本章节主要介绍手动快照。 创建手动快照 前提条件 快照是DWS 集群在某一时间点的完整备份，记录了这一时刻指定集群的所有配置数据和业务数据。用户根据业务需要备份集群数据时，可以在“快照管理”页面创建集群的快照。 手动快照可以随时创建，在创建成功后会一直保存，直到DWS 控制台将此快照删除。由于创建手动快照采用全量备份的方式，因此备份时间较长。 说明 手动创建快照支持备份到OBS服务。 待创建快照的集群状态必须为“可用”、“只读”或者“非均衡”中的任意一种。 系统影响 正在创建快照的集群，暂时无法提供完整服务，如无法执行重启、调整大小、重置密码、修改集群配置信息等操作。 说明 为了保证快照数据的完整性，建议创建快照时暂停写入新数据。 操作步骤 1.登录DWS 管理控制台。 2.在左侧导航栏中，单击“快照管理”。 3.单击“创建快照”并填写快照内容。 集群名称：选择一个指定的DWS 集群。只有状态为“可用”的集群会在下拉列表中显示。 快照名称：填写快照的名称。快照名称长度为4～64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或者下划线，不能包含其他的特殊字符。 快照描述 ：填写快照的描述信息。此参数为可选参数。快照描述的字符长度为0～256，不支持特殊字符!<>'&"。 详见下图：创建快照 4.单击“确定”，集群开始创建快照。 创建快照时，正在创建快照的集群任务状态变为“创建快照中”。同时正在创建的快照，状态显示为“创建中”。快照创建完成后，快照的状态为“可用”。 说明 如果快照大小明显大于集群当前存储数据的大小，可能存在数据仅标记为删除但未真实清理回收，建议执行清理并重新创建快照，详情请参见常见问题操作类问题章节中的 如何清理与回收存储空间。

本章节主要介绍如何创建多可用区的副本集实例。 DDS支持创建多可用区的副本集实例。相比单可用区副本集，多可用区副本集具备更高的容灾能力，可以抵御机房级别的故障。如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 使用须知 目前仅部分区域支持创建多可用区副本集实例，具体请以实际的控制台为准。 多可用区部署的前提需要满足该区域下有3个及3个以上的可用区选项。 实例选择多可用区部署时，实例下的主节点、备节点和隐藏节点分别部署在三个不同的可用区内。 部署架构对比 单可用区 实例选择单可用区部署时，实例下的Primary、Secondary和Hidden节点部署在相同的可用区内。 单可用区部署 多可用区 实例选择多可用区部署时，实例下的Primary、Secondary和Hidden节点分别部署在三个不同的可用区内，可实现跨可用区容灾部署能力。 多可用区部署 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 配置实例信息后，单击“立即购买”。 可用区：选择多可用区选项。如下图所示。 选择多可用区 步骤 6 根据提示确认订单，完成订单支付。

对于在APM中监控的各类型应用,请按照本文所述的相应方法更新Java探针版本。 如何为虚拟机部署的应用更新探针？ 如果您需要更新虚拟机部署的应用Java探针版本，您需要在 应用接入 里面点击下载按钮，下载最新Java探针，替换掉旧版本的探针，然后重新启动应用即可。 如何为云容器引擎部署的应用更新探针？ 如果您需要更新容器服务应用的Java探针版本，在开启APM的基础上，重新部署工作负载即可。 1. 登录天翼云【云容器引擎】控制中心，在左侧导航栏选择集群，在右侧页面进入集群详情。 2. 在左侧导航栏选择工作负载 > 有状态/无状态，找到对应的工作负载。 3. 点击重新部署，选择需要的部署方式，点击确定。 如何为其他类型的应用更新探针？ 目前仅支持两种接入方式，其他类型正在扩充中，请关注产品动态的更新提醒。

本章介绍主机迁移服务迁移或同步失败常见问题。 迁移中源端有新增的数据如何处理？ 启动目的端后，若源端有新增的数据，单击此服务器所在行的操作列的“同步”，开始下一次复制（增量数据），当迁移状态为“持续同步”时，单击“启动目的端”，迁移实时状态为“已完成”时，说明新增数据已同步到目的端。 “迁移模块异常中止，无法同步”怎么处理？ 问题描述 持续同步过程中出现“SMS.1414 迁移模块异常中止，无法同步”。 问题原因 迁移模块异常终止可能是因为用户手动重启过Agent或者源端服务器被重启过。 源端有一个监控磁盘变化的进程，用于将源端变化的部分同步到目的端。重启之后该进程被终止，会导致无法正确的将源端服务器的变化同步到目的端。 解决方案 该场景下无法继续完成迁移任务，请删除该任务后，重新迁移。请注意迁移过程中不要重启源端服务器或Agent。 Windows迁移过程中，源端SMSAgent突然退出，导致与主机迁移控制台断开连接 问题描述 Windows服务器迁移过程中，源端突然与SMS控制台断开连接，查看源端发现是迁移用的SMSAgent程序退出。 问题分析 出现该问题，可能是因为源端服务器“客户体验改善计划”导致SMSAgent程序退出。 1. 查看SMSAgent迁移日志中断时间。（C:SMSAgentPy3SmsAgentInfo.log） 2. 在源端服务器，打开计算机管理。选择“事件查看器>Windows 日志>系统”。 3. 在系统日志中，查看与SMSAgent迁移日志中断时间对应的系统日志。发现是因为一条客户体验改善计划的用户登录通知，导致源端服务器自动重启。 解决方案 关闭“客户体验改善计划”。 1. 在源端服务器，打开运行窗口，输入：gpedit.msc，单击“确定”，打开“组编辑策略器”。 2. 在导航栏，选择“计算机配置>管理模板>系统>Internet通信管理>Internet 通信设置”，找到“关闭Windows 客户体验改善计划”。 3. 双击“关闭Windows 客户体验改善计划”，打开编辑窗口，选择“已启用”，单击“确定”。 4. 打开计算机管理，选择“系统工具>任务计划程序库>Microsoft>Windows>Customer Experience Improvement Program”，禁用所有任务。 5. 选择“系统工具>任务计划程序库>Microsoft>Windows>Application Experience”，禁用所有任务。 6. 禁用客户体验改善计划相关任务后，需要在SMS控制台删除迁移任务，重新创建并启动迁移任务。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

天翼云Prometheus监控服务提供了Remote Read的标准接口，您可以通过这个接口远程访问天翼云上Prometheus的监控数据。本文以开源Prometheus访问天翼云Prometheus监控为例介绍如何使用Remote Read地址。 使用限制 Remote Read接口暂不支持HTTP/2。 前提条件 已创建Prometheus 版实例 远程读取的客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Read地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制Remote Read地址。 步骤三：配置开源版Prometheus 1. 安装开源Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remoteread链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remoteread: 替换为您的Remote Read地址。 url: " readrecent: true 3. 重启开源版Prometheus服务。

使用ollama运行模型 plaintext ollama run deepseekr1:14b 4. 通过web界面进行交互 a.安装openwebui plaintext docker pull ghcr.io/openwebui/openwebui:main b.启动容器 plaintext docker run d nethost e PORT3000 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse v openwebui:/app/backend/data name openwebui restart always ghcr.io/openwebui/openwebui:main 后续请参考上文“快速体验DeepSeek——步骤二：使用deepseek模型” 。 FAQ 盘不够了，我应该怎么办？ 如果您在模型部署过程中发现云盘的容量不够，可以采取如下措施: 1. 根据云硬盘扩容概述云硬盘用户指南扩容云硬盘 天翼云对已有云盘进行扩容。 2. 新建一块数据盘并挂载，相关操作见挂载云硬盘云硬盘快速入门 天翼云、初始化数据盘弹性云主机快速入门 天翼云。 如何修改ollama模型的存储位置？ 在linux环境下，ollama默认模型存储目录是 /usr/share/ollama/.ollama/models/，我们建议您使用云硬盘独立挂载数据盘，将模型存储到数据盘中。模型存储位置是由环境变量控制的，我们需要修改ollama的环境变量重启服务才能修改存储目录，我们以 /data/ollama/models 目录为例： 1. 打开 ollama.service 文件 plaintext vi /etc/systemd/system/ollama.service 注意 请确保 ollama 用户组中的 ollama 用户具备访问该目录的读写权限 2. 新增相关环境变量 3. 重启服务 plaintext systemctl daemonreload systemctl restart ollama

操作步骤 说明 相关文档 （必选）步骤一：购买并登录日志审计实例 需订购日志审计（原生版）后，进入控制台查看实例的状态为“运行中”，点击“登录”进入日志审计（原生版）实例中使用。 购买实例 （必选）步骤二：新增资产 在使用日志审计（原生版）之前，需要先纳管资产，以便日志审计（原生版）服务可以对您的资产进行日志管理。 （必选）步骤三：配置资产采集 新增资产后，需要配置资产采集方法。 步骤四：配置事件策略、告警策略 新增资产后，需要配置事件策略，日志审计（原生版）服务才可以获取业务所需的日志信息。 采集日志后，通过配置告警策略对采集到的日志进行告警判断，对符合告警策略的日志进行告警。 步骤五：查看日志、告警结果 通过列表和统计图的方式，更直观的展示采集到的日志情况。 通过告警等级统计数量模块、告警趋势图、告警出现次数、告警类型分布以及告警列表展示告警情况。 步骤六：配置数据报表 通过生成报表，可以将海量的日志数据转化为直观、易懂的图表和统计信息，帮助管理员快速了解系统的整体运行状况。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

本章节介绍人脸识别 关于使用限制、产品功能、产品性能、系统逻辑等常见问题的解答。 人脸识别对于上传的图片是否有要求？ 不同的API对图片的大小限制不同，具体以API文档为准。 图片格式支持jpg、jpeg、png、bmp。 人脸识别是HTTP GET请求还是HTTP POST请求？ 人脸识别产品以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 人脸比对的API怎么用？上传几张图片？ 人脸对比的API主要是对比两张图片中的人脸是否为同一人，因此需上传2张人脸图片。 人脸识别的请求图像放置在HTTP请求的哪部分？ 请求图片应当放置于HTTP的body中，不能放置于query或者header中。 HTTP请求的详细信息可以查看构造请求。 请求地址：产品文档—API参考—如何调用API—构造请求。 人脸检测的API接口是否支持单次请求多张图片？ 接口只允许单张图片请求，不允许图片list，且按请求中的图片数量来进行计费。 API接口的详细信息可以查看产品API文档。 请求地址：产品文档—API参考—API—对应产品（如人脸检测）。 人脸识别能否提供100%识别准确率？ 人脸识别准确率与上传的图片质量相关，同时也存在一定概率的误差，无法做到100%识别准确率。 如您对当前使用的人脸识别产品服务有识别准确率相关问题，您可通过天翼云官网工单或者拨打客服电话【4008109889】联系我们。

关系数据库SQL Server版服务支持自动扩容实例存储空间，即当实例存储空间达到一定阈值时，由后台自动发起扩容，无需用户进行人工操作确认。本文介绍如何开启和关闭关系数据库SQL Server版服务的存储空间自动扩容功能。 前提条件 实例状态为 运行中 。 您的账户余额充足。 约束限制 实例最大可自动扩容至32TB。 注意 如果实例存储空间本身已达上限，则不支持自动扩容。 扩容后不支持缩容。 实例的任意节点达到阈值都会触发自动扩容。 存储空间自动扩容连续触发间隔为一小时（即存储空间自动扩容成功后仍满足扩容阈值，在一小时后会再次触发自动扩容）；每次默认扩容当前磁盘大小的20%（向上取整），直到达到扩容上限为止。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择 产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版 ，进入关系数据库SQL Server产品页面。然后单击 管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择 SQL Server > 实例管理 ，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击主实例名称，进入实例基本信息页面。 4. 在配置信息 区域，单击存储自动扩容 参数右侧的 设置 。 5. 在设置存储空间自动扩容 对话框中，打开或关闭自动扩容开关。开启自动扩容功能时，您需要配置存储扩容触发阈值 和 存储自动扩容上限 。 6. 单击 确定 。 注意 扩容会产生相应的费用，从余额进行扣除，请保证余额充足。 对于大业务量，可能很快到达存储自动扩容上限值，因此建议存储自动扩容上限选择较大值，以备不时之需。 存储自动扩容上限不能小于200GB。

本节介绍了云容器引擎节点类常见问题。 容器集群新增节点时的问题与排查方法？ 若是通过集群节点扩容，可在集群节点列表中查看新增的节点概况； 若是通过节点池新增节点，可在节点池详情的伸缩活动中看操作记录。 如何重置容器集群中节点的密码？ 可在集群节点详情页面有重置密码按钮，需两次输入密码校验正确后才生效。 注意 节点重置密码等同于云主机重置密码，请务必保存好密码。 节点重置密码后如何登陆云主机？ 需购买并绑定同一VPC内的弹性IP后，可SSH登陆云主机操作。 容器集群节点中安装kubelet的端口主要有哪些？ 容器集群节点中安装kubelet的端口主要有如下几个： 10250 –port：kubelet服务监听的端口，api会检测他是否存活。 10248 –healthzport：健康检查服务的端口。 10255 –readonlyport：只读端口，可以不用验证和授权机制，直接访问。 4194 –cadvisorport：当前节点cadvisor运行的端口。 容器集群的节点可以更改IP吗？ 不支持修改私网IP：当前容器的集群中把节点私网IP作为kubernetes node名称，kubernetes node名称不支持修改，修改后会导致节点不可用及容器网络异常等故障，所以不支持更换节点私网IP。 支持修改公网IP：节点上的公网IP可以在云主机控制台更换。 如何更改节点Pod数量？ 不同集群单节点支持的最大Pod数是有限制的，默认为110。 登陆到节点上，修改/var/lib/kubelet/config.yaml中配置。 修改参数maxPods为指定的值。 执行systemctl restart kubelet，重启kubelet。

介绍HBlock Container Storage Interface(CSI)插件。 Kubernetes和CSI插件 Kubernetes是一个开源的容器集群管理系统，可以实现容器集群的自动化部署、自动扩缩容、维护等功能。通过Kubernetes可以快速部署应用，快速扩展应用，无缝对接新的应用功能，节省资源，优化硬件资源的使用。 在Kubernetes集群中运行工作负载时，有应用数据持久化存储、配置数据存储、存储资源动态供应等存储需求。Kubernetes集群基于CSI插件实现了容器存储功能，借助存储资源盘活系统提供并管理静态或动态存储卷资源。容器存储接口（CSI）插件是当前Kubernetes社区推荐的插件实现方案。 企业在使用Kubernetes部署容器时，通常需要使用持久化存储。持久卷（Persistent Volume）是独立于Pod的存储资源，它的生命周期与Pod无关，在存储节点中创建持久卷后，即可将其提供给计算节点中的Pod使用，实现了计算资源和存储资源的解耦。Kubernetes CSI 插件可以为有状态应用提供持久化存储能力。Kubernetes集群中的计算节点挂载持久卷作为磁盘，供节点上运行在Pod内的数据库等应用使用。容器中使用的数据库或有状态应用程序，需要依赖于高稳定性、高性能的存储系统，数据需要在硬件或软件重启后仍能继续保留。Kubernetes通过PV、PVC、Storageclass提供了一种强大的基于插件的存储管理机制，并且引入了容器存储接口Container Storage Interface（CSI）机制，用于在Kubernetes和外部存储系统之间建立一套标准的存储管理接口，通过该接口可以为容器提供存储服务。存储提供方只需要基于标准接口进行存储插件的实现，就能使用Kubernetes的原生存储机制为容器提供存储服务。

本文介绍如何创建集群。 集群是运行应用的逻辑分组，包含一组云主机资源，每个节点对应一台云主机。首次使用时，您需要创建一个初始集群，最低限度添加一个节点。本章节将演示如何快速创建一个容器集群。 操作前提 需要预先注册天翼云平台账号。 能够确保账户中有充足的余额，否则将导致您的业务开通失败。 在【创建集群】之前，请确保已完成VPC、子网的创建及安全组的配置，也可在创建集群过程中进行VPC和子网的创建。 操作步骤 1.登录天翼云控制台； 2.选择【控制台】>点击切换到具体资源池，如杭州2节点； 3.在控制台中找到【容器服务】>点击【容器引擎】，进入容器服务界面； 4.进入【总览】页面>单击【创建集群】按钮，进入集群创建界面； 5.输入集群名称 cluster1，其余参数保持默认。若未创建虚拟私有云和子网，请优先创建虚拟私有云%20%20%E8%A1%A5%E5%85%85%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5.docx

本节介绍云安全中心的应用场景。 场景一：安全运营场景 为中小企业提供专业的安全运营团队，为用户提供专业的安全运营支撑。为用户提高各类威胁检测率，降低误报率。在一定程度上降低用户在安全运营上的成本，提升了安全运营的灵活性。 方案优势 减少无效告警：通过不同安全产品之间的数据关联，减少孤立的数据点，降低无效告警信息的产生。 提升告警精准度：提高告警信息的精准度，使得安全团队能够专注于真正重要的安全告警，从而提升整体运维效率。 高效统一的安全运营工具：用户云上的安全工具互相独立，每种工具只能有限防范几种常见攻击。云安全中心提供统一的安全运营平台，帮助用户高效统一地进行安全运营。 场景示意图 场景二：安全合规场景 满足国家行业监管要求，帮助企业业务安全合规。帮助企业明确安全目标，系统化构建信息系统安全，降低安全隐患和攻击风险，向客户及利益相关方展示安全承诺，增强客户、合作伙伴及利益相关方的信心。 方案优势 全局数据整合：将不同安全能力产生的数据进行整合和分析，使企业能够全面掌握安全态势。 全局统一视角：整合各安全措施后，企业能够从全局视角监控和管理安全状况，提高对整体安全态势的把握。 全局协同效应：各安全能力之间实现有效协同，形成统一的防护体系，增强整体防御能力。 云安全中心依托安全服务订阅模式，为企业提供个性化服务套餐订阅，事前预防，事发检测分析，事中快速响应，事后溯源。遵从合规性要求，监控预防，实时知悉系统健康情况，“御敌于城门之外”。

本章节主要介绍DataArts Studio的获取Rest Client算子返回值操作。 Rest Client算子可以执行RESTful请求。 本教程主要介绍如何获取Rest Client的返回值，包含以下两个使用场景举例。 通过“响应消息体解析为传递参数定义”获取返回值。 通过EL表达式获取返回值。 通过“响应消息体解析为传递参数定义”获取返回值 如下图所示，第一个Rest Client调用了MRS服务查询集群列表的API，下图为API返回值的JSON消息体。 使用场景：需要获取集群列表中第一个集群的cluster Id，然后作为参数传递给后面的节点使用。 关键配置：在第一个Rest Client的“响应消息体解析为传递参数定义”配置中，配置clusterIdclusters[0].clusterId，后续的Rest Client节点就可以用${clusterId}的方式引用到集群列表中的第一个集群的cluster Id。 Rest Clien作业样例1 JSON消息体 通过EL表达式获取返回值 Rest Client算子可与EL表达式相配合，根据具体的场景选择不同的EL表达式来实现更丰富的用法。您可以参考本教程，根据您的实际业务需要，开发您自己的作业。EL表达式用法可参考表达式概述。 如下图所示，Rest Client调用了MRS服务查询集群列表的API，然后执行Kafka Client发送消息。 使用场景：Kafka Client发送字符串消息，消息内容为集群列表中第一个集群的cluster Id。 关键配置：在Kafka Client中使用如下EL表达式获取Rest API返回消息体中的特定字段：

本章节主要介绍创建程序包。 DLI支持用户通过批处理方式将程序包提交至通用队列中运行。 说明 :如果用户需要更新程序包，可以使用相同的程序包或文件上传至DLI的同一个位置（同一个分组），直接覆盖原有的程序包或文件。 前提条件 所使用的程序包需提前上传至OBS服务中保存。 创建程序包步骤 1.在管理控制台左侧，单击“数据管理”>“程序包管理”。 2.在“程序包管理”页面，单击右上角“创建程序包”可进行程序包创建。 3.在“创建程序包”对话框，参见下表设置相关参数。 参数名称 描述 包类型 支持的包类型如下： JAR：用户jar文件 PyFile：用户Python文件 File：用户文件 OBS路径 选择对应程序包的OBS路径。 说明 程序包需提前上传至OBS服务中保存。 只支持选择文件。 分组设置 可选择“已有分组”，“创建新分组”或“不分组”。 分组名称 选择“已有分组”：可选择已有的分组。 选择“创建新分组”：可输入自定义的组名称。 选择“不分组”：不需要选择或输入组名称。 说明 如果选择分组，则对应的权限管理为对应程序包组的权限管理。 如果选择不分组，则对应的权限管理为对应程序包的权限管理。 程序包组和程序包权限管理请参考程序包组和程序包权限管理。 4.单击“确定”，完成创建程序包。 程序包创建成功后，您可以在“程序包管理”页面查看和选择使用对应的包。

2.请求失败返回值示例 json { "statusCode": 400012, "message": "文件格式不合法", "details": "仅支持jpeg/png/jpg/bmp格式", "error":"AIOP400012" } 请求体大小超出限制时返回报错如下 json 413 Request Entity Too Large 413 Request Entity Too Large nginx 状态码 http状态码 描述 200 表示请求成功 错误码说明 6位错误码。4 开头为业务错误码，5 开头为服务错误码。全局请求返回错误码请参考章节API概览​>状态码 错误码 错误信息 错误描述 AIOP400005 请求体类型错误 请求体需为字典，不能为其他类型 AIOP400006 必传的参数未传 必须的参数（data）未传 AIOP400008 请求体的参数字段类型错误 data 字段应该是 list 类型 AIOP400009 请求体的参数字段值为空 data 列表为空 AIOP400011 base64 数据处理异常 data 字段的 base64 字符串转换字节码异常 AIOP400012 文件格式不合法 仅支持 jpeg/png/jpg/bmp 格式 AIOP400013 文件大小不符合要求 该文件大小不符合要求，图片要求小于 10M AIOP400018 超过个数限制 data 超过个数限制，最多传 50 张图片 AIOP410001 图片解码错误 字节码解码为图片错误 AIOP410002 图片尺寸不符合要求 分辨率长宽尺寸应不高于 5000 不低于 32 AIOP500001 OCR服务接口异常，请联系管理员 需要联系管理员处理

如何对所有数据库设置数据库安全审计规则？ 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计连接数据库安全审计实例的所有数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 在添加风险操作时，您也可以将添加的风险操作应用到连接数据库审计实例的所有数据库，如下图所示。 如何查看数据库安全审计的版本信息？ 请参照以下操作步骤查看数据库安全审计的版本信息。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看信息的实例名称，进入实例概览页面。 6. 查看实例版本信息，如下图所示。 如何查看数据库安全审计所有的告警信息？ 请参照以下操作步骤查看数据库安全审计的告警信息。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看告警信息的实例名称，选择“监控 > 告警监控”，进入告警监控页面。 6. 查看告警信息。您可以按照以下方法，查询指定的告警信息。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或单击 ，选择开始时间和结束时间，单击“确认”，列表显示该时间段的告警信息。 选择“风险等级”（“全部”、“高”、“中”或“低”），列表显示该级别的告警信息。 选择“告警类型”，列表显示该类型的告警信息。

本节指导用户通过密钥管理界面对外部导入的密钥材料进行删除操作。 当用户导入密钥材料时，可以指定密钥材料的失效时间。当密钥材料失效后，KMS将删除密钥材料，自定义密钥的状态变为“等待导入”。用户也可以根据需要手动删除密钥材料。等待密钥材料到期失效与手动删除密钥材料所达到的效果是一样的。 说明 删除密钥材料后，若需要重新导入密钥材料，导入的密钥材料必须与删除的密钥材料完全相同，才能导入成功。 用户重新导入相同的密钥材料后，该自定义密钥可以解密删除密钥材料前加密的所有数据。 前提条件 用户已导入密钥材料。 “密钥材料来源”为“外部”。 密钥“状态”为“启用”或“禁用”。 约束条件 删除密钥材料后，若需要重新导入密钥材料，导入的密钥材料必须与删除的密钥材料完全相同，才能导入成功。 用户重新导入相同的密钥材料后，该自定义密钥可以解密删除密钥材料前加密的所有数据。 密钥材料删除后，密钥将无法使用，且当前密钥的状态切换为“等待导入”。 非对称密钥不支持删除密钥材料功能，如需删除，请使用删除密钥功能。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要删除的密钥材料所在行，单击“删除密钥材料”。 步骤 5 在弹出的对话框中单击“确定”，页面右上角弹出“密钥材料删除成功”，则说明删除密钥材料的成功。 密钥材料删除后，密钥将无法使用，且当前密钥的状态切换为“等待导入”。

本章节介绍详细的操作步骤关于如何通过常用工具Navicat连接PostgreSQL。 创建PostgreSQL 操作场景 本文将介绍在云数据库RDS服务的管理控制台上创建实例的过程。 目前，RDS for PostgreSQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的RDS实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角区域选项，选择区域和项目。 3、在页面左上角单击 ，选择“数据库 > 关系型数据库PostgreSQL”。进入云数据库 RDS信息页面。 4、在“实例管理”页面，单击“购买数据库实例”。 5、在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图 购买PostgreSQL数据库 登录主机下载Navicat 操作步骤 1、通过windows远程登录页面登录ECS 2、登录Navicat官网下载对应的数据库客户端 通过Navicat连接PostgreSQL 操作步骤 1、打开Navicat点击新建连接 2、编辑PostgreSQL登录信息 3、创建数据库 4、右击”表“，选择新建 5、编辑数据表的字段信息 6、编写测试数据 7、查询测试数据

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for MySQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for PostgreSQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

Hadoop 类型连接 集群配置文件获取方式 Keytab文件获取方式 MRS集群 MRS HDFS MRS HBase MRS Hive 针对MRS 3.x版本集群： 1. 登录FusionInsight Manager。 2. 选择“集群> >待操作的集群名称>概览> >更多> >下载客户端”，界面显示“下载集群客户端”对话框。 3. 对话框中选择“仅配置文件”，平台类型和服务端保持一致，单击确认后进行本地下载。 4. 获取下载的tar包，此即为FusionInsight集群配置文件。 针对MRS 2.x及之前版本集群： 1. 登录MRS管理控制台。 2. 选择“集群列表>现有集群”，单击集群名称进入集群详情页面，单击“组件管理”。 3. 单击“下载客户端”。“客户端类型”选择“仅配置文件”，“下载路径”选择“服务器端”或“远端主机”，自定义文件保存路径后，单击“确定”开始生成客户端配置文件。 4. 将生成的配置文件，保存到本地路径。 具体可参见MapReduce服务文档 。 针对MRS 3.x版本集群： 1. 登录FusionInsight Manager。 2. 通过“系统> >权限>用户”，选择所需用户所在行，点击“更多> >下载认证凭据”下载认证凭据文件。 3. 获取下载的tar包，此即为FusionInsight集群Keytab文件。 针对MRS 2.x及之前版本集群： 1. 登录MRS服务的Manager，单击“系统设置”。在“权限配置”区域，单击“用户管理”。 2. 在需导出keytab文件用户所在的行，选择“更多>下载认证凭据”下载认证文件，待文件自动生成后指定保存位置，并妥善保管该文件。 具体可参见MapReduce服务文档 。 FusionInsight集群 FusionInsight HDFS FusionInsight HBase FusionInsight Hive 1. 登录FusionInsight Manager。 2. 选择“集群> >待操作的集群名称>概览> >更多> >下载客户端”，界面显示“下载集群客户端”对话框。 3. 对话框中选择“仅配置文件”，平台类型和服务端保持一致，单击确认后进行本地下载。 4. 获取下载的tar包，此即为FusionInsight集群配置文件。 具体可参见FusionInsight文档 。 1. 登录FusionInsight Manager。 2. 通过“系统> >权限>用户”，选择所需用户所在行，点击“更多> >下载认证凭据”下载认证凭据文件。 3. 获取下载的tar包，此即为FusionInsight集群Keytab文件。 具体可参见FusionInsight文档 。 Apache集群 Apache HDFS Apache HBase Apache Hive Apache集群场景下，此处仅说明需要哪些配置文件与打包原则，各配置文件的具体获取方式请参见对应版本说明文档。 HDFS需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − krb5.conf（可选，安全模式集群使用） HBase需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − hbasesite.xml − krb5.conf（可选，安全模式集群使用） Hive需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − hivesite.xml − hivemetastoresite.xml − krb5.conf（可选，安全模式集群使用） Apache集群场景下，此处仅说明认证凭据文件打包原则，认证凭据文件具体获取方式请参见对应版本说明文档。 1. 将用户的认证凭据文件重命名为user.keytab。 2. 将user.keytab文件压缩为无目录格式的zip包：user.keytab.zip。

本节主要介绍下载下载SSL默认证书。 操作场景 SSL证书是一种遵守SSL协议的服务器数字证书，可以在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 为了提高数据安全性，GeminiDB Influx实例提供默认的SSL证书，创建实例时您可以开启SSL安全连接，待实例创建成功后，可通过SSL方式连接实例。 本章节主要介绍获取GeminiDB Influx提供的SSL默认安全证书的方法。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定实例，单击实例名称，进入“基本信息”页面。 4. 在“数据库信息”区域的SSL处，单击，下载SSL安全证书。 图1 下载SSL证书

OOS与自建服务器存储有如下区别： 弹性扩展：OOS按使用量计费，用户无需考虑由于业务需求的增长而扩充初期投资成本。 降低成本：使用OOS，您可以根据业务需求确定资源投入，避免投资和运营成本（电费、维护成本等）浪费。 安全可靠：云存储通过以下几种方式来保证数据安全： 通过数据自动切片、分布保存、每片签名等技术，保障数据存储的安全。 通过SSL加密技术和MD5校验技术，保障数据传输的安全。 通过用户鉴权、ACL访问控制等方式，保障数据使用的安全。 通过724的专业运维团队、原厂的金牌服务，保障数据运维的安全。 自建存储需要开发者自己从技术角度去实现安全防护，比如防火墙配置、加密技术等，对开发者要求较高，而且容易出现安全漏洞。而 OOS有专业的技术安全团队进行安全防护，同时运维团队724小时的安全监控也能及时得弥补安全漏洞。

请求URI 请求URI由如下部分组成： {URIscheme}://{Endpoint}/{resourcepath}?{querystring} URIscheme: 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint: 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。 resourcepath：资源路径，也即API访问路径。从具体API的URI模块获取。 querystring：查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?pageNum1&pageSize10”，表示查询第一页的数据，一页返回10条数据。 请求方法 一般只读操作采用GET方法，写操作采用POST方法，具体请求方法参见个API接口说明。 请求消息头 附加请求头字段，主要是用于鉴权的公共字段。 字段 类型 描述 ContentType String 消息体的类型（格式），统一为：application/json EopAuthorization String 公钥，为ctyuneopak的值 Header String 待签名的header参数列表，以分号分割，如：Headereopdate;host Signature String 计算得到的用于鉴权的签名，生成方式参见鉴权章节

本文带您了解使用虚拟私有云产品过程中涉及的基本概念。 名词 说明 子网 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 路由表 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 ACL 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

网络架构设计步骤 1. VPC划分与业务规划 1. VPC划分原则 1. 按业务单元划分：如 VPC生产环境、VPC测试环境、VPC部门A。 2. 按安全等级划分：如 VPC核心业务（高安全）、VPC边缘服务（对外暴露）。 2. 规划共享服务VPC，集中部署公共服务，例如： 1. NAT网关：为多个业务VPC提供统一公网出口。 2. 堡垒机：统一运维入口，避免各VPC单独暴露SSH/RDP。 3. CIDR规划 1. 每个VPC使用独立且不重叠的私有地址段（如 10.1.0.0/16、10.2.0.0/16）。 2. 子网按功能分层（Web层子网/应用层子网/数据库子网），并预留20%地址空间。 2. 跨VPC互联方案 1. 通过对等连接实现VPC内网互通 1. 指定两个VPC创建对等连接，需在双方VPC路由表中添加对端CIDR指向对等连接。 2. 限制互通范围：仅在有通信必要的VPC之间建立对等连接（如生产VPC与共享VPC）。 3. 路由与流量管理 1. 路由表配置 1. 业务 VPC的子网路由表（需要与其他VPC互通子网所关联的路由表） 1. 默认路由规则：目的端为0.0.0.0/0，下一跳指向连接共享VPC的对等连接。 2. 添加访问其他业务VPC的路由规则：目的端其他业务VPC CIDR，下一跳指向对应的对等连接。 2. 共享VPC的路由表 1. 默认路由规则：目的端为0.0.0.0/0，下一跳指向NAT网关。 2. 添加访问业务VPC的路由规则：目的端业务VPC CIDR，下一跳指向对应的对等连接。 2. NAT网关规则配置 1. SNAT规则：为需要访问互联网的VPC或子网网段配置SNAT规则。 2. DNAT规则：通过端口映射，将公网IP的特定端口转发至目标私有IP（如ELB或云主机）的端口。 3. 流量路径示例 1. 出公网：生产环境VPC > 对等连接 > 共享VPC NAT网关 > 互联网。 2. 跨VPC访问：共享VPC > 对等连接 > 生产环境VPC。 4. 安全策略设计 1. 跨VPC访问控制 1. 安全组规则：仅允许特定源IP（如共享VPC的日志服务器IP）访问目标端口。 2. 网络ACL：在子网级限制跨VPC流量（如拒绝非业务VPC的IP段）。 2. 流量加密 1. 跨VPC敏感数据使用SSL/TLS或IPSec加密（若需更高安全性）。

本章节介绍云主机备份的应用场景:数据备份恢复和业务快速迁移部署。 云主机备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云主机备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云主机备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云主机备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云主机备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云主机备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云主机备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云主机创建备份，使用备份创建镜像，可快速创建与现有云主机相同配置的新云服务器，实现业务的快速部署。 详情请参考最佳实践整机镜像跨可用区迁移。

本章节主要介绍翼MapReduce服务如何新增节点组。 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加实例数量。 背景信息 1. V2.16版本起，数据湖、数据分析、数据服务、实时数据流与自定义场景支持新增节点组功能。 2. V2.17版本起，云搜索场景支持新增节点组功能。 3. 当前数据湖、数据服务、实时数据流与自定义业务场景支持新增core与task节点组，数据分析与云搜索场景支持新增core节点组。 4. 仅支持对状态为“运行中”的集群进行新增节点组操作。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“节点管理”，点击“新增节点组”按钮。 4. 选择新增节点组的配置并完成支付后，可在“节点管理”的节点信息中，查看新增节点组结果。当新增节点组状态从变为“运行中”，表示新增成功。

场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 22333 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53