本章节会介绍如何开通读写分离 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。通过RDS的读写分离连接地址，写请求自动访问主实例，应用直连即可实现自动读写分离。本文将介绍如何开通读写分离功能。 约束限制 RDS for MySQL实例至少带有一个只读实例。 开通读写分离 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在实例列表中，单击目标实例的名称，进入实例的“基本信息”页面。 5、在左侧导航栏中，单击“数据库代理”。 您还可以在实例的“基本信息”页面，单击“连接信息”模块“读写分离地址”后的“申请”，跳转到“数据库代理”页面。 6、在“数据库代理”页面单击“创建数据库代理”。 7、在开启数据库代理页面，设置以下参数，单击“下一步”。 基本信息 参数 描述 :: 计费模式 按需计费实例开启数据库代理时，仅支持选择按需计费的代理实例。 代理名称 设置数据库代理名称。 读写属性 读写：读写分离。 只读：不连接主实例，无法接受写请求。 路由模式 权重负载：开启读写分离功能后，用户自行设置主备实例和只读实例的权重。 负载均衡：开启了Proxy负载均衡，可以选择该模式。支持基于负载的自动调度策略，读请求将在多个只读节点中按照活跃连接数自动调度，来保证多个只读节点间的负载均衡。 开启数据库代理后，可以修改路由模式，具体操作请参见[]( 主库接受读 “负载均衡”模式需设置。 选择“是”，查询SQL可以发送到主节点和只读节点。 选择“否”，查询SQL将仅发送到只读节点，来降低主节点的负载，确保主节点稳定。 性能规格 选择代理实例的规格。创建后可以根据业务需求变更规格。 代理节点数量 支持2~8个节点。创建后可以修改。 建议您根据需要连接的只读实例个数设置代理节点数，1个只读实例配1个代理节点。 权重设置 参数 描述 选择实例 选择设置权重的目标实例。 读权重分配 读权重越高，处理的读请求越多，假设已选2个实例，权重分别设置为100，200，则当前proxy全部读请求自动按照1:2的比例发往已选实例（未选择的实例权重会设置为0）。 读写分离具备连接保持、读写分离能力。开启读写分离后，将新增1个读写分离连接地址，请将应用连接切换到新地址。 读写分离地址：通过读写分离地址连接数据库，可实现读写分离功能。 该读写分离地址与实例的内网IP地址处于同一VPC和子网，且与实例的内网IP地址并存，互不影响。 延时阈值：对于成功开启读写分离功能的实例，您可以设置其延时阈值。 负载均衡实例选择：对于成功开启读写分离功能的实例，您可以选择负载均衡实例。 8、确认数据库代理信息。 如果需要重新选择，单击“上一步”，修改基本信息。 信息确认无误，单击“提交”，下发创建数据库代理请求。 9、创建完成后，可以在“数据库代理”页面查看并管理代理服务信息。 在“基本信息”页面查看读写分离地址，通过读写分离地址连接数据库，可实现读写分离功能。 该读写分离地址与实例的内网IP地址处于同一VPC和子网，且与实例的内网IP地址并存，互不影响。

本文介绍如何管理端口地址簿，包括添加、编辑、删除端口地址簿。 端口地址簿是多个端口的集合。通过使用端口地址簿，可帮助用户有效应对需要重复编辑访问规则中端口的场景，方便批量管理访问规则。 在地址簿列表上方，可通过“地址簿名称”和“IP地址”对地址簿列表进行筛选。 约束限制 每个防火墙实例支持1000个地址簿（该配额由IP地址簿和端口地址簿共用）。 每个地址簿最多支持100个端口。 添加端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 单击“添加地址簿”，进入“地址簿添加”页面。 6. 配置地址簿参数，参数说明如下。 参数名称 参数说明 地址簿名称 用户可自定义地址簿名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不超过255字符。 地址簿类型 端口地址簿选择“端口”。 地址簿描述 用于标识地址簿的用途，以便快速区分不同的地址簿。 端口 添加该端口地址簿需要管理的端口。最多支持100个端口。 支持如下格式： 单个端口，如：80。 多个连续端口，中间使用“”隔开，如：80443。 支持输入多个端口，使用半角逗号（,）、半角分号（;）或空格隔开，如：80,82443。 7. 确认填写信息无误后，单击“确认”，完成添加端口地址簿操作。

开始修复 任务状态为“核查完成”且存在差异项，平台能下发修复任务，修复目标机与源机的差异项。 在“操作”下拉单击“开始修复”。 单击“开始修复”后，需点击再次确认的弹框，单击确认后，即可开始比对修复。 下发“开始修复”操作后，任务状态变为“修复中”。 取消修复 任务状态为“修复中”，可以在“任务追踪”界面进行“取消修复”。 在“操作”下拉单击“取消修复”，过程中需要单击“确定”。 迁移阶段切换到“修复取消”。 引导修复 在源机完成全量迁移后，或者结束增量、核查、修复的任务后（包括取消核查、取消修复），可以下发引导修复任务，目标机进入引导修复状态，引导修复完毕后，目标机自动重启。引导修复操作会根据任务配置中的网卡配置信息，自动配置目标机IP地址。自动进行驱动安装和天翼云agent安装。 1. 在“操作”下拉单击“引导修复”。 2. CMSSMS进入引导修复模式，引导修复模式会自动修复引导程序、配置公有云IP地址、安装天翼云必要的驱动程序。 3. 引导修复完成后，任务状态会变为目标机已恢复，此时可以登录目标机进行校验。

WAF支持配置泛域名吗？ 在WAF中添加防护的域名时，您可以根据业务需求配置单域名或泛域名。配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器IP地址相同：配置防护的泛域名。例如：子域名a.ctyun.cn，b.ctyun.cn和c.ctyun.cn对应的服务器IP地址相同，可以直接添加泛域名.ctyun.cn。 注意 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、a.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在单域名和泛域名，则单域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 域名添加到WAF后，是否可以修改？ 防护域名添加到Web应用防火墙后，用户可以针对所防护的域名配置对应的安全防护策略，同时当对应域名产生请求数据和安全防护数据时，Web应用防火墙也会存储对应的日志数据，考虑用户所做的安全配置、对应的安全数据都与所防护的域名强相关，为了保证用户能够准确地对域名进行防护，故已经配置的域名不能修改。 如果需要增加新的防护域名但所购买的授权不足时： 您可以通过购买域名扩展包的方式增加防护域名的授权，一个域名扩展包包含10个域名，详情请参见升级扩容。 也可以删除原域名后再重新添加待防护的域名。

本文介绍Service概述。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

本节介绍了如何Service管理。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

本章节主要介绍数据治理中心的管理Agent功能。 对于HDFS和关系型数据库类型的数据源，不方便暴露节点的场景，可选择在源端网络中部署Agent。CDM通过Agent拉取客户内部数据源的数据，但不支持写入数据。Agent的使用流程详见下图 前提条件 已具备CDM集群。 新建Agent 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理 > Agent管理 > 新建Agent”，配置Agent相关信息。 详见下图：配置Agent IP地址：配置为源端网络中部署Agent的IP地址。 端口：Agent自定义的端口。建议范围：1024~65535。 启用压缩：是否对数据使用gzip算法进行压缩传输。 −对于文本数据（基于字符编码的数据，例如MySQL的INT等数据类型，详见相关数据库的说明文档），建议开启此选项，gzip压缩可以达到较好的压缩效果。 −对于二进制数据（基于值编码的数据，例如MySQL的BINARY等数据类型，详见相关数据库的说明文档），由于其本身已经压缩过，不推荐再开启gzip压缩，压缩后可能会导致压缩效果较差，同时会增大客户端解压缩的压力，带来不必要的性能损耗。 启用SSL：是否启用SSL双向认证，保证数据的安全性。如果对安全性要求较高，则可以开启SSL。 限流：设置agent的最大下行速率，默认不限流。 2.单击“确定”，完成Agent的创建。在Agent管理页面可查看已成功创建的Agent。

操作场景 当您想要为域名增加一条PTR解析记录时，可以执行本操作添加记录集。 说明 本操作仅支持为顶级域是inaddr.arpa的内网域名添加PTR记录。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 内网DNS”。 进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。 进入域名列表页面。 4. （可选）如果选择“内网域名”，请单击管理控制台左上角的，选择区域和项目。 5. 在待添加记录集的域名所在行，单击“名称”列的域名名称。 6. 单击“添加记录集”。 系统进入“添加记录集”页面。 7. 设置记录集参数，如下表所示。 表添加PTR类型记录集参数说明 参数 参数说明 取值样例 主机记录 填写反向解析记录的名称。 10.1.168 例如，用户IP地址为192.168.1.10，则反向解析域名的完整格式为10.1.168.192.inaddr.arpa。 若创建的域名为192.inaddr.arpa，则主机记录为10.1.168 若创建的域名为1.168.192.inaddr.arpa，则主机记录为10 类型 记录集的类型，此处为PTR类型。 PTR– 将IP地址指向域名 TTL(秒) 记录集的有效缓存时间，以秒为单位。 默认为“5min”，即300s。 值 格式为：解析结果域名最多仅可输入1个域名。 host.example.com. 描述 可选配置，对PTR记录集的描述。 The description of PTR record. 8. 单击“确定”，完成记录集的添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。

本章节主要介绍ALM44006 Presto Worker进程垃圾收集时间超出阈值的告警。 告警解释 系统每30s周期性采集Presto Worker进程的垃圾收集（GC）时间，当检测到GC时间超出阈值（连续3次检测超过5s）时产生该告警。用户可在FusionInsight Manager中通过“运维 > 阈值配置 > 服务 > Presto > 集群状态 > Worker进程GC时间”修改阈值。当 Worker进程GC时间小于或等于告警阈值时，告警清除。 告警属性 告警ID 告警级别 可自动清除 44006 严重 是 告警参数 参数名称 参数含义 ServiceName 产生告警的服务名称。 RoleName 产生告警的角色名称。 HostName 产生告警的主机名。 对系统的影响 Worker进程GC时间过长，会影响Worker进程运行的性能，甚至造成Worker进程不可用。 可能原因 该节点Worker进程堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 1.登录MRS集群详情页面，选择“告警管理”。 2.选中“告警ID”为“44006”的告警，查看“定位信息”中的角色名并确定实例的IP地址。 3.单击“组件管理 > Presto > 实例 > Worker（对应上报告警实例IP地址） > 定制 > Presto进程GC时间”。单击“确定”，查看GC时间。 4.查看Worker进程的GC时间是否大于5秒。 是，执行步骤5。 否，执行步骤2。 5.单击“组件管理 > Presto > 服务配置 > 全部配置 > Presto > Worker”。将“JAVAOPTS”参数中的最大堆内存Xmx值根据实际情况调大。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤2。

查看进程打开文件情况 1.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的，获取告警所在主机IP地址。 2.以root用户登录告警所在主机。 3.执行命令 lsof nawk '{print $2}'sortuniq csort nrmore ，查看文件句柄占用较多的进程。 4.分析打开文件数目较多的进程，分析该进程是否存在异常，如打开的文件或socket没有关闭。 是，执行步骤5。 否，执行步骤7。 5.文件句柄占用多的异常进程进行确认释放。 6.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤7。 增大文件句柄数 7.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的，获取告警所在主机IP地址。 8.以root用户登录告警所在主机。 9.联系系统管理员，增大系统文件句柄数。 10.执行cat /proc/sys/fs/filenr查看已使用句柄数和最大句柄数。第一个值为已使用句柄数，第三个值为最大句柄数，计算使用率是否超过设定阈值。 cat /proc/sys/fs/filenr 12704 0 640000 是，执行步骤9。 否，执行步骤11。 11. 等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤12。 检查系统环境是否异常 12.联系系统管理员，检查操作系统是否存在异常。 是，恢复操作系统故障，执行步骤13。 否，执行步骤14。 13.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤14。

本章节主要介绍翼MapReduce的查看主机概览操作。 总览 登录FusionInsight Manager以后，单击“主机”，在主机列表单击指定的主机名称，可以访问主机详情页面，主要包含基本信息区、磁盘状态区、角色列表区和监控图表等。 基本信息区 主机详情页面的基本信息包含该主机的各个关键信息，例如管理IP地址、业务IP地址、主机类型、机架、防火墙、CPU核数、操作系统等信息。 磁盘状态区 磁盘状态区包含了该主机所有为集群配置的磁盘分区，并显示每个磁盘分区的使用情况。 实例列表区 实例列表区显示了该主机所有安装的角色实例，并显示每个角色实例的状态，单击角色实例名称后的日志文件，可在线查看该实例对应日志文件内容。 告警和事件的历史记录 告警和事件的历史记录区显示了当前主机上报的关键告警与事件记录，系统最多可显示20条历史记录。 图表 主机详情页面的右侧展示图表区，包含该主机的各个关键监控指标报表。 用户可以单击右上角的“ > 定制”，自定义在图表区展示的监控报表。选择时间区间后，单击“ > 导出”，可以导出指定时间区间内的详细监控指标数据。 单击监控指标标题后的可以打开监控指标的解释说明。 单击主机的“图表”页签，可直接查看该主机的全量监控图表信息。

本章节会介绍MySQL读写分离的详细配置步骤。 开通读写分离 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。通过RDS的读写分离连接地址，写请求自动访问主实例，应用直连即可实现自动读写分离。本文将介绍如何开通读写分离功能。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角区域选择，选择区域和项目。 3、在页面左上角单击，选择“数据库 > 关系型数据库MySQL”。进入云数据库 RDS信息页面。 4、在实例列表中，单击目标实例的名称，进入实例的“基本信息”页面。 5、在左侧导航栏中，单击“数据库代理”。 6、您还可以在实例的“基本信息”页面，单击“连接信息”模块“读写分离地址”后的“申请”，跳转到“数据库代理”页面。 7、在“数据库代理”页面单击“创建数据库代理”。 图 开启数据库代理服务 读写分离具备连接保持、读写分离能力。开启读写分离后，将新增1个读写分离连接地址，请将应用连接切换到新地址。 读写分离地址：通过读写分离地址连接数据库，可实现读写分离功能。 该读写分离地址与实例的内网IP地址处于同一VPC和子网，且与实例的内网IP地址并存，互不影响。 延时阈值：对于成功开启读写分离功能的实例，您可以设置其延时阈值。具体操作请参见设置延时阈值和读写分离权重。 读权重分配：对于成功开启读写分离功能的实例，您可以设置其主实例和只读实例的权重。

服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 高级配置 设置升级策略、调度策略、标签与注解、DNS 配置、性能管理配置、网络配置等。单击右下角“创建工作负载”完成创建。

参数 是否必填 参数类型 说明 示例 下级对象 direction 是 Integer 规则方向。[入方向：15，出方向：10] ipAddressField 是 String IP地址 protocolType 是 String 端口协议。[10：自定义TCP，15：自定义UDP，20：全部ICMP，25：GRE，30：全部TCP非自定义，35：全部UDP非自定义，99：全部放通] portRange 是 String 端口范围，例如 20000,20006，如果是全部端口则填 ALL authPolicy 是 Integer 规则类型。[拒绝：15，允许：10]

参数 是否必填 参数类型 说明 示例 下级对象 direction 是 Integer 规则方向。[入方向：15，出方向：10] ipAddressField 是 String IP地址 protocolType 是 String 端口协议。[10：自定义TCP，15：自定义UDP，20：全部ICMP，25：GRE，30：全部TCP非自定义，35：全部UDP非自定义，99：全部放通] portRange 是 String 端口范围，例如 20000,20006，如果是全部端口则填 ALL authPolicy 是 Integer 规则类型。[拒绝：15，允许：10]

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mongodblink 服务器列表 MongoDB服务器地址列表，输入格式为“数据库服务器域名或IP地址：端口”。多个服务器列表间以“;”分隔。 192.168.0.1:7300;192.168.0.2:7301 数据库名称 要连接的MongoDB数据库名称。 DBmongodb 用户名 连接MongoDB的用户名。 cdm 密码 连接MongoDB的密码。

针对病毒处理，安全专区自动检测主流木马病毒、勒索软件、挖矿病毒、DDoS木马并自动隔离查杀，通过提供扫描、告警、深度查杀及病毒修复能力，可有效预防病毒入侵服务器。 趋势分析图默认展示当前一周的数据，通过右上角可筛选不同的时间段查看趋势图。 展示病毒漏洞详细信息以及漏洞发生IP地址。

本节主要介绍部署单机版HBlock。 部署HBlock的主要步骤为： 1. 安装前准备：准备一个或多个目录作为HBlock数据目录，安装HBlock的用户对这些目录有读写权限，用来存储HBlock数据。 说明 为了避免相互影响，建议数据目录不要与操作系统共用磁盘或文件系统。 2. 解压缩安装包，并进入解压缩后的文件夹路径。 3. 安装并初始化HBlock。 4. 获取软件证书并加载。 5. 创建iSCSI Target并查询。 6. 创建卷并查询。 说明 下面以x86服务器的HBlock安装部署举例，ARM服务器或者龙芯服务器的安装部署与x86服务器的安装部署相同。 详细步骤 1. 请先完成以下准备工作：在服务器上准备一个或多个目录作为HBlock数据目录，用来存储HBlock数据。如：/mnt/storage01，/mnt/storage02。 2. 将安装包放到服务器欲安装HBlock的目录下并解压缩，进入解压缩后的文件夹（以HBlock 4.0.0为例）。 plaintext unzip CTYUNHBlockPlus4.0.0x64.zip cd CTYUNHBlockPlus4.0.0x64 3. 安装并初始化HBlock。 1. 安装HBlock。 注意 安装HBlock和执行HBlock管理操作的应该属于同一用户。 在服务器上安装HBlock。 ./stor install [ { a apiport } APIPORT ] [ { w webport } WEBPORT ] APIPORT ：指定API端口号，默认端口号为1443。 WEBPORT ：指定WEB端口号，默认端口号为2443。 2. 初始化HBlock。 初始化HBlock具体命令行详见初始化HBlock。 ./stor setup { n storname } STORNAME [ { u username } USERNAME ] { p password } PASSWORD { s server } { SERVERIP [:PORT ]:PATH & } [ { P publicnetwork } CIDR ] [ iscsiport ISCSIPORT ] [portrange PORT1PORT2 ] [ managementport1 MANAGEMENTPORT1 ] [ managementport2 MANAGEMENTPORT2 ] [ managementport3 MANAGEMENTPORT3 ] [ managementport4 MANAGEMENTPORT4 ] [ managementport6 MANAGEMENTPORT6 ] 说明 可以通过web、命令行和API进行初始化HBlock。 3. 查询服务器。 ./stor server ls [ { n server } SERVERID ] [ port ] 4. 获取软件许可证并加载 HBlock软件提供30天试用期，过期后仅部分功能可用，详见软件许可证到期（试用期或订阅模式）后仍可用的功能。您可以通过下列步骤获取软件许可证。 1. 获取HBlock序列号。 ./stor info { S serialid } 2. 联系HBlock软件供应商获取软件许可证，获取的时候需要提供HBlock序列号。 3. 获取软件许可证后，执行加载。 ./stor license add { k key } KEY 5. 创建iSCSI Target并查询。 1. 创建iSCSI Target。 创建iSCSI Target命令行详见创建iSCSI Target。 ./stor target add { n name } TARGETNAME [ maxsessions MAXSESSIONS ] [ { c chapname } CHAPNAME { p password } CHAPPASSWORD { s status } STATUS ] 说明 如果允许 iSCSI Target下的IQN建立多个会话，可以通过配置参数maxsessions MAXSESSIONS 来实现。 2. 查询iSCSI Target。 ./stor target ls [ c connection ] [ { n name } TARGETNAME ] 6. 创建卷并查询卷 1. 创建卷 创建卷命令行详见创建卷。 本地卷 ./stor lun add { n name } LUNNAME { p capacity } CAPACITY { t target } TARGETNAME [ { o sectorsize } SECTORSIZE ] [ { w writepolicy } WRITEPOLICY ] [ { P path } PATH ] [ { { m mode } STORAGEMODE ] 上云卷 ./stor lun add { n name } LUNNAME { p capacity } CAPACITY { t target } TARGETNAME [ { o sectorsize } SECTORSIZE ] [ { w writepolicy } WRITEPOLICY ] [ { P path } PATH ] { m mode } STORAGEMODE { B bucket } BUCKETNAME { A ak } ACCESSKEY { S sk } SECRETKEY [ { C cloudstorageclass } CLOUDSTORAGECLASS ] { E endpoint } ENDPOINT [ signversion VERSION ] [ region REGION ] [ { M cloudcompression } CLOUDCOMPRESSION ] [ { O objectsize } OBJECTSIZE ] [ { X prefix } PREFIX ] 2. 查询卷 ./stor lun ls [ { n name } LUNNAME ]

敏感数据分类 数据类型 敏感图片信息 身份证图片 护照图片 个人敏感信息 身份证 银行卡 姓名 手机号 邮箱 护照号 港澳通行证 车牌号 电话号码 军官司证 性别 车辆识别代码 企业敏感信息 营业执照号码 税务登记证号码 组织机构代码 统一社会信用代码 密钥敏感信息 PEM证书 KEY私钥 AccessKeyId AccessKeySecret 哈希密码 设备敏感信息 IP地址 MAC地址 JDBC连接串 IPv6地址 IMEI MEID 位置敏感信息 省份 城市 GPS位置 地址 通用敏感信息 日期

功能名称 说明 侧边栏 对象列表下包括表、视图、存储过程、事件、触发器和函数六部分。 库信息 显示当前库名称、IP地址、字符集、和可跳转的SQL窗口和数据字典。 元数据采集 允许DAS仅自动采集实例中的库名、表名、字段名等结构定义数据（不包含您的表里的实际数据）。 说明 实例表过多时，系统不会发起元数据采集，也不加载表列表，避免对数据库性能产生影响。 列表详情 各对象的实际操作区域。

名称 描述 是否必须 Name 跟踪的名称。 类型：字符串 取值：3~128个字符： 可以包含ASCII字母（az，AZ），数字（09），句点（.），下划线（ ）或短划线（）。 必须以字母或数字开头，以字母或数字结尾。 不能是IP地址格式（例如：192.168.5.4）。 不能包含相邻句点（.）、下划线（ ）、短划线（）任意组合。如不能包含类似点点（..）,点下划线（.）的组合。 是 S3BucketName OOS Bucket名称。 否 S3KeyPrefix 指定跟踪日志的名称前缀。 类型：字符串 取值：0~200个字符。 否

组网定制化 为客户实现任意天翼云资源池之间的组网通信,并可以根据需要灵活地在客户云主机所在的天翼云资源池之间创建星型、全网状或部分网状的拓扑结构。 带宽定制化 任何互联拓扑中，每个资源池客户接入带宽都可以根据需求定制，无需每点相同。 业务承载透明 可对上层应用透明承载，客户利用“云间高速”无需变更客户的云主机IP地址等网络信息，即可实现跨资源池的业务互通。

本文介绍与Agent沙箱相关的专有名词与基本概念 Agent 沙箱 为企业级Agent应用提供强安全、高弹性、可扩展的云端沙箱运行环境，沙箱与宿主机和其他沙箱相互隔离，可限制沙箱实例资源用量，用完即销毁不留痕迹。 沙箱模板 预先配置的Agent沙箱，包含镜像、规格和其他配置，基于沙箱模板可以快速启动沙箱实例；智能体运行在沙箱实例中。 沙箱实例 基于沙箱模板启动的“运行中的沙箱”实例，每个沙箱实例都是相互隔离、可控、可变的安全容器。 VNC 调试 Virtual Network Computing 图形化远程桌面协议，在Agent沙箱场景中用于访问沙箱的图形界面；例如浏览器沙箱 API Key API Key（应用程序编程接口密钥）是一种身份认证凭证，用于识别和验证调用API的客户端身份。它是一个唯一的字符串，类似于"密码"，但专门用于程序之间的通信。

操作场景 健康检查是指容器运行过程中，根据用户需要，定时检查容器健康状况。若不配置健康检查，如果服务出现业务异常，pod将无法感知，也不会自动重启去恢复业务。最终导致虽然pod状态显示正常，但pod中的业务异常的情况。 CCE提供了两种健康检查的探针： 工作负载存活探针：用于检测容器是否正常，类似于我们执行ps命令检查进程是否存在。如果容器的存活检查失败，集群会对该容器执行重启操作；若容器的存活检查成功则不执行任何操作。 工作负载业务探针：用于检查用户业务是否就绪，不就绪则不转发流量到当前实例。一些程序的启动时间可能很长，比如要加载磁盘数据或者要依赖外部的某个模块启动完成才能提供服务。这时候程序进程在，但是并不能对外提供服务。这种场景下该检查方式就非常有用。如果容器的就绪检查失败，集群会屏蔽请求访问该容器；若检查成功，则会开放对该容器的访问。 检查方式 HTTP 请求检查 HTTP 请求方式针对的是提供HTTP/HTTPS服务的容器，集群周期性地对该容器发起HTTP/HTTPS GET请求，如果HTTP/HTTPS response返回码属于200~399范围，则证明探测成功，否则探测失败。使用HTTP请求探测必须指定容器监听的端口和HTTP/HTTPS的请求路径。 例如：提供HTTP服务的容器，HTTP检查路径为：/healthcheck；端口为：80；主机地址可不填，默认为容器实例IP，此处以172.16.0.186为例。那么集群会周期性地对容器发起如下请求：GET TCP 端口检查 对于提供TCP通信服务的容器，集群周期性地对该容器建立TCP连接，如果连接成功，则证明探测成功，否则探测失败。选择TCP端口探测方式，必须指定容器监听的端口。 例如：我们有一个nginx容器，它的服务端口是80，我们对该容器配置了TCP端口探测，指定探测端口为80，那么集群会周期性地对该容器的80端口发起TCP连接，如果连接成功则证明检查成功，否则检查失败。 执行命令检查 命令检查是一种强大的检查方式，该方式要求用户指定一个容器内的可执行命令，集群会周期性地在容器内执行该命令，如果命令的返回结果是0则检查成功，否则检查失败。 对于上面提到的TCP端口检查和HTTP请求检查，都可以通过执行命令检查的方式来替代： − 对于TCP端口探测，我们可以写一个程序来对容器的端口进行connect，如果connect成功，脚本返回0，否则返回1。 − 对于HTTP请求探测，我们可以写一个脚本来对容器进行wget。 wget 并检查response 的返回码，如果返回码在200~399 的范围，脚本返回0，否则返回1。 须知： 必须把要执行的程序放在容器的镜像里面，否则会因找不到程序而执行失败。 如果执行的命令是一个shell脚本，由于集群在执行容器里的程序时，不在终端环境下，因此不能直接指定脚本为执行命令，需要加上脚本解决器。比如脚本是/data/scripts/healthcheck.sh ，那么我们使用执行命令检查时，指定的程序应该是sh /data/scripts/healthcheck.sh 。究其原因是集群在执行容器里的程序时，不在终端环境下。 表公共参数说明 参数 参数说明 延迟时间 延迟检查时间，单位为秒，此设置与业务程序正常启动时间相关。 例如，设置为30，表明容器启动后30秒才开始健康检查，该时间是预留给业务程序启动的时间。 超时时间 超时时间，单位为秒。 例如，设置为10，表明执行健康检查的超时等待时间为10秒，如果超过这个时间，本次健康检查就被视为失败。若设置为0或不设置，默认超时等待时间为1秒。

本节为您介绍如何在物理机控制中心查看物理机的监控指标。 在您申请了物理机后，可以通过物理机控制中心的“监控”页签查看物理机的CPU使用率、内存使用率、磁盘使用率等资源监控，让您直观掌握物理机的资源使用情况、业务的运行状况。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算>物理机”。系统进入物理机列表页，您可以在本页面查看您已购买的物理机，以及物理机的私有IP地址等信息。 4. 在物理机列表中的上方搜索框，可输入目标物理机名称、ID或IP地址，单击进行搜索。 5. 单击需查询物理机的名称，系统跳转至该物理机详情页面。 6. 单击“监控”页签，可看到当前物理机监控指标详情页。 7. 您可以单击对应指标便捷查看物理机使用情况。 8. 也可以单击“清空指标”按钮，从而查看其他组监控指标。 9. 在此您可以单击左侧监控日期选择器，选择想要查看的指标时段。 10. 或单击右侧预置时段，根据业务需求选择查看不同时间颗粒度监控指标。

在添加应用资产前，需先添加应用服务器，本节介绍如何添加应用服务器。 在一台支持远程桌面的Windows系统服务器上部署浏览器应用（Web应用），通过云堡垒机的应用发布功能，将浏览器应用纳入云堡垒机进行管理。 用户获取应用资产访问权限后，无需登录应用服务器，即可便捷地访问Web应用。 约束限制 仅企业版支持使用应用运维功能。 Windows应用服务器仅支持2016版本。 添加应用服务器 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3. 单击“新增”按钮，弹出“新增应用服务器”对话框，并填写相关内容。 参数 填写说明 服务器名称 自定义服务器名称，在同一堡垒机内应用服务器名称不得重复。 服务器类型 选择服务器类型，当前版本仅支持Windows。 服务器IP地址 填写访问应用的服务器真实IP地址或域名。 端口 填写访问应用发布服务器的端口，Windows服务器默认为5901。 服务器描述 填写应用服务器的简要描述。 服务器账户 填写访问应用的服务器账户。 密码 填写访问应用的服务器账户的密码。 app类型和路径 填写限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 注意 路径中请勿输入Administrator，否则程序可能无法启动。 4. 填写完成后，单击“提交”即可完成新增应用服务器。

DRDS实例连接失败怎么办 报错信息：User has no databases 报错原因：DRDS帐号没有关联逻辑库。 解决方法：在DRDS控制台实例详情页面，单击左侧导航栏的帐号管理，将此DRDS帐号与逻辑库相关联。 如何查看并放通ECS实例安全组规则 1、在ECS实例详情页面，单击“安全组”页签，查看安全组规则。需要添加实例端口号（示例为3306）到100.0.0.0/8的规则，DAS才能访问ECS自建库。 2、单击页面左侧的“配置规则”，进入安全组信息页面。单击“入方向规则”页签，单击“添加规则”。 说明 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.0.0.0/8或全部放通0.0.0.0/0。 3、在“出方向规则”页签，单击“添加规则”。 添加出方向规则 说明 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.0.0.0/8或全部放通0.0.0.0/0。 如何查看并放通防火墙 1、选择目标ECS虚拟机，单击“远程登录”。 2、输入帐户名和密码，登录成功后，输入如下命令查看iptables配置。 iptables S 说明 “dport”后面的数字为可以被访问的端口。 保证端口能够被访问的方法： 通过增加iptables规则，如增加一条允许访问数据库端口的规则。 通过如下命令关闭防火墙：systemctl stop iptables

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

如何将源数据库的用户与权限导出，再导入到目标数据库 步骤 1 选择一台可以访问源数据库的虚拟机。 步骤 2 执行如下命令后，输入密码并回车，将源库用户导出到临时文件“users.sql”中。 mysql h 'host' u 'user' p N $@ e "SELECT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') AS query FROM mysql.user" > /tmp/users.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 3 执行如下命令，将源数据库中原有用户的授权信息导出到文件“grants.sql”中。 mysql h 'host' u 'user' p N $@ e " source /tmp/users.sql" > /tmp/grants.sql sed i 's/$/;/g' /tmp/grants.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 4 命令运行成功后，打开“grants.sql”文件可以看到类似以下的结果。 Grants for root@% GRANT ALL PRIVILEGES ON . TO 'root'@'%'; Grants for testt@% GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'testt'@'%'; Grants for debiansysmaint@localhost GRANT ALL PRIVILEGES ON . TO 'debiansysmaint'@'localhost' WITH GRANT OPTION; Grants for mysql.session@localhost GRANT SUPER ON . TO 'mysql.session'@'localhost'; GRANT SELECT ON performanceschema. TO 'mysql.session'@'localhost'; GRANT SELECT ON mysql.user TO 'mysql.session'@'localhost'; Grants for mysql.sys@localhost GRANT USAGE ON . TO 'mysql.sys'@'localhost'; GRANT TRIGGER ON sys. TO 'mysql.sys'@'localhost'; GRANT SELECT ON sys.sysconfig TO 'mysql.sys'@'localhost'; Grants for root@localhost GRANT ALL PRIVILEGES ON . TO 'root'@'localhost' WITH GRANT OPTION; GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION; 步骤 5 在步骤 4 显示的结果中，可以看到源数据库中所有的用户以及对应的权限，请选择所有需要的用户，逐个添加到本云关系型数据库MySQL中。

本章节主要介绍ALM45176 OBS元数据接口调用成功率低于阈值的告警。 告警解释 系统每30秒周期性检测OBS元数据接口调用成功率是否小于阈值，当检测到小于所设置阈值时就会产生该告警 。 当OBS元数据接口调用成功率大于阈值时，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 45176 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 OBS元数据接口调用成功率小于阈值，会影响上层大数据计算业务的正常执行，导致某些计算任务的执行失败。 可能原因 OBS服务端出现执行异常或严重超时。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > OBS元数据接口调用成功率低于阈值”，查看“定位信息”中的角色名并确定实例的IP地址。 1. 选择“集群 > 待操作集群的名称 > 服务 > meta > 实例 > meta（对应上报告警实例IP地址）”。单击图表区域右上角的下拉菜单，选择“定制”，在“OBS元数据操作”中勾选“OBS接口调用成功率”，单击“确定”，查看OBS元数据接口调用成功率，确定是否有接口调用成功率低于阈值。 是，执行步骤3。 否，执行步骤5。 2. 选择“集群 > 待操作集群的名称 > 运维 > 告警 > 阈值设置 > meta > OBS元数据接口调用成功率”，将阈值或平滑次数参数的值根据实际情况调小。 3. 观察界面告警是否清除。 是，处理完毕。 否，执行步骤5。

本章节主要介绍ALM45177 OBS数据读操作接口调用成功率低于阈值的告警。 告警解释 系统每30秒周期性检测OBS数据读操作接口调用成功率是否小于阈值，当检测到小于所设置阈值时就会产生该告警 。 当OBS数据读操作接口调用成功率大于阈值时，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 45177 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 OBS数据读操作接口调用成功率小于阈值，会影响上层大数据计算业务的正常执行，导致某些计算任务的执行失败。 可能原因 OBS服务端出现执行异常或严重超时。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > OBS数据读操作接口调用成功率低于阈值”，查看“定位信息”中的角色名并确定实例的IP地址。 1. 选择“集群 > 待操作集群的名称 > 服务 > meta > 实例 > meta（对应上报告警实例IP地址）”。单击图表区域右上角的下拉菜单，选择“定制”，在“OBS数据读操作”中勾选“OBS数据读操作接口调用成功率”，单击“确定”，查看OBS数据读操作接口调用成功率，确定是否有接口调用成功率低于阈值。 是，执行步骤3。 否，执行步骤5。 2. 选择“集群 > 待操作集群的名称 > 运维 > 告警 > 阈值设置 > meta > OBS数据读操作接口调用成功率”，将阈值或平滑次数参数的值根据实际情况调小。 3. 观察界面告警是否清除。 是，处理完毕。 否，执行步骤5。

名称 类型 定义 nodename NameData 节点的名称 nodetype char 节点类型 nodeport int32 节点连接的端口号 nodehost NameData 节点连接的主机名或IP 地址 nodeisprimary bool 是否是主节点 nodeispreferred bool 是否是首选节点 nodeid int32 节点标识符 nodeclustername NameData 节点所属的集群名称 fwdserverport int32 Forword进程端口号