本章节主要介绍如何查看客户端连接地址。 分布式消息服务RabbitMQ支持通过Web界面查看客户端连接地址。 说明 客户端处于连接RabbitMQ实例时，才可以查看客户端连接地址。 操作步骤 步骤 1 登录RabbitMQ Web界面。 步骤 2 在导航栏单击“Connections”，进入“Connections”页面。 步骤 3 查看客户端连接地址，如图1所示。 图1 客户端连接地址 同一个客户端可以作为生产者生产消息，也可以作为消费者消费消息，连接IP地址是相同的，如图1，此时我们无法区分哪个是生产者IP地址，哪个是消费者IP地址。如果想要直观体现生产者/消费者IP地址，您可以在客户端中设置“clientProperties”参数，通过此参数来标明生产者/消费者IP地址，示例如下。 //配置客户端连接参数 HashMap clientProperties new HashMap<>(); clientProperties.put("connectionname", "producer"); connectionFactory.setClientProperties(clientProperties); //创建连接 Connection connection connectionFactory.newConnection(); 设置“clientProperties”参数后，连接地址显示如图2所示。 图2 客户端连接地址（分区生产者/消费者IP地址）

在Linux下使用ODBC连接数据库 步骤 1 安装unixODBC。如果机器上已经安装了其他版本的unixODBC，可以直接覆盖安装。 目前不支持unixODBC2.2.1版本。以unixODBC2.3.0版本为例，在客户端执行如下命令安装unixODBC。默认安装到“/usr/local”目录下，生成数据源文件到“/usr/local/etc”目录下，库文件生成在“/usr/local/lib”目录。 tar zxvf unixODBC2.3.0.tar.gz cd unixODBC2.3.0 修改configure文件，找到LIBVERSION 将它的值修改为"1:0:0"，这样将编译出.so.1的动态库，与psqlodbcw.so的依赖关系相同。 vim configure./configure enableguino make 安装可能需要root权限 make install 步骤 2 替换客户端云数据库GaussDB 驱动程序。 将GaussDBKernelVxxxRxxxCxxEULER64bitOdbc.tar.gz解压到“/usr/local/lib”目录下。解压会得到“psqlodbcw.la”和“psqlodbcw.so”两个文件。 步骤 3 配置数据源。 1、配置ODBC驱动文件。 在“/usr/local/etc/odbcinst.ini”文件中追加以下内容。 [GaussMPP] Driver64/usr/local/lib/psqlodbcw.so setup/usr/local/lib/psqlodbcw.so odbcinst.ini文件中的配置参数说明。 参数 描述 示例 [DriverName] 驱动器名称，对应数据源DSN中的驱动名。 [DRIVERN] Driver64 驱动动态库的路径。 Driver64/xxx/odbc/lib/psqlodbcw.so setup 驱动安装路径，与Driver64中动态库的路径一致。 setup/xxx/odbc/lib/psqlodbcw.so 2、配置数据源文件。 在“/usr/local/etc/odbc.ini ”文件中追加以下内容。 [gaussdb] DriverGaussMPP Servername10.10.0.13（数据库Server IP） Databasepostgres （数据库名） Usernameomm （数据库用户名） Password （数据库用户密码） Port8000 （数据库侦听端口） Sslmodeallow odbc.ini文件配置参数说明。 参数 描述 示例 [DSN] 数据源的名称。 [gaussdb] Driver 驱动名，对应odbcinst.ini中的DriverName。 DriverDRIVERN Servername 服务器的IP地址。 Servername10.145.130.26 Database 要连接的数据库的名称。 Databasepostgres Username 数据库用户名称。 Usernameomm Password 数据库用户密码。 Password说明ODBC驱动本身已经对内存密码进行过清理，以保证用户密码在连接后不会再在内存中保留。但是如果配置了此参数，由于UnixODBC对数据源文件等进行缓存，可能导致密码长期保留在内存中。推荐在应用程序连接时，将密码传递给相应API，而非写在数据源配置文件中。同时连接成功后，应当及时清理保存密码的内存段。 Port 服务器的端口号。 Port8000 Sslmode 开启SSL模式 Sslmodeallow UseServerSidePrepare 是否开启数据库端扩展查询协议。可选值0或1，默认为1，表示打开扩展查询协议。 UseServerSidePrepare1 UseBatchProtocol 是否开启批量查询协议（打开可提高DML性能）；可选值0或者1，默认为1。当此值为0时，不使用批量查询协议（主要用于与早期数据库版本通信兼容）。当此值为1，并且数据库supportbatchbind参数存在且为on时，将打开批量查询协议。 UseBatchProtocol1 ConnectionExtraInfo GUC参数connectioninfo中显示驱动部署路径和进程属主用户的开关。 ConnectionExtraInfo1说明默认值为0。当设置为1时，ODBC驱动会将当前驱动的部署路径、进程属主用户上报到数据库中，记录在connectioninfo参数中。 其中关于Sslmode的选项的允许值，具体信息见下表： sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用，则可以使用SSL安全加密连接，但不验证数据库服务器的真实性。 prefer 可能 如果数据库支持，那么首选使用SSL安全加密连接，但不验证数据库服务器的真实性。 require 是 必须使用SSL安全连接，但是只做了数据加密，而并不验证数据库服务器的真实性。 verifyca 是 必须使用SSL安全连接，并且验证数据库是否具有可信证书机构签发的证书。 verifyfull 是 必须使用SSL安全连接，在verifyca的验证范围之外，同时验证数据库所在主机的主机名是否与证书内容一致。如果不一致，需要使用root用户修改/etc/hosts文件，将连接的数据库节点的IP地址和主机名加入。 步骤 4 SSL模式。 声明如下环境变量，同时保证client.key系列文件为600权限： export PGSSLCERT"/YOUR/PATH/OF/client.crt"

IP地址组集中管理IP地址或网段，被黑白名单规则引用时可以批量设置IP/IP地址段。本节介绍如何添加黑白名单IP地址组。 前提条件 已申请Web应用防火墙实例。 约束条件 添加IP地址组时，请确保IP/IP地址段未添加到其他IP地址组，重复添加同一IP/IP地址段会导致添加IP地址组失败。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 地址组管理”，进入“地址组管理”页面。 步骤 5 在我的地址组列表左上方，单击“添加地址组”。 步骤 6 在弹出的“添加地址组”对话框中，输入“地址组名称”和“IP/IP段”。 步骤 7 单击“确认”，地址组创建成功。

本章节主要介绍ALM45427 ClickHouse服务在ZooKeeper的容量配额使用率超过阈值的告警。 告警解释 告警模块按60秒周期检测ClickHouse服务在ZooKeeper的容量配额使用百分比，当检测到使用百分比超过阈值（90%），系统产生此告警。 当系统检测到使用百分比低于阈值，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45427 重要（默认级别） 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 对系统的影响 ClickHouse在ZooKeeper的容量配额超过阈值后，无法通过FusionInsight Manager对ClickHouse进行集群操作，无法使用ClickHouse服务功能。 可能原因 ClickHouse在使用过程中，如表创建、插入或删除表数据等操作时，ClickHouse会在ZooKeeper的节点中创建znode，随着业务量的增加该znode实际容量可能会超过配置的阈值。 处理步骤 检查ClickHouse在ZooKeeper的znode节点容量值 登录ZooKeeper客户端所在主机节点，执行以下命令登录ZooKeeper客户端工具。 切换到客户端安装目录。 例如：cd /opt/client 执行以下命令配置环境变量。 source bigdataenv 执行以下命令进行用户认证。(普通模式跳过此步骤) kinit 组件业务用户 执行以下命令登录客户端工具。 zkCli.sh server ZooKeeper 角色实例所在节点业务IP : clientPort 1. 执行如下命令查看ZooKeeper上ClickHouse使用的配额情况，计算返回的结果中Output stat的bytes值与Output quota的bytes值之比是否大于0.9。 listquota /clickhouse absolute path is /zookeeper/quota/clickhouse Output quota for /clickhouse count200000, bytes 1000000000 Output stat for /clickhouse count2667, bytes 60063 如上，Output stat对应的bytes为：60063，Output quota的bytes为：1000000000。 是，执行步骤4。 否，等待五分钟查看告警是否清除，若还未消除，执行步骤5。 2. 在FusionInsight Manager首页，选择“集群 > 服务 > ClickHouse > 配置 > 全部配置”，搜索“clickhouse.zookeeper.quota.size”参数，将该参数的值调整为步骤2中Output stat的bytes值的2倍。 3. 重启告警信息对应的ClickHouse实例，等待五分钟，查看告警是否消除。 是，处理完毕。 否，再次执行步骤4，等待五分钟，查看告警是否消除，若还未消除，执行步骤5。

本文介绍批量导入和导出黑白名单规则的操作步骤。 互联网边界防火墙和VPC边界防火墙均支持配置黑白名单规则。 下载黑白名单规则模板 1. 登录云防火墙（原生版）控制台。 2. 进入黑白名单规则页面。 互联网边界：在左侧导航栏选择“访问控制 > 互联网边界规则”，选择“黑名单规则”或者“白名单规则”页签。 VPC边界：在左侧导航栏选择“访问控制 > VPC边界规则”，选择“黑名单规则”或者“白名单规则”页签。 3. 单击规则列表右上方的下载模板图标，弹出下载模板确认框。 4. 单击“确定”，下载黑白名单规则模板到本地。 批量导入黑白名单规则 1. 按表格要求填写您要添加的防护规则信息。 注意 请按照模板要求填写相应参数，确保导入文件的格式与模板一致，否则可能会导入失败。 黑白名单规则模板参数说明如下： 参数名称 参数说明 名称 自定义规则名称。名称长度不能超过100个字符。 方向 可选择“源地址”或“目的地址”。 源地址：访问流量中的发送数据包的IP地址。 目的地址：访问流量中的接收数据包的IP地址。 IP地址 支持以下格式： 地址段，使用“/”隔开掩码，如：192.168.2.0/24 IP地址簿名称。IP地址簿为多个IPv4地址的集合，添加IP地址簿请参见[添加IP地址簿](

本节介绍如何配置VPC边界防护的黑白名单规则。 添加黑白名单规则 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 > VPC边界规则”，进入VPC边界规则页面。 3. 选择“黑名单规则”或“白名单规则”页签，单击“添加黑名单”或“添加白名单”，在弹出的添加黑白名单页面中，填写规则信息。 参数说明如下： 参数名称 参数说明 地址方向 可选择“源地址”或“目的地址”。 源地址：访问流量中的发送数据包的IP地址。 目的地址：访问流量中的接收数据包的IP地址。 名称 自定义规则名称。名称长度不能超过100个字符。 IP地址 支持输入IPv4地址或使用已添加的地址簿： 输入IPv4：使用“/”隔开掩码，如192.168.2.0/24，0.0.0.0/0表示任意地址。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见添加IP地址簿。 描述 （可选）自定义规则描述。 4. 以上所有的字段填写完毕后，点击“确认”时，需要校验这条规则加入后，是否超过客户剩余的规格，若未超过则生成相应的防护规则。 删除黑白名单 单击黑白名单列表操作中的“删除”，弹出删除确认框，确定后删除该黑白名单规则，若是“取消”则关闭对话框。

本文介绍了云防火墙(原生版)产品的访问控制日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 访问控制日志”，进入访问控制日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、规则名称、协议、判断来源、动作、目的IP地址、目的端口、源IP地址、源端口、方向进行筛选。 5. 访问控制日志列表包括命中时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、方向、动作、命中规则名、判断来源。 查看日志详情 单击操作列的“详情”，可以查看日志命中的规则。 在该页面中，展示了命中规则的优先级、名称、源IP地址、目的IP地址、源端口、目的端口、协议、应用、动作、描述和启用状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本章节介绍如何使用服务网格的能力,将应用部署到服务网格 概述 项目中有多种语言的应用，希望多语言应用也能集成监控和治理的能力。那么就需要用到服务网格的能力，下面以发布bookinfo图书系统为例，发布接入服务网格应用。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通应用性能监控 3. 您已订购一个云容器引擎 4. 您已订购服务网格 操作步骤 1. 创建应用 2. 创建容器应用实例 3. 发布应用 4. 查看监控信息 具体操作： 1. 创建 productpage/reviews/details/ratings 四个应用，技术栈选择参照下面信息进行选择。 productpage 对应 PYTHONRUNTIME reviews 对应 SPRINGBOOT details 对应 NODEJS ratings 对应 NODEJS 2. 创建容器应用实例 基本信息填写： 应用选择1中创建的应用 部署单元可多选，应用pod会均匀分配到部署单元对应的可用区。 部署配置填写： 集群选择，需要选择已经开通服务网格的集群 工作负载类型选择无状态应用 镜像类型选择demo镜像 镜像选择对应应用名称的镜像productpage ，reviews ，details ，ratings 勾选接入服务网格，若集群没有开通服务网格则无法勾选，需先开通服务网格 应用服务网格配置信息： 协议选择 TCP 服务名称同应用名称 productpage ，reviews ，details ，ratings 端口都为 9080 3. 发布应用 进入应用实例，版本信息tab栏，发布应用 将productpage ，reviews ，details ，ratings应用都进行发布 进入ratings应用终端，访问productpage应用接口。curl service ip}:9080/productpage，查看是否有请求返回是否正常，请求返回正常则应用部署成功。 4. 查看监控信息

Category Policy Description Severity Category CCSENoEnvVarSecrets 限制Secret以secretKeyRef的形式挂载到应用Pod环境变量中。 medium Category CCSEPodsRequireSecurityContext 限制Pod中所有容器必须配置securitycontext字段。 low Category CCSERestrictNamespaces 限制资源部署在集群指定的命名空间中。 low Category CCSERestrictRoleBindings 限制指定命名空间下的rolebinding使用指定范围内的Role或Clusterrole。 medium Infra CCSEBlockProcessNamespaceSharing 限制在集群指定范围部署的应用中使用shareProcessNamespace。 high Infra CCSEEmptyDirHasSizeLimit 要求emptyDir类型的Volume必须指定sizelimit。 low Infra CCSELocalStorageRequireSafeToEvict 限制部署在集群指定范围内的Pod必须具有 “clusterautoscaler.kubernetes.io/safetoevict”: “true” 注释标签。默认情况下autoscaler在集群自动伸缩时不会驱逐使用HostPath或EmptyDir卷的Pod。为了允许驱逐这些Pod，必须在Pod上添加该注释标签。 low Infra CCSESASMaliciousImage Requires container images is safe and scanned by SAS. high Infra CCSEOSSStorageLocationConstraint Restricts location of oss storage in cluster. low K8sgeneral CCSEAllowedRepos 限制在集群指定范围部署的应用Pod中拉取白名单列表外的镜像。 high K8sgeneral CCSEBlockAutoinjectServiceEnv 要求在应用中配置enableServiceLinks: false防止在Pod环境变量中透出服务IP。 low K8sgeneral CCSEBlockAutomountToken 要求在应用中设置automountServiceAccountToken: false字段防止自动挂载serviceaccount。 high K8sgeneral CCSEBlockEphemeralContainer 限制在集群指定范围的应用Pod中启动临时容器。 medium K8sgeneral CCSEBlockLoadBalancer 限制在集群指定范围内部署LoadBalancer类型的Service。 high K8sgeneral CCSEBlockNodePort 限制在集群指定范围内使用NodePort类型的Service。 high K8sgeneral CCSEContainerLimits 要求集群指定范围的应用Pod配置资源limits。 low K8sgeneral CCSEExternalIPs 限制在集群指定范围内的Services实例使用白名单范围之外的externalIPs。 high K8sgeneral CCSEImageDigests 限制在集群指定范围内部署不符合digest格式的镜像。 low K8sgeneral CCSERequiredLabels 限制在集群指定范围内部署没有指定范式label标签的应用。 low K8sgeneral CCSERequiredProbes 限制在集群指定范围内部署的Pod配置指定类型的readinessProbe和livenessProbe。 medium K8sgeneral CCSECheckNginxPath 限制在Ingress实例的spec.rules[].http.paths[].path字段中使用危险配置。Ingressnginx 1.2.1以下版本建议开启该策略。 high K8sgeneral CCSECheckNginxAnnotation 限制在Ingress实例的metadata.annotations字段中使用危险配置。Ingressnginx 1.2.1以下版本建议开启该策略。 high

安全组规则 安全组中包括入方向规则和出方向规则，用来控制安全组内实例的入方向和出方向的网络流量。 入方向规则：控制外部请求访问安全组内的实例，即流量流入实例。 出方向规则：控制安全组内实例访问外部的请求，即流量从实例流出。 安全组规则由协议端口、源地址/目的地址等组成，关键信息说明如下： 策略：支持允许或拒绝。当流量的协议、端口、源地址/目的地址成功匹配某个安全组规则后，会对流量执行规则对应的策略，允许或拒绝流量。 优先级：优先级可选范围为1100，数字越小，规则优先级级别越高。安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 类型：支持设置IPv4和IPv6协议的规则。 协议端口：包括网络协议类型和端口范围。网络协议：匹配流量的协议类型，支持TCP、UDP、ICMP和GRE协议。端口范围：匹配流量的目的端口，取值范围为：1～65535。 源地址或目的地址：在入方向中，匹配流量的源地址。在出方向中，匹配流量的目的地址。您可以使用IP地址、安全组、IP地址组作为源地址或者目的地址。 安全组及规则的工作原理 安全组是有状态的。如果您从实例发送一个出站请求，且该安全组的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该安全组的入方向规则是放通的，那无论出方向规则如何，都将允许入站请求的响应流量可以流出。 安全组使用连接跟踪来标识进出实例的流量信息，入方向安全组的规则变更，对原有流量立即生效。出方向安全组规则的变更，不影响已建立的长连接，只对新建立的连接生效。 当您在安全组内增加、删除、更新规则，或者在安全组内添加、移出实例时，系统会自动清除该安全组内所有实例入方向的连接，详细说明如下： 由入方向流量建立的连接，已建立的长连接将会断开。所有入方向流量立即重新建立连接，并匹配新的安全组入方向规则。 由出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有安全组规则。出方向流量新建立的连接，将会匹配新的安全组出方向规则。 注意 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下的连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FINWAIT（连接即将关闭）状态时，老化时间是30s。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，当请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。因此，默认情况下您一般不用在入方向配置策略为“拒绝”的规则。下表中的入方向规则，确保安全组内实例内网网络互通，不建议您删除或者修改该安全组规则。 在出方向中，下表中的出方向规则允许所有流量从安全组内实例流出，即实例可访问外部任意IP和端口。如果您删除了该规则，则安全组内的实例无法访问外部，请您谨慎操作。 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 购买操作步骤： 步骤一：登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二：进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三：点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 • 当实例的“状态”变为“运行中”时，说明实例创建成功。 • 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本节介绍云解析相关术语。 域名 域名类似于网络上的门牌号码，是用于识别和定位互联网上计算机的层次结构式字符标识，与该计算机的互联网协议（IP）地址相对应。但相对于IP地址而言，更便于使用者理解和记忆。 DNS 域名系统（Domain Name System，DNS）是一个全球性的分布式系统，独立于任何系统平台和网络，是全球域名体系的承载体，完成易于记忆的域名与难以记忆的IP地址之间的映射。 DNS结构 全球域名体系从结构上呈倒立树型分层结构。整个系统体系可以划分成四个服务环节，分别是根域权威解析、顶级域权威解析、二级和二级以下域的权威解析、递归解析服务。 域名解析 将域名映射为IP地址的过程，由DNS客户端和DNS服务器完成整个解析过程。 域名解析涉及的四个DNS服务器： 根域名服务器（Root nameserver），提供域名所在顶级区域的权威服务器名称和地址。 顶级域名服务器（Tld nameserver），提供域名所在二级区域中权威名称服务器列表。 权威域名服务器，提供域名在本区域内与IP地址的对应关系，例如天翼云云解析。 本地域名服务器（Local DNS），处理来自解析器发出的递归查询请求，并最终返回准确的DNS服务器。 主机名 因特网上的主机或Web站点的名称。主机名映射到IP地址，但是主机名和IP地址之间没有一对一关系。

布尔值条件运算符 利用布尔值条件，用户可以通过与“正确”或“错误”的对比，来设置Condition元素。 条件运算符 描述 Bool 布尔值匹配。 例如，下列声明使用 Bool 条件运算符与 ctyun:SecureTransport 键来指定必须使用 SSL 发出请求。 { "Version": "20121017", "Statement": [ { "Effect": "Allow", "Principal":{ "CTYUN": [""] }, "Action": "oos:GetObject", "Resource": "arn:ctyun:oos:::examplebucket/", "Condition": {"Bool": {"ctyun:SecureTransport": "true"}} } ] } IP Address Conditions IP address conditions允许设置IP地址的匹配规则，与ctyun:SourceIp key配合使用。此项的值必须符合标准的CIDR格式（例如：10.52.176.0/24），参考RFC 4632。 Condition 描述 IpAddress IP地址或范围的白名单。 NotIpAddress IP地址或范围的黑名单。 条件键 条件键 描述 ctyun:Referer 与字符串运算符结合使用。用于检查请求中的Referer请求头。 ctyun:SecureTransport 与布尔值运算符结合使用。检查请求是否是使用SSL发送的。 ctyun:SourceIp 与IP地址运算符结合使用。用于检查请求者的IP地址。 ctyun:UserAgent 与字符串运算符结合使用。用于检查请求者的客户端应用程序。

通过公网访问应用 为了实现从公网访问该应用，一种简便的方式是为该应用绑定公网 ELB 实例。 1. 在应用列表 中查看已创建的应用，点击该应用可以进入其详情页面。 2. 在应用信息 页签中，在应用访问设置 区域选择基于ELB访问 。点击添加公网ELB访问 ，配置如下参数，然后点击确定 。 1. 在ELB实例 中，选择新建ELB实例。 2. 在HTTP协议 页签中，设置HTTP端口 为80，容器端口 为18082。 清理资源 在完成本教程后，建议清理相关资源，避免持续产生费用。 1. 删除应用：进入 caedemo 应用的详情页面，点击更多 > 删除应用，并按照指引操作来删除上述应用。 2. （可选）删除网络资源：在部署应用的过程中，系统自动创建了VPC、交换机、安全组。 1. 查看VPC：在左侧导航栏选择命名空间 ，点击默认 ，在基础信息页面查看VPC，点击链接跳转到VPC详情页。 2. 查看交换机、安全组：在VPC的资源管理标签页点击链接跳转到相应资源的详情页。 3. 在各资源的详情页执行删除操作。 后续步骤 您已通过 Demo 镜像体验了部署应用的流程。CAE 为您提供以下方式来部署实际的应用 ： 使用镜像部署应用（推荐）：您可以将任何应用制作成镜像，然后将其推送到镜像仓库，最后将其部署到 CAE。 使用代码包部署应用：CAE 提供 Java、Python、Go、Node.js、.NET Core特定版本的运行环境，如果与您的代码兼容，则可以使用代码包部署应用。您需要先制作ZIP格式压缩包，然后将其部署到 CAE。 本示例使用系统创建的默认命名空间来部署应用。您也可以通过自定义命名空间来实现不同应用之间、开发/测试/生产环境之间的隔离 。每个命名空间需要绑定一个VPC。部署应用时，需要为应用实例绑定该VPC中的交换机，选择不同可用区的交换机即可实现应用的跨可用区部署。 创建应用后，可以手动调整实例数量与实例规格，或通过配置弹性伸缩策略实现根据访问量、资源使用情况自动调整实例数量。 为应用启用更多进阶功能。例如，微服务治理、持久化日志、应用监控等功能。

操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击左侧导航栏中的“云硬盘快照”，进入云硬盘快照页面。 5. 在云硬盘快照页面，单击待回滚快照所在行“操作>回滚”，进入“回滚数据”窗口。 6. 根据界面提示，确定回滚操作信息后，单击“确定”，云硬盘开始进行数据回滚。注意云硬盘回滚至目标时刻之后，该目标时刻到回滚操作时刻之间的数据将被删除，请谨慎操作。 7. 在云硬盘快照页面，查看快照状态。待快照状态由“回滚中”变为“可用”时，表示回滚命令下发成功。 8. 登录云主机查看数据是否回滚成功。 注意 云硬盘数据是否回滚成功请以云硬盘实际数据为准。 验证回滚快照功能 用一个实际案例来确认快照回滚功能。 1. 登录弹性云主机实例查看当前云硬盘中的数据。比如此时文件夹/mnt/sdc中具有一个文件a.txt。 2. 在执行操作删除文件a.txt之前可以对云硬盘创建快照用于备份数据。您可在控制台创建快照。具体操作详见创建快照。 3. 您可根据业务需求继续使用云硬盘，在业务使用过程中为云硬盘创建快照可降低数据误操作的风险。比如本例中，在创建快照之后，再进行“删除文件夹/mnt/sdc中的a.txt文件” 的操作。 4. 若想将云硬盘数据恢复数据至快照时刻，您可在控制台对快照进行回滚操作，具体操作详见快照回滚。注意回滚时，云硬盘若处于挂载状态，其所挂载的云主机需要处于关机状态，现在我们进行关机及回滚。 5. 执行回滚操作后，在云主机实例中查看云硬盘数据恢复，则表明回滚操作成功。此时文件夹/mnt/sdc中恢复了a.txt文件。

插件简介 Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云硬盘服务、对象存储服务、弹性文件服务 SFS、极速文件存储 SFS Turbo等存储服务的能力。 该插件为系统资源插件，kubernetes 1.15 及以上版本的集群在创建时默认安装。 说明： v1.13.11r1升级到v1.15.11r1集群后，原本v1.13的Flexvolume Fuxi容器存储由v1.15的Everest接管（插件版本v1.1.6及以上），原有功能保持不变。 Everest插件在1.2.0 版本 优化了使用对象存储时的秘钥认证功能，请在Everest插件升级完成后（从低于1.2.0的版本升级到1.2.0及以上版本），重启集群中使用对象存储的全部工作负载，否则工作负载使用对象存储能力将受影响。 约束与限制 仅支持v1.15 及以上版本的CCE集群安装本插件。 v1.13及以下版本集群创建时默认必装storagedriver（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件市场”页签下，单击“everest”插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 该插件可配置“单实例”或“高可用”规格，选择后单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“everest”下的“ 升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级everest插件时，会替换原先节点上的旧版本的everest插件，安装最新版本的everest插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 该插件可配置“单实例”或“高可用”规格，选择后单击“升级”即可升级“everest”插件。 卸载插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”页签下，选择对应的集群，单击“everest”下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

云硬盘回收站是天翼云云硬盘一种重要的数据保护方式,本章将为您详细介绍云硬盘回收站管理的相关内容。 产品定义 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要用户手动开启，保留时间最多为7天。 应用场景 在以下情况中，云硬盘删除会被放入回收站： 当用户主动删除按需订购的云硬盘时，此云硬盘会被放入回收站。 在以下情况中，云硬盘删除后不会被放入回收站： 当包周期购买的云硬盘被用户退订时，不放入回收站。 处于冻结期的按需云硬盘主动删除时，不放入回收站。 按需云硬盘冻结保留期到期后被系统销毁时，不放入回收站。 重装操作系统时，直接删除，不放入回收站。 和弹性云主机或物理机同一订单订购的云硬盘，跟随实例被释放时，不放入回收站。 账号受限或冻结状态时，被删除的按需云硬盘（包含主动删除与系统删除）不放入回收站。 约束与限制 云硬盘在回收站内最多可保存7天，到期后自动销毁，销毁后云硬盘将无法恢复。 仅支持按需云硬盘被删除时放入回收站，包年包月云硬盘在退订时不放入回收站。 账号受限或冻结状态时，主动删除的按需云硬盘不放入回收站。 账号受限或冻结状态时，系统删除的按需云硬盘不放入回收站。 开启回收站后，删除的按需云硬盘会放入回收站并支持手动恢复，但此按需云硬盘的快照会直接销毁且无法手动恢复。 已在回收站中的云硬盘，当账户欠费时，这些云硬盘会进入冻结保留期，在回收站中保留时长可能不足7天就会被系统销毁。销毁时间以回收站保留期（自进入回收站起保留7天）和冻结保留期（自欠费起保留15天）中最早达到销毁条件的时间为准。 云硬盘回收站支持的资源池，如下表所示： 限制项 限制说明 支持资源池 郑州5/武汉41/华东1/南宁23/华南2/华北2/南昌5/青岛20/上海36/西南1/昆明2/杭州2/杭州7/长沙42/西安7/太原4/西南2贵州/庆阳2/呼和浩特3/乌鲁木齐7。

本节介绍创建智能网关。 前提条件 已完成AI套件安装，网络组件运行正常。 约束与限制 智能网关依赖ELB，可登录网络控制台弹性负载均衡页面创建资源。 操作步骤 1、创建智能网关 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 智能网关，选择创建智能网关 在创建智能网关页面，首先完成基础信息配置： 配置项说明如下： 配置项 说明 实例名称 集群内命名空间下唯一，名称长度大于1，小于253个字符 命名空间 集群命名空间 标签 标签遵循K/V格式，其中Key规范如下： Key 的结构： Key 可以分为两部分：可选的前缀（prefix）和标签名（name），两者之间用 / 分隔。例如：example.com/mykey。 前缀规则： 前缀是可选的，如果存在，则必须是一个 DNS 子域名格式，例如 example.com。 前缀长度不能超过 253 个字符。 标签名规则： 标签名部分是必须的。 标签名长度不能超过 63 个字符。 标签名只能包含字母（az、AZ）、数字（09）、连字符（）、下划线（）、点（.）。 标签名必须以字母或数字开头和结尾。 注解 注解遵循K/V格式，其中Key规范如下： 结构组成： 注解键由两部分组成：可选前缀（Prefix）和名称（Name），格式为 / 。 如果没有指定前缀，则键被视为用户私有的。 前缀规则： 前缀必须是 DNS 子域名格式，即由点（.）分隔的 DNS 标签组成，总长度不超过 253 个字符。 例如：example.com 或 mycompany.com/myapp。 名称规则： 名称部分是必需的，不能包含前缀。 名称长度不能超过 63 个字符。 名称只能包含字母（az、AZ）、数字（09）、连字符（）、下划线（）、点（.）。 名称必须以字母或数字开头和结尾。 键值对限制： 注解中的键和值都必须是字符串类型。 不支持数字、布尔值、列表等其他类型。 描述 网关实例的附加描述信息 配置信息 CPU 网关实例容器CPU配置，单位核数 配置信息 内存 网关实例容器内存配置，单位Gi 配置信息 副本数 网关实例部署的副本数，大于1，小于100 访问控制 类型 表示智能网关流量暴露方式，默认是LoadBalance类型的Service 访问控制 负载均衡 支持私网访问和公网访问两种模式，对应私网类型ELB和公网类型ELB 访问控制 监听器配置 网关实例至少配置一个监听器，包括接入协议（目前支持HTTP）、服务端口（与推理应用容器端口保持一致）、接入范围（同命名空间）

特性 说明 相关操作 使用云主机创建系统盘镜像 创建云主机实例后，您可以根据业务需求自定义实例（例如：安装软件、部署应用环境）， 并使用更新后的云主机创建系统盘镜像。 通过该镜像创建的新实例，会包含您已配置的自定义项，节省您重复配置的时间。 使用外部镜像文件创建系统盘镜像（也称导入镜像） 可以将您本地或者其他云平台的云主机系统盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的弹性云主机，或对已有实例的系统进行重装或更换。 使用ISO文件创建系统盘镜像 相比其他格式的外部镜像文件，ISO文件无法直接使用， 需要利用一些工具进行解压后才能使用。 创建流程较为复杂，详见“相关操作”。 使用外部镜像文件创建数据盘镜像 可以将您本地或者其他云平台的服务器数据盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的云硬盘。 使用云主机、云主机备份，或者云服务备份创建整机镜像 将云主机及其上挂载的数据盘一起创建整机镜像，此镜像包含操作系统、应用软件， 以及用户的业务数据，可用于快速发放相同配置的云主机，实现数据搬迁。 支持使用云主机、云主机备份、云服务备份三种整机镜像创建方式。 通过私有镜像创建云主机 系统盘镜像或者整机镜像创建成功后，在该镜像所在行单击“申请主机”即可创建新的云主机。

本节主要介绍权限管理类问题 无法找到特定服务的权限怎么办？ 天翼云服务分为项目级服务和全局级服务两种，需正确选择权限作用范围才能找到特定权限。如对象存储OBS属于全局级服务，弹性云主机属于项目级服务。 如已正确选择服务级别和服务名称仍无法找到服务，则该需要设置权限的服务暂不支持IAM。 权限没有生效怎么办？ 企业管理员在IAM控制台给IAM用户设置权限后，IAM子用户登录天翼云后发现权限没有生效，无法使用服务。 1. 可能原因：管理员授予IAM用户所在用户组的权限不正确。 解决方法：管理员确认并修改授予IAM用户所在用户组的权限，方法请参考：用户指南 > 用户组及授权。 2. 可能原因：管理员授予的权限已拒绝相关操作的授权项。 解决方法：管理员查看已授予IAM用户的系统权限详情，确认已授予的权限是否有拒绝操作的语句，方法请参考：用户指南 > 权限管理> 策略。如系统权限无法满足您的场景需要，管理员可以创建自定义策略，允许该操作对应的授权项，方法请参考：用户指南> 权限管理> 自定义策略。 3. 可能原因：管理员给用户组授予权限后，忘记将IAM用户添加至用户组中。 解决方法：管理员将IAM用户添加至用户组中，方法请参见：用户指南 > 用户组及授权> 用户组添加/移除用户。 4. 可能原因：对于区域级服务，管理员没有在在对应的区域进行授权。 解决方法：管理员在对IAM所在用户组授权时，选择对应的区域。如果管理员授予用户默认区域项目的权限，用户只能访问该默认项目中的资源，不拥有该默认项目下IAM子项目的权限，建议您授予IAM用户最小区域权限，方法请参见：用户指南 > 用户组及授权> 创建用户组并授权。 5. 可能原因：对于区域级服务，IAM用户登录控制台后，没有切换到授权区域。 解决方法：IAM用户访问区域级服务时，请切换至授权区域，方法请参见：用户指南 > 项目。 6. 可能原因：管理员授予的OBS权限由于系统设计的原因，授权后需等待1530分钟才可生效。 解决方法：请IAM用户和管理员等待1530分钟后重试。 7. 可能原因：浏览器缓存导致权限信息未更新。 解决方法：请清理浏览器缓存后重试。 8. 可能原因：管理员同时在IAM和企业管理给用户授权，基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理。 解决方法：请管理员根据情况在IAM控制台修改用户权限。

本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

本文主要介绍 手动配置Agent（Windows，可选） 操作场景 用户成功安装Agent插件后，推荐您采用“修复插件配置”方式配置Agent。如果“修复插件配置”不成功或其他原因导致无法配置Agent，你可以采用本章节提供的手工方式配置Agent。 约束与限制 Windows类型BMS暂不支持安装Agent。 前提条件 已成功安装Agent插件。 操作步骤 1. 登录ECS。 2. 打开telescopewindowsamd64bin文件夹下的conf.json文件。 3. 配置如下参数，参数说明请参见下表。 plaintext { "InstanceId":"", "ProjectId": "", "AccessKey": "", "SecretKey": "", "RegionId": "cnhz1", "ClientPort": 0, "PortNum": 200 } 表 公共配置参数 参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： l 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 l InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； l 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； l 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 l 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator 。 l 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。 说明 默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。 说明 默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 4. 等待几分钟后，当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。

sectionb6d9c8a71f3e57cf)。 目的IP地址 支持以下格式： 地址段，使用“/”隔开掩码，如：192.168.2.0/24 IP地址簿名称。IP地址簿为多个IPv4地址的集合，添加IP地址簿请参见添加IP地址簿。 目的端口 支持以下格式： 端口号。 端口地址簿名称。端口地址簿为多个端口的集合，添加端口地址簿请参见添加端口地址簿。 协议类型 支持：TCP、UDP、ICMP、Any。 应用 在下拉框中选择应用，可选择“全部应用”或其中一个应用，包括MySQL、中国工商银行、维基百科、58同城、京东商城、滴滴出行、POP3、smtp、ssh、telnet、ftpdata、HTTPS、HTTP、IMAP、TeamViewer、必应和酷狗音乐等。 动作 设置防火墙对流量的处理动作，支持选择“放行”或者“阻断”。 描述 自定义规则描述。 启用状态 选择该规则是否启用规则。 开：表示启用，规则生效。 关：表示关闭，规则不生效。 2. 表格填写完成后，进入目标防护规则页面，单击防护规则列表上方的“导入”，弹出导入对话框。 3. 将填写好的表格文件上传到配置文件框。 4. 单击“确定”，导入防护规则表。

参数 说明 实例名称 RocketMQ实例名称是指在RocketMQ中创建的一个特定实例的名称。它可以用来唯一标识和区分不同的RocketMQ实例。根据RocketMQ的设计，实例名称通常由字母、数字和下划线组成，并且长度通常不超过255个字符。实例名称应该具有描述性，以便在多个RocketMQ实例存在时进行区分和管理。 实例ID RocketMQ实例ID是指在RocketMQ中创建的一个实例的唯一标识符。它是由系统自动生成的，用于区分不同的RocketMQ实例。实例ID可以用来管理和操作RocketMQ实例，例如创建、删除和修改实例等。实例ID通常由一串数字和字母组成，并且在RocketMQ集群中必须保持唯一性。 引擎类型 提供RocketMQ和CTGMQ两类引擎。 磁盘大小 购买实例选择的磁盘大小，通常为100G的整数倍。 磁盘类型 购买实例选择的磁盘类型，默认为SAS，也可选择更高的IO磁盘。 主机规格 购买实例选择的主机规格，主要展示CPU核数和内存大小，更多主机规格请参见产品规格。 broker节点数 RocketMQ的broker节点数是指在一个RocketMQ集群中扮演broker角色的节点数量。每个broker节点负责存储消息、处理消息的传输和消费者的请求等功能。 实例描述 用户根据需要可填写实例备注。 运行状态 实例当前运行状态，各状态描述见上文表格实例状态说明。 付费类型 创建实例时选择的付费类型，有包周期/按需两个选项。 创建时间 实例创建时间。 到期时间 包周期的实例到期时间，按需付费类型不展示。 专用网络 创建实例时绑定的VPC名称，详见订购前准备。 子网 创建实例时绑定的子网名称，详见订购前准备。 安全组 创建实例时绑定的安全组名称，详见订购前准备。 网络 VPC专用网络。 接入点 接入点具体VPC内网IP。 TPS监控 标识该集群所有Broker下，所有Topic的生产、消费TPS（2min）的时间变化曲线。 流量监控 标识该集群下，所有Topic的消费堆积情况，列表按倒序排列了堆积量最大的前20个Topic的堆积情况。 全局堆积 全局堆积是指消息在整个消息队列系统中的积压情况。 全局消息 标识该集群，所有Topic的生产情况，按现有消息量倒序排列。

本章节主要介绍ALM24001 Flume Agent异常的告警。 告警解释 Flume Agent监控模块对Flume Agent状态进行监控，当Flume Agent进程故障（每5秒检测一次）或Flume Agent启动失败时（即时上报告警），系统产生此告警。 当检测到Flume Agent进程故障恢复，Flume Agent启动成功，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24001 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 AgentId 产生告警的Agent ID。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 产生告警的Flume Agent实例无法正常启动，定义在该实例下的数据传输任务暂时中断，对于实时数据传输，会丢失实时数据。 可能原因 JAVAHOME目录不存在或JAVA权限异常。 Flume Agent目录权限异常。 Flume Agent启动失败。 处理步骤 检查JAVAHOME目录是否存在或JAVA权限是否正确 1.以root用户登录故障节点IP所在主机。 2.执行以下命令获取发生告警的Flume客户端安装目录。（AgentId可以在告警的“定位信息”中获取） ps efgrep AgentId grep v grep awk F 'conffile ' '{print $2}' awk F 'fusioninsight' '{print $1}' 3.使用“su Flume安装用户”命令切换到Flume安装用户，执行cd Flume 客户端安装目录 /fusioninsightflume1.9.0/conf/ 命令，进入Flume的配置目录。 4.执行cat ENVVARS grep JAVAHOME命令。 5.检查JAVAHOME目录是否存在，若步骤4执行结果返回不为空，且 ll $JAVAHOME/ 不为空，则JAVAHOME目录存在。 是，执行步骤7。 否，执行步骤6。 6.指定正确的JAVAHOME目录。 7.执行$JAVAHOME/bin/java version命令检查Flume Agent运行用户是否有JAVA可执行权限，若可以查到java版本，这说明JAVA权限满足，否则不满足。 是，执行步骤9。 否，执行步骤8。 说明 JAVAHOME为安装Flume客户端时export导出的环境变量，也可以进入到Flume 客户端安装目录 /fusioninsightflume1.9.0/conf目录下，执行cat ENVVARS grep JAVAHOME命令来查看变量的值。 8.执行chmod 750 $JAVAHOME/bin/java命令赋予Flume Agent运行用户JAVA可执行权限。

本章节将详细介绍实例创建成功后，配置跨网段访问的方法。 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 使用须知 仅副本集实例支持该功能。 配置跨网段访问期间业务可正常运行，不会出现中断或闪断业务的情况。 当客户端和副本集处于不同VPC、不同网段时，需要先在不同的VPC之间建立对等连接，然后再配置跨网段访问。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的数据库实例，单击实例名称，进入“基本信息”页面。 步骤 5 在左侧导航树，单击“连接管理”。 步骤 6 在“内网连接”页签下，单击“跨网段访问配置”右侧的“立即开通”，设置对应的源端网段信息，目前支持添加和删除源端网段。 单击源端网段右侧的新增源端网段。 单击源端网段右侧的删除源端网段。 跨网段访问配置 说明 跨网段访问配置当前最多可支持配置30个源端网段， 源端网段之间允许重叠但不能重复。即设置的源端网段之间可以有交集但不能完全一样，禁止使用127开头的网段，允许的IP掩码范围为832。 步骤 7 开通成功后，“跨网段访问配置”的状态变更为“已开通”。 若您需要更改源端网段配置，可以单击“跨网段访问配置”右侧的“立即修改”。 修改源端网段

本文介绍防火墙使用最佳实践，以及配置IP地址组和服务组访问策略的最佳实践。 当您完成防火墙的购买和防护开通后，可以根据您的需要进行一系列常用实践，防火墙常用实践如下表。 实践 描述 云防火墙使用最佳实践 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 配置IP地址组和服务组访问策略 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

功能 功能概述 基础版 企业版 旗舰版 增值服务 安全概览 多维度统计待处理风险、防护状态、风险趋势与实时动态，通过可视化直观呈现整体安全态势 ✓ ✓ ✓ 资产概览 清点主机资产，统计资产分布、Agent 状态、资产指纹等信息，实现资产全局掌控 仅支持资产清点 ✓ ✓ 资产管理 集中查看主机资产与风险资产，支持检索筛选、防护启停、版本切换，高效管理服务器 ✓ ✓ ✓ 资产指纹 采集账号、端口、进程、软件应用、自启动项、Web服务等关键指纹信息 采集2种指纹信息 采集14种资产指纹 支持记录资产指纹变更历史 采集14种资产指纹 支持记录资产指纹变更历史 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项 × ✓ ✓ 漏洞扫描 支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能 仅支持扫描Win/Linux漏洞，不支持配置扫描策略，不支持一键修复 ✓ ✓ 弱口令检测 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令 × ✓ ✓ 入侵检测 实时监测入侵行为，识别暴力破解、异常登录、进程提权、恶意命令执行等攻击并告警 仅支持系统暴力破解、异常登录告警 ✓ ✓ 白名单管理 提供告警白名单配置能力，用户可自定义信任规则，过滤误报安全事件 × ✓ ✓ 网页防篡改 对网站目录下的文件进行实时监测，发生异常篡改行为实时告警，并通过备份自动恢复被篡改的文件或目录 × × × ✓ 病毒查杀 融合本地 + 云端双引擎检测技术，精准识别挖矿木马、蠕虫、勒索病毒等各类恶意程序 × ✓ ✓ 文件完整性保护 实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监测和告警 × × ✓ 勒索诱饵防护 在系统关键位置投放诱饵文件，实时捕捉勒索行为，阻止勒索病毒对数据的加密 × × ✓ 主动防御 自动隔离恶意文件、封禁恶意 IP，提供精准 / 全面双防御模式 × × ✓ 端口蜜罐 通过部署蜜罐，监听攻击者对蜜罐端口的扫描行为，记录攻击者的扫描行为 × × ✓ 检测规则管理 自定义检测规则，异常行为命中自定义规则实时告警 × ✓ ✓ 配额管理 展示配额使用的情况 ✓ ✓ ✓ 告警通知 发生入侵实时发送告警通知 ✓ ✓ ✓ 报表管理 周期性自动生成安全风险报告 仅周报 ✓ ✓ 数据外发 告警外发至Syslog服务器或日志服务 ✓ ✓ ✓

本文为您介绍文件复制的相关功能。 概述 文件复制，即数据从工作机到灾备机的复制“通道”。数据灾备的主要目的是通过将数据以及相关的增量变化实时地从工作机复制到灾备机。MDR程序以字节为最小单位，将数据的变化部分通过IP网络复制到灾备机，从而保证数据传输的高效、数据的完整性。文件复制中包含了实时数据复制及持续数据保护的功能。实时数据复制：字节级实时复制软件，广泛适用于文件系统、数据库系统、邮件系统等实时的容灾备份保护。通过部署在生产服务器上的轻量级客户端实时捕获字节级增量并实时传输到灾备服务器。 持续数据保护可以捕获或跟踪数据的变化，并将其独立存放在生产数据之外，以确保数据可以恢复到过去的任意时间点。持续数据保护可以为恢复对象提供足够细的恢复粒度，实现任意的恢复时间点。由于持续数据保护记录所有的修改操作以及数据的变化，所以占用的磁盘空间是比较大的。MDR程序独特的多Baseline支持可以提高配置的灵活性，以及持续数据保护恢复的速度。 持续数据保护功能主要包含两个步骤：添加节点和新增规则（见下方）。 添加节点包含工作机和灾备机。添加工作机，主要是指定需要保护的文件或目录；添加灾备机，主要是确定数据备份的存放目录；添加规则，或任务，即关联工作机和灾备机，通过设置各种参数实现不同的数据复制和保存效果，比如数据复制的映射关系、连续数据保护的保护策略和全副本的保留策略等。 恢复数据时，用户通过恢复管理菜单完成。控制台提供三种方式： 1）即时恢复，从灾备数据中将生产数据的实时副本恢复出来； 2）持续数据保护恢复，从数据备份历史中选择任意一个时间点实现细粒度的数据恢复，前提是创建复制规则的时候开启CDP选项； 3）快照恢复，即从数据生成的快照集合中，选择某一个快照所对应的数据切片进行恢复，前提是用户开启了快照选项（此快照功能针对Windows灾备机；Linux灾备机不支持此快照配置，建议使用CDP功能）。

本页介绍如何启用Ranger权限管控能力。 操作场景 为构建统一、安全的数据治理体系，企业可使用Apache Ranger对大数据平台进行集中化的细粒度权限管控。通过Ranger，管理员可以统一配置并管理用户对Hive、Spark、HDFS及Doris等核心组件的访问策略，实现从库、表、列到文件、目录级别的安全控制。 在部署Ranger组件后，需为上述服务逐一启用对应的Ranger权限插件，并完成相关服务的配置与重启操作，以使权限策略生效，从而确保数据访问的安全性与合规性。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager操作界面，单击“集群服务”菜单。 5. 选择Ranger服务，单击“插件启用”tab。 6. 单击要启用的插件，启用后请参考说明进行配置修改或重启相关服务。 注意 重启服务时请选择合适的业务时间，避免影响存量作业运行，可考虑使用滚动重启或逐节点重启的方式，降低业务影响。 说明 1. Hive：插件启用成功后，请重启HiverServer2角色实例。 2. HDFS：插件启用成功后，请重启NameNode角色实例。 3. Spark：插件启用成功后，请重启Kyuubi服务。 4. Doris：插件启用成功后，请参考下述信息修改配置并进行同步，重启FE角色实例后，功能生效。 步骤1：上Ranger的keytab文件到所FE节点上（ansible/scp等方式），上传路径：/etc/security/keytabs/ranger.keytab，然后改成其他用户可读 步骤2：修改/usr/local/dorisfe/conf/rangerdorissecurity.xml文件中的配置，并确认配置项替换成功 plaintext RANGERADMINRESTADDRESSRanger Admin所在的IP与端口 RANGERADMINKEYTABPATH/etc/security/keytabs/ranger.keytab RANGERADMINPRINCIPAL$(klist kt /etc/security/keytabs/ranger.keytab grep m1 ranger/ sed E "s/. (ranger/[^[:space:]]+)./1/" tr d "n" xargs) sed i "sRANGERADMINRESTADDRESS$RANGERADMINRESTADDRESS" /usr/local/dorisfe/conf/rangerdorissecurity.xml sed i "sRANGERADMINKEYTABPATH$RANGERADMINKEYTABPATH" /usr/local/dorisfe/conf/rangerdorissecurity.xml sed i "sRANGERADMINPRINCIPAL$RANGERADMINPRINCIPAL" /usr/local/dorisfe/conf/rangerdorissecurity.xml 步骤3：在manager启用Ranger集群服务页面，启Doris插件，并重启FE节点。

参数 描述 i email 或 item email 设置邮件通知功能。 H SMTPHOST 或 smtphost SMTPHOST 设置SMTP服务器。 取值：SMTP服务器域名或IP。 L SSLSTATUS 或 ssl SSLSTATUS 是否开启SSL功能： Enabled（on）：开启SSL功能。 Disabled（off）：禁用SSL功能。 默认值为Disabled（off）。 P SMTPPORT 或 smtpport SMTPPORT 设置SMPT端口号。整型，取值为[1, 65535]，如果开启了SSL，默认端口号为465；如果未开启SSL，默认端口号为25。 R RECEIVEREMAIL 或 receiveremail RECEIVEREMAIL 设置收件箱。可以设置多个收件箱，邮箱之间使用英文逗号隔开。 邮箱格式 localpart @ domain ： localpart ：字符串形式，长度范围是1~64，可包含字母、数字、特殊字符（! $ % & + / ? ^ { }~ .），字母区分大小写。句点（.）不能作为首尾字符，也不能连续出现。 domain ：以句点（ . ）分隔的字符串形式，长度范围是1~255。通过句点（ . ）分隔开的每个字符串需要满足如下要求： 长度1~63。 可包含字母、数字、短横线（），字母区分大小写。 顶级域名不能是纯数字。 短横线（）不能作为首尾字符。 S SENDEREMAIL 或 senderemail SENDEREMAIL 设置发件箱。 邮箱格式 localpart @ domain ： localpart ：字符串形式，长度范围是1~64，可包含字母、数字、特殊字符（! $ % & + / ? ^ { }~ .），字母区分大小写。句点（.）不能作为首尾字符，也不能连续出现。 domain ：以句点（.）分隔的字符串形式，长度范围是1~255。通过句点（.）分隔开的每个字符串需要满足如下要求： 长度1~63。 可包含字母、数字、短横线（），字母区分大小写。 顶级域名不能是纯数字。 短横线（）不能作为首尾字符。 p PASSWORD 或 password PASSWORD 邮箱授权码。 说明 授权码是邮箱推出的，用于第三方客户端登录的专用密码。 s STATUS 或 status STATUS 是否开启邮件通知功能： Enabled（on）：开启邮件通知功能。 Disabled（off）：禁用邮件通知功能。 T 或 testemail 开启发送测试邮件功能。

本节主要介绍操作跟踪的错误码。 响应码 错误码(code) 错误信息(message) 错误描述 :::: 400 InvalidTrailNameException Trail name too short. Minimum allowed length: 3 characters. Specified name length: 2 characters. 跟踪的名称非法，字符长度不足。 400 InvalidTrailNameException Trail name too long. Maximum allowed length: 128 characters. Specified name length: 140 characters. 跟踪的名称非法，超过最大字符长度。 400 TrailAlreadyExistsException TrailtrailName already exists for the customer:accountId 跟踪已经存在。 400 TrailNotFoundException Unknown trail: arn:ctyun:CloudTrail:ctyun:accountId:trail/trailName for the customer:accountId 跟踪不存在。 400 MaximumNumberOfTrailsExceededException User:accountId already has 10 trails. 跟踪超过最大数量限制。 400 S3BucketDoesNotExistException Bucket name does not exist:bucketName 创建跟踪时，BucketName不存在。 400 InvalidTrailNameException Trail name cannot be blank! 跟踪名称为空。 400 InvalidS3PrefixException S3 prefix is longer than maximum length:s3Prefix 前缀超过长度限制。 400 InvalidLookupAttributesException Lookup attribute key is not valid. Lookup属性key非法。 400 InvalidLookupAttributesException Lookup attribute value is not valid. Lookup属性值非法。 400 InvalidMaxResultsException A max results value of {maxNumber} is invalid. Specify max results between 1 and 50. 设置的lookupEvents返回的最大结果数超过限制。 400 InvalidEventSelectorsException Specify a valid number of selectors for your trail 一个管理事件追踪的筛选器只能有一个。 403 AccessDenied Access Denied 权限认证不通过。 403 AccessDenied Can not access bucket {bucketName} 创建trail时，指定的Bucket不是当前账户下的Bucket。 400 InvalidTrailNameException Trail name must not be formatted as an IP address. trail名称不合法，是ip格式。 400 InvalidTrailNameException Trail name must end with a letter or number. trail名称不合法，不是以数字或字母结尾。 400 InvalidTrailNameException Trail name must start with a letter or number. trail名称不合法，不是以数字或字母开头。 400 InvalidTrailNameException Trail name or ARN cannot have adjacent periods (.), hyphens (), or underscores ()." tail名称不合法，包含连续的“.”“”“”。 400 InvalidEventSelectorsException Value {ReadWriteType} for ReadWriteType is invalid. 创建筛选器时，ReadWriteType的值不正确。 400 InvalidTimeRangeException The start time precedes the end time. Lookup时，起始时间晚于结束时间。 500 InternalError We encountered an internal error. Please try again. 发生内部错误，请重试。 405 MethodNotAllowed Method is not allowed. 操作不能被识别。 400 InvalidTrailNameException Trail name or ARN can only contain uppercase letters, lowercase letters, numbers, periods (.), hyphens (), and underscores (). trail名称不合法，包含非法字符。 400 InvalidS3BucketNameException Bucket name cannot be blank! 创建trail时，Bucket名称不能为空。 400 InvalidLookupAttributesException Lookup attribute key can not be multiple. lookup属性key只能设置一个。