本节介绍了异常快照的相关内容。 操作场景 智能判断实例异常，记录会话快照、锁/事务等快照信息，方便后续问题定位。 约束限制 记录异常快照信息，实例性能损耗5%以内。 每个异常快照最长保留7天，每个节点的异常快照同一时间最多保存10条。 异常快照会记录长事务信息。 此功能为白名单能力，请您提交工单申请。 打开异常快照采集 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择目标实例，单击“详情”，进入“实例概览”页面。 步骤 7 选择“异常快照”页签。 步骤 8 您可以在“异常快照”页面，单击“异常采集”开关对当前实例进行打开异常采集功能操作。 结束

云硬盘接口对应权限表 如下是云硬盘服务相关权限三元组及生效范围： 注意 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。 控制台接口 权限三元组 配置支持 控制台接口 权限三元组 IAM（资源池/全局） 企业项目（资源组） 创建云硬盘 evs:volumes:create √ √ 云硬盘列表获取 evs:volumes:list √ √ 云硬盘详情获取 evs:volumes:get √ √ 云硬盘详情获取 ecs:cloudServers:list √ √ 云硬盘续订 evs:volumes:create √ √ 云硬盘扩容 evs:volumes:extend √ √ 云硬盘退订 evs:volumes:delete √ √ 云硬盘挂载（绑定） evs:volumes:attach √ √ 云硬盘挂载（绑定） ecs:cloudServers:list √ √ 云硬盘挂载（绑定） ecs:cloudServers:get √ √ 云硬盘卸载（解绑） evs:volumes:detach √ √ 云硬盘卸载（解绑） ecs:cloudServers:list √ √ 云硬盘卸载（解绑） ecs:cloudServers:get √ √ 修改云硬盘类型 evs:volumes:extend √ √ 创建快照 evs:snapshot:create √ × 云硬盘快照列表 evs:snapshot:list √ × 云硬盘自动快照策略列表 evs:snapshotStra:list √ × 设置自动快照策略 evs:snapshot:create √ × 设置自动快照策略 evs:volumes:create √ × 修改云硬盘名称 evs:volumes:put √ × 云硬盘转包周期 evs:switchPeriod:create √ √ 云硬盘到期转按需 evs:switchRequired:create √ √ 对于支持IAM配置，不支持企业项目配置的操作，例如“创建快照”、“设置自动快照策略”、“修改云硬盘名称”，若不配置IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，您可在IAM中为此操作新增IAM权限以解除限制，具体操作请参考常见问题权限管理类。

本章节主要介绍翼MapReduce的管理全局用户策略操作。 操作场景 如果租户配置使用Superior调度器，那么系统可以控制具体用户使用资源调度器的行为，包含： 最大运行任务数 最大挂起任务数 默认队列 操作步骤 添加策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 说明 defaults(default setting)表示如果一个用户未配置全局用户策略，则默认使用defaults所指定的策略。该策略不可删除。 4. 单击“添加全局用户策略”，在弹出窗口中填写以下参数。 集群：选择需要操作的集群。 用户名：表示需要控制资源调度的用户，请输入当前集群中已存在用户的名称。 最大运行任务数：表示该用户在当前集群中能运行的最大任务数量。 最大挂起任务数：表示该用户在当前集群中能挂起的最大任务数量。 默认队列：表示用户的队列，请输入当前集群中已存在队列的名称。 修改策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“修改”。 5. 调整相关参数后，单击“确定”。 删除策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“删除”。 在弹出窗口单击“确定”。

3、云监控接口对应权限表 如下是云监控服务相关权限三元组及生效范围： 控制台接口 权限三元组 配置支持 控制台接口 权限三元组 IAM（资源池/全局） 企业项目（资源组） 监控面板 获取监控面板列表 cm:panel:list √ 监控面板 创建监控面板 cm:panel:create √ 监控面板 修改监控面板 cm:panel:update √ 监控面板 删除监控面板 cm:panel:delete √ 资源分组 资源分组列表获取 cm:resourceGroup:list √ 资源分组 创建资源分组 cm:resourceGroup:create √ 资源分组 修改资源分组 cm:resourceGroup:update √ 资源分组 删除资源分组 cm:resourceGroup:delete √ 云服务监控 监控数据 cm:monitor:query 云服务监控 导出监控数据 cm:monitor:download 网络分析与监控 站点监控列表获取 cm:siteMonitor:list √ 网络分析与监控 创建站点监控 cm:siteMonitor:create √ 网络分析与监控 修改站点监控 cm:siteMonitor:update √ 网络分析与监控 删除站点监控 cm:siteMonitor:delete √ 告警模版 自定义告警模板列表获取 cm:alarmTemplate:list √ 告警模版 创建自定义告警模板 cm:alarmTemplate:create √ 告警模版 修改自定义告警模板 cm:alarmTemplate:update √ 告警模版 删除自定义告警模板 cm:alarmTemplate:delete √ 告警规则 告警规则列表获取 cm:alarmRules:list √ √ 告警规则 创建告警规则 cm:alarmRules:create √ 告警规则 修改告警规则 cm:alarmRules:update √ 告警规则 删除告警规则 cm:alarmRules:delete √ 告警规则 启用停用告警规则 cm:alarmRules:changeStatus √ 告警联系人/组 查询联系人列表 cm:contact:list √ 告警联系人/组 添加联系人 cm:contact:create √ 告警联系人/组 修改联系人 cm:contact:update √ 告警联系人/组 删除联系人 cm:contact:delete √ 告警联系人/组 查询联系组列表 cm:contactGroup:list √ 告警联系人/组 添加联系组 cm:contactGroup:create √ 告警联系人/组 修改联系组 cm:contactGroup:update √ 告警联系人/组 删除联系组 cm:contactGroup:delete √ 数据订阅 订阅任务列表获取 cm:subscribeTask:list √ 数据订阅 创建订阅任务 cm:subscribeTask:create √ 数据订阅 修改订阅任务 cm:subscribeTask:update √ 数据订阅 删除订阅任务 cm:subscribeTask:delete √ 注意 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。 部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。 以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

无法备份索引？ 索引的备份是通过创建集群快照实现的。 遇到无法备份索引问题，请按照如下操作步骤排查解决。 排查集群的创建时间 1.登录云搜索服务管理控制台。 2.在左侧导航栏，单击“集群管理”。 3.在“集群管理”页面上集群列表中的“创建时间”列，查看待备份索引的集群的创建时间。 如果创建时间早于2018年3月10日，则创建该集群时备份与恢复索引功能尚未上线，当前无法为该集群备份索引。 如果创建时间晚于2018年3月10日，则需要排查当前登录所用的账号或IAM用户是否具有备份索引的权限，具体操作请参见下方 排查是否有权限。 排查是否有权限 1.登录统一身份认证服务管理控制台。 2.查看当前登录所用的账号或IAM用户所属的用户组。 具体操作请参见统一身份认证用户指南中有关查看和编辑用户信息的相关章节。 3.查看用户组的权限中是否包含：“全局服务”中“对象存储服务”项目的“OBS Administrator”权限、当前所属区域的“Elasticsearch Administrator”权限。 具体操作请参见统一身份认证用户指南中有关查看或修改用户组的相关章节。 如果用户组的权限中不包含以上两个权限，请执行步骤4。 如果用户组的权限中包含以上两个权限，请联系技术支持协助解决。 4.为用户组添加：“全局服务”中“对象存储服务”项目的“OBS Administrator”权限、当前所属区域的“Elasticsearch Administrator”权限。 具体操作请参见统一身份认证用户指南中有关查看或修改用户组的相关章节。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录分布式缓存服务Redis版 控制台，进入目标实例的Prometheus监控页，观测 主从同步延迟、主从同步偏移量和平均时延等指标。 2、业务应用验证： 观察业务应用表现，查看对该Redis实例的读写操作是否出现失败或延迟。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录分布式缓存服务Redis版 控制台，进入目标实例的Prometheus监控页，观测 主从同步延迟、主从同步偏移量和平均时延等指标。 2、业务应用验证： 观察业务应用表现，查看对该Redis实例的读写操作是否出现失败或延迟。

本文介绍UDFScript概念、原理、使用说明、资费说明及典型应用场景。 UDFScript介绍 用户自定义脚本（User Defined Script，简称UDFScript）是一个可供您快速实现全站加速定制化配置的工具箱，当全站加速控制台上的标准配置无法满足您的业务需求时，可以使用UDFScript通过简单的编程实现定制化业务需求。 使用UDFScript前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用UDFScript后的请求处理过程： 1. 网关收到客户端请求时，执行业务脚本，对用户的请求进行业务处理。 2. 网关处理完业务脚本的业务逻辑后，继续处理控制台标准化的配置。 3. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 4. 如果不符合缓存规则，则由网关处理后，请求回源。 5. 源站返回响应内容，网关响应给客户端。 使用说明 UDFScript由全局字典、全局task脚本、业务脚本三部分组成： 全局字典用来定义一块共享内存区域，全局task脚本可以从全局字典中读取数据，也可以把结果保存到全局字典中，业务脚本只能从全局字典读取数据。 全局task脚本用于定义后台周期性任务（非客户端请求触发），比如周期性同步远端配置数据到本地全局字典中。 业务脚本可以快速自定义控制台未支持的功能，例如定制化鉴权、请求头改写等。 您可以仅使用业务脚本实现简单的自定义功能，也可以把全局字典、全局task脚本、业务脚本三个结合起来使用，自定义更强大的功能。 变量信息，请参见UDFScript变量说明。 函数信息，请参见UDFScript函数说明。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 观察应用，确认依赖网络通信的模块（如调用外部API、数据库查询）是否出现响应缓慢或请求超时。 检查应用日志，确认是否有因超时而触发的重试、熔断或降级逻辑。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标 2、业务应用验证： 观察应用，确认其响应时间是否显著增加，或是否出现连接超时错误。 对于依赖 UDP 的服务（如DNS、部分音视频流），确认是否出现了功能异常或数据丢失。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标 2、业务应用验证： 观察应用，确认其响应时间是否显著增加，或是否出现连接超时错误。 对于依赖 UDP 的服务（如DNS、部分音视频流），确认是否出现了功能异常或数据丢失。

本章节介绍请求身份认证 概述 请求身份认证（RequestAuthentication）定义了终端用户请求网格服务时候的身份认证策略；如果认证信息非法，请求将被拦截；默认情况下，如果不带身份认证信息，请求将被放过，可以配置特定授权策略要求请求的身份信息不能为空来拦截身份认证信息为空的请求。 请求身份认证配置粒度 请求身份认证策略支持三种，全局、命名空间和工作负载级；当策略的命名空间为系统命名空间时（默认为istiosystem），策略为全局生效；当策略命名空间不是系统命名空间，且没有选择工作负载，策略将只在当前命名空间生效并覆盖全局策略；当策略在非系统命名空间，且选择了工作负载，则只对指定工作负载生效。 下面的配置中RequestAuthentication定义了foo命名空间下匹配app： httpbin标签的工作负载使用的jwt认证策略，同时AuthorizationPolicy定义了对请求来源的匹配，要求认证信息不能为空。 apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication metadata: name: httpbin namespace: foo spec: selector: matchLabels: app: httpbin jwtRules: issuer: "issuerfoo" jwksUri: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: foo spec: selector: matchLabels: app: httpbin rules: from: source: requestPrincipals: [""] 创建请求身份认证 1. 进入网格控制台，选择 网格安全中心 –> 请求身份认证菜单。 2. 选择命名空间，列表页会展示当前命名空间下的请求身份认证策略。 3. 点击创建按钮，进行请求身份认证的创建。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现响应延迟增加或请求超时。 对于依赖 UDP 的服务（如DNS查询、部分音视频流），确认是否出现了功能异常或数据丢失。 检查应用日志，确认是否有因超时或重传而产生的错误。 确认 Kubernetes 的 liveness/readiness 探针是否因丢包而探测失败，导致 Pod 被重启。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到Proxy节点停止 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例状态： 登录分布式缓存服务Redis版 控制台，进入目标实例的Redis节点管理页，查看节点状态的状态变化。 登录分布式缓存服务Redis版 控制台，进入目标实例的运行日志页，查看目标 Proxy 节点停止和开启的运行日志。 2、业务应用验证： 观察业务应用表现，确认是否出现连接中断、请求超时或请求失败等异常。 如果您的实例配置了多个 Proxy 节点，验证客户端（如 Jedis、Lettuce）的负载均衡和故障转移策略是否生效，即连接是否能自动切换到其他健康的 Proxy 节点上。

本节主要介绍 锁&事务 。 InnoDB锁等待 该功能展示了当前时刻(实时)数据库的DML操作之前的锁等待的信息，可以快速帮助定位多个会话因同时更新同一条数据，而产生的会话等待和阻塞，并且支持快速终止持有锁的源头会话，从而恢复被阻塞的操作。 说明 DDL锁(Metadata Lock, MDL)，不在当前功能的范围之内，可以使用元数据锁进行分析和查看。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 选择“锁&事务”下的“InnoDB锁等待”，即可查看是否存在锁等待。 元数据锁 元数据锁(Metadata Lock, MDL)，其作用是用于解决DDL操作与DML操作的一致性。通常DDL操作需要获取MDL写锁，并且MDL锁一旦发生，可能会影响数据库的性能，因为后续对该表的任何Select、DML、DDL操作都会被阻塞，造成连接积压。 该功能展示了当前时刻(实时)数据库的MDL锁的信息，可以快速帮助定位MDL问题、终止持有MDL锁的会话，从而恢复被阻塞的操作。

策略名称 策略描述 类别 授权范围 lasadmin 日志审计（原生版）系统管理员策略。 系统策略 全局级 lasaudit 日志审计（原生版）审计管理员策略。 系统策略 全局级 lassecurity 日志审计（原生版）安全管理员策略。 系统策略 全局级 lasbusiness 日志审计（原生版）业务员策略，仅支持使用日志审计实例，不支持订单操作相关操作。 系统策略 全局级

本页介绍了文档数据库服务系统集合。 在文档数据库服务4.0版本中，系统集合包括以下这些： ● admin.system.roles 存储角色定义 ● admin.system.users 存储用户定义 ● admin.system.version 存储集群/副本集版本信息 ● local.startuplog 存储启动日志 ● config.system.sessions 存储会话信息 ● config.transactions 存储事务信息 ● config.settings 存储设置 ● config.databases 存储数据库定义 ● config.collections 存储集合定义 ● config.views 存储视图定义 ● config.minversions 存储数据库中最小文档版本 ● config.fns 存储DBRef相关信息 ● config.oplog.$main ops log 主集合 ● config.oplog.rs ops log 副本集特有 ● config.oplog.local ops log mongos 特有 ● [database name].system.namespaces 存储名称空间信息 ● [database name].system.indexes 存储索引定义 ● [database name].system.js 存储MR/如程序 ● [database name].system.profile 存储profile信息 ● [database name].system.users 存储数据库用户信息

角色名称 类型 作用范围 描述 CFW admin 系统默认角色 全局 全局策略，拥有所有读写权限 CFW viewer 系统默认角色 全局 只读策略，拥有只读权限

本节主要介绍分布式消息服务Kafka的功能特性 消息收发 消息发送，支持指定分区发送、同步发送、异步发送、分区批量累积发送；支持身份认证，客户端连接Broker时使用SSL或SASL进行验证，数据传加密传输；支持ACL机制，提供客户端读、写权限认证。支持通过压缩算法实现消息体压缩，减少网络传输数据量，提高Kafka的消息发送吞吐量。 消息消费，支持指定Partition消费、指定分区的offset消费；采用poll方式，支持批量消费，支持广播消费。 消息有序性 针对消息有序的业务需求，分为全局有序和局部有序。 全局有序：一个Topic下的所有消息都需要按照生产顺序消费。 局部有序：一个Topic下的消息，只需要满足同一业务字段的要按照生产顺序消费。例如：Topic消息是订单的流水表，包含订单orderId，业务要求同一个orderId的消息需要按照生产顺序进行消费。 由于Kafka的一个Topic可以分为了多个Partition，Producer发送消息的时候，是分散在不同 Partition的。当Producer按顺序发消息给Broker，但进入Kafka之后，这些消息就不一定进到哪个Partition，会导致顺序是乱的。因此要满足全局有序，需要1个Topic只能对应1个Partition。 要满足局部有序，只需要在发消息的时候指定Partition Key，Kafka对其进行Hash计算，根据计算结果决定放入哪个Partition。这样Partition Key相同的消息会放在同一个Partition。此时，Partition的数量仍然可以设置多个，提升Topic的整体吞吐量。

本文为您介绍DRDS管理命令中的XA命令。 UDAL XA START 语法说明 启动XA分布式事务 示例 plaintext mysql> UDAL XA START; + Xid + node1de0f69041 + 1 row in set (0.00 sec) UDAL XA RECOVER [ DATANODE {DN}XID {XID}] 语法说明 在所有或特定数据节点中，查看未终止的XA分布式事务 示例 plaintext mysql> UDAL XA RECOVER; +++++ Id Xid State Runtime Frontendstate +++++ 56639 node1de0f69041 XAACTIVE 105 alive +++++mysql> UDAL XA RECOVER [ DATANODE {DN}XID {XID}]; +++++ Id Xid State Runtime Frontendstate +++++ 56639 node1de0f69041 XAACTIVE 85 alive +++++ 1 row in set (0.00 sec) UDAL XA COMMIT [XID] WHERE DN [DATANODE] 语法说明 XA提交特定的XA分布式事务。 注意 命令中的XID指的是mysql prepare后的XID，不是UDAL XA START启动时的XID，在异常情况下才会出现，因此，直接执行该命令会报错。 示例 plaintext mysql> UDAL XA COMMIT [node1de0f69041] WHERE DN [UDALADMIN01]; ERROR 3023 (HY000): UDAL Command execution error: UDAL XA COMMIT [node1de0f69041] WHERE DN [UDALADMIN01] expect literal string,but get token LBRACKET ,value commit

弹性伸缩策略表 弹性伸缩提供2种系统策略，具体见下表： 策略名称 策略类型 策略描述 scaling admin 系统策略 对弹性伸缩所有资源具备操作权限。 sacaling viewer 系统策略 对弹性伸缩所有资源具备只读权限。 弹性伸缩权限三元组表 下表是弹性伸缩服务相关权限三元组及生效范围： 控制台权限 权限三元组 IAM（资源池/全局） 企业项目（资源组） 创建弹性伸缩组 as:groups:create ✓ ✓ 修改伸缩组 as:groups:update ✓ ✓ 启用/停用伸缩组 as:groups:action ✓ ✓ 删除伸缩组 as:groups:delete ✓ ✓ 伸缩组更换伸缩配置 as:groups:change ✓ ✓ 查看伸缩组列表 as:groups:list ✓ ✓ 查看伸缩组详情(伸缩实例、监控、伸缩活动、伸缩策略) as:groups:get as:instances:list as:activity:list as:policies:list vpc::list vpc::get ecs::listecs::get img::list img::get evs::list evs::get ✓ ✓ 实例移入伸缩组 as:instances:move ✓ ✓ 实例移出伸缩组 as:instances:leave ✓ ✓ 实例移出伸缩组并释放 as:instances:delete ✓ ✓ 开启实例保护 as:instances:protect ✓ ✓ 取消实例保护 as:instances:unprotect ✓ ✓ 查询伸缩组实例列表 as:instances:list ✓ ✓ 查询伸缩活动列表 as:activity:list ✓ ✓ 创建伸缩策略 as:policies:create cm:alarmRules: ✓ ✓ 立即执行/启用/停用伸缩策略 as:policies:action cm:alarmRules: ✓ ✓ 修改伸缩策略 as:policies:update cm:alarmRules: ✓ ✓ 删除伸缩策略 as:policies:delete cm:alarmRules: ✓ ✓ 查询伸缩策略列表 as:policies:list ✓ ✓ 查询伸缩策略详情 as:policies:get ✓ ✓ 创建伸缩配置 as:configs:create ecs: : evs: : ims:: ✓ ✓ 修改伸缩配置 as:configs:update ecs:: evs:: ims:: ✓ ✓ 复制伸缩配置 as:configs:copy ecs:: evs:: ims:: ✓ ✓ 删除伸缩配置 as:configs:delete ✓ ✓ 查看伸缩配置列表 as:configs:list ✓ ✓ 查看伸缩配置详情 as:configs:get ✓ ✓ 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

本章节主要介绍翼MapReduce服务中Spark组件性能优化后的TPCDS测试结果。 背景介绍 集群环境 天翼云翼MapReduce Spark版本/开源Spark3.3.3版本 USED Processors/Cores/Threads: 1001+30 YARN Cores(Threads) USED Memory: 5001+60 GB YARN Memory Total Processors/Cores/Threads: (40+6)/(1040+168)/(1040+336) 关闭超线程 Total Memory: 7680+384 GBYARN Memory Master节点（3台）： Processors: 2 Intel(R) Xeon(R) Gold 6348 CPU @ 2.60GHz, 28 Cores Memory: 128 GB Network: Bandwidth: 40 Gbps Storage Device: 2 480 GB SSD Disk (boot disk) 12 8 TB HDD Core节点（20台）： Processors: 2 Intel(R) Xeon(R) Gold 5320 CPU @ 2.20GHz, 26Cores Memory(3 Types): 384GB(13台 16 GB 24，16台32 GB 12，1台16 GB 4+32 GB 8) Network: Bandwidth: 25 Gbps Storage Device: 2 480 GB SSD (Boot disk) 2 3.2 TB PCIE NVMe SSD (Data disk) 8 12 TB HDD 操作系统： CTyunOS 2.0.1 测试目的及重点 本测试旨在测试天翼云翼MapReduce服务下Spark计算引擎的性能。重点测试Spark引擎进行10T数据量标准TPCDS测试的QphDS@SF分数，对比开源Spark3.3.3版本的分数。 QphDS@SF分数计算公式 参数名称 计算方式 单位 已确认数值 :::::: Sq 自定义（需≥4） Stream 4 SF 测试数据量的大小 GB 10000 Q Sq 99 Queries 396 Tload 数据导入的时间 Second Tld 0.01 Sq Tload Hour Tpower Power Test时间（99条SQL运行） Second Tpt Tpower Sq /3600 Hour Ttt1 Throughput Test 1时间（并行4个99条SQL） Second Ttt2 Throughput Test 2时间（并行4个99条SQL） Second Tdm1 Maintenance Test 1时间（事务操作） Second Tdm2 Maintenance Test 2时间（事务操作） Second Ttt ( Ttt1+Ttt2 )/3600 Hour Tdm ( Tdm1+Tdm2 )/3600 Hour 测试步骤

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程终止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到终止进程动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 如果被终止的是一个由 systemd 管理的服务，执行 systemctl status [服务名]。服务的状态会显示为 inactive (dead) 或 failed，并可能看到其自动重启的记录。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程终止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到终止进程动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 如果被终止的是一个由 systemd 管理的服务，执行 systemctl status [服务名]。服务的状态会显示为 inactive (dead) 或 failed，并可能看到其自动重启的记录。

1、　请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、　全局请求返回错误码 错误 码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

1、请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、全局请求返回错误码 错误 码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

作业失败无法查看节点错误日志? 错误日志是在OBS中存储，查看日志的当前账户需要具有OBS读权限。可以通过检查IAM中OBS权限、OBS桶策略来确认。 说明 用户在创建作业时，会默认创建dlflog{projectID}命名的桶，此桶若存在，会跳过创建。 配置委托时获取委托列表失败如何处理？ 当配置工作空间级或者作业级委托，查看委托列表时，报如下错误： Policy doesn't allow iam:agencies:listAgencies to be performed. 则需要使用帐号给当前用户添加“查看委托列表”的权限。 先创建自定义策略（查询指定条件下的委托列表），再通过给用户组授予自定义策略来进行精细的访问控制。 1. 登录控制台。 2. 在控制台页面，鼠标移动至右上方的帐号名，在下拉列表中选择“统一身份认证”。 3. 在左侧导航窗格中，单击“权限”>“创建自定义策略”。 4. 输入“策略名称”。 5. 选择“作用范围”，即自定义策略的生效范围，根据服务的部署区域选择，这里我们要授予的是IAM查询指定条件下的委托列表的权限。因IAM是全局级服务，所以作用范围选择“全局级服务”。 6. “策略配置方式”选择“可视化视图”。 7. 在“策略内容”下配置策略。 a.选择“允许” b.选择“云服务”为“统一身份认证服务”。 c.选择“操作”，勾选产品权限（iam:agencies:listAgencies）。 8. 单击“确定”，自定义策略创建完成。 9. 参见，给当前用户所在的组添加步骤7中定义的策略。 当前用户退出系统，重新登录后，即可正常获取委托列表。

本节为智能语音交互API状态码说明。 请求状态码 常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 全局请求返回错误码 错误码 描述 10002 生成签名时官网ak信息错误 10009 签名验证失败 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到DNS篡改动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod，确认访问被篡改域名的流量是否已被重定向。 评估此重定向对业务功能造成的具体影响，例如页面无法访问、API调用失败或连接到错误的服务。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到DNS篡改动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod，确认访问被篡改域名的流量是否已被重定向。 评估此重定向对业务功能造成的具体影响，例如页面无法访问、API调用失败或连接到错误的服务。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到Broker 磁盘IO高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测磁盘读/写速率指标。 登录分布式消息服务Kafka控制台，进入目标实例的监控指标页，观测磁盘读/写速率指标。 2、业务应用验证： 检查生产者和消费者应用的日志，确认是否存在因连接超时、请求处理缓慢或发送/拉取失败而产生的错误或警告。