DDoS基础防护 DDoS基础防护功能介绍 DDoS基础防护产品依托天翼云资源池网络，在公网IP遭受DDoS攻击时免费提供一定DDoS防护阈值，在阈值内尽可能确保IP可用。当IP遭受的DDoS攻击峰值超过IP的DDoS防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态。 DDoS基础防护封禁阈值计算方式 DDoS基础防护依托天翼云资源池网络，为公网IP免费提供一定DDoS防护阈值，该阈值与公网IP带宽规格、公网IP绑定资产类型和公网IP所在资源池相关。 IP带宽越大，分配的网络资源就会越多，能对抗的DDoS攻击峰值越高，DDoS防护阈值越大。 IP绑定的资产类型属于负载型的资产时，如ELB、WAF等，相较于IP绑定到ECS云主机资产或未绑定资产，负载型资产本身分配的网络资源较多，能对抗的DDoS攻击峰值更高，DDoS防护阈值更大。 资源池内所有EIP遭受的DDoS攻击最终都会对资源池网络造成影响，为防止资源池网络整体产生波动，资源池会设定一个DDoS防护阈值作为资源池防护的底线。该阈值被同一时间所有受攻击的IP均分，例如当多个IP同时被攻击时，受攻击的多个IP会均分该阈值。 公网IP的DDoS防护阈值为IP带宽DDoS防护阈值，IP资产类型DDoS防护阈值，IP资源池DDoS防护阈值中取最小值，因任意类型的阈值超限均会对IP所在资源池、服务器或网络产生稳定性影响，具体计算公式如下。计算结果为理论底线数值，当IP所在服务器和资源池网络畅通时，DDoS基础防护会尽可能为IP提供更高的DDoS防护阈值。 公网IP的DDoS防护阈值 MIN（IP带宽DDoS防护阈值，IP资产类型DDoS防护阈值，资源池DDoS防护阈值/同一时间遭受DDoS攻击的IP数量）。 其中IP带宽防护阈值具体计算方式如下表。 IP带宽范围 IP带宽DDoS防护阈值 IP带宽≤200Mbps 2Gbps 200Mbps＜IP带宽≤500Mbps 5Gbps 500Mbps＜IP带宽 8Gbps 其中IP资产类型防护阈值具体计算方式如下表。 IP绑定资产类型 IP资产类型DDoS防护阈值 ELB、NAT、VPN 8Gbps vcpu（核数）≥4规格VM 5Gbps vcpu（核数）2规格VM 2Gbps vcpu（核数）1规格VM 1Gbps 其中IP资源池防护阈值具体计算方式如下表。 资源池 IP资源池DDoS防护阈值 默认 15Gbps/同一时间遭受DDoS攻击的IP数量

本节主要介绍搜索日志 当需要通过日志来分析和定位问题时，使用日志搜索功能可帮您快速在海量日志中查询到所需的日志，您还可结合日志的来源信息和上下文原始数据一起辅助定位问题。 操作步骤 步骤 1 在AOM左侧导航栏中选择“日志 > 日志搜索”。 步骤 2 在“日志搜索”页面中选择日志页签（即组件、系统、主机）并按照界面提示设置日志查询条件。 步骤 3 查看日志搜索结果。 搜索结果中，关键词会高亮显示，同时会根据日志的采集时间对搜索结果进行排序，以方便您查看。您可单击“时间”列的进行切换排序。 为默认排序，为按时间正序排序（即时间最新的日志显示在最后方），为时间倒序排序（即时间最新的日志显示在最前方） 1、单击日志列表左侧的箭头，可进一步查看该条日志的详细信息。 2、AOM支持查看上下文信息，您不用在原始日文文件中上下翻页查找日志，单击“操作”列的“上下文”，即可查看该日志的前若干条（即上文）或后若干条（即下文）的日志，方便您定位问题。 在“上下文显示行数”下拉列表框中，可设置该条日志的上下文原始数据显示行数。 说明 例如，设置“上下文显示行数”为“200”。 若该日志之前已打印的日志条数 ≥100，该日志之后已打印的日志条数 ≥99，则该日志之前的100条和之后的99条日志会被作为上下文显示。 若该日志之前已打印的日志条数 <100（例如，已打印90条日志），该日志之后已打印的日志条数 <99（例如，已打印80条日志），则该日志之前的90条和之后的80条日志会被作为上下文显示。 单击“导出本页”，可将已显示的日志上下文原始数据导出到本地。 说明 为了保障租户主机和组件的正常运行，租户的主机上会运行部分系统提供的组件（例如，kubedns）。查询租户日志时也会查询到这些组件的日志。 步骤 4 （可选）单击“”，选择导出格式，将搜索结果导出到本地。 导出的日志内容已按步骤3中您选择的排序方式进行了排序，且最多导出已排序的前5000条日志。例如，搜索结果中总共有6000条日志，已选择的排序方式是倒序，则只能导出时间最近的前5000条日志。 支持以CSV格式和TXT格式导出日志，您可根据需求灵活选择。CSV格式可导出日志的内容、主机IP、来源等详细信息。TXT格式只能导出日志的内容，每行为一条日志，如果单条日志内容较多时建议使用Notepad++编辑器打开。 以CSV格式导出日志 以TXT格式导出日志

参数 是否必填 参数类型 说明 示例 下级对象 custName 否 String 主机名称 testservername serverIp 否 String 防护服务器IP 192.168.1.1 os 否 String 操作系统 Linux/Windows Linux secureStatus 是 Integer 服务器防护状态，0:关闭防护，1:开启防护 1 agentGuid 是 String guid 111111111111

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx flavorType 是 String 主机规格类型。枚举值范围：[Common通用型, GpuGPU型, Hpn高性能网络型, Kp鲲鹏, Hg海光] billMode 否 String 计费方式。枚举值[ResBag资源包，Cycle包月计费]，默认为ResBag

本文为您介绍山石防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group14 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录防火墙Web页面，在网络>VPN>IPsec VPN页面，在右上角的相关配置中选择P1提议，进入P1提议页面。 2. 在P1提议页面，单击“新建”，进入阶段1提议配置页面。 3. 在阶段1提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 4. 在右上角的相关配置中选择P2提议，进入阶段2提议页面。 5. 在P2提议页面，单击“新建”，进入阶段2提议配置页面。 6. 在阶段2提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 7. 在IPsec VPN页面， 单击“新建”，进入IPsec VPN配置页面。 8. 在IPSec VPN配置页面，展开“对端选择”下拉框，单击，进入VPN对端配置页面。 9. 在VPN对端配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”，完成配置。 10. 在IPsec VPN配置页面，选择创建好的对端体，并根据天翼云IPsec连接中的配置信息完成隧道配置，单击“确定”。 11. 配置完成后，可以在IPsec VPN页面查看相关配置信息。 12. 在网络>安全域页面，单击“新建”按钮新建安全域。在安全域名称页面，输入安全域的名称，并在类型中选择三层安全域。 13. 在网络>接口页面，单击“新建”隧道接口，在隧道接口配置页面，根据提示输入配置接口名称、安全域、IP配置、绑定隧道配置（选择IPSec VPN及VPN名称）等，单击“确定”，完成配置。 14. 在策略>安全策略页面，单击“新建”，进入安全策略页面。根据提示输入配置，单击“确定”，配置完成。 15. 在网络>路由页面，单击“新建”分别添加上行和下行路由。 上行路由：目的地址为天翼云VPC的网段，下一跳为新建的隧道接口。 下行路由：如果目的网段非本地直连路由，请按需添加下行路由。 16. 测试连通性。 可以利用您的云主机和您的数据中心主机进行连通性测试。

前置条件 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储 ，详见++对象存储快速入门++、++并行文件服务快速入门++。 2. 已在本平台完成相关产品的委托授权。 操作说明 基础数据集统一走挂载模式，需要您提前在存储的管理面完成数据导入、记录路径等前置操作，您在本平台只需填写已有存储的路径，平台将在任务中自动挂载该路径。基础数据集的存储方式包括普通存储、智算存储与其他存储： 普通存储（ZOS）： 账号自有存储：指租户在天翼云官网同资源池下开通的对象存储，用于数据长期存储和备份，完成委托授权后您可在本平台直接使用。 平台共享存储：本平台赠予您体验的存储，默认集群额度为 300G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往对象存储购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 智算存储（HPFS）： 账号自有存储：指租户在天翼云官网同资源池下开通的HPFS存储，常用于大模型的开发和训练等数据密集性的高性能计算场景，完成委托授权后您可在本平台直接使用。如需使用开发机和训练任务功能，请提前将数据、模型、代码导入智算存储中。训练时需要与文件存储频繁交互，请确保存储状态可用且充足。 平台共享存储：您在本平台开通的共享存储，默认集群额度为 512 G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往HPFS购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 其他存储：天翼云的集群分为两类：天翼云自建集群、与合作伙伴共营的其他集群，其中，自建集群对应自有存储，其他集群对应其他存储。其他存储便是指其他集群中对应配置的存储。该存储与集群强相关，您在开通相应的集群后平台会自动打通与存储的关联，不需要进行委托授权步骤。 上述可使用的存储类型都与集群强相关，例如集群A支持自有ZOS、自有HPFS，集群B支持自有其他存储，您不能在集群B下使用自有ZOS。您可切换顶部集群查看该集群支持的存储类型，也可事先联系您的客户经理了解集群的存储类型支持情况。

参数 是否必填 参数类型 说明 示例 下级对象 Condition 否 Array of Objects 用于描述应用指定重定向必须满足的条件 Condition Redirect 否 Array of Objects 容器用于重定向信息，可以将请求重定向到另一个主机、另一个页面或使用另一种协议，在发生错误时，可以指定要返回的不同错误代码 Redirect

该任务用于指导软件工程师安装部署PG控制台。 该任务用于指导软件工程师安装部署PG控制台。 操作步骤 上传组件模块程序包。 将获取PG二进制程序包(teledbx1.1.08k.x8664.tar.gz telepgconsole1.5.9.zip)程序包(直接使用下载后的程序包，不要修改程序包名)拷贝至已部署后端服务的主机的目录，如/app/pg/localpackage。

解析记录冲突解决方法 当出现“与已有解析记录冲突”提示时，如果仍要继续添加，一般情况下也可以采取如下处理方式： 设置不同的“主机记录”，为域名的子域名添加解析记录。 删除提示冲突的解析记录，然后再进行添加。 注意 删除解析记录可能导致解析不生效，请谨慎操作。

本章节主要介绍ALM16002 Hive SQL执行成功率低于阈值的告警。 告警解释 系统每30秒周期性检测执行的HQL成功百分比，HQL成功百分比由一个周期内Hive执行成功的HQL数/Hive执行HQL总数计算得到。该指标可通过“集群 > 待操作的集群名称 > 服务 > Hive > 实例 > 具体的HiveServer实例 ”查看。执行的HQL成功百分比指标默认提供一个阈值范围（90%），当检测到百分比指标低于阈值范围产生该告警。在该告警的定位信息可查看产生该告警的主机名，该主机IP也是HiveServer节点IP。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Hive > 执行成功的HQL百分比”修改阈值。 当系统在一个检测周期检测到该指标高于阈值的110%时，恢复告警。 告警属性 告警ID 告警级别 是否自动清除 16002 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 系统执行业务能力过低，无法正常响应客户请求。

人员账号 人员管理支持通过手工录入、批量导入等方式对人员信息进行统一管理，包括基础信息、账号信息和关联资产账号的管理，包括姓名、性别、部门、关注程度、人员状态、人员类型、人员标签、入职时间、身份证号、手机号码、人员职位、工号、邮箱、 账号、 账号、堡垒机账号等详细信息的录入与管理。 新增人员账号 1.在左侧导航栏选择“人员账号 > 人员管理”即可进入人员管理页面。 2.单击页面上的“新增”按钮，即可开始新增人员账号。 3.在弹出的对话框中填写相关信息。 4.填写完成后，单击“保存”即可新增人员。 查看人员档案 在人员管理页面，选择需要查看档案的人员，单击操作列的“档案”按钮，即可跳转至档案页面。 资产账号 资产账号支持通过手工录入、批量导入等方式对数据库账号、应用账号信息进行统一管理，包括账号名、账号类型、关联资产、主机 、使用人、标签等详细信息的录入与管理，并支持对账号信息的编辑、删除操作，同时提供按账号名、使用人、账号类型、关联资产、主机 、账号标签等条件的搜索功能。

本章节主要介绍 补丁操作指导 。 当您通过如下途径获知集群版本补丁信息，请根据您的实际需求进行补丁升级操作。 通过消息中心服务推送的消息获知MapReduce服务发布了补丁信息。 进入现有集群，查看“补丁信息”页面，呈现补丁信息。 安装补丁前准备 请参见执行健康检查检查集群状态，确认集群健康状态正常后再安装补丁。 您根据“补丁内容”中的补丁信息描述，确认将要安装的目标补丁。 安装补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“安装”，安装目标补丁。 说明 滚动补丁操作请参见 对于集群中被隔离的主机节点，请参见 卸载补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“卸载”，卸载目标补丁。 说明 滚动补丁操作请参见 对于集群中被隔离的主机节点，请参见

检查HMaster和依赖组件之间的网络连接 23.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > HBase”。 24.单击“实例”，显示HMaster实例列表，记录“HMaster(主)”行的“管理IP”。 25.以omm用户通过步骤24获取的IP地址登录主HMaster节点。 26.执行ping命令，查看主HMaster节点和依赖组件所在主机的网络连接是否正常。（依赖组件包括ZooKeeper、HDFS和Yarn等，获取依赖组件所在主机的IP地址的方式和获取主HMaster的IP地址的方式相同。） 是，执行步骤29。 否，执行步骤27。 27.联系网络管理员恢复网络。 28.在告警列表中，查看“HBase服务不可用”告警是否清除。 是，处理完毕。 否，执行步骤29。 收集故障信息 29.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 30.在“服务”中勾选待操作集群的如下节点信息。 ZooKeeper HDFS HBase 31.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 32.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节介绍如何通过公网连接数据库实例。 准备工作 1、安装Microsoft SQL Server客户端 2、 绑定弹性公网IP并设置安全组规则 对目标实例绑定弹性公网IP。 获取本地设备的IP地址。 设置安全组规则。 将获取的IP地址及目标实例的端口加入安全组允许访问的范围中。 使用ping命令连通2.a 中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 普通连接 步骤 1 启动SQL Server Management Studio客户端。 步骤 2 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 主机IP为已绑定的弹性公网IP地址。 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库帐号，默认管理员帐号为rdsuser。 “密码”即待访问的数据库帐号对应的密码。 步骤 3 单击“连接”，连接实例。 若连接失败，请确保各项准备工作正确配置后，重新尝试连接。

二、Shell 脚本内容 shell !/bin/bash 检查远程主机上指定服务进程是否正在运行 status$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno o ConnectTimeout5 ${HostUser}@${HostIP} "pgrep ${serviced} > /dev/null; echo $?") 根据进程状态执行相应操作 if [ "$status" eq 0 ]; then 进程正在运行，执行重启操作 retCode$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno ${HostUser}@${HostIP} "sudo systemctl restart ${serviced}; echo $?") else 进程未运行，执行启动操作 retCode$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno ${HostUser}@${HostIP} "sudo systemctl start ${serviced}; echo $?") fi if [ "$retCode" eq 0 ]; then echo "0" else echo "1" fi 实现说明 1. 远程连接与命令执行 ：使用 sshpass 工具通过密码认证建立 SSH 连接，在远程主机上执行相应命令 2. 进程状态检测 ：通过 pgrep ${serviced} 命令检查指定进程是否运行 进程正在运行：返回状态码 0 进程未运行：返回状态码 1 3. 服务管理： 当检测到进程运行时，执行 systemctl restart 命令重启服务 当检测到进程未运行时，执行 systemctl start 命令启动服务 4. 返回值处理 ：通过 ${retCode} 获取命令执行结果，0 表示成功，非零值表示失败 参数配置 在"脚本参数"中需要配置以下参数： 请求参数： ${serviced}：需要监控的守护进程名称 返回参数： ${retCode}：用于捕获脚本执行结果的状态码

本章节主要介绍ALM24003 Flume Client连接中断的告警。 告警解释 告警模块对Flume Server的连接端口状态进行监控。当Flume Client连接到Flume Server的某个端口，Client端连续3分钟未与Server端连接时，系统产生此告警。 当Flume Server收到Flume Client连接消息，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 客户端IP Flume客户端IP地址。 客户端名称 Flume客户端的Agent名称。 sink名称 Flume Agent的sink名称。 对系统的影响 产生告警的Flume Client无法与Flume Server端进行通信，Flume Client端的数据无法传输到Flume Server端。 可能原因 Flume Client端与Flume Server端网络故障。 Flume Client端进程故障。 Flume Client端配置错误。 处理步骤 检查Flume Client与Flume Server的网络状况 1.以root用户登录到告警定位参数中描述的Flume ClientIP所在主机。 2.执行ping Flume Server IP地址命令，检查Flume Client到Flume Server的网络是否正常。 是，执行步骤3。 否，执行步骤11。 检查Flume Client端进程故障 3.以root用户登录到告警定位参数中描述的Flume ClientIP所在主机。 4.执行ps efgrep flume grep client命令，查看是否存在Flume Client进程。 是，执行步骤5。 否，执行步骤11。

本节主要介绍设置应用组件实例调度策略 ServiceStage支持丰富的调度策略，包括静态的全局调度策略，以及动态的运行时调度策略，您可以根据需要自由组合使用这些策略来实现业务需求。 概念阐述 应用与可用区的亲和性 亲和：决定应用组件部署在特定的可用区中。 反亲和：决定应用组件不能部署在特定的可用区中。 应用与节点间的亲和性 亲和：决定应用组件部署在某些特定的主机中。 反亲和：决定应用组件不能部署在某些特定的主机中。 应用间的亲和性 决定应用组件部署在相同或不同节点中。 亲和：用户可根据业务需求进行应用组件的就近部署，应用组件间通信就近路由，减少网络消耗。如图1所示，APP1、APP2、APP3和APP4部署在相同节点上，为亲和性部署。 图 应用间亲和 反亲和：同个应用组件的多个实例反亲和部署，减少宕机影响；互相干扰的应用反亲和部署，避免干扰。 如图所示，APP1、APP2、APP3和APP4分别部署在不同节点上，这四个应用为反亲和性部署。 图 应用间反亲和

本文向您介绍新建息壤智算集群,帮助您了解息壤智算集群的基本情况。 息壤智算集群是用户账号在公共算力服务创建的用户专属集群，包含托管的k8s容器集群控制面和息壤上层平台所需的业务组件。 集群创建后，无需自行连接或登录控制面，以及自行修改或安装组件，而是通过息壤上层平台来使用。 当在上层平台运行业务时，可以选择共享集群或专属集群进行使用。 此功能目前只在部分资源池提供，具体资源池信息请询问客户经理 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。 2. 单击列表页上方的【创建集群】，进入创建页面。 3. 填写相应信息 1）输入集群名称、可用区、网络等基本信息。 字段名称 类型 是否必填 说明 集群名称 输入框 是 支持中英文、数字、下划线（），220个字符，不能以下划线开头。集群名称不能重复。 可用区 单选 是 根据各资源池的可用区显示。 业务节点类型 单选 是 当前仅支持裸金属，且默认选中；后续可能包括裸金属和云主机两类。 卡类型 单选 是 当节点为裸金属是：包括英伟达和昇腾两个类型，默认选中英伟达。 虚拟私有云 下拉单选 是 点击可刷新VPC列表，点击【创建VPC】新打开页面跳转至创建虚拟私有云页面。 子网 下拉单选 是 子网下的普通子网类型，点击选择VPC子网，点击【创建子网】跳转至所选VPC的添加子网页面。 安全组 显示 是 默认查询是否有对应的安全组，如有则展示，如无则需要点击自动创建按钮进行创建，管理节点的安全组名称带系统前缀，用以区分用户自用的安全组：例如cpsxxxx。可点击自动创建按钮。可点击“配置策略规则”连接，查看具体安全组策略。 调度策略 多选项 否 支持DRF，Binpack ,Gang三种调度策略，可以多选。 描述 输入框 否 2）点击 【下一步：集群控制面配置】，进入下一步配置，输入相关信息。 字段名称 类型 是否必填 说明 集群规模 单选 是 包括4种，1100节点，101300节点，301500节点，5001500节点，默认选择 1100节点。 计费模式 单选 是 目前支持包年包月计费方式。 时长 选择 是 目前支持包年包月支持选择111月，默认1个月。 续订方式 选项 是 包括自动续订，手动续订。 规格 单选 是 选择资源池可选的规格。 系统镜像 单选 是 选择管理节点的操作系统。 系统盘 单选 是 仅支持超高IO类型，最小40G，系统盘规格范围402048G。 数据盘 单选 是 选择一块数据盘，仅支超高IO类型，最小500G，数据盘规格范围50032768G。 节点数量 输入框 是 根据集群规模自动匹配。 API Server 选择 是 选择标准I型，增强I型，高阶I型，默认标准I型。可通过“了解ELB” 查看ELB文档。 3）点击【下一步，确认信息】，进行开通信息确认，勾选协议，点击【立即创建】跳转官网支付，支付完成后即完成集群的创建，后续集群管理员便可在息壤智算集群列表/详情页中对集群进行管理。

名称 二级节点 位置 类型 必选 说明 labelType body Integer 是 资源标签分类标识，1主机，2实例,这里固定传2 labels body Array 是 标签列表,一次最多只能新增50个 labelName body String 是 资源标签名称，同一租户下标签名称唯一、平台标签名称唯一 labelValue body String 否 标签值 remark body String 否 标签说明

参数名称 描述 节点规格 选择节点组内主机的规格类型。 节点数量 设置新增节点组内的节点数量。 系统盘 设置新增节点的系统盘的规格与容量。 数据盘/数据盘数量 设置新增节点的数据盘的规格与容量及数量。 部署角色 新增节点组内，各节点的实例部署发布，可手动调节。

参数名称 描述 节点规格 选择节点组内主机的规格类型。 节点数量 设置新增节点组内的节点数量。 系统盘 设置新增节点的系统盘的规格与容量。 数据盘/数据盘数量 设置新增节点的数据盘的规格与容量及数量。 部署角色 新增节点组内，各节点的实例部署发布，可手动调节。

本节主要介绍导入和导出安全组规则。 使用说明 在需要快速恢复或者创建安全组规则时，可以通过导入安全组规则的功能将导出的安全组规则文件导入到安全组中。 在需要对已有安全规则进行备份时，可以通过导出安全组规则的功能将对应安全组下的规则导出EXCEL或者JSON文件。 默认的安全组不支持导出安全组规则的操作。 在使用导入安全组规则时会创建一个新的安全组。 导出安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要导出安全组规则的安全组，在操作栏中单击【导出】，在弹出栏中选择导出的文件格式“EXCEL格式”或者“JSON格式”，单击对应的格式即可完成导出安全组规则，导出文件会自动下载到本地电脑。 导入安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【导入安全组】，在弹出栏中选择导入的安全组规则的格式“EXCEL格式”或者“JSON格式”。 3. 在弹出框中填入对应的参数和上传对应的安全组规则文件，单击【点击上传】把对应的安全组规则文件进行上传。 导入安全组规则参数说明： 参数 说明 安全组名称 自定义导入的安全组规则所对应的安全组名称。 配置文件 安全组规则的配置文件，若选择EXCEL格式则上传EXCEL格式的文件，若选择JSON格式则上传JSON格式的文件。 描述 可选项，对当前导入安全组规则对应的安全组的描述信息。 4. 配置相关的参数后，单击【确认】执行导入。 注意 如选择EXCEL格式上传，请先下载EXCEL上传模板，严格按照模板填写要求填写出入方向安全规则，否则会导入失败，填写完后再点击上传导入。

产品规格、计费单位、价格及应用场景说明，帮助您快速了解产品总体计费模式。 本产品按照服务的类型、人员数、服务周期及服务资产数进行收费。 注意 购买基础版、企业版前，应至少已订购主机安全、WAF、云防火墙安全产品。 服务项 细分项 资产数 单位 价格 应用场景 备注 基础版 基础版接入服务 元/年 40800 基础费用，包含服务接入、资源配置等 基础版 基础版资产 1 元/台/年 720 单个资产托管费用 企业版 托管基础服务 元/年 60000 基础费用，包含服务接入、资源配置等 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 企业版 托管资产 1 元/台/年 1800 单个资产托管费用 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 护航版 前期评估 150 元/天 10000 对资产、网络、应用进行重保前的整体安全评估，协助用户完成安全加固 最低5天 护航版 重保服务 150 元/天 12000 提供724小时不间断人工重保服务，持续进行安全监控及应急响应 护航版 防护资产扩展包 50 元/天/个 8000 扩展重保服务监控资产数量 每新增1个资产扩展包，安全检查最低天数增加1天 护航版 蓝军攻击服务（3人5天） 元/次 450000 提供3人5天的蓝军攻击服务，提供攻击报告 应急响应服务 应急响应服务 120 元/次 35000 提供远程应急响应服务，受影响范围为120个资产 应急响应服务 应急响应服务 21100 元/次 36000 提供远程应急响应服务，受影响范围为21100个资产 应急响应服务 应急响应服务 101200 元/次 39600 提供远程应急响应服务，受影响范围为101200个资产 应急响应服务 应急响应服务 201500 元/次 52000 提供远程应急响应服务，受影响范围为201500个资产 安全评估 安全评估服务 元/次 30000 对云上资产、应用、网络进行整体安全评估，提供评估报告，提供加固建议 全流量分析服务 元/月 3500 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。 全流量分析服务 元/年 35000 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。

本小节介绍微隔离防火墙功能特性。 工作负载标签化管理 零信任访控需要面向身份，微隔离的控制需要面向业务，这二者的关联是什么？对于“非人实体”而言，他的身份其实是他的业务角色，这一点其实与“真人实体”并没有什么差异（小张、小李不是身份，这个人的业务角色才是授予他权限的依据）。 工作负载标签化管理，是指基于多维属性标签，刻画工作负载业务角色、标定工作负载资产身份的管理设计。标签化是实现基于业务的互访流量可视化、面向业务的访问控制和自适应策略计算的基础能力； 通常情况下，可通过工作负载的位置、环境、应用、角色等属性定义标签； 在进行策略配置时，我们是通过标签的组合来设定策略控制的范围的。所以，从工作负载本身到角色，到带有多维标签的身份、再到使用多维标签的策略范围，我们通过五层实体、四次动态映射实现了安全策略与基础设施解耦（即面向业务而非基础设施）。 微隔离访问控制 支持内部云主机之间的微隔离访问控制（东西向），基于拓扑设置安全策略、可减少内部安全策略总数的90%。 当我们理清了内部连接的基线模型后，就要开始进行策略配置了。东西向流量的策略配置复杂度比较高，我们也进行了针对性的设计： 首先，上面提到策略是基于标签而配置的，一方面实现了安全策略面向业务（而非基础设施），另一方面则大幅减少了基于IP地址的策略规模，降低了系统运算量及性能开销； 其次，我们的策略具有多种模式，具备建设、测试、防护3种策略生效模式，最大化的降低安全策略部署过程中的业务影响； 第三，我们可以通过多种方式配置策略，比如在可视化视图中点击连接线，向导式的快速放通某个连接，又比如我们可以提供一个策略生成器，将当前的策略效果与实际发生的连接进行匹配，帮助客户分析出目前的策略配置没有覆盖到的连接，进而快速、批量的生成策略，最大化降低使用难度。 第四，对于有特殊需求的终端，我们也支持基于IPSec协议实现点到点的加密，最大化实现灵活管控。

版本 计费项 计费说明 基础版 无 免费体验，不计费。 专业版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 专业版 按包周期购买计费 提供包月和包年的购买模式。 专业版 按需购买计费 即开即停，按小时结算。

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id labelType body Integer 是 资源标签分类标识，1主机，2实例,这里固定传2 labelIds body List 否 标签id列表,一次最多只能设置20个，unTagAllfalse时，该值必填 unTagAll body boolean 否 是否全部解绑，不传入labelIds才有效

本章介绍如何查看配置检查的报告。 支持在线查看配置检查的检测详情。 操作步骤 1、在“配置检查”页面，单击配置检查基线名称。 2、在检测规则详情页面，单击“检测详情”。 3、您可以根据配置检测报告中的描述信息和修改建议，修复主机中含有风险的配置项或忽略可信任的配置项。

本章节主要介绍创建MRS Hive连接器。 MRS Hive连接适用于MapReduce服务，本教程为您介绍如何创建MRS Hive连接器。 前提条件 已创建CDM集群。 已获取MRS集群的Manager IP、管理员账号和密码，且该账号拥有数据导入、导出的操作权限。 MRS集群和CDM集群之间网络互通，网络互通需满足如下条件： −CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 −CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 −此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 新建MRS hive连接 1. 在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 图 选择连接器类型 2. 连接器类型选择“MRS Hive”后单击“下一步”，配置MRS Hive连接的参数，如下图所示。 图 创建MRS Hive连接 3. 单击“显示高级属性”可查看更多可选参数。这里保持默认，必填参数如下表所示。 表 MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 说明 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。 4. 单击“保存”回到连接管理界面，完成MRS Hive连接器的配置。

本文介绍如何在查询窗口进行表结构的新建、查询、编辑、删除等操作。 前提条件 已具备对应数据库的新建、查询、编辑、删除等权限。 注意事项 删除表操作不可回滚，请确保备份重要数据后再执行。 查询表结构 以查询MySQL表结构为例，操作步骤如下： 操作步骤 1. 进入查询窗口页面。 2. 在查询窗口左侧表 tab中，右键表名称打开操作框，点击表详情 。 新建/编辑表结构 注意 可视化地新建/编辑表结构功能暂时仅限MySQL、PostgreSQL、SQL Server类型数据库。 以新建/编辑MySQL表为例，操作步骤和界面介绍如下： 操作步骤 从实例元数据页面进入 1. 登录DMS系统。 2. 在左侧菜单栏中，选择 数据资产 >实例管理 ，选择库列表 。 3. 进入库列表 后，选择对象列表 ，展示当前库下的所有表。 4. 进入对象列表后，点击新建表 按钮，即可进入新建表页面；点击某个表的编辑按钮，即可查看该表的属性。 从查询窗口页面进入 1. 进入MySQL某个库下的查询窗口。如何进入查询窗口详见查询指引。 2. 选中某个表，右键，选择弹出菜单中的新建表 ，进入新建表页面；选择弹出菜单中的 编辑表 ，即可查看该表的属性。 界面介绍 新建表和编辑表的界面布局是一致的，不同的数据库类型，可能会有不同的模块信息供填写，以MySQL表为例，分为以下模块： 基本信息：填写表的名称、备注等整体属性。 列信息：填写列的数据类型、默认值、备注等属性。 索引信息：填写表的索引名称、索引类型等属性。 外键信息：填写表的外键名称、参考表列等属性。 约束信息：填写表的check约束表达式。 删除表 以删除MySQL表为例，操作步骤如下：

查看内网域名详情 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。进入内网DNS页面。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。 4. 在内网域名列表页面，查看内网域名详情。 修改内网域名 在使用内网域名的过程中，如果发现内网域名的配置信息不符合您的业务需求，可以通过修改内网域名功能，重新配置邮箱、描述信息。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS服务”。进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 4. 选择待修改的内网域名，单击“操作”列下的“修改”。系统进入“修改内网域名”页面。 5. 根据实际需要，修改邮箱或描述信息。 6. 单击“确定”，保存修改后的内网域名。 删除内网域名 当用户无需使用内网DNS服务托管该内网域名时，可以使用删除内网域名功能。删除内网域名后，该内网域名包含的域名将无法再被解析。 注意 执行删除内网域名操作前，请确认已备份该内网域名下所有用户创建的记录集。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。进入内网DNS服务页面。 3. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 4. 选择待删除的内网域名，单击“操作”列下的“删除”。 5. 单击“确定”，确认删除该内网域名。 批量导出内网域名 内网DNS支持批量导出内网域名信息，导出方式分为“导出全部数据到XLSX“ 和“导出已选中数据到XLSX”。 1. 进入内网域名列表页面。 2. 在内网域名列表上方，单击“导出”。 3. 根据界面提示选择导出方式，完成域名导出。 导出全部数据到XLSX：批量导出域名列表中所有域名信息。 导出已选中数据到XLSX：批量导出域名列表中已勾选的域名信息。

本节介绍网页防篡改（原生版）产品咨询相关常见问题。 什么是网页防篡改（原生版）？ 网页防篡改（原生版）是一款全方位保障云上网站安全的产品，可对网站文件进行监控，若发生篡改时，实时对客户进行告警；同时通过备份恢复被篡改的文件或目录，保障客户系统的网站信息不被恶意篡改。 网页防篡改（原生版）都支持哪些资源池？ 支持的一类节点区域如下： 资源池大区 资源池名称 华东地区 上海7/上海15/上海36/杭州2/合肥2/芜湖2/芜湖4/南京2/南京3/南京4/南京5/华东1/九江/南昌5/杭州7 华南地区 福州3/福州4/福州25/厦门3/佛山3/佛山7/广州6/南宁2/南宁23/郴州2/长沙3/海口2/武汉3/武汉4/武汉41/长沙42/华南2 西北地区 西安3/西安4/西安5/西宁2/兰州2/乌鲁木齐27/乌鲁木齐7/乌鲁木齐4/中卫5/中卫2/西安7/庆阳2 西南地区 贵州3/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州 北方地区 青岛20/北京5/北京9/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3/沈阳8 国际地区 香港1 支持的二类节点区域如下： 资源池大区 资源池名称 华东地区 上海4/杭州（AZ1）/杭州（AZ2）/苏州（AZ1）/苏州（AZ2）/苏州（AZ3）/芜湖/南昌 华南地区 福州（AZ1）/福州（AZ2）/深圳/南宁/长沙2（AZ1）/长沙2（AZ2）/海口（AZ1）/武汉2（AZ1）/广州4 西北地区 西安2（AZ1）/西安2（AZ2）/西安2（AZ3）/中卫/乌鲁木齐/西宁/兰州 西南地区 贵州/重庆/成都3/昆明 北方地区 郑州/青岛（AZ1）/青岛（AZ2）/北京2/太原/石家庄（AZ1）/石家庄（AZ2）/天津/长春/哈尔滨/沈阳3/内蒙3/华北（AZ3）

名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object pageNum Integer 当前页 pageSize Integer 页大小 pageTotal Integer 页码总数 total Integer 总记录数 list Array 记录 id Long 标签id labelName String 标签名称 labelValue String 标签值 prodInstId Long 实例id labelType Integer 资源标签分类标识，1主机，2实例 remark String 标签描述