本章节主要介绍ALM16008 Hive服务进程非堆内存使用超出阈值的告警。 告警解释 系统每30秒周期性检测Hive非堆内存使用率，并把实际的Hive非堆内存使用率和阈值相比较。当Hive非堆内存使用率超出阈值（默认为最大非堆内存的95%）时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Hive”修改阈值。 当Hive非堆内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 16008 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Hive非堆内存使用率过高，会影响Hive任务运行的性能，甚至造成内存溢出导致Hive服务不可用。 可能原因 该节点Hive实例非堆内存使用量过大，或分配的非堆内存不合理，导致使用率超过阈值。 处理步骤 检查非堆内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“告警ID”为“16008”的告警，查看“定位信息”中的角色名并确定实例的IP地址。 告警上报的角色是HiveServer，执行步骤2。 告警上报的角色是MetaStore，执行步骤3。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，单击告警上报的HiveServer，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存”，勾选“HiveServer内存使用率统计” ，单击“确定”，查看HiveServer进程使用的非堆内存是否已达到HiveServer进程设定的最大非堆内存的阈值（默认95%）。 是，执行步骤4。 否，执行步骤7。 3.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，单击告警上报的MetaStore，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存”，勾选“MetaStore内存使用率统计” ，单击“确定”，查看MetaStore进程使用的非堆内存是否已达到MetaStore进程设定的最大非堆内存的阈值（默认95%）。 是，执行步骤4。 否，执行步骤7。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 配置”，选择“全部配置”， 选择“HiveServer/MetaStore > JVM”，将“HIVEGCOPTS/METASTOREGCOPTS”参数中“XX:MaxMetaspaceSize”的值根据如下建议进行调整，并单击“保存”。 说明 HiveServer的GC参数配置建议 建议将“XX:MaxMetaspaceSize”值设置成为“Xmx”大小的1/8，比如：“Xmx”设置为2G时，“XX:MaxMetaspaceSize”设置为256M；“Xmx”设置为4G时，“XX:MaxMetaspaceSize”设置为512M。 MetaServer的GC参数配置建议 建议将“XX:MaxMetaspaceSize”值设置成为“Xmx”大小的1/8，比如：“Xmx”设置为2G时，“XX:MaxMetaspaceSize”设置为256M；“Xmx”设置为4G时，“XX:MaxMetaspaceSize”设置为512M。 5.选择“更多 > 重启服务”重启服务。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。

对象存储挂载参数 CCE的存储插件Everest在挂载文件存储时默认设置了下表参数。除了这些参数外，您还可以设置其他的对象存储挂载参数。 默认使用且不可取消的挂载参数 参数 描述 keeporiginalownership 表示是否保留文件挂载点的ownership，使用该参数时，要求Everest插件版本为1.2.63或2.1.2以上。 默认为不添加该参数，此时挂载文件存储时将会默认把挂载点的ownership修改为root:root。 如添加该参数，挂载文件存储时将保持文件系统原有的ownership。 vers3 文件系统版本，目前只支持NFSv3。取值：3 nolock 选择是否使用NLM协议在服务器上锁文件。当选择nolock选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。 timeo600 NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值：600。 hard/soft 挂载方式类型。 取值为hard，即使用硬连接方式，若NFS请求超时，则客户端一直重新请求直至成功。 取值为soft，即软挂载方式挂载系统，若NFS请求超时，则客户端向调用程序返回错误。默认为hard。 默认使用且可取消的挂载参数 参数 描述 maxwrite131072 使用该选项，由obsfs分配inode编号。读写模式下自动开启。 sslverifyhostname0 不根据主机名验证SSL证书。 maxbackground100 可配置后台最大等待请求数。并行文件系统自动使用。 publicbucket1 设置为1时匿名挂载公共桶。对象桶读写模式下自动使用。 对象存储卷挂载时使用的所有参数，可以登录到运行挂载对象存储卷的Pod所在节点上通过进程详情观察： 对象桶：ps ef grep s3fs root 22142 1 0 Jun03 ? 00:00:00 /usr/bin/s3fs pvc82fe2cbe383843a28afbf994e402fb9d /mnt/paas/kubernetes/kubelet/pods/0b13ff684c8e4a1cb15c724fd4d64389/volumes/kubernetes.io~csi/pvc82fe2cbe383843a28afbf994e402fb9d/mount o url o endpointxxxxxx o passwdfile/opt/everesthostconnector/1622707954357702943obstmpcred/pvc82fe2cbe383843a28afbf994e402fb9d o nonempty o bigwrites o enablenoobjcache o sigv2 o allowother o nocheckcertificate o sslverifyhostname0 o maxwrite131072 o multipartsize20 o umask0 并行文件系统：ps ef grep obsfs root 1355 1 0 Jun03 ? 00:03:16 /usr/bin/obsfs pvc86720bb95aa84cde92315253994f8468 /mnt/paas/kubernetes/kubelet/pods/c959a91deced4b4191c696cbd65324f9/volumes/kubernetes.io~csi/pvc86720bb95aa84cde92315253994f8468/mount o url o endpointxxxxxx o passwdfile/opt/everesthostconnector/1622714415305160399obstmpcred/pvc86720bb95aa84cde92315253994f8468 o allowother o nonempty o bigwrites o useino o nocheckcertificate o sslverifyhostname0 o umask0027 o maxwrite131072 o maxbackground100 o uid10000 o gid10000

本文介绍接入CDN后域名无法访问的问题现象及问题原因。 问题现象 1. 使用CDN加速后网站访问出现异常状态码，例如，403，404，5XX。 2. 使用CDN加速后网站访问URL时出现空白页面。 3. 使用CDN加速后网站出现其他异常错误。 问题原因 使用CDN加速后网站无法访问可能有多种原因。以下是一些常见的原因： 1. DNS解析问题：将域名解析到CDN时出现CNAME错误。 2. CDN配置问题：域名的配置可能存在问题，导致无法正常访问网站。 3. SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在CDN控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4. 防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰CDN服务的正常运行。 5. 缓存问题：如果您在更新网站内容后发现无法访问，请尝试刷新CDN缓存，以便CDN能够获取最新的内容。 解决方案 1. DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和CDN控制台上该加速域名的CNAME值一致。 2. CDN配置问题：您可以登录控制台检查您的域名配置是否正确。 3. SSL证书问题：您可以登录控制台更新您的证书。 4. 防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止CDN访问的规则或策略。 如果您不确定是CDN还是源站的问题，可参考文档：如何确认访问异常是CDN节点问题还是源站问题 进行排查。 5. 缓存问题：您可以登录控制台创建刷新任务，刷新缓存，并在【域名管理】中检查文件的缓存配置是否正确。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问CDN加速资源返回403状态码，详情请见：访问CDN加速内容响应403状态码。 如果访问CDN加速资源返回404状态码，详情请见：访问CDN加速时出现404状态码。 如果访问CDN加速资源返回5XX状态码，详情请见：访问CDN加速内容返回5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

本章节主要介绍翼MapReduce的配置SNMP北向参数操作。 操作场景 如果用户需要在统一的运维网管平台查看集群的告警、监控数据，管理员可以在FusionInsight Manager使用SNMP服务将相关数据上报到网管平台。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > SNMP”。 3. 单击“SNMP服务”右侧的开关。 “SNMP服务”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写对接参数。 对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： V2C：低版本，安全性较低。 V3：高版本，安全性更高。推荐使用V3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时可用，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时可用，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时可用，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时可用，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时可用，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时可用，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时可用，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时可用，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时可用，用于确认加密密钥。 说明 “安全用户名”中禁止出现以64的公因子（1、2、4、8等）为单位长度的重复字符串，例如abab，abcdabcd。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名相同或安全用户名的倒序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 5. 单击“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP模式：目标IP的IP地址模式，可选择“IPV4”或者“IPV6”。 目标IP：目标IP，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0～65535”。 Trap团体名：该参数仅在设置版本为V2C时可用，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 6. 单击“确定”，设置完成。

操作步骤 1. 以客户端安装用户，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 运行Impala客户端命令，实现A业务。 直接执行Impala组件的客户端命令： impalashell 说明 默认情况下，impalashell尝试连接到localhost的21000端口上的Impala守护程序。如需连接到其他主机，请使用 i host:port 选项，例如：impalashell i xxx.xxx.xxx.xxx:21000。要自动连接到特定的Impala数据库，请使用 d 选项。例如，如果您的所有Kudu表都位于数据库“impalakudu”中，则d impalakudu可以使用此数据库。要退出ImpalaShell，请使用quit命令。 内部表的操作： 1. 根据表创建用户信息表userinfo并添加相关数据。 createtable userinfo(id string,name string,gender string,age int,addr string); insert into table userinfo(id,name,gender,age,addr)values("12005000201","A","男",19,"A城市"); ......（其他语句相同） 2. 在用户信息表userinfo中新增用户的学历、职称信息。 以增加编号为12005000201的用户的学历、职称信息为例，其他用户类似。 alter table userinfo add columns(education string,technical string); 3. 根据用户编号查询用户姓名和地址。 以查询编号为12005000201的用户姓名和地址为例，其他用户类似。 select name,addr from userinfo where id'12005000201'; 4. 删除用户信息表。 drop table userinfo; 外部分区表的操作： 创建外部分区表并导入数据 1. 创建外部表数据存储路径。 安全模式（集群开启了Kerberos认证）： cd /opt/hadoopclient source bigdataenv kinit hive 说明 用户hive需要具有Hive管理员权限。 impalashell hdfs dfs mkdir /hive hdfs dfs mkdir /hive/userinfo 普通模式（集群关闭了Kerberos认证）： su omm cd /opt/hadoopclient source bigdataenv impalashell hdfs dfs mkdir /hive hdfs dfs mkdir /hive/userinfo 2. 建表。 create external table userinfo(id string,name string,gender string,age int,addr string) partitioned by(year string) row format delimited fields terminated by ' ' lines terminated by 'n' stored as textfile location '/hive/userinfo'; 说明 fields terminated指明分隔的字符,如按空格分隔，' '。 lines terminated 指明分行的字符，如按换行分隔，'n'。 /hive/userinfo为数据文件的路径。 3. 导入数据。 a. 使用insert语句插入数据。 insert into userinfo partition(year"2018") values ("12005000201","A","男",19,"A城市"); b. 使用load data命令导入文件数据。 i.根据下表数据创建文件。如，文件名为txt.log，以空格拆分字段，以换行符作为行分隔符。 ii. 上传文件至hdfs。 hdfs dfs put txt.log /tmp iii. 加载数据到表中。 load data inpath '/tmp/txt.log' into table userinfo partition (year'2018'); 4. 查询导入数据。 select from userinfo; 5. 删除用户信息表。 drop table userinfo;

购买Web应用防火墙实例成功后，需要进行实例配置，添加防护域名实例，本小节介绍域名实例管理。 防护配置管理为用户提供域名防护的配置操作功能，包括添加防护域名实例，以及防护配置管理等操作。 添加防护域名实例 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入防护配置页面。 3. 在Web应用防火墙配置菜单下，点击“新增”，弹出新增WAF防护配置对话框。 4. 配置防护参数。 参数名称 参数说明 实例ID 选择实例 ID；实例即为默认开通资源，直接进行勾选即可。 数据中心 选择数据中心；目前默认数据中心为内蒙，上海，广州，其中主选一个，备选一个，建议用户选择靠近自身资源部署地区的节点。 防护域名 输入防护域名。 输入格式示例： 防护网站域名：如ctyun.cn。 防护网站域名：如www.ctyun.cn。 IP代理 选择IP代理。 IP代理分为NAT44，NAT66，NAT64。 如果网站仅支持IPv4访问：则单选NAT44，并且填写域名对应的公网IPv4地址至源站IP一栏。 如果网站同时支持IPv4以及IPv6访问：则需要同时勾选NAT44与NAT66。 在网站不支持IPv6的场景下，WAF可以协助网站支持IPv6访问，WAF接收到IPv6请求后将流量转换成IPv4的形式发送给客户源站，需要同时勾选NAT44与NAT64，源站IP侧应填写IPv4地址。 源站IP 填写网站的公网IP地址。 协议类型 支持HTTP和HTTPS协议。选择HTTPS协议，还需要上传证书。 协议端口 根据选择的协议，添加对应的端口。 HTTP和HTTPS合在一起最多填入10个端口，多个端口之间用英文逗号（;）分隔。 防护等级 支持高、中、低级别。 Https证书 协议类型选择“https”时，需要上传证书。 上传证书步骤如下： 点击“Https证书”右侧的“新增证书”，在弹出的“新增证书”对话框中配置如下参数，然后点击“确定”，完成证书上传。 证书名称：证书名称可自定义添加。 证书公钥：一般情况下HTTPS证书需要从网站本身服务器上进行导出或联系域名服务商获取，公钥一般以pem或crt结尾，用文本形式打开后全量粘贴即可。 证书私钥：私钥一般以key结尾，用文本形式打开后粘贴即可。 开启防护 默认开启防护，如果开启防护按钮为“关闭”，该防护配置不会生效，业务不会下发至Web应用防火墙设备进行防护。 5. 点击“确定”，正式下发防护配置。 6. 添加完成后，显示应为下图。

本文介绍访问CDN加速资源出现404状态码的排查过程。 问题现象 在使用天翼云CDN加速时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：CDN未正确配置：如果CDN未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么CDN将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到CDN出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查CDN配置是否正确：CDN配置的回源域名/回源IP、回源HOST、源站端口、回源协议等配置是否正确。 1. 回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2. 回源HOST配置错误：回源HOST用于指定CDN节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了CDN回源时建联的具体IP地址。 回源HOST：指CDN回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3. 源站端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站http服务端口为81，则需要修改回源配置，配置【回源端口】为http 81。 源站https服务端口为82，则需要修改回源配置，配置【回源端口】为https 82。 源站仅单一协议存在资源（http默认80端口，https默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是磁盘个数，配额大小不足，底层资源耗尽导致。 检查磁盘个数、配额大小，释放资源后重新创建。 无法创建数据库实例。 实例全量备份失败 fullBackupFailed 重要 单次全量备份失败产生的事件，不影响以前成功备份的文件，但会对“恢复到指定时间点”的功能有一些影响，导致“恢复到指定时间点”时增量备份的恢复时间延长。 重新执行一次手工备份。 备份失败。 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常是由于网络、物理机有某种故障导致备机没有接管主机的业务，短时间内会恢复到原主机继续提供服务。 检查应用和数据库之间的连接是否重新建立了连接。 无 复制状态异常 abnormalReplicationStatus 重要 出现”复制状态异常“事件通常有两种情况：1、主机与备机或只读实例之间复制时延太大（一般在写入大量数据或执行大事务的时候出现），在业务高峰期容易出现阻塞。2、主机与备机或只读实例之间的网络中断，导致主机与备机或只读实例复制异常。 提交工单。 但不会导致原来单实例的读写中断，客户的应用是无感知的。 复制状态异常已恢复 replicationStatusRecovered 重要 即复制时延已回到正常范围内，或者主备之间的网络通信恢复。 不需要处理。 无 实例运行状态异常 faultyDBInstance 重要 由于灾难或者物理机故障导致单机或者主实例故障时会上报本事件，属于关键告警事件。 检查是否有设置自动备份策略，并且提交工单。 可能导致数据库服务不可用。 实例运行状态异常已恢复 DBInstanceRecovered 重要 针对灾难性的故障，RDS有高可用工具会自动进行备机重建，重建完成之后即会上报本事件。 不需要处理。 无 单实例转主备实例失败 singleToHaFailed 重要 创建备机时或备机创建完成后主备机之间配置同步发生故障时会产生此事件，一般是由于备节点所在数据中心资源不足导致。 提交工单。 “单实例转主备实例失败”不会导致原来单实例的读写中断，客户的应用是无感知的。 数据库进程重新启动 DatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止 通过云监控的数据，查看是否有内存飙升、cpu长期过高、磁盘满使用率不足等的情况，可以选择提升CPU内存规格或者优化业务逻辑 进程异常退出的时候，业务中断。RDS服务会自动拉起进程，尝试恢复业务。 实例磁盘满 instanceDiskFull 重要 一般是由于数据空间占用过大导致。 对实例进行扩容操作。 实例由于磁盘空间满将会变成只读实例，数据库不可进行写入操作。 实例磁盘满已恢复 instanceDiskFullRecovered 重要 实例磁盘状态恢复正常。 不需要处理。 实例解除只读状态，恢复写操作。 kafka连接失败 kafkaConnectionFailed 重要 一般是由于网络波动或kafka服务端出现异常等原因导致。 检查业务是否收到影响。 无。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在AOne中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可 客户端集成AD认证源版本为：PC客户端版本（windows、macOS、Linux图形化）为2.12.0及以上版本，移动端（安卓、IOS）为1.14.0版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给AD进行认证，因零信任需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1、添加认证源 进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2、选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为链接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 logo 非必填，用于在认证源列表展示的logo。

本文帮助您了解对象存储的计费项——存储费用。 存储空间费用，根据存储的数据类型、存储容量和存储时长收费。 计费说明 计费项 存储类型 含义 计费模式 :::: 单AZ存储空间费用 标准存储 按标准存储（单AZ冗余）类型文件的存储容量和存储时长计费。 存储容量按照文件的实际大小计算。 存储时长按照文件在ZOS中存储的实际天数计算。 按需计费 包年包月 单AZ存储空间费用 低频存储 按低频存储（单AZ冗余）类型文件的存储容量和存储时长计费。 存储容量按照文件的实际大小计算。 存储时长小于30天按30天计算，大于30天按实际天数计算。 注意 低频存储有30天的最低存储时长限制，当数据提前删除或转换为其他存储类别时，即存储时间低于限制的最低存储时间，系统仍会按照限制的30天收齐费用。 按需计费 包年包月 单AZ存储空间费用 归档存储 按归档存储（单AZ冗余）类型文件的存储容量和存储时长计费。 存储容量按照文件的实际大小计算。 存储时长小于90天按90天计算，大于90天按实际天数计算。 注意 归档存储数据解冻后，会产生一个指定时长的标准存储对象副本，在解冻的有效期内，会同时收取该对象在标准存储和归档存储中的存储费用，有效期到期后副本自动删除。 归档存储有90天的最低存储时长限制，当数据提前删除或转换为其他存储类别时，即存储时间低于限制的最低存储时间，系统仍会按照限制的90天收齐费用。 按需计费 包年包月 多AZ存储空间费用 标准存储 按标准存储（多AZ冗余）类型文件的存储容量和存储时长计费。 存储容量按照文件的实际大小计算。 存储时长按照文件在ZOS中存储的实际天数计算。 按需计费 包年包月 多AZ存储空间费用 低频存储 按低频存储（多AZ冗余）类型文件的存储容量和存储时长计费。 存储容量按照文件的实际大小计算。 存储时长小于30天按30天计算，大于30天按实际天数计算。 注意 低频存储有30天的最低存储时长限制，当数据提前删除或转换为其他存储类别时，即存储时间低于限制的最低存储时间，系统仍会按照限制的30天收齐费用。 按需计费 包年包月 说明 单AZ冗余：单AZ冗余指数据仅存储在单个AZ中，相比多AZ冗余的存储费用会更加便宜。 多AZ冗余：多AZ冗余指在同一区域内的多个AZ内，分别部署对象存储节点，组成统一集群提供对象存储服务；即数据存储在同一区域的多个不同AZ内，数据安全性和可靠性更高。比如，按照4+2纠删码和3AZ的模式，一个4M的数据会拆成4份，每份1M，同时会生成2M的校验数据，6M数据会分别存储在AZ1、AZ2、AZ3，任何一个AZ出现问题，都不影响业务。

本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

说明：本章节会介绍如何创建数据库只读实例 操作场景 只读实例用于增强主实例的读能力，减轻主实例负载。 关系型数据库单实例或主备实例创建成功后，您可根据业务需要，创建只读实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“创建只读”，进入“服务选型”页面。 步骤 5 您也可在实例的“基本信息”页面，单击实例拓扑图中，主实例下方的添加按钮，创建只读实例。 步骤 6 在“服务选型”页面，填选实例相关信息后，单击“立即创建”。 表1基本信息 参数 描述 当前区域 只读实例默认与主实例在同一区域。 实例名称 实例名称的长度在4~64个字符之间，必须以字母开头，可包含大写字母、小写字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 默认与主实例的数据库引擎一致，不可更改。 数据库版本 默认与主实例的数据库版本一致，不可更改。 可用区 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主实例和只读实例，只读实例的选择和主实例可用区对应情况： 相同，主实例和只读实例会部署在同一个可用区。 不同，主实例和只读实例会部署在不同的可用区，提高可靠性。 表2规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。 创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 只读实例的存储空间大小默认与主实例一致。 表3网络 参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。 步骤 7 在“规格确认”页面，进行信息确认。 如果需要重新选择，单击“上一步”，回到服务选型页面修改基本信息。 信息确认无误，单击“提交”，下发新增只读实例请求。 步骤 8 只读实例创建成功后，您可以对其进行查看和管理。 管理只读实例操作，请参见管理只读实例。 步骤 9 您可以通过“任务中心”查看详细进度和结果。

本章节主要介绍ALM16006 Hive服务进程直接内存使用超出阈值的告警。 告警解释 系统每30秒周期性检测Hive直接内存使用率，并把实际的Hive直接内存使用率和阈值相比较。当Hive直接内存使用率超出阈值（默认为最大直接内存的95%）时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Hive”修改阈值。 当Hive直接内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 16006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Hive直接内存使用率过高，会影响Hive任务运行的性能，甚至造成内存溢出导致Hive服务不可用。 可能原因 该节点Hive实例直接内存使用量过大，或分配的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“告警ID”为“16006”的告警，查看“定位信息”中的角色名并确定实例的IP地址。 告警上报的角色是HiveServer，执行步骤2。 告警上报的角色是MetaStore，执行步骤3。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，单击告警上报的HiveServer，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存”，勾选“HiveServer内存使用率统计” ，单击“确定”，查看HiveServer进程使用的直接内存是否已达到HiveServer进程设定的最大直接内存的阈值（默认95%）。 是，执行步骤4。 否，执行步骤7。 3.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，单击告警上报的MetaStore，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存”，勾选“MetaStore内存使用率统计” ，单击“确定”，查看MetaStore进程使用的直接内存是否已达到MetaStore进程设定的最大直接内存的阈值（默认95%）。 是，执行步骤4。 否，执行步骤7。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 配置”，选择“全部配置”， 选择“HiveServer/MetaStore > JVM”，将“HIVEGCOPTS/METASTOREGCOPTS”参数中“XX:MaxDirectMemorySize”的值根据如下建议进行调整，并单击“保存”。 说明 a.HiveServer的GC参数配置建议 建议将“XX:MaxDirectMemorySize”值设置为“Xmx”值的1/8，比如：当“Xmx”设置为8G时，“XX:MaxDirectMemorySize”设置为1024M，“Xmx”设置为4G时，“XX:MaxDirectMemorySize”设置为512M。并且建议“XX:MaxDirectMemorySize”值不小于512M。 b.MetaServer的GC参数配置建议 建议将“XX:MaxDirectMemorySize”值设置为“Xmx”值的1/8，比如：当“Xmx”设置为8G时，“XX:MaxDirectMemorySize”设置为1024M，“Xmx”设置为4G时，“XX:MaxDirectMemorySize”设置为512M。并且建议“XX:MaxDirectMemorySize”值不小于512M。 5.选择“更多 > 重启服务”重启服务。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。

本节主要介绍创建源码构建任务 通过构建任务可以用软件包一键式生成软件包或镜像包，实现“源码拉取>编译>打包>归档”的全流程自动化。 前提条件 1.已经创建集群。 2.已为构建节点绑定弹性IP。 操作步骤 1、登录ServiceStage控制台，选择“持续交付 > 构建”，单击“基于源码构建”。 2、输入“Job名称”。 3、（可选）输入Job“描述”。 4、设置“源代码来源”。 参考仓库授权创建授权，然后设置源码来源。 选择“授权信息”后，设置源码仓库用户、源码仓库和分支。 5、选择构建模板。 可选择“Maven”、“Ant”、“Gradle”、“Go”或“Docker”模板构建，可同时编译并归档二进制包或Docker镜像。 说明 选择“自定义”构建，可自由定义构建方式，请执行。 6、选择“归档方式”。 不归档：不添加Docker构建，也不归档。 归档二进制包：不添加Docker构建，归档二进制包。 归档镜像编译：添加Docker构建，归档Docker镜像。 7、设置“必填项参数”。 单击参数配置编辑页的图标可删除参数设置。 构建参数：不同编译参数设置不同，单击编辑框或者编辑框后的，可查看参数说明。 镜像参数：在页中输入“任务名称”、“Dockerfile路径”、“镜像名称”和“镜像版本”。 镜像归档参数：在页中设置对应镜像参数的“任务名称”、“归档镜像”、“仓库组织”和“共享类型”，对设置的镜像进行归档。 二进制参数：在页中设置如下参数。 表 构建工程必填项说明 参数名称 参数说明 :: 任务名称 任务的名称。 共享类型 仓库类型分为公有与私有两种。 • 公有仓库为系统隔离，同一系统中的租户可共享资源。 • 私有仓库为租户隔离，当前租户下的用户可共享资源，其他租户不可访问当前租户下的资源。 仓库组织 是指仓库的命名空间。 软件仓库 软件仓库的名称。 软件包名称 构建完成后，归档的软件包名称。 软件包版本 归档的软件包版本。 构建包路径 编译构建完成后，生成的二进制软件包地址。例如，Java项目下的./target/xxx.jar。 8、（可选）单击“高级配置”进行环境设置。 若要添加多个任务，可在高级配置中自定义添加。 单击左侧栏目中的“添加插件”进入“选择任务类型”界面。 单击目标任务类型的“选择”，添加任务类型。并在“构建环境配置”界面右侧设置任务参数。 在“编译”过程添加了通用构建命令行插件（Build Common Cmd）时，需要注意以下注意事项： 输入“编译命令”，请在echo、cat、debug等命令中慎用敏感信息或者进行敏感信息加密，以免造成信息泄露。 “语言”参数选择Python且“Python框架类型”选择符合WSGI标准的Python工程时，需要设置主模块和主模块函数。Python工程主模块和主模块函数名称示例如下： –Python主模块：如果Python工程入口文件名为server.py，主模块名称则为server。 –Python主模块函数：如果Python工程入口文件server.py的应用函数名称为appgetwsgiapplication()，则主模块函数名称为app。 9、单击“构建”保存设置并构建工程。 单击“保存”仅保存设置，不进行构建。

本节主要介绍签名使用查询参数验证。 除了授权头以外，用户可以通过URL中加入查询参数来表达签名信息的方式，将该URL转给第三方实现授权访问，也称为预签名URL。这对于使用第三方浏览器获取对象存储数据的用户非常有用，不需要代理请求。这种方式通过构造并加密一个终端用户浏览器可以检索到的预签名的请求来实现，同时设置过期时间来标明预签名的有效期。 预签名URL支持GET请求和POST请求（POST Object除外）。 注意 使用预签名URL方式，有将您授权的数据在过期时间内曝露在互联网上的风险，建议您预先评估后使用。 URL中包含签名的示例如下： 注意 在URL中实现签名，必须至少包含Signature，Expires，AWSAccessKeyId三个参数。 请求参数 参数 描述 是否必须 ::: AWSAccessKeyId 用户的AccessKeyID信息，可以登录到可以登录到对象存储（经典版）I型控制中心，点击“访问控制”>“安全凭证”>“密钥”查看；或者调用ListAccessKey查看。 类型：字符串。 是 Expires 签名过期时间，按照秒来计算的。服务器端超过这个时间的请求将被拒绝。 类型：字符串。 是 Signature URL是按照HMACSHA1的StringToSign的Base64编码方式编码。 类型：字符串。 是 Expires是一个UNIX时间（自UTC时间1970年1月1号开始的秒数），用于标识该URL的超时时间。如果OOS接收到这个URL请求的时候晚于签名中包含的Expires参数时，则返回请求超时的错误码。例如：当前时间是1141889060，开发者希望创建一个60秒后自动失效的URL，则可以设置Expires时间为1141889120。 URL中包含签名的算法和Header中包含签名的算法基本一样，主要区别如下： 通过URL包含签名时，之前的Date参数换成Expires参数。 如果在URL和Header中同时包含签名，以Header中的签名为准。 对于URL预签名，如果传入的Signature，Expires，AWSAccessKeyId出现不止一次，以第一次为准。 对于URL预签名，请求先验证请求时间是否晚于Expires时间： 如果请求时间晚于Expires时间，则返回错误响应码。 如果请求时间不晚于Expires时间，则验证签名。

参数说明 tablename：待创建的数据表名称。 columnname：指定数据列名称。 columndefinition：指定数据列定义，可包括类型、能否为空、默认值等属性。 indexname：指定索引名称。 indextype：指定索引类型。 keypart：指定组成索引的数据列。 enginename：指定要使用的存储引擎，常用的引擎有innodb等。 charsetname：指定数据库的字符集。支持设置为utf8和utf8mb4字符集。 collationname：指定数据库的排序规则。支持设置为utf8generalci和utf8mb4bin排序规则。 其中： partitionoption以SQL风格写法来指定分库分表信息，shardinghint以HINT风格来指定分库分表信息，两者虽然写法不同，但作用相同。在简单使用场景可以使用SQL风格分片写法或HINT风格分片写法任意一种，而由于HINT风格分片写法支持更多的分库分表算法，功能更强大一些，如在复杂使用场景只能用HINT风格分片写法。 partitionoption和shardinghint支持的分库分表算法存在差异，详情如下： 说明 更多算法信息，请参见分片算法。 分库分表算法 partitionoption shardinghint （整数）取模（PartitionByMod） 支持（关键字HASH） 支持 字符串hashCode取模（PartitionByStringMod） 支持（关键字HASHSTRING） 支持 枚举（PartitionByFileMap） 不支持 支持 时间范围（PartitionByDateRange） 不支持 支持 枚举分组取模分片（PartitionByEnumAndMod） 不支持 支持 枚举分组字符串hashCode取模分片（PartitionByEnumAndStringMod） 不支持 支持 数值范围（PartitionByIntRange） 支持（关键字RANGE） 支持 partitionoption语法： 参数说明 GLOBAL：用于创建全局表。 SINGLE：用于创建单片表，且只能为单个逻辑库创建单个物理表。 DN: 用于指定待使用的RDS ，对于单片表只能使用一个RDS。仅当逻辑数据库只包含一个RDS时可省略此参数，将会使用已绑定的唯一RDS。 UDALPARTITION BY：用于创建分片（分库）表。仅支持整数取模（PartitionByMod）、字符串hashCode取模（PartitionByStringMod）和数值范围（PartitionByIntRange）三种算法。 HASH(columnname)：用于指定分片算法为整数取模（PartitionByMod），columnname指定用于计算分片的数据列，此处只允许单个列。 HASHSTRING(columnname): 用于指定分片算法为字符串hashCode取模（PartitionByStringMod），columnname指定用于计算分片的数据列，这里只允许单个列。 RANGE(columnname)：用于指定分片算法为数值范围（PartitionByIntRange），columnname指定用于计算分片的数据列，这里只允许单个列。 RANGEVALUES：用于指定数值范围分片算法的各个范围值，只允许int值。且数量必须与DN数量保持一致。 DN：用于指定要使用的RDS，默认值为当前逻辑数据库包含的所有RDS。 PARTITIONS：用于指定分表的数量，默认值为1。当省略时，将使用默认值。 BUCKETS：用于指定分桶的数量，无默认值，必须显式指定。 建表语句说明 分片表从类型上来说主要分成3类，分别为库内分表、库内分桶、既不分表也不分桶。本文将按照分片表类型来简单为您介绍建表语句。 库内分表 既分库（分片）也分表，通过在UDALPARTITION BY指定两次分片算法来依次指定分库算法和分表算法，主要语法格式为： plaintext UDALPARTITION BY 算法1(column1), 算法2(column2) 此处的算法是指上文介绍的HASH或HASHSTRING。另外可搭配PARTITIONS参数来指定分表数量，搭配DN参数指定待使用的RDS列表。 库内分桶 既分库（分片）也分桶，由于分桶是通过虚拟分片来实现，因此只需要指定一次分片算法即可，主要语法格式为： plaintext UDALPARTITION BY 算法(column) 此处的算法是指上文介绍的HASH或HASHSTRING。注意，必须添加BUCKETS参数来指定分桶数量，也可搭配DN参数指定待使用的RDS列表。 既不分表也不分桶 对应只分库的情况，只需指定一次分片算法，主要语法格式为： plaintext UDALPARTITION BY 算法(column) 由于不需要分表或分桶，因此无需使用PARTITIONS或BUCKETS参数，但可搭配DN参数指定待使用的RDS列表。 shardinghint语法： @@table name’{tablename}’：指定数据表名称。 type：指定表的类型。 支持的类型及对应的关键字如下： 全局表：global 单片表：single 分库分表：inner 库内分桶或既不分表也不分库：sharding dn：指定要使用的RDS列表。对于单片表只能使用一个RDS。当忽略此项时默认使用当前逻辑数据库包含的所有RDS。 shardingalgo：指定分片算法。 注意 该参数必须与shardingid搭配使用。 shardingid：指定用于计算分片的数据列。 注意 该参数必须与shardingalgo搭配一起使用。 buckets：指定分桶数量，合法取值范围为[1, 128]。 注意 当创建库内分桶（分库分桶）类型的数据表时必须指定此项。 shardingarea: 用于枚举分组取模分片（PartitionByEnumAndMod）和枚举分组字符串hashCode取模分片（PartitionByEnumAndStringMod）算法，指定分组列。使用这两种算法时必须指定此项。 rangevalues：用于指定数值范围（PartitionByIntRange）分片算法的各个范围值。 mapfile: 用于分片的枚举算法中指定各个枚举值对应的分片序号，枚举算法包括枚举（PartitionByFileMap）、枚举分组取模分片（PartitionByEnumAndMod）和枚举分组字符串hashCode取模分片（PartitionByEnumAndStringMod）。 defaultnode：用于分片的枚举算法中指定默认节点，枚举算法包括枚举（PartitionByFileMap）、枚举分组取模分片（PartitionByEnumAndMod）和枚举分组字符串hashCode取模分片（PartitionByEnumAndStringMod）。 startdate：用于分片的时间范围（PartitionByDateRange）算法中指定开始日期。 timeunittype：用于分片的时间范围（PartitionByDateRange）算法中指定时间单元类型，支持设置为day、 week,、month和year。 timeunitlen：用于分片的时间范围（PartitionByDateRange）算法中指定时间单元值。 innershardingalgo：指定分表算法。 注意 该参数必须与innershardingid搭配一起使用。 innershardingid：指定用于计算分表的数据列。 注意 该参数必须与innershardingalgo搭配一起使用。 innertotal：指定分表数量。 注意 当创建分库分表类型的数据表时必须指定此项。 innermapfile：用于分表的枚举算法中指定各个枚举值对应的分片序号，枚举算法包括枚举（PartitionByFileMap）、枚举分组取模分片（PartitionByEnumAndMod）和枚举分组字符串hashCode取模分片（PartitionByEnumAndStringMod）。 innerdefaultnode：用于分表的枚举算法中指定默认节点，枚举算法包括枚举（PartitionByFileMap）、枚举分组取模分片（PartitionByEnumAndMod）和枚举分组字符串hashCode取模分片（PartitionByEnumAndStringMod）。 innerstartdate：用于分表的时间范围（PartitionByDateRange）算法中指定开始日期。 innertimeunittype：用于分表的时间范围（PartitionByDateRange）算法中指定时间单元类型，支持设置为day、 week,、month和year。 innertimeunitlen：用于分表的时间范围（PartitionByDateRange）算法中指定时间单元值。

本文带您了解提示“您的凭据无法工作”的处理方法。 问题描述 在天翼云官网开通对应Windows云主机后，除控制台VNC接入外还有其他PC本地进行远程接入场景。当接入时候提示您的凭据无法工作错误，远程登录失败。 已开通云主机信息：远程登录时需要公网IP信息、账号名及对应密码。 解决方法 步骤一： 修改Windows云主机网络策略 1、 使用管理控制台VNC方式登录云服务器。 2、 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 点击“计算机配置 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 选择“计算机配置 运行”输入gpupdate /force，更新组策略。

本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在花卷慧办中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 客户端集成AD认证源版本为：PC客户端版本（Windows、macOS）为1.3.0及以上版本，移动端（安卓、IOS）为2.9.0及以上版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，花卷慧办客户端登录时进行转发给AD进行认证，因花卷慧办需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1. 添加认证源 登录花卷慧办工作台，进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2. 选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为连接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 Logo 非必填，用于在认证源列表展示的Logo。

本节主要介绍升级HBlock的错误码。 HTTP status 错误码 错误信息 描述 400 CanNotConnectToIP Can not connect to the IP IP. 无法连接指定的IP。 400 CanNotConnectToServer Can not connect to the server IP [:port]. 无法连接指定的服务器。 400 CanNotConnectToService Can not connect to 'serviceName ' service on server serverIp [:port]. 服务调用不通。 400 DuplicatePackage The name of the upgrade package must be unique. Please check and try again. 上传的安装包重名，请检查并重试。 400 ExceedThreshold The number of operation cannot exceed value. 升级操作中的文件个数超阈值。 400 GetUpgradeStatusFailed Failed to get upgrade status. Please check the network, service, etc, then try again. 无法获取到升级状态，请检查网络连接或者服务状态后重试。 400 InitUpgradeFailed The upgrade operation failed to start. reason 升级操作启动失败。 400 InsufficientFDForLUNToWrite Available fault domains and healthy disk paths are insufficient for the LUNs to write: lunname1 , lunname2 , lunname3... . Make sure available fault domains and healthy disk paths are greater than the minimum replica number of the LUNs. 卷的可用故障域和健康数据目录数量不足，请确保可用故障域和健康数据目录的数量大于卷要求的最小副本数。 400 InsufficientAvailableServices The number of available 'serviceName ' service node in the cluster must be greater than or equal to value. 集群中的某服务的可用节点数必须大于或等于某值才可以。 400 InvalidDouble Value value at 'argument' failed to satisfy constraint: Argument must be of type double. double类型不合法。 400 InvalidLong Invalid upgrade package. Please get the correct package. 安装包无效。 400 InvalidProductType Cannot run upgrade, product type mismatch. Please get the correct package. 安装包不匹配。 400 InvalidStorStatus The HBlock status is 'status', the request is invalid. HBlock当前的状态不正确，请求无效。 400 InvalidVersion No need to upgrade because your current version is newer. 不需要升级，当前运行的版本更新。 400 LoadConfigFailed Failed to load configuration files. 获取配置文件失败。 400 LoadPackageFailed Failed to load upgrade package. Reason: Reason 获取升级包失败。 400 LowVersion The upgrade package requires the current system version to be minimumVersion or later. 当前版本太旧，不符合升级包需求。 400 MissingArchPackage Missing architecture upgrade package. Please get the correct package. 缺少必要的升级包，请更换正确的安装包后重试。 400 MissingArgument Value null at 'argument' failed to satisfy constraint: Argument must not be null. Json参数不能为空。 400 SameVersion No need to upgrade because the versions are same. 没有升级操作。 400 ServiceWaitTimeout 'serviceName' service wait timeout. 服务等待超时。 400 SetConfigFailed Failed to set config. 配置失败。 400 UpgradeExpired Your upgrade function has expired onxxxxxxxx xx:xx:xx . To ensure business continuity and access the full product experience, please contact your software vendor to get a license. 您的免费版升级服务已于xxxxxxxx xx:xx:xx到期，现已停止更新支持。为确保您的业务连续性并获得完整的产品体验，请联系软件供应商获取商业版软件许可证。 400 UploadPackageFaied Failed to upload or unzip package. Reason: reason. 上传或者解压缩安装包失败。 409 InvalidTargetIQNsStatus The request is invalid. Ensure the number of target IQNs whose status is neither unavailable nor offline is greater than or equal to 2. 操作失败，target IQNs状态异常，请检查后重试。 409 UpgradeInProgress The upgrade task is in progress, the request is invalid. 系统升级正在进行中，无法执行操作。

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

本节主要介绍安全编排的定义和相关概念。 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事件的高效、自动化响应处置。 安全编排的主要功能如下： 剧本管理：内置自动响应的剧本，支持按需定义扩展。 流程管理：绘制流程图响应剧本触发。 实例管理：支持对运行的实例进行监控管理及记录查看。 安全事件自动化响应：对需要处理的安全事件以及可疑事件，通过安全编排实现自动化处置及事件调查。 基本概念说明 在安全编排中，剧本和流程是两个核心元素，它们相互关联、依赖，并协同工作以确保安全运营的有效性和高效性。 剧本 剧本（Playbook）：是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程，剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 一个剧本中有且仅有一个流程。 流程 流程（Workflow）：是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本与流程的联系 剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 剧本与流程的区别 剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例 以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

本章节为媒体存储日志存储概述。 使用场景 媒体存储日志存储功能支持自动把桶的各类访问请求记录日志，并存储到某一存储桶中，适合对请求有分析或审计等需求的用户使用。 日志文件存放位置需要在开启桶日志存储功能时指定，仅支持在源存储桶所属区域中选择存储桶，也包括开启日志功能的桶本身。 日志记录设置成功后，大约5~10分钟后可在日志存储桶中查看到桶的操作日志。 为了更有效的管理日志，建议您将日志存放到不同的桶中。 日志文件记录的是通过API或SDK方式进行的S3协议操作。 生成的日志文件会保存在指定的存储桶，占用存储空间，因此会产生存储费用。如需定时清理，可通过生命周期相关配置实现，具体可参考：生命周期。 日志文件生成规则： 日志文件存储路径：日志存储位置 /日志文件前缀（如无设置则省略）/YYYY MM DD HHmmssUniqueStiring 。 生成周期：启用规则后开始生成，并且以5分钟为单位保存至日志存储位置中。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 日志文件参数 以下所示为生成的桶访问日志文件记录： gdoss.xstore.ctyun.cn [$serveraddr] [$remoteaddr] [$timelocal] "$requestmethod" "$host" "$requesturi" $status $bodybytessent $contentlength "$httpreferer" $requesttime "$httpuseragent" "$httpxforwardedfor" "$scheme" "$opname" "$httptransferencoding" "$httpctyunnetworktype" "$varUser" "$upstreamresponsetime" 访问日志主要包含如下信息： 参数 说明 gdoss.xstore.ctyun.cn 资源池域名，用来标记资源池。 $serveraddr 当前服务器地址，一般是内网IP。 $remoteaddr 连接的对端服务器地址。 $timelocal 日志时间。 $requestmethod HTTP Method，如PUT、GET、DELETE、POST、HEAD等。 $host HTTP请求里面的header字段：host。 $requesturi HTTP请求里面的URI。 $status HTTP状态码。如200、204、206、403、404等。 $bodybytessent 服务端发送给客户端的消息body长度。 $contentlength 服务端收到的消息的请求的长度。 $httpreferer HTTP请求里面的referer字段。 $requesttime 请求持续时间。包含从服务端建立连接完成到完成响应这段时间。 $httpuseragent HTTP请求里面的useragent字段。 $httpxforwardedfor HTTP请求里面的xforwardedfor字段。 $scheme 区分HTTP还是HTTPS请求。 $opname API接口名称。如GetObject、ListBuckets等等。 $httptransferencoding HTTP请求里面的transferencoding。 $httpctyunnetworktype 表示请求来源的网络类型:public（公网）、private(内网）。 $varUser 用户标记，表示这个请求对应的用户。 $upstreamresponsetime 请求在资源池内部的处理时间。 日志文件内容根据开通的区域不同，格式会有一定出入，请以实际为准。

在开启OBS权限控制功能时各组件访问OBS的说明 以root用户登录集群任意一个节点，密码为用户创建集群时设置的root密码。 1. 配置环境变量（MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。）。 source /opt/Bigdata/client/bigdataenv 2. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS集群用户 例如, kinit admin 3. 如果当前集群未启用Kerberos认证，执行如下命令登录执行操作的用户，该用户需要属于supergroup组，创建用户可参考创建用户，将XXXX替换成用户名。 mkdir/home/XXXX chownXXXX /home/XXXX su XXXX 4. 访问OBS。无需再配置AK、SK和endpoint。OBS路径格式：obs://buckname/XXX。 例如：hadoop fs ls"obs://obsexample/job/hadoopmapreduceexamples3.1.2.jar" 说明 如需使用hadoop fs删除OBS上文件，请使用hadoop fs rm skipTrash来删除文件。 sparksql、sparkbeeline在创建表时，若不涉及数据导入，则不会访问OBS。即若在一个无权限的OBS目录下创建表，CREATE TABLE仍会成功，但插入数据会报403 AccessDeniedException。 在IAM服务创建策略及委托 在IAM服务创建策略及委托 1. 登录IAM服务控制台。 2. 单击“权限 > 创建自定义策略”。 3. 参考下表填写参数。 策略参数 参数 说明 策略名称 只能包含如下字符：大小写字母、中文、数字、空格和特殊字符（.,）。 作用范围 选择全局级服务，OBS为全局服务。 配置策略方式 选择可视化视图。 策略内容 1. “允许”选择“允许”。 2. “云服务”选择“对象存储服务(OBS)”。 3. “操作”勾选所有“写”、“列表”和“只读”权限。 4. “特定资源”选择： a. “object”选择“通过资源路径指定”，并单击“添加资源路径”分别输入路径obsbucketname /tmp/和 obsbucketname /tmp/ 。此处以 /tmp目录为例，如需其他目录权限请参考该步骤添加对应目录及该目录下所有对象的资源路径。 b. “bucket”选择“通过资源路径指定”，并单击“添加资源路径”输入路径 obsbucketname。 5. （可选）请求条件，暂不添加。 策略描述 可选，对策略的描述。 各个组件的写数据操作若通过rename的方式实现时，写数据时要配置删除对象的权限。 4. 单击“确定”保存策略。 5. 在IAM服务创建委托。 6. 登录IAM服务控制台。 7. 单击“委托 > 创建委托”。 8. 参考下表填写参数。 委托参数 参数 说明 委托名称 只能包含如下字符：大小写字母、中文、数字、空格和特殊字符（.,）。 委托类型 选择普通帐号。 委托的帐号 填写本用户的云帐号，即使用手机号开通的帐号，不能是联邦用户或者IAM用户。 持续时间 请根据需要选择。 描述 可选，对委托的描述。 权限选择 1. 在“项目”列对应的“对象存储服务”行，单击“操作”列的“修改”。 2. 勾选步骤1中创建的策略，使之出现在“已选择策略中”。 3. 单击“确定”。 4. 单击“确定”保存委托。 说明 当使用该委托访问过OBS后，再修改该委托及其绑定的策略时，最长需要等待15分钟，修改的内容才能生效。

数据格式 配置完成后，监控上报功能会将集群中监控数据周期性地写入到文本文件中，并根据用户配置的上报周期，将这些文件上报到对应的FTP/SFTP服务中。 监控文件产生规则 − 按照指标的采集周期，监控指标会被分别写入到每30s，60s，以及300s产生的文件 30s周期：默认采集周期为30s的实时指标。 60s周期：默认采集周期为60s的实时指标。 300s周期：非30s、60s采集的所有指标。 − 文件名格式：metirc{周期}{文件创建时间YYYYMMDDHHMMSS }.log 例如：metric6020160908085915.log metric30020160908085613.log 监控文件内容 − 监控写入文件格式： “集群ID集群名称显示名称服务名称指标ID采集时间采集主机@m@子指标单位指标值”，其中：各字段间以“”分隔，例如： 1xx1HostHost100004132019/06/18 10:05:0018966254146KB/s309.910 1xx1HostHost100004132019/06/18 10:05:0018966254152KB/s72.870 2xx2HostHost100004132019/06/18 10:05:0018966254163KB/s100.650 说明 实际的文件中不存在对应的文件格式标题。 − 监控文件上传间隔： 监控文件上传时间间隔可以在页面通过“转储时间间隔（秒）”配置，目前支持30s300s之间均可。配置完成后，系统会按照指定的时间间隔，将文件定期上传到对应的FTP/SFTP服务器。 监控指标说明文件 − 指标全集文件 指标全集文件allshownmetriczhCN包括了所有指标的详细信息。第三方系统从上报的文件内容中解析出指标id后，可以通过查询指标全集文件获取指标详细信息。 指标全集文件位置： 主备OMS节点：{FusionInsight安装路径}/omserver/om/etc/om/allshownmetriczhCN 指标全集文件内容参考： 实时指标ID,5分钟指标ID,指标名称,指标采集周期(秒),是否默认采集,指标所属服务,指标所属角色 00101,10000101,JobHistoryServer非堆内存使用量,30,false,Mapreduce,JobHistoryServer 00102,10000102,JobHistoryServer非堆内存分配量,30,false,Mapreduce,JobHistoryServer 00103,10000103,JobHistoryServer堆内存使用量,30,false,Mapreduce,JobHistoryServer 00104,10000104,JobHistoryServer堆内存分配量,30,false,Mapreduce,JobHistoryServer 00105,10000105,阻塞线程数,30,false,Mapreduce,JobHistoryServer 00106,10000106,运行线程数,30,false,Mapreduce,JobHistoryServer 00107,10000107,GC时间,30,false,Mapreduce,JobHistoryServer 00110,10000110,JobHistoryServer的CPU使用率,30,false,Mapreduce,JobHistoryServer ... − 重要指标字段说明 实时指标ID ：指标的采集周期为30s/60s的指标ID，一个独立的指标项只可能存在30s或者60s的实时指标项。 5分钟指标ID ：指标对应的5分钟（300s）的指标ID。 指标采集周期(秒) ：主要是针对实时指标的采集周期，可选值为30或60。 指标所属服务 ：指标所属的服务名名称，标明指标所属的服务类型，如HDFS、HBase等。 指标所属角色 ：指标所属的角色名名称，标明指标所属的实际角色类型，如JobServer、RegionServer等。 − 解析说明 针对采集周期为30s/60s的指标，参考该指标说明文件的是第1列，即实时指标ID即可找到对应的指标说明。 针对采集周期为300s的指标，参考该指标说明文件对应的第2列，即5分钟指标ID即可找到对应的指标说明。

本文主要介绍如何创建工作负载弹性伸缩（HPA）。 HPA策略即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 使用HPA需要安装能够提供Metrics API的插件，如metricsserver或Prometheus。 约束与限制 HPA策略：仅支持1.13及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 操作步骤 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“负载伸缩”，在右上角单击“创建HPA策略”。 步骤 3 填写策略参数。 表 HPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟，缩容扩容冷却时间不能小于1分钟 。 该设置仅在1.15及以上版本的集群中显示，1.13版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标或自定义指标。 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载Pod的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。阈值：请输入缩容和扩容阈值。当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。 阈值仅在1.15及以上版本的集群中支持 。 自定义策略（仅在1.15及以上版本的集群中支持） 自定义指标名称：自定义指标的名称，输入时可根据联想值进行选择。 指标来源：在下拉框中选择对象类型，可选择“Pod”。 期望值：Pod支持指标为平均值。br伸缩范围：当指标值处于伸缩范围中时才会触发伸缩 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内实例数的最大值。 步骤 4 设置完成后，单击“创建”，在“完成”步骤中若显示“创建工作负载策略提交成功”，可单击“返回工作负载伸缩策略”。 步骤 5 在“工作负载伸缩”页签下，可以看到刚刚创建的HPA策略。

本节主要介绍主机监控 主机包括弹性云主机（ECS）、物理机。AOM既可监控通过创建CCE、ServiceStage集群时创建的主机，也可监控非CCE、ServiceStage集群环境下直接创建的主机（直接创建的主机操作系统需满足操作系统及版本，且创建后需要给主机安装ICAgent，安装操作详见安装ICAgent，否则AOM将无法监控）。同时，主机的IP地址支持IPv4、IPv6。 通过AOM您可监控主机的资源占用与健康状态，监控主机的磁盘、文件系统等常用系统设备，监控运行在主机上的业务进程或实例的资源占用与健康状态。 注意事项 一个主机最多可添加5个标签，且标签不能重复。 不同主机可添加同一个标签。 通过创建CCE、ServiceStage集群时创建的主机，不支持添加自定义集群和别名。 主机状态包含“正常”、“异常”、“亚健康”、“通道静默”、“已删除”。当网络异常、主机下电、关机等原因导致的主机异常时，或主机产生阈值告警时，主机状态为“异常”。 主机监控 步骤 1 在左侧导航栏中选择“主机监控”，查看主机列表。 为了方便您查看主机列表，您可以单击右上角图标对主机列表进行过滤显示，实现隐藏控制节点。 步骤 2 您可根据需要选择是否对主机执行如下操作： 添加别名 当主机名称过于复杂不便于识别时，您可根据需要给主机添加一个便于识别的别名。 在主机列表中，单击主机所在行“操作”列的“增加别名”进行添加。 添加标签 标签是主机的标识，通过标签您可管理主机，并对主机进行简单分类。添加标签后，您可快速识别、选择或搜索主机。 在主机列表中，单击主机所在行“操作”列的“更多>增加标签”，单击，输入标签后，单击，再单击“确定”。标签添加成功后，即可在页面右上角的搜索框中输入标签关键字进行搜索。主机列表的“标签”列默认隐藏，您可单击右上角的，通过选中或取消选中“标签”前的复选框，自定义其展示与隐藏。 步骤 3 设置搜索条件搜索待监控的主机。 步骤 4 单击主机名称，进入“主机详情”页面，在列表中可监控运行在主机上实例的资源占用与健康状态，单击“监控视图”页签，可监控该主机的各种指标。 步骤 5 监控主机的显卡、网卡等常用系统设备。 单击“显卡”页签，在列表中可查该主机显卡的基本信息，单击显卡名称，可在“监控视图”页面监控该显卡的各种指标。 单击“网卡”页签，在列表中可查看该主机网卡的基本信息，单击网卡名称，可在“监控视图”页面监控该网卡的各种指标。 单击“磁盘”页签，在列表中可查看该主机磁盘的基本信息，单击磁盘名称，可在“监控视图”页面监控该磁盘的各种指标。 单击“文件系统”页签，在列表中可查看该主机文件系统的基本信息，单击磁盘文件分区名称，可在“监控视图”页面监控该文件系统的各种指标。 单击“告警分析”页签，在列表中可查看该主机的相关告警信息。

防护配置管理为用户提供域名防护的配置操作功能。 新增防护配置 1. 在Web应用防火墙配置菜单下，点击“新增”，弹出新增WAF防护配置对话框。 2. 配置防护参数。 参数名称 参数说明 实例ID 选择实例 ID；实例即为默认开通资源，直接进行勾选即可。 数据中心 选择数据中心；目前默认数据中心为内蒙，上海，广州，其中主选一个，备选一个，建议用户选择靠近自身资源部署地区的节点。 防护域名 输入防护域名。 输入格式示例： 防护网站域名：如ctyun.cn 防护网站域名：如www.ctyun.cn IP代理 选择IP代理。 IP代理分为NAT44，NAT66，NAT64。 网站如仅支持IPv4访问：则单选NAT44，并且填写域名对应的公网IPv4地址至源站IP一栏。 网站如同时支持IPv4以及IPv6访问：则需要同时勾选NAT44与NAT66。 在网站不支持IPv6的场景下，WAF可以协助网站支持IPv6访问，WAF接收到IPv6请求后将流量转换成IPv4的形式发送给客户源站，需要同时勾选NAT44与NAT64，源站IP侧应填写IPv4地址。 协议类型 支持HTTP和HTTPS协议。选择HTTPS协议，还需要上传证书。 协议端口 根据选择的协议，添加对应的端口。 Https证书 协议类型选择“https”时，需要进行证书上传。 上传证书步骤如下： 点击“Https证书”右侧的“新增证书”，在弹出的“新增证书”对话框中配置如下参数，然后点击“确定”，完成证书上传。 证书名称：证书名称可自定义添加。 证书公钥：一般情况下HTTPS证书需要从网站本身服务器上进行导出或联系域名服务商获取，公钥一般以pem或crt结尾，用文本形式打开后全量粘贴即可。 证书私钥：私钥一般以key结尾，用文本形式打开后粘贴即可。 开启防护 默认开启防护，如果开启防护按钮为“关闭”，该防护配置不会生效，业务不会下发至Web应用防火墙设备进行防护。 3. 点击“确定”，正式下发防护配置。 4. 添加完成后，显示应为下图。 参数名称 参数说明 防护域名 当前防护的域名。 CNAME CNAME地址为WAF配置成功后生成的代理地址（需要用户侧联系域名服务商将域名原本指向的记录值修改为WAF的地址）。 源站IP 源IP即配置WAF的目标地址，WAF接收请求后会将请求转发至当前配置的地址。 源端口 WAF所配置的端口。 状态 当配置处于防护中时为正常，配置状态为防护中时CNAME地址才可以被解析到。 业务带宽 与当前资源相关，对应当前的资源规格。 DNS牵引检测 当用户将域名解析至WAF后，此状态会在当天凌晨自动更新为已牵引。 HTTPS强制跳转 当域名同时开通80与443端口时，勾选强制跳转会让所有访问80端口的流量自动跳转到443（暂时只支持80跳转443）。

在监控c应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍采用Jaeger SDK方式上报c应用的链路数据,具体如下。 前提条件 完成vpce接入。 背景信息 Jaeger是Uber推出的一款开源分布式追踪系统，兼容OpenTracing API，已在Uber大规模使用，且已加入CNCF开源组织。其主要功能是聚合来自各个异构系统的实时监控数据。 接入步骤 1、安装依赖包 plaintext dotnet add  package Jaeger dotnet add  package OpenTracing dotnet add  package OpenTracing.Contrib.NetCore 2、查看接入点信息 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3、初始化SDK并设置exporters 新建文件JaegerServiceCollectionExtensions.cs，代码如下 plaintext using System; using System.Reflection; using Jaeger; using Jaeger.Reporters; using Jaeger.Samplers; using Jaeger.Senders.Thrift; using Microsoft.Extensions.Logging; using OpenTracing; using OpenTracing.Contrib.NetCore.Configuration; using OpenTracing.Util; namespace Microsoft.Extensions.DependencyInjection {     public static class JaegerServiceCollectionExtensions     {         private static readonly Uri jaegerUri  new Uri("endpoint"); //替换为上报数据的Endpoint         public static IServiceCollection AddJaeger(this IServiceCollection services)         {             if (services  null)                 throw new ArgumentNullException(nameof(services));             services.AddSingleton (serviceProvider >             {                 var serviceName  "";    //修改为自定义的服务名                 //ILoggerFactory loggerFactory  serviceProvider.GetRequiredService ();                 var loggerFactory  LoggerFactory.Create(builder >                   {                       // 添加控制台日志提供程序                       builder.AddConsole();                       // （可选）其他配置，例如设置日志级别                       // builder.SetMinimumLevel(LogLevel.Debug);                   });                 ISampler sampler  new ConstSampler(sample: true);                                  //将token替换为自己的鉴权token                 IReporter reporter  new RemoteReporter.Builder()                     .WithSender(new HttpSender.Builder(jaegerUri.ToString()).WithAuth("token").Build())                     .Build();                                 //IReporter reporter  new LoggingReporter(loggerFactory);                                 ITracer tracer  new Tracer.Builder(serviceName)                     .WithLoggerFactory(loggerFactory)                     .WithSampler(sampler)                     .WithReporter(reporter)                     .Build();                 GlobalTracer.Register(tracer);                 return tracer;             });             // Prevent endless loops when OpenTracing is tracking HTTP requests to Jaeger.             services.Configure (options >             {                 options.IgnorePatterns.Add(request > jaegerUri.IsBaseOf(request.RequestUri));             });                         return services;         }     } } 4、开启链路跟踪 plaintext using Jaeger; using Jaeger.Reporters; using Jaeger.Samplers; using Microsoft.Extensions.Logging; var builder  WebApplication.CreateBuilder(args); builder.Services.AddJaeger();        //ITracer对象的初始化和注册 builder.Services.AddOpenTracing();   //开启Http链路 builder.Services.AddControllers(); var app  builder.Build(); app.MapControllers(); app.Run();

为保证对象存储的正常使用,在使用之前,请您务必仔细阅读以下使用限制。 限制项 说明 带宽 访问对象存储的带宽同时受用户本地公网带宽限制和单用户带宽上限影响。 单个天翼云账号在各地域的上行和下行带宽上限各为10Gbit/s。如果带宽达到阈值，请求会触发流控。 每TB存储量的保障带宽为16Mbit/s，即实际存放的数据容量每达到1TB，可获得16Mbit/s的保障带宽。存储的容量越大，获得的保障带宽越大，上限为10Gbit/s。 保障带宽为承诺可达到的带宽，闲时带宽可能高于该标准。 每秒请求数QPS（Query Per Second, QPS） 单个天翼云账号在每个地域的QPS上限均为10000，其中写请求上限是5000请求每秒，读请求上限是5000请求每秒。 存储桶 存储桶一旦创建成功，名称和所处地域不能修改。 桶名称全局唯一且不支持重命名。 用户在每个资源池的默认配额为100个桶，用户可通过工单申请扩大配额，最大配额1000个桶。 贵州3（2024年4月25日）、长沙42（2024年11月5日）、成都4（2024年11月12日）、华东1（2024年11月12日）、上海7（2024年11月12日）、杭州7（2024年12月3日）、内蒙6（2025年1月10日）、华北2（2025年3月28日）、重庆2（2025年4月15日）、昆明2（2025年4月15日）、北京5（2025年4月22日）、西南1（2025年5月9日）、华南2（2025年7月1日）、武汉41（2025年10月17日）、合肥2（2025年10月28）、芜湖4（2025年12月5日）已于括号内的时间完成升级。在资源池升级之后新创建的桶不再有对象数量上限，您可以放心使用。在升级之前已创建的桶，对象数量上限为4亿。除上述已完成升级的地域外，其余地域暂未升级，单桶的对象数量上限仍为4亿。当桶的对象数量达到该上限后，涉及新增对象的操作有被限制的风险。 对象 通过控制台上传单个对象最大为5GB。 通过SDK、API、客户端工具采用分段上传的方式，上传对象最大为48.8TB。 桶没有开启多版本控制功能时，对象删除后不可恢复，请谨慎操作。 资源包 只有开通了对象存储服务后才能购买资源包。 对象存储资源包各资源池节点需要单独订购，不可通用，资源包订购完即生效。 当月使用量超出已购资源包的额度，计费模式将自动转为按需付费。新购资源包不能抵扣已产生的资源用量。 归档存储的存储容量资源包不支持包年优惠，其他规格资源包支持包年优惠。 资源包可叠加订购，但不支持升级。 日志转存 开通日志转存会立刻生效，12个小时内的整点小时生成，比如8:05开通的，8点后的12个整点，即9点或10点生成。 版本控制 开启版本控制后将无法关闭，仅能暂停。 数据冗余策略 一旦选定后不可更改。 选择多 AZ 存储，数据会存储在同一地域的多个可用区中,可用性更高;单 AZ 则存储在一个可用区。 多 AZ 采用相对较高的计费标准。 生命周期规则 一个桶内最多可配置1000条生命周期规则。

限制项 说明 带宽 访问对象存储的带宽同时受用户本地公网带宽限制和单用户带宽上限影响。 单个天翼云账号在各地域的上行和下行带宽上限各为10Gbit/s。如果带宽达到阈值，请求会触发流控。 每TB存储量的保障带宽为16Mbit/s，即实际存放的数据容量每达到1TB，可获得16Mbit/s的保障带宽。存储的容量越大，获得的保障带宽越大，上限为10Gbit/s。 保障带宽为承诺可达到的带宽，闲时带宽可能高于该标准。 每秒请求数QPS（Query Per Second, QPS） 单个天翼云账号在每个地域的QPS上限均为10000，其中写请求上限是5000请求每秒，读请求上限是5000请求每秒。 存储桶 存储桶一旦创建成功，名称和所处地域不能修改。 桶名称全局唯一且不支持重命名。 用户在每个资源池的默认配额为100个桶，用户可通过工单申请扩大配额，最大配额1000个桶。 贵州3（2024年4月25日）、长沙42（2024年11月5日）、成都4（2024年11月12日）、华东1（2024年11月12日）、上海7（2024年11月12日）、杭州7（2024年12月3日）、内蒙6（2025年1月10日）、华北2（2025年3月28日）、重庆2（2025年4月15日）、昆明2（2025年4月15日）、北京5（2025年4月22日）、西南1（2025年5月9日）、华南2（2025年7月1日）、武汉41（2025年10月17日）、合肥2（2025年10月28）、芜湖4（2025年12月5日）已于括号内的时间完成升级。在资源池升级之后新创建的桶不再有对象数量上限，您可以放心使用。在升级之前已创建的桶，对象数量上限为4亿。除上述已完成升级的地域外，其余地域暂未升级，单桶的对象数量上限仍为4亿。当桶的对象数量达到该上限后，涉及新增对象的操作有被限制的风险。 对象 通过控制台上传单个对象最大为5GB。 通过SDK、API、客户端工具采用分段上传的方式，上传对象最大为48.8TB。 桶没有开启多版本控制功能时，对象删除后不可恢复，请谨慎操作。 资源包 只有开通了对象存储服务后才能购买资源包。 对象存储资源包各资源池节点需要单独订购，不可通用，资源包订购完即生效。 当月使用量超出已购资源包的额度，计费模式将自动转为按需付费。新购资源包不能抵扣已产生的资源用量。 归档存储的存储容量资源包不支持包年优惠，其他规格资源包支持包年优惠。 资源包可叠加订购，但不支持升级。 日志转存 开通日志转存会立刻生效，12个小时内的整点小时生成，比如8:05开通的，8点后的12个整点，即9点或10点生成。 版本控制 开启版本控制后将无法关闭，仅能暂停。 数据冗余策略 一旦选定后不可更改。 选择多 AZ 存储，数据会存储在同一地域的多个可用区中,可用性更高;单 AZ 则存储在一个可用区。 多 AZ 采用相对较高的计费标准。 生命周期规则 一个桶内最多可配置1000条生命周期规则。

版本 发布日期 说明 4.0 2026年03月24日 1. 支持免费版本。 2. 新增调整HBlock服务占用服务器内存参数功能。 3. 上云卷新增挂起卷功能。 4. 支持通过API设置本地卷的扩展属性。 5. 增加设置鉴权方式。 3.10 2025年09月25日 1. 支持target访问权限，实现客户端和target端权限管理。 2. 支持备份，基于快照生成独立于源卷的数据备份文件。 3. 支持设置QoS规则，从带宽和IOPS维度管控流量。 3.9 2025年04月21日 1. 支持快照功能，实现数据的快速备份与恢复。 2. 支持克隆卷功能，用于数据复制、测试验证等场景。 3.8 2025年02月14日 1. API签名方法变更，提升安全性。 2. 存储卷和缓存卷支持将数据上传至兼容 S3 的对象存储。 3. 支持设置基础服务的数据存储目录。 4. Target增加回收策略，支持无卷关联后自动删除。 5. 针对智算、虚拟化以及高可用敏感度等场景，支持一键调整系统参数。 6. 支持设置折叠副本数，允许数据副本/分片放在同一个故障域中。 3.7 2024年08月08日 1. 支持设置集群拓扑。 2. 支持创建和管理多存储池。 3. 支持机房和机架级别故障域。 4. 支持设置卷的高速缓存池。 5. 支持基础服务迁移。 3.6 2024年06月03日 1. 支持存储卷和缓存卷，将数据从后端上传到天翼云对象存储（经典版）I型。 2. 硬件及HBlock监控数据支持对接到Prometheus。 3. 支持HBlock告警信息对接到智能运维平台。 4. 优化读写性能。 5. 增加对龙芯服务器的支持。 3.5 2024年03月04日 1. 支持服务器、数据目录级别的故障域，支持磁盘级别的数据服务。 2. 支持指定基础服务的安装节点。 3. 支持数据目录配额，设置HBlock可写入的数据量上限。 4. Target可被多个客户端发现并连接。 5. 设置卷的最小写入副本数，提高数据写入安全性。 6. 扩大纠删码EC N+M支持范围，满足N+M<128。 3.4 2023年07月12日 1. 卷连接支持一主多备，提高业务可用性。 2. 支持IPv6环境。 3. 控制台提供Dashboard一页式概览。 4. 支持通过命令行查询CHAP密码。 3.3 2022年12月23日 支持安全移除服务器。 3.2 2022年09月26日 1. 监控项增加，扩大覆盖范围。 2. 增加对告警、日志管理的支持。 3. 事件中增加对系统事件的支持。 3.1 2022年06月14日 1. 单机版支持添加多个数据目录。 2. 集群版支持创建Target时指定对应的服务器，支持Target迁移。 3. 支持用户事件的记录和查询。 3.0 2022年01月18日 1. 命令行变更为非交互式。 2. 支持WEB、API调用方式。 3. 卷操作：支持设置卷的高可用类型和卷的写策略。 2.1 2021年08月27日 1. 增加对ARM服务器的支持。 2. 软件许可证：查看许可证时，可以显示允许的容量。 3. 卷操作：支持对卷进行主备切换，即卷对应的Active Target和Standby Target切换。 2.0 2021年05月28日 1. 支持集群版部署。 2. 支持多副本和纠删码数据冗余。