本节主要介绍编辑节点信息。 在“服务器管理”页面，选择需要修改节点名称或描述的服务器，点击“操作”>“编辑”，修改节点名称或描述信息。 图1 编辑节点 项目 描述 节点名称 节点名称。 取值：字符串形式，长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 描述 节点描述信息。 取值：1~50位字符串。

分布式消息服务Kafka 当事件目标选择分布式消息服务Kafka时，事件目标的type值为kafka，eventTargets中的resourceKey字段中含义如下表所示。 resourceKey 是否必传 form value template instanceId 是 CONSTANT 分布式消息服务Kafka实例Id。 说明 实例Id可在分布式消息服务Kafka管理控制台实例详情页获取。 无 topic 是 CONSTANT Kafka主题。 无 value 是 CONSTANT ORIGINAL JSONPATH TEMPLATE 消息体。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 key 是 CONSTANT EMPTY JSONPATH TEMPLATE 消息键值。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 请求示例： plaintext { "eventBusName": "test", "eventRuleName": "test", "desc": "", "filterPattern": "{}", "eventTargets": [ { "type": "kafka", "eventTargetName": "1gQfuPljs9MJsWM1eHYch", "params": [ { "resourceKey": "instanceId", "value": "356b3496b87xxxxxxxxfe7deef7fe35", "form": "CONSTANT" }, { "resourceKey": "topic", "value": "test2", "form": "CONSTANT" }, { "resourceKey": "value", "value": "", "form": "ORIGINAL" }, { "resourceKey": "key", "value": "", "form": "EMPTY" } ] } ] } 分布式消息服务RocketMQ 当事件目标选择分布式消息服务RocketMQ时，事件目标的type值为rocketmq，eventTargets中的resourceKey字段中含义如下表所示。 resourceKey 是否必传 form value template instanceId 是 CONSTANT 分布式消息服务RocketMQ实例ID。 说明 实例Id可在分布式消息服务RocketMQ管理控制台实例详情页获取。 无 topic 是 CONSTANT RocketMQ主题。 无 body 是 CONSTANT ORIGINAL JSONPATH TEMPLATE 消息体。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 keys 是 CONSTANT EMPTY JSONPATH TEMPLATE 消息索引。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 properties 是 CONSTANT EMPTY JSONPATH TEMPLATE 消息自定义属性。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 tags 是 CONSTANT EMPTY JSONPATH TEMPLATE 消息标签。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 请求示例： plaintext { "eventBusName": "test", "eventRuleName": "test", "desc": "", "filterPattern": "{}", "eventTargets": [ { "type": "rocketmq", "eventTargetName": "lMVBoqi55L3Q6QaCKFWYA", "params": [ { "resourceKey": "instanceId", "value": "89ceb110331e4c968499744c2ccbdbcc", "form": "CONSTANT" }, { "resourceKey": "topic", "value": "TopicA", "form": "CONSTANT" }, { "resourceKey": "body", "value": "", "form": "ORIGINAL" }, { "resourceKey": "properties", "value": "", "form": "EMPTY" }, { "resourceKey": "keys", "value": "", "form": "EMPTY" }, { "resourceKey": "tags", "value": "", "form": "EMPTY" } ] } ] }

本节主要介绍PutEventSelectors。 此操作用来配置跟踪的管理事件筛选器。 默认情况下，未设置管理事件筛选器的跟踪，会记录所有的管理事件，每个跟踪最多创建1个管理事件筛选器。 请求参数 名称 描述 是否必须 ::: TrailName 指定跟踪的名称。 类型：字符串 取值：3~128个字符。 可以包含ASCII字母（az，AZ），数字（09），句点（.），下划线（）或短划线（）。 必须以字母或数字开头，以字母或数字结尾。 不能是IP地址格式（例如：192.168.5.4）。 不能包含相邻句点（.）、下划线（）、短划线（）任意组合。如不能包含类似点点（..）,点下划线（.）的组合。 是 EventSelectors 指定管理事件筛选器。 取值：ReadWriteType。 是 ReadWriteType 指定管理事件的读写类型。 类型：字符串 取值： ReadOnly：只读。 WriteOnly：只写。 All：所有管理事件。 默认值为All。 否 响应结果 名称 描述 :: EventSelectors.ReadWriteType 管理事件的读写类型： ReadOnly：只读。 WriteOnly：只写。 All：所有管理事件。 TrailARN 跟踪的ARN。 请求示例 为跟踪testcloudtrail创建只写（WriteOnly）类型跟踪的管理事件筛选器。 POST / HTTP/1.1 Host:ooscncloudtrail.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190422T032847Z XAmzTarget:cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.PutEventSelectors ContentType:application/json {"TrailName":"testcloudtrail","EventSelectors":[{"ReadWriteType":"WriteOnly"}]}

本章节介绍注册配置中心常见实例问题 订购的ZooKeeper/Nacos/Eureka实例为什么没有外网地址？ 如果购买的实例没有绑定ELB，那么您的实例没有外网地址。您绑定ELB就可以用ELB的地址实现外网访问实例。 Nacos实例升级会不会影响用户正常服务？ 对于多节点集群，重启不影响用户服务，实例升级过程中，各节点服务器依次滚动重启，保证用户使用Nacos服务不间断；对于单机实例，重启可能会受到服务中断影响，所以建议生产（线上）环境使用三节点以上的集群进行服务。 生产环境下Nacos设置多少个节点比较好呢？ Nacos建议的规格书2n+1个节点，最佳值需根据实际需求和规格能力计算获得。 Nacos支持开源的Nacos控制台吗？ 默认不支持访问Nacos开源控制台。 Nacos Client支持哪些版本，推荐使用哪个版本？ Nacos Client 1.2.1版本以上均支持，推荐使用Nacos 2.x系列版本的Nacos Client。 MSE里的Nacos服务怎么下线？ 服务管理页面，选择指定的命名空间和服务名称，查看服务详情，按服务实例的维度进行下线操作。 如果 注册配置中心的某个实例被删除， 天翼云会提供恢复的解决方案吗？如果有的话需要多久能恢复？ 实例过期时间提前7天会有短信通知，实例退订后数据会保留15天，在此期间可以恢复实例。超过时间则无法恢复。

此小节介绍Web应用防火墙的应用场景，覆盖企业所需的典型防护场景。 常规防护 帮助用户防护常见的Web安全问题，比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时，业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略，能够保证业务服务不会因大量的并发访问而崩溃，同时尽可能地给正常用户提供业务服务。 0Day漏洞爆发防范 当第三方Web框架、插件爆出高危漏洞，业务无法快速升级修复，Web应用防火墙确认后会第一时间升级预置防护规则，保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜，和直接修复第三方架构的漏洞相比，WAF创建的规则能更快的遏制住风险。 防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则，以实现： 精准识别 采用语义分析+正则表达式双引擎，对流量进行多维度精确检测，精准识别攻击流量。 变形攻击检测 支持7种编码还原，可识别更多变形攻击，降低Web应用防火墙被绕过的风险。

步骤一：在RDS for PostgreSQL下载全量备份文件 RDS for PostgreSQL实例会在固定时间进行自动全备任务，也可以由您指定时间进行手动全备任务，其生成的.tar.gz文件支持下载以及在本地进行恢复自建数据库。 1. 您可以在RDS界面单击实例名称，选择“备份恢复 > 全量备份 > 下载”，详见下载实例级备份文件。 2. 通过文件传输工具（例如WinSCP）将全备文件上传到本地PostgreSQL库所在的Linux设备。 步骤二：使用备份文件恢复数据到自建PostgreSQL 使用说明 以下步骤请根据实际情况修改： 1. RDS for PostgreSQL备份文件解压前后建议存放在不同目录下。 − 解压前文件：/home/postgres/全备文件.tar.gz − 解压后目录：/home/postgres/backuprds 2. “/home/postgres/backuplocal”目录存放本地PostgreSQL数据库“data”目录下的两个配置文件“postgresql.conf”和“pghba.conf”。 3. 使用postgres用户作为本地PostgreSQL数据库的安装用户。 4. 使用$PGDATA代替本地PostgreSQL数据库“data”目录，执行以下命令获取本地PostgreSQL数据库“data”目录。 su postgres psql hostlocalhost port dbnamepostgres usernamepostgres c "show datadirectory;" DBPORT为本地自建数据库实例的端口，默认值为5432，请以实际配置为准。 操作步骤 1. 切换至postgres用户并创建一个临时目录“backuprds”，以下所有步骤使用postgres用户执行。 su postgres mkdir /home/postgres/backuprds 2. 停止本地PostgreSQL数据库服务。 pgctl stop D $PGDATA 3. 创建临时目录保存本地PostgreSQL数据库data目录下的两个配置文件（“postgresql.conf”、“pghba.conf”）。 mkdir /home/postgres/backuplocal cp $PGDATA/pghba.conf $PGDATA/postgresql.conf /home/postgres/backuplocal 4. 清空本地数据库的“data”目录。 注意 操作前请确保“$PGDATA/”目录下的数据已经不再需要，请谨慎操作。 执行ls l $PGDATA查看“$PGDATA/”目录下的文件。 rm rf $PGDATA/ 5. 执行如下命令，将备份解压到1中准备的目录。 说明 若使用root用户上传RDS for PostgreSQL备份文件到“/home/postgres/全备文件.tar.gz”，该文件会存在权限问题，需要修改该文件属主。 1. 执行sudo su切换至root用户。 2. 执行chown R postgres:postgres /home/postgres/全备文件.tar.gz修改该文件属主为postgres用户。 3. 执行su postgres切换回postgres用户。 tar zxf /home/postgres/全备文件.tar.gz C /home/postgres/backuprds 解压后会在“/home/postgres/backuprds”目录下产生以下目录： − 一个“base”目录，存放全量文件。 − 一个“pgwal”目录，为增量文件目录。如果PostgreSQL版本为9.x，则为“pgxlog”目录。 − N个以数字命名的表空间目录（如果原备份存在表空间文件）。 6. 将5和3中的文件按顺序拷贝到本地数据库指定目录下。 a. 将解压出来的“base”目录下的文件，全部拷贝到本地数据库“data”目录，然后用3中保存的配置文件，覆盖本地数据库“data”目录下的两个文件。 cp r /home/postgres/backuprds/base/ $PGDATA cp r /home/postgres/backuplocal/ $PGDATA b. 将解压出来的“pgwal”目录（如果PostgreSQL版本为9.x，则为“pgxlog”目录）下的文件，拷贝到本地数据库“data”下的“pgwal”目录（如果PostgreSQL版本为9.x，则为“pgxlog”目录）。 cp r /home/postgres/backuprds/pgwal/ $PGDATA/pgwal c. （可选）如果原备份存在表空间文件，修改“data/tablespacemap”文件中对应的表空间软链接信息： 复制表空间文件到“/tmp/tblspc/”目录下。 若解压文件中存在多个表空间目录，请多次执行cp r /home/postgres/backuprds/$tablespace /tmp/tblspc命令，确保所有表空间复制到“/tmp/tblspc”目录。 mkdir /tmp/tblspc cp r /home/postgres/backuprds/$tablespace /tmp/tblspc $tablespace为5中解压出的以数字命名的表空间名称。 删除本地数据库“data”目录“/tablespacemap”文件。 rm rf $PGDATA/tablespacemap 添加本地数据库“data”目录“/tablespacemap”文件的配置信息，若解压文件中存在多个表空间目录请多次执行以下命令，确保表空间软链接信息配置完整。 echo "$tablespace /tmp/tblspc/$tablespace" >> $PGDATA/tablespacemap 7. 重新启动数据库，等待数据库恢复完成。 pgctl start D $PGDATA 说明 如果备份期间云数据库有较大的写业务，“pgwal”目录下会有较多的WAL日志，数据库启动时回放WAL的时间可能较长，启动命令可能会超时失败。 执行ps uxwwf grep 'startup'命令查看startup进程的状态来判断当前恢复的进度。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

本文主要介绍了DRDS的语句执行状态查询功能。 使用场景 此功能可以看到DRDS实例实际正在执行的语句。支持选择不同DRDS节点进行查看，用户可以查看sql语句所关联的前后端信息。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 运维工具】，进入数据库锁表查询页面。然后在顶部菜单栏，选择区域和项目。 3. 单击导航栏的【语句执行状态查询】，进入到语句执行状态查询页面。 4. 在页面左上角选择【选择实例】【节点名称】【显示所有字段】下拉框，可以查询目标实例节点的语句执行状态。 说明 默认展示参数：sql语句、已执行时间（秒）、schema 、用户名、客户端地址、物理数据库、是否自动提交。如需查看更多参数，请选择【显示所有字段 > 是】，查看更多参数信息。 参数说明 参数 参数说明 sql语句 用户提交的sql语句。 已执行时间（秒） 连接持续时间。 schema 所使用数据库schema。 用户名 连接使用的用户名。 客户端地址 前端连接对应的客户端主机地址。 物理数据库 后端数据库对应的物理数据库。 是否自动提交 标记是否自动提交。 编码 sql语句使用的编码方式。 事务级别 sql语句的事务级别类型。 处理器名 该sql语句使用的处理器。 前端连接标识 用于标识前端连接的标识符号。 前端连接持续时间（秒） 前端连接的连接时长。 前端连接待写数据包数 可以查看当前的前端连接中待发送数据包个数。 前端连接接收缓冲区大小 查看前端连接的发送缓冲区大小。 后端连接持续时间（秒） 后端连接的连接时长。 后端连接待写数据包数 可以查看当前的后端连接中待发送数据包个数。 后端连接是否关闭 标识后端连接是否已关闭。 后端连接是否使用中 标识后端连接是否在使用中。

在使用标签功能时遵循以下设计原则,可帮助您更高效的管理云资源。 标签设计原则概述 当您账户中的云资源不断增多，管理云资源的难度也会随之加大，使用标签功能对账户内云资源的快速分组与管理，可以帮助您从不同维度对具有相同特征的云资源进行筛选，让资源管理变得更加轻松。在创建标签时，遵循以下原则会让您的管理更加高效： 全面原则 ：所有资源都得需要绑标签。从整体出发，考虑标签的组织结构，在规划资源的同时进行标签的键值规划，确保所有资源都可基于标签被分组。注意：标签键值建议采用标准格式。 有效管理幅度原则 ：每个标签键所对应的标签值数量应该是可控的，管理幅度不应过大，避免创建多余的标签值。 精简高效原则 ：精简标签键的设计，去除没有实际管理意义的标签键，防止因为标签键设计混乱导致的管理问题。 互斥原则 ：确保标签键值的含义的唯一性，避免设计含义相同或近似的标签键值。 标签键设计示例 业务维度 类型 子类型 组织架构 department group team organization 组织名称 角色层级 role user 相关角色名称 项目/任务 project task 项目/任务名称 环境 ‌environment‌ 环境名称 使用者 owner 使用者名称

在使用标签功能时遵循以下设计原则,可帮助您更高效的管理云资源。 标签设计原则概述 当您账户中的云资源不断增多，管理云资源的难度也会随之加大，使用标签功能对账户内云资源的快速分组与管理，可以帮助您从不同维度对具有相同特征的云资源进行筛选，让资源管理变得更加轻松。在创建标签时，遵循以下原则会让您的管理更加高效： 全面原则 ：所有资源都得需要绑标签。从整体出发，考虑标签的组织结构，在规划资源的同时进行标签的键值规划，确保所有资源都可基于标签被分组。注意：标签键值建议采用标准格式。 有效管理幅度原则 ：每个标签键所对应的标签值数量应该是可控的，管理幅度不应过大，避免创建多余的标签值。 精简高效原则 ：精简标签键的设计，去除没有实际管理意义的标签键，防止因为标签键设计混乱导致的管理问题。 互斥原则 ：确保标签键值的含义的唯一性，避免设计含义相同或近似的标签键值。 标签键设计示例 业务维度 类型 子类型 组织架构 department group team organization 组织名称 角色层级 role user 相关角色名称 项目/任务 project task 项目/任务名称 环境 environment‌ 环境名称 使用者 owner 使用者名称

在使用标签功能时遵循以下设计原则,可帮助您更高效的管理云资源。 标签设计原则概述 当您账户中的云资源不断增多，管理云资源的难度也会随之加大，使用标签功能对账户内云资源的快速分组与管理，可以帮助您从不同维度对具有相同特征的云资源进行筛选，让资源管理变得更加轻松。在创建标签时，遵循以下原则会让您的管理更加高效： 全面原则 ：所有资源都得需要绑标签。从整体出发，考虑标签的组织结构，在规划资源的同时进行标签的键值规划，确保所有资源都可基于标签被分组。注意：标签键值建议采用标准格式。 有效管理幅度原则 ：每个标签键所对应的标签值数量应该是可控的，管理幅度不应过大，避免创建多余的标签值。 精简高效原则 ：精简标签键的设计，去除没有实际管理意义的标签键，防止因为标签键设计混乱导致的管理问题。 互斥原则 ：确保标签键值的含义的唯一性，避免设计含义相同或近似的标签键值。 标签键设计示例 业务维度 类型 子类型 组织架构 department group team organization 组织名称 角色层级 role user 相关角色名称 项目/任务 project task 项目/任务名称 环境 eviromment 环境名称 使用者 owner 使用者名称

本节介绍如何管理分类映射，如启用、禁用、删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“分类&映射”页签，进入分类映射管理页面。 5. 在分类映射管理页面中，对分类映射进行管理。 参数名称 参数说明 启用 说明 自定义新增的分类映射暂不支持启用操作。 在分类映射管理页面中，单击目标分类映射所在行“启用状态”列的禁用按钮。 当“启用状态”更新为“启用”时，表示启用成功。 禁用 说明 自定义新增的分类映射暂不支持禁用操作。 在分类映射管理页面中，单击目标分类映射所在行“启用状态”列的启用按钮。 当“启用状态”更新为“禁用”时，表示禁用成功。 删除 说明 暂不支持删除系统内置分类映射。 删除分类映射时，与待删除分类映射关联的插件、连接等都将立即停止。 分类映射删除后，无法恢复，请谨慎操作。 1.在分类映射管理页面中，单击目标分类映射所在行“操作”列的“删除”。 2.在弹出的删除映射确认页面中，确认无误后，单击“删除”。

创建好子网，子网网关设置成254，但主机IP无法设置成1，提示已占用？ IP地址1已经被其他服务使用，在虚拟私有云中，IP为1的地址被保留用于网络设备（如路由器）或服务（如DHCP服务器）使用，因此系统无法将这个IP分配给您的云主机。另外还请注意，IP地址最后一位除去不能为1以外，也不可以为0或者255。 更多信息可参考创建子网说明部分。 是否支持弹性IP批量从共享带宽中移出？ 目前暂不支持此功能的批量操作，仅支持从共享带宽中一次移出一个弹性IP。 详细操作请见共享带宽帮助手册：共享带宽从共享带宽中移出弹性 IP管理添加的弹性IP。 云主机的弹性IP ping不通怎么办？ 弹性IP ping不通可以用以下步骤进行排查 1. 检查安全组规则。检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。满足下图中任意一条规则即可。 2. 检查“ 网络 ACL”规则。查看“网络 ACL”状态，下图分别表示网络 ACL 当前为开启和关闭状态状态。 检查“弹性IP”绑定的网卡是否在“网络 ACL”关联的子网下，请参考下图进行操作检查。 关联子网： 入方向： 出方向： 若“网络 ACL”为“开启”状态，需要添加 ICMP 放通规则进行流量放通。 注意 需要注意“网络 ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络 ACL”后，其默认规则仍然生效。 3. 确认弹性云主机内默认路由是否存在。 登录弹性云主机，执行如下命令，查看是否存在默认路由。

本节介绍天翼AI云电脑（政企版）产品支持集中管控、安全管理、数据安全以及更多扩展功能的内容介绍。 集中管控 统一业务管理台，应用软件、操作系统等一键升级，快速批量创建桌面，实现桌面标准化，降低工作量。 集中管理：支持用户管理、AI云电脑资源管理和计费管理。 策略管理：可配置盘类设备的读写权限，避免企业敏感信息泄密。 集中存储：防止数据用户泄密。终端故障率低，免维护，省时省力。 安全管理 AI云电脑提供多种安全管理使用能力，满足不同用户级别、不同场景的安全需要，给你安全、干净、高效的办公桌面。 管理安全：分权分域控制，按角色分类控制管理员的权限，且按部门控制管理员可管理的桌面，对管理员操作生成审计日志。 登录日志：记录用户登录AI云电脑，包括终端设备信息、开始连接时间和结束连接时间，实现对异常使用AI云电脑情况可追溯。 安全水印：显性水印，防软件截图，防拍照泄密，事前威慑，事后追踪泄密来源。 安全组：具备状态检测和数据包过滤能力，用于在云端划分安全域。 异常处理：在发现使用AI云电脑存在异常情况，如用户在做非法行为，可立刻锁住该桌面，及时制止。

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }

本文介绍块存储的适用场景与使用限制。 媒体存储提供支持标准iSCSI协议的块存储服务，客户侧本地应用或云上应用均可对接，推荐通过专线接入或云上应用访问。 适用于低频、中频读写访问、业务弹性扩展、成本敏感型的存储场景。重点针对视频监控、医疗影像、媒资存储等场景推广，在此类场景中客户侧应用不支持改造或仅支持少量改造，且不具备条件对接文件存储时，可选择使用块存储。不适用于数据库、高性能计算等对IO吞吐要求较高的场景。 关于块存储的使用方式，您可参考：块存储。

问题描述 已经正常开通并使用的裸金属，用户升级CentOS系统内核后，无法连接服务器 (升级内核前使用NetworkManager)。 可能原因 内核升级后NetworkManager未设置开机自启动。 解决方案 联系运营管理员，登录服务器查看NetworkManager状态，是否正常运行； Bash 查看NetworkManager是否开机自启动 systemctl isenabled NetworkManager 如图所示: 其中 disabled 说明NetworkManager服务未启动。 执行下述命令行 Bash systemctl start NetworkManager 开启NetworkManager服务 systemctl enable NetworkManager 设置开机自启动

操作场景 云容器引擎（CCE）提供多种类型的容器部署和管理能力，支持对容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等特性。 其中守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod。当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群 ，请参照购买混合集群中内容创建。 操作步骤 步骤 1 登录CCE管理控制台。 步骤 2 在左侧导航栏中选择“工作负载 > 守护进程集 DaemonSet”，单击页面右上角的“创建守护进程集”。参照下表设置基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 时区同步 单击开启后，容器将和节点使用相同时区。 须知 时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 3 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期： 用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 说明： 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 4 单击“下一步：工作负载访问设置”，单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络概述。 步骤 5 单击“下一步：高级设置”，配置更多高级策略。 升级策略： − 升级方式：支持“滚动升级”。滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 − 最大无效实例数：每次滚动升级允许的最大无效实例数，如果等于实例数有断服风险（最小存活实例数 实例数 最大无效实例数）。 缩容策略： 缩容时间窗：请输入时间。为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见调度策略概述。 Pod 高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 客户端DNS 配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 6 配置完成后，单击“创建”，在创建成功页面单击“返回工作负载列表”，查看工作负载状态。 在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。工作负载状态不会实时更新，请单击右上角的图标或按F5刷新页面查看。

本章节主要介绍翼MR Manager的集群服务配置文件历史对比的操作。 操作场景 支持用户查看当前配置文件与不同历史版本的差异。 操作步骤 1. 登录翼MR管理控制台。 2. 在“我的集群”中，单击目标集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击配置组，单击配置文件名称，页面右侧展示该配置的详细信息。 7. 单击“历史对比”，出现历史对比弹框。如图所示：

本文将为您介绍如何在云主机中使用服务委托策略。当前华东1地区已开通此功能。通过服务委托功能,您可以将自己的操作权限委托其他云服务,云服务可以根据权限代替您进行日常资源管理工作 前提条件 已登录弹性云主机控制台。 已有可使用的委托策略。 操作步骤 新建云主机时绑定委托策略 1. 登录管理控制台。 2. 在控制台顶部菜单左侧，选择区域。 3. 点击计算弹性云主机进入云主机控制台。 4. 单击右上角创建云主机进入云主机购买页面。 5. 在步骤3“高级配置“页面”，选择“委托策略名称”，此条策略后续将生效于该台云主机。 6. 云主机创建其他信息填写完毕，点击“确认配置”以及“立刻购买”。 注意 委托策略的创建需要管理员登录IAM控制台进行创建。具体操作文档请参考统一身份认证创建委托。 云主机创建后绑定委托策略 1. 点击指定弹性云主机的名称，系统跳转至该弹性云主机详情页面。 2. 详情页面中点击委托策略后方的编辑标识，为当前云主机绑定新委托策略。 注意 若您的云主机上已绑定委托策略，绑定新策略后，原策略将失效，新策略将生效于当前云主机。

本章节主要介绍租户管理使用前须知。 本章节指导用户在MRS控制台执行租户管理操作。 在控制台界面执行租户管理操作仅适用于MRS 3.x之前版本集群。 在Manager界面执行租户管理操作适用于所有版本，MRS 3.x及之后版本请参考简介，MRS 3.x之前版本请参考租户简介。

本节介绍如何在数据目录页面查看不同业务域或不同类型数据的统计信息。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 资产目录”，进入“资产目录”页面。 5. 在“业务域”或“数据类型”页签查看已经添加的数据资产信息，相关参数说明如下表。 您可以在业务域页签左侧导航栏，选择分组展示您想要查看的数据资产，或在数据类型页签左侧导航栏选择数据类型展示您想要查看的数据资产。 参数名称 参数说明 统计信息 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 敏感数据库/总库占比：统计敏感数据库在所有数据库中的占比。 敏感数据表/总表占比：统计敏感数据表在所有数据表中的占比。 敏感数据列/总列占比：统计敏感数据列在所有数据列中的占比。 说明 “周同比”表示同比上周数据发生的变化。 数据列密级等级占比 体现不同密级敏感数据列在数据列总量中占比的饼状图。 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 分类结果TOP5 分类结果占比最高的TOP5类型。 单击“查看详情”，在“分类结果详情”界面，查看统计信息。 数据量变化 体现数据量随时间变化的曲线图。 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 库量级表 数据库实例：数据库实例名称 实例ID：实例ID 主机端口：主机端口号 用户：用户名

本文主要介绍查看监控数据。 操作场景 云监控对Kafka实例的运行状态进行日常监控，可以通过控制台直观的查看Kafka实例各项监控指标。 前提条件 已创建Kafka实例，且实例中有可消费的消息。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，查看监控数据。 在Kafka实例名称后，单击。跳转到云监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。 单击Kafka实例名称，进入实例详情页。在左侧导航栏单击“监控”，进入监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。

本章节主要介绍修改工作负载队列。 在资源管理中，您可以对某个资源池的参数进行修改。 1. 登录DWS管理控制台。 2. 在集群列表中单击需要访问“资源管理”页面的集群名称。 3. 切换至“资源管理”页签。 4. 在“资源池”列表中切换需要修改的资源池名称，出现如下页面，包括“短查询配置”、“资源配置”、“异常规则”、“关联用户”。 5. 修改短查询配置。修改为相应取值，单击右侧“保存”。 参数项 描述 取值 短查询加速 短查询加速开关，默认打开。 打开 短查询并发 短查询作业为执行估算内存小于32MB的查询作业，默认值“1”表示不管控。 10 步骤 6 修改资源配置。 单击右侧“编辑”，详情请参见表 资源池参数 修改相应参数，并单击确定。 表 资源池参数 参数项 描述 默认值 名称 资源池的名称。 CPU资源（%） 共享配额：关联在当前资源池的用户在执行作业时可以使用的CPU时间比例，取值范围为199的整数。 专属限额：限定资源池中数据库用户在执行作业时可使用的最大CPU核数占总核数的百分比，取值范围为0100的整数，0表示不限制。 所有资源池的总和不能超过99%。当配置CPU共享配额后，如果当前只有一个资源池时，该参数不生效。 共享配额非绝对限制，只有在发生CPU竞争时才生效。例如，资源池A和B被绑定在CPU1运行，当A和B均运行时参数生效，只有A运行则参数不生效。 所有资源池的CPU专属限额总和最大不能超过100%，系统默认的CPU专属限额（%）为0。 CPU专属限额仅8.1.3及以上集群版本支持。 内存资源（%） 资源池所占用的内存百分比。内存和查询并发支持单独管控和联合管控，联合管控时必须同时满足并发和内存要求时作业才能下发。 0（不限制） 存储资源（MB） 可使用的永久表空间大小。该值是资源池下所有DN的表空间总值，单DN 节点可用空间 设置值/ DN节点数。 1（不限制） 复杂语句并发 资源池中的最大查询并发数。内存和查询并发支持单独管控和联合管控，联合管控时必须同时满足并发和内存要求时作业才能下发。 10 网络带宽权重 网络调度时权重值。取值范围为1~2147483647的整数，默认配置为1。 注意 网络带宽权重仅8.2.1及以上集群版本支持。 1（不限制） 说明 CPU专属限额仅8.1.3及以上集群版本支持。 7. 关联异常规则。 关联异常规则； 解绑异常规则； 说明 关联、解绑异常规则仅8.2.0及以上集群版本支持。8.2.0以下集群版本请参考步骤7.3。 默认异常规则，当用户未关联资源池，或者用户所关联的资源池未配置异常规则时默认生效；当用户所关联的资源池关联所指定规则时，以所关联规则为准。 默认异常规则仅8.2.0及以上集群版本支持，升级到8.2.0及以上集群版本时默认异常规则不会生效，用户可自行创建所需规则。 8.2.1集群版本支持降级异常规则，所有异常规则都支持降级行为，降级后仅网络资源抢占降至低优先级：在正常查询无网络请求时，才会调度降级查询的网络请求。 同一个资源池最多关联16组异常规则。 同一个资源池可以关联多组规则，资源池关联的多组不同的异常规则以“或”的关系生效，满足其中一组的所有条件即可生效。例如，资源池关联两组规则，一组指定elapsedtime2400， 另一组指定elapsedtime1200，memsize2000，那么执行中的作业，满足执行时间达到1200秒且内存使用达到2000MB时，或者执行时间达到2400秒时，都会触发规则终止作业。 修改异常规则； 参见表 修改相应参数。 表 修改相应参数 参数项 描述 取值范围（0表示不约束） 操作 阻塞时间 作业的阻塞时间，包括全局并发排队以及局部并发排队的总时间，单位秒。 例如，如果配置“阻塞时间”为300秒，那么当该资源池中的用户执行的某个作业在阻塞300秒后将被终止。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 执行所消耗时间 已经执行的作业从开始执行到当前所消耗的时间，单位为秒。 例如，如果配置“执行所消耗时间”为100秒，那么当该资源池中的用户执行的某个作业在执行超过100秒后将被终止。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 所有DN上CPU总时间 作业在所有DN上执行时所耗费的CPU总时间，单位为秒。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 检查倾斜率的时间间隔 检查作业执行的CPU倾斜率的间隔时间，单位为秒，需同“所有DN上CPU时间的倾斜率”一起设置。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 所有DN上CPU总时间倾斜率 作业在DN上执行时的CPU时间的倾斜率，依赖于“检查倾斜率的时间间隔”的设置。 1~100的整数。0表示不约束。 终止、降级或不约束 单DN算子下盘大小 作业在单个DN上最大下盘的数据量，单位MB。 说明 该异常规则仅8.2.0及以上集群版本支持。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 DN平均消耗CPU占比 作业在所有DN上执行时的平均CPU使用率，检测周期不强依赖“检查倾斜率的时间间隔”，若配置将使用该检查间隔，否则系统默认30秒间隔。 说明 该异常规则仅8.2.0及以上集群版本支持。 1~100的整数。0表示不约束 终止、降级或不约束 单个DN上最大带宽 作业在单个DN上最大可占用的网络带宽，单位MB。 说明 该异常规则仅8.2.1及以上集群版本支持。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 说明 异常规则允许您对资源池中用户执行的作业做异常控制，目前支持表164的相关配置。 如选择“终止”或“降级”，则需要设置相应时间或百分比。 如选择“不约束”，则无异常规则约束。 资源池修改异常规则仅8.2.0及以上集群版本支持。 8. 关联用户。 说明 一个数据库用户只有被添加到某个资源池中之后，该用户运行作业所使用的资源才能被管控。 一个数据库用户只能被添加至一个资源池中，从资源池中移除的用户可以再次添加至其他资源池。 数据库管理员用户不可关联。 当用户没有指定关联资源池时，会被默认关联到defaultpool，资源使用受defaultpool限制。defaultpool在开启资源管理功能后由系统自动创建。 单击左侧“添加”。 从当前用户列表中，勾选需要添加的用户，一次可勾选多个。 单击“确定”。 如果需要删除用户，则单击待删除用户所在行右边的“解除关联”即可。

本章节主要介绍故障演练服务功能类问题。 如何查看故障注入的详细日志？ 可以在两个层级查看日志，以了解不同的执行细节： 演练实验级别： 1. 导航至 演练管理 > 执行记录 > 详情 页面。 2. 在页面右上角，单击演练日志，可以查看本次演练的总体流程和高级别事件。 具体动作级别： 1. 在演练运行详情 页的动作列表 中，单击具体的故障动作卡片（无论是注入还是恢复）。 2. 在右侧弹出的侧边栏中，单击查看日志，可以获取该动作最详细的执行日志。 动作组、并行动作、动作之间的关系？ 它们构成了一个清晰的层级关系，用于编排从简单到复杂的各种演练场景： 动作组 ： 场景级的容器。一个动作组代表一个完整的故障场景，例如“模拟数据中心A网络故障”。它可以包含多个并行的动作，并且可以针对不同类型的资源进行编排（如同时对Redis和云主机注入故障）。在一个演练任务中，不同的动作组之间是并行执行的。 并行动作 ： 并发执行的单元。在一个动作组内部，可以创建多个并行动作块。这些块之间是并行执行的，用于模拟同时发生的多个故障。 动作 ： 最小的执行单元。它代表一个具体的故障动作（如CPU高负载、网络延迟）。在一个并行动作块内部，可以添加多个动作，它们之间是串行执行的，用于模拟一个有先后顺序的故障链条。

操作步骤 1. 登录天翼云控制台，选择“网络>NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成NAT网关的创建。 步骤四：配置路由（仅部分资源池需要） 步骤说明 部分资源池在购买NAT网关后，自动加载路由到VPC中，不需要此步操作。 部分资源池需要在默认路由中添加路由指向NAT网关，具体功能以控制台为准。 操作步骤 1. 添加默认路由指向NAT网关。单击“虚拟私有云”，进入虚拟私有云控制台，选择环境中创建的VPC，点击名称打开VPC详情页，在子网页签点击子网名称，进入子网详情页。 2. 在子网详情页单击“路由管理”页签，点击已绑定的“默认路由表”进入路由规则页面。 3. 在路由规则页面单击“创建”，在弹出页面，选择 IP类型：IPv4 目的地址：0.0.0.0/0 下一跳类型：NAT网关 NAT网关：选择刚创建的NAT网关 4. 点击“确定”，完成默认路由指向NAT网关。 步骤 五 ：配置DNAT规则 步骤说明 公网NAT网关创建成功后，您需要创建DNAT规则。通过创建DNAT规则，您可以将该子网下的云主机通过共享弹性公网IP对外提供服务。

本文介绍如何添加和解绑文件系统的VPC。 操作场景 文件系统必须通过添加VPC，挂载在弹性云主机上，才能实现文件共享。海量文件服务支持配置多个VPC，以使归属于不同VPC的云主机也能共享访问同一个文件系统。 说明 一个文件系统最多可以添加20个可用的VPC。 添加VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”进入OceanFS文件系统列表页面。 3. 在目标文件系统操作栏或者点击目标文件系统名称进入详情页，点击“添加VPC”。 4. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，如果没有可用的VPC需先申请，点击右侧“创建虚拟私有云”。 5. 点击“确定”，完成添加。 6. 添加完成后，可以在详情页VPC页签下看到绑定的VPC。可以点击操作栏下方的“更改权限组”，更改VPC绑定的权限组。 解绑VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 点击目标文件系统的名称，进入详情页。 4. 在文件系统详情页的VPC页签下，点击待解绑的VPC操作栏下的“解绑”。 5. 在弹出页面，点击“确定”，完成VPC的解绑。

创建MRS离线查询集群 1. 登录天翼云控制中心，选择“大数据 > 翼MapReduce服务 MRS”，单击“购买集群”，选择“快速购买”，填写软件配置参数，单击“下一步”。 软件配置（以下参数仅供参考，可根据实际情况调整） 参数项 取值 计费模式 按需计费 集群名称 MRSdemo 版本类型 普通版 集群版本 MRS 3.1.0 组件选择 Hadoop分析集群 可用区 可用区1 虚拟私有云 vpc01 子网 subnet01 企业项目 default Kerberos认证 不开启 用户名 admin/root 密码 设置密码登录集群管理页面及ECS节点用户的密码，例如：Test!@12345。 说明 此密码仅为格式实例，实际设置密码请注意规避弱密码风险。 确认密码 再次输入设置用户密码 通信安全授权 勾选“确认授权” 2. 购买Hadoop分析集群。 3. 单击“立即购买”，等待MRS集群创建成功。 集群购买成功 将本地数据导入到HDFS中 1. 在本地已获取某图书网站后台图书点评记录的原始数据文件“bookscore.txt”，例如内容如下。 字段信息依次为：用户ID、图书ID、图书评分、备注信息 例如部分数据节选如下： 202001,242,3,Good! 202002,302,3,Test. 202003,377,1,Bad! 220204,51,2,Bad! 202005,346,1,aaa 202006,474,4,None 202007,265,2,Bad! 202008,465,5,Good! 202009,451,3,Bad! 202010,86,3,Bad! 202011,257,2,Bad! 202012,465,4,Good! 202013,465,4,Good! 202014,465,4,Good! 202015,302,5,Good! 202016,302,3,Good! ... 2. 登录对象存储服务OBS控制台，单击“创建桶”，填写以下参数，单击“立即创建”。 桶参数 参数项 取值 数据冗余存储策略 单AZ存储 桶名称 mrshive 默认存储类别 标准存储 桶策略 私有 默认加密 关闭 归档数据直读 关闭 企业项目 default 标签 3. 创建OBS桶。 4. 等待桶创建好，单击桶名称，选择“对象 > 上传对象”，将数据文件上传至OBS桶内。 5. 上传对象。 6. 切换回MRS控制台，单击创建好的MRS集群名称，进入“概览”，单击“IAM用户同步”所在行的“同步”，等待约5分钟同步完成。 同步IAM用户 7. 将数据文件上传HDFS。 a.在“文件管理”页签，选择“HDFS文件列表 ” ，进入数据存储目录，如“/tmp/test”。 “/tmp/test”目录仅为示例，可以是界面上的任何目录，也可以通过“新建”创建新的文件夹。 b.单击“导入数据”。 OBS路径：选择上面创建好的OBS桶名，找到“bookscore.txt”文件，勾选“我确认所选脚本安全，了解可能存在的风险，并接受对集群可能造成的异常或影响。”，单击“确定”。 HDFS路径：选择“/tmp/test”，单击“确定”。 从OBS导入数据到HDFS c.单击“确定”，等待数据导入成功，此时数据文件已上传至MRS集群的HDFS文件系统内。 数据导入成功

本节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 自定义类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”。 子类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”、“子类型标识”。 查看已有的自定义类型/子类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“自定义类型”页签，进入自定义类型管理页面后，查看已有自定义类型/子类型的详细信息。 左侧显示类型列表，展示已有的类型。 如需查看某个类型的详细信息，请单击左侧类型列表中类型的名称，右侧将展示类型的详细信息。具体信息如下： 目标类型的基本信息：名称、创建人、创建时间、关联布局。 子类型列表：已有子类型、子类型名称、子类型关联的布局等信息。

操作场景 切回完成后，数据不会自动同步（生产站点到容灾站点），保护实例处于停止保护状态，如需开始数据同步，需要进行重保护操作。 前提条件 需要待重保护的生产站点服务器已完成预配置；如果还未进行预配置，请参考配置生产站点服务器进行配置。 保护实例状态为“切回完成”或者“重保护失败”。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待重保护的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待重保护的保护实例所在行操作列的“更多 > 重保护”。 6. 进入重保护页面，单击“提交”开始重保护。 7. 保护实例状态变为“重保护中”，等待操作完成。 8. 操作完成后，保护实例状态更改为“同步中”，并显示剩余待同步数据量以及预估剩余时间。 说明 切回成功后，原容灾站点服务器将自动删除。

本文为您介绍如何通过用户主密钥实现敏感数据的在线加密。 敏感信息加密是密钥管理系统 KMS 核心的能力，适用于保护小型敏感数据（小于6KB），如口令、证书、配置文件等。通过密钥管理服务KMS的在线加密API，使用 用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 场景示意图 操作流程（以证书加密为例） 1. 通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）。 2. 调用KMS服务的Encrypt接口，将明文证书加密为密文证书。 3. 将密文证书部署在服务器上。 4. 当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 相关API 您可以调用以下KMS API，轻松完成对数据的加密或解密操作。 API名称 说明 createkey 创建用户主密钥（CMK）。 encrypt 指定CMK，直接输入明文数据，由KMS在线加密数据。 decrypt 解密由encrypt接口加密的数据，不需要指定CMK即可完成在线解密。

安装MariaDB Mariadb是一个数据库，主要用于后续存储论坛数据。 1.安装mariadb 执行以下命令 yum install mariadbserver mariadb –y 2.启动mariadb 执行以下命令： systemctl start mariadb 3.设置mariadb 开机自启动 mariadb开机自动启动可以保证虚拟机重启之后，服务可以同时启动；执行以下命令： systemctl enable mariadb 4.进入mysql数据库 执行以下命令： mysql 5.创建数据库的用户名和密码 创建访问数据库的用户名和密码，并进行授权；如我们需要创建如下信息： 用户名：root 密码：123456 主机：localhost（本机） 数据库名字：tianyi 需要执行以下命令： GRANT ALL PRIVILEGES ON . TO 'root'@'localhost'IDENTIFIED BY '123456' WITH GRANT OPTION;CREATE DATABASE tianyi;flush privileges; 代码配置完成后，输入ctrl+c退出数据库编辑。 Discuz!安装 1. 安装下载工具 下载discuz!之前需要先下载wget工具，执行以下命令： yum install wget y 2. 下载Discuz!源码包 请先登录gitee官网获取Discuz下载地址： 执行以下命令： wget 3. 解压Discuz!源码包 执行以下命令： unzip d ./Discuz ./DiscuzX3.5SCUTF820250205.zip 4. Discuz!源码移动 将discuz!移动到httpd启动的目录，使用户可以通过http访问到discuz!网站。 执行以下命令： mv ./Discuz/upload/ /var/www/html/ 5. 修改Discuz!源码权限 修改源码读写权限，使网站能够被所有用户正常读写访问。执行以下命令： chmod R 777 /var/www/html/ 6. 重启httpd 重启httpd，使所有设置好的环境变量生效。执行以下命令： service httpd restart 7. 浏览器访问Discuz 输入