本章主要介绍 步骤五：构建应用 编译构建服务提供配置简单的混合语言构建平台，支持任务一键创建、配置和执行，实现获取代码、构建、打包等活动自动化。 通过本章节，您将了解开发人员Chris如何构建环境镜像、将代码编译打包成软件包，以及通过代码变更触发自动构建来实现持续集成。 预置任务简介 样例项目中预置了如下表所示的5个任务。 预置任务 预置任务 任务说明 phoenixsampleci 基本的构建任务。 phoenixsamplecitest 构建测试环境可用镜像的任务。 phoenixsampleciworker 构建Worker功能镜像的任务。 phoenixsampleciresult 构建Result功能镜像的任务。 phoenixsamplecivote 构建Vote功能镜像的任务。 说明 关于Vote、Result、Worker的说明，请参见 section989mcpsimp 本章节以任务“phoenixsampleci”为例进行讲解，此任务包含的步骤如下表所示。 构建步骤 构建步骤 说明 制作Vote镜像并推送到SWR仓库 通过工作目录“./vote”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作Vote功能镜像，并将镜像推送到容器镜像服务。 制作Result镜像并推送到SWR仓库 通过工作目录“./result”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Result功能镜像，并将镜像推送到容器镜像服务。 使用Maven安装Worker依赖包 使用Maven安装Worker功能所需的依赖。 制作Worker镜像并推送到SWR仓库 通过工作目录“./worker”及Dockerfile路径“Dockerfile.j2”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Worker功能镜像，并将镜像推送到容器镜像服务。 生成Postgres and Redis Dockerfile 通过shell命令生成制作Postgres（数据库）和Redis（缓存）镜像的Dockerfile文件。 制作Postgres镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Postgres镜像，并将镜像推送到容器镜像服务。 制作Redis镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Redis镜像，并将镜像推送到容器镜像服务。 替换DockerCompose部署文件镜像版本 为了将镜像部署到ECS时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，依次将文件“dockercomposestandalone.yml”中的参数替换为构建任务的参数“dockerServer”、“dockerOrg”、“BUILDNUMBER”进行替换。然后，使用tar命令，将文件“dockercomposestandalone.yml”压缩为“dockerstack.tar.gz”，将部署所需文件进行打包，以便于后续步骤将该文件上传归档。 替换Kubernetes部署文件镜像版本 为了将镜像部署到CCE时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，将目录“kompose”下所有以“deployment”结尾的文件中的参数“dockerserver”、“dockerorg”，替换为构建任务的参数“dockerServer”、“dockerOrg”。然后，使用sed命令，将“resultdeployment.yaml”、“votedeployment.yaml”、“workerdeployment.yaml”三个文件中的参数“imageversion”用构建任务参数“BUILDNUMBER”进行替换。 上传Kubernetes部署文件到软件发布库 将所有“.yaml”文件上传到软件发布库中归档。 上传dockercompose部署文件到软件发布库 将压缩好的“dockerstack.tar.gz”（构建包路径）上传到软件发布库中归档，包名命名为“dockerstack”，实现软件包的版本管理。 说明 在项目部署过程中，经常遇到由于环境不一致而导致的失败，例如研发调试环境的JDK升级后，未在环境清单中标记清楚，导致生产环境未做相应升级而引发失败。为了避免因为环境不一致导致的各种问题，本样例项目中统一使用Docker的方式将各微服务应用与环境统一打包到镜像，保持每个环境（开发调测环境、测试环境、QA环境、生产环境）一致。

参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则: 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 存储桶一旦创建成功，名称不能修改且不支持重命名。 长度范围为3到63个字符，支持小写字母、数字、中划线（）、英文句号（.）。 禁止两个英文句号（.）或英文句号（.）和中划线（）相邻，禁止以英文句号（.）和中划线（）开头或结尾。 禁止使用IP地址。 如果名称中包含英文句号（.），访问桶或对象时可能会进行安全证书校验。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。下载对象时，ZOS会自动将加密文件解密后再提供给用户。选择加密方式，取值范围如下： 关闭 :不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS: 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。

本章主要介绍翼MapReduce的备份HBase业务数据功能。 操作场景 为了确保HBase日常数据安全，或者系统管理员需要对HBase进行重大操作（如升级或迁移等），需要对HBase业务数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HBase任务并备份数据。支持创建任务自动或手动备份数据。 HBase备份业务数据时，可能存在以下场景： 用户创建HBase表时，“KEEPDELETEDCELLS”属性默认值为“false”，备份该HBase表时会将已经删除的数据备份，可能导致恢复后出现垃圾数据。请根据业务需要，在创建HBase表时手动修改参数值为“true”。 用户在HBase表写入数据时手动指定了时间戳，且时间早于上一次该HBase表的备份时间，则在增量备份任务中可能无法备份新数据。 HBase备份功能不支持对HBase的global或者命名空间的读取、写入、执行、创建和管理权限的访问控制列表（ACL）进行备份，恢复HBase数据后需要管理员在FusionInsight Manager上重新设置角色的权限。 已创建的HBase备份任务，如果本次备份任务在备集群的备份数据丢失，当下次执行增量备份时备份任务将失败，需要重新创建HBase的备份任务。若下次执行全量则备份正常。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以hdfs用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 HBase的“fs.defaultFS”配置参数需要与Yarn，HDFS的配置保持一致。

本章节主要介绍MapReduce如何创建集群。 使用翼MR的首要操作就是创建集群，本章节为您介绍如何在翼MR管理控制台创建一个新的集群。 操作步骤 1.登录翼MR管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 说明 创建集群时需要注意配额提醒。当资源配额不足时，建议按照提示申请足够的资源，再创建集群 。 3.在创建集群页面，选择“自定义创建”页签。 4 .配置集群软件信息。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20180321”。 集群版本：默认最新版本即可。 集群类型：默认选择“分析集群”即可。 组件选择：分析集群勾选Spark2x、HBase和Hive等组件。流式集群勾选Kafka和Storm等组件。混合集群可同时勾选分析集群流式集群的组件。 元数据：默认即可。 说明 针对翼MR 3.x之前版本，分析集群勾选Spark、HBase和Hive等组件 。 5.单击“下一步”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 安全组：选择“自动创建”。 弹性公网IP：选择“暂不绑定”。 实例规格：Master和Core节点都选择“通用计算型S3>8核16GB(s3.2xlarge.2 )”。 系统盘：存储类型选择“普通IO”，存储空间默认即可。 数据盘：存储类型选择“普通IO”，存储空间默认即可，数据盘数量默认即可。 实例数量：Master节点数量默认为2，Core节点数量配置为3。 注意 上述“实例规格”示例，实际可选规格请以各资源池可用规格为准。 6.单击“下一步”进入高级配置页签，配置参数，其他参数保持默认。 Kerberos认证： −Kerberos认证：关闭Kerberos认证。 −用户名：Manager管理员用户，目前默认为admin用户。 −密码：Manager管理员用户的密码。 登录方式：选择登录ECS节点的登录方式。 −密码：设置登录ECS节点的登录密码。 −密钥对：从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件 SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 通信安全授权：勾选确认授权。 7.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 8.单击“返回集群列表”，可以查看到集群创建的状态。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高TLS握手效率，提升HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【OCSP Stapling】模块，开启功能。 9. 单击【保存】，完成配置。 参数名 说明 OCSP Stapling 默认关闭，即不开启OCSP Stapling功能。开启OCSP Stapling功能之前，需要先完成HTTPS证书配置。

本页面主要介绍天翼云数据传输服务DTS对接的云审计服务使用和查看方法。 操作场景 数据传输服务DTS现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建实例 dtsCreateInstance 删除实例 dtsDeleteInstance 任务启动 dtsStartJob 任务暂停 dtsStopJob 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表页，根据需要选择时间段、设置筛选条件，如：读写类型、事件级别、操作用户、事件来源、资源类型、资源名称、事件名称等。点击查询即可。 4. 在审计事件查询结果列表右侧操作列点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

自动备份： 需要在“备份策略”的下拉菜单中，选择一个已有的备份策略，或者单击右侧的“创建策略”创建一个新的备份策略。在备份创建完成后，所选云主机会绑定到该备份策略中，按照备份策略进行周期性备份。 说明 如果选择的云主机已经绑定到其他备份策略，在选择新的备份策略后，云主机会自动从原备份策略解绑，并绑定到新的备份策略。 立即备份： 在备份创建完成后，会对所有云主机立即执行一次性备份。 需要输入备份的“名称”和“描述”，如下表所示。 参数 说明 备注 名称 输入待创建的备份的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 说明： 也可以采用默认的名称，默认的命名规则为“manualbkxxxx”。 备份多个云主机时，系统自动增加后缀，例如：备份0001，备份0002。 manualbkcbf0 描述 输入待创建的备份的描述。描述长度小于等于255个字符。 可同时选择两种备份方式，即立即执行一次备份，后续按照备份策略进行周期性备份。 6. 选择是否启用“数据库服务器备份”（立即备份时可选）。启用后，系统将执行数据库服务器备份（应用一致性备份）。若同时勾选“数据库服务器备份失败后继续备份”，数据库服务器备份失败后系统将执行崩溃一致性备份，若不勾选，数据库服务器备份失败后将直接产生失败备份。如下图所示。 说明 使用数据库服务器备份前，需先更改安全组和成功安装客户端。相关操作请参见 图 数据库服务器备份 7. 单击“立即申请”。 8. 在“规格确认”页面上，查看“详情”，单击“提交申请”。 9. 根据页面提示，返回云主机备份页面。

对比维度 弹性文件服务 对象存储服务 云硬盘 概念 提供按需扩展的高性能文件存储，可为云上多个云服务器提供共享访问。弹性文件服务就类似Windows或Linux中的远程目录。 提供海量、安全、高可靠、低成本的数据存储能力，可供用户存储任意类型和大小的数据。 可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求。云硬盘就类似PC中的硬盘。 存储数据的逻辑 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 存放的是对象，可以直接存放文件，文件会自动产生对应的系统元数据，用户也可以自定义文件的元数据。 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 访问方式 在ECS/BMS中通过网络协议挂载使用，支持NFS和CIFS的网络协议。需要指定网络地址进行访问，也可以将网络地址映射为本地目录后进行访问。 可以通过互联网或专线访问。需要指定桶地址进行访问，使用的是HTTP和HTTPS等传输协议。 只能在ECS/BMS中挂载使用，不能被操作系统应用直接访问，需要格式化成文件系统进行访问。 使用场景 如高性能计算、媒体处理、文件共享和内容管理和Web服务等。 说明： 高性能计算：主要是高带宽的需求，用于共享文件存储，比如基因测序、图片渲染这些。 如大数据分析、静态网站托管、在线视频点播、基因测序和智能视频监控等。 如高性能计算、企业核心集群应用、企业应用系统和开发测试等。 说明： 高性能计算：主要是高速率、高IOPS的需求，用于作为高性能存储，比如工业设计、能源勘探这些。 容量 PB级别 EB级别 TB级别 时延 3~10ms 10ms 亚毫秒级

本文为您介绍安装监控Agent的操作方法。 为保证您创建出来的云主机监控数据、功能正常，天翼云推荐您通过控制台上的相关功能自动为云主机安装云主机监控Agent，同时提供手动安装监控Agent、离线安装监控Agent功能，可根据您的需求场景选择不同的方式。 约束与限制 确保需要安装监控Agent所在的资源池支持监控Agent能力，可参考监控概览支持安装监控Agent的地区及Agent安装包下载路径查询。 确保安装时，云主机状态为运行中。 确保云主机可以正常访问curl 169.254.169.254:10063 及 169.254.169.254:10064。 安装成功后的监控进程不会被其他软件关闭。 说明 若云主机无法正常访问，请检查防火墙、安全组等服务是否屏蔽监控服务器地址。 创建云主机时自动安装监控Agent 操作步骤 1. 登录控制中心。 2. 单击左上角选择即将创建云主机所在的地域。 3. 单击“计算>弹性云主机”，进入云主机控制台。 4. 单击“创建云主机”，在高级配置页签，选中“开启详细监控”选项。按此配置创建出的云主机，将被自动安装监控Agent。 注意 若通过快照、备份、私有镜像、克隆创建云主机时，则： 选择开启详细监控：新创建的云主机会安装最新版本的云主机。 选择不开启详细监控：新创建的云主机与原快照、备份、私有镜像、被克隆云主机监控Agent保持一致。即，原场景已安装Agent，新创建云主机保持安装，安装版本与原场景一致；原场景未安装Agent，则新创建云主机也不安装。 为已创建的云主机安装、升级监控Agent

Prometheus监控服务支持将Prometheus实例的监控数据导出，以进行自定义业务处理。您可以根据业务需求，选择相应的投递目标。本文介绍如何创建Kafka数据投递任务。 前提条件 已接入Prometheus实例。 已部署目标的分布式消息服务Kafka实例，并创建Topic等资源。 开通事件总线EventBridge服务。 注意 1. 数据投递功能依赖事件总线EventBridge，事件总线EventBridge目前公测中，费用详情请参考计费说明。 2. 仅支持从创建任务开始后的实时数据导出，不支持历史数据的投递。 操作步骤 1. 登录应用性能监控控制台。在左侧菜单栏点击Prometheus监控 数据投递菜单。 2. 进入数据投递页面后，点击左上角【创建任务】按钮。 3. 在对话框中输入任务名称和任务描述后，单击确定。将自动跳转至任务编辑页面。 4. 在任务编辑页面，配置数据源和投递目标： 1. 点击【+ 添加数据源】按钮，配置以下参数，然后单击确定。 配置项 说明 示例 Prometheus实例 Prometheus数据源所在实例。 ccexxxxxx 数据过滤 设置需要过滤的指标标签，黑名单机制代表符合条件的指标将不会被投递。白名单机制代表符合条件的指标才会被投递。 支持正则表达式。多个条件需要换行，条件之间为且的关系。 plaintext name~xxxxx regionIdhuadong1 idixxxxxx 数据打标 设置需要新增的标签，设置后将在投递的指标数据增加对应的label。多个标签需要换行。 plaintext testkey1aaaaa testkey2bbbbb 2. 点击【添加目标】按钮，选择目标类型为分布式消息服务Kafka，并选择目标kafka实例与Topic，点击确定，即可完成任务的创建。 注意 在使用kafka数据投递前，需要先在对应kafka实例安全组中允许VPC内访问Kafka实例服务端口，具体操作请查看操作指引。 5. 投递任务启动后，数据经过2~5分钟的延迟即可到达投递目标。

参数 说明 示例 名称 监听器名称。 listenerpnqy 前端协议/端口 负载分发的协议和端口。 协议选择HTTP，端口取值范围[165535]。 HTTP/80 重定向 重定向开关是否开启。 协议类型为HTTP时，可根据需要设置该项。需要保证业务建立安全连接时，若同时创建了HTTPS监听器和HTTP监听器，可以通过重定向功能，将HTTP监听器访问重定向至HTTPS监听器。 HTTP监听器被重定向后，会返回301返回码。 重定向至 选择需要重定向HTTPS监听器的名称。 listener9ecd（HTTPS/443） 高级配置 访问策略 支持通过白名单和黑名单进行访问控制： 允许所有IP访问 黑名单 白名单 白名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 空闲超时时间（秒） 如果在超时时间内一直没有访问请求，负载均衡会中断当前连接，直到下一次请求到来时再重新建立新的连接。 时间取值范围[04000]。 60 请求超时时间（秒） 客户端向负载均衡发起请求，如果在超时时间内客户端没有完成整个请求的传输，负载均衡将放弃等待关闭连接。 时间取值范围[1300]。 60 响应超时时间（秒） 负载均衡向后端云主机发起请求，如果超时时间内接收请求的后端云主机无响应，负载均衡会向其他后端云主机重试请求。如果重试期间后端云主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 时间取值范围[1300]。 说明： 当开启了会话保持功能时，响应超时时间内如果对应的后端云主机无响应，则直接会返回HTTP 504错误码。 60 描述 对于监听器描述。 字数范围：0/255。 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的，其中“键”值是唯一的。

本文主要介绍云服务操作日志以及审计日志如何接入 云日志服务支持存储各云服务产品上报至云审计的操作日志，可用于长时间存储操作事件日志，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前置条件 1. 已开通云审计服务，详情请见云审计产品介绍。 2. 已开通对象存储服务，详情请见对象存储产品介绍。 注意 1. 当前仅支持华北2资源池进行配置。 2. 接入操作事件日志，将产生相关存储费用与流量费用，详情请查看云日志服务计费说明。 3. 云审计提供的事件文件转储功能需要使用对象存储服务，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。 操作方式 1. 开通云审计后，登录云审计控制台。 2. 在云审计控制台左侧菜单栏点击"事件跟踪"，点击"创建跟踪任务"。 3. 根据指引配置，勾选“启用状态”，配置“ZOS存储桶”以及“目录前缀”，完成事件跟踪任务的创建，详情请参考云审计帮助文档。 4. 进入云日志服务控制台，在左侧菜单栏点击“日志接入”，在接入中心的“云服务操作日志”中选择对应的云服务产品。 5. 选择需要存储日志数据的日志项目与日志单元。点击下一步进入日志配置页面。 6. 在日志配置页面中，选择上述第三步已配置的ZOS存储桶以及目录前缀，点击“下一步”，即可完成配置

本文介绍自动备份策略规则及如何设置备份策略及备份清理策略。 自动备份策略规则 开通SQL Server实例后，系统会设置默认自动备份策略。您可根据业务需要设置自动备份策略，系统会按照您设置的自动备份策略对数据库实例进行备份。出于安全考虑，不可以关闭自动备份。 默认自动备份策略为：备份周期为星期一至星期日（即每天），备份保留天数为7天，默认不开启增量备份。如果实例开通时间点在当前时段的前45分钟内，则备份时间为当前时间段，否则为当前时段的下一个时段，比如开通时间为14:30:00，则备份时段为14:0015:00，如果开通时间为15:46:00，则备份时段为16：0017:00。您可以设置自动备份策略。 备份周期默认为每天，可选范围包括星期一至星期日。至少选择一周中的2天。 保留天数为数据备份和日志的保留时长，默认为7天，范围为1~730天，请根据需要设置。保留天数过大，将占用较大备份空间。减少保留天数，会针对已有的备份文件生效，但手动备份不会自动删除。 备份时间段默认为24小时中，间隔一小时中的一个时间段 ，例如01:00～02:00，12:00～13:00等。备份时间段并不是指整个备份任务完成的时间，指的是备份的开始时间，备份时长和实例的数据量有关。由于开启备份会损耗数据库读写性能，建议根据业务情况，选择业务低峰时段作为备份时间段。自动备份只会在备份时间段内执行。 增量备份默认不开启，您可以根据需要选择是否打开增量备份开关。开启增量备份后，一个备份周期内将按照首次全量，其余增量的循环进行备份。 日志备份策略不支持修改。日志备份频率默认为每30分钟备份一次，日志备份保留天数同数据备份保留天数。

本文介绍关系数据库SQL Server版在天翼云云审计中支持的相关功能。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 创建实例、恢复到新实例 重启实例 删除实例 节点扩容 磁盘扩容 规格变更 数据备份、删除备份 数据恢复 参数修改 主备切换 绑定公网IP 解绑公网IP 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“数据库”，资源类型选择“关系数据库SQL Server版”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本节介绍网络的用户指南：Ingress概述。 概述 与Service的四层负载均衡不同，Ingress是反向代理的抽象，提供七层的HTTP和HTTPS协议转发，可使用域名和路径配置转发规则，例如通过访问路径将请求路由到不同的Service，以实现7层的负载均衡。 Ingress资源定义了访问集群服务的规则，这些规则包括如何处理来自外部的请求、如何路由这些请求到后端的服务等。Ingress资源可以定义多个规则，每个规则对应一个前端的路径和一个或多个后端的服务。Ingress并非自身提供服务，而是依赖Ingress Controller来实现。Ingress Controller是一个持续运行的守护进程，负责处理实际的路由和负载均衡。常见的Ingress Controller包括NGINX Ingress Controller、Traefik等。 应用场景 Ingress在以下几个关键应用场景中发挥着重要作用： 单服务暴露 ：当集群中只有一个服务需要对外暴露时，Ingress可以作为该服务的路由器，处理所有进入应用的请求； 基于主机名或URL的路由 ：当集群中有多个服务需要对外提供服务时，Ingress可以基于请求的主机名或URL路径，将请求路由到对应的服务。这种情况下，Ingress充当反向代理服务器的角色，使得在一个公共的IP地址下，可以提供多个服务； SSL终止 ：对于需要提供安全传输服务的应用，Ingress可以负责处理SSL连接，包括证书的管理和续签，使得后端服务可以专注于提供业务逻辑，而无需处理SSL连接； 负载均衡 ：Ingress可以根据配置的路由规则，将请求分发到后端的多个服务实例，实现负载均衡。这对于需要处理大量请求，或者需要高可用服务的应用至关重要； 网络流量控制 ：Ingress还可以实现更为复杂的网络流量控制，如基于请求的权重进行路由，或者实现蓝绿部署等。

本章节会介绍函数工作流的购买时常见问题。 在创建函数时创建失败，并提示“您当前的权限不足，请联系您的管理员为您开通相关权限”时该如何处理？ 使用FunctionGraph是否需要开通计算、存储、网络等服务？ 使用FunctionGraph开发程序之后是否需要部署？ FunctionGraph函数支持哪些编程语言？ FunctionGraph函数分配磁盘空间有多少？ FunctionGraph函数是否支持版本控制？ 在创建函数时创建失败，并提示“您当前的权限不足，请联系您的管理员为您开通相关权限”时该如何处理？ 用户在未进行实名认证或者账号余额不足100元时，会弹出“您当前的权限不足，请联系您的管理员为您开通相关权限”的提示，且无法开通按需资源。请用户进行实名认证并保障账号余额大于100元。 使用FunctionGraph是否需要开通计算、存储、网络等服务？ 用户使用FunctionGraph时，不需要开通或者预配置计算、存储、网络等服务，由FunctionGraph提供和管理底层计算资源，包括服务器CPU、内存、网络和其他配置/资源维护、代码部署、弹性伸缩、负载均衡、安全升级、资源运行情况监控等，用户只需要按照FunctionGraph支持的编程语言提供程序包，上传即可运行。 使用FunctionGraph开发程序之后是否需要部署？ 用户在本地开发程序之后打包，必须是ZIP包（Java、Node.js、Python、Go）或者JAR包（Java），上传至FunctionGraph即可运行，无需其它的部署操作。 制作ZIP包的时候，单函数入口文件必须在根目录，保证解压后，直接出现函数执行入口文件，才能正常运行。 对于Go runtime，必须在编译之后打zip包，编译后的动态库文件名称必须与函数执行入口的插件名称保持一致，例如：动态库名称为testplugin.so，则“函数执行入口”命名为testplugin.Handler。

生效条件 设置误报处理后，1分钟左右生效，防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存，重新访问设置了误报处理的页面，如果访问正常，说明配置成功。 Web基础防护检测项说明 Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如下表所示。 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含UserAgent、Contenttype、AcceptLanguage和Cookie。 说明 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。 说明 如果您的网站使用的是Shiro 1.2.4及之前的版本，或者升级到了Shiro 1.2.5及以上版本但是未配置AES，强烈建议您开启“Shiro解密检测”，以防攻击者利用已泄露的密钥构造攻击。

天翼云学堂（ 注册 在天翼云官网没有账号的用户，请先注册一个账号，注册地址为[]( 登录 1) 在天翼云官网已经登录成功的用户，访问天翼云学堂时将会自动跳转并登录。 2) 没有在天翼云官网登录的用户，点击进入天翼云学堂后系统会跳转至天翼云官网登录页面，登录成功后将会返回天翼云学堂首页，此时天翼云学堂已经自动登录。 第一次进入天翼云学堂系统会跳转至身份认证页面，如下图所以： 1) 个人学习用户：点击【下一步】按钮直接进入首页，无需验证； 2) 中国电信员工： 点击【下一步】按钮需要进行企业邮箱验证，验证通过后进入首页；(员工务必选择准确所属公司，以免对学习数据统计造成影响) 3) 天翼云代理商：点击【下一步】按钮需要输入对应的企业邮箱和编号进行验证，验证通过后进入首页。 用户可以选择不进行验证，直接点击网页左上角的“天翼云学堂”logo进入首页，后期想要进行身份验证的时候，可以在[个人设置安全设置修改](

步骤二：开通云服务器 使用镜像市场“标准VCPE镜像CTyunOS2.0.1X86 64位”镜像开通云主机。云主机配置要求：配置要求2c4g以上，推荐计算型云主机，网卡使用自动分配内网IPv4地址，并有用弹性IP，带宽大小根据需要设置。 注：目前华东1、青岛20、南宁23、上海7、上海36、北京5、上海15已完成VCPE镜像加载，可直接开通。如您有其他区域的部署需求，请联系客户经理申请。 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的选择区域。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面。 5. 进行基础配置。 a. 根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 b. 选择规格。此处选择“CPU架构”为“X86计算”、分类可以选 “通用型”或“计算型”，推荐选用计算型。规格为2c4G以上。 c. 选择镜像。“镜像类型”选择“云镜像市场”，在云镜像市场中选择预置了vCPE的“标准VCPE镜像CTyunOS2.0.1X86 64位”镜像。 d. 设置云盘类型和大小。此处选择“系统盘”为“通用型SSD”，40GB。 6. 网络配置 设置网络，此处“网卡”选择“单网卡”，设置“自动分配内网地址”；“安全组”根据客户需求自行配置； “弹性IP”用于连通SDWAN POP接入点，带宽根据客户网络需求进行配置。 7. 高级配置 设置高级配置，包括“登录方式”、“云主机组”、“用户数据”。用户数据需配置为vCPE实例的SN号。vCPE SN号信息可通过“天翼云SDWAN控制台>目标智能网关详情页>基本信息模块”查看，操作步骤可参考：查看基本信息。 用户数据填写格式如下： 其中，CTCEXXXXXXXXXSN根据客户订购的vCPE实例SN号进行替换。 plaintext

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

本章节主要介绍如何启停集群。 重启集群 当集群处于非均衡或不能正常工作时，可能需要通过重启集群进行恢复。当您修改完配置，例如修改集群安全设置、参数修改相关配置，未立即重启集群的情况下，您也可以通过手动重启集群使配置生效。 说明 若集群欠费，可能会导致该功能被限制不可用，请及时充值确保集群可正常使用。 对系统的影响 重启期间集群将无法提供服务。因此，在重启前，请确定集群中没有正在运行的任务，并且所有数据都已经保存。 如果集群正在处理业务数据，如导入数据、查询数据、创建快照或恢复快照时，一旦重启集群，有可能会导致文件损坏或重启失败。因此，建议停止所有集群任务后，再重启集群。 您可以参考Cloud Eye监控集群查看集群的“会话数”和“活跃SQL数”指标，查看是否有活跃事务。 重启集群所需时间与集群的规模和业务有关，正常情况下大约需要3分钟左右，不超过20分钟。 如果重启失败，将有可能会导致集群不可用，建议联系技术支持人员进行处理或稍后重试。 操作步骤 1. 登录DWS管理控制台。 2. 单击“集群 > 专属集群”。 3. 在需要重启的集群的“操作”列，单击“重启”。 4. 在弹出框单击“是”。 此时集群的“任务信息”变为“重启中”。当“集群状态”重新变为“可用”时，表示重启已成功。 停止集群 当用户的集群不再使用时，可通过停止集群功能来关闭集群，方便业务下线。 说明 如果当前控制台界面不支持该特性，请联系技术支持人员。集群启动后恢复计费。 集群停止后实例关机，ECS场景下基础资源（vCPU、内存）不再保留，当再次启动云服务时，可能由于资源不足无法正常开机，请耐心等待，稍后再试。

功能项 RocketMQ Kafka RabbitMQ 优先级队列 不支持 不支持 支持。建议优先级大小设置在010之间。 延迟队列 支持 不支持 不支持 死信队列 支持 不支持 支持 消息重试 支持 不支持 不支持 消费模式 支持客户端主动拉取和服务端推送两种方式 客户端主动拉取 支持客户端主动拉取以及服务端推送两种模式 广播消费 支持 支持 支持 消息回溯 支持 支持。Kafka支持按照offset和timestamp两种维度进行消息回溯。 不支持。RabbitMQ中消息一旦被确认消费就会被标记删除。 消息堆积 支持 支持。考虑吞吐因素，Kafka的堆积效率比RabbitMQ总体上要高。 支持 持久化 支持 支持 支持 消息追踪 支持 不支持 支持。RabbitMQ中可以采用Firehose或者rabbitmqtracing插件实现，但开启rabbitmqtracing插件会影响性能，建议只在定位问题过程中开启。 消息过滤 支持 支持 不支持，但可以自行封装。 多租户 支持 不支持 支持 多协议支持 兼容RocketMQ协议 只支持Kafka自定义协议。 RabbitMQ基于AMQP协议实现，同时支持MQTT、STOMP等协议。 跨语言支持 支持多语言的客户端 采用Scala和Java编写，支持多种语言的客户端。 采用Erlang编写，支持多种语言的客户端。 流量控制 待规划 支持client和user级别，通过主动设置可将流控作用于生产者或消费者。 RabbitMQ的流控基于CreditBased算法，是内部被动触发的保护机制，作用于生产者层面。 消息顺序性 单队列（queue）内有序 支持单分区（partition）级别的顺序性。 不支持。需要单线程发送、单线程消费并且不采用延迟队列、优先级队列等一些高级功能整体配合，才能实现消息有序。 安全机制 支持SSL认证 支持SSL、SASL身份认证和读写权限控制。 与Kafka相似 事务性消息 支持 支持 支持

提交作业时系统提示当前用户在Manager不存在如何处理？ 问题详情 安全集群使提交作业时，未进行IAM用户同步，会出现“当前用户在MRS Manager不存在，请先在IAM给予该用户足够的权限，再在概览页签进行IAM用户同步”的错误提示。 处理方式 在提交作业之前，用户需要先在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，然后再提交作业。 LauncherJob作业执行失败，报错信息为“jobPropertiesMap is null”如何处理？ 问题描述 Launcher作业失败的，提示原因为：提交作业用户无“hdfs /mrs/jobproperties”目录的写权限如何处理？ 处理方式 该问题已在MRS 2.1.0.6的补丁中修复，也可通过在MRS Manager页面给同步的提交作业用户赋予该目录“/mrs/jobproperties”的写入权限进行处理。 为什么MRS Console页面Flink作业状态与Yarn上的作业状态不一致？ 为了节约存储空间，用户修改了Yarn的配置项yarn.resourcemanager.maxcompletedapplications，减小yarn上历史作业的记录保存个数。由于Flink是长时作业，在yarn上realJob还在运行，但launcherJob已经被删除，导致因从Yarn上查不到launcherJob，从而更新作业状态失败。该问题在2.1.0.6补丁中解决。 解决方法：终止找不到launcherJob的作业，后续提交的作业状态就会更新。 SparkStreaming]()作业运行几十个小时后失败，报OBS访问403如何处理？ 当用户提交作业需要读写OBS时，提交作业程序会默认为用户添加访问OBS的临时accesskey和secretkey，但是临时accesskey和secretkey有过期时间。 如果需要运行像Flink和SparkStreaming这样的长时作业时，用户可通过“服务配置参数”选项框传入永久的accesskey和secretkey，以保证作业不会在运行过程中因密钥过期而执行失败。 ClickHouse客户端执行SQL查询时报内存不足如何处理？

本章节主要介绍 修改Manager系统域名。 操作场景 每个系统用户安全使用的范围定义为“域”，不同的系统需要定义唯一的域名。FusionInsight Manager的域名在安装过程中生成，如果需要修改为特定域名，管理员可通过FusionInsight Manager进行配置。 须知 修改系统域名为高危操作，在执行本章节操作前，请确认已参考备份OMS数据章节成功备份了OMS数据。 对系统的影响 修改Manager系统域名时，需要重启所有集群，集群在重启期间无法使用。 修改域名后，Kerberos管理员与OMS Kerberos管理员的密码将重新初始化，请使用默认密码并重新修改。组件运行用户的密码是系统随机生成的，如果用于身份认证，请参见导出认证凭据文件，重新下载keytab文件。 修改域名后，“admin”用户、组件运行用户和系统管理员在修改域名以前添加的“人机”用户，密码会重置为相同密码，请重新修改。重置后的密码由两部分组成：系统生成部分和用户设置部分，系统生成部分为Admin@123，用户设置部分规则参照“密码后缀”参数的说明，默认值为Admin@123。例如：系统生成部分为Admin@123，用户设置部分为Test %@123，则此时重置后的密码为Admin@123Test %@123。 重置后的密码必需满足当前用户密码策略，使用omm用户登录主OMS节点后，执行如下工具脚本可以获取到修改域名后的“人机”用户密码。 sh ${BIGDATAHOME}/omserver/om/sbin/getresetpwd.sh密码后缀username −密码后缀为用户设置的参数，如果不指定，则填充为默认值，默认值为“Admin@123”。 −username为可选参数，默认取值为“admin”。 例如： ${BIGDATAHOME}/omserver/om/sbin/getresetpwd.sh Test

本章节主要介绍翼MapReduce的修改OMS服务配置参数操作。 操作场景 根据用户环境的安全要求，管理员可以在FusionInsight Manager修改OMS中Kerberos与LDAP配置。 对系统的影响 修改OMS的服务配置参数后，需要重启对应的OMS模块，此时FusionInsight Manager将无法正常使用。 操作步骤 修改okerberos配置 1. 登录FusionInsight Manager，选择“系统 > OMS”。 2. 在okerberos所在行，单击“修改配置”。 3. 根据下表所示的说明修改参数。 okerberos参数配置一览表 参数名 说明 连接KDC最大时延（毫秒） 应用连接到Kerberos的超时时间，单位为毫秒，请填写整数值。 最大尝试次数 应用连接到Kerberos的最大重试次数，请填写整数值。 操作Ldap最大时延（毫秒） Kerberos连接LDAP的超时时间，单位为毫秒。 搜索Ldap最大时延（毫秒） Kerberos在LDAP查询用户信息的超时时间，单位为毫秒。 Kadmin监听端口 kadmin服务的端口。 KDC监听端口 kinit服务的端口。 Kpasswd监听端口 kpasswd服务的端口。 4. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 修改oldap配置 5. 在oldap所在行，单击“修改配置”。 6. 根据下表所示的说明修改参数。 oldap参数配置一览表 参数名 说明 Ldap服务监听端口 LDAP服务端口号。 7. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 说明 如果重置LDAP帐户口令需要重启ACS，操作步骤如下： 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置： sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh复制 提示以下信息表示命令执行成功： Modify realm successfully. Use the new password to log into FusionInsight again.复制 执行 sh $CONTROLLERHOME/sbin/acscmd.sh stop ，停止ACS。 执行 sh $CONTROLLERHOME/sbin/acscmd.sh start ，启动ACS。

本章节主要介绍翼MapReduce的入服与退服实例操作。 操作场景 部分角色实例以分布式并行工作的方式对外部业务提供服务，服务会单独保存每个实例是否可以使用的信息，所以需要使用FusionInsight Manager为这些实例执行入服或退服的操作，变更实例的业务可用状态方式。 不支持该此功能的实例，默认无法执行任务。 说明 当前支持退服和入服操作的角色有：HDFS的DataNode、Yarn的NodeManager、HBase的RegionServer。 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。若HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 由于Mapreduce任务执行时，会生成一些副本数为10的文件，此时若DataNode实例数少于10时，将无法进行退服操作。 如果退服前，DataNode节点的机架数（机架数由各DataNode节点所配置的“机架”的名称数量决定）大于1；而退服部分DataNode后，剩余的DataNode节点的机架数变为1，则此次退服将会失败。所以需要在退服前评估退服操作对机架数的影响，以调整退服的DataNode节点。 在退服多个DataNode时，如果每个DataNode存储的数据量较大，如果执行选择多个DataNode同时退服，则很有可能会因超时而退服失败。为了避免这种情况，建议每次退服仅退服1个DataNode，进行多次退服操作。 操作步骤 1. DataNode节点退服前需要进行健康检查，步骤如下： 使用客户端用户登录客户端安装节点，并切换到客户端安装目录。 如果是安全集群，需要使用hdfs用户进行权限认证。 source bigdataenv

本文主要介绍 通过公网连接副本集实例 操作场景 本章节指导您使用MongoDB客户端和Robo 3T工具，通过公网连接副本集实例。 用户可以直接操作副本集主节点和备节点。主节点用于读写请求，您可以连接主节点对数据进行读写操作。备节点复制主节点数据，用于读请求，连接备节点仅可读取数据。 操作系统使用场景： 弹性云主机的操作系统以Linux为例，客户端本地使用的计算机系统以Windows为例。 前提条件 副本集实例绑定弹性公网IP，并设置安全组规则，确保可以通过弹性云主机或Robo 3T工具访问弹性IP。 安装MongoDB客户端或Robo 3T工具。 MongoDB客户端 创建并登录弹性云主机，请参见《弹性云主机用户指南》的内容。 在弹性云主机上，安装MongoDB客户端。 使用Robo 3T工具连接实例 步骤 1 打开Robo 3T工具，在连接信息页面，单击“Create”。 连接信息（非SSL方式） 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写副本集实例绑定的弹性IP和实例的数据库端口。 Connection（非SSL方式） 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建副本集实例时设置的管理员密码。 Authentication（非SSL方式） 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接副本集实例。 副本集实例连接信息（非SSL方式） 成功连接副本集实例，工具界面显示如下图所示。 连接成功（非SSL方式）

本章节主要介绍DCS Redis 6.0命令的兼容性，包括支持命令列表，禁用命令列表。 DCS Redis 6.0兼容开源6.2.7版本，兼容开源的协议和命令。 本章节主要介绍DCS Redis 6.0命令的兼容性，包括支持命令列表，禁用命令列表。 命令的具体详细语法，请前往Redis官方网站查看。 DCS Redis缓存实例支持Redis的绝大部分命令，任何兼容Redis协议的客户端都可以访问DCS。 因安全原因，部分Redis命令在分布式缓存服务中被禁用，具体请见Redis 6.0禁用的命令。 部分Redis命令使用时有限制，例如KEYS、FLUSHDB、FLUSHALL等 ，具体请见部分命令使用限制。 Redis 6.0支持的命令 表 Redis 6.0 实例支持命令清单 Generic (Key) String Hash List Set Sorted Set Server DEL APPEND HDEL BLPOP SADD ZADD FLUSHALL DUMP BITCOUNT HEXISTS BRPOP SCARD ZCARD FLUSHDB EXISTS BITOP HGET BRPOPLRUSH SDIFF ZCOUNT DBSIZE EXPIRE BITPOS HGETALL LINDEX SDIFFSTORE ZINCRBY TIME MOVE DECR HINCRBY LINSERT SINTER ZRANGE INFO PERSIST DECRBY HINCRBYFLOAT LLEN SINTERSTORE ZRANGEBYSCORE CONFIG GET PTTL GET HKEYS LPOP SISMEMBER ZRANK MONITOR RANDOMKEY GETRANGE HMGET LPUSHX SMEMBERS ZREMRANGEBYRANK SLOWLOG RENAME GETSET HMSET LRANGE SMOVE ZREMRANGEBYCORE ROLE RENAMENX INCR HSET LREM SPOP ZREVRANGE SWAPDB RESTORE INCRBY HSETNX LSET SRANDMEMBER ZREVRANGEBYSCORE MEMORY SORT INCRBYFLOAT HVALS LTRIM SREM ZREVRANK CONFIG TTL MGET HSCAN RPOP SUNION ZSCORE ACL TYPE MSET HSTRLEN RPOPLPU SUNIONSTORE ZUNIONSTORE SCAN MSETNX HLEN RPOPLPUSH SSCAN ZINTERSTORE OBJECT PSETEX RPUSH SMISMEMBER ZSCAN PEXPIREAT SET RPUSHX ZRANGEBYLEX PEXPIRE SETBIT LPUSH ZLEXCOUNT KEYS SETEX BLMOVE ZPOPMIN COPY SETNX LMOVE ZPOPMAX SETRANGE LPOS ZREMRANGEBYSCORE STRLEN ZREM BITFIELD ZDIFF BITFIELDRO ZDIFFSTORE GETDEL ZINTER GETEX ZMSCORE ZRANDMEMBER ZRANGESTORE ZUNION 表 Redis 6.0 实例支持命令清单 [HyperLoglog](

创建用户并授权使用云监控服务 如果您需要对您所拥有的云监控服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云监控服务。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云监控服务的相关操作委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云监控服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的云监控服务系统策略，并结合实际需求进行选择。 示例流程 图 给用户授权CES权限流程 1. 创建用户组并授权，在IAM控制台创建用户组，并授予云监控服务权限“CES Administrator”、“Tenant Guest”和“Server Administrator”。 说明 云监控服务是区域级别的服务，通过物理区域划分，授权后只在授权区域生效，如果需要所有区域都生效，则所有区域都需要进行授权操作。针对全局设置的权限不会生效。 以上权限为云监控服务的全部权限，如您期望更精细化的云监控服务功能的权限，请参见云监控权限管理介绍，对用户组授予对应权限。 2. 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录云监控服务管理控制台，验证云监控服务的“CES Administrator”权限：使用相关功能过程中，如果没有出现用户鉴权失败的提示信息，表示用户授权成功。

步骤三：访问ZOS服务 操作场景 终端节点与DNS终端节点服务和ZOS终端节点服务建立连接后，本地数据中心就可通过VPN连接或云专线来实现对ZOS服务的访问。 前提条件 本地数据中心通过VPN连接或云专线与云上VPC建立连接，确保数据的安全传输，并实现对ZOS的访问，需进行如下配置： VPN网关设置：确保允许访问的VPC子网网段包含了ZOS所在的网段。具体请参考VPN连接。 云专线虚拟网关设置：需要确保允许访问的VPC子网网段中包含ZOS所在的网段。具体请参考开通云专线。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入A账号登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”。 4. 在“终端节点”列表，点击已创建的连接到DNS服务的终端节点的名称/ID，查看该终端节点的“节点IP”。 5. 在用户本地数据中心的DNS服务器上配置相应的DNS转发规则，以将解析ZOS域名的请求转发到连接DNS服务的终端节点（部分资源池支持终端节点上启用，支持资源池以控制台展示为准，未支持资源池可直接使用地址直接访问ZOS服务）。 6. 配置用户本地数据中心节点到VPN网关或云专线网关的DNS路由。为了通过VPN或云专线访问DNS，需要配置用户本地数据中心节点的永久路由，将访问DNS的流量指向用户本地数据中心节点的专线网关或VPN网关的IP地址。 7. 验证本地数据中心与ZOS的连通性。

本页为您介绍从天翼云ECS自建数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行相应配置。 数据库添加白名单。 自建数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行配置。 数据库添加白名单。 源数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。