本文为您介绍对等连接产品的定义及其创建流程。 对等连接（VPC Peering Connection）是指两个同一资源池内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。 对等连接创建流程 无论是在同一帐户下还是不同帐户下，只要VPC位于同一个资源池，对等连接就能够为VPC之间的通信提供一种私有、安全且高效的解决方案，来实现资源的共享和数据的流动，满足了不同场景下的通信需求。 同一账户下VPC对等连接的创建流程： 1. 创建对等连接：选择本端VPC和对端VPC。 2. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 3. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。 不同帐户下VPC对等连接的创建流程: 1. 创建对等连接：选择本端VPC和对端VPC。 2. 判断是否接受连接：选择“否”则创建对等连接失败；选择“是”则进入下一步。 3. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 4. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f7awxekgvls/face/compare/PERSON/person/compareFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍申请数据权限功能，使用户可以快速熟悉申请数据权限页面的相关操作，以及如何申请数据权限。 前提条件 用户需要具有进入申请数据权限页面的功能权限。 注意事项 申请数据权限功能仅限企业版。 用户仅限申请已加入团队内实例的相关数据权限。 每次申请仅限一种类型的资源粒度，资源粒度从大到小依次是实例、库/模式、表。 数据权限支持按资源粒度继承，即用户拥有大粒度资源的数据权限时，则默认拥有该大粒度资源下所有小粒度资源的数据权限。 用户多次申请同一资源、同一权限后，最后一次申请的结果会覆盖之前申请的结果。 操作步骤 用户可以在个人中心>我的权限 页面中点击“申请数据权限”按钮进入申请数据权限页面，也可以在安全协作>工单列表>数据权限工单页面中点击“申请数据权限”按钮进入申请数据权限页面。 申请数据权限的具体流程如下： 1. 选择资源的粒度。进入申请数据权限页面后，默认选择库/模式授权，也可以点击其他标签，切换到其他资源粒度，每次申请仅限一种类型的资源粒度。 2. 选择申请的资源。在左侧”请选择“框内勾选想要申请的资源的复选框，然后点击中间的”>“按钮，即可将当前页选中的资源加入到右侧”已选择“框内。如果想要删除右侧“已选择”框内的资源，可以勾选想要删除的资源的复选框，然后点击中间的“<”按钮，即可将右侧“已选择”框内的资源删除。每次申请可以同时选择多个资源。 3. 选择权限的类型，根据用户需要，勾选对应权限类型的复选框。每次申请可以同时选择多种权限。 4. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 5. 确定信息无误后，点击页面右下角的“提交申请”按钮即可提交工单，并跳转到数据权限工单页面，查看当前工单的流程。

本节介绍如何查看告警列表。 通过查看“告警列表”，您可以了解近180天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 此外，您还可以通过及时处理告警事件，标记告警事件处理状态，并支持一键导出近180天的告警事件。 约束限制 仅专业版支持忽略和标记告警事件，基础版不支持。 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。 按过滤场景筛选告警，最多可呈现10000条告警。 查看告警详情 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，默认进入态势感知告警列表管理页面。 4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。 告警名称：告警事件所属的分类。 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。 5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。 在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击搜索图标，即可查看到指定资产相关的告警信息。 6. 查看告警事件详情。 单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

本节介绍如何修改拦截返回页面。当访问者触发WAF拦截时，默认返回WAF“系统默认”的拦截返回页面，您也可以根据自己的需要，配置“自定义”或者“重定向”的拦截返回页面。 前提条件 已添加防护网站。 约束条件 “自定义”的拦截返回页面支持配置text/html、text/xml和application/json三种页面类型的页面内容。 “重定向”地址的根域名必须和当前被防护的域名（包括泛域名）保持一致。例如，被防护的域名为www.example.com，端口为8080，则重定向URL可设置为“ 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在“告警页面”所在行的页面模板名称后，单击编辑按钮，在弹出的“告警页面”对话框中，选择“页面模板”进行配置。 “页面模板”选择“系统默认”时，默认返回WAF内置的HTTP返回码为418的拦截页面。 “页面模板”选择“自定义”时，如图所示。 HTTP返回码：自定义页面配置的返回码。 页面类型：可选择text/html、text/xml和application/json三种类型。 页面内容：根据选择的“页面类型”配置对应的页面内容。 “页面模板”选择“重定向”时，根据界面提示配置重定向URL。 重定向URL的根域名必须和当前被防护的域名（包括泛域名）保持一致。例如，被防护的域名为www.example.com，端口为8080，则重定向URL可设置为“ 步骤7 单击“确定”，告警页面配置成功。

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本章节主要介绍云搜索服务的备份与恢复索引操作。 为避免数据丢失，您可以将集群的索引数据进行备份，当数据发生丢失或者想找回某一时间段数据时，您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时，建议将所有索引数据进行备份。 说明 备份与恢复索引功能上线之前（即2018年3月10日之前）创建的集群，无法创建快照。 管理自动创建快照：自动创建快照指按照设置的规则，每天在指定时间自动创建快照。您可以开启自动创建功能、设置自动创建的策略、和关闭自动创建功能。 手动创建快照：在任意时间，您通过手动创建快照的方式，针对当时的数据或某几个索引创建快照进行备份。 恢复数据：将已有的快照，通过恢复快照功能，将备份的索引数据恢复到指定的集群中。 删除快照：对于已失效的快照，建议删除以释放存储资源。 说明 创建快照之前，您需要进行基础配置，包含存储快照的OBS桶、快照的备份路径及安全认证使用的IAM委托。 集群快照存储的OBS桶，在首次设置后，不管自动创建快照还是手动创建快照，如果快照列表中已有可用的快照，则OBS桶将无法再变更，请谨慎选择存储OBS桶。 如果OBS桶已经存储了快照，OBS无法变更，您可以使用这个方法修改：首先关闭快照功能，然后再开启快照功能，指定新的OBS桶。一旦关闭快照功能，之前创建的快照将无法用于恢复集群。 当集群处于“不可用”状态时，快照功能中，除了恢复快照功能外，其他快照信息或功能只能查看，无法进行编辑。 备份与恢复过程中，支持集群扩容、访问Kibana、查看监控、删除其他快照的操作。不支持重启此集群、删除此集群、删除正在创建或恢复的快照、再次创建或恢复快照的操作。补充说明，当此集群正在进行创建快照或者恢复快照时，此时，自动创建快照任务将被取消。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2z0yhhrzgv0g/tts/predict。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

参数 是否必选 参数说明 名称 是 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 最大实例数（台） 是 伸缩组内包含的实例数量的最大值，伸缩组内执行的任何伸缩活动结果不得大于最大实例数。 若您修改了伸缩组的最大实例数使得伸缩组的当前实例数大于最大实例数，弹性伸缩服务会自动移出实例，保证伸缩组的当前实例数等于最大实例数。 最小实例数（台） 是 伸缩组内包含的实例数量的最小值，伸缩组内执行的任何伸缩活动结果不得小于最小实例数。 若您修改了伸缩组的最小实例数使得伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，保证伸缩组的当前实例数等于伸缩最小实例数。 开启期望实例数 否 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 虚拟私有云 是 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 网卡 是 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 多可用区扩容策略 是 多可用区资源池伸缩组需指定扩容策略。 均衡策略：在伸缩组绑定的伸缩配置关联多个可用区时生效，支持在多个可用区之间均衡分布云主机实例。 优先级策略：伸缩组绑定的伸缩配置先选择的可用区优先级高。弹性伸缩优先在优先级最高的可用区尝试伸缩活动。若无法扩进行伸缩活动，则自动在优先级次之的可用区进行。 添加已有云主机实例 否 伸缩组创建完成后，支持将符合条件的已有云主机实例移入伸缩组，作为初始化实例，最大可选择添加10个实例。添加已有的云主机实例数量受到最小、最大、期望实例数限制。 安全组 是 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 负载均衡 否 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。 注意：一个伸缩组可最多关联10个负载均衡监听器。 实例移除策略 是 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 实例回收模式 是 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 健康检查方式 是 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、错误等人为或非人为状态都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 健康检查间隔 是 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 企业项目 是 支持为伸缩组选择企业项目。

本页面主要介绍为主帐号创建子帐号，创建用户组，并为子帐号授权的操作说明及步骤。（适用于I类型资源池） 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 注意 本文仅适用于内蒙6、重庆2、拉萨3这些Ⅰ类型资源池配置主子账号以及相关权限，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。Ⅱ类型资源池的子账号配置请参见主子账号使用手册Ⅱ类型资源池。 操作步骤 创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为： 创建子账户并加入用户组 在企业项目中为用户组授权 创建子账户并加入用户组 为主帐号添加子帐号以及将子帐号加入到用户组，步骤如下： 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择“我的”，点击“个人中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户”页签，点击右上角创建用户。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角下一步。 5. 如无用户组请先创建用户组，如有可点击添加，添加进该用户组之后，会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户，可点击移除。 admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自定义创建的用户组。 6. 加入用户组后，点击右下角下一步，将会显示创建成功。点击返回用户列表，可以看到创建的子账户。

四、资源同步配置 在进行资源同步配置前，需更改云主机安全组端口限制，可选择以下两种方式： 1）出方向/入方向放通所有端口； 2）出方向放通所有端口，入方向配置如下端口放通： 源主机 目标主机 端口号 含义 备注 工作机 灾备机 26355 容灾数据恢复端口，灾备机需要开放。 通用端口 工作机 灾备机 26356 容灾数据镜像端口，灾备机需要开放。 通用端口 工作机 灾备机 26357 容灾数据复制端口，灾备机需要开放。 通用端口 工作机/灾备机 工作机/灾备机 26305 高可用心跳，工作机和灾备机均需要开放。 主机高可用需要放通 备份客户端 备份服务器 26308 备份/恢复端口。 数据定时灾备需要放通 备份客户端 备份服务器 26324 【可选项】备端重删，重删库读写接口服务监听端口。 数据定时灾备需要放通 备份客户端 备份服务器 26331 【可选项】开启源端重删功能。 数据定时灾备需要放通 备份客户端 备份服务器 26332 【可选项】开启源端重删功能。 数据定时灾备需要放通 备份客户端 备份服务器 26333 【可选项】开启源端重删功能。 数据定时灾备需要放通 工作机 NAS同步机 26302 文件变化事件通知同步主机，使用NAS同步主机同步方式时，NAS同步主机上需要开放。 文件存储数据灾备需要放通 NAS同步机 灾备机 26315 同步主机数据传输到灾备机，使用NAS同步主机同步方式时，灾备机上需要开放。 文件存储数据灾备需要放通 不同同步功能配置不同，详情可参见主机高可用配置、持续数据保护配置、数据定时灾备配置、文件存储数据灾备配置、对象存储数据配置。

参数 / 配置项 迁移后的云主机 备注 MAC地址 目标端云主机的MAC MAC地址属于网卡固有属性，创建目标端云主机时候已经确定。 DNS 可能变化（概率大）· DNS配置文件参数与迁移源端一致。· 目标端子网的DNS配置会影响目标端主机的DNS解析。 迁移完成后，可以在目标端修改。 EIP 迁移后绑定的目标端EIP地址 磁盘、分区大小 配置目标端时所选的目标端云主机磁盘和分区大小 如果选择了磁盘分区调整，迁移后的磁盘和分区大小取决于配置目标端时候设置的大小。 磁盘名称 根据目标端虚拟化类型决定 一般不会影响业务。 磁盘、分区的UUID和PARTUUID 目标端会重新生成UUID和PARTUUID 只针对Linux文件级迁移。 Grub配置文件 会根据目标端启动盘或者boot分区的UUID修改grub相关启动配置文件 · BIOS启动的云主机需要安装grub，会修改/boot/grub目录下grub配置文件。· UEFI启动的云主机会修改/boot/efi/和/boot/grub目录下grub配置文件的UUID。 启动的initrd或initramfs 注入相关驱动 注入驱动保证目标端云主机在天翼云能正常启动。 X11的xorg.conf配置文件 目标端会更新/etc/X11/xorg.conf配置文件 该文件影响图形化界面和显示相关参数。原文件备份为/etc/X11/xorg.conf.bak。 SElinux安全配置 会生成/.autorelabel文件，目的是重新标记 只针对Redhat/Centos/Oracle系统。 Motd 会修改/etc/motd文件为空 默认不设置开机启动logo。 Fstab启动项 根据新目标端UUID和挂载情况重新生成fstab。 目标端旧的/etc/fstab启动记录会被注释。 Cloudinit 目标端会禁用Cloudinit /etc/cloud/cloud.cfg文件会被删除。 网卡配置 删除/etc/udev/rules.d/目录下部分网络相关配置文件，根据不同系统备份并修改DHCP 修改网卡配置文件。比如：· Redhat/Centos/SUSE/Euleros等系统会修改ifcfgeth文件。· Debian/Ubuntu系统会修改yaml文件。

如果您需要对您所拥有的TMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用标签管理服务。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将TMS资源委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用TMS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的TMS权限，并结合实际需求进行选择，TMS支持的系统权限，请参见：TMS权限。若您需要对除TMS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 示例流程 图给用户授权TMS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，授予标签管理服务只读权限“TMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，将其加入步骤1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，验证权限： 在“服务列表”中选择标签管理服务 TMS，进入标签管理服务界面，单击左侧的“预定义标签”，进入“预定义标签”页面，可以在预定义标签列表查看已存在的预定义标签，然后单击右上角的“创建标签”，尝试创建预定义标签，如果无法创建预定义标签（假设当前权限仅包含TMS ReadOnlyAccess），表示“TMS ReadOnlyAccess”已生效。 在“服务列表”中选择除标签管理服务外（假设当前权限仅包含TMS ReadOnlyAccess）的任一服务，若提示权限不足，表示“TMS ReadOnlyAccess”已生效。

kubectl describe node 192.168.0.173 Name:192.168.0.173 Roles: Labels:… volcano.sh/oversubscriptiontrue Annotations:… volcano.sh/oversubscriptioncpu: 2343 volcano.sh/oversubscriptionmemory: 3073653200 … Allocated resources: (Total limits may be over 100 percent, i.e., overcommitted.) ResourceRequestsLimits cpu4750m (121%)7350m (187%) memory3760Mi (61%)4660Mi (76%) … 增大节点上在线作业的CPU使用率，可以观察到触发离线作业驱逐。 plaintext kubectl get pod o wide NAMEREADYSTATUSRESTARTSAGEIPNODE offline69cdd49bf4bwdm71/1Running011m192.168.10.208192.168.0.3 offline69cdd49bf4pmjp80/1Evicted026m 192.168.0.173 offline69cdd49bf4qpdss1/1Running011m192.168.10.174192.168.0.3 offline69cdd49bf4z8kxh0/1Evicted026m 192.168.0.173 online6f44bb68bdb8z9p1/1Running024m192.168.10.18192.168.0.173 online6f44bb68bdg6xk81/1Running024m192.168.10.69192.168.0.173 错误处理建议 超卖节点kubelet重启后，由于Volcano调度器和kubelet的资源视图不同步，部分新调度的作业会出现OutOfCPU的情况，属于正常现象，一段时间后会恢复正常，Volcano调度器能够正常调度在/离线作业。 在/离线作业提交后，因当前内核不支持离线作业修改为在线作业，因此不建议动态修改作业类型（添加或者删除Pod的annotation volcano.sh/qoslevel: "1"）。 CCE通过cgroups系统中的状态信息收集节点上所有运行的Pod占用的资源量（CPU/内存），可能与用户监控到的资源使用率有所不同，例如使用top命令看到的资源统计。 对于增加超卖资源类型，如超卖资源由cpu变为cpu、memory，此时可以随时添加。 对于减少超卖资源类型，如由cpu、memory变为仅超卖cpu，此时需要在合适的时间进行更改，即分配率不超过100%时才可进行安全更改。 当离线作业先部署到节点，并占用了在线作业的资源，导致资源不足在线作业无法调度时，需要为在线作业设置比离线作业更高的priorityClass。 若节点上只有在线作业，且达到了驱逐水位线，则离线作业调度到当前节点后会很快被驱逐，此为正常现象。

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。镜像服务相关的系统策略包含如下： Admin：镜像服务的管理者权限，包含镜像服务所有控制权限（不含订单类权限）。 Viewer:镜像服务的观察者权限，包含镜像服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 88f8888888dd88ec888888888d888d8b groupID 是 Integer 伸缩组ID 489 name 否 String 伸缩组名称 fcggrouptest minCount 否 Integer 最小云主机数，取值范围：[0,50] 1 maxCount 否 Integer 最大云主机数，取值范围：[minCount,2147483647] 50 expectedCount 否 Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 1 useLb 否 Integer 是否使用负载均衡，1：是 2：否 2 healthPeriod 否 Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 securityGroupIDList 否 Array of Strings 安全组ID列表，非多可用区资源池不使用该参数 ['sgnw15npxgkd'] lbList 否 Array of Objects 负载均衡列表 lbList mazInfo 否 Array of Objects 【Deprecated】多可用区资源池的实例可用区及子网信息。mazInfo和subnetIDList参数互斥，如果资源池为多可用区时使用mazInfo则不传subnetIDList参数 mazInfo subnetIDList 否 Array of Strings 子网ID列表。支持一主多辅，最大支持输入5个网卡信息，顺序第一个网卡信息默认主网卡。mazInfo和subnetIDList参数互斥。修改subnetIDList会将mazInfo信息清空。 ['a8ffac57354b41afb85353b5cded4957'] moveOutStrategy 否 Integer 实例移出策略。取值范围：1：较早创建的配置较早创建的云主机2：较晚创建的配置较晚创建的云主机3：较早创建的云主机4：较晚创建的云主机 1 recoveryMode 否 Integer 实例回收模式。取值范围：1：释放模式。 1 healthMode 否 Integer 健康检查方式。取值范围：1：云主机健康检查2：弹性负载均衡健康检查 1 configID 否 Integer 【Deprecated】伸缩配置ID 375 configList 否 Array of Integers 伸缩配置ID列表，最大支持传入10个伸缩配置。按输入伸缩配置的顺序，决定伸缩配置优先级。注意：该参数与configID不可同时传入，请尽量选择本参数。 [375] azStrategy 否 Integer 扩容策略类型，仅多可用区资源池支持。取值范围：1：均衡分布。 2：优先级分布。 1

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云助手相关的系统策略包含如下： Admin：云助手的管理者权限，包含云助手所有控制权限（不含订单类权限）。 Viewer:云助手的观察者权限，包含云助手的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

并行文件系统 并行文件系统（Parallel File System）是对象存储服务（Object Storage Service，OBS）提供的一种经过优化的高性能文件系统，能够快速处理高性能计算（HPC）工作负载。 访问密钥（AK/SK） OBS支持通过AK/SK认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。当您使用OBS提供的API进行二次开发并通过AK/SK认证方式完成认证鉴权时，需要按照OBS定义的签名算法来计算签名并添加到请求中。 OBS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权。 永久AK/SK 用户可以在“我的凭证”页面创建永久AK/SK。 Access Key Id（AK）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret Access Key（SK）：与访问密钥ID结合使用的私有访问密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 临时AK/SK 临时AK/SK和securitytoken是系统颁发给用户的临时访问令牌，有效期范围为15分钟至24小时，过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则，可应用于临时访问OBS。如果未使用securitytoken，会返回403错误。 临时Access Key Id：临时访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 临时Secret Access Key：与临时访问密钥ID结合使用的临时私有访问密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 securitytoken：与临时访问密钥ID和临时私有访问密钥结合使用，可以访问指定账号下所有资源。 当使用如下工具访问OBS资源时，需配置AK/SK用于生成鉴权信息进行安全认证。 工具 AK/SK配置方式 OBS Browser+ 在配置账号时配置AK和SK。 API 在计算签名时添加AK和SK到请求中。

本文主要介绍如何创建备份策略。 通过备份策略，您可以按照一定的策略要求对服务器数据进行周期性备份，以便服务器在数据丢失或损坏时快速恢复数据，保证业务正常运行。 说明 通过备份策略的方式对云服务器进行周期性备份，仅当启用备份策略后，系统才会自动备份所绑定的服务器，并定期删除过期的备份。 每个用户最多只能创建32个备份策略。 一个备份策略中最多可以绑定64个服务器。 操作步骤 1. 登录云服务器备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云主机备份”。 2. 选择“策略”页签，单击页面左上方的“创建备份策略” 3. 设置备份策略信息，各参数说明如下： 名称 ： 设置备份策略的名称。只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 是否启用 ： 设置备份策略的启用状态。 启用数据库服务器备份（可选）： 启用后，系统将执行应用一致性备份。若同时勾选“应用一致性备份失败后继续备份”，应用一致性备份失败后系统将执行崩溃一致性备份；若不勾选，应用一致性备份失败后将直接产生失败备份。使用应用一致性备份前，请完成安全组更改和成功安装客户端。 备份时间： 设置备份任务在一天之内的执行时间点。最多支持在一天内设置24个备份时间，且任意两个备份时间间隔必须大于等于一小时。如果连续两天进行备份，第一天的最后一次备份时间与第二天的第一次备份时间间隔也需要大于等于一小时。 备份周期 ： 设置备份任务的执行日期。 保留规则： 设置备份产生后的保留规则：按时间，按数量，永久保留。 4. 设置完成后，单击确定，完成备份策略的创建。 5. 在备份策略所在行，单击“绑定服务器” 6. 在服务器列表中勾选需要绑定的服务器，勾选后将在已选服务器区域展示。 7. 单击确定。

约束与限制 使用混合负载均衡功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 添加的跨VPC后端的IP地址不能为本VPC内的IP地址以及公网IP地址，否则请求不可达。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 方案架构 独享型负载均衡（ELBTest）在VPCTest01（172.18.0.0/24）中； 云主机（ECSTest）在VPCTest02（172.17.0.0/24）中； 通过使用跨VPC后端功能将VPCTest02（172.17.0.0/24）中的云主机（ECSTest）添加至独享型负载均衡（ELBTest）的后端云主机组中。 资源规划 表 资源规划表 资源 资源名称 资源说明 ::: VPC VPCTest01 创建独享型负载均衡（ELBTest）所在VPC：172.18.0.0/24 VPC VPCTest02 服务器（ECSTest）所在的VPC：172.17.0.0/24 对等连接 PeeringTest 在ELB所在的VPC和云上其他VPC之间建立对等连接 本端VPC网段：172.18.0.0/24 对端VPC网段：172.17.0.0/24 路由表 RouteVPCTest01 创建对等连接路由，所属VPC：VPCTest01 目的地址：172.17.0.0/24 路由表 RouteVPCTest02 创建对等连接路由，所属VPC：VPCTest02 目的地址：172.18.0.0/24 ELB ELBTest 独享型负载均衡 EIP EIPTest 用于给ELBTest绑定的弹性公网IP 119.3.233.52 ECS ECSTest ECS所属VPC：VPCTest02 私网IP：172.17.0.145

使用场景 当您遇到VPC中的两个实例IP地址冲突，或者在进行网络重构或迁移时，需要调整VPC网络架构、子网划分等，这可能会导致需要修改物理机内网IP或更换VPC。 前提条件 物理机处于关机状态。 只有主网卡支持修改内网IP，必须先删除辅助网卡。 如果网卡绑定了虚拟IP或者DNAT规则，需要先解绑。 如果网卡上有IPv6地址，无法修改（包括IPv4和IPv6的）内网IP地址，请先删除IPv6地址。 如需修改弹性负载均衡后端服务器的内网IP地址，请先移出后端服务器组后再修改内网IP。 如果物理机作为静态路由的下一跳，必须先删除静态路由再修改内网IP。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择西南西南1。 3. 依次选择“计算”，单击“物理机服务”，进入物理机控制台页面。 4. 在物理机列表，选择需要修改内网IP或者更换VPC的物理机，在物理机详情页选择“网卡”页签，点击“修改内网IP”或者“更改VPC”。 5. 在修改内网IP弹框页面或者更换VPC弹框页面，输入相关参数，点击“确定”按钮。 注意 修改内网IP会导致物理机网络中断，同时更改物理机子网、IP地址、MAC地址。 修改内网IP过程中，请勿操作物理机的弹性IP，或对物理机做其他操作。 修改内网IP后，请重新检查配置安全组、ACL、虚拟IP地址等配置。 修改内网IP后，请重新配置网络相关的服务、应用软件，例如虚拟IP、静态路由表、ELB、NAT、DNS等。 标准裸金属在多AZ资源池无法支持修改内网IP和更换VPC，建议提前做好网络规划。

本节介绍分布式缓存产品规格API参数 本节介绍分布式缓存Redis产品订购、扩缩容、增减分片数、增减副本数、变配以及对应询价接口API参数，包括版本类型、实例类型、版本号、主机类型、分片规格、分片数、规格、副本数、磁盘类型等。 具体参数范围可能因为不同资源池配置上线的产品有所差异，可通过 资源池可创建规格 接口查询，具体可参照下表 API参数对照表。 资源池、可用区、虚拟私有云ID、所在子网ID、安全组ID、实例名称、实例密码参数为产品订购必填参数，本节不作详细说明。 基础版API参数 参数说明 参数取值 标准版 Cluster集群 Proxy集群 读写分离 版本类型 version BASIC BASIC BASIC BASIC 实例类型 edition StandardDual DirectCluster ClusterOriginalProxy OriginalMultipleReadLvs 版本号 engineVersion 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 主机类型 hostType X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 分片规格 shardMemSize 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 分片数 shardCount 不填 3~256 3~256 不填 规格 capacity 不填 不填 不填 不填 副本数 copiesCount 1~10（默认值：2） 1~10（默认值：2） 1~10（默认值：2） 2~10（默认值：2） 磁盘类型 dataDiskType SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

该章节指导您通过Web应用防火墙服务下载仅记录和拦截的攻击事件数据，可下载5天内的全量防护事件数据，当天的防护事件数据，在次日凌晨生成到防护事件数据csv文件。 前提条件 已添加防护网站。 已生成了防护事件数据文件。 规格限制 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 在WAF控制台只能下载5天内的全量防护事件数据。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤5 选择“下载”页签，下载防护数据文件，参数说明如表。 参数名称 参数说明 :: 文件名称 样式为文件名称.csv。 事件数量 被拦截和仅记录的事件总数量。 说明 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 步骤6 在目标时间段所在行的“操作”列，单击“下载数据”，下载到本地。 防护数据文件字段参数说明 字段 字段说明 示例 ::: action 防护事件的防护动作。 block attack 攻击的类型。 SQL Injection body 攻击者的请求实体内容。 cookie 攻击者的Cookie。 headers 攻击者的消息头。 host 防护的网站域名或IP。 www.example.com id 标识防护事件的ID。 02111620201121060347feb42002 payload 攻击者对防护网站造成伤害的组成部分。 pythonrequests/2.20.1 payloadlocation 攻击者对防护网站造成伤害的位置或访问URL的次数。 useragent policyid 标识防护策略ID。 d5580c8f6cd4403ebbf85892d4bbb8e4 requestline 攻击者的请求行。 GET / rule 防护事件对应的规则编号。 81066 sip Web访问者的公网IP地址（攻击者IP地址）。 time 防护事件发生的时间。 2020/11/21 0:20:44 url 防护域名的URL。 /

本节主要介绍网络集群类问题 启用服务网格后，状态一直为安装中 问题描述 为CCE集群启用服务网格（即创建网格）后，网格状态一直显示为“安装中”，鼠标放上去提示“正在启用istio服务网格：开通用户安全组规则成功”。 问题定位 登录CCE控制台，在“资源管理 > 命名空间”中查看对应集群的istiosystem命名空间是否存在。 原因分析 存在istiosystem命名空间残留。 解决方法 删除已有的istiosystem命名空间后即可继续安装。 卸载服务网格后，状态一直为未就绪 问题描述 在ASM控制台卸载服务网格后，网格状态一直显示为“未就绪”。 问题定位 步骤 1 登录CCE控制台，在左侧导航栏选择“模板市场 > 示例模板”。 步骤 2 单击“模板实例”页签，在搜索框中选择对应集群，查看模板实例和卸载失败最新事件。 可以看到istiomaster模板实例的执行状态为“卸载失败”，并且最新事件提示如下信息： deletion failed with 1 error(s): clusterroles:rbac.authorization.k8s.io "istiocleanupsecretsistiosystem" already exists 原因分析 helm对中断状态支持不好，客户异常操作会导致istio的helm模板卡在中间状态，使卸载过程中留下残留资源，从而导致卸载失败。 解决方法 步骤 1 通过kubectl连接到CCE集群。 步骤 2 执行以下命令，清理istio相关资源。 kubectl delete ServiceAccount n istiosystem kubectl get ServiceAccount n istiosystem grep istio awk '{print $1}' kubectl delete ClusterRole n istiosystem kubectl get ClusterRole n istiosystem grep istio awk '{print $1}' kubectl delete ClusterRoleBinding n istiosystem kubectl get ClusterRoleBinding n istiosystem grep istio awk '{print $1}' kubectl delete job n istiosystem kubectl get job n istiosystem grep istio awk '{print $1}' kubectl delete crd n istiosystem kubectl get crd n istiosystem grep istio awk '{print $1}' kubectl delete mutatingwebhookconfigurations n istiosystem kubectl get mutatingwebhookconfigurations n istiosystem grep istio awk '{print $1}' 步骤 3 登录ASM控制台，重新执行卸载操作。

本页介绍RDSPostgreSQL如何创建白名单。 创建RDSPostgreSQL实例后，默认允许同VPC内的IP可访问实例。您可以通过创建白名单管理，进行设置可访问该实例的IP范围。 操作场景 白名单指允许访问RDSPostgreSQL实例的ip列表。设置白名单可以让实例得到高级别的访问安全保护。 注意 设置白名单不会影响实例的正常运行。 默认的白名单分组（default）不能删除，只能清空。 开通时如选择“将VPC加入白名单”为是，则默认的白名单分组包含实例VPC网段表示该网段下的IP均可访问实例；如选择为否，则只包含127.0.0.1;0:0:0:0:0:0:0:1，表示不允许任何ip访问该实例。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作方式 1. 登录天翼云官网。 2. 点击右上角的控制中心，跳转到控制中心页面。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 6. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 7. 点击白名单管理，进入到白名单管理页面>点击“创建白名单组”>在弹出的窗口填入分组名称和组内白名单。 1. 创建的白名单分组名称在同一个实例上具有唯一性。 2. 同一个实例，不同分组的白名单ip列表可以重复，所有分组的ip的并集起效果。 3. 若白名单设置了两个ip，其中一个ip作用范围包含了另一个ip，则以范围大的ip为准。例如：0.0.0.0/0;192.168.10.2，则以0.0.0.0/0的效果为准。 8. 点击“确定”，保存白名单，点击“取消”，放弃创建白名单。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

本节主要介绍Agent管理 操作场景 使用对象存储迁移前需在一台或多台服务器上安装Agent用于迁移其他云服务商对象存储数据到天翼云。 约束限制 安装Agent的服务器必须为Linux系统，操作系统为X64，最低规格为4U8G。且必须与安装RDA的服务器处于同一个VPC、同一个安全组。（保证安装Agent的服务器能够访问安装RDA的服务器的5679端口） 安装Agent的服务器必须处于支持的目的端Endpoint中。 安装Agent的服务器必须加载弹性IP地址（用于访问源端） 操作步骤 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“配置管理”，在“OMS配置管理”页签，单击“Agent管理 > 添加节点”。 步骤 3 在弹出的“添加节点”页面，按照界面提示，配置参数。配置完成后，单击“确认”。 参数 说明 : 名称 用户自定义。 用户名 准备安装Agent服务器的SSH登录用户名。说明若使用云专线，请使用root账号。 密码 准备安装Agent服务器的SSH登录用户的密码。 IP地址 准备安装Agent服务器的私有IP地址。 端口 22 步骤 4 配置完成后，单击“确认”。 添加成功后，系统自动进行程序安装。状态列显示当前安装状态，如下图所示： 初始化 SSH检查中 下载中 上传中 安装中 安装成功离线 安装成功在线 程序安装状态说明 状态 说明 : 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本章节主要介绍Spark作业相关问题中有关作业开发的问题。 Spark如何将数据写入到DLI表中 使用Spark将数据写入到DLI表中，主要设置如下参数： fs.obs.access.key fs.obs.secret.key fs.obs.impl fs.obs.endpoint 示例如下： import logging from operator import add from pyspark import SparkContext logging.basicConfig(format'%(message)s', levellogging.INFO) import local file testfilename "D://testdata1.txt" outfilename "D://testdataresult1" sc SparkContext("local","wordcount app") sc.jsc.hadoopConfiguration().set("fs.obs.access.key", "myak") sc.jsc.hadoopConfiguration().set("fs.obs.secret.key", "mysk") sc.jsc.hadoopConfiguration().set("fs.obs.impl", "org.apache.hadoop.fs.obs.OBSFileSystem") sc.jsc.hadoopConfiguration().set("fs.obs.endpoint", "myendpoint") red: textfile rdd object textfile sc.textFile(testfilename) counts counts textfile.flatMap(lambda line: line.split(" ")).map(lambda word: (word, 1)).reduceByKey(lambda a, b: a + b) write counts.saveAsTextFile(outfilename) 通用队列操作OBS表如何设置AK/SK 获取结果为AK和SK时，设置如下： 1. 代码创建SparkContext val sc: SparkContext new SparkContext() sc.hadoopConfiguration.set("fs.obs.access.key", ak) sc.hadoopConfiguration.set("fs.obs.secret.key", sk) 2. 代码创建SparkSession val sparkSession: SparkSession SparkSession .builder() .config("spark.hadoop.fs.obs.access.key", ak) .config("spark.hadoop.fs.obs.secret.key", sk) .enableHiveSupport() .getOrCreate() 获取结果为ak、sk和securitytoken时，鉴权时，临时AK/SK和securitytoken必须同时使用，设置如下： 1. 代码创建SparkContext val sc: SparkContext new SparkContext() sc.hadoopConfiguration.set("fs.obs.access.key", ak) sc.hadoopConfiguration.set("fs.obs.secret.key", sk) sc.hadoopConfiguration.set("fs.obs.session.token", sts) 2. 代码创建SparkSession val sparkSession: SparkSession SparkSession .builder() .config("spark.hadoop.fs.obs.access.key", ak) .config("spark.hadoop.fs.obs.secret.key", sk) .config("spark.hadoop.fs.obs.session.token", sts) .enableHiveSupport() .getOrCreate() 说明 出于安全考虑，不建议在obs路径上带AK/SK信息。而且，如果是在OBS目录上建表，建表语句path字段给定的obs路径不能包含AK/SK信息。

本文主要介绍 创建用户并授权使用DMS for Kafka。 如果您需要对您所拥有的DMS for Kafka服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DMS for Kafka资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DMS for Kafka资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DMS for Kafka服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DMS for Kafka系统策略，并结合实际需求进行选择，DMS for Kafka支持的系统策略及策略间的对比，请参见：DMS for Kafka权限管理。 示例流程 图 给用户授权DMS for Kafka权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DMS for Kafka的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入 1 中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务Kafka，进入Kafka实例主界面，单击右上角“购买Kafka实例”，尝试购买Kafka实例，如果无法购买Kafka实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本章节主要介绍配置定时备份告警与审计信息。 操作场景 管理员可通过修改配置文件，实现定时备份FusionInsight Manager的告警信息、Manager审计信息以及所有服务的审计信息到指定的存储位置。 备份支持使用SFTP协议或FTP协议，FTP协议未加密数据可能存在安全风险，建议使用SFTP。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上配置定时备份。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，配置定时备份Manager告警、审计或者服务审计信息。 ./setNorthBound.sh t 信息类型 i 远程服务器IP p 服务器使用的SFTP或FTP 端口 u 用户名 d 保存信息的路径 c 时间间隔（分钟） m 每个保存文件的信息记录数 s 备份启停开关 e 指定的协议 例如： ./setNorthBound.sh t alarm i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改告警信息备份配置文件“alarmcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t audit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改审计信息备份配置文件“auditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t serviceaudit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改服务审计信息备份配置文件“serviceauditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 4.根据界面提示输入用户的密码。密码将加密保存在配置文件中。 Please input sftp/ftp server password: 5.显示如下结果，说明修改成功。备管理节点将自动同步配置文件。 execute command syncfile successfully. Config Succeed.

本章介绍通过做哪些检查来避免分片变更失败。 为了避免分片变更失败，请您最晚在变更前一天完成以下内容的检查。 预检查内容 检查内容 检查目的 检查未通过解决方案 数据库实例binlog备份时间检查 客户全量备份是否保留足够长时间。 进入DN console，增加全量备份天数。 DN节点binlog必须开启 Binlog必须开启以支持在线变更。 若您的DN节点是RDS实例，无需解决。若您的DN节点是Taurus实例，请进入Taurus console 参数配置，设置logbintrue。 DN节点binlog本地保留时间检查 Binlog在DN节点上的保留时间必须足够长。 若您的DN节点是RDS实例，无需解决。若您的DN节点是Taurus实例，请进入Taurus console 参数配置，设置binlogexpirelogsseconds 为604800或更大。 广播表数据一致性检查 保证广播表数据一致后再执行分片变更。 请联系DRDS运维人员。 源物理分片的字符集和排序规则检查 保证分片变更后字符的展示和排序一致。 请联系DRDS运维人员。 物理表建表语句检查 保证各物理分片上的表结构保持一致。 请先使用check table 命令查询表结构不一致详情，之后再使用alter 语法对表进行修正。 主键检查 要求源库所有表都具有主键，且拆分键是主键一部分以保证分片变更后数据一致性。 如果表不存在主键，请使用alter语句增加主键。 数据库实例链接检查 DN节点是否可连接。 检查安全组等配置。 数据库实例参数检查 源DN节点和目标DN节点数据库关键参数配置需要相同。 请进入DN console对参数配置进行修改。 数据库实例磁盘空间检查 防止分片变更过程中，DN节点磁盘不足。 对DN节点进行磁盘扩容，注：本项检查根据估计值进行判断，极端情况下与实际值有一定差别。 数据库实例时区检查 源DN节点和目标DN节点时区要求相同。 请进入DN console参数配置对时区进行修改请进入DN console参数配置对时区进行修改。