本节介绍了云数据库GaussDB 的参数调优建议。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参考“导出参数”，将参数导出后查看。 通过控制台界面修改参数值，请参见查看和修改实例参数。 查询 trackstmtsessionslot 作用：设置一个session缓存的最大的全量/慢SQL的数量。 影响：缓存的SQL定期会被写入到系统表，如果业务量很大，超过这个数量语句执行将不会被跟踪，直到落盘线程将缓存语句落盘，留出空闲的空间，但不影响SQL的执行。 effectivecachesize 作用：设置节点优化器在一次单一的查询中可用的磁盘缓冲区的有效大小。设置这个参数，还要考虑的共享缓冲区以及内核的磁盘缓冲区。另外，还要考虑预计的在不同表之间的并发查询数目，因为它们将共享可用的空间。这个参数对分配的共享内存大小没有影响，它也不会使用内核磁盘缓冲，它只用于估算。数值是用磁盘页来计算的，通常每个页面是8192字节。 取值范围：整型，1～INTMAX，单位为8KB。 影响：比默认值高的数值可能会导致使用索引扫描，更低的数值可能会导致选择顺序扫描。 enablestreamoperator 控制优化器对stream的使用。当该参数关闭时，可能会有大量关于计划不能下推的日志记录到日志文件中。 logmindurationstatement 作用：当某条语句的持续时间大于或者等于特定的毫秒数时，记录每条完成语句的持续时间。设置logmindurationstatement可以很方便地跟踪需要优化的查询语句。对于使用扩展查询协议的客户端，语法分析、绑定、执行每一步所花时间被独立记录。 影响：设置过低的阈值可能影响负载吞吐，1表示关闭此功能。

本文为您介绍跨域VPC和云专线通过云间高速实现安全访问互联网的操作流程。 前提条件 客户在VPC网络中配置有安全管控服务。 安全管控服务具备互联网访问能力。 此场景仅限天翼云CTYUN4.0资源池 场景示例 在华北2和华东1资源池部署有云上资源。 在广州的IDC需要通过云专线接入华南2资源池，与华北2和华东1的云上资源互访。 三个区域的资源需要通过华东1部署的云上安全服务访问互联网。 组网拓扑 配置步骤 1. 创建云间高速和云企业路由器 创建云间高速 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速 创建云企业路由器 在华北2、华东1、华南2三个资源池中分别创建云企业路由器。 具体操作请参见：创建云企业路由器实例云间高速 2. 加载网络实例 加载VPC网络实例 在已创建的华北2云企业路由器和华东1云企业路由器中，分别加载对应区域的VPC网络实例。 具体操作请参见：加载VPC网络实例云间高速 加载专线网络实例 在华南2云企业路由器中，加载云专线（CDA）网络实例。 具体操作请参见：加载云专线（CDA）网络实例云间高速

其他云数据库的配置流程 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通以上【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本章节主要介绍配置OBS目的端参数。 作业中目的连接为配置OBS连接时，即导入数据到云服务OBS时，目的端作业参数如下表所示。 高级属性里的参数为可选参数，默认隐藏，单击界面上的“显示高级属性”后显示。 表 OBS作为目的端时的作业参数 参数类型 参数名 说明 取值样例 基本参数 桶名 写入数据的OBS桶名。 bucket2 基本参数 写入目录 写入数据到OBS服务器的目录，目录前面不加“/”。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 directory/ 基本参数 文件格式 写入后的文件格式，可选择以下文件格式： CSV格式：按CSV格式写入，适用于数据表到文件的迁移。 二进制格式：选择“二进制格式”时不解析文件内容直接传输，CDM会原样写入文件，不改变原始文件格式，适用于文件到文件的迁移。 如果是文件类数据源（FTP/SFTP/HDFS/OBS）之间相互迁移数据，此处的“文件格式”只能选择与源端的文件格式一致。 CSV格式 基本参数 重复文件处理方式 只有文件名和文件大小都相同才会判定为重复文件。写入时如果出现文件重复，可选择如下处理方式： 替换重复文件 跳过重复文件 停止任务 跳过重复文件 高级属性 加密方式 选择是否对上传的数据进行加密，以及加密方式： 无：不加密，直接写入数据。 KMS：使用数据加密服务中的KMS进行加密。如果启用KMS加密则无法进行数据的MD5校验。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 KMS 高级属性 KMS ID 写入文件时加密使用的密钥，“加密方式”选择“KMS”时显示该参数。单击输入框后面的，可以直接选择在数据加密服务中已创建好的KMS密钥。 当使用与CDM集群相同项目下的KMS密钥时，不需要修改下面的“项目ID”参数。 当用户使用其它项目下的KMS密钥时，需要修改下面的“项目ID”参数。 53440ccb3e73470098b571ff5476e621 高级属性 项目ID KMS ID所属的项目ID，该参数默认值为当前CDM集群所属的项目ID。 当“KMS ID”与CDM集群在同一个项目下时，这里的“项目ID”保持默认即可。 当“KMS ID”使用的是其它项目下的KMS ID时，这里需要修改为KMS所属的项目ID。 9bd7c4bd54e5417198f9591bef07ae67 高级属性 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成。 请您牢记这里配置的“数据加密密钥”，解密时的密钥与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 高级属性 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成。 请您牢记这里配置的“初始化向量”，解密时的初始化向量与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F 高级属性 复制ContentType属性 “文件格式”为“二进制”，且源端、目的端都为对象存储时，才有该参数。 选择“是”后，迁移对象文件时会复制源文件的ContentType属性，主要用于静态网站的迁移场景。 归档存储的桶不支持设置ContentType属性，所以如果开启了该参数，目的端选择写入的桶时，必须选择非归档存储的桶。 否 高级属性 换行符 文件中的换行符，默认自动识别“n”、“r”或“rn”。“文件格式”为“二进制格式”时该参数值无效。 n 高级属性 字段分隔符 文件中的字段分隔符。“文件格式”为“二进制格式”时该参数值无效。 , 高级属性 写入文件大小 源端为数据库时该参数才显示，支持按大小分成多个文件存储，避免导出的文件过大，单位为MB。 1024 高级属性 校验MD5值 使用“二进制格式”传输文件时，才能校验MD5值。选择校验MD5值时，无法使用KMS加密。 计算源文件的MD5值，并与OBS返回的MD5值进行校验。如果源端已经存在MD5文件，则直接读取源端的MD5文件与OBS返回的MD5值进行校验。 是 高级属性 记录校验结果 当选择校验MD5值时，可以选择是否记录校验结果。 是 高级属性 校验结果写入连接 可以指定任意一个OBS连接，将MD5校验结果写入该连接的桶下。 obslink 高级属性 OBS桶 写入MD5校验结果的OBS桶。 cdm05 高级属性 写入目录 写入MD5校验结果的目录。 /md5/ 高级属性 编码类型 文件编码类型，例如：“UTF8”或“GBK”。“文件格式”为“二进制格式”时该参数值无效。 GBK 高级属性 使用包围符 “文件格式”为“CSV格式”，才有该参数，用于将数据库的表迁移到文件系统的场景。 选择“是”时，如果源端数据表中的某一个字段内容包含字段分隔符或换行符，写入目的端时CDM会使用双引号（"）作为包围符将该字段内容括起来，作为一个整体存储，避免其中的字段分隔符误将一个字段分隔成两个，或者换行符误将字段换行。例如：数据库中某字段为hello,world，使用包围符后，导出到CSV文件的时候数据为"hello,world"。 否 高级属性 首行为标题行 从关系型数据库导出数据到OBS，“文件格式”为“CSV格式”时，才有该参数。 在迁移表到CSV文件时，CDM默认是不迁移表的标题行，如果该参数选择“是”，CDM在才会将表的标题行数据写入文件。 否 高级属性 作业成功标识文件 当作业执行成功时，会在写入目录下生成一个标识文件，文件名由用户指定。不指定时默认关闭该功能。 finish.txt 高级属性 自定义目录层次 选择“是”时，支持迁移后的文件按照自定义的目录存储。即只迁移文件，不迁移文件所归属的目录。 是 高级属性 目录层次 自定义迁移后文件的存储路径，支持时间宏变量。 ${dateformat(yyyyMMdd HH:mm:ss, 1, DAY)} 高级属性 自定义文件名 从关系型数据库导出数据到OBS，且“文件格式”为“CSV格式”时，才有该参数。 用户可以通过该参数自定义OBS端生成的文件名，支持以下自定义方式： 字符串，支持特殊字符。例如“cdm

本文汇总了云专线服务在管理过程之中会遇到的问题。 专线网关的VLAN ID是什么？ VLAN ID为0时，表示此专线网关对应的物理交换机端口不使用VLAN模式，而使用三层路由接口模式。三层路由接口模式下每一条物理专线对应一个边界路由器，即该物理专线仅可以连接本账号下的VPC。 VLAN ID为1～2999时，表示此专线网关对应的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID分别对应一个专线网关，即该物理专线可以连接多个账号下的 VPC。 云专线接入前期要考虑的要素有哪些？ 在您使用云专线服务之前，请您根据业务实际需求，提前规划好以下内容： 云专线条数：您需要根据实际业务场景评估是否开通多条物理专线实现高可靠性冗余。 云专线带宽速率：用户需要根据使用情况评估云专线承载的业务带宽大小，实际带宽速率以电信提供的速率规格为准。 接入端口类型：用户需要根据机房设备环境选择通过光口或者电口接入。 子网地址：用户需要根据实际网络拓扑合理规划IP地址，避免客户侧内网地址和云端VPC子网地址冲突。 云专线包括IPRAN、MSTP、MPLS VPN、OTN等类型，用户需要根据机房设备环境选择采用哪种专线类型接入。 规划云专线接入地址时需要注意什么？ 在您规划云专线接入地址时请注意以下问题： VPC网段与客户侧网段不能属于同一子网，避免地址冲突。 客户本地数据中心的IP和天翼云VPC内的IP必须是私有地址，如果用户端网络是公有地址，需要客户本地完成NAT映射。 在您实际规划中若有疑问可直接联系您的客户经理或提交工单解决。

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

在CTS事件列表查看云审计事件 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。

版本介绍 应用服务网格CSM按照不同的功能及支撑能力划分为基础版、标准版。 版本 说明 基础版 支持50以内Pod数规模，无企业级增强能力，不推荐生产使用。 标准版 支持1000Pod数规模。 使用方式 为了更好的使用应用服务网格CSM产品，建议您先开通以下产品： 1. 开通云容器引擎，至少有一个云容器引擎集群实例。 2. 开通天翼云微服务引擎，并在服务网格控制面集群同VPC内创建云原生网关实例。 相关云服务 云产品名称 开通类型 产品说明 云容器引擎 必选项 云容器引擎 弹性负载均衡ELB 必选项（开通服务网格时自动开通） 弹性负载均衡

此小节介绍如何防止云堡垒机运维的服务器被绕过。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在产品服务列表页，选择“网络 > 弹性IP”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面找到服务器的安全组，单击安全组操作列的“添加规则”，进入安全组详情界面。 5. 在安全组详情界面，选择“入方向规则”页签，单击“添加规则”，弹出添加规则窗口。 6. 授权对象（源地址）配置为云堡垒机的IP地址。 7. 配置完成后，单击“确定”。

本节主要介绍云硬盘备份服务的关键操作列表 云硬盘备份服务（VolumeBackupService，以下简称VBS）提供对公有云环境中云服务器的基于云硬盘快照技术的本地数据保护服务。VBS支持全量备份和增量备份。第一次做备份时，系统默认做全量备份，非第一次的备份，系统默认做增量备份。无论是全量还是增量都可以方便的将磁盘恢复至备份时刻的状态。 通过云审计服务，您可以记录与云硬盘备份相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的VBS操作列表 操作名称 资源类型 事件名称 ::: 创建备份 vbs bksCreateBackup 删除备份 vbs bksDeleteBackup 恢复备份 vbs bksRestoreBackup 绑定备份策略 autobackup addPolicyResource 解绑备份策略 autobackup deletePolicyResource 立即执行备份策略 autobackup actionPolicy 创建备份策略 autobackup createPolicy 删除备份策略 autobackup deletePolicy 修改备份策略 autobackup modifyPolicy 备份策略调度创备份 autobackup scheduleCreateBackup 备份策略自动删备份 autobackup scheduleDeleteBackup 修改备份策略标签 autobackup modifyPolicyTag 删除备份策略标签 autobackup deletePolicyTag

本章介绍如何删除目的端配置。 操作场景 当目的端设置错误或因业务需求需要修改目的端配置时，可以参考本章节删除目的端配置，然后重新设置目的端。 删除目的端配置后，服务器列表会保留迁移任务，但目的端信息会被清除，无法进行同步。可以重新设置目的端，将源端所有数据重新迁移。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面选择需要删除目的端配置的服务器，在“操作”列单击“更多 > 删除目的端配置”。或勾选需要删除目的端配置的服务器，单击服务器名称/ID列上方的“更多 > 删除目的端配置”。 4. 在弹出的“删除目的端配置”窗口，单击“确定”。

本节主要介绍产品定义。 什么是云容器引擎？ 云容器引擎(CT Cloud Container Engine，简称CCE)提供高可靠、高性能的企业级Kubernetes集群托管服务，支持运行Docker容器，帮助用户在云上轻松部署、管理和扩展容器化应用程序。 为什么选择云容器引擎？ 云容器引擎深度整合高性能的计算（ECS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，支持多可用区（Available Zone，简称AZ）、多区域（Region）容灾等技术构建Kubernetes高可用集群。 产品形态 云容器引擎包含多种产品形态。 集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

本页面解释云数据库ClickHouse中的专业术语。 云数据库ClickHouse中涉及多个专业术语，在本页面进行详细解释。 集群（Cluster） 在物理构成上，云数据库ClickHouse集群是由多个云数据库ClickHouse服务器节点组成的分布式数据库。这些节点协同工作，共同处理和存储数据，提供高可用性和扩展性。 分片（Shard） 云数据库ClickHouse集群将数据分散存储到多台服务器上，每台服务器存储和处理数据的一个子集，称为分片。每个分片可以包含单个或多个服务器，通过水平分割数据负载，实现并行处理和高性能查询。 副本（Replica） 云数据库ClickHouse提供副本机制，将数据冗余存储至2台或多台服务器上，以提高数据的可靠性和冗余容错能力。副本保证了数据的备份和故障恢复，当一个节点出现故障时，可以切换到其他副本节点，确保数据的持久性和可用性。 数据库（DataBase） 云数据库ClickHouse集群逻辑上包含多个数据库，每个数据库是一个独立的命名空间，用于组织和管理表、列、视图、函数等相关对象。每个数据库可以拥有自己的数据结构和访问权限，实现数据的逻辑隔离和管理。 表（Table） 表是云数据库ClickHouse中数据的组织形式，用于存储和管理具有相同结构的数据。根据数据分布方式，表可以是本地表或分布式表；根据存储引擎，表可以是单机表或复制表。 本地表（Local Table） 本地表的数据只会存储在当前写入的节点上，不会被分散到多台机器。本地表适用于对单个节点的资源进行有效利用的场景，但缺乏横向扩展能力。

本文带您快速了解计算专属云的计费模式。 在公有云资源池，为用户划分单独使用的计算服务器资源，通过用户订购资源包的形式获得对宿主机资源的独占使用，存储、网络资源逻辑独享。以资源包的方式进行订购，包括计算单元、存储单元、网络（带宽）单元。 计费模式：宿主机支持包年包月的计费模式。 计费量纲：以宿主机台数为计费量纲。 购买： 目前计算专属云服务仅支持通过填写业务需求单或直接联系客户经理的方式进行申请。 退款：不支持无理由退款。 计费方式变更：计费周期内不允许计费方式变更。 到期欠费：到期后，计算资源将被冻结，资源保留15天。保留期内可进行续费，保留期后未续费的专属云资源将完全销毁，无法恢复。 续订：续订与购买流程相同，可通过填写业务需求单或直接联系客户经理的方式进行续订申请。

本文主要介绍如何修改健康检查协议。 当您需要更换健康检查协议时，请参考本章完成操作。切换协议之后，负载均衡会根据新的健康检查协议重新检查后端云主机。 健康检查通过后，负载均衡向后端继续转发流量。健康检查切换周期内，客户端可能收到503错误码。 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要修改健康检查的负载均衡名称。 5. 在“后端主机组”页签下，选择需要修改健康检查的后端主机组名称。 6. 在基本信息页面，单击“健康检查”右侧的“配置”。 7. 修改健康检查的“协议”。 8. 单击“确定”。

本页介绍了如何管理天翼云RDSPostgreSQL产品的只读实例。 RDSPostgreSQL产品支持管理只读实例的功能，主要包括以下操作： 基础操作：重启、停止、升级等，支持绑定EIP和设置标签。 生命周期：退订、扩容（包括规格扩容和磁盘扩容）等。 参数设置：修改实例参数，并支持设置参数模板应用到只读实例。 实例操作：包括空闲连接查杀、清理在线表等。 实例监控：资源监控（主机资源包括CPU、IO等核心监控数据）、引擎监控（QPS、TPS、连接数、缓存等内核指标监控）、日志监控（慢日志、错误日志等）以及操作日志（包括控制台操作在内的监控等）。 数据库安全：白名单管理、数据库审计等安全操作。

使用须知 kvrocks2redis需要从Kvrocks提取数据到本地文件，并从中解析出命令发送到目标端GeminiDB Redis ，该过程中可能影响源端性能，但理论上不会有数据受损风险。 迁移工具运行过程中，若出现问题，迁移工具会自动停止，方便问题定位。 GeminiDB Redis从安全性角度出发，不提供清库语义命令，因此要在迁移开始前确保无数据。 前提条件 部署kvrocks2redis到独立主机。 确保源端、目标端、迁移工具之间网络互通。 源端Kvrocks实例提前做好数据备份。 目标端GeminiDB Redis实例清空全部数据。 操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。

功能项 功能说明 标准版 专业版 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

查看使用量 按需计费的资源可以在控制台服务管理话单管理中查看使用量数据。 关机仍然计费的资源，如存储、裸金属等，关机后仍会记录使用量。关机不计费的资源，如虚拟机的计算资源vCPU、内存，关机期间不记录使用量。 通过筛选统计维度、统计周期、资源类型、计费项、集群名称、在高级搜索中输入资源ID等方式，查找和导出按需计费资源的话单明细，话单中的计费值即用于计算费用的使用量数值。 查看费用信息 在天翼云官网我的费用中心账单管理中可以查看按需计费、包年包月资源的扣费情况及明细。 按需计费资源将通过话单记录的计费值，结合资源单价等信息，计算最终扣费金额。按需计费资源的扣费非实时更新，请留意流水账单更新情况，以实际扣费时间为准。 资源退订 确认不需要的资源，可以在控制台 或天翼云官网我的订单管理退订管理中退订，退订后资源实例将无法使用、无法恢复，请提前备份资料数据。退订后资源实例将不再产生新的费用。 资源退订进度以控制台中对应产品版块，资源的状态更新为准。

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

本文介绍如何查询全站加速的用量。 天翼云提供用量分析模块，通过用量分析模块客户可查看带宽流量、回源统计、请求数、命中率、状态码、回源状态码、PV/UV、地区运营商、高性能网络（仅开通服务后可见）等信息。 您可以通过客户控制台查询或导出数据用量和明细，详见：用量分析。

本节介绍如何查看AntiDDoS云审计日志。 开启了云审计服务后，系统开始记录AntiDDoS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 选择区域。 3. 选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 在下拉框中选择“云服务”，输入“AntiDDoS”，按“Enter”。 6. 在查询结果中单击事件名称，查看事件详情。 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件： 事件名称、资源名称、资源ID、事件ID：需要输入某个具体的名称或ID。 资源名称：当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 资源ID：当该资源类型无资源ID或资源创建失败时，该字段为空。 云服务、资源类型：在下拉框中选择对应的云服务名称或资源类型。 操作用户：在下拉框中选择一个或多个具体的操作用户。 事件级别：可选项为“normal”、“warning”、“incident”，只可选择其中一项。 normal：表示操作成功。 warning：表示操作失败。 incident：表示比操作失败更严重的情况，如引起其他故障等。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近1周内任意时间段的操作事件。

云搜索服务支持弹性负载均衡（ELB）配置，用户可将天翼云现有ELB实例快速接入云搜索服务，实现访问流量的智能分发与负载均衡。 操作步骤 1. 在弹性负载均衡产品控制台购买负载均衡器，请购买与云搜索实例在同一地域的负载均衡器，虚拟私有云请选择和云搜索实例相同的VPC、子网以确保内网可连接。 2. 创建完成后，在负载均衡控制台设置监听器及后端主机组。 3. 登录云搜索控制台，点击需要绑定的实例名称进入详情页，在安全设置页面开启OpenSearch实例负载均衡设置的开关，在弹出的界面中选择目标弹性负载均衡的和后端主机组。 提交后等待绑定完成，即可通过负载均衡访问OpenSearch实例。

本章节将介绍如何创建数据库脱敏任务。 您可以在创建数据库脱敏任务后，对指定数据库的敏感信息进行脱敏。 前提要求 已在“资产列表”中完成了云资源委托授权。 已添加数据库资产，具体请参见添加RDS数据库章节。 已在“敏感数据识别”中完成了敏感数据识别，具体操作请参见创建敏感数据识别任务章节。 新建数据库脱敏 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，进入“数据库脱敏”页面。 4. 在“数据库脱敏”页签中，将“数据库脱敏”设置为，开启数据库脱敏。 5. 单击“新建任务”，进入“数据源配置”页面，如下图所示，具体参数说明如下表所示。 参数名称 参数说明 任务名称 您可以自定义脱敏任务的名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 数据源选择 选择数据来源。可选择“SQLServer”、“MySQL”、“PostgreSQL”。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据库实例：选择脱敏数据所在的数据库实例。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据库名：选择脱敏数据所在的数据库名称。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 模式：当“数据源选择”选择“SQLServer”和“PostgreSQL”时，显示该参数。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据表名：选择脱敏数据所在的数据表名称。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据类型：勾选后将该列数据拷贝到目标数据库。 此处还显示数据列的“目标数据类型”，“风险等级”。 6. 单击“下一步”，进入“脱敏算法配置”页面。 1. 勾选需要脱敏的数据列。 2. 选择脱敏算法。脱敏算法详细信息请参见配置脱敏规则章节。 7. 单击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 选择并设置脱敏任务的执行周期： 手动：由用户自行启动的，且基于脱敏规则执行脱敏任务。 每小时：每几个小时执行一次脱敏任务。 示例：如果需要每2小时执行一次脱敏任务，则此处设置为：02:00 每天：每天几点几分执行一次脱敏任务。 示例：如果需要每天12:00执行一次脱敏任务，则此处设置为：12:00:00 每周：每周几的几点几分执行一次脱敏任务。 示例：如果需要每周一的12:00执行一次脱敏任务，则此处设置为：每周一12:00:00 每月：每月几日几时执行一次脱敏任务。 示例：如果需要每月12日的12:00执行一次脱敏任务，则此处设置为：每月12日12:00:00 说明 如果设置每月31日执行一次脱敏任务，在当月日期少于31日的情况下，系统自动在当月最后一日执行任务。 8. 单击“下一步”，进入“数据目标配置”页面。 1. 选择数据库实例、数据库名，并输入数据表名。 如果输入的数据表名已存在，系统将刷新目标数据库中该数据表中的数据。 如果输入的数据表名不存在，系统将自动在目标数据库中新建该名称的数据表。 注意 如果需要填写已有的数据表，请勿选择业务数据表，以免影响业务。 2. 设置数据目标列名。 系统默认将生产与数据源列相同的名称，您可以保持默认名称，也可以根据需要进行修改。 9. 单击“完成”，完成数据库脱敏任务的创建。

四、工作流集成 云工作流实现了天翼云在OpenAPI门户的几乎所有产品的API集成。在云工作流中编排使用天翼云产品OpenAPI主要有两种集成方式：普通集成和优化集成。 普通集成 普通集成是指允许云工作流直接调用云产品的OpenAPI服务接口，不对这些服务接口做任何包装处理和实现优化，共计可使用多达上万条API服务接口。更多信息，请参见普通集成。 优化集成 优化集成是指对部分高频使用的云产品服务接口进行包装和优化处理，简化接口使用难度，方便用户在云工作流中编排使用。更多信息，请参见集成简介。 在云工作流下可以按照三种集成模式去进行调用集成其他云服务，只有在标准工作流下可以选择不同的集成模式去调用云服务， 快速工作流只能是请求响应模式去调用其他云服务： 请求响应模式（RequestComplete） 调用其他云服务后， 同步等待响应返回后方可进行下一个执行状态。 等待系统回调（WaitForSystemCallback） 指定等待系统回调后， 工作流会进入到TaskSubmitted状态， 工作流系统自身会查询到目标调用集成服务的执行状态（成功或者失败）从而将工作流从TaskSubmitted等待状态转换为TaskSuccess状态或者TaskFailed状态， 继续工作流执行执行下一个状态。 等待任务令牌（WaitForTaskToken） 指定等待任务令牌后， 工作流会进入到TaskSubmitted状态。用户可通过OpenAPI在用户自定义的业务逻辑中回调通知工作流当前任务的执行结果（成功或者失败）从而工作流从TaskSubmitted等待状态转换为TaskSuccess状态或者TaskFailed状态， 继续工作流执行下一个状态。可以理解的一个场景是业务审批场景， 在业务审批节点通过或者拒绝后， 审批流程继续执行或者终止执行。

本章主要介绍删除追踪器。 操作场景 云审计服务管理控制台支持删除管理类事件追踪器，删除管理类事件追踪器对已有的操作记录没有影响。本章节介绍如何在管理控制台删除管理类事件追踪器。 使用限制 删除追踪器后，操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，也能查看新的操作记录和接收关键事件通知，但是您无法转储事件至OBS/LTS。 重新“开通云审计服务”可恢复管理类追踪器。 前提条件 已开通云审计服务。 删除管理类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 单击管理类追踪器对应操作列的“删除”。 6. 在弹框中单击“确定”，完成删除管理类追踪器。

此章节为您介绍如何登录云堡垒机（原生版）。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 登录的时候可选“外网地址登录”或“内网地址登录”。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 通过Html5登录堡垒机只支持进行简单的运维操作，复杂运维可能出现卡顿，显示异常等问题，建议您安装插件并且使用使用mstsc，vnc等方式进行运维。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1.在“云堡垒机实例”列表条目录中选择要管理的实例，单击“管理”。 2.根据您自身的网络环境选择“内网地址登录”或“外网地址登录”。 3.登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用本地认证、AD认证等方式登录。 前置条件 已登录过云堡垒机并完成密码初始化。 本地认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为“本地认证 ”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索”天翼云“，下载安装天翼云手机APP。

部署云容灾网关。 1、获取云容灾网关软件包到待部署服务器的任意目录。 IDC上云：单击“下载云容灾网关”，下载云容灾网关软件包到本地PC。 跨区域和跨可用区：复制服务控制台页面提供的命令，然后进入需要安装云容灾网关的目录，粘贴并执行命令获取软件包。 软件包名：“sdrslinuxamd64 xxx .tar.gzz”，其中“xxx”代表软件版本号，以实际下载的版本为准。 2、安装和配置云容灾网关。 具体操作请参见文档下载管理客户端安装云容灾相关。 3、关联云容灾网关。 选择已经部署的云容灾网关，将站点复制对与云容灾网关关联起来。如果选择不到部署的网关，可能是由于网关没有部署成功。 4、单击“完成部署”。 完成云容灾网关的部署并进入“下载并安装代理客户端”界面。 下载并安装代理客户端。 1、下载代理客户端。 在界面选择生产站点服务器对应的操作系统和OS版本。 2、安装代理客户端。 在待保护的生产站点服务器安装代理客户端，具体操作请参见文档下载管理客户端安装代理客户端。 3、单击“我已安装完成”。 完成代理客户端的安装，并进入“创建保护实例”界面。 创建保护实例。 1、在“创建保护实例”页面，根据界面提示配置保护实例的信息。 参数说明 参数 说明 取值样例 ::: 生产站点服务器 选择需要保护的生产站点服务器，如果选择不到服务器，可能是由于agent没有部署成功。 为生产站点服务器的每块硬盘，对应选择容灾站点云硬盘的类型。 设置保护实例的名称。名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 保护组 为保护实例选择一个保护组。 首次创建保护实例或者当前的保护组不满足要求时，可以单击“创建保护组”创建新的保护组。 建议将某类业务相关的服务器放到一个保护组进行保护，可以对整个保护组进行开启保护、切换和容灾演练等操作。 protectedgroup01 2、单击“下一步”。 进入容灾配置信息确认界面。 3、确认配置信息，单击“提交”。 完成容灾配置，进入“异步复制”页面。

本文介绍如何订购Web应用防火墙（边缘云版）服务。 订购天翼云Web应用防火墙（边缘云版）服务，需首先注册天翼云账户，并完成实名认证。 操作步骤 步骤1、注册天翼云官网账号并完成注册。 天翼云官网登录页面 步骤2、未实名认证的用户请按提示完成实名认证才可以订购Web应用防火墙（边缘云版）服务。 步骤3、实名认证后成功后进入Web应用防火墙（边缘云版）产品详情页快速了解产品，后单击【立即开通】。 产品详情页 步骤4、在订购页面选择适合的套餐和扩展服务，勾选并阅读服务协议，确认无误后点击“立即开通”，web应用防火墙（边缘云版）服务即开通。 步骤5、web应用防火墙（边缘云版）服务开通后，便可以根据操作手册去控制台开始接入您要防护的域名。

本节介绍云等保专区产品的下一代防火墙。 下一代防火墙能够提供应用层防火墙、入侵防护、防病毒、反APT、DOS防护、内容过滤、URL过滤、智能带宽管理、上网行为管控与审计等多重安全特性；同时，它全面适配云环境，支持主流的公有云、私有云及虚拟化平台；全特性支持RESTful API，具备高效的协同联动能力，能够提供立体化防护能力。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“下一代防火墙”，进入下一代防火墙资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到下一代防火墙控制台。 使用下一代防火墙 了解更多下一代防火墙相关操作内容，请下载阅读《云等保专区下一代防火墙 v1.0 用户指南》。

本文介绍了云防火墙（原生版）产品的退订流程。 若您无需使用云防火墙防护功能时，可以进行退订。当实例中的配额均为“未使用”时才可以执行退订操作。 退订步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 配额管理”，进入配额管理页面。 3. 点击“退订”。 4. 在退订页面中，确认退订信息后，勾选“确认退订上述云防火墙（原生版）配额”，并点击“退订”后即可进行退订。

本节主要介绍自定义策略。 如果系统预置的云数据库GeminiDB权限，不满足您的授权要求，可以创建自定义策略。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的云数据库GeminiDB自定义策略样例。 自定义策略样例 示例1：授权用户创建云数据库 GeminiDB实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "nosql:instance:create" ] } ] } 示例2：拒绝用户删除云数据库 GeminiDB数据库实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循 Deny优先原则 。 如果您给用户授予GaussDB NoSQLFullAccess的系统策略，但不希望用户拥有GaussDB NoSQLFullAccess中定义的删除云数据库 GeminiDB实例权限，您可以创建一条拒绝删除云数据库 GeminiDB实例的自定义策略，然后同时将GaussDB NoSQLFullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云数据库 GeminiDB执行除了删除云数据库 GeminiDB实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "nosql:instance:delete" ], } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "nosql:instance:create", "nosql:instance:rename", "nosql:instance:delete", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] }