEnd：在RDAEnd阶段，关闭RDA算子资源，包括通知本地forwarder进程结束共享内存数据监听、清理算子使用的缓冲区、关闭共享内存文件，然后结束算子运行。使用64位的全局sequence作为RDA算子的名字，sequence名字为rdaid。该sequence在系统初始化阶段创建，需要考虑多个节点创建。 Backend和Forwarder模块之间通过共享内存进行通信。 每个RDA对应一个共享内存块，包含发送通道、接收通道共享内存，每个通道包含基本的通道信息和一个通信用的循环队列。每个共享内存块对应一个mmap文件，RDA开始通信时创建文件，通信结束关闭，对应的文件在ResourceOwner中管理，在事务结束时一起删除。常发生时有可能导致对应的文件不能删除，startup日志重放结束后清空该目录。 网络通信模块Forwarder通过Socket在不同RDA之间传输数据。数据在集群范围内的分发，下层算子的扫描数据tuple，计算重分布，若是本地处理的则保留，可返回给上层算子；若不是本地处理的，则根据destnodeid写入到共享内存或缓存tuplestore，供forwarder进程读取。算子拉取远端数据进行本地计算，根据Src节点，确定相应共享内存对象和缓冲区；从共享内存读取数据并写入缓冲区，从缓冲区读取一行数据进行计算。 RDA主要用于解决重分布场景的进程数暴增问题，DN节点间数据传输走RPC，每个Datanode只会有1个会话进程。 SQL计算具体执行过程如下： 1. 业务应用下发SQL给CN节点 ，其中SQL可以包含对数据的增（insert）、删（delete/drop）、改（update）、查（select）。 2. CN节点利用数据库的优化器生成执行计划，每个DN节点会按照执行计划的要求去处理数据。 3. 为确保数据均匀分布在每个DN节点，DN节点之间需进行数据传递。 说明 因为数据是通过一致性Hash技术均匀分布在每个节点，因此DN节点在处理数据的过程中，可能需要从其他DN节点获取数据。同时，TeleDB可通过RDA网络框架降低数据重分布的资源消耗。 4. DN节点将结果集返回给CN节点进行汇总。 5. CN节点将汇总后的结果返回给业务应用。

本文帮助您快速熟悉如何创建跨账户对等连接。 操作场景 对等连接支持创建跨账号对等连接连通跨账号的两个VPC，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠的情况，可能会出现VPC中部分或全部子网不能通过对等连接互通的情况，具体请参考对等连接使用示例。 创建不同账户下的VPC对等连接时，如果本端账户发起了对等连接请求，该请求需要对端账户接受方可成功创建。若对端账户拒绝请求，则对等连接将无法建立。为确保网络安全，请勿接受来自未知账户的对等连接申请。 前提条件 在不同账号下分别创建同地域内的两个VPC，并获取对端账户邮箱和对端VPC ID。 说明 VPC ID 可以通过登录 /vpc/vpcList 获取。登录虚拟私有云控制台后，在虚拟私有云列表中点击目标 VPC 名称进入 VPC 详情页,在 VPC 详情部分可以查看具体的资源信息。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“其他账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择其他账户。 选择对端VPC 对端账户 对端账户邮箱地址 选择对端VPC 对端VPC ID 对端VPC ID，可在VPC详情页面查看。 6. 配置完成后，点击“确定”。 7. 返回到对等连接列表，可查看该对等连接的状态为“待接受”。 注意 创建跨账户的对等连接时，需要对端VPC所属的账号接受连接请求后，才能在两个VPC之间建立跨账号的对等连接。

网络与负载均衡 表 网络与负载均衡 高危操作 导致后果 误操作后解决方案 修改内核参数net.ipv4.ipforward0 网络不通 修改内核参数为net.ipv4.ipforward1 修改内核参数net.ipv4.tcptwrecycle1 导致nat异常 修改内核参数net.ipv4.tcptwrecycle0 修改内核参数net.ipv4.tcptwreuse1 导致网络异常 修改内核参数net.ipv4.tcptwreuse0 节点安全组配置未放通容器CIDR的53端口udp 集群内DNS无法正常工作 参照购买CCE集群的安全组进行修复，放通安全组。 通过ELB的控制台在CCE管理的ELB创建自定义的监听器 所做修改被CCE侧重置或Ingress故障 通过service的yaml来自动创建监听器。 通过ELB的控制台在CCE管理的ELB绑定自定义的后端 禁止手动绑定后端。 通过ELB的控制台修改CCE管理的ELB的证书 通过ingress的yaml来自动管理证书。 通过ELB的控制台修改CCE管理的ELB监听器名称 禁止修改CCE管理的ELB监听器名称。 通过ELB的控制台修改CCE管理的ELB实例、监听器、转发策略的描述 禁止修改CCE管理的ELB实例、监听器、转发策略的描述。 删除defaultnetwork的networkattachmentdefinitions的crd资源 容器网络不通，集群删除失败等 误删除该资源需要使用正确的配置创建defaultnetwork资源。

规范 规范说明 级别 备注 业务数据分离 防止由于Redis故障或不可用影响所有相关业务收到干扰 建议 业务数据分离，避免多个应用使用一个Redis实例，不相干的业务拆分，公共数据做服务化。 完善redis的容错处理 缓存可能会遇到基础设施的故障或主备切换，应用需要对可能的故障和慢请求做容错处理。 建议 缓存访问失败时，具备降级措施，从DB获取数据；或者具备容灾措施，自动切换到另一个Redis使用。 避免redis内存使用量超过80% 虽然云主机会有一定的内存冗余，但是redis内存过高时，redis全量持久化时引入的COPYONWRITE机制带来额外的内存消耗，再加上大内存带来的内存碎片和云主机相关的管理进程消耗，容易触发操作系统OOM KILL。 强制 建议及时做扩容处理。 防止缓存击穿 防止缓存击穿，推荐搭配本地缓存使用Redis，对于热点数据建立本地缓存。本地缓存数据使用异步方式进行刷新。 建议 就近部署业务 避免网络延迟将极大影响读写性能，如果对于时延较为敏感，请避免使用跨AZ Redis实例。 建议 不当成消息队列 发布订阅场景下，不建议作为消息队列使用。redis的PUB/SUB支持的性能有限。 强制 如果需要消息队列，建议改用kafka或rabbitmq。

本章主要介绍概述 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云主机上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图1 通过内网连接实例 步骤一： 创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二： 设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三： 通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本页介绍部署环境时，需使用的硬件、网络和基础环境等等。 在部署环境之前，硬件、网络及基础环境必须满足如下要求： 服务器芯片：支持国产鲲鹏、海光、龙芯 服务器规格：4C8G及以上 磁盘：推荐1T及以上，实例节点服务器建议使用SSD 网络:千兆网络，实例节点服务器建议万兆网卡 操作系统版本：麒麟V10 SP3、统信V20 部署机器SSH 版本要求 7.4以上 最小化部署主机数量：TeleDB控制台一台主机，实例主机至少两台， 最小化资源部署需要三台主机 主机规格要求：控制台主机系统为centos7.6+intelx86 ，8c16g以上，建议为8c32g，实例主机系统可选择centos7.6+intelx86或者ctyunos201+鲲鹏920 准备一个数据盘，控制台主机建议500G，实例主机根据数据量判断 主机名 规格 目录及大小 系统及CPU类型 说明 A机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装TeledbDB控制台 B机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机 C机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对VPN连接资源的访问。 操作步骤 1、创建用户组和IAM用户 1、创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2、创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 2、创建自定义策略 天翼云提供了访问VPN连接资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

本文为您介绍停用告警规则的操作场景、前提条件和操作步骤。 操作场景 当您的告警规则临时需要停用时，您可以在控制台停用此告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击告警规则所在行“操作”列的“停用”，在弹出的“停用”界面，单击“确定”按钮，可以停用告警规则。 6. 或在“告警规则”界面，可勾选多个告警规则，单击批量“停用”，在弹出的“停用”界面，单击“确定”按钮，可以批量停用多个告警规则。

本文为您介绍删除告警规则的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或告警规则不需要使用时，您可以删除该告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击告警规则所在行“操作”列的“删除”，在弹出的“删除告警规则”界面，单击“确定”，可以删除告警规则。 6. 或在“告警规则”界面，可勾选多个告警规则，单击“删除”，在弹出的“删除告警规则”界面，单击“确定”，可以删除多个告警规则。

本文介绍如何通过Annotation配置负载均衡类型的服务。 通过在Service的Yaml文件中配置注解Annotation，您可以对天翼云负载均衡、监听转发等进行配置，本文介绍LoadBalancer类型Service支持配置的Annotation。 注解说明 注解名称 描述 示例 支持的CCM版本 ervice.beta.kubernetes.io/ctyunloadbalanceraddresstype 指定新建负载均衡的公网私网类型，取值： intranet：负载均衡地址类型为私网，intranet为默认值 internet：负载均衡地址类型为公网 internet v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerbandwidth 计费类型为“bandwidth”时，可指定带宽的大小，值为数字类型，默认为1 Mbps 5 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerchargetype 指定创建公网负载均衡时，公网的计费类型，取值： bandwidth：按带宽计费 traffic：按流量计费，traffic为默认值 traffic v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancercyclecount 指定负载均衡的计费周期，值为数字类型，表示购买月数，默认为1个月 1 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancereipid 指定新建公网负载均衡时，可指定绑定已有的弹性IP，取值为弹性IP的ID，可在网络控制台的弹性IP详情页面查看ID v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerenableipv6 指定新建负载均衡时，可指定开启负载均衡的ipv6 "true" v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerenablelistenernat64 指定支持ipv6的负载均衡时，可指定开启监听器的nat64，支持负载均衡将ipv6流量转发到ipv4的后端 "true" v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerid 指定已有负载均衡，取值为负载均衡实例的ID。删除service时该 ELB不会被删除 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6address 指定新建支持ipv6的负载均衡时，可指定负载均衡的ipv6地址（该地址为负载均衡所在子网的ipv6地址段中未被分配的ip），未指定则由系统随机分配 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6bandwidthid 指定新建支持ipv6的公网负载均衡时，需指定IPv6带宽ID，可在网络控制台的IPv6带宽详情页面查看ID。如果没有IPv6带宽，请先创建一个 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners 指定已有负载均衡时，可指定是否强制覆盖已有监听 "true" v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprojectid 指定新建负载均衡所属的企业项目，取值为企业项目ID，可在IAM控制台中企业项目详情查看ID 0 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprotocolport 指定负载均衡监听HTTP协议或HTTPS协议，可指定多个监听，多个监听之间以逗号“,”分割 https:443,http:80 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerspec 指定新建负载均衡的规格，如elb.s2.small elb.s2.small v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancersslcert 指定SSL证书，取值为SSL证书ID，可在负载均衡控制台的证书管理页面查看证书ID。 仅监听协议为HTTPS协议时需要指定 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor 指定负载均衡监听器附加XForwardedFor头字段，通过开启该参数，后端服务可获取客户端源IP。取值为“true”或“false” 仅支持监听协议为HTTP和HTTPS协议 "true" v1.1.1及以上

本文提供了天翼云AOne会议隐私和信息处理规则查看地址。 天翼云AOne会议隐私和信息处理规则，详情请参见这里。

本文提供了包括IPv4和IPv6不同组网环境下VPC对等连接配置的示例供您参考,帮助您了解如何在不同的场景下配置对等连接。 由于同资源池不同VPC之间默认内网隔离，若需要使它们之间内网互通可使用对等连接将两个VPC内网连通。若需要连接跨地域的VPC，您可以考虑使用云间高速服务。请结合您的实际需求，选择适当的网络连接方式。 以下是针对在云环境下建立对等连接时可能遇到的网络地址冲突问题的三种情况，以及相应的对等连接配置示例。 情况 配置示例 VPC网段和子网网段均不重叠 通过对等连接实现两个VPC全地址段互通。具体请参考指向整个VPC网段的对等连接配置。 VPC网段重叠且部分子网网段重叠 通过对等连接实现两个VPC中指定子网互通，对等连接两端VPC中需要互通的子网网段不用重叠。具体请参考指向VPC子网的对等连接配置。 通过对等连接实现两个VPC内指定弹性云主机互通，对等连接互通的弹性云主机实例的私有IP地址不能相同。具体请参考指向VPC内云主机的对等连接配置。 VPC网段和全部子网网段均重叠 无法通过创建对等连接来实现VPC之间的通信。具体请参考无效的VPC对等连接配置。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 一、访问授权 1、管理员登录堡垒机。 2、左侧菜单选择“授权管理>资产访问授权”。 3、选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 二、命令授权 1、左侧菜单选择“授权管理 > 字符命令授权”。 2、在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3、在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4、配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5、文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6、数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

参数 是否必填 参数类型 说明 示例 下级对象 azInfo 是 Array of Objects 可用区信息 azInfo vpcUuid 是 String VPC UUID，在网络控制台查看 subnetUuid 是 String 子网UUID，在网络控制台查看 securityGroupUuid 是 String 安全组UUID，在网络控制台查看 clusterName 是 String 实例名称 cpuNum 是 Integer CPU核数，取值为2，4，8，12，16 memSize 是 Integer 内存大小，单位GB，取值为4，8，12，24，32 nodeNum 是 Integer 代理数，仅集群版需要，取值为3到9 hostType 否 String 主机类型，S为通用型，C为增强型，默认为计算增强型 seriesType 否 String 实例系列：单机版填single，默认为集群版 表 azInfo

本章节主要介绍数据治理中心的配置HDFS连接功能。 目前CDM支持连接的HDFS数据源有以下几种： MRS HDFS FusionInsight HDFS Apache HDFS MRS HDFS 连接MRS上的HDFS数据源时，相关参数详见表MRS上的HDFS连接参数。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HDFS连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshdfslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE 运行模式 选择HDFS连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 Agent：连接实例运行在Agent上。 若不使用AGENT运行模式，且在一个CDM中同时连接两个及以上开启Kerberos认证且realm相同的集群，只能使用EMBEDDED运行模式连接其中一个集群，其余需使用STANDALONE。 STANDALONE Agent 单击“选择”，选择连接Agent中已创建的Agent。运行模式选择Agent时显示此参数。 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hdfs01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本文带您了解NAT网关的功能特性。 使用SNAT主动访问Internet 使用NAT网关的SNAT功能，构建VPC主动访问公网出口，使VPC内没有弹性IP的资源可以直接访问公网，实现云内主机共享使用弹性IP访问Internet。 使用DNAT面向Internet提供服务 使用NAT网关的DNAT端口级转换功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络结构。 可视化运维 结合弹性IP和NAT网关监控，可对出入网流量进行可视化主动运维。及时发现网络瓶颈，保障业务永续服务，让运维更简单。 使用私网NAT网关 SNAT实现指定地址访问IDC 使用私网NAT网关的SNAT功能，可实现云上VPC内计算实例使用统一私网中转IP地址与IDC互访，IDC网络仅需向中转IP地址开放访问权限，无需感知云上VPC内网络地址明细信息。 使用私网NAT网关 DNAT实现使用指定私网地址开放VPC私网服务 使用私网NAT网关的DNAT功能，可实现云上VPC内计算实例使用同一私网中转IP地址开放服务，避免暴露VPC真实地址，实现网络的安全隔离。

本文帮助您了解如何查看对象存储相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 ZOS支持数据监控功能，您可以通过云监控获得用户维度和桶维度的各种指标信息，支持查看各个存储类型（标准、低频、归档）和冗余类型（单AZ、多AZ）下的细颗粒度统计数据。 约束与限制 云监控服务不需要开通，会在用户创建资源ZOS后自动启动。 云监控支持的资源池请参见产品能力地图。 存储桶维度的监控 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择杭州7。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表选择需要查看监控的bucket，并点击该bucket右侧的"监控"。 5. 在监控数据界面中，可查看该存储桶的各项监控指标，分别为总存储容量、总对象数量、本月公网流出流量、本月请求次数、公网流出流量、公网流入流量、内网流出流量、内网流入流量、平均使用带宽、公网请求次数、内网请求次数、有效请求率、数据取回流量、操作分类平均延时、操作分类最大延时、成功请求操作分类。 注意 对于公共资源池中的地域，如华东华东1，您可以在天翼云官网首页点击产品迁移及管理管理工具云监控管理控制台，直接在云监控产品中，选择对象存储监控，通过切换地域的方式，来查看地域内各项监控指标。

$%^&()+ <>?:{},./;'[,]·！@ ￥%……&（） —— +{},。 instanceType：服务后端实例类型，vm:虚机类型,bm:物理机,vip:vip类型,lb:负载均衡类型, 这里需要填vm。 instanceID：第5点展示的Node ID。 subnetID：服务后端子网id。 autoConnection：是否自动连接，true 表示自动链接，这里需要填true。 rules：节点服务规则。 protocol：协议，TCP:TCP协议,UDP:UDP协议。 serverPort：服务端口(用于创建backend传入)，这里根据需要填写，端口范围：90119020、1000118000。 endpointPort：节点端口(用于创建rule传入)，这里根据需要填写，端口范围：90119020、1000118000。 参数示例： 记录响应信息中的“endpointServiceID”参数值，此参数表示终端节点服务的ID，也可以在VPC终端节点服务里面看到（在管理控制台左上角单击，选择“网络 > VPC终端节点”，进入”终端节点服务“页面） 9.参考8，为5中其他节点创建终端节点服务，并记录终端节点服务的ID。 购买终端节点 1.在管理控制台左上角单击，选择“网络 > VPC终端节点”，进入终端节点页面。 2.单击“创建终端节点”，进入“创建终端节点”页面。 3.设置如下参数。 区域：与Kafka实例保持一致。 服务类型：选择“按实例服务ID查找服务”。 服务名称：输入第8点中记录的终端节点服务名称，单击“验证”。显示“已找到服务”后，继续后续操作。 虚拟私有云：选择Kafka客户端所属的VPC。 子网：选择Kafka客户端所属的子网。 其他参数保持默认，如果想要了解更多的参数信息，请参考购买终端节点。 图6 终端节点参数设置 4.单击“下一步”，进入规格确认页面。 5.确认无误后，点击“确认下单”。 6.购买成功后，返回终端节点页面，查看终端节点状态是否为“已接受”，“已连接”表示终端节点已成功连接至终端节点服务。 图7 查看终端节点状态 7.单击终端节点ID，在“基本信息”页签，查看并记录节点IP。 您可以使用节点IP访问终端节点服务，进行跨VPC资源通信。 图8 查看节点IP 8.参考1~7，为9中创建的终端节点服务购买终端节点，查看并记录节点IP。

本章节提供天翼云人脸识别产品用户操作手册的下载。 参考《天翼云人脸识别用户操作手册》，点击下方链接下载查看。 天翼云人脸识别用户操作手册.pdf

本页介绍关系数据库MySQL版按需计费方式详情。 按需计费模式是一种更加灵活的关系数据库MySQL版购买方法。 收费 预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。具体开始计费时间以控制台页面创建时间为准。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 删除规则 删除数据库实例时，数据库的CPU、内存的费用停止计费，其他关联资源继续计费。 数据库实例删除后，数据不会保留会立即释放资源。 账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 提醒/通知规则 账户费用提醒：当用户余额不足所有按需资源1天费用或余额不足100元时，天翼云将通过邮件通知和短信提醒您及时充值。 账户欠费通知：当用户欠费时，天翼云将通过邮件通知和短信提醒您及时充值。

本页介绍天翼云TeleDB数据库软 / 硬件故障处理应急预案。 故障定位 单台主机节点系统发生软、硬件故障。 故障影响 TeleDB为高可靠性的集群数据库，在一台设备出现故障情况下，可以实现自动切换，切换期间业务会短暂受影响。 处理步骤 在业务受影响时，应急措施如下： 1. 先利用高可用性软件自动切换，或手工方式将应用切换到备用机，保证业务的持续运行； 2. 如果是操作系统故障，根据报错信息分析错误原因，并尽快解决。 3. 如果问题严重无法恢复，则马上使用系统备份带恢复系统并检查错误原因，如果有系统DUMP，分析DUMP。 4. 对于是硬件故障，根据系统面板上的显示信息及故障现象，分析确定故障发生部位。 5. 检查系统各部件及连线是否脱落或松动。 6. 对故障部件十分确定的情况下携带相应备件到现场维修更换。 7. 如果对故障原因不确定或确定有多种故障原因，将逐一更换怀疑故障部件，判断如何解决问题。 8. 如果不能在短时间恢复故障系统时，将联系公司备件保障中心提供不低于故障系统的备机运到现场，替换故障系统，恢复应用运行，主要有如下步骤： 1. 移植必要的硬件到维护公司提供的备机上 2. 调整操作系统与故障主机一致 3. 移植必要的硬件到维护公司提供的备机上 4. 把故障主机的内置硬盘插到备机上 5. 把故障主机的磁盘挂载到备机上 6. 配置系统用户、网络等环境 7. 在备机上恢复应用软件和数据 8. 把备机当作系统的备用机进入系统运行 9. 在上述操作后，有了较为宽裕的时间恢复故障主机。 10. 故障主机恢复后，替换下维护公司提供的备机，重新接管业务。 11. 对于主机系统中的单机系统如果出现系统无法启动的重大故障。可以通过备份来恢复系统。恢复系统后连接存储启动数据库以及应用。 12. 数据库恢复正常后通知业务部门。 13. 由项目经理对问题进行总结，事后汇报情况处理记录。

本章节提供天翼云内容审核产品用户操作手册的下载。 参考《天翼云内容审核产品操作手册》，点击下方链接下载查看。 天翼云内容审核用户操作手册.pdf

本页面介绍云数据库ClickHouse计费类常见问题。 云数据库ClickHouse计费类常见问题汇总如下： 云数据库ClickHouse的计费项包括哪些? 云数据库ClickHouse的主要计费项包括: 1. CPU：不同规格实例的CPU核数不一，可选类型因资源池而异。 2. 内存：不同规格实例的内存容量不一，可选类型因资源池而异。 3. 数据库存储空间：包年包月的计费单位为 GB/月，按需计费为GB/小时，具体存储类型因资源池而异。 如何订购云数据库ClickHouse? 订购操作步骤 1. 登录管理控制台，进入产品搜索选择“数据库”选择“云数据库ClickHouse”。 2. 进入产品详情页面，选择购买对象为单可用区或多可用区（仅支持4.0资源池）。 3. 选择实例规格，包括CPU核数、内存容量等。 4. 选择网络计费类型，公网属性和安全组。 5. 确定购买数量、时长等。 6. 完善订单信息后提交下单，待开通完成即可使用。 云数据库ClickHouse产品退订后能否恢复? 当产品实例退订后,原先的订单信息将无法再进行续费或恢复。具体来说: 退订生效后，原订单将无法再进行续费或修改操作。 退订成功后,原有数据将无法完全恢复或访问。 所以一旦选择退订,原有资源将不可逆转恢复。请谨慎操作。

请求参数 名称 描述 是否必须 xamzacl 设置Bucket的ACL（Access Control List）。 类型：字符串。 有效值： private：私有。只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object），其他人（包括匿名访问）只有通过Bucket Policy授权或分享链接才可访问该存储桶内的文件。 publicread：公共读。只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行写/删除操作（包括Put和Delete Object）。任何人（包括匿名访问）都可以对该存储桶内的文件进行读操作，这有可能造成您数据的外泄以及费用激增，请慎用该权限。 publicreadwrite：公共读写。任何人（包括匿名访问）都可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object）。这有可能造成您数据的外泄以及费用激增，若被人恶意写入违法信息还可能会侵害您的合法权益，除特殊场景外，不建议您配置公共读写权限。 注意 如果想使用访问权限为公共读写的存储桶，请联系天翼云客服评估审核后开通此功能。 默认值为private。 否 请求元素 注意 香港节点不支持下列请求元素。 名称 描述 是否必须 CreateBucketConfiguration 设置Bucket索引位置和数据位置的容器。 类型：容器。 子节点：MetadataLocationConstraint、DataLocationConstraint。 否 MetadataLocationConstraint 设置Bucket的索引位置。 类型：容器。 父节点：CreateBucketConfiguration。 子节点：Location。 创建Bucket的时候非必填。修改Bucket ACL或数据位置的时候不能填写。 DataLocationConstraint 设置Bucket的数据位置。 类型：容器。 父节点：CreateBucketConfiguration。 子节点：Type、LocationList、ScheduleStrategy。 否 Type 数据位置的类型。 类型：枚举。 取值： Local：本地 Specified：指定位置 默认值：Local 父节点：DataLocationConstraint。 否 LocationList 指定的数据位置。 类型：容器。 父节点：DataLocationConstraint。 子节点：Location。 否 Location 索引位置或数据位置。 类型：字符串。 取值： 父节点为MetadataLocationConstraint，表示索引位置。对于对象存储网络，取值为：ChengDu、FuZhou、GuiYang、HangZhou、LaSa、LanZhou、QingDao、ShenYang、ShenZhen、WuHan、WuHu、WuLuMuQi、ZhengZhou、SH2、SuZhou；对于对象存储网络2，取值为：NeiMeng1、HangZhou1。 父节点为LocationList，表示数据位置。对于对象存储网络，取值为：ChengDu、GuiYang、LanZhou、QingDao、SH2、ShenYang、ShenZhen、SuZhou、WuHan、WuHu、WuLuMuQi、ZhengZhou；对于对象存储网络2，取值为：NeiMeng1、HangZhou1。 默认值：无 父节点：MetadataLocationConstraint或Locationlist。 否 ScheduleStrategy 指定数据时的调度策略。 类型：枚举。 取值： Allowed：允许OOS自动调度 NotAllowed：不允许OOS自动调度 默认值：Allowed。 父节点：DataLocationConstraint。 否

本文向您介绍NAT网关服务的产品功能。 公网NAT网关 公网NAT网关（Public NAT Gateway）能够为虚拟私有云内的云主机或者通过云专线/VPN接入虚拟私有云的本地数据中心的主机，提供网络地址转换服务。 公网NAT网关分为SNAT和DNAT两种规则。 SNAT功能通过绑定EIP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享EIP访问公网，从而节约EIP资源。 DNAT功能绑定EIP，通过IP映射或端口映射方式，实现VPC内跨可用区的多个云主机共享EIP为互联网提供服务。 私网NAT网关 私网NAT网关（Private NAT Gateway），能够为虚拟私有云内的云主机、物理机提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则，可将源、目的网段地址转换为中转IP，通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。 私网NAT网关分为SNAT和DNAT两种规则。 SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问远端私网（本地数据中心或其他VPC）。 DNAT功能绑定中转IP，实现IP映射或端口映射方式，使VPC内跨可用区的多个云主机共享中转IP，为远端私网（本地数据中心/其他VPC）提供服务。

本文提供媒体存储相关文档下载方式。 媒体存储产品手册请参考： 1天翼云媒体存储产品手册20260327.pdf 2天翼云媒体存储控制台指南20260327.pdf 3天翼云媒体存储数据处理指南20260327.pdf 4天翼云媒体存储客户端工具指南20260327.pdf 5天翼云媒体存储常见问题与最佳实践20260327.pdf

查看监控图表 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“日志审计（原生版）”产品。 4. 在日志审计（原生版）监控列表中选择目标的实例，单击操作列的“查看监控图表”，进入监控详情页。 5. 在监控详情页，可以查看实例详情和监控图表。 切换不同的时间周期，查看不同周期内监控指标的情况。

参数 说明 取值示例 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default

本页介绍如何连接分布式融合数据库HTAP的实例。 前提条件 分布式融合数据库HTAP实例正常运行。 分布式融合数据库HTAP实例连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与分布式融合数据库HTAP实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与分布式融合数据库HTAP实例。 安全性高，可实现分布式融合数据库HTAP的较好性能。 推荐使用内网连接 术语解释： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 设置安全组规则 安全组的规则设置请参考快速入门准备工作。 通过内网连接分布式融合数据库HTAP实例 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择数据库 > 分布式融合数据库HTAP，进入分布式融合数据库HTAP控制台。 4. 实例列表中可以查看到每个实例的连接地址，连接地址中包含IP和端口。 通过连接地址中的IP及端口（计算节点的主机IP及服务端口）即可连接数据库，如果实例有多个连接地址，可以用搭建负载均衡的方式进行连接。 5. 连接分布式融合数据库HTAP前必须新建用户，点击对应实例的更多 > 用户管理进入用户管理，填写用户名、主机、权限、用户密码等信息，创建连接用户并授权。 6. 登录云主机后打开命令行输入窗口，凭数据库连接的IP及端口，以及新建用户连接数据库，如下命令。 mysql h{hostname} P{port} u{user} p{password} 参数： h：主机IP，即分布式融合数据库“实例管理”页面中实例连接地址的IP”。 P：数据库端口，为“实例管理”页面中连接地址的端口。 u：用户名，即用户创建的数据库帐号（用户不能使用root账号登录，必须新建用户）。 p：密码，即数据库帐号对应的密码，为创建数据库用户时指定的密码。 示例： mysql h 172.16.X.X P 8635 u root –p ‘’

本文带您熟悉如何筛选和搜索备份策略,方便您查找已有的备份策略。 操作场景 您可以通过各种筛选条件在备份策略列表查看已有备份策略，也可以搜索已有的备份策略。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，点击“状态”列可筛选查看不同状态的备份策略。 备份策略各种状态的说明： 状态 状态属性 说明 全部 显示所有状态的备份策略。 启用 稳定状态 备份策略创建完成之后的稳定状态。该状态下可以执行各种操作。 停用 稳定状态 备份策略已停用，不可绑定存储库。 5. 您也可以在备份策略列表右上角的搜索框中输入要查找的备份策略名称进行搜索，搜索到的备份策略会显示在存储库列表中。

状态 说明 正常 该Agent运行正常。 离线 由于网络问题导致该Agent功能异常，请检查并恢复网络。 停止 该Agent被手动停止或全局停止，请联系技术人员处理。

状态 说明 正常 该Agent运行正常。 离线 由于网络问题导致该Agent功能异常，请检查并恢复网络。 停止 该Agent被手动停止或全局停止，请联系技术人员处理。