接口描述 检索知识库内容，支持丰富的检索策略。 请求方法 POST 接口要求 无 URI /openapi/v1/index/retrieve 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求体Body参数 参数 是否必填 参数类型 说明 示例 下级对象 origin 是 Array[Object] 对话历史内容 注意：当前仅支持传入两轮对话上下文 [ { "role": "user", "content": "deepseek什么时候发布的" }, { "role": "assistant", "content": "2025年1月份" }, { "role": "user", "content": "它是由哪家公司研发的？" } ] Chat对象 searchType 是 String 搜索策略设置，有以下三种取值： HYBRIDSEARCH：混合检索； DENSESEARCH: 向量检索； SPARSESEARCH：稀疏/关键字检索； 注意：当指定某一检索模式后，下方params参数中仅该模式对应的配置项会生效，其余模式的参数将被忽略。 "DENSESEARCH" hybridParams 否 Object 混合检索专属配置参数，仅当 searchType 取值为 HYBRIDSEARCH 时生效； 若未传入该参数，系统将使用混合检索的默认配置 { "hybridTopK": 15, "denseWeight": 0.7, "sparseWeight": 0.3 } HybridParams对象 denseParams 否 Object 向量检索专属配置参数，仅当 searchType 取值为 DENSESEARCH 时生效； 若未传入该参数，系统将使用向量检索的默认配置 { "denseSimilarityTopK": 25 } DenseParams对象 sparseParams 否 Object 稀疏/关键词检索参数，仅当 searchType 取值为 SPARSESEARCH 时生效； 若未传入该参数，系统将使用稀疏 / 关键字检索的默认配置数 { "sparseSimilarityTopK":15 } SparseParams对象 searchScope 是 Array[Object] 指定检索的知识库范围，系统仅在该范围內执行检索操作 [ { "infoBaseId": "302", "fileIds": [ 1107， 1108 ] } ] SearchScope对象 enableRewrite 是 Boolean 是否开启历史对话补全改写。 开启后，系统会基于 origin 中的完整对话历史，将最后一轮用户问题补全为语义完整、可独立检索的查询语句，并使用改写后的 query 执行检索 true rerankParams 否 Object 检索结果重排等特殊策略的配置参数； 若未传入，系统将使用结果重排的默认规则 RerankParams对象 Chat对象 参数 是否必填 参数类型 说明 示例 下级对象 role 是 String 角色 user/assistant/system content 是 String 内容 你是谁 HybridParams对象 参数 是否必填 参数类型 说明 示例 下级对象 hybridTopK 否 Int 混合检索阶段召回结果的 TopK 数量； 当 NeedReRankfalse（未开启重排）时，该值即为最终返回给用户的结果数量 取值范围：[1,100] 默认值：15 30 denseWeight 否 float 混合检索中，向量检索结果在最终评分计算时的权重占比。 取值范围：[0,1] 默认值：0.8 注意：denseWeight和sparseWeight之和必须为1 0.8 sparseWeight 否 float 混合检索中，关键字检索结果在最终评分计算时的权重占比。 取值范围：[0,1] 默认值：0.2 注意：denseWeight和sparseWeight之和必须为1 0.2 DenseParams对象 参数 是否必填 参数类型 说明 示例 下级对象 denseSimilarityTopK 否 Int 向量检索阶段召回结果的 TopK 数量； 当 NeedReRankfalse（未开启重排）时，该值即为最终返回给用户的结果数量 取值范围：[1, 100] 默认值：30 30 SparseParams对象 参数 是否必填 参数类型 说明 示例 下级对象 sparseSimilarityTopK 否 Int 关键词检索阶段召回结果的 TopK 数量； 当 NeedReRankfalse（未开启重排）时，该值即为最终返回给用户的结果数量 取值范围：[1,100] 默认值：30 30 SearchScope对象 参数 是否必填 参数类型 说明 示例 下级对象 infobaseId 是 String 知识库ID 600 fileIds 否 Array[Int] 文档ID列表。 fileIds为空时默认检索知识库ID下所有文档 [11,71] RerankParams对象 参数 是否必填 参数类型 说明 示例 下级对象 enableReranking 是 boolean 是否开启检索结果重排功能，开启后系统将对召回的文本切片执行重排策略 true rerankMinScore 否 float 重排阶段文本切片的相似度筛选阈值； 仅 Rank 模型返回的相似度分数大于等于该值的文本切片会被保留召回； 取值范围： [0.01, 1.00] 默认值：0.1 0.5 rerankTopN 否 integer 重排完成后最终返回的文本切片数量（Top N）。 取值范围：[120] 默认值为：5 30 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" data '{ "origin": [ { "role": "user", "content": "deepseek什么时候发布的" }, { "role": "assistant", "content": "2025年1月份" }, { "role": "user", "content": "它是由哪家公司研发的？" } ], "searchType": "SPARSESEARCH", "hybridParams": { "hybridTopK": 15, "denseWeight": 0.7, "sparseWeight": 0.3 }, "denseParams": { "denseSimilarityTopK": 25 }, "sparseParams": { "sparseSimilarityTopK": 15 }, "searchScope": [ { "infoBaseId": "302", "fileIds": [ 1107, 1108 ] }, { "infoBaseId": "304", "fileIds": [] } ], "enableRewrite": true, "rerankParams": { "enableReranking": true, "rerankMinScore": 0.5, "rerankTopN": 5 } } 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 matchList Array[Object] 检索到的匹配文本片段列表 MatchListObject对象 count Integer 列表长度 3 MatchListObject表 参数 是否必填 参数类型 说明 示例 下级对象 FileID 是 Long 文件id FileName 是 String 文件名 KnowledgeID 是 Long 知识ID ChunkID 是 Long 文档片段ID ChunkText 是 String 文档片段文本 ContentID 是 Long 内容ID ContentText 是 String 内容文本 SubTitle 是 String 文档摘要 DocTitle 是 String 内容摘要 Score 是 Float 匹配得分 UserName 是 String 用户名 DbName 是 String 知识库名 From 是 String 来源，可以取值（Knowledge/PPT/Image/Excel） QAID 否 Long 问答对id Question 否 String 问题文本 Answer 否 String 答案文本 ScreenShot 是 String PPT截图 ImageShot 是 String 图片截图 HostLogo 否 String 联网搜索的logo地址 Order 否 Long 顺序 Url 否 String 联网搜索的地址 FileType 是 String 文档类型 FileID 是 Long 文件id FileName 是 String 文件名 KnowledgeID 是 Long 知识ID 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": { "count": 2, "matchList": [ { "FileID": 1108, "FileName": "知识库API.docx", "KnowledgeID": 461419421572632289, "ChunkID": 1, "ChunkText": "知识库API.docx...", "ContentID": 14, "ContentText": "1.请求成功返回值示例...", "SubTitle": "三、 API", "DocTitle": "知识库API.docxn天翼云StateCloud", "Score": 0.064522564, "UserName": "155535", "DbName": "302", "From": "Knowledge", "QAID": null, "Question": null, "Answer": null, "ScreenShot": null, "ImageShot": null, "HostLogo": null, "Order": null, "Url": null, "FileType": "doc" }, { "FileID": 1108, "FileName": "知识库API.docx", "KnowledgeID": 461419421572632275, "ChunkID": 1, "ChunkText": "知识库API.docxn...", "ContentID": 7, "ContentText": "需要在httpclient 的请求头部中加上...", "SubTitle": "二、 如何调用APIn3.拿kAk 作为密钥，eopdate 的年月日值作为数据，算出kdate。", "DocTitle": "知识库API.docxn天翼云StateCloud", "Score": 0.014622092, "UserName": "155535", "DbName": "302", "From": "Knowledge", "QAID": null, "Question": null, "Answer": null, "ScreenShot": null, "ImageShot": null, "HostLogo": null, "Order": null, "Url": null, "FileType": "doc" } ] } } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40004 业务异常 业务异常，详情见message 40005 知识库不存在

接口描述 检索知识库内容，支持丰富的检索策略。 请求方法 POST 接口要求 无 URI /openapi/v1/index/retrieve 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求体Body参数 参数 是否必填 参数类型 说明 示例 下级对象 origin 是 Array[Object] 对话历史内容 注意：当前仅支持传入两轮对话上下文 [ { "role": "user", "content": "deepseek什么时候发布的" }, { "role": "assistant", "content": "2025年1月份" }, { "role": "user", "content": "它是由哪家公司研发的？" } ] Chat对象 searchType 是 String 搜索策略设置，有以下三种取值： HYBRIDSEARCH：混合检索； DENSESEARCH: 向量检索； SPARSESEARCH：稀疏/关键字检索； 注意：当指定某一检索模式后，下方params参数中仅该模式对应的配置项会生效，其余模式的参数将被忽略。 "DENSESEARCH" hybridParams 否 Object 混合检索专属配置参数，仅当 searchType 取值为 HYBRIDSEARCH 时生效； 若未传入该参数，系统将使用混合检索的默认配置 { "hybridTopK": 15, "denseWeight": 0.7, "sparseWeight": 0.3 } HybridParams对象 denseParams 否 Object 向量检索专属配置参数，仅当 searchType 取值为 DENSESEARCH 时生效； 若未传入该参数，系统将使用向量检索的默认配置 { "denseSimilarityTopK": 25 } DenseParams对象 sparseParams 否 Object 稀疏/关键词检索参数，仅当 searchType 取值为 SPARSESEARCH 时生效； 若未传入该参数，系统将使用稀疏 / 关键字检索的默认配置数 { "sparseSimilarityTopK":15 } SparseParams对象 searchScope 是 Array[Object] 指定检索的知识库范围，系统仅在该范围內执行检索操作 [ { "infoBaseId": "302", "fileIds": [ 1107， 1108 ] } ] SearchScope对象 enableRewrite 是 Boolean 是否开启历史对话补全改写。 开启后，系统会基于 origin 中的完整对话历史，将最后一轮用户问题补全为语义完整、可独立检索的查询语句，并使用改写后的 query 执行检索 true rerankParams 否 Object 检索结果重排等特殊策略的配置参数； 若未传入，系统将使用结果重排的默认规则 RerankParams对象 Chat对象 参数 是否必填 参数类型 说明 示例 下级对象 role 是 String 角色 user/assistant/system content 是 String 内容 你是谁 HybridParams对象 参数 是否必填 参数类型 说明 示例 下级对象 hybridTopK 否 Int 混合检索阶段召回结果的 TopK 数量； 当 NeedReRankfalse（未开启重排）时，该值即为最终返回给用户的结果数量 取值范围：[1,100] 默认值：15 30 denseWeight 否 float 混合检索中，向量检索结果在最终评分计算时的权重占比。 取值范围：[0,1] 默认值：0.8 注意：denseWeight和sparseWeight之和必须为1 0.8 sparseWeight 否 float 混合检索中，关键字检索结果在最终评分计算时的权重占比。 取值范围：[0,1] 默认值：0.2 注意：denseWeight和sparseWeight之和必须为1 0.2 DenseParams对象 参数 是否必填 参数类型 说明 示例 下级对象 denseSimilarityTopK 否 Int 向量检索阶段召回结果的 TopK 数量； 当 NeedReRankfalse（未开启重排）时，该值即为最终返回给用户的结果数量 取值范围：[1, 100] 默认值：30 30 SparseParams对象 参数 是否必填 参数类型 说明 示例 下级对象 sparseSimilarityTopK 否 Int 关键词检索阶段召回结果的 TopK 数量； 当 NeedReRankfalse（未开启重排）时，该值即为最终返回给用户的结果数量 取值范围：[1,100] 默认值：30 30 SearchScope对象 参数 是否必填 参数类型 说明 示例 下级对象 infobaseId 是 String 知识库ID 600 fileIds 否 Array[Int] 文档ID列表。 fileIds为空时默认检索知识库ID下所有文档 [11,71] RerankParams对象 参数 是否必填 参数类型 说明 示例 下级对象 enableReranking 是 boolean 是否开启检索结果重排功能，开启后系统将对召回的文本切片执行重排策略 true rerankMinScore 否 float 重排阶段文本切片的相似度筛选阈值； 仅 Rank 模型返回的相似度分数大于等于该值的文本切片会被保留召回； 取值范围： [0.01, 1.00] 默认值：0.1 0.5 rerankTopN 否 integer 重排完成后最终返回的文本切片数量（Top N）。 取值范围：[120] 默认值为：5 30 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" data '{ "origin": [ { "role": "user", "content": "deepseek什么时候发布的" }, { "role": "assistant", "content": "2025年1月份" }, { "role": "user", "content": "它是由哪家公司研发的？" } ], "searchType": "SPARSESEARCH", "hybridParams": { "hybridTopK": 15, "denseWeight": 0.7, "sparseWeight": 0.3 }, "denseParams": { "denseSimilarityTopK": 25 }, "sparseParams": { "sparseSimilarityTopK": 15 }, "searchScope": [ { "infoBaseId": "302", "fileIds": [ 1107, 1108 ] }, { "infoBaseId": "304", "fileIds": [] } ], "enableRewrite": true, "rerankParams": { "enableReranking": true, "rerankMinScore": 0.5, "rerankTopN": 5 } } 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 matchList Array[Object] 检索到的匹配文本片段列表 MatchListObject对象 count Integer 列表长度 3 MatchListObject表 参数 是否必填 参数类型 说明 示例 下级对象 FileID 是 Long 文件id FileName 是 String 文件名 KnowledgeID 是 Long 知识ID ChunkID 是 Long 文档片段ID ChunkText 是 String 文档片段文本 ContentID 是 Long 内容ID ContentText 是 String 内容文本 SubTitle 是 String 文档摘要 DocTitle 是 String 内容摘要 Score 是 Float 匹配得分 UserName 是 String 用户名 DbName 是 String 知识库名 From 是 String 来源，可以取值（Knowledge/PPT/Image/Excel） QAID 否 Long 问答对id Question 否 String 问题文本 Answer 否 String 答案文本 ScreenShot 是 String PPT截图 ImageShot 是 String 图片截图 HostLogo 否 String 联网搜索的logo地址 Order 否 Long 顺序 Url 否 String 联网搜索的地址 FileType 是 String 文档类型 FileID 是 Long 文件id FileName 是 String 文件名 KnowledgeID 是 Long 知识ID 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": { "count": 2, "matchList": [ { "FileID": 1108, "FileName": "知识库API.docx", "KnowledgeID": 461419421572632289, "ChunkID": 1, "ChunkText": "知识库API.docx...", "ContentID": 14, "ContentText": "1.请求成功返回值示例...", "SubTitle": "三、 API", "DocTitle": "知识库API.docxn天翼云StateCloud", "Score": 0.064522564, "UserName": "155535", "DbName": "302", "From": "Knowledge", "QAID": null, "Question": null, "Answer": null, "ScreenShot": null, "ImageShot": null, "HostLogo": null, "Order": null, "Url": null, "FileType": "doc" }, { "FileID": 1108, "FileName": "知识库API.docx", "KnowledgeID": 461419421572632275, "ChunkID": 1, "ChunkText": "知识库API.docxn...", "ContentID": 7, "ContentText": "需要在httpclient 的请求头部中加上...", "SubTitle": "二、 如何调用APIn3.拿kAk 作为密钥，eopdate 的年月日值作为数据，算出kdate。", "DocTitle": "知识库API.docxn天翼云StateCloud", "Score": 0.014622092, "UserName": "155535", "DbName": "302", "From": "Knowledge", "QAID": null, "Question": null, "Answer": null, "ScreenShot": null, "ImageShot": null, "HostLogo": null, "Order": null, "Url": null, "FileType": "doc" } ] } } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40004 业务异常 业务异常，详情见message 40005 知识库不存在

本节介绍了XEN实例变更为KVM实例(Windows)的操作场景、约束与限制、操作流程、后续处理。 操作场景 XEN实例变更为KVM实例前，需要确保Windows弹性云主机已安装了PV driver和UVP VMTools。 本节指导您安装PV driver和UVP VMTools，将XEN实例变更为KVM实例。 说明 XEN实例：S1、C1、C2、M1型弹性云主机。 KVM实例：参考 “XEN实例”变更为“KVM实例”必须先安装对应的驱动，然后再变更规格。否则，规格变更后的弹性云主机不可用（如操作系统无法启动等问题）。 Linux操作系统的“XEN实例”变更为“KVM实例”时，优先推荐使用 约束与限制 Windows操作系统云主机如果存在跨区卷，不支持变更规格，否则可能会导致数据丢失。 对于XEN实例，当挂载的VBD磁盘超过24块时，不支持将规格变更为KVM实例。 系统支持将“XEN实例”变更为“KVM实例”，不支持将“KVM实例”变更为“XEN实例”。 操作流程 XEN实例变更为KVM实例的操作流程如下图所示。 图 Windows云主机变更流程 具体的变更操作如下表所示。 表 XEN实例变更为KVM实例 序号 任务 :: 步骤1 步骤1：制作系统盘快照 步骤2 步骤2：检查UVP VMTools版本 步骤3 步骤3：安装或升级UVP VMTools 步骤4 步骤4：变更规格 步骤5 步骤5：检查磁盘挂载状态 步骤1：制作系统盘快照 如果云主机未安装驱动就执行了变更规格的操作，云主机无法正常使用，需要重装操作系统才能恢复，可能造成您的系统盘数据丢失。因此，建议您先制作系统盘快照，防止数据丢失。创建快照参考 控制面板”。 b. 单击“卸载程序”。 c. 按照提示，卸载“GPL PV Drivers for Windows x.x.x.xx”。 d. 在控制台重启云主机。 4. 安装新版本PV driver。 a. 下载PV Driver的安装包。 b. 解压PV driver软件包。 c. 双击“pvdriverwindows.iso”。 d. 运行“Setup.exe”，根据界面提示安装PV Driver。 请耐心等待驱动安装完成，请勿重复点击“Setup.exe”。 e. 根据提示重启云主机，使PV driver生效。 5. 检查并恢复UAC配置。 a. 打开“运行”窗口，输入“regedit”，打开“注册表编辑器”。 b. 查看HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA 键值，与卸载PV Driver前记录的键值比较，如果不同请将键值修改为2中记录的值。 6. 安装或升级UVP VMTools。 a. 下载UVP VMTools的安装包。 b. 解压UVP VMTools的安装包。 c. 双击“vmtoolswindows.iso”。 d. 运行“Setup.exe”，根据界面提示安装UVP VMTools。 安装程序会自动匹配当前操作系统版本，并识别新安装或升级场景。 请耐心等待驱动安装完成，请勿重复点击“Setup.exe” e. 根据提示重启云主机，使UVP VMTools驱动生效。 f. 驱动安装完成并重启云主机后，需检查驱动是否安装成功。检查方法请参考步骤2：检查UVP VMTools版本。 步骤4：变更规格 1. 登录控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，查询待变更弹性云主机状态。 如果不是关机状态，单击“操作”列下的“更多 > 关机”。 4. 单击“操作”列下的“更多 > 变更规格”。 系统进入“云主机变更规格”页面。 5. 根据界面提示，选择变更后的云主机类型、vCPU和内存。 6. （可选）选择“专属主机”。 对于在专属主机上创建的弹性云主机，系统支持更换云主机所在的专属主机。 此时，您可以单击下拉列表，选择更换专属主机。如果下拉列表中无可用的专属主机，说明专属主机所剩资源不足，不能用于创建变更规格后的弹性云主机。 7. 勾选复选框“我确认已完成对弹性云主机的配置”，确认已完成步骤3：安装或升级UVP VMTools。 8. 单击“确定”。 说明 如果变更规格失败后，弹性云主机无法使用，可能会需要重装操作系统来恢复云主机，请注意重装操作系统会清除系统盘数据，但不影响数据盘的数据。 （可选）步骤5：检查磁盘挂载状态 XEN实例变更为KVM实例时，可能会发生磁盘脱机，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Windows弹性云主机 详细操作请参考Windows弹性云主机变更规格后数据盘脱机怎么办？

存储卷挂载 容器存储数据卷挂载方式包括：静态存储卷和动态存储卷。 静态存储卷 静态存储卷是由集群管理员预先创建的 PV（PersistentVolume）。管理员根据集群存储需求，提前分配存储介质（如云盘、文件系统等）并创建对应的 PV 对象。这些 PV 处于可用状态，等待 PVC（PersistentVolumeClaim）绑定使用。 应用程序通过定义 PVC 申请存储资源时，Kubernetes 会根据 PVC 的需求和匹配规则自动将其与合适的 PV 绑定（或在创建 PVC 时直接指定 PV 名称）。应用程序即可通过 PVC 访问预分配的静态存储卷，获得持久化存储能力。 动态存储卷 Kubernetes 通过存储类（StorageClass）和存储插件提供动态存储卷功能。管理员基于可用存储资源和策略创建存储类模板，开发者在部署应用时通过 PVC 申请存储资源。存储插件根据存储类定义与后端存储池交互，动态创建符合需求的 PV 并绑定到 PVC。 动态存储卷的优势： PV的自动化生命周期管理：通过 Provisioner 自动完成 PV 的创建和删除。 简化运维：通过自动创建PV，减少手动配置复杂度和管理员工作量。 容量优化：动态创建的 PV 容量与 PVC 需求精确匹配，实现存储容量规划最优。 子路径挂载支持 ：通过 volumeMounts.subPath 属性可挂载卷内的特定子路径，而非根目录。 存储类（StorageClass ）说明如下： 字段 说明 存储驱动（provisioner） 用来决定使用哪个卷插件制备 PV 回收策略(reclaimPolicy) 由 StorageClass 动态创建的 PV会在类的 reclaimPolicy 字段中指定回收策略，可以是 Delete 或者 Retain。如果 StorageClass 对象被创建时没有指定 reclaimPolicy，默认为 Delete。 通过 StorageClass 手动创建并管理的 PV会使用它们被创建时指定的回收策略。 绑定模式（volumeBindingMode） 该控制了卷绑定和动态供应应该发生在什么阶段。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PersistentVolume 的绑定和制备，直到使用该 PersistentVolumeClaim 的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 说明 volumeBindingMode配置为WaitForFirstConsumer，可以解决以下可能情况： 1、创建了A可用区的数据卷，但是A可用区的节点资源已经耗光，导致Pod启动无法完成挂载。 2、集群管理员在规划PVC、PV的时候不能确定在哪些可用区创建多个PV来备用。 卷扩展 当StorageClass 的 allowVolumeExpansion 字段设置为 true ，表示动态创建的PV可以配置为可扩展，即允许用户通过编辑相应的 PVC 对象来调整卷大小。 挂载选项 由 StorageClass 动态创建的 PV 将使用类中 mountOptions 字段指定的挂载选项。 Kubernetes 不对挂载选项执行合法性检查。如果挂载选项是非法的，挂载就会失败。 说明 并非所有持久卷类型都支持挂载选项。

功能类别 功能描述 数据库安装部署 天翼云数据库专家服务团队提供数据库软件包安装部署服务： 合理安装数据库、中间件软件（其中安装主机、软件安装包需要您提供）。 根据应用系统创建合适的数据库。 根据应用系统的要求分配数据空间。 设置合理的数据库运行参数。 检查和设置数据库用户的安全性和访问的安全性。 设置数据库的监听程序。 提供完善的数据库、中间件安装报告。 根据实际情况提供数据库、中间件的配置调整。 数据库健康巡检 天翼云数据库专家服务团队提供数据库和相关组件的运行情况健康巡检服务，对数据库和中间件系统的性能情况进行深度分析，及时发现生产数据库已经存在的或潜在的问题。根据巡检结果，提交巡检报告和改善建议，并配合完成改善工作。 数据库应急响应 天翼云数据库专家服务团队为客户提供紧急故障处理服务，安排专门维护工程师分析故障原因，制定故障解决方案，并最终排除故障。对于故障处理，遵循记录、分析、处理、解决的闭环处理方法，以找到故障根源、避免或预防二次故障为最终解决的标准。 数据库性能调优 天翼云数据库专家服务团队为客户随着应用系统投入使用时间增加、数据量增加、用户数量增加或应用修改等各种原因出现的数据库响应变慢、性能下降、难于维护等各类问题，提供性能调优服务。团队负责跟踪系统现状，分析客户应用类型和用户行为、评价数据库的参数设置、数据分布、硬件和系统资源使用情况等，识别系统资源、配置、应用架构、数据库设计、SQL语句等方面的瓶颈，提供性能分析报告和优化建议。 数据库保驾护航服务 天翼云数据库专家服务团队根据客户需求及双方沟通确认的服务内容、客户购买的服务天数，提供高级专家、资深专家团队技术服务。服务内容除包含基础服务类的数据库安装部署、健康巡检、应急响应、性能调优外，还可提供且不限于关键业务服务保障、顾问咨询、技术培训等服务： 关键业务服务保障：针对客户在关键业务时期(如大促活动、业务割接等)的高等级数据库服务保障需求，提供专家保驾护航服务，包括前期的系统环境调研和风险排查，以及在保障期内提供快速响应和处理服务。 技术培训：数据库专家服务针对数据库功能特性、架构设计、性能调优、管理维护等提供定制化的技术培训，受众包括数据库架构师、应用架构师、DBA、数据库应用开发人员等高级人才。 顾问咨询：为客户数据库上云、迁云和用云过程中的技术需求及疑难问题提供咨询服务，包括但不限于数据库架构规划设计、上云方案设计、升级扩容、迁移、数据备份恢复、容灾方案设计等等。 数据库增值服务包 针对客户有长期需求的项目，安排专家服务团队负责全面技术运维工作，确保客户数据库在购买服务期内稳定运行，服务内容包括但不限于： 定期健康巡检。 故障诊断分析及处理。 7 24小时微信工作群和电话支持服务。

本章节主要介绍角色管理 除了系统中默认提供的两种角色：管理员（admin）和开发者（developer）无法进行操作外，您可以使用该微服务引擎下关联了admin角色权限的“帐号”登录微服务引擎控制台，根据实际的业务需求对角色进行如下表所示的操作。 表 角色管理操作说明 操作 说明 创建角色 根据实际业务需求创建新角色，设置该角色在不同服务组对应的权限动作。 最多可创建100个角色。 编辑角色 根据实际业务需求，修改已创建角色的权限配置。 删除角色 根据实际业务需求，删除不再使用的角色。 说明： 角色删除后无法恢复，请谨慎操作。 删除角色前要先确认该角色没有被帐号关联。取消角色同帐号之间的关联，请参考编辑账号。 查看角色 可按照角色名称的关键字查看该微服务引擎下已创建的角色。 创建角色 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待创建角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理”，单击“创建角色”。 步骤 5 输入新角色名称。 说明： 角色创建后，角色名称不可修改。 步骤 6 对权限进行配置。 1. 设置“服务组” − 选择“全部服务” 可以对该微服务引擎的所有微服务资源实施相应的权限动作。 − 选择“自定义服务组”，可按照下表进行设置。 表 自定义服务组操作 操作名称 操作说明 :: 新增匹配规则 单击“添加服务组匹配规则”，根据实际业务需要，选择“应用”、“环境”、“服务”三个参数值来匹配规则过滤该角色可以实施权限动作的微服务。 说明 应用名称、环境名称和服务名称是微服务的三个参数： 如果单条匹配规则只设置了一个参数，则角色对与该参数值相匹配的微服务有操作权限。 例如添加匹配规则“环境:production”，那么该角色只对环境名称是“production”的微服务有操作权限。 如果单条匹配规则设置了多于一个参数，则角色对与所有参数值都相匹配的微服务有操作权限。 例如添加匹配规则“环境:production”“应用:abc”，那么该角色对环境名称是“production”且应用名称是“abc”的微服务有操作权限。 在启用自动发现的情况下，微服务会通过注册中心查询注册中心、配置中心、仪表盘等服务的实例地址。对微服务授予查询权限时，需要包含应用default的权限，添加匹配规则“应用:default”。 设置微服务匹配规则后，单击“确定”。 编辑匹配规则 单击待编辑的匹配规则后的“编辑图标”，即可根据实际业务需要，重新设置该条匹配规则的“服务组”和“权限动作”。 重新设置服务组匹配规则后，单击“确定”。 删除匹配规则 单击待删除的匹配规则后的“删除图标”，即可根据实际业务需要，删除该条服务组匹配规则。 自定义服务组最多可以同时设置20条微服务匹配规则。 当自定义服务组设置了多条匹配规则时，只要微服务满足其中任意一条匹配规则，角色就对该微服务有操作权限。 2. 设置“权限动作” 按照实际的业务需求，设置角色对选择的服务组可实施的权限动作，可以勾选多个。 − 全选：对该服务组资源可实施增加、删除、修改和查询四种动作。 − 增加：对该服务组资源可实施增加的动作。 − 删除：对该服务组资源可实施删除的动作。 说明： 如果只勾选了删除，将无法通过界面对服务组资源进行删除，必须同时勾选查询。 − 修改：对该服务组资源可实施修改的动作。 说明： 如果只勾选了修改，将无法通过界面对服务组资源进行修改操作，必须同时勾选查询。 − 查询：对该服务组资源可实施查询的动作。 步骤 7 单击“创建”，创建角色。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

本节介绍了如何在迁移前构造数据。 迁移前需要在源库构造一些数据类型，供迁移完成后验证数据。 DRS支持的数据类型如下所示： 源库数据类型 目标库数据类型 源库数据类型做主键，同步能力 源库数据类型做非主键， 同步能力 源库数据类型做主键， 对比能力 源库数据类型做非主键， 对比能力 备注 CHAR character 支持 支持 支持，忽略字符前后的空格 支持，忽略字符前后的空格 VARCHAR character varying 支持 支持 支持 支持 源目标库数据表示范围不同，存在精度损失。 VARCHAR2 character varying 支持 支持 支持 支持 NCHAR character 支持 支持 支持，忽略字符前后的空格 支持，忽略字符前后的空格 NVARCHAR2 nvarchar2 支持 支持 支持 支持 NUMBER numeric 支持 支持 支持 支持 NUMBER (6,3) numeric(6,3) 支持 支持 支持 支持 NUMBER (6,0) Integer 支持 支持 支持 支持 NUMBER (3) smallint 支持 支持 支持 支持 NUMBER (6,2) integer 支持 支持 支持 支持 BINARYFLOAT real 不支持（目标库不支持做主键建表） 支持 不支持 支持 源目标库数据表示范围不同，存在精度损失。 BINARYDOUBLE double precision 不支持（目标库不支持做主键建表） 支持 不支持 支持 FLOAT real 不支持（目标库不支持做主键建表） 支持 不支持 支持 源目标库数据表示范围不同，存在精度损失。 INT numeric 支持 支持 支持 支持 INTEGER numeric 支持 支持 支持 支持 DATE date 支持 支持 不支持 支持 DRS在目标库建表时类型为date，此时源目标库数据表示范围不同， 存在精度损失，不支持对比。 TIMESTAMP timestamp(6) without time zone 支持 支持 不支持 校验到小数点后6位 源库使用限制：支持的最大精度是6。 TIMESTAMPTZ timestamp(6) with time zone 不支持(源库不支持做主键建表) 支持 不支持 过滤该列 TIMESTAMPLTZ timestamp(6) with time zone 不支持（目标库不支持做主键建表） 支持 不支持 过滤该列 INTERVALYM interval year to month 支持 支持 不支持 不支持 增量同步不支持该类型。 INTERVALDS interval day to second 支持 支持 不支持 不支持 增量同步不支持该类型。源库使用限制：支持的最大精度是6。 BLOB bytea 不支持(源库不支持做主键建表) 支持 不支持 过滤该列 CLOB text 不支持(源库不支持做主键建表) 支持 不支持 过滤该列 NCLOB text 不支持(源库不支持做主键建表) 支持 不支持 过滤该列 LONG text 不支持(源库不支持做主键建表) 支持 不支持 过滤该列 LONGRAW bytea 不支持(源库不支持做主键建表) 支持 不支持 过滤该列 RAW bytea 不支持（目标库不支持做主键建表） 支持 不支持 支持 RowID character varying(18) 支持 支持 支持 支持 BFILE 不支持 不支持 不支持 不支持 源库使用限制：不支持bfile类型。 XMLTYPE 不支持 不支持 不支持 不支持 源库使用限制：不支持xmltype类型。 UROWID 不支持 不支持 不支持 不支持 全量增量都不支持同步。 sdogeometry 不支持 不支持 不支持 不支持 源库使用限制：不支持sdogeometry类型。 NUMBER(，0) numeric 支持 支持 支持 支持 执行如下步骤在源库构造数据： 1. 根据本地的Oracle数据库的IP地址，通过数据库连接工具连接数据库。 2. 根据支持的数据类型，在源库执行语句构造数据。 a) 创建一个测试用的用户。 create user testinfo identified by xxx ; testinfo为本次实践创建的用户，xxx为用户的密码，请根据实际情况替换。 b) 给用户赋权。 grant dba to testinfo ; c) 在当前用户下创建一个数据表。 CREATE TABLE testinfo . DATATYPELIST (ID INT,COL01CHARE CHAR(100),COL02NCHARE NCHAR(100),COL03VARCHARE VARCHAR(1000),COL04VARCHAR2E VARCHAR2(1000),COL05NVARCHAR2E NVARCHAR2(1000),COL06NUMBERE NUMBER(38,0),COL07FLOATE FLOAT(126),COL08BFLOATE BINARYFLOAT,COL09BDOUBLEE BINARYDOUBLE,COL10DATEE DATE DEFAULT SYSTIMESTAMP,COL11TSE TIMESTAMP(6),COL12TSTZE TIMESTAMP(6) WITH TIME ZONE,COL13TSLTZE TIMESTAMP(6) WITH LOCAL TIME ZONE,COL14CLOBE CLOB DEFAULT EMPTYCLOB(),COL15BLOBE BLOB DEFAULT EMPTYBLOB(),COL16NCLOBE NCLOB DEFAULT EMPTYCLOB(),COL17RAWE RAW(1000),COL19LONGRAWE LONG RAW,COL24ROWIDE ROWID,PRIMARY KEY(ID)); d) 插入两行数据。 insert into testinfo.DATATYPELIST values(4,'huawei','xian','shanxi','zhongguo','shijie', 666,12.321,1.123,2.123,sysdate,sysdate,sysdate,sysdate,'hw','cb','df','FF','FF','AAAYEVAAJAAAACrAAA'); insert into testinfo.DATATYPELIST values(2,'Migratetest','test1','test2','test3','test4', 666,12.321,1.123,2.123,sysdate,sysdate,sysdate,sysdate,'hw','cb','df','FF','FF','AAAYEVAAJAAAACrAAA'); e) 使语句生效。 commit; 3. 在目标端创建库。 a) 登录天翼云控制台。 b) 单击管理控制台左上角的，选择区域。 c) 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据管理服务”。 d) 在数据管理服务DAS左侧导航栏，单击“开发工具”，进入开发工具数据库登录列表页面。 e) 单击“新增数据库登录”，打开新增数据库登录窗口。 f) 选择“数据库引擎”、“数据库来源”、目标实例，填写登录用户名、密码以及描述（非必填项）信息，开启定时采集、SQL执行记录功能。 g) 您可根据需要选择“测试连接”（必选操作步骤）。 如测试连接成功，将提示“连接成功”，您可继续新增操作。如测试连接失败，将提示连接失败原因，您需根据提示信息进行修改，以便新增数据库登录成功。 h) 设置完登录信息，单击“立即新增”。 i) 新增完成后，单击新增登录的“登录”，登录当前数据库。 j) 进入SQL查询页面。 k) 执行如下语句创建兼容Oracle的数据库。 此例中为：testdatabaseinfo，请根据实际情况选择。 CREATE DATABASE testdatabaseinfo DBCOMPATIBILITY 'ORA';

section1553217101617 " ") 步骤一：创建用户组 步骤二：为用户组授权 步骤三：创建IAM用户并加入用户组 步骤四：使用IAM用户登录并验证权限 步骤一：创建用户组 在“统一身份认证IAM”服务控制台创建用户组，并授予具有云容器引擎只读权限的“CCE ReadOnlyAccess”策略。 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您在IAM中创建的用户，需要加入特定用户组后，用户才具备用户组所拥有的权限。关于创建用户组并给用户组授权的方法，可以参考如下操作。 步骤 1 使用注册的帐号登录，登录时请选择“帐号登录”。 步骤 2 在控制台首页菜单中单击“云容器引擎CCE”，进入CCE控制台。 步骤 3 单击CCE控制台左侧导航栏中的“权限管理”，单击“集群权限”页签下的“创建用户组”。 步骤 4 进入“统一身份认证服务”控制台的“创建用户组”界面，输入用户组名称（本例以“开发人员组”为例）。 单击“确定”，用户组创建完成，界面自动返回用户组列表，列表中显示新建的用户组。 说明：您最多可以创建20个用户组，如果当前资源配额无法满足业务需要，您可以申请扩大配额。 步骤二：为用户组授权 步骤 1 在用户组列表中，单击新建用户组右侧操作栏的“修改”。 在用户组修改页面中，找到用户组权限管理部分。 步骤 2 根据各区域（资源节点）的授权要求，分别设置每个资源节点的用户组权限： 基于区域（如苏州、青岛），授权后将只在授权区域生效，如果需要所有区域都生效，则所有区域都需要进行授权操作。 步骤 3 在搜索框中搜索“CCE”，勾选需要授予用户组的权限，本例此处选择“CCE ReadOnlyAccess”。 步骤 4 单击“确定”，完成用户组授权。 步骤三：创建IAM用户并加入用户组 IAM用户与企业中的实际员工或是应用程序相对应，有唯一的安全凭证，可以通过加入一个或多个用户组来获得用户组的权限。关于IAM用户的创建方式请参见如下步骤。 1. 在统一身份认证服务，左侧导航窗格中，单击“用户”>“创建用户”。 2. 在“创建用户”页面填写“用户信息”。如需一次创建多个用户，可以单击“添加用户”进行批量创建，每次最多可创建10个用户。 用户信息 说明 用户名 必填。IAM用户登录的用户名，此处以“James”和“Alice”为例。 邮箱 “访问方式”选择“首次登录时设置”时必填，选择其他时选填。IAM用户绑定的邮箱，可作为子帐户的登录凭证，也可由IAM用户自己绑定。 手机号 选填。IAM用户绑定的手机号，可作为子帐户的登录凭证，也可由IAM用户自己绑定。 描述 选填。记录IAM用户相关信息。 3. 在“创建用户”页面选择“访问方式”，完成后单击“下一步”。 访问方式 配置信息 说明 管理控制台访问 控制台登录密码设置方式 首次登录时设置 如果您不是用户James的使用主体，建议您选择该方式，输入用户的邮箱和手机，用户James通过邮件中的一次性链接登录，自行设置密码。 管理控制台访问 控制台登录密码设置方式 自动生成 仅在创建单个用户时适用，如果您本次创建2个及以上的用户，则不支持此方式。 管理控制台访问 控制台登录密码设置方式 自定义 如果您是用户James的使用主体，建议您选择该方式，设置自己的登录密码。 管理控制台访问 登录保护 开启登录保护 开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高帐号安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 管理控制台访问 登录保护 不开启 编程访问 创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对进行编程调用，例如，通过API调用方式访问时，您可能需要使用访问密钥。 说明： 用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录。 当用户忘记密码时，可以通过此处绑定的邮箱或手机自行重置密码，如果用户没有绑定邮箱或手机号码，只能由管理员重置密码。 用户登录系统时，输入用户名和初始密码后，将进入“首次登录修改密码”，需要创建一个新密码，该功能可以保证用户的密码是由使用者本人所设置，防止密码泄露。 4. 单击“下一步”，将用户加入到用户组（可选）。 − 选择新创建的用户组“开发人员组”。将用户加入用户组，用户将具备用户组的权限，这一过程即给该用户授权。其中“admin”为系统缺省提供的用户组，具有管理人员以及所有云服务资源的操作权限。 − 如需创建新的用户组，可单击“创建用户组”，填写用户组名称和描述（可选），创建成功后即可将用户加入到新创建的用户组中。 5. 单击“下一步”，IAM用户创建成功，用户列表中显示新创建的IAM用户。如果在访问方式中勾选了“编程访问”，可在此页面下载访问密钥。 步骤四：使用IAM用户登录并验证权限 IAM用户创建完成后，可以使用新用户的用户名及身份凭证登录验证权限，即“CCE ReadOnlyAccess”权限。 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户“James”时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 使用IAM用户“James”登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，返回CCE控制台主界面，对IAM用户James的集群权限进行验证。 验证方式（参考）：您可以尝试创建一个集群或休眠一个已创建的集群，此时如果提示“您的权限不足。”，则表明您为James用户设置的“CCE ReadOnlyAccess”只读权限策略已生效。

权限说明 如果您需要对LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见“统一身份认证服务 用户指南的产品简介章节”。 LTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如[表1]所示，包括了LTS的所有系统权限。 表 1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest Tenant Administrator [表2]列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见[表3]。 表 3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无

本章节主要介绍新建对账作业操作。 数据对账对于数据开发和数据迁移流程中的数据一致性至关重要，而跨源数据对账的能力是检验数据迁移或数据加工前后是否一致的关键指标。 数据质量监控中的对账作业支持跨源数据对账能力，可将创建的规则应用到两张表中进行质量监控，并输出对账结果。 前提条件 在DataArts Studio控制台的数据质量模块，“数据质量监控 > 对账作业”页面创建归属目录。基于某个数据连接创建对账作业，需要选择作业归属目录，请参见下图创建归属目录。 下表是目录导航栏按键说明 序号 说明 1 新建目录 2 刷新目录 3 选择目录，单击右键，可新建目录、删除目录和对目录重命名。 创建作业 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据质量”模块，进入数据质量页面。 2.选择“数据质量监控 > 对账作业”。 3.单击“新建”，在弹出的对话框中，参见下表配置相关参数。 参数名 说明 作业名称 对账作业的名称，只能包含中文、英文字母、数字、“”，且长度为1~64个字符。 描述 为更好的识别数据对账作业 ，此处加以描述信息。描述信息长度不能超过256个字符。 所属目录 数据对账作业的存储目录，可选择已创建的目录。 作业级别 支持提示，一般，严重和致命四种级别，作业级别决定发出通知消息的模板样式。 4.单击“下一步”，进入规则配置页面。您需要点击规则下图中红框内按钮，然后参见以下表“配置模板规则”配置数据对账规则。您也可选择添加对账规则。 打开对账作业规则配置 配置模板规则 模块 参数名 说明 基本信息 子作业名称 在作业的执行结果中，每条规则对应一个子作业。为便于结果查看和日志定位，建议您补充子作业信息。 基本信息 描述 为更好的识别子作业，此处加以描述信息。 来源对象/目的对象 规则类型 来源对象的“规则类型”包括“表级规则”，“字段级规则”和“自定义规则”。字段级规则可针对表中的具体字段配置监控规则。此处选择为表级规则，页面中其他设置项对应为表级规则配置项。 目的对象的“规则类型”由来源对象的规则类型自动生成。 来源对象/目的对象 数据连接 来源对象/目的对象支持的数据源类型：DWS，MRS Hive，DLI，ORACLE、RDS（MySQL、PostgreSQL）。 从下拉列表中选择已创建的数据连接。 说明 规则都是基于数据连接的，所以在建立数据质量规则之前需要先到管理中心模块中建立数据连接。 针对通过代理连接的MRS HIVE，需要选择MRS API方式或者代理方式提交： MRS API方式：通过MRS API的方式提交。历史作业默认是MRS API提交，编辑作业时建议不修改。 代理方式：通过用户名、密码访问的方式提交。新建作业建议选择代理提交，可以避免权限问题导致的作业提交失败。 来源对象/目的对象 数据对象 在来源对象选择的数据表将和右侧目的对象的数据表做结果比较。选择配置的数据对账规则所应用到的表。 说明 数据表与数据库强相关，基于已选择的数据库。数据库基于已建立的数据连接。 来源对象/目的对象 SQL 当“规则类型”选择“自定义规则”时，需要配置该参数。此处需输入完整的SQL语句，定义如何对数据对象进行数据质量监控。 计算引擎 集群名称 选择运行对账作业的引擎。仅数据连接为DLI类型时，此参数有效。 规则模板 模板名称 该参数定义如何对数据对象做数据质量监控。 来源对象的模板名称包含内置的规则模板和用户自定义的规则模板。 目的对象的“模板名称”由来源对象的规则类型自动生成。 说明 模板类型与规则类型强相关，详情请参见新建规则模板章节中的 系统内置的规则模板一览表。除去系统内置规则模板外，您也可关联在新建规则模板中新建的自定义模板。 规则模板 版本 仅“模板名称”选择为自定义的规则模板时，需要配置该参数。自定义的规则模板发布后，会产生对应的版本号，此处选择所需的版本。 计算范围 选择扫描区域 支持选择“全表扫描”或“条件扫描”，默认为全表扫描。 当仅需计算一部分数据，或需周期性按时间戳运行质量作业时，建议通过设置where条件进行条件扫描。 计算范围 where条件 输入where子句，系统会选择符合条件的数据进行扫描。 例如需要筛选数据表中“age”字段在(18, 60]区间范围内的数据时，where条件可设置为如下内容： age > 18 and age (datetrunc('hour', now()) interval '24 h') and time ：大于 ：大于等于 ：大于 ：大于等于 <：小于等于 !：非 ll：或 &&：与 例如，“规则模板”为“表行数”，需要配置来源侧表行数小于100或来源侧表行数不等于目的侧表行数时告警，则此处可设置为“(${11}<100)(${11}!${21})”，其中“${11}”和“${21}”分别为通过告警参数配置的来源侧表和目的侧表的“总行数”，“”表示满足两个条件之一即会告警。 5.单击“下一步”，设置订阅配置信息，如果需要接收SMN通知，打开通知状态，选择通知类型和SMN服务主体，如下图。 订阅配置 6.单击“下一步”，选择调度方式，支持单次调度和周期调度两种方式，周期调度的相关参数配置请参见下表“配置周期调度参数”。配置完成后单击“提交”。 说明 1. 单次调度会产生手动任务的实例，手动任务的特点是没有调度依赖，只需要手动触发即可。 2. 周期调度会产生周期实例，周期实例是周期任务达到启用调度所配置的周期性运行时间时，被自动调度起来的实例快照。 3. 周期任务每调度一次，便生成一个实例工作流。您可以对已调度起的实例任务进行日常的运维管理，如查看运行状态，对任务进行终止、重跑等操作。 4. 只有支持委托提交作业的MRS集群，才支持对账作业周期调度。支持委托方式提交作业的MRS集群有： MRS的非安全集群。 MRS的安全集群，集群版本大于 2.1.0，并且安装了MRS 2.1.0.1以上的补丁。 配置周期调度参数 参数名 说明 生效日期 调度任务的生效日期。 调度周期 选择调度任务的执行周期，并配置相关参数。 分钟 小时 天 周 说明 调度周期选择分钟/小时，需配置调度的开始时间、间隔时间和结束时间。 调度周期选择天，需要配置调度时间，即确定了调度任务于每天的几时几分启用。 调度周期选择周，需要配置生效时间和调度时间，即确定了调度任务于周几的几时几分启用。

本文介绍云堡垒机(原生版)的监控指标以及如何查看云堡垒机(原生版)的监控数据。 为保证云堡垒机实例的可靠性、可用性和可观测性，对云堡垒机进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的云堡垒机监控功能，可方便用户更快、更直观的了解云堡垒机的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理云堡垒机实例。 当用户开通云堡垒机（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计云堡垒机实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计云堡垒机实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计云堡垒机实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计云堡垒机实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计云堡垒机实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计云堡垒机实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计云堡垒机实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计云堡垒机实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计云堡垒机实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计云堡垒机实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟 异常登陆事件累计数 该指标用于统计云堡垒机实例异常登录事件的数量。 个 是 5分钟

本文介绍云堡垒机(原生版)的监控指标以及如何查看云堡垒机(原生版)的监控数据。 为保证云堡垒机实例的可靠性、可用性和可观测性，对云堡垒机进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的云堡垒机监控功能，可方便用户更快、更直观的了解云堡垒机的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理云堡垒机实例。 当用户开通云堡垒机（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计云堡垒机实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计云堡垒机实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计云堡垒机实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计云堡垒机实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计云堡垒机实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计云堡垒机实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计云堡垒机实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计云堡垒机实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计云堡垒机实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计云堡垒机实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟 异常登陆事件累计数 该指标用于统计云堡垒机实例异常登录事件的数量。 个 是 5分钟

本文向您介绍如何修改弹性云主机(Windows)的SID。 操作场景 Windows操作系统是通过安全标识符（SID）对计算机和用户的识别。由于基于同一镜像生产的云服务器实例 SID 相同，会引起无法入域的问题。如果您需要搭建 Windows 域环境，则需要通过修改 SID 以达到入域的目的。本文档以 Windows Server 2012 操作系统云服务器为例，介绍如何使用系统自带sysprep 以及 sidchg 工具修改 SID。 注意 本说明仅适用于 Windows Server 2008 R2 、Windows Server 2012 以及Windows Server 2016及更高版本。 如果有批量修改 SID 的需求，可通过制作自定义镜像（选择 “执行 sysprep 制作镜像”）解决。 修改云主机SID可能导致数据丢失或系统损坏，建议您提前做好数据备份。 操作步骤 使用sysprep修改SID 注意 1. 使用 sysprep 修改 SID 后，系统参数很多都被重新设置，包括 IP 配置信息等，您必须手动重新设置。 2. 使用 sysprep 修改 SID 后，C:UsersAdministrator 将会被重置，系统盘部分数据将被清理，请注意做好数据备份。 1. 使用远程登录方式登录云主机。 2. 在操作系统界面，点击运行，输入cmd，按Enter，打开管理员命令行工具。 在管理员命令行工具中，执行以下命令，保存当前网络配置。 ipconfig /all 3. 以管理员身份使用 PowerShell 执行以下命令。 $unattendContent @" true Work 3 true true "@ $unattendContent OutFile FilePath C:WindowsSystem32Sysprepunattend.xml Encoding UTF8 Force C:WindowsSystem32Sysprepsysprep.exe /generalize /oobe /shutdown /unattend:C:WindowsSystem32Sysprepunattend.xml 4. 执行完成后，系统会自动关机。此时，您可在云平台制作私有镜像。 5. 启动云主机进入操作系统后执行下方命令，验证SID是否已修改，返回类似如下信息，则表示SID已完成修改。 whoami /user 6. 根据步骤2保存的网络配置信息，重新设置网卡相关信息(如IP地址、网关地址、DNS等)。

（可选）创建虚拟私有云 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。 若您已有虚拟私有云，可重复使用，无需重复创建。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“网络 > 虚拟私有云”。 步骤 4 单击“创建虚拟私有云”。 步骤 5 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。 创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 步骤 6 单击“立即创建”。 （可选）创建密钥对 云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息，密码或密钥对用于远程登录节点时的身份认证。 如果选择密钥登录方式，您需要在创建云容器引擎的集群节点时指定密钥对的名称，然后在SSH登录时提供私钥。 如果选择密码登录方式，可以跳过该任务。 说明 如果您计划在多个区域创建实例，则需要在每个区域中创建密钥对。 通过管理控制台创建密钥对 如果您尚未创建密钥对，可以通过管理控制台自行创建。步骤如下： 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“计算 > 弹性云主机”。 步骤 4 在左侧导航树中，选择“密钥对”。 步骤 5 在“密钥对”页面，单击“创建密钥对”。 步骤 6 输入密钥名称，单击“确定”。 步骤 7 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 步骤 8 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 这是您保存私钥文件的唯一机会，请妥善保管。当您创建弹性云主机时，您将需要提供密钥对的名称；每次SSH登录到弹性云主机时，您将需要提供相应的私钥。

存储卷挂载 容器存储数据卷挂载方式包括：静态存储卷和动态存储卷。 静态存储卷 静态存储卷是由集群管理员预先创建的 PV（PersistentVolume）。管理员根据集群存储需求，提前分配存储介质（如云盘、文件系统等）并创建对应的 PV 对象。这些 PV 处于可用状态，等待 PVC（PersistentVolumeClaim）绑定使用。 应用程序通过定义 PVC 申请存储资源时，Kubernetes 会根据 PVC 的需求和匹配规则自动将其与合适的 PV 绑定（或在创建 PVC 时直接指定 PV 名称）。应用程序即可通过 PVC 访问预分配的静态存储卷，获得持久化存储能力。 动态存储卷 Kubernetes 通过存储类（StorageClass）和存储插件提供动态存储卷功能。管理员基于可用存储资源和策略创建存储类模板，开发者在部署应用时通过 PVC 申请存储资源。存储插件根据存储类定义与后端存储池交互，动态创建符合需求的 PV 并绑定到 PVC。 动态存储卷的优势： PV的自动化生命周期管理：通过 Provisioner 自动完成 PV 的创建和删除。 简化运维：通过自动创建PV，减少手动配置复杂度和管理员工作量。 容量优化：动态创建的 PV 容量与 PVC 需求精确匹配，实现存储容量规划最优。 子路径挂载支持 ：通过 volumeMounts.subPath 属性可挂载卷内的特定子路径，而非根目录。 存储类（StorageClass ）说明如下： 字段 说明 存储驱动（provisioner） 用来决定使用哪个卷插件制备 PV 回收策略(reclaimPolicy) 由 StorageClass 动态创建的 PV会在类的 reclaimPolicy 字段中指定回收策略，可以是 Delete 或者 Retain。如果 StorageClass 对象被创建时没有指定 reclaimPolicy，默认为 Delete。 通过 StorageClass 手动创建并管理的 PV会使用它们被创建时指定的回收策略。 绑定模式（volumeBindingMode） 该控制了卷绑定和动态供应应该发生在什么阶段。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PersistentVolume 的绑定和制备，直到使用该 PersistentVolumeClaim 的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 说明 volumeBindingMode配置为WaitForFirstConsumer，可以解决以下可能情况： 1、创建了A可用区的数据卷，但是A可用区的节点资源已经耗光，导致Pod启动无法完成挂载。 2、集群管理员在规划PVC、PV的时候不能确定在哪些可用区创建多个PV来备用。 卷扩展 当StorageClass 的 allowVolumeExpansion 字段设置为 true ，表示动态创建的PV可以配置为可扩展，即允许用户通过编辑相应的 PVC 对象来调整卷大小。 挂载选项 由 StorageClass 动态创建的 PV 将使用类中 mountOptions 字段指定的挂载选项。 Kubernetes 不对挂载选项执行合法性检查。如果挂载选项是非法的，挂载就会失败。 说明 并非所有持久卷类型都支持挂载选项。

天翼云Prometheus监控服务提供了HTTP API地址，您可以在自建的Grafana中接入Prometheus监控数据，或在二次开发过程中通过Prometheus API获取监控数据。 前提条件 已创建Prometheus 实例。 客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取HTTP API地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制HTTP API地址。 4. 可以单击生成token，获取Prometheus实例的鉴权Token。 注意 生成Token后，可在Grafana中添加数据源时配置Token，否则必须配置用户的AccessKey和AccessKey Secret。 步骤三：接入自建Grafana（token接入） 1. 配置Grafana数据源。 1. 以管理员账号登录本地Grafana系统。 2. 点击页面左上角的图标。 3. 在左侧导航栏中选择Configuration > Data Sources。说明：仅管理员可以看到此菜单。 4. 在Data Sources页签上单击+ Add new data source。 5. 在Add data source页面上单击Prometheus。 6. 在Settings页签的Name字段中输入自定义的名称，在Prometheus server URL字段中粘贴上文【步骤一：获取HTTP API地址】中获得的HTTP API地址。 7. 单击+ Add header，在Custom HTTP Headers区域单击+Add header，设置Header为Authorization，设置Value为【步骤二：获取HTTP API地址】中获取的鉴权Token。 8. 单击页签底部的Save & Test。 2. 验证结果。 1. 登录本地Grafana系统。 2. 点击页面左上角的图标，然后在左侧导航栏中单击Dashboards， 3. 点击Dashboards页面右侧的New，然后在下拉菜单中单击New dashboard。 4. 点击+ Add visualization， 5. 在Select data source页面选择您创建的数据源。 6. 在Edit Panel页面的Query页签下的A区域的Metrics字段和Label filters字段中输入指标名称和值，单击Run queries进行查询。 如果能显示出相应指标的图表，则说明操作成功。否则请检查填写的接口地址或Token是否正确，以及数据源是否有Prometheus的监控数据。

翼MapReduce（翼MR）是一种基于云计算平台的数据处理分析服务，打造了高可靠、高安全、易使用的运行维护平台，对外提供大容量数据的存储和分析能力，可解决用户实时性要求不高的海量数据存储和处理需求，可以独立申请和使用托管Hadoop、Spark、HBase和Hive组件。 支持的事件列表如下： 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 DBServer主备倒换 dbServerSwitchover 次要 DBServer主备倒换 主备倒换需要和运维人员确认是否为正常操作导致。 连续触发主备倒换可能影响Hive服务正常使用，导致Hive服务不可用。 Flume Channel溢出 flumeChannelOverflow 次要 Flume Channel溢出 确认flume的channel配置是否合理，业务量是否有突增。 Flume任务无法正常写入数据到后端。 NameNode主备倒换 namenodeSwitchover 次要 NameNode主备倒换 主备倒换需要和运维人员确认是否为正常操作导致。 连续触发主备倒换可能影响HDFS服务正常使用，读写HDFS文件可能失败。 ResourceManager主备倒换 resourceManagerSwitchover 次要 ResourceManager主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响Yarn服务正常使用，导致任务出现异常甚至失败 JobHistoryServer主备倒换 jobHistoryServerSwitchover 次要 JobHistoryServer主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响MapReduce服务正常使用，导致任务日志读取异常 HMaster主备倒换 hmasterFailover 次要 HMaster主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响HBase服务正常使用 Hue发生主备切换 hueFailover 次要 Hue发生主备切换 主备倒换需要和运维人员确认是否为正常操作导致 主备倒换可能影响HUE服务正常使用，导致页面无法使用等问题 Impala HaProxy服务发生主备切换 impalaHaProxyFailover 次要 Impala HaProxy服务发生主备切换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响Impala服务正常使用 Impala StateStoreCatalog服务发生主备切换 impalaStateStoreCatalogFailover 次要 Impala StateStoreCatalog服务发生主备切换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响Impala服务正常使用 LdapServer主备倒换 ldapServerFailover 次要 LdapServer主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 连续触发主备倒换可能影响LdapServer服务正常使用 Loader主备倒换 loaderSwitchover 次要 Loader主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 主备倒换可能影响Loader服务正常使用 Manager主备倒换 managerSwitchover 提示 Manager主备倒换 主备倒换需要和运维人员确认是否为正常操作导致 Manager主备倒换可能导致Manager页面无法正常访问，部分监控可能出现异常数值 作业执行失败 jobRunningFailed 提示 作业执行失败 查看作业管理页面，确认失败任务是否有异常 作业执行过程出现失败 作业被终止 jobkilled 提示 作业被终止 确认任务是否人为下发终止命令 作业执行过程被终止 Oozie工作流执行失败 oozieWorkflowExecutionFailure 次要 Oozie工作流执行失败 查看Oozie日志，确认任务失败原因 Oozie工作流执行失败 Oozie定时任务执行失败 oozieScheduledJobExecutionFailure 次要 Oozie定时任务执行失败 查看Oozie日志，确认任务失败原因 Oozie定时任务执行失败 ClickHouse服务不可用 clickHouseServiceUnavailable 紧急 ClickHouse服务不可用 请参考《MapReduce服务用户指南》的“ALM45425 ClickHouse服务不可用”章节。 ClickHouse服务异常，无法通过FusionInsight Manager对ClickHouse进行集群操作，无法使用ClickHouse服务功能。 DBService服务不可用 dbServiceServiceUnavailable 紧急 DBService服务不可用 请参考《MapReduce服务用户指南》的“ALM27001 DBService服务不可用”章节。 数据库服务不可用，无法对上层服务提供数据入库、查询等功能，使部分服务异常。 DBService主备节点间心跳中断 dbServiceHeartbeatInterruption BetweentheActiveAndStandbyNodes 重要 DBService主备节点间心跳中断 请参考《MapReduce服务用户指南》的“ALM27003 DBService主备节点间心跳中断”章节。 DBService主备间心跳中断时只有一个节点提供服务，一旦该节点故障，再无法切换到备节点，就会服务不可用。 DBService主备数据不同步 dataInconsistencyBetween ActiveAndStandbyDBServices 紧急 DBService主备数据不同步 请参考《MapReduce服务用户指南》的“ALM27004 DBService主备数据不同步”章节。 主备DBServer数据不同步，如果此时主实例异常，则会出现数据丢失或者数据异常的情况。 数据库进入只读模式 databaseEnterstheReadOnlyMode 紧急 数据库进入只读模式 请参考《MapReduce服务用户指南》的“ALM27007 数据库进入只读模式”章节。 数据库进入只读模式，业务数据丢失。 Flume服务不可用 flumeServiceUnavailable 紧急 Flume服务不可用 请参考《MapReduce服务用户指南》的“ALM24000 Flume服务不可用”章节。 当Flume服务不可用时，Flume不能正常工作，数据传输业务中断。 Flume Agent异常 flumeAgentException 重要 Flume Agent异常 请参考《MapReduce服务用户指南》的“ALM24001 Flume Agent异常”章节。 产生告警的Flume Agent实例无法正常启动，定义在该实例下的数据传输任务暂时中断，对于实时数据传输，会丢失实时数据。 Flume Client连接中断 flumeClientDisconnected 重要 Flume Client连接中断 请参考《MapReduce服务用户指南》的“ALM24003 Flume Client连接中断”章节。 产生告警的Flume Client无法与Flume Server端进行通信，Flume Client端的数据无法传输到Flume Server端。 Flume读取数据异常 exceptionOccursWhenFlumeReadsData 重要 Flume读取数据异常 请参考《MapReduce服务用户指南》的“ALM24004 Flume读取数据异常”章节。 如果数据源有数据，Flume Source持续读取不到数据，数据采集会停止。 Flume传输数据异常 exceptionOccursWhenFlumeTransmitsData 重要 Flume传输数据异常 请参考《MapReduce服务用户指南》的“ALM24005 Flume传输数据异常”章节。 Flume Channel的磁盘空间使用量有继续增长的趋势，将会使数据导入到指定目的地的时间增长，当Flume Channel的磁盘空间使用量达到100%时会导致Flume Agent进程暂停工作。 Flume 证书文件非法或已损坏 flumeCertificateFileIsinvalid 重要 Flume 证书文件非法或已损坏 请参考《MapReduce服务用户指南》的“ALM24010 Flume证书文件非法或已损坏”章节。 Flume证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 Flume 证书文件即将过期 flumeCertificateFileIsAboutToExpire 重要 Flume 证书文件即将过期 请参考《MapReduce服务用户指南》的“ALM24011 Flume证书文件即将过期”章节。 Flume证书文件即将失效，对系统目前运行无影响。 Flume 证书文件已过期 flumeCertificateFileIsExpired 重要 Flume 证书文件已过期 请参考《MapReduce服务用户指南》的“ALM24012 Flume证书文件已过期”章节。 Flume证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 Flume MonitorServer证书文件失效 flumeMonitorServerCertificateFileIsInvalid 重要 Flume MonitorServer证书文件失效 请参考《MapReduce服务用户指南》的“ALM24013 Flume MonitorServer证书文件非法或已损坏”章节。 MonitorServer证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 Flume MonitorServer证书文件即将过期 flumeMonitorServerCertificate FileIsAboutToExpire 重要 Flume MonitorServer证书文件即将过期 请参考《MapReduce服务用户指南》的“ALM24014 Flume MonitorServer证书文件即将过期”章节。 MonitorServer证书文件即将失效，对系统目前运行无影响。 Flume MonitorServer证书文件已过期 flumeMonitorServerCertificateFileIsExpired 重要 Flume MonitorServer证书文件已过期 请参考《MapReduce服务用户指南》的“ALM24015 Flume MonitorServer证书文件已过期”章节。 MonitorServer证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 HDFS服务不可用 hdfsServiceUnavailable 紧急 HDFS服务不可用 请参考《MapReduce服务用户指南》的“ALM14000 HDFS服务不可用”章节。 无法为基于HDFS服务的HBase和MapReduce等上层部件提供服务。用户无法读写文件。 NameService服务异常 nameServiceServiceUnavailable 重要 NameService服务异常 请参考《MapReduce服务用户指南》的“ALM14010 NameService服务异常”章节。 无法为基于该NameService服务的HBase和MapReduce等上层部件提供服务。用户无法读写文件。 DataNode数据目录配置不合理 datanodeDataDirectoryIsNotConfiguredProperly 重要 DataNode数据目录配置不合理 请参考《MapReduce服务用户指南》的“ALM14011 DataNode数据目录配置不合理”章节。 如果将DataNode数据目录挂载在根目录等系统关键目录，长时间运行后会将根目录写满，导致系统故障。不合理的DataNode数据目录配置，会造成HDFS的性能下降。 Journalnode数据不同步 journalnodeIsOutOfSynchronization 重要 Journalnode数据不同步 请参考《MapReduce服务用户指南》的“ALM14012 Journalnode数据不同步”章节。 当一个JournalNode节点工作状态异常时，其数据就会与其他JournalNode节点的数据不同步。如 果超过一半的JournalNode节点的数据不同步时，NameNode将无法工作，导致HDFS服务不可用。 NameNode FsImage文件更新失败 failedToUpdateTheNameNodeFsImageFile 重要 NameNode FsImage文件更新失败 请参考《MapReduce服务用户指南》的“ALM14013 NameNode FsImage文件更新失败”章节。 如果主NameNode数据目录的FsImage没有更新，则说明HDFS元数据合并功能异常，需要修复。 如不修复，HDFS在运行一段时间后，Editlog会一直增长。此时如果重启HDFS，由于要加载非常多的Editlog，会导致启动非常耗时。另外，该告警的产生也说明备NameNode功能异常，导致NameNode的HA机制失效。一旦主NameNode故障，则整个HDFS服务将不可用。 DataNode磁盘故障 datanodeDiskFault 重要 DataNode磁盘故障 请参考《MapReduce服务用户指南》的“ALM14027 DataNode磁盘故障”章节。 上报DataNode磁盘故障告警时，表示该DataNode节点上存在故障的磁盘分区，可能会导致已写入的文件丢失。 Yarn服务不可用 yarnServiceUnavailable 紧急 Yarn服务不可用 请参考《MapReduce服务用户指南》的“ALM18000 Yarn服务不可用”章节。 集群无法提供Yarn服务。用户无法执行新的application。已提交的application无法执行。 NodeManager心跳丢失 nodemanagerHeartbeatLost 重要 NodeManager心跳丢失 请参考《MapReduce服务用户指南》的“ALM18002 NodeManager心跳丢失”章节。 丢失的NodeManager节点无法提供Yarn服务。容器减少，集群性能下降。 NodeManager不健康 nodemanagerUnhealthy 重要 NodeManager不健康 请参考《MapReduce服务用户指南》的“ALM18003 NodeManager不健康”章节。 故障的NodeManager节点无法提供Yarn服务。容器减少，集群性能下降。 Yarn 任务执行超时 yarnApplicationTimeout 次要 Yarn 任务执行超时 请参考《MapReduce服务用户指南》的“ALM18020 Yarn任务执行超时”章节。 任务执行超时后的运行时间内，该告警一直存在，但任务仍继续正常执行，没有任何影响。 Mapreduce服务不可用 mapreduceServiceUnavailable 紧急 Mapreduce服务不可用 请参考《MapReduce服务用户指南》的“ALM18021 Mapreduce服务不可用”章节。 集群无法提供Mapreduce服务，如无法通过Mapreduce查看任务日志，无法提供Mapreduce服务的日志归档功能等。 Yarn队列资源不足 insufficientYarnQueueResources 次要 Yarn队列资源不足 请参考《MapReduce服务用户指南》的“ALM18022 Yarn队列资源不足”章节。 应用任务结束时间变长。新应用提交后长时间无法运行。 HBase服务不可用 hbaseServiceUnavailable 紧急 HBase服务不可用 请参考《MapReduce服务用户指南》的“ALM19000 HBase服务不可用”章节。 无法进行数据读写和创建表等操作。 HBase系统表目录或文件丢失 systemTablePathOrFileOfHBaseIsMissing 紧急 HBase系统表目录或文件丢失 请参考《MapReduce服务用户指南》的“ALM19012 HBase系统表目录或文件丢失”章节。 HBase服务重启/启动失败。 Hive服务不可用 hiveServiceUnavailable 紧急 Hive服务不可用 请参考《MapReduce服务用户指南》的“ALM16004 Hive服务不可用”章节。 Hive无法提供数据加载，查询，提取服务。 Hive数据仓库被删除 hiveDataWarehouseIsDeleted 紧急 Hive数据仓库被删除 请参考《MapReduce服务用户指南》的“ALM16045 Hive数据仓库被删除”章节。 Hive默认数据仓库被删除，会导致在默认数据仓库中创建库、创建表失败，影响业务正常使用。 Hive数据仓库权限被修改 hiveDataWarehousePermissionIsModified 紧急 Hive数据仓库权限被修改 请参考《MapReduce服务用户指南》的“ALM16046 Hive数据仓库权限被修改”章节。 Hive默认数据仓库的权限被修改，会影响当前用户，用户组，其他用户在默认数据仓库中创建库、创建表等操作的操作权限范围。会扩大或缩小权限。 HiveServer已从Zookeeper注销 hiveServerHasBeenDeregisteredFromZookeeper 重要 HiveServer已从Zookeeper注销 请参考《MapReduce服务用户指南》的“ALM16047 HiveServer已从Zookeeper注销”章节。 当无法在Zookeeper上读取到Hive的配置，将会导致HiveServer不可用。 tez或者spark库路径不存在 tezlibOrSparklibIsNotExist 重要 tez或者spark库路径不存在 请参考《MapReduce服务用户指南》的“ALM16048 Tez或者Spark库路径不存在”章节。 Tez或者Spark库路径不存在，会影响Hive on Tez，Hive on Spark的功能。 Hue服务不可用 hueServiceUnavailable 紧急 Hue服务不可用 请参考《MapReduce服务用户指南》的“ALM20002 Hue服务不可用”章节。 系统无法提供数据加载，查询，提取服务。 Impala服务不可用 impalaServiceUnavailable 紧急 Impala服务不可用 请参考《MapReduce服务用户指南》的“ALM29000 Impala服务不可用”章节。 Impala服务异常，无法通过FusionInsight Manager对Impala进行集群操作，无法使用Impala服务功能。 Kafka服务不可用 kafkaServiceUnavailable 紧急 Kafka服务不可用 请参考《MapReduce服务用户指南》的“ALM38000 Kafka服务不可用”章节。 集群无法对外提供Kafka服务，用户无法执行新的Kafka任务。 Kafka默认用户状态异常 statusOfKafkaDefaultUserIsAbnormal 紧急 Kafka默认用户状态异常 请参考《MapReduce服务用户指南》的“ALM38007 Kafka默认用户状态异常”章节。 Kafka默认用户状态异常，会影响Broker之间的元数据同步，以及Kafka与ZooKeeper之间的交互，进而影响业务生产、消费和Topic的创建、删除等操作。 Kafka数据目录状态异常 abnormalKafkaDataDirectoryStatus 重要 Kafka数据目录状态异常 请参考《MapReduce服务用户指南》的“ALM38008 Kafka数据目录状态异常”章节。 Kafka数据目录状态异常，会导致该数据目录上所有Partition的当前副本下线，多个节点同时出现数据目录状态异常，可能会导致部分Partition不可用。 存在单副本的Topic topicsWithSingleReplica 警告 存在单副本的Topic 请参考《MapReduce服务用户指南》的“ALM38010 存在单副本的Topic”章节。 单副本的Topic存在单点故障风险，当副本所在节点异常时，会直接导致Partition没有leader，影响该Topic上的业务。 KrbServer服务不可用 krbServerServiceUnavailable 紧急 KrbServer服务不可用 请参考《MapReduce服务用户指南》的“ALM25500 KrbServer服务不可用”章节。 告警发生时，不能对集群中的组件KrbServer进行任何操作。其它组件的KrbServer认证将受影响。集群中依赖KrbServer的组件运行状态将为故障。 Kudu服务不可用 kuduServiceUnavailable 紧急 Kudu服务不可用 请参考《MapReduce服务用户指南》的“ALM29100 Kudu服务不可用”章节。 用户无法使用Kudu服务。 LdapServer服务不可用 ldapServerServiceUnavailable 紧急 LdapServer服务不可用 请参考《MapReduce服务用户指南》的“ALM25000 LdapServer服务不可用”章节。 告警发生时，不能对集群中的KrbServer和LdapServer用户进行任何操作。 例如，无法在FusionInsight Manager页面添加、删除或修改任何用户、用户组或角色，也无法修改用户密码。集群中原有的用户验证不受影响。 LdapServer数据同步异常 abnormalLdapServerDataSynchronization 紧急 LdapServer数据同步异常 请参考《MapReduce服务用户指南》的“ALM25004 LdapServer数据同步异常”章节。 LdapServer数据不一致时，有可能是Manager上的LdapServer数据损坏，也有可能是集群上的LdapServer数据损坏，此时数据损坏的LdapServer进程将无法对外提供服务，影响Manager和集群的认证功能。 Nscd服务异常 nscdServiceIsAbnormal 重要 Nscd服务异常 请参考《MapReduce服务用户指南》的“ALM25005 Nscd服务异常”章节。 nscd服务异常时，可能会影响该节点从LdapServer上同步数据，此时，使用id命令可能会获取不到Ldap中的数据，影响上层业务。 Sssd服务异常 sssdServiceIsAbnormal 重要 Sssd服务异常 请参考《MapReduce服务用户指南》的“ALM25006 Sssd服务异常”章节。 sssd服务异常时，可能会影响该节点从LdapServer上同步数据，此时，使用id命令可能会获取不到ldap中的数据，影响上层业务。 Loader服务不可用 loaderServiceUnavailable 紧急 Loader服务不可用 请参考《MapReduce服务用户指南》的“ALM23001 Loader服务不可用”章节。 如果Loader服务不可用，数据加载，导入，转换的功能也不可用。 Oozie服务不可用 oozieServiceUnavailable 紧急 Oozie服务不可用 请参考《MapReduce服务用户指南》的“ALM17003 Oozie服务不可用”章节。 无法使用Oozie服务提交作业。 Ranger服务不可用 rangerServiceUnavailable 紧急 Ranger服务不可用 请参考《MapReduce服务用户指南》的“ALM45275 Ranger服务不可用”章节。 当Ranger服务不可用时，Ranger无法正常工作，Ranger原生UI无法访问。 RangerAdmin状态异常 abnormalRangerAdminStatus 重要 RangerAdmin状态异常 请参考《MapReduce服务用户指南》的“ALM45276 RangerAdmin状态异常”章节。 当存在单个RangerAdmin状态异常时，不影响Ranger原生UI访问；当两个RangerAdmin状态异常时，Ranger原生UI无法访问，无法执行创建、修改、删除策略等操作。 Spark2x服务不可用 spark2xServiceUnavailable 紧急 Spark2x服务不可用 请参考《MapReduce服务用户指南》的“ALM43001 Spark2x服务不可用”章节。 用户提交的Spark任务执行失败。 Storm服务不可用 stormServiceUnavailable 紧急 Storm服务不可用 请参考《MapReduce服务用户指南》的“ALM26051 Storm服务不可用”章节。 集群无法对外提供Storm服务，用户无法执行新的Storm任务。 ZooKeeper服务不可用 zooKeeperServiceUnavailable 紧急 ZooKeeper服务不可用 请参考《MapReduce服务用户指南》的“ALM13000 ZooKeeper服务不可用”章节。 ZooKeeper无法为上层组件提供协调服务，依赖ZooKeeper的组件可能无法正常运行。 ZooKeeper中组件顶层目录的配额设置失败 failedToSetTheQuotaOfTopDirectoriesOf ZooKeeperComponent 次要 ZooKeeper中组件顶层目录的配额设置失败 请参考《MapReduce服务用户指南》的“ALM13005 ZooKeeper中组件顶层目录的配额设置失败”章节。 组件可以向对应的ZooKeeper顶层目录中写入大量数据，导致Zookeeper服务不可用。

本文为您介绍重点操作验证的定义和重点操作范围。 产品定义 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。 目前二次认证仅支持短信验证码方式认证。若您开启短信验证能力，在控制台进行重点操作时，系统会向您的手机号（绑定天翼云账号的手机号）发送短信验证码，需输入正确的验证码才能执行该重点操作。从而避免您进行误操作，造成云产品数据的丢失；另一方面，确保操作人身份，避免影响业务运行。 重点操作：可能引起服务运行中断、网络中断、数据丢失等情况的操作。 重点操作范围 当您开启操作保护后，进行重点操作时，需要进行身份验证，重点操作范围如下表： （操作范围会不定期更新，敬请关注） 产品名称 功能 上线时间 ::: 弹性云主机 关机 2023年2月10日 弹性云主机 批量关机 2023年2月10日 弹性云主机 重启 2023年2月10日 弹性云主机 批量重启 2023年2月10日 弹性云主机 一键重装 2023年2月10日 弹性云主机 重置密码 2023年2月10日 弹性云主机 批量重置密码 2023年2月10日 弹性云主机 变配 2023年2月10日 弹性云主机 删除（按需） 2023年2月10日 弹性云主机 退订（包周期） 2023年2月10日 弹性云主机 批量删除/退订 2023年2月10日 弹性云主机 弹性IP解绑 2023年2月10日 云硬盘 卸载 2023年2月10日 云硬盘 删除（按需） 2023年2月10日 云硬盘 退订（包周期） 2023年2月10日 虚拟私有云 VPC安全组删除 2023年2月10日 弹性IP 弹性IP解绑 2023年2月10日 弹性IP 弹性IP删除 2023年2月10日 弹性IP 弹性IP退订 2023年2月10日 弹性IP 共享带宽删除 2023年2月10日 弹性负载均衡 弹性负载均衡删除 2023年2月10日 弹性负载均衡 弹性负载均衡退订 2023年2月10日 NAT网关 DNAT规则删除 2023年2月10日 NAT网关 SNAT规则删除 2023年2月10日 VPN连接 VPN删除 2023年2月10日

参数 类型 描述 是否必须 lunName String 克隆卷名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 snapshotName String 指定克隆卷关联的快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 是 targetName String 指定克隆卷关联的iSCSI target名称，可以跟源卷的iSCSI target不同。 说明 创建卷时，如果指定的target名称不存在，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 capacity Integer 指定克隆卷的容量。 取值：[1,1048576]，单位是GiB。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 否 config.localStorageClass String 指定克隆卷的冗余模式（仅集群版支持）。 注意 如果设置了克隆卷的minReplica或redundancyOverlap，则必须同时指定该参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M ：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。默认值为源卷的卷冗余模式。 说明（以下场景均为集群可用的前提下）： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 否 config.minReplica Integer 指定克隆卷的最小副本数（仅集群版支持）。 注意 如果指定该参数，则必须指定克隆卷的localStorageClass。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值： 如果没有指定克隆卷的localStorageClass：默认值为源卷的最小副本数。 如果指定了克隆卷的localStorageClass：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 否 config.ECfragmentSize Integer 指定克隆卷的纠删码模式分片大小（仅集群版支持）。 config.localStorageClass为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 否 config.redundancyOverlap Integer 指定克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localStorageClass。 取值： 如果没有指定克隆卷的localStorageClass：默认值为源卷的折叠副本数。 如果指定了克隆卷的localStorageClass：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 否 config.sectorSize Integer 指定克隆卷的扇区大小。 取值：512、4096，单位是bytes。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4096；单次I/O操作的数据大小接近512 bytes，则推荐选择512。如果对接VMware等虚拟化平台，则推荐选择512。 否 config.cachePool String 指定缓存存储池（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 config.pool String 指定存储池（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 config.highAvailability String 指定克隆卷的高可用类型（仅集群版支持）。 取值： ActiveStandby：启用主备，该卷关联对应target下的所有IQN。 Disabled：不启用主备，该卷关联对应target下的1个IQN。 默认值为源卷的高可用类型。 否 config.writePolicy String 指定克隆卷的写策略。 取值： WriteBack：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 否 config.serverAffinity Object 卷主备分布优先级设置，详见“ 表1 请求参数config.serverAffinity说明 ”。 否 config.qosPolicy Object 卷关联的QoS策略信息，详见“ 表2 请求参数config.qosPolicy说明 ”。 否 config.path String 指定存储克隆卷数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。如果创建卷时不指定数据目录，默认与源卷配置保持一致。 否

接口约束   1. 专属云内创建云主机均为按需类型云主机   2. 自动分配弹性IP（extIP"1"）时，需要填写弹性IP版本（ipVersion）与带宽大小（bandwidth）；使用已有的弹性IP（extIP"2"）时，需要填写弹性IP的版本（ipVersion）和对应弹性IP的ID（eipID或ipv6AddressID）   3. 挂载网卡时，子网与虚拟私有云存在对应关系，确保子网属于当前虚拟私有云 URI POST /v4/dec/createinstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个clientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 azName 是 String 可用区名称，您可以查看地域和可用区来了解可用区 获取： 查 资源池可用区查询 注：查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空（即为单可用区，本字段填写default） cnhuadong1jsnj1Apublicctcloud instanceName 是 String 云主机名称。不同操作系统下，云主机名称规则有差异 Windows：长度为215个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字； 其他操作系统：长度为264字符，允许使用点（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（），不能以点号（.）或连字符（）开头或结尾，也不能仅使用数字 ecm3300 displayName 是 String 云主机显示名称，长度为2~63字符 ecm3300 flavorID 是 String 云主机规格ID，您可以查看规格说明了解弹性云主机的选型基本信息 获取： 查 查询一个或多个云主机规格资源 注：同一规格名称在不同资源池不同可用区的规格ID是不同的，调用前需确认规格ID是否归属当前资源池，多可用区资源池确认是否归属当前可用区 0824679adc8647dca0d39c330928f4f6 decHostID 否 String 专属宿主机ID，获取： 查 查询专属宿主机列表 73f321ea62ff11eca8bc005056898fe0 decTypeID 否 String 专属云存储ID 32af90b5664c41c4bc590f88b39eebc2 imageType 是 Integer 镜像类型，取值范围： 0：私有镜像， 1：公有镜像， 2：共享镜像， 3：安全镜像， 4：甄选镜像 您可以查看镜像概述查看关于云主机镜像介绍 1 imageID 是 String 镜像ID，您可以查看镜像概述来了解云主机镜像 获取： 查 查询可以使用的镜像资源 创 创建私有镜像（云主机系统盘） 创 创建私有镜像（云主机数据盘） 注：同一镜像名称在不同资源池的镜像ID是不同的，调用前需确认镜像ID是否归属当前资源池 9d9e89988ed543b299cb322f2b8cf6fa bootDiskType 是 String 系统盘类型，取值范围： SATA：普通IO， SAS：高IO， SSD：超高IO， FASTSSD：极速型SSD 您可以查看磁盘类型及性能介绍来了解磁盘类型及其对应性能指标 SATA bootDiskSize 是 Integer 系统盘大小单位为GiB，取值范围：[40, 32768]，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费 40 vpcID 是 String 虚拟私有云ID，您可以查看产品定义虚拟私有云来了解虚拟私有云 获取： 查 查询VPC列表 创 创建VPC 注：在多可用区类型资源池下，vpcID通常为“vpc”开头，非多可用区类型资源池vpcID为uuid格式 4797e8a1722d49969362458001813e41 networkCardList 是 Array of Objects 网卡信息列表，您可以查看弹性网卡概述了解弹性网卡相关信息 networkCardList extIP 是 String 是否使用弹性公网IP，取值范围： 0：不使用， 1：自动分配， 2：使用已有 注：自动分配弹性公网，默认分配IPv4弹性公网，需填写带宽大小，如需ipv6请填写弹性IP版本（即参数extIP"1"时，需填写参数bandwidth、ipVersion，ipVersion含默认值ipv4） 使用已有弹性公网，请填写弹性公网IP的ID，默认为ipv4版本，如使用已有ipv6，请填写弹性ip版本（即参数extIP"2"时，需填写eipID或ipv6AddressID，同时ipv6情况下请填写ipVersion） 2 secGroupList 否 Array of Strings 安全组ID列表，您可以查看安全组概述了解安全组相关信息 获取： 查 查询用户安全组列表 创 创建安全组 注：在多可用区类型资源池下，安全组ID通常以“sg”开头，非多可用区类型资源池安全组ID为uuid格式；默认使用默认安全组，无默认安全组情况下请填写该参数 ["202ca2d2273a5995873b03731212c8e4"] dataDiskList 否 Array of Objects 数据盘信息列表，注：同一云主机下最多可挂载8块数据盘 dataDiskList ipVersion 否 String 弹性IP版本，取值范围： ipv4：v4地址， ipv6：v6地址 不指定默认为ipv4。注：请先确认该资源池是否支持ipv6 ipv4 bandwidth 否 Integer 带宽大小，单位为Mbit/s，取值范围：[1, 2000] 100 ipv6AddressID 否 String 弹性公网IPv6的ID，注：多可用区类资源池暂不支持；填写该参数时请填写ipVersion为ipv6 eip5sdasd2gfh eipID 否 String 弹性公网IP的ID，您可以查看产品定义弹性IP来了解弹性公网IP 获取： 查 查询指定地域已创建的弹性 IP 创 创建弹性 IP eip9jpeyl0frh affinityGroupID 否 String 云主机组ID，获取： 查 查询云主机组列表或者详情 创 创建云主机组 259b0c37104441d8989e keyPairID 否 String 密钥对ID，您可以查看密钥对来了解密钥对相关内容 获取： 查 查询一个或多个密钥对 创 创建一对SSH密钥对 c57d06268a82407ba910b454907778c3 userPassword 否 String 用户密码，满足以下规则： 长度在8～30个字符 必须包含大写字母、小写字母、数字以及特殊符号中的三项； 特殊符号可选：()~!@

通过本地磁盘存储将容器所在宿主机的文件目录挂载到容器的指定路径中，也可以不填写源路径。 本地磁盘使用场景 使用本地硬盘有四种形式： 主机路径挂载：将容器所在宿主机的文件目录挂载到容器指定的挂载点中，如容器需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 临时路径挂载：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载：将ConfigMap配置项中的key映射到容器中，可以用于挂载配置文件到指定容器目录。ConfigMap的创建请参见创建配置项，具体使用请参见使用配置项。 密钥挂载：将密钥中的数据挂载到容器的某一路径中。密钥是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。Secret的创建请参见创建密钥，具体使用请参见使用密钥。 下面分别介绍如何通过这四种形式进行挂载。 主机路径(HostPath)挂载 主机路径(HostPath)挂载表示将主机上的路径挂载到指定的容器路径。通常用于：“容器工作负载程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器工作负载”。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“容器设置”步骤中，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 设置添加本地磁盘参数，如下表。 表卷类型选择主机路径挂载 参数 参数说明 存储类型 主机路径(HostPath)。 主机路径 输入主机路径，如/etc/hosts。 说明 请注意“主机路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 权限： 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 临时路径(EmptyDir)挂载 临时路径(EmptyDir)挂载适用于临时存储、灾难恢复、共享运行时数据等场景，工作负载实例的删除或者迁移会导致临时路径被删除。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“临时路径挂载”，设置添加本地磁盘参数，如下表。 表卷类型选择临时路径挂载 参数 参数说明 存储类型 临时路径(EmptyDir)。 磁盘介质 若勾选“内存”，可以提高运行速度，但存储容量受内存大小限制。适用于数据量少，读写效率要求高的场景。 说明： Memory的EmptyDir使用的是内存，注意内存大小，用超过了容易oom。 Memory的EmptyDir的大小为实例规格的50%，暂时无法更改。 不使用Memory的EmptyDir不会占用系统内存。 若不勾选“内存”，即存储在硬盘上，适用于数据量大，读写效率要求低的场景。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 权限： 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 配置项(ConfigMap)挂载 配置项(ConfigMap)挂载是将配置项中的数据挂载到指定的容器路径。平台提供工作负载代码和配置文件的分离，“配置项挂载”用于处理工作负载配置参数。用户需要提前创建工作负载配置，操作步骤请参见创建配置项。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“配置项挂载”，设置添加本地磁盘参数，如下表。 表卷类型选择配置项挂载 参数 参数说明 存储类型 配置项(ConfigMap)。 配置项 选择对应的配置项名称。 配置项需要提前创建，具体请参见“创建配置项”。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限：只读。只能读容器路径中的数据卷。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 密钥(Secret)挂载 密钥(Secret)挂载将密钥中的数据挂载到指定的容器路径，密钥内容由用户决定。用户需要提前创建密钥，操作步骤请参见创建密钥。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“密钥挂载”，设置添加本地磁盘参数，如下表。 卷类型选择密钥挂载 参数 参数说明 存储类型 密钥(Secret)。 密钥 选择对应的密钥名称。 密钥需要提前创建，具体请参见“创建密钥”。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限：只读。只能读容器路径中的数据卷。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。

本页简要介绍分布式数据库V2.0.0版本更新说明。 版本说明 V2.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 2.0 2021年 07 月 新增和优化特性： 1. 新增软件包管理模块，包括查看软件包列表、上传软件包、删除软件包、搜索软件包和增加对软件包进行md5校验。 2. 新增主机管理模块，包括添加服务器、查看服务器列表、删除服务器列表、测试服务器连通性、检测服务器状态接口、编辑服务器信息和根据IP地址搜索服务器。 3. 新增资源模版管理，包括新建资源模版、查看模版列表、编辑资源模版、删除资源模版、检测模版是否被使用和根据模版名称搜索模版。 4. 新增服务器指标，包括服务器CPU使用率、服务器CPU负载、服务器内存占用率、服务器平均每次设备I/O操作服务时间、服务器平均设备I/O队列、服务器设备I/O操作等待时间、服务器入流量、服务器出流量、服务器TCP连接数、服务器数据库文件句柄数和服务器进程数。 5. 新增实例管理模块，包括实例操作、节点操作和健康检查。 6. 支持用户登录和退出数据库管理平台。 7. 新增参数管理和鉴权配置，包括查看数据库参数、自定义配置数据库参数、支持批量修改数据库参数、查看鉴权配置、修改鉴权配置、增加鉴权配置和删除鉴权配置。 8. 新增监控模块，包括集群预览、集群监控和节点监控。 9. 支持任务管理、用户管理和租户管理。 10. 新增备份恢复模块，包括备份策略、备份管理和恢复管理。 11. 新增分布式数据库能力，包括引入TeleDB分布式数据库内核和优化Oracle兼容性。 12. 优化Oracle兼容性。 修复漏洞 CVE20181115 漏洞名称：TeleDB：Quest DR Series Disk Backup软件操作系统命令注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE20181058 漏洞名称：TeleDB：PostgreSQL 提权漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE202132029 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201810915 漏洞名称：TeleDB：PostgreSQL SQL注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201910208 漏洞名称：TeleDB：Postgresql PostgreSQL SQL注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201712172 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201715098 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201715099 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE20201720 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE201910130 漏洞名称：TeleDB：PostgreSQL 访问控制错误漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 CVE20181052 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2021年07月 漏洞修复时间：2020年06月 解决方案：产品版本升级版本至2.1及以上。 修复缺陷 1. 在indexonly场景下，修复删除数据脱敏列功能不生效的问题。 2. 修复在聚合操作（带有去重）下添加一个排序节点的操作。 3. 在cn上vacuum表时，有cn计算frozenxid，保证集群范围内的统一xid回卷。 4. 修复因为释放的指针未置空导致coredump；优化过程中不能正确获取表的行数导致执行计划不准确的问题。 5. squeue故障时，consuer退出，CN回滚事务时，置空连接状态，避免无限的嵌套循环。 6. 修复查询串格式化时可能导致coredump的问题。 7. 修复等待轻量级锁（lwlock）的进程不进入pgstaterror处理的问题。 8. 修复分布式事务prepare时，未持久化2pc的上下文信息，导致pgclean无法清理一些二阶段事务问题。 9. 考虑空值和已删除的列，将已删除的属性、空值（NULL）以及缺失的值设置为NULL值。 10. 修复没有删除列的之间映射的bug。 11. 在pgsubscriptiontable中同步修改的bug。 12. 逻辑复制在master上新加入的表的数据变更到消费端直接被丢弃。 13. 逻辑复制ALTER SUBSCRIPTION xxx REFRESH PUBLICATION相关BUG。 14. 去掉Pooler调试过程无必要的sleep逻辑。 15. 确保在连接到连接池之前进行事务处理，并确保当前的事务状态是正确的。 16. 删除子表回归测例缺失。 17. 使用GCC版本7.3时遇到编译器错误。 18. 数据节点上通过VACUUM分区表产生的错误的索引信息。 19. 为gtm的 synchronousstandbynames 修正警告信息的if条件。 20. 修复TOAST表相关问题。 21. 修复空指针导致的core dump。 22. 修复一条日志"skip delete portal resowner"打印的if条件。 23. 修复一个在处理Gather 节点的左子树时，未能正确将目标（target）添加到其目标列表（targetlist）中的问题。 24. 在rtables（关系表列表）中搜索之前，没有正确检查变量的层级（level）的bug。如果变量是分布式列，并且其层级正确，那么函数返回 true。 25. 在构建初始快照时，避免recovery时的重复XIDs。 26. 在子事务precommit时使用独立的memorycontext，避免类似plpsql场景下因为子事务导致OOM。 27. 在cn节点调用pgclearnodecoldaccess函数会产生coredump。 28. 在poolerasyncbuildconnection中，在建立连接前检查管道中空间的bug。 29. 增加一条LOG信息，用于记录关于逻辑复制应用在特定数据库和表上的错误或问题的详细信息。 30. 支持在聚合算子下面增加sort算子。 31. 指针和数据的使用不当。 32. 指针和数据的释放函数使用不当。 33. copy tuple时置分片id相关问题。 34. FlushXlogTrack的coredump。 35. 修复GTM备机每次收到主机的时间戳位置都进行持久化的问题。 36. 修复GUC中的coordinatorlxid参数由于超出INTMAX的范围而导致的溢出问题。 37. 修复MergeAppend/Append算子下推时，如果有一个子算子下推到所有DN(nodes为NULL)，在通过并集计算之后反而会丢失部分DN节点，从而导致查询结果不完整的问题。

本文为您介绍设计预案阶段的具体操作。 使用条件 若预案阶段设计需要脚本任务，需要预先在脚本库中新建脚本并发布。 操作场景 在您创建预案阶段后，可以通过多活容灾服务控制台进行预案阶段中任务的编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“预案编排”“预案阶段”，进入预案阶段列表页。 5. 在列表上方下拉菜单中选择需要进行预案阶段操作的命名空间。 6. 点击预案阶段列表中的“预案阶段设计”按钮。 1. 若当前预案阶段状态为草稿，直接进入预案阶段设计页面。 2. 若当前预案阶段状态为已启用，且未被预案关联，直接进入预案阶段设计页面。 3. 若当前预案阶段状态为已启用，且存在被草稿/已启用/已停用状态关联的预案，弹出预案阶段设计提示弹窗，用户确认已知晓相关信息后，点击确认按钮后，进入预案阶段设计页面。不同状态的预案与预案阶段的关联情况如下： 1. 若当前预案阶段已被草稿状态的预案关联，对预案阶段重新设计后，对应预案将自动关联最新的预案阶段。 2. 若当前预案阶段已被启用状态的预案关联，对预案阶段重新设计后，对应预案状态将更新为“待重新启用”，需重新启用预案。 3. 若当前预案阶段已被停用状态的预案关联，对预案阶段重新设计后，对应预案状态不改变，启用预案时自动关联最新预案。 7. 在预案阶段设计页面，用户可拖拽普通任务、条件任务、开始节点和结束节点至画布中，同时可点击任务节点进行任务配置。 流程绘制说明如下： 1. 普通任务：通过关联自定义脚本或平台内置能力对单个资源执行预期操作。 2. 条件任务：在普通任务基础上支持根据条件任务的执行结果（正常/异常）分别配置后续工作，配置条件任务在配置自身任务信息外，需对后面的箭线配置执行条件，条件任务后只能有2条箭线。 3. 任务并行编排通过任务间的箭线决定，一条箭线两端的任务为串行执行顺序，一个任务后有多条普通箭线（非条件判断箭线）代表此任务执行完成后需并行执行其后的任务。 8. 用户拖拽普通任务至画布后，点击“普通任务”，弹出编辑任务弹窗，可对普通任务进行任务编辑。任务类型分为脚本任务、人工任务、内置任务。 1. 当任务类型为脚本任务时，各配置项说明如下： 参数 是否必填 配置说明 任务名称 √ 填写任务名称。任务名称需要在命名空间范围内唯一。 长度为263字符。 任务类型 √ 选择任务类型为脚本任务。任务类型可选脚本任务、人工任务、内置任务。 脚本名称 √ 选择脚本名称，下拉数据源为脚本库中“已发布”状态脚本的脚本名称。 目标资源 √ 选择容灾管理中心，下拉数据源为当前命名空间下所有运行的容灾管理中心。 选择目标资源，下拉数据源为所选容灾管理中心下相应资源。其中： 若所选脚本的资源类型为“主机”：下拉数据源为对应操作系统类型的开启了远程连接的非天翼云主机。 若所选脚本的资源类型为“数据库”：下拉数据源为对应数据库类型的配置连接信息的数据库实例。 请求参数名 √ 选择参数类型，可选自定义、参数引用。 参数类型为自定义时，由用户自定义设置参数值。 参数类型为参数引用时，引用任务下拉框为画布中排在当前任务前的所有任务，引用参数下拉框为所选任务的所有返回参数名。 预计耗时 √ 填写预计耗时时间（单位：s）。预计耗时不影响任务执行，仅作为切换整体进度的参数。 取值范围为17200s。 失败重试次数 √ 填写失败重试次数。 取值范围为15次。 描述 × 填写预案阶段描述。 长度为0100个字符。 2. 当任务类型为人工任务时，各配置项说明如下： 参数 是否必填 配置说明 任务名称 √ 填写任务名称。任务名称需要在命名空间范围内唯一。 长度为263字符。 任务类型 √ 选择任务类型为内置任务。任务类型可选脚本任务、人工任务、内置任务。 目标资源 × 选择容灾管理中心，下拉数据源为当前命名空间下容灾管理中心。 选择目标资源，下拉数据源为所选容灾管理中心下资源类型的资源实例。 预计耗时 √ 填写预计耗时时间（单位：s）。预计耗时不影响任务执行，仅作为切换整体进度的参数。 取值范围为17200s。 描述 × 填写预案阶段描述。 长度为0100个字符。 3. 当任务类型为内置任务时，各配置项说明如下： 参数 是否必填 配置说明 任务名称 √ 填写任务名称。任务名称需要在命名空间范围内唯一。 长度为263字符。 任务类型 √ 选择任务类型为内置任务。任务类型可选脚本任务、人工任务、内置任务。 任务目的 √ 选择任务目的，可选资源操作、流程控制。 操作名称 √ 选择操作名称。 任务目的为资源操作时：可选云主机关机、云主机重启、云主机开机、MySQL/Redis/PostgreSQL/MongoDB主备切换、ELB流量切换、ELB流量调节、ELB流量回切。 任务目的为流程控制时：可选等待。 等待时长 √ 仅任务目的为流程控制时可见，填写等待时长时间（单位：s）。 取值范围为17200s。 目标资源 √ 选择容灾管理中心： 1. 任务为非流量配置相关的任务时：可选当前命名空间下所有运行中的容灾管理中心。 2. 任务为流量配置相关的任务时：可选当前命名空间下配置了ELB的运行中的容灾管理中心。 选择目标资源，下拉数据源为所选容灾管理中心下相应资源： 1. 主机相关任务：资源所选容灾管理中心下的云上云主机 2. 数据库相关任务：资源为所选容灾管理中心下的云上数据库 3. 流量相关任务：资源为所选容灾管理中心下接入成功的且流量配比进行过初始配置的应用 请求参数名 √ 选择参数类型，可选自定义、参数引用。 参数类型为参数引用时，引用任务下拉框为画布中排在当前任务前的所有任务，引用参数下拉框为所选任务的所有返回参数名。 预计耗时 √ 任务目的为资源操作时：填写预计耗时时间（单位：s）。 任务目的为流程控制时：与等待时长一致，不可编辑。 失败重试次数 √ 仅任务目的为资源操作时可见，填写失败重试次数。 取值范围为15次。 描述 × 填写预案阶段描述。 长度为0100个字符。 9. 编辑任务完毕后，点击弹窗底部“确定”按钮。若存在参数引用的相关配置，用户确认知晓提示内容后，点击“已确认”。 10. 条件任务按上方基础任务配置后，需对后面的箭线配置执行条件。点击箭线后，弹出条件配置弹窗。条件判定可选择正常或异常，选择完毕后，点击“确认”按钮，完成条件配置，配置结果显示在箭线上。 11. 整体预案阶段设计完毕后，检查是否符合预案阶段设计流程规则，如下： 1. 有且必须有一个开始节点； 2. 有且必须有一个结束节点； 3. 至少有一个普通任务或条件任务节点，且所有任务节点均不能为空； 4. 所有节点必须通过箭线连接； 5. 条件任务节点后必须跟2条箭线，且箭线上需配置判定条件，同时两条箭线的判定条件不能相同； 6. 两个节点间只能有1条箭线（不区分箭头方向）； 7. 开始节点不能有入方向箭线，结束节点不能有出方向箭线。 12. 确认符合规则后，点击画布上方“保存”按钮，保存当前预案阶段设计。

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本章节将为您详细介绍云硬盘的监控指标都有哪些以及如何查看云硬盘的监控数据。 操作场景 为保证云硬盘的可靠性、可用性和可观测性，对云硬盘进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的云硬盘监控功能，可方便用户更快、更直观的了解云硬盘的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理云硬盘。 当用户开通云硬盘服务后，即可通过云监控来查看云硬盘的性能指标。云硬盘部分监控指标需要通过在弹性云主机中安装最新版本Agent插件才能获取。安装Agent后，您便可以查看弹性云主机操作系统监控指标中的云硬盘相关指标。安装配置Agent相关操作请参考安装监控Agent。 云硬盘监控指标如下表所示： 监控指标 指标说明 测量对象 磁盘读带宽 该指标用于统计每秒从测量对象读出的数据量。 单位：KB/s 云硬盘 磁盘写带宽 该指标用于统计每秒写到测量对象的数据量。 单位：KB/s 云硬盘 磁盘读IOPS 该指标用于统计每秒从测量对象读取数据的请求次数。 单位：count/s 云硬盘 磁盘写IOPS 该指标用于统计每秒到测量对象写入数据的请求次数。 单位：count/s 云硬盘 平均写操作大小 该指标用于统计测量对象在测量周期内平均每个写IO操作传输的字节数。 单位：KByte/op 云硬盘 平均读操作大小 该指标用于统计测量对象在测量周期内平均每个读IO操作传输的字节数。 单位：KByte/op 云硬盘 平均写操作延迟 该指标用于统计测量对象在测量周期内平均每个写IO的操作时长。 单位：ms/op 云硬盘 平均读操作延迟 该指标用于统计测量对象在测量周期内平均每个读IO的操作时长。 单位：ms/op 云硬盘 平均I/O服务时长 该指标用于统计测量对象在测量周期内平均每个读I/O或写I/O的服务时长。 单位：ms/op 云硬盘 磁盘I/O使用率 该指标用于统计测量对象云硬盘I/O使用率。 单位：% 云硬盘 平均队列长度 该指标用于统计测量对象在测量周期内平均等待完成的读取或写入操作请求的数量。 单位：count/op 云硬盘

排查项四：挂载的存储卷与节点是否处于同一可用区 0/2 nodes are available: 2 node(s) had volume node affinity conflict. 存储卷与节点之间存在亲和性冲突，导致无法调度。 这是因为云硬盘不能跨可用区挂载到节点。例如云硬盘存储卷在可用区1，节点在可用区2，则会导致无法调度。 CCE中创建云硬盘存储卷，默认带有亲和性设置，如下所示。 kind: PersistentVolumeapiVersion: v1metadata:name: pvcc29bfac7efa340e6b8d6229d8a5372ac spec:... nodeAffinity:required:nodeSelectorTerms:matchExpressions:key: failuredomain.beta.kubernetes.io/zoneoperator: Invalues:cngz1a 解决方案： 重新创建存储卷，可用区选择与节点同一分区，或重新创建工作负载，存储卷选择自动分配。 排查项五：检查Pod污点容忍情况 0/1 nodes are available: 1 node(s) had taints that the pod didn't tolerate. 是因为节点打上了污点，不允许Pod调度到节点上。 查看节点的上污点的情况。如下则说明节点上存在污点。 $ kubectl describe node 192.168.0.37Name: 192.168.0.37...Taints: key1value1:NoSchedule... 在某些情况下，系统会自动给节点添加一个污点。当前内置的污点包括： node.kubernetes.io/notready：节点未准备好。 node.kubernetes.io/unreachable：节点控制器访问不到节点。 node.kubernetes.io/memorypressure：节点存在内存压力。 node.kubernetes.io/diskpressure：节点存在磁盘压力，此情况表明节点上用于存储镜像的磁盘空间已满，需要清理镜像，或扩容磁盘。 node.kubernetes.io/pidpressure：节点的 PID 压力，此情况下您可通过修改节点进程 ID数量上限kernel.pidmax进行解决。 node.kubernetes.io/networkunavailable：节点网络不可用。 node.kubernetes.io/unschedulable：节点不可调度。 node.cloudprovider.kubernetes.io/uninitialized：如果kubelet启动时指定了一个“外部”云平台驱动， 它将给当前节点添加一个污点将其标志为不可用。在cloudcontrollermanager初始化这个节点后，kubelet将删除这个污点。 解决方案： 要想把Pod调度到这个节点上，有两种方法： 若该污点为用户自行添加，可考虑删除节点上的污点。若该污点为系统自动添加，解决相应问题后污点会自动删除。 Pod的定义中容忍这个污点，如下所示。 apiVersion: v1kind: Podmetadata:name: nginxspec:containers:name: nginximage: nginx:alpinetolerations:key: "key1"operator: "Equal"value: "value1"effect: "NoSchedule

本文介绍SSL VPN连接相关问题。 如何理解SSL VPN连接中的本端子网和客户端地址池？ SSL VPN是一种通过SSL协议实现远程访问内部网络的方式。 在建立SSL VPN服务端时，本端子网是指企业内部的网络，而客户端地址池则是用于分配给客户端虚拟网卡的IP地址集合。 从天翼云的角度来看，本端子网一般指VPC网络，VPC是Virtual Private Cloud的缩写，它指用户在云平台上虚拟化的私有网络。而客户端地址池是用于分配给客户端虚拟网卡的IP地址集合。当用户通过SSL VPN连接到企业内网时，客户端虚拟网卡会获得一个属于该地址池的IP地址，以便可以在企业内部网络中访问相应的资源。通过正确配置本端子网和客户端地址池，可以确保SSL VPN连接的稳定性和安全性。 客户端连接失败怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 配置错误 SSL客户端配置错误。 请排查客户端VPN软件的配置是否与服务端配置一致。 SSL客户端证书到期 SSL客户端证书过期或无效。 1. 请排查SSL客户端证书的有效性。SSL客户端证书默认有效期为10年。2. 请删除现有的SSL客户端证书及所有配置，然后重新创建、下载、安装SSL客户端证书。开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。 客户端连接数超限 当前SSL服务端下的客户端连接数超限。 在VPN网关实例下查看已连接的客户端数量，确认在线客户端数量是否超限。 IP地址问题 VPC下的IP地址与客户端的IP地址冲突。 请根据实际情况，修改SSL服务端的本端网段（VPC或云间高速的网段）或者客户端网段以确保两侧IP地址不冲突。 IP地址问题 SSL服务端的客户端网段配置的太小，导致客户端无法被分配IP地址。 请确保您指定的客户端网段所包含的IP地址数量大于SSL VPN客户端数量。 VPN软件问题 客户端VPN软件冲突。 1.如果您的客户端上安装了多个VPN客户端软件，建议仅使用一个VPN客户端软件建立SSL VPN连接。

本文主要介绍 云日志服务PHP SDK接入指南。 1. 前言 安装使用PHP SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持同步上传等功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK PHP版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装PHP 7.2及以上 运行环境。 2.2. 下载及安装 下载ctyunltsphpsdk.zip压缩包，放到相应位置后并解压。“ctyunltsphpsdk/example”目录中samplePutlogs.php为SDK的使用示例代码。 2.2.1. 编译使用 1、php sdk 使用前需安装composer。 2、从 getcomposer.org 下载 Composer 的安装脚本，并通过 PHP 执行它。下载完成后，你通常会看到一个名为 composer.phar 的文件。为了全局访问 Composer，你可以将它移动到 /usr/local/bin/ 目录下，并给它重命名为 composer： plaintext sudo mv composer.phar /usr/local/bin/composer 3、这样你您就可以在任何地方通过 composer 命令来访问 Composer 了。 plaintext composer version 4、进行项目文件，在composer.json的目录，执行安装命令。 plaintext composer install 5、更新依赖。 plaintext composer update 之后，进入example目录，运行samplePutlogs.php。 plaintext php samplePutlogs.php 3. SDK使用设置 3.1. 基本使用 使用 SDK访问云日志服务，需要设置正确的 AccessKey、SecretKey 和endpoint，所有的服务可以使用同一 key 凭证来进行访问，但不同的服务地区需要使用不同的 endpoint 进行访问，详情参考天翼云官网SDK接入概述。在调用前SDK，需要已知以下参数： 云日志服务访问地址。详情请查看访问地址（Endpoint）。 key凭证：accessKey和secretKey 。详情请查看如何获取访问密钥（AK/SK）。 日志项目编码：logProject，在使用SDK前，需要确保您有至少一个已经存在的日志项目。 日志单元编码：logUnit，在使用SDK前，需要确保日志项目中有至少一个已经存在的日志单元。 待上传的日志：logItem，在使用SDK前，需要确保日志已按照特定格式组织。 参数 参数类型 描述 是否必须 endpoint string 域名 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 示例代码：SDK使用示例 plaintext contentsPushBack("contentint", 123456); $logItem>contentsPushBack("contentmessage", "php sdk"); $logItem>contentsPushBack("contentdouble", 3.1415); $logItem>labelsPushBack("usertag", "string"); $logItems[] $logItem; } $accessKey "your accessKey"; $secretKey "your secretKey"; $endpoint "endpoint"; $logProject "your logProject"; $logUnit "your logUnit"; try{ $logClient new LogClient($accessKey, $secretKey, $endpoint); for($i 0; $i putLogs($logProject, $logUnit, $logItems); printf(strval($i) . ",statusCpde:%s , message:%s , errorCode:%s n", $logResponse>getStatusCode(), $logResponse>getMessage(), $logResponse>getErrorCode() ); } }catch(LogException $e){ printf("putLogs failed, code:%d, message:%sn", $e>getCode(), $e>getMessage() ); }

身份认证与访问控制 IAM身份认证 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 企业项目 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理能力。以面向企业资源管理为出发点，帮助企业以部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、物、权管理，提供企业人员管理、项目管理、资源管理等能力。 企业项目服务申请开通后免费使用，您只需要为您账号中的资源进行付费。 企业项目更多相关内容请参见： 创建用户 创建用户组 创建企业项目 企业项目资源迁出/迁入 管理用户组 创建自定义策略 重点操作短信验证 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。 “重点操作”是可能引起服务运行中断、网络中断、数据丢失等情况的操作。 目前二次认证仅支持短信验证码方式认证。若您开启短信验证能力，在控制台进行重点操作时，系统会向您的手机号（绑定天翼云账号的手机号）发送短信验证码，需输入正确的验证码才能执行该重点操作。从而避免您进行误操作，造成云产品数据的丢失；另一方面，确保操作人身份，避免影响业务运行。 更多内容请参见重点操作短信验证。 数据擦除机制 数据擦除机制是指分布式块存储系统中已删除的数据一定会被完全擦除，不会被其他用户通过任何途径访问，也无法通过其他方式恢复，进而确保数据的完整性。 当您删除/退订云硬盘时，存储系统立即销毁元数据，确保无法继续访问数据。同时，该云盘对应的物理存储空间会被回收。物理空间再次被分配前一定是清零过的，在首次写入数据前，所有新建的云盘的读取返回全部是零。

本文主要介绍通过外部镜像文件创建数据盘镜像 操作场景 数据盘镜像是只包含用户业务数据的镜像，您可以通过本地或者其他云平台上的外部镜像文件创建数据盘镜像。数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 流程说明 通过外部镜像文件创建数据盘镜像的过程如下： 图 创建过程 1、准备符合格式要求的外部镜像文件。当前支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi、qed、zvhd或zvhd2格式，其他镜像文件，需要转换格式后再导入。 镜像格式转换可参考“通过qemuimg工具转换镜像格式”。 2、上传外部镜像文件到OBS个人桶中，注意OBS桶和镜像文件的存储类别必须是标准存储。具体操作可参考上传镜像文件（Linux）。 创建数据盘镜像，具体操作请参见操作步骤。 使用数据盘镜像创建新的数据盘，具体操作请参见后续操作。 操作步骤 1、登录IMS控制台。 a.登录控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建数据盘镜像。 a.单击右上角的“创建私有镜像”，进入创建私有镜像页面。 b.在创建方式选择“导入私有镜像”，“镜像类型”处选择“数据盘镜像”。 c.从列表中先选择保存镜像文件的桶，再选择对应的镜像文件。 图 通过外部镜像文件创建数据盘镜像 d.在“配置信息”区域，完成以下参数填写： 操作系统类型：必须明确指定操作系统类型，取值为Windows或Linux。 数据盘：输入数据盘的大小，范围为40~2048GB，并且请确保不小于镜像文件的数据盘大小。 名称：设置一个便于您识别的镜像名称。 （可选）加密：如果需要加密镜像，请勾选“KMS加密”并从密钥列表中选择一个密钥名称。 企业项目：从下拉列表中选择所在的企业项目。该参数针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主帐号的客户才可见。如需使用该功能，请联系您的客户经理申请开通。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 （可选）标签：为镜像设置标签键和标签值，便于识别和管理。 （可选）描述：对镜像进行描述。 f.单击“立即创建”。 g.根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交”。 3、返回私有镜像列表，查看创建的数据盘镜像。 当镜像的状态为“正常”时，表示创建完成。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。