本章节会介绍在关系型数据库服务的管理控制台创建实例的过程。 操作场景 您可以通过关系型数据库服务的管理控制台或API创建关系型数据库实例。关于如何通过API创建的信息，请参见《关系型数据库API参考》中实例管理章节的“创建实例”的内容。本文将介绍在关系型数据库服务的管理控制台创建实例的过程。 目前，RDS for PostgreSQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的RDS实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月 ： 若选择该模式，跳过步骤6，执行步骤7。 按需计费 ： 若选择该模式，继续执行步骤6。 表 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 PostgreSQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用PostgreSQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况：− 相同，主机和备机会部署在同一个可用区。− 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云和子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 安全组 控制网络出/入及端口的访问，默认添加了关系型数据库实例所属的安全组访问。 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果没有可选的安全组，关系型数据库服务默认为您分配安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 :: 管理员帐户 数据库的登录名称默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~!@

本章节介绍云容器集群节点网络延迟故障演练。 背景介绍 网络延迟是云容器引擎（CCE）集群中微服务架构最常见的微故障之一。跨可用区的Pod间通信、访问外部依赖服务、网络拥塞等都可能导致通信延迟增加。这会直接影响应用的响应时间，降低用户体验，甚至在复杂的调用链中引发雪崩效应。本演练模拟可控的网络延迟，帮助您检验系统的超时设置、熔断机制的有效性，并发现潜在的性能瓶颈。 基本原理 通过增加TC和Netem规则模拟Node内网络延迟。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节介绍如何开启IPv6防护。 如果您的网站需要IPv6的防护，可以参考本章节开启IPv6防护，开启后，WAF将为域名分配IPv6的接入地址，WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时，默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。 源站地址只有IPv6时： 当防护网站的源站地址配置为IPv4地址时，手动开启IPv6防护后，WAF将通过NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制）将外部IPv6访问流量转化成对内的IPv4流量。WAF使用IPv4回源地址和源站发起连接。 源站地址只有IPv4时： 前提条件 网站已接入WAF。 开启IPv6防护 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在“IPv6防护”所在行，单击编辑图标，在弹出的对话框中，选择“开启”并单击“确定”。

本小节介绍 Agent状态异常处理。 Agent状态主要分为以下三种，若Agent的运行状态为“未安装”或者“离线”时，可能是Agent与服务器间通信异常。 未安装：主机从未安装Agent，或Agent已安装但未成功启动。 离线：Agent与服务器通信异常，主机中的Agent已被删除，或主机离线。 在线：主机内的Agent运行正常。 可能的原因 网络故障。主机中的Agent和云端防护中心出现异常，如网卡故障、IP地址异变及带宽较低。 Agent进程异常。 安装Agent后，不会立即生效，需要等待3~5分钟左右控制台才会刷新。 处理方法 排查网络故障.待网络恢复正常后： 若Agent状态为“在线”，则故障清除。 若长时间Agent状态仍为“未安装”或者“离线”，可能是Agent进程异常，需要登录主机，重启Agent进程。 Windows操作系统 以管理员administrator权限登录主机，完成重启Agent。 重启Windows Agent Linux操作系统 请以root用户在命令行终端执行以下命令，完成重启Agent。 service hostguard restart 若回显以下信息，则表示重启成功。若无回显信息，请查看：如何卸载Agent？，重新安装：如何安装Agent？。 root@HSSUbuntu32:~service hostguard restart Stopping Hostguard... Hostguard stopped Hostguard restarting... Hostguard is running 重启进程后等待约2分钟： 若Agent状态为“在线”，则故障清除。 若Agent状态仍为“未安装”或者“离线”，请查看：如何卸载Agent？，重新安装：如何安装Agent？。

本节介绍了DDoS高防（边缘云版）常见术语及其解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.cytun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.cytun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.cytun.cn，获得相同的内容。 CNAME域名 控制台添加完域名后，您会得到一个给您分配的CNAME域名（该CNAME域名假如是. ctyun.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的域名指向这个. ctyun.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云清洗的节点，达到清洗效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址存在对应关系，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

在使用DRDS前,您需要先创建DRDS实例。本文介绍如何创建DRDS实例。 注意事项 仅华东1、西南1和青岛20这三个资源池支持选择多个可用区、性能类型和企业项目。 V5.1.9.6020.2530及以后版本，创建实例时，Giserver与DBProxy合并部署，不再区分DBProxy和Giserver两种实例。 注意 当您需要使用GiServer时，只需开启GiServer服务，具体操作，请参见开启全局索引。 V5.1.9.6020.2533及以后版本，创建实例时，支持关联与DRDS实例相同网络的MySQL实例，或同步创建全局Binlog日志节点。 操作步骤 1. 进入DRDS实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表上方，单击创建实例 ，进入DRDS实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击立即开通，进入DRDS实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择DRDS实例组件引擎和版本： 引擎：DRDS 版本：1.0 基本信息 区域 实例所在区域，支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 支持包年/包月和按需计费（部分资源池显示为按需）两种模式： 包年/包月：选购完服务配置后，需设置购买时长，系统将一次性按照购买价格对账户余额进行扣费。 按需计费：选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 注意 贵州3、北京5暂不支持按需计费。 基础配置 可用区 可选择1个或多个可用区，跨可用区部署可以提升DRDS实例的高可用性，实现跨可用区的容灾能力。 仅部分资源池支持选择多个可用区，详见注意事项。 注意 若选择2个可用区，DRDS实例的节点数量是单可用区的2倍。 实例配置 计算节点数量 DRDS实例的计算节点数量，不同实例类型支持不同的节点数量，其中，每个可用区最多支持6个节点。 请根据业务所需的计算能力，选择合适的节点数量。创建后可通过规格变更进行扩容。 说明 部分资源池不支持配置单节点规格 和节点数量 ，支持配置实例规格 ，即支持选择DRDS实例的总规格（总规格单节点规格节点数量）。不同实例类型支持不同的实例规格，详见规格。 实例配置 CPU类型 DRDS的实例节点类型，默认为X86。 注意 部分资源池支持ARM，具体以控制台显示为准。 实例配置 性能类型 节点规格支持多种类型，例如通用型 、计算增强型 、内存优化型 等类型，具体性能类型信息，请参见规格。 支持选择不同代系主机，代系越高，性能与稳定性等整体表现越好。 为了使所购买的DRDS实例能更好地满足应用需求，您需要根据业务需求，评估所需要的服务能力和规模，选择合适的性能类型。 说明 部分资源池此配置项名称为主机类型，则不支持选择节点规格，仅支持选择主机代系，请以实际页面为准。 实例配置 单节点规格 请选择单节点的CPU和内存。 实例配置 日志节点 全局Binlog的日志节点，支持： 现在创建：创建DRDS时，同时创建日志节点。此时，您需要配置日志节点数量、所在的可用区和性能规格。 注意 仅支持1个日志节点。 使用时创建 ：创建DRDS实例后，如您需要使用日志节点，只需在目标实例的日志节点管理页面创建日志节点即可。 实例配置 实例名称 DRDS实例的名称。 名称不能为空，长度为4到50位的字符。 实例配置 标签 您可以为实例绑定标签，对实例进行分类管理。 最多支持添加50个标签。 企业项目 企业项目 企业项目提供了对云资源进行分组管理，不同企业项目下的资源逻辑隔离，但不影响业务关联。仅部分资源池支持选择企业项目，详见注意事项。 网络 虚拟私有云 DRDS实例所在的虚拟专用网络，可对不同业务进行网络隔离，您可以根据需求选择所需的虚拟私有云。 DRDS实例选择的虚拟私有云要与MySQL实例一致，以保证网络连通。另外，建议DRDS实例与应用程序处于同一虚拟私有云下，避免网络原因造成性能损耗。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效。 网络 安全组 安全组限制实例的安全访问规则，加强DRDS与其他服务间的安全访问。建议DRDS实例与应用程序、MySQL实例选择相同的安全组，确保三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 关联数据库实例 数据库实例 关联与DRDS实例相同网络的MySQL实例。 在数据库实例 列表中选中目标MySQL实例后，单击绑定，即可为DRDS实例关联该MySQL实例。 购买量 购买时长 当计费模式 选择包年/包月时，才需要选择购买时长，单次最多支持购买5年。 购买量 购买数量 当计费模式 选择包年/包月时，支持批量创建实例，单次最多可批量购买5个实例。系统会自动计算对应的配置费用，购买时间越长，折扣越多。 当计费模式 选择按需时，单次只能购买1个实例。 购买量 自动续订 包年包月的实例支持自动续订。 按月购买的实例，自动续订周期为1个月。 按年购买的实例，自动续订周期为1年。 3. 在页面右侧的当前配置中，查看当前实例配置。 4. 在页面右下角阅读并勾选协议，然后单击确认订单。 5. 在订单支付详情页面，确认订单信息无误后，选择付费方式，完成支付。 6. 支付完成后，回到控制台的DRDS > 实例管理页面，查看和管理该实例。 您可以看到实例状态 为创建中 ，当实例创建成功后，实例状态 显示为运行中 。

本节主要介绍步骤一（1）：创建入云迁移任务 本章节将以MySQL到RDS for MySQL的迁移为示例，介绍在公网网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 公网网络适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库。 在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足入云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填选区域、任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择入云。 入云指目标端数据库为本云数据库。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 此处选择公网网络。 默认为公网网络类型，支持VPC网络、VPN网络、专线网络、公网网络。 VPC网络：适合云上数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库，该类型要求源数据库绑定弹性IP。 VPN网络：适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 专线网络：适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的关系型数据库实例。 目标库读写设置 只读 迁移中，目标数据库实例将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写 迁移中，目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。如果目标库有其他数据库需要在迁移时被业务使用，可设置该选项为读写。 说明 目前仅MySQL数据库支持目标库读写设置。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、启动失败、全量中、全量失败、增量中、增量失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 说明 源数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 如果单击“测试连接”后提示迁移实例和数据库的网络连接失败，请参考《数据库复制服务常见问题》中的“

本章主要介绍翼MapReduce的备份DBService数据功能。 操作场景 为了确保DBService日常数据安全，或者系统管理员需要对DBService进行重大操作（如升级或迁移等）时，需要对DBService数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份DBService任务并备份数据。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“DBService”。 说明 若安装了多个DBService服务，默认备份所有DBService服务，可单击“指定服务”指定需要备份的DBService服务。 7.在“DBService”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。 默认保存目录为“ 数据存放路径 /LocalBackup/”，例如“/srv/BigData/LocalBackup”。 选择此参数值，还需要配置“最大备份数”，表示备份目录中可保留的备份文件集数量。 “LocalHDFS”：表示将备份文件保存在当前集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端路径”：填写备份文件在HDFS中保存的目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “队列名称”：填写备份任务执行时使用的Yarn队列的名称。需和源集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间” ，用于保存数据源的备份文件。 备份文件的名称为 版本号数据源任务执行时间.tar.gz 。

本文主要介绍Volcano调度器。 插件简介 Volcano调度器是一个基于Kubernetes的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而Kubernetes当前缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。(目前Volcano项目已经在Github开源) Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 项目开源地址： 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 Volcano ，单击“安装”。 步骤 2 该插件可配置“单实例”、“高可用”或自定义规格。 选择自定义时，volcanocontroller和volcanoscheduler的建议值如下： 小于100个节点，可使用默认配置，即CPU的申请值为500m，限制值为2000m；内存的申请值为500Mi，限制值为2000Mi。 高于100个节点，每增加100个节点（10000个Pod），建议CPU的申请值增加500m，内存的申请值增加1000Mi；CPU的限制值建议比申请值多1500m，内存的限制值建议比申请值多1000Mi。 volcanocontroller和volcanoscheduler的建议值 节点/Pods规模 CPU Request(m) CPU Limit(m) Memory Request(Mi) Memory Limit(Mi) 50/5k 500 2000 500 2000 100/1w 1000 2500 1500 2500 200/2w 1500 3000 2500 3500 300/3w 2000 3500 3500 4500 400/4w 2500 4000 4500 5500 步骤 3 配置volcano默认调度器配置参数。 cacert: '' defaultschedulerconf: actions: 'allocate, backfill' tiers: plugins: name: 'priority' name: 'gang' name: 'conformance' plugins: name: 'drf' name: 'predicates' name: 'nodeorder' plugins: name: 'ccegputopologypredicate' name: 'ccegputopologypriority' name: 'ccegpu' plugins: name: 'nodelocalvolume' name: 'nodeemptydirvolume' name: 'nodeCSIscheduling' name: 'networkresource' servercert: '' serverkey: '' 插件 功能 参数说明 用法演示 binpack 将pod调度到资源使用较高的节点以减少资源碎片 binpack.weight：binpack插件本身在所有插件打分中的权重 binpack.cpu：cpu资源在资源比重的比例，默认是1 binpack.memory：memory资源在所有资源中的比例，默认是1l binpack.resources： plugins: name: binpack arguments: binpack.weight: 10 binpack.cpu: 1 binpack.memory: 1 binpack.resources: nvidia.com/gpu, example.com/foo binpack.resources.nvidia.com/gpu: 2 binpack.resources.example.com/foo: 3 conformance 跳过关键Pod，比如在kubesystem命名空间的Pod，防止这些Pod被驱逐 gang 将一组pod看做一个整体去分配资源 priority 使用用户自定义负载的优先级进行调度 overcommit 将集群的资源放到一定倍数后调度，提高负载入队效率。负载都是deployment的时候，建议去掉此插件或者设置扩大因子为2.0。 overcommitfactor: 扩大因子，默认是1.2 plugins: name: overcommit arguments: overcommitfactor: 2.0 drf 根据作业使用的主导资源份额进行调度，用的越少的优先 predicates 预选节点的常用算法，包括节点亲和，pod亲和，污点容忍，node ports重复，volume limits，volume zone匹配等一系列基础算法 nodeorder 优选节点的常用算法 nodeaffinity.weight：节点亲和性优先调度，默认值是1 podaffinity.weight：pod亲和性优先调度，默认值是1 leastrequested.weight：资源分配最少的的节点优先，默认值是1 balancedresource.weight：node上面的不同资源分配平衡的优先，默认值是1 mostrequested.weight：资源分配最多的的节点优先，默认值是0 tainttoleration.weight：污点容忍高的优先调度，默认值是1 imagelocality.weight：node上面有pod需要镜像的优先调度，默认值是1 selectorspread.weight: 把pod均匀调度到不同的节点上，默认值是0 volumebinding.weight: local pv延迟绑定调度，默认值是1 podtopologyspread.weight: pod拓扑调度，默认值是2 plugins: name: nodeorder arguments: leastrequested.weight: 1 mostrequested.weight: 0 nodeaffinity.weight: 1 podaffinity.weight: 1 balancedresource.weight: 1 tainttoleration.weight: 1 imagelocality.weight: 1 volumebinding.weight: 1 podtopologyspread.weight: 2 ccegputopologypredicate GPU拓扑调度预选算法 ccegputopologypriority GPU拓扑调度优选算法 ccegpu 结合CCE的GPU插件支持GPU资源分配，支持小数GPU配置 numaaware numa拓扑调度 weight: 插件的权重 networkresource 支持预选过滤ENI需求节点，参数由CCE传递，不需要手动配置 NetworkType: 网络类型（eni或者vpcrouter类型） nodelocalvolume 支持预选过滤不符合local volume需求节点 nodeemptydirvolume 支持预选过滤不符合emptydir需求节点 nodeCSIscheduling 支持预选过滤everest组件异常节点 步骤 4 单击“安装”。

本文主要介绍如何配置不同账号下VPC间通信的VPC终端节点。 简介 操作场景 VPC终端节点支持同一区域云资源的跨VPC通信。 不同VPC内的云资源互相隔离，不支持通过私网IP访问。通过VPC终端节点，您可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。 这两个VPC既可以属于同一帐号，也可以属于不同帐号，本章节以“不同帐号”的跨VPC通信为例进行介绍。 例如，VPC1和VPC2分别属于帐号A和帐号B，为VPC1创建终端节点，并将VPC2中待访问的后端资源ELB创建为终端节点服务，实现VPC1的ECS通过私网IP访问VPC2的ELB，如图11所示。 图 跨VPC通信的终端节点 说明 如上图所示，仅支持终端节点到终端节点服务所在后端资源的单向访问。 在创建终端节点前，您需要先将VPC1的授权帐号ID添加到VPC2的终端节点服务的白名单中。 操作流程 配置不同帐号下的跨VPC通信，具体操作流程如下图所示。 图 操作流程 步骤一：创建终端节点服务 操作场景 为实现跨VPC通信，您需要将VPC内的云资源（即后端资源）创建为终端节点服务，以便于同一区域其他VPC的终端节点通过私网IP访问该终端节点服务。 本节以VPC2中，属于帐号B的“弹性负载均衡”作为后端资源为例，指导您创建终端节点服务。

本文介绍应用加速术语解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.ctyun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.ctyun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.ctyun.cn，获得相同的内容。 CNAME域名 接入应用加速时，在天翼云控制台添加完加速域名后，您会得到一个天翼云应用加速给您分配的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个CNAME域名，这样该域名所有的请求才会都将转向天翼云应用加速的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.example.ctyun.cn会自动转换成为220.181.112.143。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

介绍安全加速产品中常用术语。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 CNAME域名 接入CDN时，在天翼云控制台添加完加速域名后，您会得到一个天翼云CDN给您分配的CNAME域名，（该CNAME域名一定是. ctdns.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个. ctdns.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云CDN的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

类别 类型 简要释义 存储格式示例 Hive DWS 字符串 CHAR(M) 固定长度的字符串是以长度为1到255之间个字符长度(例如：CHAR(5))，存储右空格填充到指定的长度。 限定长度不是必需的，它会默认为1。 ‘a’或‘aaaaa’ CHAR CHAR VARCHAR(M) 可变长度的字符串是以长度为1到255之间字符数(高版本的MySQL超过255);例如：VARCHAR(25). 创建VARCHAR类型字段时，必须定义长度。 ‘a’或‘aaaaa’ VARCHAR VARCHAR 数值 DECIMAL(M,D) 非压缩浮点数不能是无符号的。在解包小数，每个小数对应于一个字节。 定义显示长度(M)和小数(D)的数量是必需的。 NUMERIC是DECIMAL的同义词。 52.36 DECIMAL D为0时对应BIGINT D不为0时对应NUMBERIC NUMBERIC 与DECIMAL相同。 DECIMAL NUMBERIC INTEGER 一个正常大小的整数，可以带符号。 如果是有符号的，它允许的范围是从2147483648到2147483647。 如果是无符号，允许的范围是从0到4294967295。 可以指定多达11位的宽度。 5236 INT INTEGER INTEGER UNSIGNED INTEGER的无符号形式。 BIGINT INTEGER INT 与INTEGER相同。 5236 INT INTEGER INT UNSIGNED 与INTEGER UNSIGNED相同。 BIGINT INTEGER BIGINT 一个大的整数，可以带符号。 如果有符号，允许范围为9223372036854775808到9223372036854775807。 如果无符号，允许的范围是从0到18446744073709551615.可以指定最多20位的宽度。 5236 BIGINT BIGINT BIGINT UNSIGNED BIGINT的无符号形式。 BIGINT BIGINT MEDIUMINT 一个中等大小的整数，可以带符号。如果有符号，允许范围为8388608至8388607。 如果无符号，允许的范围是从0到16777215，可以指定最多9位的宽度。 128、127 INT INTEGER MEDIUMINT UNSIGNED MEDIUMINT的无符号形式。 BIGINT INTEGER TINYINT 一个非常小的整数，可以带符号。如果是有符号，它允许的范围是从128到127。 如果是无符号，允许的范围是从0到255，可以指定多达4位数的宽度。 100 TINYINT SMALLINT TINYINT UNSIGNED TINYINT的无符号形式。 TINYINT SMALLINT BOOL MySQL的bool实际上就是tinyint(1) 128、127 SMALLINT BYTEA SMALLINT 一个小的整数，可以带符号。 如果有符号，允许范围为32768至32767。 如果无符号，允许的范围是从0到65535，可以指定最多5位的宽度。 9999 SMALLINT SMALLINT SMALLINT UNSIGNED SMALLINT的无符号形式。 INT SMALLINT REAL 同DOUBLE。 DOUBLE FLOAT(M,D) 不能使用无符号的浮点数字。 可以定义显示长度(M)和小数位数(D)。 这不是必需的，并且默认为10,2。其中2是小数的位数，10是数字(包括小数)的总数。 小数精度可以到24个浮点。 52.36 FLOAT FLOAT4 DOUBLE(M,D) 不能使用无符号的双精度浮点数。 可以定义显示长度(M)和小数位数(D)。 这不是必需的， 默认为16,4，其中4是小数的位数。 小数精度可以达到53位的DOUBLE。 REAL是DOUBLE同义词。 52.36 DOUBLE FLOAT8 DOUBLE PRECISION 与DOUBLE相似。 52.3 DOUBLE FLOAT8 位 BIT(M) 存储位值的BIT类型。 BIT(M)可以存储多达M位的值，M的范围在1到64之间。 B'1111100' B'1100' TINYINT BYTEA 日期时间 DATE 以YYYYMMDD格式的日期，在10000101和99991231之间。 例如，1973年12月30日将被存储为19731230。 19991001 DATE TIMESTAMP TIME 用于存储时、分、秒信息 '09:10:21'或'9:10:21' 不支持（String） TIME DATETIME 日期和时间组合以YYYYMMDD HH:MM:SS格式，在10000101 00:00:00到99991231 23:59:59之间。 例如，1973年12月30日下午3:30，会被存储为19731230 15:30:00。 '19731230 15:30:00' TIMESTAMP TIMESTAMP TIMESTAMP 1970年1月1日午夜之间的时间戳，到2037的某个时候。这看起来像前面的DATETIME格式，无需只是数字之间的连字符; 1973年12月30日下午3点30分将被存储为19731230153000(YYYYMMDDHHMMSS)。 19731230153000 TIMESTAMP TIMESTAMP YEAR(M) 以2位或4位数字格式来存储年份。 如果长度指定为2(例如YEAR(2))，年份就可以为1970至2069(70〜69)。 如果长度指定为4，年份范围是19012155，默认长度为4。 2000 不支持（String） 不支持 多媒体（二进制） BINARY(M) 字节数为M,允许长度为0M的变长二进制字符串，字节数为值得长度加1 0x2A3B4058 (二进制数据) 不支持 BYTEA VARBINARY(M) 字节数为M,允许长度为0M的定长二进制字符串 0x2A3B4059 (二进制数据) 不支持 BYTEA TEXT 字段的最大长度是65535个字符。TEXT是“二进制大对象”，并用来存储大的二进制数据，如图像或其他类型的文件。 0x5236(二进制数据) 不支持 不支持 TINYTEXT 0255字节短文本二进制字符串 不支持 MEDIUMTEXT 0167772154字节中等长度文本二进制字符串 不支持 LONGTEXT 04294967295字节极大长度文本二进制字符串 不支持 BLOB 字段的最大长度是65535个字符。 BLOB是“二进制大对象”，并用来存储大的二进制数据，如图像或其他类型的文件。 BLOB大小写敏感。 0x5236(二进制数据) 不支持 BYTEA TINYBLOB 0255字节短文本二进制字符串 BYTEA MEDIUMBLOB 0167772154字节中等长度文本二进制字符串 BYTEA LONGBLOB 04294967295字节极大长度文本二进制字符串 0x5236(二进制数据) 不支持 BYTEA 特殊类型 SET SET是一个字符串对象，可以有零或多个值，其值来自表创建时规定的允许的一列值。 指定包括多个SET成员的SET列值时各成员之间用逗号(‘,’)间隔开。这样SET成员值本身不能包含逗号。 不支持 JSON 不支持 不支持（TEXT） ENUM 当定义一个ENUM，要创建它的值的列表，这些是必须用于选择的项(也可以是NULL)。 例如，如果想要字段包含“A”或“B”或“C”，那么可以定义为ENUM为ENUM(“A”，“B”，“C”)也只有这些值(或NULL)才能用来填充这个字段。 不支持 不支持

本章主要介绍翼MapReduce的备份Kafka元数据功能。 操作场景 为了确保Kafka元数据安全，或者系统管理员需要对ZooKeeper进行重大操作（如升级或迁移等）时，需要对Kafka元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份Kafka任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“Kafka”。 说明 若安装了多个Kafka服务，默认备份所有Kafka服务，可单击“指定服务”指定需要备份的Kafka服务。 7.在“Kafka”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 选择此参数值，还需要配置“最大备份数”，表示备份目录中可保留的备份文件集数量。 “LocalHDFS”：表示将备份文件保存在当前集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端路径”：填写备份文件在HDFS中保存的目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间” ，用于保存数据源的备份文件。备份文件的名称为 版本号数据源任务执行时间.tar.gz 。

本文介绍云间高速(标准版)产品的计费项和产品计费方式。 计费项及计费方式 云间高速（标准版）提供区域内、区域间不同网络实例之间的组网服务，根据您的配置情况向您收取相应的费用。文本为您介绍具体计费组成、计算方式和标准价格。 ●计费项目： 资源 计费项 计费说明 计费模式 计费规则 最小计费周期 跨域互联带宽 跨域互联带宽包费 实现跨地域（资源池）互联，需创建跨域连接并使用跨域互联带宽包。每个云间高速实例仅支持绑定1个同类型的跨域互联带宽包。 包周期（包年/包月） 阶梯累进计算 单价(元/Mbps/月) × 带宽值(Mbps) × 包月时长(月) 1个月 云企业路由器 实例连接费 根据连接到云企业路由器的网络实例数量和时长计费。 计费对象：VPC、云专线、VPN连接。 按量计费/包周期（抵扣包） 按量计费：单价(元/个/小时) × 连接的网络实例个数 × 连接时长(小时) 包周期（资源抵扣包）：有效期内，包周期套餐额度可自动抵扣按量费用 1小时 云企业路由器 流量处理费 根据云企业路由器接收的网络实例流量大小进行计费。 计费对象：VPC、云专线、VPN连接。 不计费对象 ：云企业路由器发送的流量，以及云企业路由器之间转发的流量，均不计入本费用。 流量单位换算基准：1GB 1024MB；1TB 1024GB；1PB 1024TB。 按量计费/包周期（抵扣包） 按量计费：单价(元/GB) × 网络实例转发给企业路由器的流量(GB) 包周期（资源抵扣包）：有效期内，包周期套餐额度可自动抵扣按量费用 1小时

本文为您介绍Web应用防火墙（边缘云版）基础概念。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。

本章主要介绍翼MapReduce的备份OMS数据功能。 操作场景 为了确保FusionInsight Manager系统日常数据安全，或者系统管理员需要对Manager进行重大操作（如扩容、减容等）前后，需要对Manager数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 管理员可以通过FusionInsight Manager创建备份Manager任务并备份数据。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.设置“备份对象”为“OMS”。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 详见下表： 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份说明 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“OMS”。 7.在“OMS”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。 默认保存目录为“ 数据存放路径 /LocalBackup/”，例如“/srv/BigData/LocalBackup”。 选择此参数值，还需要配置“最大备份数”，表示备份目录中可保留的备份文件集数量。 “LocalHDFS”：表示将备份文件保存在当前集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端路径”：填写备份文件在HDFS中保存的目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “备份时使用集群”：填写备份目录对应的集群名称。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “源集群”：选择要备份数据使用的Yarn队列所在的集群。 “队列名称”：填写备份任务执行时使用的Yarn队列的名称。需和源集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为“ 备份任务名任务创建时间” ，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

本章主要介绍翼MapReduce的备份NameNode数据功能。 操作场景 为了确保NameNode日常数据安全，或者系统管理员需要对NameNode进行重大操作（如升级或迁移等），需要对NameNode数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份NameNode任务。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 仅支持“每次都全量备份”。 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“NameNode”。 7.在“NameNode”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：备集群NameNode的业务平面IP地址。 “目的端路径”：备份文件存放的位置。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间 ”，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

昵称审核 对于注册用户的昵称审核，通过智能审核技术，实现自动化过滤包含广告、反动、色情等内容的用户昵称。 场景优势如下： 响应速度快：配备高效的GPU和CPU等硬件，提升审核速度，实现快速响应。 准确率高：利用改进的深度学习算法，提升审核准确率，避免审核误判并且提高审核质量。 媒资审核 针对媒资内容审核，利用自动化审核技术，实现媒资中可能存在的违禁品等信息的自动识别，降低已发布的文章存在违规风险。 场景优势如下： 快速迭代：持续更新文本词库，及时识别新型的违规内容，提升审核准度。 处理速度快：配备高性能GPU和CPU等硬件设备，实现审核快速响应，降低审核成本，提高审核质量。 弹幕信息审核 针对弹幕审核，通过实时检测弹幕文本，保障网络直播间的内容安全，降低业务违规风险。 场景优势如下： 海量词库：内置了海量词库，能够支持各种匹配规则，提高审核的准确性。 响应速度快：配备高效的GPU和CPU等硬件，加速审核速度，实时审核，保障网络环境的安全性。 聊天记录实时审核 为实时净化网络环境，我们基于智能审核技术，实现了聊天内容实时审核场景，能够检测游戏等文本聊天内容中可能出现的辱骂、色情、反动等违规信息，确保网络环境的健康发展。 场景优势如下： 海量词库：内置了海量词库，能够支持各种匹配规则，提高审核的准确性。 响应速度快：配备高效的GPU和CPU等硬件，加速审核速度，实时审核，保障网络环境的安全性。 识别准确率高：结合深度学习与机器学习，基于大规模多主题数据的模型训练，具备高识别率和低误判率。 单次审核多个数据：支持同时审核多张图片或者多条文本，一次性返回所有数据的审核结果

本章介绍分布式缓存服务Redis版的典型应用场景。 Redis应用场景 很多大型电商网站、视频直播和游戏应用等，存在 大规模数据访问 ，对 数据查询效率要求高 ，且 数据结构简单 ， 不涉及太多关联查询 。这种场景使用Redis，在速度上对传统磁盘数据库有很大优势，能够有效减少数据库磁盘IO，提高数据查询效率，减轻管理维护工作量，降低数据库存储成本。Redis对传统磁盘数据库是一个重要的补充，成为了互联网应用，尤其是支持高并发访问的互联网应用必不可少的基础服务之一。 以下举几个典型样例： 1. （电商网站）秒杀抢购 电商网站的商品类目、推荐系统以及秒杀抢购活动，适宜使用Redis缓存数据库。 例如秒杀抢购活动，并发高，对于传统关系型数据库来说访问压力大，需要较高的硬件配置（如磁盘IO）支撑。Redis数据库，单节点QPS支撑能达到10万，轻松应对秒杀并发。实现秒杀和数据加锁的命令简单，使用SET、GET、DEL、RPUSH等命令即可。 2. （视频直播）消息弹幕 直播间的在线用户列表，礼物排行榜，弹幕消息等信息，都适合使用Redis中的SortedSet结构进行存储。 例如弹幕消息，可使用ZREVRANGEBYSCORE排序返回，在Redis5.0中，新增了zpopmax，zpopmin命令，更加方便消息处理。 3. （游戏应用）游戏排行榜 在线游戏一般涉及排行榜实时展现，比如列出当前得分最高的10个用户。使用Redis的有序集合存储用户排行榜非常合适，有序集合使用非常简单，提供多达20个操作集合的命令。 4. （社交APP）返回最新评论/回复 在web类应用中，常有“最新评论”之类的查询，如果使用关系型数据库，往往涉及到按评论时间逆排序，随着评论越来越多，排序效率越来越低，且并发频繁。 使用Redis的List（链表），例如存储最新1000条评论，当请求的评论数在这个范围，就不需要访问磁盘数据库，直接从缓存中返回，减少数据库压力的同时，提升APP的响应速度。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

文件扩展名 ContentType 文件扩展名 ContentType .（ 二进制流，不知道下载文件类型） application/octetstream .a11 application/xa11 .acp audio/xmeiaac .ai application/postscript .aif audio/aiff .aifc audio/aiff .aiff audio/aiff .anv application/xanv .asa text/asa .asf video/xmsasf .asp text/asp .asx video/xmsasf .au audio/basic .avi video/avi .awf application/vnd.adobe.workflow .biz text/xml .bmp application/xbmp .bot application/xbot .c4t application/xc4t .class java/ .cal application/xcals .cmp application/xcmp .cdf application/xnetcdf .cot application/xcot .cml text/xml .crt application/xx509cacert .cmx application/xcmx .css text/css .crl application/pkixcrl .dbf application/xdbf .csi application/xcsi .dbx application/xdbx .cut application/xcut .dcx application/xdcx .dbm application/xdbm .dgn application/xdgn .dcd text/xml .dll application/xmsdownload .der application/xx509cacert .dot application/msword .dib application/xdib .dtd text/xml .doc application/msword .dwf application/xdwf .drw application/xdrw .dxb application/xdxb .dwf Model/vnd.dwf .edn application/vnd.adobe.edn .ent text/xml .exe application/xmsdownload .eps application/xps .fdf application/vnd.fdf .etd application/xebx .fo text/xml .fax image/fax .g4 application/xg4 .fif application/fractals . application/x .frm application/xfrm .gl2 application/xgl2 .gbr application/xgbr .hgl application/xhgl .gif image/gif .hpg application/xhpgl .gp4 application/xgp4 .hqx application/macbinhex40 .hmr application/xhmr .hta application/hta .hpl application/xhpl .htm text/html .hrf application/xhrf .htt text/webviewhtml .htc text/xcomponent .iii application/xiphone .html text/html .ins application/xinternetsignup .htx text/html .IVF video/xivf .ico image/xicon .jfif image/jpeg .img application/ximg .jpe application/xjpe .isp application/xinternetsignup .jpg image/jpeg .java java/ .js text/javascript .jpe image/jpeg .la1 audio/xliquidfile .jpeg image/jpeg .latex application/xlatex .jpg application/xjpg .lbm application/xlbm .jsp text/html .ls application/xjavascript .lar application/xlaplayerreg .m1v video/xmpeg .lavs audio/xliquidsecure .m3u audio/mpegurl .lmsff audio/xlalms .mac application/xmac .ltr application/xltr .math text/xml .m2v video/xmpeg .mdb application/xmdb .m4e video/mpeg4 .mht message/rfc822 .man application/xtroffman .mi application/xmi .mdb application/msaccess .midi audio/mid .mfp application/xshockwaveflash .mml text/xml .mhtml message/rfc822 .mns audio/xmusicnetstream .mid audio/mid .movie video/xsgimovie .mil application/xmil .mp2 audio/mp2 .mnd audio/xmusicnetdownload .mp3 audio/mp3 .mocha application/xjavascript .mpa video/xmpg .mp1 audio/mp1 .mpe video/xmpeg .mp2v video/mpeg .mpg video/mpg .mp4 video/mp4 .mpp application/vnd.msproject .mpd application/vnd.msproject .mpt application/vnd.msproject .mpeg video/mpg .mpv2 video/mpeg .mpga audio/rnmpeg .mpx application/vnd.msproject .mps video/xmpeg .mxp application/xmmxp .mpv video/mpg .nrf application/xnrf .mpw application/vnd.msproject .odc text/xmsodc .mtx text/xml .pl application/xperl .net image/pnetvue .pls audio/scpls .nws message/rfc822 .png image/png .out application/xout .pot application/vnd.mspowerpoint .pc5 application/xpc5 .ppm application/xppm .pcl application/xpcl .ppt application/vnd.mspowerpoint .pdf application/pdf .pr application/xpr .pdx application/vnd.adobe.pdx .prn application/xprn .pgl application/xpgl .ps application/xps .pko application/vnd.mspki.pko .ptn application/xptn .plg text/html .r3t text/vnd.rnrealtext3d .plt application/xplt .ram audio/xpnrealaudio .png application/xpng .rat application/ratfile .ppa application/vnd.mspowerpoint .rec application/vnd.rnrecording .pps application/vnd.mspowerpoint .rgb application/xrgb .ppt application/xppt .rjt application/vnd.rnrealsystemrjt .prf application/picsrules .rle application/xrle .prt application/xprt .rmf application/vnd.adobe.rmf .ps application/postscript .rmj application/vnd.rnrealsystemrmj .pwz application/vnd.mspowerpoint .rmp application/vnd.rnrnmusicpackage .ra audio/vnd.rnrealaudio .rmvb application/vnd.rnrealmediavbr .ras application/xras .rnx application/vnd.rnrealplayer .rdf text/xml .rpm audio/xpnrealaudioplugin .red application/xred .rt text/vnd.rnrealtext .rjs application/vnd.rnrealsystemrjs .rtf application/xrtf .rlc application/xrlc .sam application/xsam .rm application/vnd.rnrealmedia .sdp application/sdp .rmi audio/mid .sit application/xstuffit .rmm audio/xpnrealaudio .sld application/xsld .rms application/vnd.rnrealmediasecure .smi application/smil .rmx application/vnd.rnrealsystemrmx .smk application/xsmk .rp image/vnd.rnrealpix .sol text/plain .rsml application/vnd.rnrsml .spc application/xpkcs7certificates .rtf application/msword .spp text/xml .rv video/vnd.rnrealvideo .sst application/vnd.mspki.certstore .sat application/xsat .stm text/html .sdw application/xsdw .svg text/svg+xml .slb application/xslb .tld text/xml .slk drawing/xslk .torrent application/xbittorrent .smil application/smil .txt text/plain .snd audio/basic .uls text/iuls .sor text/plain .vda application/xvda .sty application/xsty .vml text/xml .swf application/xshockwaveflash .vsd application/vnd.visio .tg4 application/xtg4 .vss application/vnd.visio .tif image/tiff .vst application/xvst .tiff image/tiff .vsx application/vnd.visio .top drawing/xtop .vxml text/xml .tsd text/xml .wax audio/xmswax .uin application/xicq .wb2 application/xwb2 .vcf text/xvcard .wbmp image/vnd.wap.wbmp .vdx application/vnd.visio .wk3 application/xwk3 .vpg application/xvpeg005 .wkq application/xwkq .vsd application/xvsd .wm video/xmswm .vst application/vnd.visio .wmd application/xmswmd .vsw application/vnd.visio .wml text/vnd.wap.wml .vtx application/vnd.visio .wmx video/xmswmx .wav audio/wav .wp6 application/xwp6 .wb1 application/xwb1 .wpg application/xwpg .wb3 application/xwb3 .wq1 application/xwq1 .wiz application/msword .wri application/xwri .wk4 application/xwk4 .ws application/xws .wks application/xwks .wsc text/scriptlet .wma audio/xmswma .wvx video/xmswvx .wmf application/xwmf .xdr text/xml .wmv video/xmswmv .xfdf application/vnd.adobe.xfdf .wmz application/xmswmz .xls application/vnd.msexcel .wsdl text/xml .xlw application/xxlw .xdp application/vnd.adobe.xdp .xpl audio/scpls .xfd application/vnd.adobe.xfd .xql text/xml .xhtml text/html .xsd text/xml .xls application/xxls .xslt text/xml .xml text/xml .xb application/xxb .xq text/xml .sisx application/vnd.symbian.install .xquery text/xml .ipa application/vnd.iphone .xsl text/xml .xap application/xsilverlightapp .xwd application/xxwd .rar application/xrarcompressed .sis application/vnd.symbian.install .xt application/xxt .apk application/vnd.android.packagearchive .zip application/zip

绑定AD 绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。 操作场景 身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。 操作步骤 1. 进入“天翼AI云电脑（政企版）”管理控制台； 2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面； 第一步：连接AD 在第一步中，您需要在绑定AD中填写以下信息： 显示名称： 说明：管理员查看AD配置及相关操作日志时显示。 AD 域名： 说明：您的 Active Directory 域的全称。 格式：符合 DNS 命名规范（例如：example.com）。 示例：corp.yourcompany.com 主域控制器 DNS： 说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.10 或 dc01.corp.yourcompany.com 备域控制器 DNS (可选)： 说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.11 或 dc02.corp.yourcompany.com AD 认证账号： 说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。 格式：支持以下格式： UPN 格式：username@domainname (例如：admin@corp.yourcompany.com) DN 格式：CNUsername, OUSomeOU, DCcorp, DCyourcompany, DCcom (例如：CNsvcbind, OUService Accounts, DCcorp, DCyourcompany, DCcom) 权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。 AD 认证密码： 说明：上述认证账号对应的密码。 安全提示：输入密码通常以掩码显示。 用户组织单元 (OU)： 说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUEmployees, DCcorp, DCyourcompany, DCcom 云电脑加入的 OU： 说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUCloud PCs, DCcorp, DCyourcompany, DCcom 必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。 共享公网出口 IP： 地址： 182.42.7.245 作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。 网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。 防火墙端口要求： 目的： 允许云服务通过指定的协议端口与您的域控制器通信。 必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口： LDAP (明文/StartTLS)： 端口 389 (TCP) LDAPS (SSL/TLS 加密)： 端口 636 (TCP) 注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。 目录访问协议： 可选协议： LDAP： 标准轻型目录访问协议。默认使用端口 389。 StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 域控制器服务器地址： 说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。 格式：IP地址:端口 或 完整域名(FQDN):端口 要求： 主域控制器地址： (必填) 备域控制器地址： (可选) 端口选择： 如果选择 LDAP (无 StartTLS)，端口填 389。 如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。 关键说明： 服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。 示例 (使用公网IP)： 主：203.0.113.10:636 (假设使用 LDAPS) 备：203.0.113.11:636 示例 (使用FQDN)： 主：dc01.corp.example.com:636 备：dc02.corp.example.com:636 重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。 第二步：选择场景 在第二步中，选择希望和AD实现的场景能力。 登录未关联用户配置： 企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败； 选择自动创建用户则创建用户并登录成功 增量同步：从所选择的时间点开始进行同步 数据同步时间：从所选择的时间点开始进行同步 同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步 委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验 用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClassuser 的对象视作AD 中的用户。 用户登录标识：可使用;对属性进行分割，此时为或关系 用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤 第三步：字段映射 如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。 配置其它AD 用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。 配置系统：Windows 系统 、银河麒麟、中标麒麟 其它配置项参考绑定AD

相关信息 在添加规则时，可以参考下表配置相应的指标。 弹性伸缩指标列表 集群类型 指标名称 数值类型 说明 流式集群 StormSlotAvailable 整型 Storm组件的可用slot数。 取值范围为[0～2147483646]。 流式集群 StormSlotAvailablePercentage 百分比 Storm组件可用slot百分比。是可用slot数与总slot数的比值。 取值范围为[0～100]。 流式集群 StormSlotUsed 整型 Storm组件的已用slot数。 取值范围为[0～2147483646]。 流式集群 StormSlotUsedPercentage 百分比 Storm组件已用slot百分比。是已用slot数与总slot数的比值。 取值范围为[0～100]。 流式集群 StormSupervisorMemAverageUsage 整形 Storm组件Supervisor的内存平均使用量。 取值范围为[0～2147483646]。 流式集群 StormSupervisorMemAverageUsagePercentage 百分比 Storm组件Supervisor进程使用的内存占系统总内存的平均百分比。 取值范围[0 ~ 100]。 流式集群 StormSupervisorCPUAverageUsagePercentage 百分比 Storm组件Supervisor进程使用的CPU占系统总CPU的平均百分比。 取值范围[0 ~ 6000]。 分析集群 YARNAppPending 整型 YARN组件挂起的任务数。 取值范围为[0～2147483646]。 分析集群 YARNAppPendingRatio 比率 YARN组件挂起的任务数比例。是YARN挂起的任务数与YARN运行中的任务数比值。 取值范围为[0～2147483646]。 分析集群 YARNAppRunning 整型 YARN组件运行中的任务数。 取值范围为[0～2147483646]。 分析集群 YARNContainerAllocated 整型 YARN组件中已分配的container个数。 取值范围为[0～2147483646]。 分析集群 YARNContainerPending 整型 YARN组件挂起的container个数。 取值范围为[0～2147483646]。 分析集群 YARNContainerPendingRatio 比率 YARN组件挂起的container比率。是挂起的container数与运行中的container数的比值。 取值范围为[0～2147483646]。 分析集群 YARNCPUAllocated 整型 YARN组件已分配的虚拟CPU核心数。 取值范围为[0～2147483646]。 分析集群 YARNCPUAvailable 整型 YARN组件可用的虚拟CPU核心数。 取值范围为[0～2147483646]。 分析集群 YARNCPUAvailablePercentage 百分比 YARN组件可用虚拟CPU核心数百分比。是可用虚拟CPU核心数与总虚拟CPU核心数比值。 取值范围为[0～100]。 分析集群 YARNCPUPending 整型 YARN组件挂起的虚拟CPU核心数。 取值范围为[0～2147483646]。 分析集群 YARNMemoryAllocated 整型 YARN组件已分配内存大小。单位为MB。 取值范围为[0～2147483646]。 分析集群 YARNMemoryAvailable 整型 YARN组件可用内存大小。单位为MB。 取值范围为[0～2147483646]。 分析集群 YARNMemoryAvailablePercentage 百分比 YARN组件可用内存百分比。是YARN组件可用内存大小与YARN组件总内存大小的比值。 取值范围为[0～100]。 分析集群 YARNMemoryPending 整型 YARN组件挂起的内存大小。 取值范围为[0～2147483646]。 说明 上表中指标数值类型为百分比或比率时，有效数值可精确到百分位。其中百分比类型指标数值为去除百分号（%）后的小数值，如16.80即代表16.80%。 混合集群的支持分析集群和流式集群的所有指标。 在添加资源计划时，可以参考下表配置相应的参数。 资源计划配置项说明 配置项 说明 时间范围 资源计划的起始时间和结束时间，精确到分钟，取值范围[00:00, 23:59]。例如资源计划开始于早上8:00，结束于10:00，则配置为8:0010:00。结束时间必须晚于开始时间至少30分钟。 节点数量范围 资源计划内的节点数量上下限，取值范围[0,500]，在资源计划时间内，集群Task节点数量小于最小节点数时，弹性伸缩会将集群Task节点一次性扩容到最小节点数。在资源计划时间内，集群Task节点数量大于最大节点数时，弹性伸缩会将集群Task节点一次性缩容到最大节点数。最小节点数必须小于或等于最大节点数。 说明 当启用资源计划时，弹性伸缩配置中的“默认节点数量范围”将在资源计划外的时间段内强制生效。例如“默认节点数量范围”配置为12，配置资源计划：08:0010:00之间节点数量范围为45，则在一天中的非资源计划时间段（0:008:00以及10:0023:59）内，Task节点会被强制限制在1个到2个中间，若节点数量大于2则触发自动缩容，若节点数量小于1则触发自动扩容。 当不启用资源计划时，节点数量范围的“默认范围”会在全部时间范围生效，如果节点数量不在“节点数量范围”的默认范围，主动增减Task节点数量到默认范围内。 资源计划间时间段不可交叉，时间段交叉意为某个时间点存在两个生效的资源计划，例如配置资源计划1在08:0010:00生效，资源计划2在09:0011:00生效，则两个资源计划存在时间段交叉，交叉时间段09:0010:00。 资源计划不能跨天配置，例如如果要配置23:00至次日01:00的资源计划，请配置时间段为23:0000:00和00:0001:00的两个资源计划。 在添加自动化脚本时，可以参考下表配置相应参数。 自动化脚本配置说明 配置项 说明 名称 自动化脚本的名称。 只能由数字、英文字符、空格、中划线和下划线组成，且不能以空格开头。 可输入的字符串长度为1～64个字符。 说明 同一集群内，不允许配置相同的名称。不同集群之间，可以配置相同的名称。 脚本路径 脚本的路径。路径可以是OBS文件系统的路径或虚拟机本地的路径。 l OBS文件系统的路径，必须以s3a://开头，以.sh结尾。例如：s3a://mrssamples/xxx.sh l 虚拟机本地的路径，脚本所在的路径必须以‘/’开头，以.sh结尾。例如，安装Zepelin的示例脚本路径如下：/opt/bootstrap/zepelin/zepelininstall.sh 执行节点类型 选择自动化脚本所执行的节点类型。 说明 l 如果选择Master节点，您可以通过开关选择是否只在Active Master节点执行此脚本。 l 如果选择开启此功能，表示只在Active Master节点上执行。如果选择关闭，表示在所有Master节点执行。默认关闭。 参数 自动化脚本参数，支持通过传入以下预定义变量获得弹性伸缩相关信息： l ${mrsscalenodenum} ：弹性伸缩节点数量，总是正数 l ${mrsscaletype} ：弹性伸缩类型，扩容为“scaleout”，缩容为“scalein” l ${mrsscalenodehostnames} ：弹性伸缩节点的主机名，多个主机名之间以“,”隔开 l ${mrsscalenodeips} ：弹性伸缩节点的IP，多个IP之间以“,”隔开 l ${mrsscalerulename}：触发弹性伸缩的规则名，如果是资源计划则为“resourceplan” 执行时机 选择自动化脚本执行的时间。支持“扩容前”、“扩容后”、“缩容前”、“缩容后”四种类型。 说明 假设执行节点类型中包含Task节点： l 执行时机为扩容前的脚本不会在将要扩容出的Task节点上执行。 l 执行时机为扩容后的脚本会在扩容出的Task节点上执行。 l 执行时机为缩容前的脚本会在即将被删除的Task节点上执行。 l 执行时机为缩容后的脚本不会在已经被删除的Task节点上执行。 失败操作 该脚本执行失败后，是否继续执行后续脚本和扩缩容操作。 说明 l 建议您在调试阶段设置为“继续”，无论此脚本是否执行成功，则集群都能继续扩缩容操作。 l 若脚本执行失败，请到集群虚拟机机的“/var/log/Bootstrap”路径下查看失败日志。 l 由于缩容成功不可回滚，缩容后执行的脚本失败操作只能选择“继续”。 说明 自动化脚本只在弹性伸缩时触发，手动调整集群节点时不会运行。

规划实例可用区 天翼云云搜索服务支持多可用区部署，多可用区部署可以在某个可用区全部不可用的情况下，保证实例的主节点可正常选举，从而为防止数据丢失，并确保在服务中断情况下能降低实例的停机时间，最终能增强实例的健壮性和高可用性。 Elasticsearch/OpenSearch 实例中，主节点（Master Node）负责管理集群元数据（如索引分片分配、节点状态等）。主节点通过选举产生，遵循过半原则（Quorum），即候选节点需要获得超过半数的投票才能成为主节点。 奇数节点原则：若主节点部署在 3 个可用区（AZ），每个可用区部署 1 个主节点，则总数为奇数。当单个可用区故障时，剩余两个可用区的节点仍可形成多数票（2/3 > 50%），确保选举出新的主节点。 ​​避免脑裂：跨可用区部署主节点时，若网络分区导致节点间通信中断，奇数节点设计能确保只有一个子集群满足过半条件，避免多个主节点同时存在的脑裂问题。 天翼云云搜索服务支持单AZ部署和多AZ部署，如果用户需要某个AZ不可用时，实例仍然可以提供服务，那就需要多AZ部署。 在跨三个AZ部署中，为了保证其中任意一个AZ不可用时，剩余的AZ可以继续提供服务，因此索引的副本数至少要为1个。 计算节点选型： 目前支持的节点规格如下，不同资源池支持在售机型不同，云搜索服务会根据产品规划需要适时调整在售机型，请以购买页可见机型为准： 通用型云主机适用场景：适合平衡型场景，适用于大多数通用搜索和分析任务。当实例需要处理中等规模的数据集，并且查询和索引操作相对平衡时，这种比例可以提供足够的处理能力和内存资源。 计算型云主机适用场景：适合CPU密集型操作，如需要进行大量数据聚合或实时分析的场景。当查询操作非常复杂，需要进行大量的数据计算和聚合时，较高的CPU资源可以提高处理速度。 内存型云主机适用场景：适合内存密集型操作，如大量数据的索引和搜索。当数据集较大，需要频繁进行全文搜索或复杂查询时，较高的内存可以提高缓存效率，减少磁盘I/O操作。

本文简述页面性能优化功能及配置方法。 基本概念介绍 我们看到的所有网页展示和交互是由HTML、CSS、JavaScript共同构建的。 HTML（HyperText Markup Language）是超文本标记语言。是一种建立网页文件的语言，通过标记式的指令(Tag)，将影像、声音、图片、文字动画、影视等内容显示出来。事实上，每一个HTML文档都是一种静态的网页文件，这个文件里面包含了HTML指令代码，这些指令代码并不是一种程序语言，只是一种排版网页中资料显示位置的标记结构语言。以盖房子类比，必须定义这个房子有多长、多宽，每一块面积如何规划，例如哪里是卫生间、哪里是饭厅、哪里是卧室。将这些定义好，网页也就有了最基本的样子。总之，HTML就是用来布局网页中的每一个元素的。 CSS（Cascading Style Sheets）是级联样式表。是一种用来表现HTML或XML等文件样式的计算机语言。CSS 中的“样式”就是指外观。还以盖房为例，定义好了各个空间，房子也盖起来了，但还要装修，例如给客厅贴壁纸、给卧室铺地板。CSS 就是起装修作用的，要和HTML—起配合使用。 JavaScript是一种脚本语言，它在网页中的作用是控制HTML中的每一个元素，有时要删除元素，有时要添加新元素。大家可能遇到过这样的场景：单击网页上的一个按钮，会有一个网页上从没有过的元素显示出来，这就是利用JavaScript实现的。房子已经装修好，贴上了墙纸，铺上了地板，桌子、板凳、沙发都已经摆好，一切都很完美。可是，一个有生活情趣的住户时常要买些新家具，或者把茶几换个位置，这时，移动、添加、减少物件就只能靠JavaScript实现。 一般的网页页面中往往会存在一些冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，这些内容一般对于页面的展现没有实际作用，如果可以去除这些页面的冗余信息，就可以一定程度上提升加速效果和页面可阅读性。

本节介绍云等保专区产品的主机安全。 主机安全v1.0（简称“EDR”）是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。EDR通过自主研发的文件诱饵引擎，有着业界领先的勒索专防专杀能力；能通过内核级东西向流量隔离技术，实现网络隔离与防护；并拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。 功能介绍 EDR具有以下功能模块： 防御已知和未知类型勒索病毒 EDR不仅可以阻止已知勒索病毒的执行，而且面对传统杀毒软件束手无策的未知类型勒索病毒时，EDR采用诱饵引擎，在未知类型勒索病毒试图加密时发现并阻断加密行为，有效守护主机安全。 防御高级威胁全流程攻击 EDR根据ATT&CK理论，对攻防对抗的各个阶段进行防护，包括单机扩展、隧道搭建、内网探测、远控持久化、痕迹清除。不仅可以做到威胁攻击审计，而且还可以防止黑客进行渗透攻击，实现攻防对抗360度防御。 管控全局终端安全态势 服务器、PC和虚拟机等终端安装了客户端软件后，上传资产指纹、病毒木马、高危漏洞、违规外联、安全配置等威胁信息到管理控制中心。用户在管理控制中心可以看到所有安装了客户端软件的主机及安全态势，并进行统一任务下发，策略配置。 全方位的主机防护体系 EDR不仅包含传统杀毒软件的病毒查杀、漏洞管理、性能监控功能，在系统防护方面还可做到主动防御、系统登录防护、系统进程防护、文件监控，还支持网络防护、Web应用防护、勒索挖矿防御、外设管理等多个功能点。 流量可视化，安全可见 EDR通过流量画像的流量全景图，展示内网所有流量和主机间通信关系，梳理通信逻辑，以全局视角对策略进行规划，便于用户第一时间发现威胁，一键清除威胁。 简单配置，离线升级，补丁管理 EDR支持用户自主进行安全配置，能够明确、有效的进行主机防护。主程序、病毒库、漏洞库、补丁库、Web后门库、违规外联黑名单库全部支持离线导入升级包、一键自动升级，可在专网使用。

本文为您介绍Web应用防火墙（原生版）的相关术语解释。 SSL证书 指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。 域名解析 互联网上的机器相互间通过IP地址来建立通信，但是人们大多数习惯记忆域名，将IP地址与域名之间建立一对多的关系，而它们之间转换工作的过程称为域名解析。 QPS 每秒查询率（Query Per Second，QPS） 是对一个特定的查询服务器，在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器性能经常用每秒查询率来衡量，对应fetches/sec（每秒响应请求数，即是最大吞吐能力）。 CNAME CNAME是指定域名的别名，用于将域名解析到另一域名上。通过域名接入方式添加防护域名后，WAF会生成一个CNAME（即防护域名的别名）。 通过修改DNS域名，将网站流量指向WAF服务节点，实现对网站流量的安全防护。更多信息请参见修改域名DNS。 回源IP地址 回源IP指云WAF用来与源站服务器建立网络连接的IP地址。通过域名接入方式添加域名成功后，由WAF自动分配多个回源IP地址，WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发到网站域名的源站服务器。在源站服务器看来，所有收到的请求都来自回源IP。 如果源站服务器使用了其他安全软件（例如防火墙、安全组、杀毒软件等），WAF的回源IP很有可能被这些软件识别成恶意IP并进行拦截。因此，网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。更多信息请参见放行WAF回源IP段。

本文简述页面优化功能、注意事项及配置方法等。 背景介绍 我们看到的所有网页展示和交互是由HTML、CSS、JavaScript共同构建的。 HTML（HyperText Markup Language）是超文本标记语言。是一种建立网页文件的语言，通过标记式的指令(Tag)，将影像、声音、图片、文字动画、影视等内容显示出来。事实上，每一个HTML文档都是一种静态的网页文件，这个文件里面包含了HTML指令代码，这些指令代码并不是一种程序语言，只是一种排版网页中资料显示位置的标记结构语言。以盖房子类比，必须定义这个房子有多长、多宽，每一块面积如何规划，例如哪里是卫生间、哪里是饭厅、哪里是卧室。将这些定义好，网页也就有了最基本的样子。总之，HTML就是用来布局网页中的每一个元素的。 CSS（Cascading Style Sheets）是级联样式表。是一种用来表现HTML或XML等文件样式的计算机语言。CSS 中的“样式”就是指外观。还以盖房为例，定义好了各个空间，房子也盖起来了，但还要装修，例如给客厅贴壁纸、给卧室铺地板。CSS 就是起装修作用的，要和HTML—起配合使用。 JavaScript是一种脚本语言，它在网页中的作用是控制HTML中的每一个元素，有时要删除元素，有时要添加新元素。大家可能遇到过这样的场景：单击网页上的一个按钮，会有一个网页上从没有过的元素显示出来，这就是利用JavaScript实现的。房子已经装修好，贴上了墙纸，铺上了地板，桌子、板凳、沙发都已经摆好，一切都很完美。可是，一个有生活情趣的住户时常要买些新家具，或者把茶几换个位置，这时，移动、添加、减少物件就只能靠JavaScript实现。 一般的网页页面中往往会存在一些冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，这些内容一般对于页面的展现没有实际作用，如果可以去除这些页面的冗余信息，就可以一定程度上提升加速效果和页面可阅读性。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本文介绍了如何使用天翼云弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows 2012 Standard R2 64位中文版为例。 Windows实例搭建FTP站点具体操作步骤 1. 添加IIS的角色和功能。 2. 创建FTP服务用户名及密码。 3. 设置共享文件权限。 4. 配置FTP站点。 5. 配置FTP防火墙。 6. 配置安全组规则及防火墙策略。 7. 客户端进行连接测试。 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：Windows 2012 Standard R2 64位中文版 公网弹性IP带宽：1Mbps 操作步骤 1. 添加IIS的角色和功能。 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器”以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 1. 添加IIS的角色和功能 2. 添加IIS的角色和功能 3. 添加IIS的角色和功能 4. 添加IIS的角色和功能 2. 创建FTP服务用户名及密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 >用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftp”为例。 3. 设置共享文件权限。 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“share”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 4. 配置FTP站点。 1. 在“服务器管理器”中，选择“仪表板 > 工具 >Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“ftp”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置。 SSL根据需要进行设置。 无： 不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 5. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名：允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本：需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 6. 绑定弹性云主机的公网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定。 5. 配置FTP防火墙支持。 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 配置相关参数，数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535，请根据实际需求进行设置，此处配置50006000，防火墙的外部IP地址：输入该弹性云主机的公网IP地址，并单击“应用”。 重启云主机使防火墙配置生效。 6. 配置安全组规则及防火墙策略。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024~65535间的端口（根据上文配置，此处50006000） 0.0.0.0/0 7. 客户端进行连接测试。 打开客户端的计算机，在路径栏输入“ftp://FTP服务器IP 地址 :FTP 端口 ”（如果不填端口则默认访问21端口）。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对FTP文件进行相应权限的操作，share文件夹下创建工作事项.txt文件，在本地访问共享文件夹可以查看并下载。

参数 参数 描述 n STORNAME 或storname STORNAME 指定HBlock名称。 取值：字符串形式，长度范围是1~64，可以包含字母、数字、下划线（）和短横线（），字母区分大小写，且仅支持以字母或数字开头。 u USERNAME 或username USERNAME HBlock的管理员用户名。 取值：字符串形式，长度范围是5~16，只能由数字和字母组成，字母区分大小。默认值为storuser。 p PASSWORD 或password PASSWORD 设置新的管理员密码。初始化时必须修改密码。 取值：字符串形式，长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 s { SERVERIP [:PORT ][:PATH ] & } & 或server { SERVERIP [:PORT ][:PATH] & } & 指定要初始化的服务器IP（SERVERIP）、API端口号（PORT）和数据目录（PATH）。 取值： 服务器IP：一个服务器IP可以对应多个数据目录，用英文逗号（,）隔开。 对于单机版，只需要一台服务器即可。 对于集群版，至少需要三台服务器。 API端口号：取值范围是[1, 65535]，默认值为1443。需要和该服务器安装HBlock时设置的API端口号保持一致。 数据目录：数据目录名不能含逗号。可以设置多个数据目录，以英文逗号（,）隔开。数据目录用于存储数据，建议不要与操作系统共用磁盘或文件系统。 说明 对于单机版，第一个数据目录是默认数据目录。对于集群版，需要至少有一个数据目录。 topologyfile TOPOLOGYFILE 导入集群拓扑文件（仅集群版支持）。 拓扑文件为符合UTF8编码格式的JSON文件，详见集群拓扑文件。 edition EDITION 指定版本类型。 取值： Free：免费版。 Commercial（Comm）：商业版。 默认值为Commercial。 C CIDR 或clusternetwork CIDR 集群网络（仅集群版支持），用于集群间的数据通信。IP CIDR格式。 如果指定集群网络，为了保证HBlock的各个服务器之间能够正常通信，请确保每个服务器上都有与指定网段相符的IP，系统会自动选取该IP进行通信。 如果未指定集群网络，默认使用服务器列表中HBlock服务器IP，此时HBlock的服务器IP不能指定为localhost、127.0.0.1或0:0:0:0:0:0:0:1。 P CIDR 或publicnetwork CIDR 业务网络，用于客户端和服务器之间的数据传输。IP CIDR格式。 如果指定业务网络，请确保每个服务器上都有与指定网段相符的IP，系统会自动选取该IP和客户端进行通信。 如果未指定业务网络，或指定了业务网络，但指定的网段与服务器所有IP均不相符，默认使用服务器列表中HBlock服务器IP，此时HBlock服务器IP不能指定为localhost、127.0.0.1或0:0:0:0:0:0:0:1。 faultdomain FAULTDOMAIN 设置基础存储池的故障域级别（仅集群版支持）。初始化时设置的集群拓扑中，包含的数据目录节点都加入到基础存储池中。 取值： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 默认值为server。 注意 如果故障域级别为room或者rack，则必须使用拓扑文件导入方式进行初始化 iscsiport ISCSIPORT 指定iSCSI端口号。 取值：整型，取值为[1, 65535]，默认端口为3260。 portrange PORT1PORT2 指定端口范围。存储服务以及未指定端口的服务将从此范围中自动取值。 取值：整型，取值范围为[1, 65535]，PORT1为端口范围最小值，PORT2为端口范围最大值，且PORT1且PORT1 < PORT2。PORT1默认取值为20000，PORT2默认取值为20500。 说明 建议指定的端口范围至少包含500个端口。 dataport1 DATAPORT1 指定数据端口1（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 managementport1 MANAGEMENTPORT1 指定管理服务端口1。 取值：整型，取值范围为[1, 65535]。 managementport2 MANAGEMENTPORT2 指定管理服务端口2。 取值：整型，取值范围为[1, 65535]。 managementport3 MANAGEMENTPORT3 指定管理服务端口3。 取值：整型，取值范围为[1, 65535]。 managementport4 MANAGEMENTPORT4 指定管理服务端口4。 取值：整型，取值范围为[1, 65535]。 managementport5 MANAGEMENTPORT5 指定管理服务端口5（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 managementport6 MANAGEMENTPORT6 指定管理服务端口6。 取值：整型，取值范围为[1, 65535]。 metadataport1 METADATAPORT1 指定元数据端口1（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport2 METADATAPORT2 指定元数据端口2（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport3 METADATAPORT3 指定元数据端口3（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport4 METADATAPORT4 指定元数据端口4（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport5 METADATAPORT5 指定元数据端口5（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport6 METADATAPORT6 指定元数据端口6（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport7 METADATAPORT7 指定元数据端口7（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport8 METADATAPORT8 指定元数据端口8（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 cs SERVERIP[:DIR] ,SERVERIP[:DIR] ,SERVERIP[:DIR] 指定协调服务的地址和存储协调服务数据的数据目录（仅集群版支持）。 如果指定协调服务的地址，必须同时指定集群中的3个IP地址。 说明 为了提升读写性能，建议协调服务的数据目录与安装目录、存储数据的数据目录相互独立。 取值： SERVERIP（协调服务的地址）：IPv4或[IPv6]地址。 DIR（协调服务的数据目录）：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。 mdm SERVERIP[:DIR] ,SERVERIP[:DIR] 指定元数据管理服务的地址和存储元数据管理服务数据的数据目录（仅集群版支持）。 如果指定元数据管理服务的地址，必须同时指定集群中的2个IP地址。 说明 为了提升读写性能，建议元数据服务的数据目录与安装目录、存储数据的数据目录相互独立。 取值： SERVERIP（元数据管理服务的地址）：IPv4或[IPv6]地址。 DIR（元数据管理服务的数据目录）：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。 ls SERVERIP[:DIR] ,SERVERIP[:DIR],SERVERIP[:DIR] 指定日志服务的地址和存储日志服务数据的数据目录（仅集群版支持）。 如果指定日志服务的地址，必须同时指定集群中的3个IP地址。 说明 为了提升读写性能，建议日志服务的数据目录与安装目录、存储数据的数据目录相互独立。 取值： SERVERIP（日志服务的地址）：IPv4或[IPv6]地址。 DIR（日志服务的数据目录）：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。