在监控c应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍采用Jaeger SDK方式上报c应用的链路数据,具体如下。 前提条件 完成vpce接入。 背景信息 Jaeger是Uber推出的一款开源分布式追踪系统，兼容OpenTracing API，已在Uber大规模使用，且已加入CNCF开源组织。其主要功能是聚合来自各个异构系统的实时监控数据。 接入步骤 1、安装依赖包 plaintext dotnet add  package Jaeger dotnet add  package OpenTracing dotnet add  package OpenTracing.Contrib.NetCore 2、查看接入点信息 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3、初始化SDK并设置exporters 新建文件JaegerServiceCollectionExtensions.cs，代码如下 plaintext using System; using System.Reflection; using Jaeger; using Jaeger.Reporters; using Jaeger.Samplers; using Jaeger.Senders.Thrift; using Microsoft.Extensions.Logging; using OpenTracing; using OpenTracing.Contrib.NetCore.Configuration; using OpenTracing.Util; namespace Microsoft.Extensions.DependencyInjection {     public static class JaegerServiceCollectionExtensions     {         private static readonly Uri jaegerUri  new Uri("endpoint"); //替换为上报数据的Endpoint         public static IServiceCollection AddJaeger(this IServiceCollection services)         {             if (services  null)                 throw new ArgumentNullException(nameof(services));             services.AddSingleton (serviceProvider >             {                 var serviceName  "";    //修改为自定义的服务名                 //ILoggerFactory loggerFactory  serviceProvider.GetRequiredService ();                 var loggerFactory  LoggerFactory.Create(builder >                   {                       // 添加控制台日志提供程序                       builder.AddConsole();                       // （可选）其他配置，例如设置日志级别                       // builder.SetMinimumLevel(LogLevel.Debug);                   });                 ISampler sampler  new ConstSampler(sample: true);                                  //将token替换为自己的鉴权token                 IReporter reporter  new RemoteReporter.Builder()                     .WithSender(new HttpSender.Builder(jaegerUri.ToString()).WithAuth("token").Build())                     .Build();                                 //IReporter reporter  new LoggingReporter(loggerFactory);                                 ITracer tracer  new Tracer.Builder(serviceName)                     .WithLoggerFactory(loggerFactory)                     .WithSampler(sampler)                     .WithReporter(reporter)                     .Build();                 GlobalTracer.Register(tracer);                 return tracer;             });             // Prevent endless loops when OpenTracing is tracking HTTP requests to Jaeger.             services.Configure (options >             {                 options.IgnorePatterns.Add(request > jaegerUri.IsBaseOf(request.RequestUri));             });                         return services;         }     } } 4、开启链路跟踪 plaintext using Jaeger; using Jaeger.Reporters; using Jaeger.Samplers; using Microsoft.Extensions.Logging; var builder  WebApplication.CreateBuilder(args); builder.Services.AddJaeger();        //ITracer对象的初始化和注册 builder.Services.AddOpenTracing();   //开启Http链路 builder.Services.AddControllers(); var app  builder.Build(); app.MapControllers(); app.Run();

本节主要介绍如何使用API添加服务器(集群版适用)。 此操作用来向集群中添加新的服务器。 请先在待添加的服务器上执行下列步骤： 1. 拷贝安装包至安装路径。 2. 解压安装包。 3. 执行 ./stor install命令安装。 然后在集群中的任意一台服务器上，执行添加服务器的操作。 注意 请确保Linux用户具有所需要端口的权限。Linux系统默认小于1024的端口不对没有root权限的Linux普通用户开放。 设置端口范围（portRange）时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 请求语法 plaintext POST /rest/v1/system/server HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "nodeName": nodeName, "parentName": nodeName, "description": description, "ip": ip, "apiPort": apiPort, "iSCSIPort": iSCSIPort, "portRange": port1port2, "diskPaths": [ { "path":path, "capacityQuota": capacityvalue }, { "path":path, "capacityQuota": capacityvalue }, …… ], "ports": { "dataPort1": dataPort1, "managementPort1": managementPort1, "managementPort2": managementPort2, "managementPort3": managementPort3, "managementPort4": managementPort4, "managementPort5": managementPort5, "managementPort6": managementPort6 } } 请求参数 参数 类型 描述 是否必须 nodeName String 节点名称。 取值：字符串形式，长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 默认使用服务器ID作为节点名称。 否 parentName String 父节点名称。 默认映射给根节点。 否 description String 服务器的描述信息。 取值：1~50位字符串。 否 ip String 要添加的服务器IP。 是 apiPort Integer 管理API端口。 取值：[1, 65535]，默认值为1443。 否 iSCSIPort Integer iSCSI端口。 取值：[1, 65535]，默认值为3260。 否 portRange String 指定端口范围。存储服务以及未指定端口的服务将从此范围中自动取值。 取值：[1, 65535]，port1为端口范围最小值，port2为端口范围最大值，且port1 < port2。 port1默认取值为20000，port2默认取值为20500。 说明 建议指定的端口范围至少包含500个端口。 否 diskPaths Array of diskPath 数据目录属性集合。包括path、capacityQuota，详见“表1 请求参数diskPath说明”。 否 ports.dataPort1 Integer 数据端口1。 取值：[1, 65535]。 否 ports.managementPort1 Integer 管理服务端口1。 取值：[1, 65535]。 否 ports.managementPort2 Integer 管理服务端口2。 取值：[1, 65535]。 否 ports.managementPort3 Integer 管理服务端口3。 取值：[1, 65535]。 否 ports.managementPort4 Integer 管理服务端口4。 取值：[1, 65535]。 否 ports.managementPort5 Integer 管理服务端口5。 取值：[1, 65535]。 否 ports.managementPort6 Integer 管理服务端口6。 取值：[1, 65535]。 否 表1 请求参数diskPath说明 参数 类型 描述 是否必须 path Sring 指定数据目录。数据目录用于存储数据，建议不要与操作系统共用磁盘或文件系统。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 否 capacityQuota Long 指定数据目录的容量配额，即针对加入到服务器中的每个数据目录，HBlock可写入的数据总量。当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 取值：小于数据目录所在磁盘的总容量，单位是bytes。负整数表示无限制写入，0表示禁止写入。 默认不限制写入。 注意 如果相同的数据目录出现多次，以第一次出现的数据目录的容量配额为准。 否

命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 步骤 1 在客户端所在主机的“/etc/hosts”文件中配置host和IP的映射关系，以便客户端能够快速解析实例的Broker。 其中，IP地址必须为实例连接地址（从前提条件获取的连接地址），host为每个实例主机的名称（主机的名称由您自行设置，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 步骤 2 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中， [kafkatar] 表示命令行工具的压缩包名称。 例如： tar zxf kafka2.122.7.2.tgz 步骤 3 根据SASL认证机制，修改Kafka命令行工具配置文件。 1、PLAIN机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAINsecurity.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 ssl.truststore.location配置为client.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 2、SCRAMSHA512机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.scram.ScramLoginModule required username"" password""; sasl.mechanismSCRAMSHA512 security.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 ssl.truststore.location配置为client.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 步骤 4 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 步骤 5 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist {连接地址} topic {Topic名称} producer.config ../config/producer.properties 参数说明如下： 连接地址：从前提条件获取的连接地址，如果是公网访问，请使用“公网连接地址”，如果是VPC内访问，请使用“内网连接地址”，请根据实际情况选择。 Topic名称：Kafka实例下创建的Topic名称。如果Kafka实例开启了自动创建Topic功能，此参数值可以填写已创建的Topic名称，也可以填写未创建的Topic名称。 本文以公网访问为例，Kafka实例连接地址为“10.3.196.45:9095,10.78.42.127:9095,10.4.49.103:9095”。 执行完命令后，输入需要生产的消息内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

本节主要介绍如何通过Nginx反向代理访问OBS。 背景 一般情况下，用户会通过OBS提供的桶访问域名（例如 但在某些场景下，用户需要通过固定的IP地址访问OBS，例如：某些企业出于安全考虑，对于可访问的外部地址需要设置黑白名单，而这个时候对于OBS的访问则需要一个固定的IP地址。同样出于安全考虑，天翼云OBS桶访问域名通过DNS解析的IP地址是会发生变化的，所以用户无法获取某个桶长期有效的固定IP地址。 此时，可以通过在ECS上搭建Nginx反向代理服务器，来实现通过固定IP地址访问OBS。 原理介绍 本实践将Nginx部署在ECS上，搭建Nginx反向代理服务器。用户对代理无感知，只需要将请求发送到反向代理服务器，然后由反向代理服务器向OBS获取数据，再返回给用户。反向代理服务器和OBS对外看做一个整体，仅暴露代理服务器的IP地址，隐藏了OBS真实的域名或IP地址。 图通过Nginx反向代理访问OBS原理 前置条件 已明确OBS桶所在区域和桶的访问域名，如苏州区域的桶：nginxobs.obs.cnjssz1.ctyun.cn。查看桶的信息 已在同区域购买Linux操作系统的ECS，本文以CentOS系统为例。 ECS已绑定EIP，EIP用于从公网下载必要的Nginx安装包。

本节介绍了SUSE 11 SP4如何安装growpart的方法。 操作场景 SUSE/openSUSE系列growpart工具是独立的工具包，不是以“cloud”开头。请参考以下步骤安装growpart工具。 操作步骤 1. 执行以下命令查询cloudinit和growpart是否已安装。 rpm qa grep cloudinit 回显如下： cloudinit0.7.839.2 回显如下： growpart0.298.1 2. 执行以下命令卸载已安装的cloudinit和growpart。 zypper remove cloudinit growpart 3. 执行以下命令清理残留文件。 rm fr /etc/cloud/ rm fr /var/lib/cloud/ 4. 执行以下命令安装growpart。 zypper install 5. 执行以下命令安装pythonoauth。 zypper install 6. 执行以下命令安装cloudinit。 zypper install 7. 执行以下命令查看growpart、pythonoauth和cloudinit是否安装成功。 rpm qa grep growpart 回显如下： growpart0.271.1 rpm qa grep pythonoauth 回显如下： pythonoauthlib0.6.01.5 pythonoauth1.0.135.1 rpm qa grep cloudinit 回显如下： cloudinit0.7.627.19.1 8. 执行以下命令检查配置。 chkconfig cloudinitlocal on;chkconfig cloudinit on;chkconfig cloudconfig on;chkconfig cloudfinal on

安装MSE Agent 1.下载 MSE Agent 下载路径：微服务治理中心控制台>应用治理>应用接入>ECS集群页面>下载Agent按钮。 2.进入Agent压缩包所在目录并将其解压至任意工作目录下 unzip MseAgent.zip –d /user.workspace/ 3.添加JVM参数到应用启动脚本中 在应用服务的启动脚本中添加以下JVM参数 javaagent:{user.workspace}/MseAgent/oneagent/core/oneagent@0.0.2/onejavaagent.jar Dmsgc.enabletrue Dmsgc.licenseKey{your licenseKey} Dmsgc.appName{your app name} Dmsgc.namespace{your namespace} Dmsgc.project{your project code} Dmsgc.group{your group code} Dmsgc.msc.endpointmsgc{regioncode}.cnspinternal.ctyun.cn:27144 noverify 参数解释： 标签名 标签值 msgc.licenseKey 是我们为您自动生成的接入凭证，请保管好此凭证，不要泄露给第三方。可在微服务治理中心控制台>应用治理>应用接入>ECS集群页面获取。 msgc.appName 是您的应用名，请将其替换成您自己的应用名。 msgc.namespace 是您接入的环境，默认可不填。如填写可在微服务治理中心控制台>应用治理>应用接入>ECS集群>环境规划页面获取。 msgc.project 是您接入的项目，默认可不填。如填写可在微服务治理中心控制台>应用治理>应用接入>ECS集群>环境规划页面获取。 msgc.group 是您接入的项目分组，默认可不填。如填写可在微服务治理中心控制台>应用治理>应用接入>ECS集群>环境规划页面获取。 4.验证应用已接入MSE 查看应用列表，确认你的应用已接入到微服务治理中心。

本文介绍如何在边缘虚拟机上安装CUDA。 CUDA为NVIDIA提供的运算平台，包含了CUDA指令集架构以及GPU内部的并行计算引擎。若想要在NVIDIA系列GPU上运行GPU加速计算任务，需要安装CUDA环境。 CUDA安装 安装前准备 步骤1、确认GPU驱动已安装。 shell nvidiasmi 步骤2、确认适配的CUDA版本。 安装步骤 步骤1、确定适配的CUDA版本，在CUDA Toolkit Archive查找适配CUDA软件包。 步骤2、点击进入，找到适配的runfile。 步骤3、执行下载命令，注意检查CUDA版本和GPU驱动版本是否一致。 shell wget 步骤4、执行安装命令。 shell wget 若已安装GPU驱动需要取消勾选Driver，若未安装GPU驱动请勾选安装。 步骤5、执行命令配置CUDA环境变量。 shell echo 'export PATH/usr/local/cuda/bin:$PATH' sudo tee /etc/profile.d/cuda.sh source /etc/profile 步骤6、检查安装是否成功。 shell nvcc V

下载SSL CA证书 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 点击【数据安全】菜单，SSL已开启状态，支持点击【下载证书】按钮进行下载。 5. 下载证书为压缩包，包含三个文件： ca.p7b 文件： 用于windows 系统中导入CA证书。 ca.pem 文件 ： 用于其他系统或应用中导入CA证书。 ca.jks 文件 ： Java中的truststore证书存储文件，密码统一为Ct SqlServer Jks，用于Java程序中导入CA证书链。 SSL 客户端连接登录 开启 SSL 加密后，客户端通过vip连接 SQL Server 实例时，分为信任服务器证书和不信任服务器证书两种场景。若信任服务器证书，则不需要配置 SSL CA 证书即可进行加密连接；若不信任服务器证书，则需要导入并配置 SSL CA 证书后，进行加密连接。下面以SQL Server Management Studio 客户端为例。其他非界面化客户端可以设置 Encrypt、TrustServerCertificate 参数。 场景一：加密连接且信任服务器证书 1. 打开 SQL Server Management Studio 客户端，单击对话框右下角的选项。 2. 在连接属性选项卡中，勾选加密连接 和信任服务器证书 ，并单击连接。

kubectl get pod NAME READY STATUS RESTARTS AGE csisnapshotupdatercronjob17580978006hjd9 0/1 Completed 0 9m csistorplugincontroller79df7bf49cjpm7m 4/4 Running 0 11m csistorpluginnode7l8qx 2/2 Running 0 11m csistorpluginnodem45dm 2/2 Running 0 11m snapshotcontroller0 1/1 Running 0 11m docker私仓导入镜像的方式 若节点数量较多，可以使用私仓方式安装HBlock CSI插件，避免在Kubernetes的所有节点上都导入插件。用户可先将插件镜像推送到私仓中，修改插件YAML文件的image地址为私仓中镜像地址，执行安装脚本即可完成安装。 在集群中任意一台服务器上执行下面的操作（以1.6.1的X86版本为例）： 1. 解压安装包。 plaintext unzip storcsidriver1.6.1x64.zip 2. 导入插件镜像。 plaintext cd storcsidriver1.6.1x64 docker load < storcsidriver.tar 3. 推送镜像到私仓。 plaintext docker tag storcsidriver:1.6.1 xxx.xxx.xxx.xxx:port/storcsidriver:1.6.1 docker push xxx.xxx.xxx.xxx:port/storcsidriver:1.6.1 其中，xxx.xxx.xxx.xxx:port为私仓地址。 4. 查看私仓。 plaintext cat /etc/docker/daemon.json 5. 修改YAML镜像拉取地址。 修改deploy/csistorpluginnode.yaml文件中storplugin对应image的value为xxx.xxx.xxx.xxx:port/storcsidriver:1.6.1。 plaintext volumeMounts: mountPath: /csi name: socketdir mountPath: /registration name: registrationdir name: storpluginnode

创建MySQL实例时，系统默认开启自动备份策略，您可以参考本文操作根据实际情况修改备份策略，修改后，系统将按照您设置的备份策略对数据库进行备份。 操作场景 MySQL服务的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。备份以压缩包的形式存储在对象存储服务上，以保证数据的机密性和持久性。 注意 由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。 设置自动备份策略后，会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，备份文件将按照策略中的保留天数进行存放，备份时长和备份文件占用的存储空间和实例的数据量有关。 关系数据库MySQL版支持自动备份，您可以根据业务需要自定义备份策略。关系数据库MySQL版会帮助您自动完成数据备份。 约束限制 备份时长与实例数据量大小成正比，如果数据量较大，备份需消耗的时间会较长。 全量备份时不允许重启数据库，请谨慎选择备份时间段。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败： 备份所属的实例正在执行DDL操作。 从备份所属的实例获取备份锁失败。 全量备份会占用节点资源，尤其是磁盘带宽。可能会导致实例吞吐量下降，复制时延等问题。

电脑扫描策略 “全盘扫描”，会在桌面绑定规则后，将桌面内已有的所有exe，msi文件扫描到白名单中。 “仅扫描系统文件与指定路径”，则只将系统文件以及指定路径下的文件加入白名单。 注：如果白名单规则有绑定桌面，则此策略无法修改。如需更改，请先解绑当前规则下的所有桌面。 审批放行策略 “安装过程中产生的程序均自动放行 ”，即在管理员放行安装的主程序后，将自动放行该程序后续产生的子程序（不包含安装成功后，正常运行时新增的程序，如自更新程序、插件等）。 “匹配相似程序并自动放行”，即在管理员放行安装程序后，会自动放行与该程序名称与MD5两项信息相匹配的程序（针对解决某些应用的插件等程序频繁调用导致重复拦截的情况）。 程序拦截策略 “不拦截升级/插件类程序”， 即自更新/插件类型程序均不拦截（此类程序不加入白名单列表），需满足以下条件：1.父进程在白名单； 2.父进程不属于：explorer.exe、cmd.exe、浏览器、迅雷、网盘、IM； 3.自身非安装包。 “不拦截指定签名的程序”，即可配置签名，程序签名与配置签名相符则自动放行。 “不拦截指定路径的程序”，即可配置指定路径，该路径下面的所有程序均不拦截（此类程序不加入白名单列表）。

本节介绍应用市场常见问题。 为什么要开启应用管控? 为避免员工操作不当或违规使用不安全的应用，给企业带来不必要的麻烦。 帮助企业高效有序的管理员工使用桌面的行为。为员工提供一个便捷安全的办公环境。 应用市场客户端中没有我想要的应用怎么办? 可联系所在企业的管理员，在管理台上架并推送各类应用。如果为常用应用，也可以向平台推荐，我们将视情况上架。 使用白名单规则还是黑名单规则? 如企业没有严格的应用使用规定，建议使用黑名单规则进行管控，而白名单规则的管控相对更为严格。 运行某些应用一直被拦截，怎么办? 若为安装包、请点击“申请上架”或联系管理员上架到应用市场后再安装运行，若是普通程序可批量提交电请放行。若是同一插件程序反复被拦截，但不影响其他功能使用的，建议设置“不提醒”。 放行申请同意了，为什么程序还是不能运行? 审批流程通知与放行生效有可能因为网络等特殊原因产生延迟，请等待几分钟后再试即可。如遇仍无法运行的情况，请联系租户管理员或运维人员处理。 使用黑名单规则，被拦截的程序是否可以申请放行? 不可以，目前黑名单规则内的程序均为管理员设置禁止运行的，故不提供申请入口。 开启审批流程后，不想使用了，怎么办? 对于已开启的审批流程，可在相应设置策略中设为不使用审批流程即可，如“应用管控”“管控策略”，选择不使用审批流程。

section55fb79655ac8d329)。 实例IPv6 单机版：显示单机节点本身内网IPv6地址。 集群版：显示集群VIP的IPv6地址。 公网代理IPv4 绑定在实例上的IPv4公网地址，用于互联网IPv4通信。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信。 节点信息 显示实例节点的健康状态，集群版有多个节点，可以切换节点。 基本信息：支持查看节点的IPv4地址、IPv6地址、节点属性、可用区、资源趋势图。 资源趋势图： 支持按均值、峰值查看资源趋势图。 支持按照最近一小时、最近一天、最近一周进行过滤。 支持显示节点当前运行的CPU、内存、磁盘、网络信息。 参数 说明 CPU 显示当前节点CPU利用率统计情况。 内存 显示当前节点内存使用情况，包括使用中、剩余可用、总内存的使用情况。 磁盘 显示当前节点系统盘和数据盘占用情况。 网络 显示当前节点发送和接收数据包情况。 网卡： 实例在一类节点区域：显示当前节点绑定的主网卡以及辅助网卡列表。且支持为主网卡更换子网，解绑辅助网卡，详细操作请参见配置实例节点网络信息。 实例在二类节点区域：您可以单击“绑定网卡”进入对应云主机详情页面，在该页面查看、添加、删除网卡，相关文档请参见添加网卡。 弹性IP： 实例在一类节点区域：显示当前绑定的弹性IP列表。且支持绑定、解绑弹性IP，详细操作请参见[绑定弹性IP](

选择系统防护页签，可对终端设置防护。 参数 说明 病毒防护 针对网络中流行的病毒、木马进行全面查杀。 系统登录防护 配置登录权限。 配置病毒防护 病毒查杀用于对网络中流行的病毒、木马进行全面查杀。适用于需要自定义修改配置策略模板病毒防护场景。 1. 选择病毒查杀页签。 2. 配置检测引擎、实时防护等参数。 详细配置请参见下表： 参数 说明 通用设置 检测引擎 检测引擎选项： 默认引擎（高性能跨平台通用引擎，建议开启）。 深度扫描引擎（开启后将占用200MB磁盘空间，深度扫描引擎占用内存更多，但扫描速度更快（进行压缩包扫描时需要选择“深度扫描引擎”）。 网马引擎（网马专用引擎，根据网马特征扫描）。 通用设置 检测提升 扫描缓存加速（建议开启）。 病毒扫描 扫描模式 极速扫描。 低资源扫描，CPU使用率低于限额（默认50%，建议不低于20%）。 实时防护 扫描时机 默认全部勾选，用户可根据实际场景进行勾选。 当文件被执行时，将会触发实时防护功能。 当文件被修改时，将会触发实时防护功能。 当存储介质被连接时，将会触发实时防护功能。 实时防护 处理方式 发现病毒（文件执行、文件修改、存储介质连接时）后的处理方式： 自动处理（优先进行文件修复，修复失败后再隔离）。 仅记录。由用户自行选择。 删除（删除病毒文件）。

企业应用系统在不使用网关情况下，可以直接连接OOS吗？通过网关进行连接，有哪些优势？ 接入OOS可以采用web门户、编程API接口、云存储网关三种方式。若企业应用系统直接对接OOS，则需要进行企业应用系统的接口改造，涉及到一定的开发工作量。采用云存储网关方式，则对原有系统是零改造。 通过云存储网关产品接入OOS有哪些注意事项？ 云存储网关映射的iSCSI 设备和OOS的Bucket对应，每个设备可以指定一个OOS云存储空间，多个设备可以指定到同一个 Bucket；每卷最大容量 1 PiB；用户在云存储网关设备上存储的文件，以对象的方式写入OOS中；一个存储卷只允许一个客户端访问。 云存储网关适用于哪些客户？ 适用于有海量非结构化数据上云需求且不计划进行企业应用系统接口改造的客户，集中在视频监控、广告媒体、工程设计等应用场景。 云存储网关软件如何升级？ 用户可以联系天翼云技术支持索要软件安装包进行升级操作。依照用户手册中的升级步骤，即可完成升级操作。升级过程中不会影响客户的正常业务。云存储网关支持灰度升级，即支持已升级和未升级的服务器同时正常服务，但是为了降低故障发生的风险，不建议不同版本的服务器长时间运行。 云存储网关支持哪些扩容方式？ 云存储网关支持通过扩容新存储服务器和扩容现有节点中硬盘的方式，来扩容本地存储空间。并且不要求各个服务器上的磁盘数量一样。

本文是通过程序代码连接集群实例的Python示例。 本章节主要介绍通过Python语言的MongoDB客户端连接集群实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节是通过程序代码连接副本集实例的Python示例。 本章节主要介绍使用Python语言连接副本集实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节主要介绍维护应用组件实例 伸缩应用组件 您可以根据业务需求自行定义伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。具体操作请参考设置应用组件实例伸缩策略。 启停应用组件 应用组件部署以后，可以根据需要启动或者停止。 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入到应用组件“概览”页。 3、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 4、进行启停操作。 单击待停止应用组件卡片上的“操作 > 停止”，停止状态为“运行中”、“未就绪”的应用组件。 单击待启动应用组件卡片上的“操作 > 启动”，启动状态为“停止”的应用组件。 单击待重启应用组件卡片上的“操作 > 重启”，重启状态为“运行中”、“未就绪”的应用组件。 升级应用组件 应用组件部署以后，可以根据需要重新部署软件包，修改应用组件配置。 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入到应用组件“概览”页。 3、在“环境视图”页签，选择“环境”，可查看到已经部署在该环境下的应用组件。 4、在待升级应用组件卡片上，选择“操作 > 升级”。 5、请根据业务需求更新配置和版本。 注意 如果组件版本号未修改，发生故障时将无法回退到历史版本。 6、应用高级设置请参考应用高级设置。 7、配置完成后，单击“重新部署”。 8、单击“确定”，等待组件升级完成。

tracelocks (boolean) 如果开启，发出锁使用情况的信息。被转储信息中包括锁操作的类型、锁的类型和被锁或被解锁对象的唯一标识符。同样包括的还有已经授予这个对象的锁类型的位掩码和等待这个对象的锁类型的位掩码。对每一种锁类型，已授权锁和等待锁的计数也会被一起转储。 被转储结构的详细信息可以在src/include/storage/lock.h中找到。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 tracelwlocks (boolean) 如果开启，发出轻量级锁的使用信息。轻量级锁主要是为了提供对共享内存数据结构的互斥访问。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 traceuserlocks (boolean) 如果开启，发出关于用户锁使用的信息。与tracelocks的输出一样，但只用于咨询锁。只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 tracelockoidmin (integer) 如果设置，不会跟踪小于这个OID 的锁（用于避免在系统表上的输出）。只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 tracelocktable (integer) 无条件地跟踪此表（OID）上的锁。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 walconsistencychecking (string) 此参数旨在用于检查WAL重做例程中的错误。启用时，与WAL记录一起修改的任何缓冲区的全页图像都会添加到记录中。如果记录随后重播，则系统将首先应用每条记录，然后测试记录修改的缓冲区是否与存储的图像匹配。在某些情况下（如提示位），较小的变化是可以接受的，并且将被忽略。任何意想不到的差异都会导致致命的错误，终止恢复。 此设置的默认值是空字符串，它将禁用该功能。可以将它设置为all以检查所有记录，或者资源管理器的逗号分隔列表，以仅检查源自这些资源管理器的记录。目前，支持的资源管理器是 heap、heap2、btree、hash、gin、gist、sequence、spgist、brin和generic。只有超级用户可以更改此设置。

本节给出部署HBlock单机版示例。 应用场景 服务器IP地址为：192.168.0.32，API端口号为1443，WEB端口号为2443，安装路径为/mnt/stor（挂载磁盘/dev/vdd），数据目录为/mnt/storage01（挂载磁盘/dev/vdc）、/mnt/storage02（挂载磁盘/dev/vda）。 创建卷：本地模式的卷luna1，对应iSCSI Target为targeta，卷容量为100G；缓存模式卷lunb1，对应iSCSI Target为targetb，卷容量为200G；存储模式卷lunc1，对应iSCSI Target为targetc，卷容量为300G。 缓存模式和存储模式卷对应的OOS存储桶为：hblocktest3。 HBlock系统名称为stor1，HBlock登录用户名为storuser，登录密码为hblock12@。 操作步骤 说明 以HBlock 4.0为例。 1. 完成以下准备工作：安装路径/mnt/stor，数据目录/mnt/storage01、/mnt/storage02。OOS存储桶hblocktest3，AK/SK，前缀stor1。 2. 将安装包放到服务器欲安装HBlock的目录下并解压缩，进入解压缩后的文件夹。 plaintext [root@hblockserver stor] ls CTYUNHBlockPlus4.0.0x64.zip [root@hblockserver stor] unzip CTYUNHBlockPlus4.0.0x64.zip …… [root@hblockserver stor] cd CTYUNHBlockPlus4.0.0x64 [root@hblockserver CTYUNHBlockPlus4.0.0x64] 3. 安装并初始化HBlock。 1. 安装HBlock。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64]

前置条件 注意 本方案仅作为实践演示，具体环境以用户实际需求为准。 执行本文操作之前， 请完成以下准备工作： 注册天翼云账号，并完成实名认证。 天翼云账户余额需要大于100元。 为了便于演示，本文中涉及资源开通时，均默认选择按量付费模式。 实践步骤 数据集管理 进入数据集管理模块，点击【创建数据集】，在弹窗中创建一个数据集，录入数据集名称，数据类型选择“文本”，标注类型选择“指令微调”、标注模版选择“指令微调”，点击【创建并导入】。 数据导入页面支持从媒体存储上传、本地上传、上传压缩包、从互联网链接导入。这里我们选择上传，导入方式选“JSON”。 对导入成功的数据，在数据集列表操作列点击【标注】，进入在线标注页。 指令微调数据标注：instruction、input、output是指令微调的3个字段，instruction代表指令要求，input代表指令输入，output代表模型根据指令和输入执行的结果。撰写完成点击【下一篇】按钮进行下一条数据的处理。标注页面右侧可以对该条数据进行打标审核。 标注完成后，在数据集列表，选择对应数据集，点击右上角【发布】，完成发布后的数据集才能供后续的训练使用。 可以将标注后的数据从MySQL转换为JSON格式，便于训练。 如果您希望训练过程中训练速度更快的话，可以点击【加速】，将数据从对象存储转存到快速存储中进行加速。

本文介绍如何升级物理机的备份客户端。 操作场景 云备份服务需要搭配备份客户端使用，当安装的客户端不是最新版本时，您可以选择升级客户端至最新版本。 前提条件 物理机已安装客户端，且客户端不是最新版本。 物理机客户端的状态需为“已激活”。 物理机状态为“运行中”，且没有备份任务、恢复任务正在执行。 操作步骤 物理机客户端升级 1. 登录控制中心。 2. 在控制中心左上角点击，选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧导航栏“物理机文件备份”页签，您可进入物理机文件备份页面。 5. 单击“物理机资源”，进入物理机资源页面，您可查看当前地域下所有物理机备份客户端的信息。 6. 如果某个客户端版本不是最新版，在“客户端版本”列会显示“升级”按钮。 7. 找到待升级的客户端所在行，单击“升级”。进入“升级客户端”确认页面。 8. 可以根据需要选择执行升级命令或手动下载升级安装包的方式进行客户端升级。 注意 升级过程中不能对物理机进行关机、重启等操作，否则会导致升级失败。升级客户端会导致正在执行的备份任务、恢复任务中断并失败，建议在没有任务执行的情况下对客户端进行升级。

本章节介绍如何使用ZooKeeper导入和导出数据 概述 ZooKeeper提供通过快照（Snapshot）导入数据，同时支持导出快照（Snapshot）和事务日志（Trransaction log）文件。本文介绍如何使用ZooKeeper导入和导出数据。 前提条件 已开通微服务引擎MSE，参考章节：创建ZooKeeper引擎 开通ZooKeeper实例并且状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在左侧导航栏，选择数据管理> Znode管理 > 数据导入导出。 数据导出 在Znode管理中，点击数据导出按钮，选择导出的数据类型，目前仅支持导出最新的快照文件和最新的3个事务日志文件。导出过程预计需要2到5分钟，导出完毕后可以在下载列表获取文件。 点击下载按钮，即可下载相关文件的压缩包。如果导出失败，请按照报错信息及提示重新操作导出。 数据导入 单击导入后，选中要导入的快照文件进行导入，目前仅支持Snapshot格式的快照文件导入，请注意导入文件格式。考虑容量安全问题，数据导入功能目前限制导入的文件大小为200M。 导入文件会导致集群短暂不可用，原本集群的数据将被重置，集群将重新选主。

数据拷贝源端挂载 迁移机器上安装支持 NTFS 文件系统的 ntfs3g软件包，并挂载客户的硬盘： plaintext yum install y ntfs3g ntfs3g /dev/sdd1 /mnt/ntfs o rw,bigwrites,noatime 为了进一步提升机械盘的性能，将该硬盘的预读大小和 IO 队列长度做了修改（修改预读和 IO 队列是磁盘调优的方法，配置参数并不通用，需要测试），之后测试迁移带宽达到150MB/s 左右的限值。 plaintext cd /sys/devices/pci0000:00/0000:00:14.0/usb2/23/23.3/23.3:1.0/host16/target16:0:0/16:0:0:0/block/sdd/queue/ echo 4096 > readaheadkb 预读扩大到4M echo 4096 > nrrequests IO队列扩大到4096 数据拷贝目的端挂载 挂载用户已开通HPFS的客户端： plaintext mount t lustre o seckeyxxxxxx 11.2.xxx.x@tcp0:11.2.xxx.x@tcp0:/hp0001/yZcQcAXicFaxxxxxxxxxxxxyqum9s2bu3 /mnt/shar 迁移命令执行 因为当前用例是单个机械盘进行数据拷贝，并行执行无法提高速度，所以使用单任务 rsync更合适。执行迁移命令： plaintext nohup rsync a partial inplace v /mnt/ntfs/ /mnt/share/ & 命令执行后查看 nohup文件和使用 iostat及 df工具观察迁移过程，在迁移大文件时，带宽能到200MB/s，在迁移小文件时带宽会比较小，属于正常状况。

本节介绍网络ACL的操作说明。 操作场景 网络ACL是对子网访问控制的系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网，实现控制AI云电脑的网络访问。 网络ACL的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。 创建网络ACL 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“网络ACL”，进入网络ACL管理页面； 3. 点击“创建网络ACL”按钮，进入创建网络ACL页面 4. 输入网络ACL的“名称”、“描述”信息； 5. 点击“确定”，即完成网络ACL的创建。 添加入方向规则 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“网络ACL”，进入网络ACL管理页面； 3. 选择需添加入方向规则的ACL所在行，点击“配置规则”按钮，进入网络ACL详情页面； 4. 选择“入方向规则”，进入入方向规则管理页面； 5. 点击“添加规则”按钮，进入添加入方向规则页面； 6. 配置入方向规则的“名称”、“类型”、“策略”等信息； 7. 确认配置信息后，点击“确定”，即完成入方向规则的创建。

本文为您介绍创建的目录、文件权限不足的问题现象、问题原因和解决方案。 问题现象 手动执行如下命令，出现如下报错日志。 ssh p 22 o ConnectTimeout10 o StrictHostKeyCheckingno teledb@10.218.14.144 sudo yum y install dos2unix expect readline createrepo nettools lsof uuid 经过排查发现目录文件权限不对，用户组不具备读写操作权限。 原因分析 执行umask命令，发现其设置的值与实际不相符，查找出位0027，实际上位022才对，导致用户创建的文件或者目录用户组权限不对。 解决方案 方式一 1. 执行如下命令，给解压出的安装包赋予读写执行权限。 cd /app sudo chmod R 755 teledbxv2.8.6centos.x8664 sudo chown R teledb:teledb teledbxv2.8.6centos.x8664 ssh p 22 o ConnectTimeout10 o StrictHostKeyCheckingno teledb@10.218.14.144 sudo yum y install dos2unix expect readline createrepo nettools lsof uuid 2. 重新install，当出现如下回显信息表示安装成功。

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

本小节介绍服务器安全卫士的应用场景。 主机安全防护 主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件。有主机的地方就需要主机入侵检测。 发现新型漏洞 至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

问题解决（Windows） 1. 以administrator权限用户登录弹性云主机或物理机。 2. 进入任务管理器，查看telescope进程是否存在。 当包括图1和图2两个进程时，表示telescope进程正常。 图1 agent进程Windows 图2 telescope进程Windows 进程正常：请执行4。 进程异常：请执行3。 3. 双击start.bat，启动Agent。 4. 访问 可访问：表示委托正常，排查结束。 不可访问：请执行6。 5. 执行如下命令，检查路由： route print 当返回如下信息时，表示路由正常： 图 路由配置正常Windows 路由正常：排查结束。 路由异常：请执行7。 6. 当路由不存在时，执行如下命令，添加路由： route add host 169.254.169.254 gw 192.168.0.1 说明 上述命令192.168.0.1为云主机的网关，请根据实际情况修改配置。 问题是否解决？ 解决：排查结束。 未解决：执行7。 7. 打开telescope安装包存放目录bin/confces.json配置文件。 8. 获取telescope配置文件中的Endpoint。 9. 执行如下命令，确认DNS解析是否正常。 ping 上一步获取得Endpoint地址 网络正常：排查结束。

错误码 管理控制台提示信息 处理建议 Ecs.0000 请求错误，请稍后重试或联系客服。 请参见《弹性云主机接口参考》，按照要求调整请求结构体。 Ecs.0001 租户弹性云主机或云硬盘配额不足，请联系客服申请扩大云主机配额。 请联系客服申请扩大弹性云主机配额。说明您在申请云主机配额时，需评估待申请的云主机需要占用的云主机个数、CPU核数（vCPU）以及内存（RAM）容量，统一调整配额。 Ecs.0003 没有操作权限或费用不足，请联系客服检查帐户情况。 请联系客服检查帐户情况。 Ecs.0005 参数非法，请参考FAQ或联系客服。 请参见《服务器接口参考》，按照要求调整请求结构体。 Ecs.0010 私有IP地址已经被使用，请重新选择未使用的IP地址，进行云主机的创建。 重新选择未使用的IP地址，进行云主机的创建。 Ecs.0011 密码不符合规则，请调整对应的密码，使其满足密码复杂度要求，并重新执行操作请求。 调整对应设置的密码，使其满足密码复杂度要求，并重新执行操作请求。 Ecs.0012 子网IP地址不足，请清理所选子网内的空闲IP地址，或者选择新的子网进行云主机的创建。 清理所选子网内的空闲IP地址，或者选择新的子网进行云主机的创建。 Ecs.0013 弹性IP配额不足，请联系客服申请扩大弹性IP配额。 联系客服申请扩大EIP配额。 Ecs.0015 该类型磁盘不适用于该类型云主机。 重新选择合适类型的磁盘来执行挂载云主机操作。 Ecs.0100 云主机状态不符合要求，请将云主机变更至指定的状态后重试操作。 将云主机变更至指定的状态后重试操作。 Ecs.0103 云磁盘状态不可用 将云主机变更至指定的状态后重试操作。如果云磁盘状态故障，需要联系客服进行排障处理。 Ecs.0104 云主机可挂载云硬盘槽位不足 您需要调整该云主机挂载的云硬盘，以保证新云硬盘可以挂载到指定弹性云主机上 Ecs.0105 云主机无系统盘 您需要将系统盘挂载回云主机后，再次执行相应操作。 Ecs.0107 云主机可挂载共享云硬盘数量超过了可挂载的规格数量 您需要调整该云主机挂载的云硬盘，以保证新云硬盘可以挂载到指定云主机上。 其他异常编码 其他异常提示 您可以选择重新执行操作请求，或者记录当前异常返回的错误码信息，联系客服进行处理。

本节简要介绍访问控制基本信息。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载对象的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 购买操作步骤： 步骤一：登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二：进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三：点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 • 当实例的“状态”变为“运行中”时，说明实例创建成功。 • 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。