前提条件 对于Windows弹性云主机，需保证C盘可写入，且剩余空间大于300MB。 对于Linux弹性云主机，需保证根目录可写入，且剩余空间大于300MB。 对于Linux弹性云主机，若开启了selinux，请关闭selinux禁用selinux。 使用SUSE 11 SP4镜像创建的弹性云主机，内存需要大于等于4GiB时才能支持一键式重置密码功能。 弹性云主机使用的VPC网络DHCP不能禁用。 弹性云主机网络正常通行。 弹性云主机安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16 Linux弹性云主机插件安装方法 步骤 1 提供如下两种方法，供您检查弹性云主机是否已安装一键式重置密码插件。 方法一：登录控制台查询 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 选中待检查的弹性云主机，并选择“操作”列下的“更多 > 重置密码”。 如果界面弹窗出现输入新密码的提示，表示已安装一键式重置密码插件，结束。 已安装插件重置密码 如果界面弹窗提示下载重置密码脚本，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 未安装插件重置密码 方法二：登录弹性云主机查询 1. 以root用户登录弹性云主机。 2. 执行以下命令，查询是否已安装CloudResetPwdAgent和CloudResetPwdUpdateAgent。 ls lh /Cloud 查询是否已安装一键式重置密码插件 检查结果是否如图查询是否已安装一键式重置密码插件所示。 是，表示已安装一键式重置密码插件，结束。 否，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 步骤 2 请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 步骤 3 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip o d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip o d /home/linux/test CloudResetPwdAgent.zip 步骤 4 安装一键式重置密码插件。 1. 执行以下命令，进入文件CloudResetPwdAgent.Linux。 cd CloudResetPwdAgent/CloudResetPwdAgent.Linux 2. 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 3. 执行以下命令，安装插件。 sudo sh setup.sh 4. 执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status 如果服务CloudResetPwdAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 您也可以根据步骤1，检查密码重置插件是否安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 步骤 5 修改重置密码插件的文件权限。 chmod f 640 /CloudrResetPwdAgent/logs/.log chmod 700 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script chmod 700 /CloudrResetPwdAgent/bin/wrapper chmod 600 /CloudrResetPwdAgent/lib/

本节主要介绍产品咨询类问题 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 图阐明了区域和可用区之间的关系。 区域和可用区 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 什么是数据库复制 数据复制服务（Data Replication Service，简称DRS）是一种易用、稳定、高效、用于数据库实时迁移和数据库实时同步的云服务。 数据复制服务围绕云数据库，降低了数据库之间数据流通的复杂性，有效地帮助您减少数据传输的成本。 您可通过数据复制服务快速解决多场景下，数据库之间的数据流通问题，以满足数据传输业务需求。 实时迁移 实时迁移是指在数据复制服务器能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。 实时迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 特点：通过增量迁移技术，能够最大限度允许迁移过程中业务继续对外提供使用，有效的将业务系统中断时间和业务影响最小化，实现数据库平滑迁移上云，支持全部数据库对象的迁移。 备份迁移 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。 实时灾备 为了解决地区故障导致的业务不可用，数据复制服务推出灾备场景，为用户业务连续性提供数据库的同步保障。您可以轻松地实现云下数据库到云上的灾备、跨云平台的数据库灾备，无需预先投入巨额基础设施。 数据灾备支持两地三中心、两地四中心灾备架构。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

set java environment export JAVAHOME/opt/jdk17.0.x export PATH$PATH:$JAVAHOME/bin 说明 “jdk17.0.x”表示jdk安装包的具体版本，实际值需要从步骤3的返回值中获取。 例如：jdk17.0.8 f.按“Esc”退出编辑模式。 g.执行以下命令保存并退出。 :wq h.执行以下命令使/etc/profile里的配置生效。 source /etc/profile i.验证安装。 java version 回显信息如下表示jdk安装成功。 java version "17.0.8" 20230718 LTS Java(TM) SE Runtime Environment (build 17.0.8+9LTS211) Java HotSpot(TM) 64Bit Server VM (build 17.0.8+9LTS211, mixed mode, sharing) 2、安装Hadoop a.执行以下命令，下载Hadoop软件包。此处以2.10.1版本为例。 wget b.解压Hadoop安装包到opt目录下。 tar xvf hadoop2.10.1.tar.gz C /opt/ c.配置环境变量。 vim /etc/profile d.在底部添加以下内容。 set hadoop environment export HADOOPHOME/opt/hadoop2.10.1 export PATH$PATH:$HADOOPHOME/bin:$HADOOPHOME/sbin:$PATH export HDFSNAMENODEUSERroot export HDFSDATANODEUSERroot export HDFSSECONDARYNAMENODEUSERroot e,按“Esc”退出编辑模式。 f.执行以下命令保存并退出。 :wq g.执行以下命令使/etc/profile里的配置生效。 source /etc/profile h.执行以下命令，修改配置文件yarnenv.sh和hadoopenv.sh中JAVAHOME的路径。 echo "export JAVAHOME/opt/jdk17.0.8" >> /opt/hadoop2.10.1/etc/hadoop/yarnenv.sh echo "export JAVAHOME/opt/jdk17.0.8" >> /opt/hadoop2.10.1/etc/hadoop/hadoopenv.sh i.验证安装。 hadoop version 回显信息如下所示表示Hadoop安装成功。 Hadoop 2.10.1 Subversion r 1827467c9a56f133025f28557bfc2c562d78e816 Compiled by centos on 20200914T13:17Z Compiled with protoc 2.5.0 From source with checksum 3114edef868f1f3824e7d0f68be03650 This command was run using /opt/hadoop2.10.1/share/hadoop/common/hadoopcommon2.10.1.jar 3、配置Hadoop a.修改Hadoop配置文件coresite.xml。 1.执行以下命令，进入编辑页面。 vim /opt/hadoop2.10.1/etc/hadoop/coresite.xml 2.输入i，进入编辑模式。 3.在节点内，插入如下内容。 hadoop.tmp.dir file:/opt/hadoop2.10.1/tmp location to store temporary files fs.defaultFS hdfs://localhost:9000 4.按“Esc”退出编辑模式。 5.执行以下命令保存并退出。 :wq b.修改Hadoop配置文件hdfssite.xml。 1.执行以下命令，进入编辑页面。 vim /opt/hadoop2.10.1/etc/hadoop/hdfssite.xml 2.输入i，进入编辑模式。 3.在节点内，插入如下内容。 dfs.replication 1 dfs.namenode.name.dir file:/opt/hadoop2.10.1/tmp/dfs/name dfs.datanode.data.dir file:/opt/hadoop2.10.1/tmp/dfs/data 4.按“Esc”退出编辑模式。 5.执行以下命令保存并退出。 :wq 4、配置SSH免密登录 a.执行以下命令，创建公钥和私钥。 sshkeygen t rsa 按三次回车后回显信息如下图所示，表示创建公钥和私钥成功。 b.执行以下命令，将公钥添加到authorizedkeys文件中。 cat ~/.ssh/idrsa.pub >> ~/.ssh/authorizedkeys chmod 0600 ~/.ssh/authorizedkeys 5、启动Hadoop a.执行以下命令，初始化namenode。 hadoop namenode format b.依次执行以下命令，启动Hadoop。 1.startdfs.sh 在回显信息中，依次输入yes。 2.startyarn.sh 回显信息如下图所示。 c.执行以下命令，可查看成功启动的进程。 jps 成功启动的进程如下所示。 9138 NameNode 9876 Jps 9275 DataNode 9455 SecondaryNameNode d.打开浏览器访问 若显示如下界面，表示Hadoop环境搭建完成。

本章节主要介绍如何运行SparkSubmit作业。 用户可将自己开发的程序提交到MRS中，执行程序并获取结果。本章节教您在MRS集群页面如何提交一个新的Spark作业。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至OBS系统或HDFS中。 通过界面提交作业 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.若集群开启Kerberos认证时执行该步骤，若集群未开启Kerberos认证，请无需执行该步骤。 在“概览”页签的基本信息区域，单击“IAM用户同步”右侧的“同步”进行IAM用户同步。 说明 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时，由于集群节点的SSSD（System Security Services Daemon）缓存刷新需要时间，因此同步完成后，请等待5分钟，等待新修改策略生效之后，再进行提交作业。否则，会出现提交作业失败的情况。 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时，由于集群节点的SSSD缓存刷新需要时间，因此同步完成后，请等待5分钟，新修改策略才能生效。 4.单击“作业管理”，进入“作业管理”页签。 5.单击“添加”，进入“添加作业”页面。 6.配置作业信息。“作业类型”选择“SparkSubmit”并参考下表配置SparkSubmit作业其他参数信息。 作业配置信息 参数 参数说明 作业名称 作业名称，只能由字母、数字、中划线和下划线组成，并且长度为1～64个字符。 说明 建议不同的作业设置不同的名称。 执行程序路径 待执行程序包地址，需要满足如下要求： 最多为1023字符，不能包含 ;l&>, <'$特殊字符，可为空。 注意 若输入带有敏感信息（如登录密码）的参数可能在作业详情展示和日志打印中存在暴露的风险，请谨慎操作。 服务配置参数 可选参数，用于为本次执行的作业修改服务配置参数。该参数的修改仅适用于本次执行的作业，如需对集群永久生效，请参考配置服务参数页面进行修改。 如需添加多个参数，请单击右侧增加，如需删除参数，请单击右侧“删除”。 常用服务配置参数如下表“服务配置参数”。 说明 如需运行长时间作业如SparkStreaming等，且需要访问OBS,需要通过“服务配置参数”传入访问OBS的AK/SK。 命令参考 用于展示提交作业时提交到后台执行的命令。 运行程序参数 参数 参数说明 取值样例 conf 添加任务配置项。 spark.executor.memory2G drivermemory 设置driver的运行内存。 2G numexecutors 设置executor启动数量。 5 executorcores 设置executor核数。 2 class 设置任务的主类。 org.apache.spark.examples.SparkPi files 上传文件给任务，可以是自己定义的配置文件或者某些数据文件。来源可以是OBS或者HDFS。 jars 上传任务额外依赖包，用于给任务添加任务的外部依赖包。 executormemory 设置executor内存。 2G conf sparkyarn.maxAppAttempts 控制AM的重试次数。 设置为0时，不允许重试；设置为1时，允许重试一次。 服务配置参数 参数 参数说明 取值样例 fs.obs.access.key 访问OBS的密钥ID。 fs.obs.secret.key 访问OBS与密钥ID对应的密钥。 7.确认作业配置信息，单击“确定”，完成作业的新增。 作业新增完成后，可对作业进行管理。

数据库安全审计支持数据库部署在哪些操作系统上？ 您需要在数据库端、应用端或代理端安装Agent，将添加的数据库连接到数据库安全审计实例。 数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上，安装节点的操作系统说明如下所示。 数据库安全审计的Agent支持的Linux系统版本如表所示。 系统名称 系统版本 CentOS CentOS 6.3 (64bit) CentOS 6.5 (64bit) CentOS 6.8 (64bit) CentOS 6.9 (64bit) CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) Debian Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) Fedora Fedora 24 (64bit) Fedora 25 (64bit) OpenSUSE SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) SUSE SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) Ubuntu Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit) EuerOS Euer 2.2 (64bit) Euer 2.3 (64bit) Euer 2.5 (64bit) OpenEuer OpenEuer 20.03 (64bit) Orace inux Orace inux 6.9 (64bit) Orace inux 7.4 (64bit) RedHat Red Hat Enterprise inux 7.4 (64bit) Red Hat Enterprise inux 7.6 (64bit) NeoKyin NeoKyin 7.0 (64bit) Kyin Kyin inux Advanced Server reease V10 (64bit) Uniontech OS Uniontech OS Server 20 Enterprise (64bit) 数据库安全审计的Agent支持的Windows系统版本如下所示： Windows Server 2008 R2(64bit) Windows Server 2012 R2(64bit) Windows Server 2016(64bit) Windows 7(64bit) Windows 10(64bit) DBSS Agent的运行依赖Npcap，如果安装过程中提示"Npcap not found，please install Npcap first"，请安装Npcap后，再安装DBSS Agent。 Npcap下载链接：

介绍分布式消息服务RocketMQ与开源自建的对比情况。 分布式消息服务RocketMQ基于开源产品RocketMQ进行问题修复与优化，并自主研发，实现低成本、高可靠、高性能和具备监控运维能力的中间件产品。 使用开源RocketMQ遇到的问题 功能不完善：功能比较单一，针对不同应用场景无法有效支持，如消息查询，数据自动删除策略等。 可维护性差：缺乏配套监控运维能力，难以迅速发现解决如消息堆积、队列堵塞等问题。 可靠性较低：消息服务不提供主备切换能力，存在单点故障，无法保证服务高可用。 分布式消息服务RocketMQ改进点 高可用、高可靠改进： 实现自动主备切换、自动拉起功能，保证服务高可用。 实现消息删除策略，按不同的场景优先保证服务可用性或者数据安全性。 可维护性改进： 实现按生产者、消费者、数据节点、队列4种维度的运行状态监控，方便快速发现问题。 实现可视化的监控、配置、管理界面实现自动化测试，以快速迭代。 新增功能： 新增消息查询，做到可查可追踪。 重新封装SDK，简化应用使用，并提供按hash算法实现消息局部有序生产消费。 开源自建对比项 对比项 开源自建 分布式消息服务RocketMQ 自动化部署 不支持自动化部署，需要专业人员自行部署、运维 全托管PaaS，免机器资源一键自动化部署。开箱即用，按需使用，支持弹性扩容 运维监控 缺乏配套的监控运维能力 提供多维度的数据可视化监控，快速定位、处理问题 增强能力 功能单一，无法支持多种场景需求 功能丰富，支持消息重试、消息查询、消息轨迹查询、数据自动清理等定制化功能 延迟消息/定时消息 仅支持18个固定延迟时长，最长延迟2小时 支持秒级的任意延迟时长，最长延迟40天 ACL访问控制 访问控制配置复杂 灵活配置，一键生效

已经购买了资源包，为什么仍然扣费？ 可按照以下原因排查： 1. 未购买对应的资源包。 2. 资源包额度已用完。 3. 资源包和桶的属性不匹配。 4. 购买的资源包没有涵盖ZOS所有计费项。 排查完后，若仍未解决可咨询客服。 订购资源包时不同的资源包类型有什么作用？ 购买资源包时可选的资源包类型及其作用分别是： 1. 单AZ存储容量包：用于抵扣该地域数据冗余策略为单AZ（数据存储在一个可用区）的存储容量。 2. 多AZ存储容量包：该资源包用于抵扣该地域数据冗余策略为多AZ（数据存储在同一区域的多个可用区）的存储容量。 3. 公网流出流量包：用于抵扣在使用对象存储时产生的公网流出流量包。 4. 请求次数包：用于抵扣在使用对象存储时发出的请求指令次数即调用API的次数。 5. 数据取回流量包：用于抵扣访问低频对象或解冻归档对象时产生的数据取回流量费用。 订购资源包有什么注意事项吗？ 1. 只有开通了对象存储服务后才能购买资源包。 2. 对象存储资源包各资源池节点需要单独订购，不可通用，资源包订购完即生效。 3. 当月使用量超出已购资源包的额度，计费模式将自动转为按需付费。新购资源包不能抵扣已产生的资源用量。 4. 资源包支持叠加订购和退订，但不支持升级。 5. 当购买了多个相同属性的资源包，会按照资源包过期时间顺序进行抵扣，优先抵扣过期时间近的资源包。 6. 公网流出流量包和请求次数包两种资源包，不允许在订购当月执行退订操作。 7. 归档存储的存储容量资源包不支持包年优惠，其他规格资源包支持包年优惠。

本文帮助您了解开通对象存储服务的操作步骤。 操作场景 对象存储（简称ZOS）需开通服务后才可以使用，服务开通后将根据资源使用量按需计费或可购买资源包，不使用不计费。 使用说明 对象存储服务在服务开通时选择地域节点，为了简化开通步骤，现将部分地域的开通操作和控制台管理合并，已合并地域支持“公共资源池”方式统一管理。 对象存储服务，每个资源池需要单独开通（公共资源池只需开通一次），若已开通服务会直接跳转至对象存储控制台。 关于公共资源池说明，可查看地域说明。 操作步骤 公共资源池开通 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方单击，选择支持对象存储服务且未开通的地域。 3. 在控制台首页，选择“存储>对象存储”。 4. 在弹出的服务开通页面，地域选择“公共资源池”选项，并勾选“我已阅读并同意相关协议《天翼云对象存储系统服务协议》”。 5. 完成“公共资源池”的对象存储服务开通后，即视为对所有纳入“公共资源池”范围的对象存储ZOS资源池完成服务开通，进入ZOS控制台即可正常使用。 单个资源池开通 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方单击，选择地域，以下操作选择西安西安7。 3. 在控制台首页，选择“存储>对象存储”。 4. 在弹出的服务开通页面，勾选“我已阅读并同意相关协议《天翼云对象存储系统服务协议》”。 5. 开通完成之后，即可进入ZOS控制台正常使用。

!/bin/sh /sbin/modinfo F filename /root/toa/toa.ko > /dev/null 2>&1 if [ $? eq 0 ]; then /sbin/insmod /root/toa/toa.ko fi d. “/root/toa/toa.ko”为TOA内核模块文件的路径，您需要将其替换为自己编译的TOA内核模块路径。 e. 为toa.modules启动脚本添加可执行权限，执行以下命令： sudo chmod +x /etc/sysconfig/modules/toa.modules 5. 安装多节点 假如要在相同的操作系统中加载此内核模块，可以将toa.ko文件拷贝到您的虚拟机中，参照以上加载内核模块的步骤，内核模块加载成功以后，应用程序可以正常获取访问者的真实源IP地址。 6. 验证TOA内核模块 a. TOA内核模块安装成功后即可直接获取到源地址，在安装有python的后端服务器中启动一个HTTP服务，执行如下命令： python m SimpleHTTPServer port b. 其中，port需要与ELB添加该后端服务器时配置的端口一致，默认为80。启动之后，通过客户端访问ELB的IP时，服务端的访问日志如下： 192.168.1.10 [08/Sep/2022 15:21:21] "GET / HTTP/1.1" 200 – Proxy Protocol模式 1. 在TCP监听器对应的后端主机组上打开如下开关。（只可创建时打开，不可修改） 2. 在后端主机内开启Proxy Protocol。修改/etc/nginx/nginx.conf文件内容如下（以nginx为例演示，用户可按照后端主机真实应用情况决定如何获取客户端源IP）。 http { 确认已设置$proxyprotocoladdr logformat main '$proxyprotocoladdr $remoteaddr $remoteuser [$timelocal] "$request" ' '$status $bodybytessent "$httpreferer" ' '"$httpuseragent" "$httpxforwardedfor"'; 以888监听端口为例，增加proxyprotocol字段 server { listen 888 proxyprotocol; ... } } 3. 在后端主机的Nginx日志可以看到已获取到客户端源IP。

产品定义 智算一体机是天翼云推出的一款极具性价比、软硬一体的智算服务产品，可提供强大的AI算力和一站式智算服务，具备全国产化、快速交付、零管理节点、开箱即用等优势，能够为客户提供私有化全场景的智算解决方案。 智算一体机将硬件与面向大模型开发和部署的一站式智算服务平台做了深度融合，可以一站式解决数据处理、模型微调、模型部署、应用上线和系统运维等环节开发难题，预置丰富的基座大模型和数据集，支持国产化算力，提供算子加速与模型加速，极大提升大模型训练推理效率，为客户提供多元、简单易用、本地部署、安全可靠的大模型训推用平台。 智算一体机属于标准化交付产品，其服务器能够直接部署于客户现场，这种部署方式尤其契合本地业务处理的需求，能够实现本地安全数据的有效留存，并且在诸如本地低延迟交互这类对时效要求较高的场景中表现卓越，可充分保障数据交互的高效性与及时性。 其中，智算一体机（DeepSeek版）深度融合了DeepSeekR1/V3/蒸馏版系列大模型，以低廉的成本，优秀的训练推理性能等特性，在便捷性、安全性、性价比等方面凸显出极大的优势。 为什么选择一体机 对比项 一体机 公有云 自建IT设施/传统私有云 主要行业 教育、医疗、政府、金融、军工等 通用、互联网 政府、金融 主打场景 本地化、数据安全、企业边缘 弹性、稳定 本地化 核心价值 快速交付、安全可控、低时延 高弹性 安全可控 标准化交付 √ √ × 敏捷扩容 √ √ × 运维托管 √ √ × 低起建门槛 √ √ × 低时延 √ × √ 数据本地化 √ × √ 数据就近处理 √ × √ 物理强隔离 √ × √ 基于本地部署、免运维等优势，一体机适用于本地数据处理、低延时、数据安全等场景，更多信息请见应用场景。

本文带您熟悉如何查看自己已有的备份副本。 操作场景 创建云主机备份任务下发或完成后，您可以通过各种筛选条件在备份列表查看备份详情。创建云主机备份的具体操作可参考创建云主机备份。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份副本”页签，查看备份。 5. （可选）您可以通过“状态”列筛选备份副本。下表为各种状态的说明。 状态 状态属性 说明 全部 显示所有状态的备份。 可用 稳定状态 备份完成之后的稳定状态。该状态下可以执行各种操作。 创建中 中间状态 云主机备份的第一步，系统准备开始创建云主机备份。 准备创建快照 中间状态 云主机备份的第二步，准备创建一致性快照/非一致性快照。 非一致性创建快照中 中间状态 正在进行非一致性快照的备份。 一致性创建快照中 中间状态 正在进行一致性快照备份。 注：系统默认优先创建一致性快照备份，当一致性快照备份创建失败后，会尝试创建非一致性快照。 创建备份中 中间状态 将制作完成的云主机备份导出到备份存储池中。 恢复数据中 中间状态 将已经完成的备份恢复到源云主机上。 删除中 中间状态 正在删除已经完成的云主机备份。 错误 稳定状态 云主机备份发生了异常，请重新进行备份。 6. （可选）您可以通过“备份开始时间”列对备份进行排序和筛选。 7. 您也可以在备份列表右上角的搜索框中输入要查找的备份名称进行搜索，搜索到的备份会显示在备份列表中。

本章节介绍云容器集群Pod网络包重复故障演练。 背景介绍 在 CCE 集群中，网络异常可能导致数据包被重复发送，既消耗带宽和 CPU，也可能触发非幂等业务的重复执行。本演练用于模拟此场景并验证系统的处理能力与幂等性。 基本原理 通过增加TC和Netem规则模拟Pod内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择JAVA类方法调用延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：java进程的关键词。 类名：注入延迟的类名，带全包名。 方法名：注入延迟的方法名。 延迟时间：注入的延迟时间，单位是毫秒。 容器名称：Java进程所在容器名称。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到JAVA类方法调用延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计，HTT响应时间等指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod，确认业务请求是否受影响。 评估此重定向对业务功能造成的具体影响，例如页面无法访问、API调用失败或延迟响应。

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本文介绍关系数据库PostgreSQL版在天翼云云审计中支持的相关功能。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 创建实例、创建只读实例、恢复到新实例 重启实例 删除实例 节点扩容 磁盘扩容 规格变更 数据备份、删除备份 数据恢复 参数修改 主备切换 绑定公网IP 解绑公网IP 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“数据库”，资源类型选择“关系数据库PostgreSQL版”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本文主要介绍了DRDS全局序列管理页面相关内容，包括列表展示、新增序列等操作。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【schema管理】栏目，进入目标实例的schema管理页面。 5. 单击【schema管理】导航栏中的【全局序列管理】，可进入全局序列管理页面。可以查看全局序列列表，对全局序列进行查看DDL和删除操作，修改序列当前值，新增序列。 新增序列 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【schema管理】栏目，进入目标实例的schema管理页面。 5. 单击【schema管理】导航栏中的【全局序列管理】，可进入全局序列管理页面。 6. 单击【全局序列管理】页面左上角的【新增序列】，进入新增序列页面。 7. 在弹框中输入序列名称，名称以英文前缀开头，且必须输入非中文字符；输入起始值和最大值，单击确定，可以新增全局序列。 注意 此处的步长不是指的序列的间隔，而是DRDS节点缓存的序列值数量。 实际序列步长是1。 全局序列的步长固定为1000，最大值必须大于等于起始值+步长量。

本节介绍Kafka发送告警最佳实践 场景描述 如果您想要在消费组的消息堆积数超过阈值时，通过短信/邮件及时收到通知信息，可以参考本章节设置告警通知。 前提条件 已购买Kafka实例、创建Topic，并且已成功消费消息。 操作步骤 1. 登录Kafka实例控制台，单击待创建告警通知的实例名称，进入实例详情页。 2. 在左侧导航栏，选择“告警管理”，进入告警管理页面。 3. 点击“通知组”页签，创建联系人。 4. 点击“通知策略”页签，点击右上角“创建通知策略”按钮。 通知对象：选择前面流程中创建的联系人，在右侧选择联系方式邮件短信。 通知模板：可选择邮件、短信、翼连三种告警方式。 5. 点击“告警规则”页签，点击左上角“创建告警规则”按钮。 说明 告警名称：用于区别不同告警。 告警分组：可选择实例节点、主题和消费组，可根据具体需求选择，本文涉及情况应选择消费组。 告警指标：不同的告警分组包含不同的告警指标，本文涉及情况选择的是消费组中的堆积数告警。 告警条件：根据具体业务需求填写信息。 告警内容：不同的告警指标对应不同的告警内容，不建议改动。 持续时间：可选择马上告警，也可选择持续一段时间后才告警。 告警等级：可选择一般、次要、重要、紧急四个等级。 通知策略：选择前面流程中创建的通知策略。 通知频率：可选择隔多长时间告警一次。 6. 规则创建成功后可在告警规则页面查看其状态。

本文将为您介绍财务管理的功能发布与对应文档的动态。 2025年12月 时间节点 功能名称 功能描述 相关文档 2025/12/05 创建账号 通过企业组织的账号管理，企业主账号可通过创建天翼云账号成为企业下的子账号。 创建子账号 2025/12/05 邀请账号 通过企业组织的账号管理，企业主账号可通过邀请天翼云账号成为企业下的子账号。 邀请子账号 2025/12/05 消费汇总 通过财务管理，企业主账号可对关联子账号的账单统一管理。 消费汇总 2025/12/05 订单管理 通过财务管理，企业主账号可对关联子账号的订单统一管理。 订单管理 2025/12/05 发票管理 通过财务管理，企业主账号可对关联子账号的发票统一管理。 发票管理 2025/12/05 消费明细 通过财务管理，企业主账号可查看子账号的消费明细信息。 消费明细 2025/12/05 资金拨款 通过财务管理，企业主账号可将资金拨款给到财务独立子账号，或将已拨款的资金做回收（限制云公司/云省分线上客户） 资金拨款 2025/12/05 资金往来 通过财务管理，企业主账号可查看资金拨款/回收的操作记录（限制云公司/云省分线上客户） 资金往来 2025/12/05 限制订购 通过企业组织的账号管理，企业主账号可限制子账号及子账号下的iam用户做下单、续订等订购操作。 限制订购 2025/12/05 导出记录 通过财务管理，企业主账号可对消费汇总、资金往来等导出数据做下载。 导出记录

密码 prometheusHostSshPort22 ssh 端口 pushgatewayPort9234 端口 webHost"192.168.." ip nginxDir"/usr/local" 路径 rontHttpsPort9083 端口 prometheusVersion"prometheus2.31.1.linuxamd64" pushgatewayVersion"pushgateway1.4.2.linuxamd64" alertManagerVersion"alertmanager0.23.0.linuxamd64" opengateway openGatewayAdminPort9014 端口 openGatewayCorePort9013 端口 openApiHttpPort7084 端口 openGatewayCoreHost"" 部署 IP 地址 openapiTenantId11 openapiUserId11 openapiCloudTypeprivatecloud mysql init initMysqlUserroot 控制台公共库 root 用户 initMysqlBin"/teledb/teledb8801/bin/mysql" 控制台公共库路径 initMysqlUserPwd"" root 的密码 3. 执行deploy.sh脚本 执行如下命令 plaintext cd /app/teledbdcpdeploy/deploy/mysql vi inituser.sql 修改inituser.sql文件中创建数据库用户密码，使其与dcp密码一致。 输入:wq!保存退出。 plaintext vi deploy.sh 单节点公共库填写ps efgrep mysql查询sock路径，高可用公共库需要填写VIPIP和端口，通过该命令查询：h VIPIP p端口 执行如下命令，执行deploy.sh脚本 plaintext sh deploy.sh 4. 执行控制台服务脚本deploydcp.sh 执行如下命令 plaintext sudo sh deploydcp.sh 启动web和gateway服务 plaintext sudo systemctl start teledbdcpweb sudo systemctl start teledbdcpapigateway 执行如下命令，检查是否启动。 plaintext sudo systemctl status teledbdcpweb sudo systemctl status teledbdcpapigateway 5. 验证前端是否部署完成 plaintext curl k 如果是服务器重启，nginx 需要手动启动： plaintext /usr/local/nginx/sbin/nginx c /usr/local/nginx/conf/nginx.conf 6. 启动相关服务 执行如下命令，运行prometheus 的脚本 deploypromethues.sh plaintext sudo sh deploypromethues.sh 执行如下命令，启动prometheus 相关服务 plaintext sudo systemctl start prometheus sudo systemctl start alertmanager sudo systemctl start pushgateway 执行如下命令查看服务情况 plaintext sudo systemctl status prometheus sudo systemctl status alertmanager sudo systemctl status pushgateway

本文介绍如何通过Serverless集群快速部署Nginx应用。 Serverless集群不需要用户管理维护节点，让您将精力放在具体应用的开发和维护上，而不是底层基础设施的管理。本文将介绍如何在Serverless集群上实现在线Web应用的免运维托管。 前提条件 确保您已经成功创建了Serverless集群。 背景信息 Serverless集群兼容原生Kubernetes语义和API，您可以在Serverless集群中轻松创建Deployment、StatefulSet、Service、Ingress、ConfigMap或Secret等资源。此外，您也可以使用Helm部部署和管理复杂的Kubernetes应用程序的生命周期。 操作步骤 1.通过kubectl工具连接Serverless集群。 2.创建Nginx应用的YAML配置文件nginx.yaml，内容示例如下： apiVersion: v1 kind: Service metadata: name: nginxservice namespace: default spec: selector: app: nginx ports: protocol: TCP port: 30003 targetPort: 80 type: ClusterIP apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment namespace: default labels: app: nginx spec: selector: matchLabels: app: nginx replicas: 2 template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "0.5" memory: "500Mi" ports: containerPort: 80 3.通过该配置文件部署Nginx应用。 kubectl apply f nginx.yaml 预期返回为： service/nginxservice created deployment.apps/nginxdeployment created 4.查看创建Pod和Serivce的状态，查看Pod的状态信息： kubectl get pod 预期输出结果为： NAME READY STATUS RESTARTS AGE nginxdeployment7d4df6ffc852dr8 1/1 Running 0 12m nginxdeployment7d4df6ffc8gshq4 1/1 Running 0 12m 查看Service的状态信息： kubectl get svc 预期输出结果为： NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE nginxservice ClusterIP 10.96.75.52 30003/TCP 28m 5.进入容器内部，访问Nginx应用： curl 10.96.75.52:30003 预期输出结果为： Welcome to nginx! ...

介绍新建子用户的具体步骤。 适用场景 媒体存储自2024年11月13日起与天翼云统一身份认证IAM（简称CTIAM）主子用户体系互通，用户可通过天翼云统一身份认证控制台创建相应的子账号。 说明 媒体存储已于2024年11月13日对主子账号权限体系成功进行割接，您原先在CDN+IAM创建的子用户将被全量迁移至天翼云统一身份认证IAM（简称CTIAM）。原通过 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 操作步骤 1. 主账号使用天翼云账号登录天翼云统一身份认证控制台。 2. 进入CTIAM控制台后，先选择左侧导航页选择【用户】页签，在用户页的右上角点击【创建用户】。 3. 根据页面表单信息填写，填写用户基本信息，包括用户名称、手机号、邮箱等信息。 说明 子用户可使用手机号码、邮箱（如有）作为登陆凭证，请确保这两项凭证在当前天翼云租户下的唯一性。 如您需要后续授权该子用户使用媒体存储控制台或OpenAPI使用，访问方式则应默认将【控制台访问】和【OpenAPI访问】的选项选中。 4. 点击【下一步】进入【加入用户组(可选)】环节，媒体存储暂未对接CTIAM的用户组能力，建议在创建新的子用户时，暂不要将该子用户纳入用户组，以免造成后续不可预知的问题。 5. 继续点击【下一步】，即可完成子用户创建操作。

为了更好的采集体验，LTS会不断更新ICAgent版本。当系统提示您有新的ICAgent版本时，您可以按照如下操作步骤进行升级。 云日志服务主机管理界面仅支持升级安装在Linux环境中ICAgent，不支持升级Windows环境中的ICAgent。 操作步骤 1. 在云日志服务管理控制台，单击“主机管理”。 2. 单击“主机”切换至主机页签。 3. 选择“普通主机”，在主机列表中选中一个或多个待升级ICAgent前的复选框，单击“升级ICAgent”。 选择“CCE集群”，在右侧下拉框中，选择待升级ICAgent的集群，单击“升级ICAgent”。 说明 首次创建的CCE集群，默认集群下的主机已安装了ICAgent 且上报日志到AOM，采集容器标准输出到AOM的开关处于开启状态；如需将日志上报至LTS则执行升级ICAgent操作时，关闭采集容器标准输出到AOM的开关。建议使用“接入日志 > 云服务接入 > 云容器引擎CCE”直接采集容器标准输出到LTS，不推荐采集到AOM。 CCE集群ID（ClusterID）： 每个集群为固定的ID。 升级ICAgent时，LTS将为您的CCE集群创建对应的日志组和主机组。且该日志组和主机组的名称为k8slog{ClusterID}。您可以创建接入配置（云服务接入>云容器引擎CCE）将当前CCE集群的日志接入到该日志组。 当集群里的主机未安装ICAgent或ICAgent版本过低时，单击“升级ICAgent”操作，可对该集群里的所有主机安装ICAgent。 4. 在“升级ICAgent”对话框中单击“确定”。 ICAgent开始升级，升级ICAgent预计需要1分钟左右，请耐心等待。待ICAgent的状态由“升级中”变为“运行”时，表示升级成功。 说明 如果升级后，界面显示ICAgent状态异常或者其它升级失败场景，请直接登录节点使用安装命令重新安装ICAgent即可（覆盖式安装，无需卸载操作）。

安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。本节介绍如何在Windows操作系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Windows操作系统Agent安装包。 安装Agent节点的运行系统满足Windows系统版本要求。 安装Agent 1. 在Windows主机安装“Npcap”软件。如果该Windows主机已安装“Npcap”，请执行步骤2。如果该Windows主机未安装“Npcap”，请执行以下步骤： 请前往 将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图所示。同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图417所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

本章节主要介绍ALM18013 ResourceManager直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测ResourceManager服务直接内存使用状态，当检测到ResourceManager实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18013 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 ResourceManager可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点ResourceManager实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18013 ResourceManager直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > ResourceManager（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“ResourceManager内存使用详情”。查看直接内存使用情况。 3.查看ResourceManager使用的直接内存是否已达到ResourceManager设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > ResourceManager > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启ResourceManager实例。 7.查看告警信息，是否存在告警“ALM18008 ResourceManager堆内存使用率超过阈值”。 是，查看“ALM18008 ResourceManager堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

本章节主要介绍ALM17007 Oozie进程垃圾回收（GC）时间超过阈值的告警。 告警解释 系统每60秒周期性检测Oozie进程的垃圾回收（GC）占用时间，当检测到Oozie进程的垃圾回收（GC）时间超出阈值（默认12秒）时，产生该告警。垃圾回收（GC）时间小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 17007 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 导致Oozie提交任务响应变慢。 可能原因 该节点Oozie实例堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > Oozie进程垃圾回收（GC）时间超过阈值”，检查该告警的“定位信息”。查看告警上报的实例主机名。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Oozie > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > GC”中的“Oozie垃圾回收（GC）总时间”，单击“确定”。 3.查看Oozie每分钟的垃圾回收时间统计值是否大于告警阈值（默认12秒）。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务> Oozie > 配置”，选择“全部配置”，在搜索栏里搜索“GCOPTS”参数。将“Xmx”的值根据实际情况调大，并单击“保存”，单击“确定”进行保存。 说明 Oozie的GC参数配置建议： 建议“Xms”和“Xmx”设置成相同的值，这样可以避免JVM动态调整堆内存大小时影响性能。 5.重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍ALM18015 JobHistoryServer直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测MapReduce服务直接内存使用状态，当检测到JobHistoryServer实例直接内存使用率超出阈值（最大内存的90%，默认阈值）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 MapReduce可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点JobHistoryServer实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18015 JobHistory直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 实例 > JobHistoryServer（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“JobHistoryServer内存使用详情”。查看直接内存使用情况。 3.查看MapReduce使用的直接内存是否已达到MapReduce设定的最大直接内存的90%。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 配置 > 全部配置 > JobHistoryServer > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启JobHistoryServer实例。 7.查看告警信息，是否存在告警“ALM18009 JobHistoryServer堆内存使用率超过阈值”。 是，查看“ALM18009 JobHistoryServer堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

查看DataNode JVM内存使用情况和当前配置 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”。 5.“基本信息”区域，单击“NameNode(主)”，显示HDFS WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 6.在HDFS WebUI，单击“DataNodes”页签，查看所有告警DataNode节点的Block数量。 7.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > 全部配置”。在“搜索”中，输入“GCOPTS”，确定当前“HDFS>DataNode”的“GCOPTS”内存参数。 对系统进行调整 8.根据步骤6中的Block数量和步骤7中DataNode配置的堆内存参数，检查当前配置的内存是否不合理。 是，执行步骤9。 否，执行步骤11。 说明 单个DataNode实例平均Block数量和DataNode内存的对应关系参考值如下： 单个DataNode实例平均Block数量达到2,000,000，DataNode的JVM参数参考值为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M。 单个DataNode实例平均Block数量达到5,000,000，DataNode的JVM参数参考值为：Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G。 单个DataNode实例平均Block数量和DataNode内存的对应关系参考值如下： 单个DataNode实例平均Block数量达到2,000,000，DataNode的JVM参数参考值为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M。 单个DataNode实例平均Block数量达到5,000,000，DataNode的JVM参数参考值为：Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G。 9.按照Block数量和内存对应关系，对DataNode的堆内存参数进行修改，并单击“保存”，选择“概览 > 更多 > 重启服务”进行重启。 10.检查本告警是否恢复。 是，处理完毕。 否，执行步骤11。

本章节主要介绍使用Oozie客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Oozie客户端。 前提条件 已安装客户端。例如安装目录为“/opt/client”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。 使用Oozie客户端 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录，该操作的客户端目录只是举例，请根据实际安装目录修改。 cd /opt/client 3.执行以下命令配置环境变量。 source bigdataenv 4.判断集群认证模式。 安全模式，执行以下命令进行用户认证。exampleUser为提交任务的用户名。 kinit exampleUser 普通模式，执行步骤5。 5.配置Hue。 a.spark2x环境配置（如果不涉及spark2x任务，可以跳过此步骤）： hdfs dfs put /opt/client/Spark2x/spark/jars/.jar /user/oozie/share/lib/spark2x/ 当HDFS目录“/user/oozie/share”中的Jar包发生变化时，需要重启Oozie服务。 b.上传Oozie配置文件以及Jar包至HDFS： hdfs dfs mkdir /user/ exampleUser hdfs dfs put f /opt/client/Oozie/oozieclient/examples /user/ exampleUser / 说明 exampleUser为提交任务的用户名。 在提交任务的用户和非job.properties文件均无变更的前提下，客户端安装目录/Oozie/oozieclient/examples目录一经上传HDFS，后续可重复使用，无需多次提交。 解决Spark和Yarn关于jetty的jar冲突。 hdfs dfs rm f /user/oozie/share/lib/spark/jettyall9.2.22.v20170606.jar 普通模式下，上传过程如果遇到“Permission denied”的问题，可执行以下命令进行处理。 su omm source /opt/client/bigdataenv hdfs dfs chmod R 777 /user/oozie exit

参数名 描述 AM最多占有资源（%） 表示当前队列内所有Application Master所占的最大资源百分比。 每个YARN容器最多分配核数 表示当前队列内单个YARN容器可分配的最多核数，默认为1，表示取值范围内不限制。 每个YARN容器最大分配内存（MB） 表示当前队列内单个YARN容器可分配的最大内存，默认为1，表示取值范围内不限制。 最多运行任务数 表示当前队列最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 每个用户最多运行任务数 表示每个用户在当前队列中最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 最多挂起任务数 表示当前队列最多同时可挂起任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可挂起任务。取值范围为1～2147483647。 资源分配规则 表示单个用户任务间的资源分配规则，包括FIFO和FAIR。 一个用户若在当前队列上提交了多个任务，FIFO规则代表一个任务完成后再执行其他任务，按顺序执行。FAIR规则代表各个任务同时获取到资源并平均分配资源。 默认资源标签 表示在指定资源标签（Label）的节点上执行任务。 说明 如果需要使用新的资源池，需要修改默认标签为新的资源池标签。 Active状态 ACTIVE表示当前队列可接受并执行任务。 INACTIVE表示当前队列可接受但不执行任务，若提交任务，任务将处于挂起状态。 Open状态 OPEN表示当前队列处于打开状态。 CLOSED表示当前队列处于关闭状态，若提交任务，任务直接会被拒绝。

通过界面下载慢日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下，对状态为“准备完成”的日志文件，单击操作列中的“下载”，下载慢日志。 系统会自动加载下载准备任务，加载时长受日志文件大小及网络环境影响。 − 下载准备过程中，日志文件状态显示为“准备中...”。 − 下载准备完成，日志文件状态显示为“准备完成”。 − 下载准备工作失败，日志文件状态显示为“异常”。 “准备中...”和“异常”状态的日志文件不支持下载。 当前页面支持下载的文件最大不超过40MB，时间范围是从当前时间往前计算，直至文件大小累计为40MB。 当需要下载的文件大于40MB时，需要通过客户端工具OBS Browser+进行下载。 下载链接有效期为5分钟。如果超时，提示用户下载链接已失效，是否重新下载。若需重新下载，单击“确定”，否则单击“取消”。 下载的日志文件仅包含主节点的日志。 结束 LTS慢日志配置 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下，选择“日志明细”。 步骤 6 单击 ，配置日志记录上传LTS。 步骤 7 在下拉框分别选择LTS日志组和日志流，单击“确定”。 结束

本节描述了搭建容灾的操作场景、实现原理、注意事项、操作步骤等内容。 操作场景 建立跨Region容灾关系，当主实例所在区域发生突发性自然灾害等状况，主节点无法连接，可将异地灾备实例升为主实例，在应用端修改数据库连接地址后，即可快速恢复应用的业务访问。 实现原理 在两个数据中心独立部署RDS for PostgreSQL实例，通过RDS的容灾功能将生产中心主实例中的数据同步到灾备中心灾备实例中，实现主实例和跨Region灾备实例数据之间的实时同步。 拓扑图 注意事项 使用该功能前，必须要确保跨Region数据库实例之间的网络打通（可考虑VPN连接产品）。 使用该功能前，确保主实例和灾备实例状态正常，主实例和灾备实例在不同Region上，且主实例为主备实例，灾备实例为单机实例。 灾备实例的CPU和内存规格以及磁盘容量要大于或等于主实例的规格以及磁盘容量。 灾备实例的底层架构和数据库大版本要与主实例一致。 不支持跨大版本建立跨云或跨Region容灾关系。 调用配置主实例容灾接口后直至成功搭建容灾关系，不能进行规格变更、主备倒换操作。 搭建容灾后，灾备实例支持变更CPU和内存规格。 修改主实例的端口或内网地址后需要重新搭建灾备关系。 灾备实例搭建成功后，不能进行小版本升级。 RDS for PostgreSQL 12及以上支持建立跨Region容灾关系。 主实例参数被修改后，灾备实例无法同步修改该参数，需结合业务自行修改灾备实例参数。 RDS for PostgreSQL灾备实例不支持PITR恢复，如需使用此功能，请在主实例上完成。