1.4 下载模型文件 DeepSeek 模型体积较大，建议通过 huggingface 或 modelscope 平台进行下载，并将模型存储在每台计算节点的 NVME 磁盘中，例如存储在 /mnt/nvme1n1/model 目录下。推荐使用 DeepSeekR1ChannelINT8 模型，模型存储路径示例：/mnt/nvme1n1/model/DeepSeekR1ChannelINT8 。 二、起停服务 2.1 配置 DeepSeek 在 /home/sglang 目录下创建 srun.sh 文件，文件内容如下： !/bin/bash SBATCH N 2 SBATCH ntasks2 SBATCH exclusive SBATCH partitionbatch SBATCH J deepseek SBATCH o log/logds%J.out SBATCH gresgpu:8 export NCCLDEBUGINFO export NCCLSOCKETIFNAMEbond0 export NCCLIBHCAmlx50,mlx51,mlx55,mlx56 export OMPNUMTHREADS8 export HFDATASETSNUMTHREADS8 export TRANSFORMERSOFFLINE1 export SGLANGIMGsglangv0.4.5.post3cu125.sif export MODELDIR/mnt/nvme1n1/model/DeepSeekR1ChannelINT8/ export MODELNAMEDeepSeekR1 export NODES$(scontrol show hostnames $SLURMJOBNODELIST) export MASTERADDR$(scontrol show hostnames "$SLURMJOBNODELIST" head n 1 hostname i) readarray t NODEARRAY <<< "$NODES" for i in "${!NODEARRAY[@]}"; do NODENAME"${NODEARRAY[$i]}" NODERANK"$i" echo $NODENAME,$NODERANK,$SLURMNNODES srun nodes1 nodelist$NODENAME ntasks1 gresgpu:8 cpuspertask 64 output"log/logds%J.out" error"log/logds%J.err" apptainer exec nv nohome writabletmpfs B $MODELDIR:/root/.cache/huggingface $SGLANGIMG python3 m sglang.launchserver modelpath /root/.cache/huggingface servedmodelname $MODELNAME host 0.0.0.0 port 8000 trustremotecode tensorparallelsize 16 enabletorchcompile torchcompilemaxbs 8 quantization w8a8int8 distinitaddr $MASTERADDR:5000 nnodes $SLURMNNODES noderank $NODERANK & done wait 用户可根据实际情况修改以下三项配置内容： SGLANGIMG：指定 sglang apptainer 镜像容器，后续可根据需求自行升级替换。示例配置：export SGLANGIMGsglangv0.4.5.post3cu125.sif MODELDIR：设置模型的具体存储位置。示例配置：export MODELDIR/mnt/nvme1n1/model/DeepSeekR1ChannelINT8/ MODELNAME：定义显示的模型名称。示例配置：export MODELNAMEDeepSeekR1

SpringCloud应用接入Nacos配置中心 将Spring Cloud应用快速接入Nacos配置中心，集成Nacos配置管理功能，可遵循如下步骤。 前提条件 下载Maven并设置Maven环境变量。 已有Spring Cloud应用。 已创建MSE Nacos引擎。 在控制台创建配置 1. 进入MSE注册配置中心控制台，点击实例ID进入您创建的Nacos实例，点击配置管理>配置列表，选定命名空间如prod，点击创建配置。填写配置的Data ID、Group和配置内容，示例如下： Data ID：nacosprovider Group：testgroup 配置内容：config1abc 2. 选定配置格式为Properties，点击发布。 3. 接下来为prod命名空间建立读写权限用户。 4. 点击权限控制>用户管理，点击创建用户，填写您的用户名密码，点击确认。 5. 点击权限控制>角色管理，点击添加角色，填写角色名为PRODADMIN，用户名下拉框选中您刚才所创建的用户，点击确认。 6. 点击权限控制>权限管理，点击添加权限，角色名选择PRODADMIN，命名空间选择prod，动作选择“读写”，点击确认。 客户端接入配置中心 在您的Spring Cloud应用中引入如下依赖，替换其中￥{springcloudstarter.version}为与当前应用SpringBoot、SpringCloud版本适配的springcloudstarteralibabanacosconfig版本，替换其中{nacosclient.version}为当前开源nacosclient的最新稳定版，推荐替换为版本2.3.2。 com.alibaba.cloud springcloudstarteralibabanacosconfig ${springcloudstarter.version} com.alibaba.nacos nacosclient com.alibaba.nacos nacosclient ${nacosclient.version} 在应用配置bootstrap.properties（或yml）中添加Nacos相关参数，其中{yournacosaddr}填写ip:port格式的Nacos服务端节点地址，多个节点用英文逗号分隔。 spring.application.namenacosprovider spring.cloud.nacos.config.serveraddr{yournacosaddr} spring.cloud.nacos.config.namespaceprod spring.cloud.nacos.config.username{yournacosusername} spring.cloud.nacos.config.password{yournacospassword} 注意 若您的SpringBoot版本大于等于2.4，还需要额外添加依赖springcloudstarterbootstrap以使能bootstrap.properties： org.springframework.cloud springcloudstarterbootstrap 在应用代码中添加如下Controller，通过访问/getConfig1路径来获取config1动态配置： @RestController @RefreshScope public class ProviderController { @Value("${config1:default}") private String config1; @GetMapping("/getConfig1") public String getConfig1() { log.info("/getConfig1"); return config1; } } 启动应用。应用启动成功后，会自动连接到Nacos配置中心。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

本节主要介绍如何审核剧本版本。 前提条件 已提交剧本，具体操作请参见提交剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“审核”，弹出审核剧本版本页面。 7. 在审核剧本版本页面，填写审核信息，审核剧本版本参数说明如下表所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后剧本版本状态更新为已激活。 驳回，驳回后剧本版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 当“审核意见”为“驳回”时，需要填写该参数。 输入审核意见（当审核意见勾选驳回时必填）。 说明 当前剧本仅有一个剧本版本时，审核通过后的剧本“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核剧本版本。 后续处理 剧本版本审核后，需要启用剧本，详细操作请参见启用剧本。

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 使用SSH密钥对登录，无需输入密码。该方式可以提供更高的安全性和便利性。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 您已经获得用于创建Linux云主机时所使用的密钥对文件，该文件为私钥。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 说明 出于安全考虑，通常会修改Linux远程登录端口。如果您需要修改默认登录端口，请参考 本地使用Windows操作系统 在本地使用Windows操作系统登录Linux云主机，您可以按照以下方式使用PuTTY进行登录。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录Linux云主机。在使用PuTTY登录Linux云主机之前，需要将私钥文件转换为.ppk格式。 1. 检查私钥文件是否已经是.ppk格式。 如果是.ppk格式，请执行步骤7。 如果不是.ppk格式，请执行步骤2。 2. 您可通过官方途径下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对并生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”， 导入您在创建Linux云主机时保存的私钥文件。请注意，在导入时确保选择了"All files (.)"格式。 5. 单击“Save private key”。 6. 将转换后的私钥保存到本地，例如：kp101.ppk。 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 在"Session"中，输入Linux云主机的弹性IP地址到"Host Name (or IP address)"输入框中。 9. 在"Connection”>“Data"中，输入镜像的用户名到"Autologin username"处。 10. 在"Connection > SSH > Auth"中的"Private key file for authentication"配置项下，单击"Browse"，选择转换后的密钥文件。 11. 单击“Open”，登录Linux云主机。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

本文介绍如何在控制台进行待办事项处置。 功能说明 企业员工在客户端提交权限申请或者提交问题/建议反馈后，您可以在控制台的审批处理页面管理并处理员工的权限申请和问题建议。 注意 如果您要使用问题反馈功能，请更新客户端到2.0.x版本。 如果您要使用权限申请功能，请更新客户端到2.1.x以上版本，如有需求请 操作步骤 1. 登录边缘安全加速控制台，选择控制台【AOne零信任】； 2. 在左侧导航栏，选择【待办事项】，进入待办处理页面； 3. 待办事项处理页面分为两个模块：权限审批和问题反馈，默认展示权限审批页面。您可以通过点击对应的卡片切换不同处理列表。 权限申请 权限审批页面默认列表展示当前员工权限申请信息，可进行相关查看以及配置权限申请策略。 权限申请列表 展示权限申请的概览情况，点击可以快速过滤查询。 您可以通过应用名称、申请授权人员、流程状态、当前处理人对权限申请条目进行筛选查询；针对待审批的单条权限申请，您可以对其进行通过、驳回、撤销、删除等操作；对于已完成或者已驳回的权限申请，您可以按需删除工单，管理申请记录。

此小节介绍云堡垒机登录系统概述。 开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问云堡垒机，并参考表配置实例安全组。 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 :::: 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 22333 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53

本节主要介绍如何审核流程版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击目标流程所在行的“操作”列的“审核”，弹出审核确认框。 7. 在审核确认框中，选择“审核意见”，参数说明如下表所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后流程版本状态更新为已激活。 驳回，驳回后流程版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 输入审核意见（当审核意见勾选驳回时必填）。 说明 审核驳回后的流程版本可进行编辑，具体操作请参见 流程版本状态变化： 当前流程仅有一个流程版本时，审核通过后的流程“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核流程版本。

是否可以通过控制中心远程登录 SSH登录失败时，请首先尝试能否通过管理控制中心远程登录物理机。 1. 登录管理控制中心。 2. 选择“计算 > 物理机”。 3. 选择待登录的物理机，单击“操作”列的“远程登录”。 开始建立连接，大约1分钟后进入登录界面，按“Enter”后输入用户名“root”和密码。 排查思路 远程登录物理机正常，但无法通过SSH连接方式登录物理机时，我们推荐您按照以下思路排查问题。 检查网络是否正常 请确保您的计算机与物理机在同一网络中。 检查网络连接是否稳定，排除网络故障的可能性。 安全组配置是否正确 请确保物理机所在的安全组配置允许SSH连接。 检查安全组规则是否正确设置，确保SSH端口（默认为22）是开放的。 “/etc/fstab”文件中未注释非系统盘信息 检查"/etc/fstab"文件是否有非系统盘（数据盘）的配置，并确保这些配置正确注释或配置正确。 远程访问端口配置异常 检查物理机的SSH服务是否启动，并且监听正确的端口（默认为22）。 请确保网络中没有其他设备占用了相同的端口。 CPU负载过高 检查物理机的CPU使用率，如果CPU负载过高可能会导致SSH连接失败。 如果负载过高，尝试释放物理机的资源或优化应用程序以减轻CPU负载。 如果上述指导无法帮助您远程登录物理机，请记录资源信息和问题发生时间，然后提交工单，联系天翼云技术支持。 远程登录物理机时，对浏览器版本有什么要求？ 用户使用远程登录方式访问物理机时，需要使用兼容的浏览器版本。以下是支持的浏览器版本列表： 浏览器 版本 Google Chrome 31.075.0 Mozilla Firefox 27.062.0 Internet Explorer 10.011.0 请确保您使用的浏览器版本在上述范围内，以获得最佳的远程登录体验。如果您的浏览器版本不在支持列表中，建议您升级至兼容的版本或尝试其他支持的浏览器。

本节介绍如何添加、复制、删除时间计划。 您可以通过设置防护规则的生效时间段，确保规则仅在指定的时间段内生效。 应用场景 配置测试策略：为测试策略设置生效时间段，在测试期间，策略自动生效，确保测试的顺利进行；在测试结束时，策略会自动失效，无需手动操作。 控制公网暴露：当业务需要对外部开放端口时（例如仅办公时间开放），设置生效时间段可以有效减少公网暴露，降低潜在的安全风险。 特殊时间段的临时需求：临时的公网放行需求，无需担心忘记删除的安全风险。 添加时间计划 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”页面。 5. 切换至“时间计划”页签，单击“添加时间计划”，弹出“添加时间计划”界面，填写参数信息。 参数名称 参数说明 时间计划名称 自定义时间计划的名称。 描述 （可选）标识该计划的使用场景和用途，以便后续运维时快速区分不同计划的作用。 周期计划 添加周期计划 （可选）设置后，规则将在每周的固定时间段生效。 说明 当资源所在时区和本地时区不一致时，需要配置“资源所在时区”，即当前region所属地区的时区。 绝对计划 时间设置方式 当资源所在时区和本地时区不一致时，需要选择“时间设置方式”。防火墙引擎执行时按照“资源所在时区”的时间执行。 本地时区：当前客户端浏览器所属时区。 资源所在时区：云防火墙引擎所在地，即当前region所属地区的时区。 绝对计划 开始时间 设置规则生效的时间。 绝对计划 结束时间 （可选）设置规则失效的时间。 6. 单击“确认”，完成添加。

更新MRS数据源配置 操作场景 MRS的HDFS集群参数配置变更时，可能造成DWS集群无法从HDFS集群导入数据。使用HDFS集群导入数据前，需要执行MRS数据源配置的更新操作。 前提条件 DWS集群已创建MRS数据源连接。 对系统的影响 更新MRS数据源连接时，DWS集群会自动重启并无法提供服务。 操作步骤 1. 在DWS管理管制台，选择“集群 > 专属集群”。 2. 在集群列表，单击指定集群的名称，然后单击“MRS数据源”。 3. 在MRS数据源列表中，选中需要更新的MRS数据源，在“操作”列中，单击“更新配置”。 更新当前连接的“MRS集群状态”和“配置状态”。在更新配置时，无法创建新的连接，且会检查安全组规则是否正常并自助修复。参数说明如下所示： 参数说明 参数名 参数解释 dfs.client.read.shortcircuit 是否开启本地读。 dfs.client.read.shortcircuit.skip.checksum 本地读时是否跳过数据校验。 dfs.client.block.write.replacedatanodeonfailure.enable 向HDFS写数据块发生失败时，是否替换新的节点作为副本存储位置。 dfs.encrypt.data.transfer 是否开启数据加密。设置为“true”表示加密，默认不加密。 说明 l 此参数仅对启用Kerberos认证的集群有效。 l 仅当hadoop.rpc.protection设置为privacy时使用。 dfs.encrypt.data.transfer.algorithm 指定密钥传输的加密解密算法。 只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 默认值为“3des”，表示采用3DES算法进行加密。 dfs.encrypt.data.transfer.cipher.suites 指定实际存储数据传输的加密解密算法。 如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 dfs.replication 默认数据副本个数。 dfs.blocksiz 默认数据块大小。 hadoop.security.authentication 安全认证模式。 hadoop.rpc.protection RPC通信保护模式。 默认值：安全模式（启用Kerberos认证）：privacy 普通模式（未启用Kerberos认证）：authentication 须知 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.domain.socket.path 本地使用的Domain socket路径。

本节主要介绍准备工作 应用灰度发布之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

本文介绍云容器引擎的使用流程。 完整的容器服务使用流程包括以下步骤： 使用流程 说明 环境设置 创建集群前，您需要进行必要的环境设置。 说明： 如果用户已有“虚拟私有云”和“安全组”“子网”，可直接使用，不需额外创建。 . 创建虚拟私有云，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署； . 创建子网，在虚拟私有云下创建子网，用于集群部署； . 配置安全组，确保集群创建过程中使用的端口开放。 创建集群 CCE支持创建Kubernetes集群(即虚拟机集群)，后续还将提供裸机集群。 选择部署方式 CCE支持两类部署方式，用户可基于自身需求选择。 . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 上传并选择私有镜像：您可基于业务需求制作私有docker镜像，上传到CCE。基于该私有镜像创建容器应用。 创建容器应用 CCE支持无状态及有状态容器应用。 . 无状态应用：在运行中始终不保存任何数据或状态，例如nginx； . 有状态应用：在运行中需要基于数据或状态运行，例如redis。 应用运维 CCE支持容器应用监控、日志，提供全生命周期管理能力。

本文介绍跨域备份相关内容。 跨域备份 仅限备份空间为对象存储的实例开启跨域备份，该功能默认不开放，如需使用，请提交工单申请。 跨地域备份默认不开启，您可以根据需要选择是否开启。 历史备份开关默认不开启，开启历史备份开关意味着已有的历史备份文件将同步至跨域资源池。如果不开启，则只有新增的备份会同步至跨地域资源池。 目前支持设置跨域备份的资源池有：华东1、西南1、华北2，其中华东1资源池实例支持配置西南1作为跨域备份资源池， 西南1资源池实例支持配置华东1作为跨域备份资源池，华北2资源池实例支持配置华东1作为跨域备份资源池。 开启跨域备份后，本地备份（包括自动备份、手动备份，数据备份及日志备份）会同步至跨域资源池。跨域备份实际上是复用对象存储的（异步）复制能力，将对象复制到跨域资源池的对象存储中，因此跨域备份与本地备份之间有一定的延迟。 跨域备份可能涉及存储费用及流量费用，具体请参考备份计费说明。 虽然跨域备份源于本地备份复制，但跨域备份与本地备份独立管理，删除本地备份不影响跨域备份，删除跨域备份也不影响本地备份，提高备份的可靠性，本地备份和跨域备份可以设置不同的保留时间。 跨域备份适合于对备份安全性极高的场景或客户需求，一般跨域资源池都是分布在两个相距较远的不同城市。 已成功同步的跨域备份支持生成跨域资源池的下载链接，比如华东1的实例配置了西南1作为跨域资源池，则已成功同步至西南1的跨域备份支持生成西南1域名的下载链接，具体操作请参考下载备份。 如果要删除本地或跨域手动备份，需要分别删除，具体请参考删除手动备份。 已成功同步的跨域备份，支持跨域恢复至新实例，比如华东1的实例配置了西南1作为跨域资源池，则已成功同步至西南1的跨域备份支持恢复到西南1的新实例（开通新实例并恢复数据），具体请参考跨域恢复。

本节主要介绍NAT网关支持的告警规则。 操作场景 通过设置NAT网关告警规则，用户可自定义监控目标与通知策略，及时了解NAT网关运行状况，从而起到预警作用。 操作步骤 1. 登录管理控制台。 2. 选择“管理与部署 > 云监控服务”。 3. 在左侧导航树栏，选择“告警 > 告警规则”。 4. 在“告警规则”界面，单击“创建告警规则”进行添加，或者选择已有的告警规则进行修改，设置NAT网关的告警规则。 5. 在“创建告警规则”界面，根据界面提示配置参数。 a. 根据界面提示，配置告警规则的基本信息。 表 配置规则信息 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 b. 选择监控对象，配置告警内容参数。 表 配置告警内容 参数 参数说明 取值样例 资源类型 配置告警规则监控的服务名称。 NAT网关 维度 用于指定告警规则对应指标的维度名称 公网NAT网关 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 选择指定资源时，勾选具体的监控对象，单击将监控对象同步到右侧对话框。 指定资源 选择类型 根据需要可选择从模板导入或自定义创建。 自定义创建 模板 选择需要导入的模板。您可以选择系统预置的默认告警模板，或者选择自定义模板。 告警策略 触发告警规则的告警策略。 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 c. 根据界面提示，配置告警通知参数。 表 配置告警通知 参数 参数说明 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。 6. 规则参数设置完成后，单击“立即创建”。NAT网关告警规则设置完成后，当符合规则的告警产生时，系统会自动进行通知。 7. 在“告警规则”界面，单击“创建告警规则”，根据界面提示，填写对应参数。 8. 规则参数设置完成后，单击“下一步”，根据界面提示，配置规则信息参数。 9. 单击“创建”，完成SNAT连接数告警规则的创建。设置告警规则后，超过设置的阈值，系统会自动进行通知。

如果您需要新增分类分级模板请参考此章节操作。 数据安全中心DSC默认内置一个识别模板，同时支持通过复制模板来自定义新的识别模板。 约束条件 创建识别模板后不支持删除模板，且一个帐号最多可创建20个识别模板。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 5. 在目标模板单击“复制”，在复制模板弹框中填写“新模板名称”和“描述”。 6. 单击“确定”。 相关操作 单击“设为默认”，可将该模板设置为默认模板。 单击模板“概览”查看模板分类分级详情。

使用场景 业务正常请求被WAF拦截。例如，您在ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志。 6. 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 添加误报屏蔽策略，参数说明如表所示： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则：配置Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。“添加方式”可选择已有地址组或者新建地址组。 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 参数说明见下表： 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。

操作场景 本章介绍如何在控制台创建集群实例、以及创建后如何设置安全组、并通过内网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 图 内网访问数据库实例

操作场景 本节操作以使用Mac OS系统自带的“终端（Terminal）”远程连接Linux操作系统云主机。 前提条件 云主机状态为“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 弹性云主机已经绑定弹性IP。 所在安全组入方向已开放3389端口。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机： SSH密码方式 1. 打开系统自带的终端（Terminal），执行以下命令 ssh 用户名@弹性IP 说明 如果是公共镜像（包括CoreOS），用户名为“root”。 2. 输入登录密码并按下回车键，以完成登录。 SSH密钥方式 1. 打开系统自带的终端（Terminal）应用程序。 2. 在终端中执行以下命令，变更密钥文件的权限。下面的步骤以私钥文件"kp101.pem"为例进行介绍。 chmod 400 /path/kp101.pem 说明 上述命令中的"path"为密钥文件的存放路径。 3. 执行以下命令登录云主机。 ssh i /path/kp101.pem 用户名@弹性IP 说明 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。

本文带您了解该方案所涉及的资源及场景拓扑。 涉及资源 VPC、云专线、VPC终端节点、弹性云主机。 虚拟私有云VPC：配置云专线需要做好云上VPC和本地数据中心的网段规划。用户可以将其VPC内的服务资源配置为终端节点服务。 云专线：用于搭建云下用户本地数据中心与天翼云VPC之间高速、低时延、稳定安全的专属连接通道，实现灵活一体，可伸缩的混合云计算环境。 VPC终端节点：可以使用内网在VPC内提供便捷、安全、私密的通道与终端节点服务进行连接，实现通过天翼云内网访问云上VPC内的资源和其他云服务。 弹性云主机：用户的私有服务，可创建为终端节点服务，可以购买终端节点访问该终端节点服务。 场景拓扑 云下用户数据中心（IDC）通过云专线与云上VPC1建立连接。 云上VPC1通过终端节点访问VPC2中的弹性云主机1（终端节点服务）。 云下IDC通过云上VPC1访问VPC2中的弹性云主机2（终端节点服务）。

本章介绍通过DAS连接RDS for MySQL实例。 操作场景 数据管理服务（Data Admin Service，简称DAS）是一款专业的简化数据库管理工具，提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。您可以通过数据管理服务连接并管理实例。云数据库RDS服务默认为您开通了远程主机登录权限，推荐您使用更安全便捷的数据管理服务连接实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 云数据库 RDS”，进入RDS信息页面。 4、在“实例管理”页面，选择目标实例，单击操作列的“登录”，进入数据管理服务实例登录界面。 图1 登录实例 您也可以在“实例管理”页面，单击目标实例名称，在页面右上角，单击“登录”，进入数据管理服务实例登录界面。 图2 登录实例 5、正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 图3 登录界面

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 获取临时token 在服务端生成临时token，可参考java、python、nodejs、CPP、donet、go、php SDK说明，请从 SDK概览 页面选择进入对应的开发指南查阅。 使用临时token 使用assumeRole请求申请临时凭证，使用服务端返回的accessKeyId，secretAccessKey和sessionToken来初始化s3对象。 使用过程中，需要更新凭证，保证凭证不过期。使用过期凭证的请求，服务端会返回403（AccessDenied）。 javascript let S3Demo { credentials: { accessKeyId: " ", secretAccessKey: " ", sessionToken: " ", }, s3Client: null, ​ // 初始化s3对象 init: function () { let config { credentials: this.credentials, endpoint: " ", }; this.s3Client new AWS.S3(config); }, } 参数说明： 参数 说明 credentials 用户账号信息，包含accessKeyId和secretAccessKey和sessionToken endpoint 天翼云资源池的地址，必须指定http或https前缀

本节主要介绍使用类问题 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。解决办法： 1、 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群 2、 重新部署应用 微服务和普通应用有什么不同？ 微服务是一种架构模式，其核心是将一个单体应用分成多个部分进行开发。所以微服务架构的应用程序，其本质上是一个分布式应用。 基于微服务架构构建的应用程序，可以让业务变化更快，整体系统可靠性更高。 开源 ServiceComb 与 CSE 是什么关系？ CSE Java SDK是ServiceComb的商业版本，其大部分组件来自于开源的ServiceComb，同时提供一些公有云对接的能力、安全、分布式数据一致性等商业能力。这部分开发框架代码可以免费使用但是没有开源。

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。

本小节介绍SSL VPN的客户端登录。 1. 登录SSL VPN的Web管理页面 > SSL VPN 选项 > 系统选项 > 接入选项”的“用户访问入口”修改SSL客户端接入端口，将443改成4433或其他端口，配置完成后点击“保存”和“立即生效”，使配置生效。 2. 安全组放开修改后的SSL VPN客户端接入端口。 注意 若SSL VPN绑定的公网IP备案过，则无需修改SSL VPN客户端接入端口。 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN管理页面上修改SSL客户端接入端口，将443改成4433或其他端口，然后在天翼云的SSL VPN云主机安全组里面放通相应的SSL客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开

您可以登录轻量型云主机，在主机内部完成虚机名称hostname的修改。 操作步骤 1. 通过轻量型云主机控制台，通过VNC登录主机。 2. 输入用户名及密码进入虚机内部。 3. 输入以下命令，修改配置文件“/etc/hostname”。 vim /etc/hostname 4. 将文件中的已有的主机名替换为想要修改的主机名，并保存退出。 :wq 5. 输入以下命令，修改配置文件“/etc/sysconfig/network”。 vim /etc/sysconfig/network 6. 修改HOSTNAME名称后的值为新的主机名，若没有HOSTNAME字段，则需要手动增加该字段。 7. 完成修改后，保存并退出。 :wq 8. 输入以下命令，修改配置文件“/etc/cloud/cloud.cfg”。 vim /etc/cloud/cloud.cfg 9. 删除或者将以下语句进行注释，使其不生效。 updatehostname 10. 完成修改后，保存并退出。 :wq 11. 重启弹性云主机，使修改的内容生效。 reboot 12. 至此，已完成了主机名称hostname的修改。

本节介绍了云数据库TaurusDB的读写分离最佳实践。 用户认证 用户账号如果需要使用数据库代理登录，则必须赋予账号远程登录权限，否则无法通过数据库读写分离访问。 操作步骤 1、连接TaurusDB实例。 通过DAS连接TaurusDB实例 通过内网连接TaurusDB实例 通过公网连接TaurusDB实例 2、实例连接成功后，执行下列SQL语句，查看使用的账号的host是否包含数据库读写分离地址。 SELECT user,host FROM mysql.user; 读写分离地址获取方式： 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在左侧导航栏，单击“数据库代理”。 方法一：在“数据库代理”页面中，在“代理地址”模块“链接地址”，获取当前实例的数据库读写分离地址。 方法二：在“读写分离”页面中，在“读写分离信息”模块“读写分离地址”处，获取当前实例的数据库读写分离地址。 3、如果查询的host不包含数据库代理所在网段，则需要赋予远程访问权限。例如root用户从192.168.0网段连接到TaurusDB数据库： GRANT ALL PRIVILEGES ON . TO 'root'@'192.168.0.%' IDENTIFIED BY password WITH GRANT OPTION; flush privileges; 4、当修改安全组时，确保入方向规则和出方向规则允许读写分离的地址访问，读写分离默认端口号为3306。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“基本信息”页面中，在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 在入方向规则页签下，默认允许3306端口访问。如果没有该条规则，单击“快速添加规则”，弹框页面中勾选“MySQL（3306）”，单击“确定”。 图 放通3306端口 图 快速添加3306端口 说明 当您使用MySQL8.0客户端访问数据库读写分离时，可能会报错auth user failed。 在连接数据库时添加 defaultauthmysqlnativepassword。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。

此小节介绍设置邮件通知。 开启邮件通知后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的通知邮件。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置邮件通知的实例。 6. 设置邮件通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库发生设置的告警事件或生成报表时，数据库安全审计将发送通知邮件。：开启：关闭 收件人 输入收件人的邮箱地址。 抄送人 可选参数。输入抄送人的邮箱地址。 7. 单击“应用”。