本文主要介绍日志收集系统Flume接入Kafka。 最佳实践概述 场景描述 使用Flume+Kafka来完成实时流式日志处理，后面再连接上Storm/Spark Streaming等流式实时处理技术，从而完成日志实时解析的目标。如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，可以把它理解为一个数据库，可以存放一段时间的数据。 因此数据从数据源（ HTTP、Log 文件、JMS、监听端口数据等）到flume再到Kafka进行消息缓存，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。 技术架构图 暂无。 方案优势 把数据存储到 HDFS 或者 HBase 等下游存储模块或者计算模块时需要考虑各种复杂的场景，例如并发写入的量以及系统承载压力、网络延迟等问题。Flume 作为灵活的分布式系统具有多种接口，同时提供可定制化的管道。在生产处理环节中，当生产与处理速度不一致时，Kafka 可以充当缓存角色。Kafka 拥有 partition 结构以及采用 append 追加数据，使 Kafka 具有优秀的吞吐能力；同时其拥有 replication 结构，使 Kafka 具有很高的容错性。所以将 Flume 和 Kafka 结合起来，可以满足生产环境中绝大多数要求。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 确认准备 Apache Flume环境（1.6.0以上版本兼容 Kafka）。 确认 Kafka 的 Source、 Sink 组件已经在 Flume 中。 资源规划 本实践方案内容仅涉及Kafka专享版实例。 分布式消息服务 Figure 1 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 方案正文

本小节介绍微隔离防火墙 策略与策略集。 1.策略与策略集用于策略的建立、修改、删除、禁止与使能。可通过页面的搜索框进行过滤；每条策略最右侧的图标用于修改该条策略的基本信息。界面如下： 2.点击添加，在弹出框内输入名称等信息，即可新建一条策略。 3.新建策略后，点击策略名称，可进入策略详细页面，详细页面可查看该策略的详细信息，并可配置策略的作用范围，策略的详细规则，策略分为范围内策略与范围外策略。 4.策略范围是通过选择工作组标签来设定的，若策略范围所选定的标签涵盖某工作组的标签，则该策略集对此工作组生效。 5.策略规则分为范围内规则和范围外规则，分为作用于策略范围所涵盖的工作组内和范围外对该范围内的访问规则。 在范围内规则处点击新建，弹出框中设置本条规则的服务提供者，所提供的服务，以及允许的访问者。 例如，我们让标签为DB的工作负载可以访问标签为APP的工作负载的Mysql（tcp/3306）服务，具体设置如下图： 注意 1.可在新建规则时，直接新建标签及服务。 2.可以选择某一个工作负载。 6.对于已建立的规则可以点击每条规则最右侧的标志进行修改。服务者和访问者均可多选，而服务只能单项选择。 7.工作组间规则的设置如上，其作用于范围外对范围内的访问。

同步日志 同步日志是指数据库同步过程中，数据库复制服务为您提供的包含警告、错误和提示等类型的信息。 入云 DRS要求源数据库或目标数据库中至少有一方为本云数据库实例，入云指目标数据库为本云数据库实例的场景。 出云 DRS要求源数据库或目标数据库中至少有一方为本云数据库实例，出云指源端数据库为本云数据库实例的场景 本云为备 创建实时灾备任务时选择的灾备关系，指灾备数据库为本云数据库的场景。 本云为主 创建实时灾备任务时选择的灾备关系，指业务数据库为本云数据库的场景。 预检查 预检查是指在启动迁移任务之前，对可能影响任务成功的因素及条件进行的检查。如果预检查项失败，需要根据具体的修复方法进行修复后，重新进行预检查，直到预检查项全部通过才可启动任务。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。

本小节介绍传输加密相关的常见问题。 智能选路是如何实现的？ 智能选路采用WebAgent来实现。VPN设备会把多个链路IP上报到WebAgent，客户端设置WebAgent为服务器端，发起VPN连接时，WebAgent会将VPN网关多个链路IP发给客户端，客户端从这些IP下载相同的图片文件，从中选择一个时间最短的IP作为最优的链路地址。 L2TP是二层的，会比SSL VPN更安全吗？ L2TP之所以被称为二层，是因为隧道内的载荷报文是二层的，但是承载报文是UDP的，在这点上是和SSL相似的。但是L2TP本身不具备加密机制，所以L2TP不会比SSL VPN更安全。 既然用了VPDN，用户就会觉得通信链路很安全，为什么还需要VPN加密？ VPDN的线路和手机上网是一样的，数据从手机到基站是用无线编码的，具备一定的保密性，从基站到运营商内部核心网路由器，再从核心网路由器通过专线到客户那里，基本都是IP明文传输。VPDN相比普通用户上网安全性高一些，因为运营商核心网路由器到客户侧是专线，专线数据很难被黑客监听，而手机上网是从运营商核心网路由器直连Internet的。但是，从严格的安全保护角度，VPDN并不能保证从手机到客户都是全程加密的，因此要求在VPND专线的基础上进行SSL加密。 SSL产品支持的算法有哪些？ SSL相关算法：SM2、SM3、RSA、MD5、RSA1024、RSA2048、SHA1、SHA256、DES、3DES、AES、SANGFORDES、SM1、SM4、DH、RC4。 算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。 IPSEC相关算法：MD5、SHA1、SM3、DES、3DES、SANGFORDES、SM4。 算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。

使用须知 回收站策略机制默认开启，且不可关闭，默认保留天数为7天，该功能免费。 如果用户同时删除100个实例，且回收站内存放有之前删除的实例，那么这100个实例可以被删除成功，但是只有部分实例能进入回收站。回收站只允许加入100个实例，超过该配额的实例将无法添加至回收站中。 修改回收站保留天数，仅对修改后新进入回收站的实例生效，对于修改前已经存在的实例，仍保持原来的回收策略，请您谨慎操作。 节点脱节状态下无法做回收备份。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航栏单击“回收站”，进入“回收站”页面。 步骤 5 在“回收站”页面，单击“回收站策略”，设置已删除实例保留天数，可设置范围为1~7天。单击“确定”，完成设置。 设置回收站策略 重建实例 您可以在回收站中通过重建实例来恢复数据。 使用须知 在回收站保留期限内的实例可以通过重建实例恢复数据。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航栏单击“回收站”，进入“回收站”页面。 步骤 5 在“回收站”页面，在实例列表中找到需要恢复的目标实例，单击操作列的“重建”。 重建实例 步骤 6 在“重建新实例”页面，选填配置后，提交重建任务。

本章节主要介绍发布订阅 创建发布 什么是发布订阅？ RDS for SQL Server提供的发布与订阅功能，利用复制技术来实现数据同步，实现数据的读写分离和云数据库之间以及线下线上数据库之间的数据同步。 操作场景 RDS for SQL Server提供的发布功能，将当前实例作为发布实例，需要先为发布实例设置分发服务器，再创建发布，然后为已创建的发布添加订阅服务器，实现发布实例的数据通过分发服务器同步到订阅服务器。 图 拓扑图 约束限制 1个实例只能设置1个分发服务器，当前实例的所有发布均使用这个分发服务器。删除分发服务器会同时删除发布。 RDS for SQL Server Web版不能作为分发服务器和创建发布，但可以作为订阅服务器。 创建发布时，数据库名和发布名不能和已有的发布一致。 RDS for SQL Server仅支持事务发布。 添加其他订阅服务器时，远程用户要有sysadmin权限。 添加RDS for SQL Server订阅服务器时，一次性最多选择10个数据同步的链路。 如果实例已开启发布订阅功能，不支持修改该实例的内网IP和端口。 设置分发服务器 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在左侧导航栏选择“发布订阅”。 步骤 6 在“发布”页签下，单击“设置分发服务器”。 步骤 7 在弹框中，选择当前实例或者其他实例作为发布服务器，勾选“我已了解上述信息”，单击“确定”。 步骤 8 查看已设置的分发服务器。

本章节介绍关系型数据库如何绑定和解绑公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云主机上。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 说明 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 5、选择“弹性公网IP”页面，单击“绑定弹性公网IP”。 6、在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 7、在“弹性公网IP”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。

本节介绍了SSL加密相关配置的相关内容。 创建RDS for PostgreSQL实例时默认开启SSL，实例创建完成后，不支持关闭。使用SSL加密通信可确保客户端和服务器之间的所有通信都经过加密，防止数据被泄露和篡改，确保数据的完整性。 开启SSL加密对性能的影响 开启SSL加密连接数据库实例后，数据库的只读、读写性能大约有20%左右的影响。 具体的影响跟业务模型有关，如果是复杂SQL，大部分时间花在SQL处理上，使用SSL加密对性能影响不明显；但如果是非常简单的SQL，执行本身很快，使用SSL会加大影响。 服务端查看是否开启SSL加密 PostgreSQL实例服务端默认开启SSL，可登录数据库，使用sql命令查看： plaintext show ssl; 如果该参数的值为“on”，则表示服务端SSL连接已启用。 如果该参数的值为“off”，则表示服务端SSL连接未启用。 说明 服务端SSL默认开启，不支持关闭。 客户端查看是否开启SSL加密 客户端是否使用SSL加密，可通过以下方式查看： 使用psql连接数据库时，连接成功后出现如下信息： plaintext SSL connection (protocol: TLSv1.2, cipher: ECDHERSAAES256GCMSHA384, bits: 256, compression: off) − protocol表示SSL连接协议是TLSv1.2。 − cipher表示使用SSL连接的加密算法为ECDHERSAAES256GCMSHA384。 − bits表示密钥长度为256位。 可以通过查询“pgstatssl”视图来查看客户端连接是否使用SSL。如果客户端使用SSL连接，则该视图中会显示相应的连接信息。 plaintext SELECT FROM pgstatssl; 该查询将返回所有当前SSL连接的统计信息，包括连接的进程ID、客户端IP地址、SSL协议版本、SSL加密算法、客户端证书的有效性和到期时间等。如果客户端连接使用SSL，则可以在该视图中看到相关信息。

本章介绍关系型数据库的相关术语解释，对常见的相关名词进行详细解答。 什么是实例？ 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的关系型数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态，请参考实例说明。 什么是数据库引擎？ 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 什么是实例类型？ 云数据库RDS的实例分为两个类型，即单机实例和主备实例。不同系列支持的引擎类型和实例规格不同。 各系列产品的详细介绍请参考产品类型简介和产品功能对比。 什么是实例规格？ 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）请参考数据库实例规格。 什么是自动备份？ 创建实例时，关系型数据库服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 什么是手动备份？ 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 什么是区域和可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本章会介绍关系型数据库的相关术语解释，对常见的相关名词进行详细解答。 什么是实例？ 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的关系型数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态，请参考实例说明。 什么是数据库引擎？ 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 什么是实例类型？ 云数据库RDS的实例分为两个类型，即单机实例和主备实例。不同系列支持的引擎类型和实例规格不同。 各系列产品的详细介绍请参考产品类型简介和产品功能对比。 什么是实例规格？ 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）请参考数据库实例规格。 什么是自动备份？ 创建实例时，关系型数据库服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 什么是手动备份？ 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 什么是区域和可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统路由一般为VPC服务或者其他服务（比如VPN、DC等）自动在路由表添加的路由，无法删除或修改。 创建路由表时，VPC服务会自动在路由表中添加下一跳为Local的路由，通常情况下，路由表中有以下Local的路由： 目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。 目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。 目的地址是127.0.0.0/8，表示本地回环地址。 目的地址是子网网段，该路由用于当前VPC内，不同子网的内网网络互通。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：240e:c080:802:be7::/64 自定义路由：路由表创建完成后，您可以添加自定义路由来控制网络流量的走向，需要指定路由的目的地址和下一跳等信息。除了手动添加自定义路由，当您使用其他云服务时（比如云容器引擎CCE或者NAT网关），其他服务会自动在VPC路由表中添加自定义路由。 路由表包括默认路由表和自定义路由表，不同路由表中支持添加自定义路由的下一跳类型有差异。 下表是默认路由表支持的下一跳类型。 下一跳类型 下一跳说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 下表是自定义路由表支持下一跳类型。 下一跳类型 说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 物理机自定义网络 将指向目的地址的流量转发到一个物理机自定义网络。 VPN网关 将指向目的地址的流量转发到一个VPN网关。 云专线网关 将指向目的地址的流量转发到一个云专线网关。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 说明 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。 不支持手动在VPC路由表中添加下一跳类型为“VPC终端节点”或者“云容器引擎”的路由，通常您在配置VPC终端节点或者云容器引擎服务时，由该服务自动添加在VPC路由表中。

参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 限速自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为全天限流，您也可以根据业务需求自定义时段限流。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 不限速对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 限速模式只对全量阶段生效，增量阶段不生效。 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 增量阶段冲突策略 该冲突策略特指增量同步中的冲突处理策略，全量阶段的冲突默认忽略。冲突策略目前支持如下三种形式： 忽略当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 报错当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），同步任务将失败并立即中止。 覆盖当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 当数据发生冲突时，针对如下情况，建议选择“忽略”或者“覆盖”，否则建议选择“报错”： 目标数据库存在数据 多对一同步场景 目标数据库手动更新数据 是否过滤DROP DATABASE 实时同步过程中，源数据库端执行的DDL操作在一定程度上会影响数据的同步能力，为了降低同步数据的风险，数据复制服务提供了过滤DDL操作的功能，目前支持默认过滤删除数据库的操作。 是，表示过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示过程中将相关操作同步到目标库。 对象同步范围 对象同步范围支持普通索引和增量DDL同步。您可以根据业务需求选择是否进行同步。 启动位点 步骤2的同步类型选择“增量”时可见，增量同步的启动位点，任务的源库日志从位点后开始获取（不含当前启动位点）。 通过show master status命令获取源库位点，根据提示分别填写File、Position、ExecutedGtidSet（如果未开gtidmode，无需填写ExecutedGtidSet）。 数据同步拓扑 数据同步功能支持多种同步拓扑，您可以根据业务需求规划您的同步实例。数据同步拓扑说明可参考 数据同步拓扑介绍。 增量支持DDL 用户根据需求选择增量同步的DDL类型，不同链路支持的DDL类型以显示为准。 一对一、一对多场景：如果业务上认为源和目标应该使用保持严格一致，那么高危类DDL也应该勾选并同步。如果业务上确定某个高危DDL不应该发生，则可以不勾选同步高危类DDL，这样DRS将拦截过滤这个DDL，从而起到保护目标数据的作用。但需要知晓，过滤DDL的附带问题是可能导致同步失败，例如过滤删列动作。 多对一数据聚合场景：最佳方式是推荐只选择同步加列DDL，其他大部分DDL同步都可能因目标表修改而导致数据不一致或多对一中其他任务失败的情况发生。 同步对象 可选表级同步、库级同步，您可以根据业务场景选择对应的数据进行同步。 选择数据的时候支持搜索，以便您快速选择需要的数据库对象。 如果有切换源数据库的操作，请在选择同步对象前单击右上角 ，以确保待选择的对象为最新源数据库对象。 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考对象名映射。

本小节介绍服务器安全卫士的功能使用。 Agent安装完成后，您可使用服务器安全卫士相关功能。 1.您可以在资产清点页面，查看对应操作系统服务器资产清点信息，包括：账号、进程、端口、web服务、数据库等信息。 2.您可以在风险发现总览界面，查看您 服务器风险概览情况 ，包括风险项统计、风险分布、风险趋势等。 3.您可以在风险发现下， 使用安全补丁、漏洞检测、弱密码检查、应用风险、系统风险、账号风险功能 。支持从风险维度和主机维度两种视图下，查看风险信息。 安全补丁：对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 漏洞检测：精准本地分析漏洞，包含精准POC探测和版本漏洞探测；支持CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 弱密码检查：弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 应用风险：检测Linux关键攻击路径上常用应用的配置型风险。 系统风险：检测linux上由于系统配置的产生的安全风险 账号风险：检测linux系统中的由于账号的配置产生的安全风险。 4.您可以在入侵检测下， 使用暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行功能 。 暴力破解：实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力，支持自动封停和手动封停，可设置白名单。 异常登录：实时异常登录监控，发现异常IP、区域、时间等的异常登录，在使用前，必须先设置正常登录规则，否则异常登录功能不起作用，无法进行监控。支持封停和解封。 反弹shell：实时监控主机上反向连接的行为，并提供详细的攻击记录，支持设置白名单规则，支持对反弹shell行为进行阻断。 本地提权：支持实时进程提权监测，支持进程提权过程详细记录。 后门检测：精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 Web后门：多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 可疑操作：实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则 Web命令执行：能够发现Web RCE和进程异常的执行事件 5.您可以在病毒查杀下， 设置查杀引擎和处置方式 ，支持对单台或多台服务器产生的病毒进行自动处置和手动处置。 6.您可以在合规基线下，根据等保、CIS的基线要求 设置基线检查任务 ，支持定时检查，可导出检查结果。

迁移规则须知 暂不支持同步包含TTL（Time To Live）索引的集合。若待同步的数据库中包含TTL索引，则可能会由于源库和目标库时区、时钟等的不一致，导致数据不一致。 不保留事务信息，即源库中的事务同步到目标库时会转变为单条的记录。 源端的分片信息会作为目标端分片的依据进行分片键的处理。 用户手动配置的任务为主任务，DTS会自动为源端每个分片建立独立的迁移子任务，在主任务详情中可以通过主子任务列表查询每个分片的迁移子任务信息。 操作须知 源库须开启Oplog日志。 源端、目标端实例的运行状态、复制状态必须正常。 在迁移时，如果源库、目标库进行主备切换，将会导致任务异常。 选择表级对象迁移时，增量迁移过程中不允许对表进行重命名操作。 如迁移对象为表级别，则单次迁移任务仅支持迁移最多1000张表。当超出数量限制，任务可能会报错。如果遇到这种情形，建议您拆分待迁移的表，分批配置成多个任务，或者配置为整库迁移。 在DTS迁移期间，不允许有除DTS外的数据写入目标库，否则会导致源库与目标库数据不一致。 目标库若已存在行数据，DTS在增量迁移过程中源库相同主键的数据将覆盖目标库已存在的数据，因此在迁移前需要用户自行判断数据是否需要清除，建议用户在迁移前自行清空目标库。 在磁盘空间允许的情况下，建议源数据库oplog保存大小或时间越大越好。否则DTS在增量迁移时可能因无法获取oplog而导致任务失败。如果由于您所设置的oplog日志保存策略低于DTS要求的时间进而导致的问题，不在DTS的SLA保障范围内。 迁移过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 全量初始化会并发执行INSERT操作，导致目标数据库的集合产生碎片，因此全量初始化完成后目标实例的集合空间比源实例的集合空间大。建议目标库的存储空间比源库大10%以上。 建议源和目标库的MongoDB的数据库版本保持一致，或者从低版本同步到高版本以保障兼容性。如为高版本同步至低版本，可能存在数据库兼容性问题。 执行数据迁移前需评估源库和目标库的性能，同时建议业务低峰期执行数据迁移，否则全量数据初始化时将占用源库和目标库一定的读写资源，可能会导致数据库的负载上升。

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本页介绍天翼云TeleDB数据库如何对数据空间进行管理。 操作场景 您可按照百分比或分片形式对数据节点上的数据进行迁移。数据迁移需要实例集群内部至少有两个数据节点组。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击数据空间管理 ，进入数据空间管理 页面。 2. 数据迁移 1. 选择数据迁移 页签，单击创建任务 ，出现创建迁移任务对话框。 2. 在创建迁移任务对话框，输入任务名称、源节点、目标节点和迁移类型。 任务名称：根据自己的需求填写，可自定义。 源节点：根据实际情况选择。 目标节点：根据自己的实际情况选择。 迁移类型：分为shard迁移 和百分比迁移 。 Shard迁移：按照分片迁移，需要选择分片，单次可迁移的分片最大为1000。选择分片迁移需移动分片至已选shard。 百分比迁移：按照源节点上的数据百分比进行迁移，需要输入1100的整数。 3. 单击确定完成任务迁移。 3. 空间清理 说明 当数据被删除或更新时，TeleDB将其标记为无效，但并不立即回收相关的存储空间。需要定期执行空间清理操作，以检查并释放被标记为无效的数据所占用的空间。这样可以确保数据库在长时间运行后不会因为无效数据的积累而占用过多的磁盘空间。 1. 选择空间清理 页签，单击创建任务 ，出现创建清理任务 对话框。 2. 选择源节点 、清理开始时间 和清理结束时间 ，单击确定 。 4. 空间回收 说明 经过空间清理任务后的实例并没有立即释放空间，用户可以通过空间回收任务对实例进行重建表和索引，自动释放被空间清理回收的空间。 1. 选择空间回收 页签，单击创建任务 ，出现创建回收任务 对话框。 2. 选择回收节点、设置回收开始时间和回收结束时间，单击确定完成空间回收。 5. 数据重平衡 说明 用户可以通过数据重平衡，依据磁盘使用率，把节点组原有的数据平均分布到节点组内各个节点上。该功能会自动生成迁移任务以及空间清理任务，用户可以在任务详情或者在对应功能页面查看任务具体执行情况。 1. 选择重平衡任务 页签，单击创建任务 ，出现创建数据重平衡任务 对话框。 输入任务名称，选择节点组，单击确定，完成数据重平衡。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

本文介绍分布式消息服务RocketMQ入门指引的生产消费验证内容。 背景信息 RocketMQ的生产消费验证是指在使用RocketMQ进行消息生产和消费时的验证过程。具体而言，验证包括以下几个方面： 生产者验证：RocketMQ提供了丰富的生产者API，开发人员可以使用这些API将消息发送到RocketMQ的消息队列中。在验证阶段，可以通过发送消息并检查返回结果来确保消息成功发送到Broker节点。此外，生产者还应该验证消息的顺序性、事务性以及可靠性等方面。 消费者验证：RocketMQ的消费者可以订阅特定的消息主题，从而消费这些主题下的消息。在验证阶段，消费者应该能够正确地从Broker节点拉取消息并进行消费处理。消费者还可以验证消息的顺序性、重试机制以及消息过滤等功能。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入Topic管理菜单，点击【拨测】按钮，进行生产消费的拨测验证，验证开通的消息实例和主题。 1）生产测试拨测： 选择消息类型，默认普通消息。 填写需要产生的测试消息数量，以及每条消息的大小，默认每条消息1KB，建议不超过4MB(4096KB)。 选择已建的消息主题，若无选项，请新增主题，详见上文创建主题和订阅组。 点击【测试】按钮，按照已填写规格及数量产生测试消息数据，展示消息数据的信息，包括消息ID(messageID)、发送状态、主题名（topic名）、Broker名、队列ID。 拨测功能涉及消息发送状态码，以下是RocketMQ消息发送状态码及其说明： ✧ SENDOK（发送成功）：表示消息成功发送到了消息服务器。 ✧ FLUSHDISKTIMEOUT（刷新磁盘超时）：表示消息已经成功发送到消息服务器，但是刷新到磁盘上超时。这可能会导致消息服务器在宕机后，尚未持久化到磁盘上的数据丢失。 ✧ FLUSHSLAVETIMEOUT（刷新从服务器超时）：表示消息已经成功发送到消息服务器，但是刷新到从服务器上超时。这可能会导致主从同步不一致。 ✧ SLAVENOTAVAILABLE（从服务器不可用）：表示消息已经成功发送到消息服务器，但是从服务器不可用。这可能是由于网络故障或从服务器宕机引起的。 ✧ UNKNOWNERROR（未知错误）：表示发送消息时遇到了未知的错误。一般情况下建议重试发送消息。 ✧ MESSAGESIZEEXCEEDED（消息大小超过限制）：表示消息的大小超过了消息服务器的限制。需要检查消息的大小是否合适。 ✧ PRODUCETHROTTLE（消息生产被限流）：表示消息生产者的频率超出了消息服务器的限制。这可能是由于消息发送频率过高引起的。 ✧ SERVICENOTAVAILABLE（服务不可用）：表示消息服务器不可用。这可能是由于网络故障或者消息服务器宕机引起的。 请注意，以上状态码仅适用于RocketMQ消息发送阶段，并且不代表消息是否成功被消费者接收。同时，这些状态码也可能因版本变化而有所不同，建议查阅官方文档获取最新信息。 2）消费测试拨测： 选择消息顺序，下拉选择无序/有序，默认选项为无序。 RocketMQ是一种开源的分布式消息中间件，它支持有序消息和无序消息。 ✧ 有序消息是指消息的消费顺序与发送顺序完全一致。在某些业务场景下，消息的处理需要保证顺序性，例如订单的处理或者任务的执行。RocketMQ提供了有序消息的支持，通过指定消息的顺序属性或使用消息队列的分区机制，可以确保消息按照指定的顺序进行消费。 ✧ 无序消息则是指消息的消费顺序与发送顺序无关。无序消息的特点是高吞吐量和低延迟，适用于一些不要求严格顺序的业务场景，如日志收集等。 在RocketMQ中，有序消息和无序消息的实现方式略有不同。有序消息需要借助MessageQueue的分区机制和消费者端的顺序消息消费来实现。而无序消息则是通过消息的发送和接收的并发处理来实现的。 总的来说，RocketMQ既支持有序消息也支持无序消息，根据业务需求选择合适的消息类型来满足业务的要求。 选择消费方式，目前仅提供pull方式。值得注意的是，RocketMQ还提供了推送（push）方式的消费模式，其中消息队列服务器会主动将消息推送给消费者。但在当前仅限于pull方式的消费模式。 填写消费数量。 下拉选择选择已建的消息主题和订阅组，若无选项，请新增主题和订阅组，详见上文创建主题和订阅组。 点击【测试】按钮，按照已填写规格及数量产生消费数据，展示消息数据的信息，包括消息ID(messageID)、主题名称（topicName）、生成时间、存储时间、队列ID、消费状态。 拨测功能涉及消息消费状态码，RocketMQ消费状态码是指在消息消费过程中，对消费结果进行标识的状态码。以下是常见的RocketMQ消费状态码： ✧ CONSUMESUCCESS（消费成功）：表示消息成功被消费。 ✧ RECONSUMELATER（稍后重试）：表示消费失败，需要稍后再次进行消费。 ✧ CONSUMEFAILURE（消费失败）：表示消息消费出现异常或失败。 ✧ SLAVENOTAVAILABLE（从节点不可用）：表示消费者无法访问从节点来消费消息。 ✧ NOMATCHEDMESSAGE（无匹配的消息）：表示当前没有匹配的消息需要消费。 ✧ OFFSETILLEGAL（偏移量非法）：表示消费的偏移量参数不合法。 ✧ BROKERTIMEOUT（Broker超时）：表示由于Broker超时导致消费失败。 5、 用户应用按照规范接入RocketMQ，发送、消费消息。 1）生产者示例API 以下适用于南京3、上海7、重庆2、乌鲁木齐27、保定、石家庄20、内蒙6、晋中、北京5节点。 ctgmq引擎版本，SDK下载方式详见环境准备其他工具章节。 package com.ctg.guide; import com.ctg.mq.api.CTGMQFactory; import com.ctg.mq.api.IMQProducer; import com.ctg.mq.api.PropertyKeyConst; import com.ctg.mq.api.bean.MQMessage; import com.ctg.mq.api.bean.MQSendResult; import com.ctg.mq.api.exception.MQException; import com.ctg.mq.api.exception.MQProducerException; import java.util.Properties; / Producer，发送消息 / public class Producer { public static void main(String[] args) throws InterruptedException, MQException { Properties properties new Properties(); properties.setProperty(PropertyKeyConst.ProducerGroupName, "producergroup"); properties.setProperty(PropertyKeyConst.NamesrvAddr, "10.50.208.1:9876;10.50.208.2:9876;10.50.208.3:9876"); properties.setProperty(PropertyKeyConst.NamesrvAuthID, "app4test"); properties.setProperty(PropertyKeyConst.NamesrvAuthPwd, ""); properties.setProperty(PropertyKeyConst.ClusterName, "defaultMQBrokerCluster"); properties.setProperty(PropertyKeyConst.TenantID, "defaultMQTenantID"); IMQProducer producer CTGMQFactory.createProducer(properties);//建议应用启动时创建 int connectResult producer.connect(); if(connectResult ! 0){ return; } for (int i 0; i mqResultList) { //mqResultList 默认为1，可通过批量消费数量设置 for(MQResult result : mqResultList) { //TODO System.out.println(result); } return ConsumerTopicStatus.CONSUMESUCCESS;//对消息批量确认(成功) //return ConsumerTopicStatus.RECONSUMELATER;//对消息批量确认(失败) } }); } } 以下适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3节点。 rocketmq引擎版本，SDK下载方式详见环境准备其他工具章节。 importorg.apache.rocketmq.client.consumer.DefaultMQPushConsumer; importorg.apache.rocketmq.client.consumer.listener.ConsumeConcurrentlyStatus; importorg.apache.rocketmq.client.consumer.listener.MessageListenerConcurrently; importorg.apache.rocketmq.client.exception.MQClientException; publicclassPushConsumer{ public static void main(String[] args) throws Exception{ AclClientRPCHook rpcHook newAclClientRPCHook(newSessionCredentials(ACCESSKEY, SECRETKEY)); DefaultMQPushConsumer consumer new DefaultMQPushConsumer(rpcHook); consumer.setConsumerGroup("ConsumerGroupName"); // 填入元数据地址 consumer.setNamesrvAddr("XXX:xxx"); ; //如果需要开启SSL，请增加此行代码 consumer.subscribe("YOUR TOPIC",""); consumer.registerMessageListener((MessageListenerConcurrently)(msgs, context)>{ System.out.printf("%s Receive New Messages: %s %n",Thread.currentThread().getName(), msgs); returnConsumeConcurrentlyStatus.CONSUMESUCCESS; }); consumer.start(); System.out.printf("Consumer Started.%n"); } } 示例参数说明： Namesrv地址 Namesrv地址可从控制台查看，多个地址按分号分隔。 应用用户和密码 这个应用用户和密码就是控制台创建的应用用户和密码。 租户id和集群名 集群名和租户id可以从应用用户管理查询。 订阅组 消费组名需要在控制台提前创建好。

本章节主要介绍ALM18003 NodeManager不健康的告警。 告警解释 系统每30秒周期性检测不健康NodeManager节点，并把不健康节点数和阈值相比较。“不健康的节点数”指标默认提供一个阈值。当检测到“不健康的节点数”的值超出阈值时产生该告警。 用户可通过选择“集群 > 待操作集群的名称 > 服务 > Yarn >配置 > 全部配置”，修改“yarn.nodemanager.unhealthy.alarm.threshold”的值来配置阈值（修改该参数不用重启Yarn，就可以生效）。 阈值默认为零，当不健康节点数超过该值时，触发告警，小于阈值时会自动消除告警。 告警属性 告警ID 告警级别 是否自动清除 18003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Unhealthy Host 不健康节点的主机列表。 对系统的影响 故障的NodeManager节点无法提供Yarn服务。 容器减少，集群性能下降。 可能原因 NodeManager节点所在主机的硬盘空间不足。 NodeManager节点本地目录omm用户无访问权限。 处理步骤 检查主机的硬盘空间 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警”，在告警列表中找到当前告警，单击获取告警详细信息，在“附加信息”中获取不健康状态的节点。 2.选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例”，选择对应主机的NodeManager实例，选择“实例配置 > 全部配置”，搜索“yarn.nodemanager.localdirs”和“yarn.nodemanager.logdirs”对应的磁盘。 3.选择“运维 > 告警 > 告警”，在告警列表中查看对应的磁盘是否存在“ALM12017 磁盘容量不足”告警。 是，执行步骤4。 否，执行步骤5。 4.参考“ALM12017 磁盘容量不足”操作步骤进行处理，故障恢复后，查看本告警是否恢复。 是，处理完毕。 否，执行步骤7。 5.选择“主机 > 待查看的主机名称 ”，在主机的概览页面查看对应分区的磁盘使用情况。检查挂载磁盘使用空间百分比是否已经超过Yarn参数“yarn.nodemanager.diskhealthchecker.maxdiskutilizationperdiskpercentage”所配置的值。 是，执行步骤6。 否，执行步骤7。 6.将磁盘使用率降到该配置值以下，等待1020分钟，然后检查该告警是否恢复。 是，处理完毕。 否，执行步骤7。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

本节介绍了用户指南：使用OceanFS动态存储卷（subPath模式）。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录，以满足数据持久化需求。 subPath模式是指将海量文件存储中的指定子目录作为持久卷使用。当用户挂载持久卷声明时，持久卷中记录的子目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 选择新建子目录模式。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，仅支持Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意：请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 海量文件名称：需要选择一个海量文件，后续会基于该海量文件分配子目录 子目录回收策略： 保留：当持久卷被csi删除时，会保留子目录在文件存储中，不做删除。默认为该选项。 删除：当持久卷被csi删除时，会删除文件存储中对应的子目录，数据无法恢复。 注意 删除子目录属于高危操作，请谨慎选择“删除”子目录回收策略。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

企业用户可以通过对公账户打款方式进行实名认证，本文讲述了对公账户打款认证流程。 对公账户打款认证需要您提供一个公司的对公银行账号，天翼云将通过中国银联向此账号里转入随机金额，您在天翼云实名认证页面准确输入到账金额后，即可完成认证。一个企业信息最多可以认证5个天翼云账号（含已注销3个月内的账号）。 注意事项 请准备好企业的银行对公账户。 确保该账户可用，天翼云将向该账户打款。 确保您能直接或间接查询该账户打款信息，需要接收并提交到账金额。 操作步骤 1、登录天翼云官网，进入实名认证页面。 2、选择“企业认证”。 3、在企业认证方式选择页面，选择“对公账户打款认证”。 4、根据页面提示，填写企业信息和银行对公账户信息。 注意 增值税专用发票抬头默认为单位名称，请与贵公司财务人员核实，确保与在税务机关预留的登记信息保持一致，以免影响发票的后续使用。如果选择开户行时，没有找到对应的银行，说明天翼云目前尚不支持向该银行打款。 5、核实您的身份 （1）法定代表人 选择法定代表人操作时，需要填写法定代表人姓名、身份证号码。 （2）被授权人（非法定代表人） 选择被授权人操作时，需要填写法定代表人姓名、授权书、被授权人姓名及身份证号码。 6、身份信息填写无误后，勾选“确保提供的信息真实有效”，并点击下方“下一步”，系统会弹出“身份认证”二维码对话窗。 7、使用天翼云APP或手机微信扫描二维码（请扫描页面实时弹出的“身份认证”对话框中的二维码，若过期请刷新），按照提示完成验证。 8、人脸识别通过后，系统进行信息校验，根据校验情况反馈结果。 （1）法定代表人操作 校验通过，则进入下一步。 校验不通过，如信息不一致，则需要修改信息，重新提交申请。 （2）被授权人操作（非法定代表人） 校验通过，提交后需要等待人工审核，审核时间为13个工作日。 校验不通过，如信息不一致，则需要修改信息，重新提交申请。 人工审核通过，则进入下一步；人工审核不通过，可在实名认证页面查看原因，调整后重新提交申请。 9、信息提交成功后，天翼云将通过中国银联向您的对公账户转入随机金额（0.01元~0.5元，预计将在02天内到账）。 10、请您及时关注并联系对公账户管理员，通过网上银行、手机银行、银行柜台等方式查询到账金额后，您可再回到实名认证页面，输入到账金额，单击“提交认证”，若到账金额输入正确且在有效期内则验证通过，完成实名认证。 说明 随机金额打款账户信息如下： 账户名称：银联商务支付股份有限公司 开户行：银联商务备付金账户 账号：215500709 银行对公账户认证申请7天内有效，超过7天请重新提交认证信息。

本章节主要介绍使用Hive客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Hive客户端 前提条件 已安装客户端，例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。 使用Hive客户端（MRS 3.x之前版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行以下命令配置环境变量。 source bigdataenv 4.根据集群认证模式，完成Hive客户端登录。 安全模式，则执行以下命令，完成用户认证并登录Hive客户端。 kinit 组件业务用户 beeline 普通模式，则执行以下命令，登录Hive客户端，如果不指定组件业务用户，则会以当前操作系统用户登录。 beeline n 组件业务用户 说明 进行beeline连接后，可以编写并提交HQL语句执行相关任务。如需执行Catalog客户端命令，需要先执行!q命令退出beeline环境。 5. 使用以下命令，执行HCatalog的客户端命令。 hcat e "cmd" 其中 "cmd" 必须为Hive DDL语句，如 hcat e "show tables" 。 说明 若要使用HCatalog客户端，必须从“组件管理”页面单击“下载客户端”，下载全部服务的客户端。Beeline客户端不受此限制。 由于权限模型不兼容，使用HCatalog客户端创建的表，在HiveServer客户端中不能访问，但可以使用WebHCat客户端访问。 在普通模式下使用HCatalog客户端，系统将以当前登录操作系统用户来执行DDL命令。 退出beeline客户端时请使用!q命令，不要使用“Ctrl + c”。否则会导致连接生成的临时文件无法删除，长期会累积产生大量的垃圾文件。 在使用beeline客户端时，如果需要在一行中输入多条语句，语句之间以“;”分隔，需要将“entireLineAsCommand”的值设置为“false”。 设置方法：如果未启动beeline，则执行beelineentireLineAsCommandfalse命令；如果已启动beeline，则在beeline中执行!set entireLineAsCommand false命令。 设置完成后，如果语句中含有不是表示语句结束的“;”，需要进行转义，例如 select concatws(';',collectset(col1)) from tbl 。

【升级内容】 新版本连接器特性（其中部分能力需要后台配置开启才能生效）： 优化了连接器流量转发稳定性和安全性 • 优化了多实例下的负载均衡能力，减小单实例瓶颈对连接器集群性能的影响 • 对于 udp 协议传输下的传输链路稳定性有针对性的优化 • 新版本连接器基于 wireguard 加密协议进行了针对性的优化，提升了流量转发的安全性 修复了部分历史版本已知的问题 • 解决了旧版本之前在部分 linux 环境下无法正常安装的问题 • 修复了旧版本连接器可能偶现崩溃的问题 • 提升了连接器到应用连通性诊断的准确性 增加了部分新功能和特性 • 支持使用 websocket 协议进行封装传输，避免了部分网络下 udp 限速的问题 • 提升了流量传输性能 • 安装过程增加了环境检查项 【连接器升级步骤】 【首选推荐】：平台一键升级 1、登录AOne 零信任控制台，找到连接器管理，点击进入后找到对应的连接器实例，需要升级的连接器实例在版本号一栏有橙色的“待升级”按钮，点击待升级按钮。 2、在弹窗页面中，可选择“立即升级”。立即升级方式适用于不方便登录机器，通过点击触发立即远程升级场景。 3、弹窗点击确定，等待自动升级完成即可，升级过程中约 1 分钟左右。如果多次点击立即升级后，发现均无法升级成功，可以通过客服工单联系我们寻求技术支持。 【备选方案】：使用命令方式安装 说明 该方式需要登录连接器所在进行进行命令升级，操作较麻烦但整体稳定性更高，因为此次命令安装方式是通过卸载旧版本，升级新版本进行安装，组件更纯粹，有条件登录机器的客户，更推荐使用该方式进行升级。 1、您也可以选择使用命令安装的方式，在点击橙色“待升级”按钮后，在弹窗页面选择命令安装，根据页面引导步骤操作。 2、第一步为卸载旧连接器，您需要找到安装对应连接器实例的服务器并登录，执行步骤一的卸载命令。卸载执行完成后可以在平台看到连接器实例为离线状态。 3、第二步去执行安装新连接器实例，弹窗中步骤二的安装命令。安装完成后可以看到连接器实例那栏生成了一个新的连接器实例，旧的已经离线的实例可以在控制台手工删除。只要连接器集群还是原先的集群，则不需要重新进行应用关联。

限制项 说明 访问规则 OBS基于DNS解析性能和可靠性的考虑，要求凡是携带桶名的请求，在构造URL的时候都必须将桶名放在domain前面，形成三级域名形式，又称为虚拟主机访问域名。例如，如果您有一个位于gz1区域的名为testbucket的桶，期望访问桶中一个名为testobject对象的acl，正确的访问URL为 桶 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 桶创建成功后，桶名、所属区域和数据冗余存储策略均不允许修改。 一个帐号及帐号下的所有IAM用户可创建的桶+并行文件系统的上限为100个。建议结合OBS细粒度权限控制能力，合理进行桶规划和使用。例如，建议在桶内根据对象前缀划分不同的目录，通过细粒度权限控制实现不同目录在不同业务部门之间的权限隔离。 默认情况下，OBS系统和单个桶都没有总数据容量和对象数量的限制。 删除桶之前必须确保桶内所有对象已彻底删除。 用户删除桶后，需要等待30分钟才能创建同名桶和并行文件系统。 上传对象 OBS管理控制台支持批量上传文件，单次最多支持100个文件同时上传，总大小不超过5GB。如果只上传1个文件，则这个文件最大为5GB。 OBS Browser+、obsutil、API和SDK上传的单个对象最大是48.8TB。 支持批量上传功能需要满足以下条件： OBS桶的版本号为“3.0”。 在未开启多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则新上传的文件会自动覆盖老文件，且不会保留老文件的ACL等信息；如果新上传的文件夹和桶内文件夹重名，则上传后会将新老文件夹合并，合并过程如遇重名文件，会使用新上传的文件夹中的文件进行覆盖。 在开启了多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则会在老文件上新增一个版本。 对象键（对象名）虽然可以使用任何UTF8字符，但是建议按照对象键命名指导原则进行命名，有助于最大程度符合DNS、Web安全字符、XML分析器和其他API的要求。 删除对象 桶没有开启多版本控制功能时，对象删除后不可恢复，请谨慎操作。

操作步骤 1. 登录数据管理服务。 2. 在左侧菜单栏，点击 开发空间>数据对比，进入数据对比工单列表页面。 3. 点击数据对比按钮，打开新建数据对比工单填写界面，工单输入说明如下： 输入内容 说明 源数据库 目前源数据库支持的数据库类型有：MySQL、PostgreSQL。 目标数据库 源数据库实例和目标数据库实例的数据库类型需要相同。 如果重新选择了目标数据库，则下面的对比内容列表则会清空。 并发数 选择并发对比的表数目，建议默认值即可，若调整请用户评估连接数过大带来实例操作性能降低的风险。 默认值为3。 可调整范围为1~5。 对比方式 选择对比方式。 完整对比：表的所有数据行都对比。 抽样对比：需要用户填写抽样比例，范围为0~100，大数据量时建议使用。 注意 抽样对比的对比结果可能会有误差。 对比内容 支持表数据对比。添加对比表的方式有： 点击"添加表"：添加单组表。 点击"快速填充"：多选源数据库中的表，根据同名策略匹配到目标表。默认情况下，字段映射会在工单创建后再进行，如果用户手动修改请点击“配置映射”。 添加对比表之后，系统会在工单创建后进行自动字段映射，如果用户需要手动修改请在工单提交前点击"配置映射"。对比内容展示的每列含义如下： 对比源：源数据库中的表名称。 对比目标：目标数据库中的表名称。 映射关系：源表和目标表对比基准字段。如果未正确配置映射字段，会展示相关信息提示用户修改。 已配置字段（个）："配置映射"详情页中，配置字段映射勾选的个数。 配置映射：打开“配置映射”，用户可勾选需要对比的表字段组合，对比基准字段必须保留一组主键或唯一键，如果字段为主键或唯一键，可以设置为基准或取消基准。 删除：删除该组对比表。 工单说明 可描述工单备注内容。 4.填写完数据对比工单后，点击提交 按钮，在弹出的开始执行弹窗点击确定按钮后即完成工单的提交，进入数据对比工单列表页。 5.在数据对比工单列表页点击对比工单号或详情按钮，可查看对比工单的概括内容，如对比对象的数目、进度条等。 6.如果对比工单状态为“执行中”或“执行完成”，可点击对比结果页面，查询对比内容是否一致，以及它们的DDL和变更SQL。用户可通过复制变更SQL到变更工单或查询窗口执行，也可以直接点击变更SQL弹窗中的“发起变更”按钮跳转到变更工单页，以修复源表和目标表行数据不一致的情况。

本节主要介绍数据恢复。 恢复方案 GeminiDB Influx支持数据恢复，您可以根据业务需要选择合适的恢复方法。 表1 恢复方案 恢复方案 使用场景 恢复备份到新实例 使用已有的备份文件恢复实例数据到新建实例。 恢复备份到新实例 操作场景 GeminiDB Influx支持使用已有的自动备份或手动备份恢复实例数据到新建实例，恢复后的数据与该备份生成时的实例数据一致。 选择通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关。 使用须知 恢复时，新实例节点数应大于等于原实例的节点数。 恢复时，新实例的空间大小必须大于或等于原实例的空间大小。 当前不支持增量备份，PITR功能。 当前不支持恢复到当前实例。 恢复时，可以进行规格缩容，但是缩容的内存规格大小应大于等于备份时实际内存使用大小。 备份恢复到新实例使用原实例的参数组恢复，保证恢复出来的参数跟原来实例的一致。 单节点暂不支持自动备份恢复实例数据到新建实例。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 选择目标实例，进行恢复备份。 方法一 在“实例管理”页面，单击目标实例的名称。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“恢复”。 图1 备份恢复 方法二 在“备份管理”页面，单击目标备份对应操作列中的“恢复”。 图2 备份管理 4. 在“恢复实例”弹出框中确认当前实例信息及恢复方式，单击“确定”，跳转到“恢复到新数据库实例”的服务选型页面。 图3 恢复到新实例 新实例的接口类型和版本，默认与原实例相同，不可修改。 系统会根据所选择的备份文件大小自动去计算恢复新实例所需的最小存储空间，用户选择容量大小必须为整数，可根据不同的性能规格选择对应的存储空间。 数据库密码需重新设置。 其他参数，用户可修改，具体请参见购买GeminiDB Influx实例。 5. 查看恢复结果。 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 创建或恢复完成后，系统会自动执行一次全量备份。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

会前设置 1. 创建者预定会议时，在预定会议页面勾选“开启等候室”。 会中设置 1. 点击底部工具栏 “安全”按钮，在“安全设置”弹窗的“会议管理”标签页，勾选“开启等候室”。 2. 点击底部工具栏 “成员”按钮，选择一个成员，点击“更多”>“移至等候室”，则将该成员移至等候室的同时，也会开启等候室。 如何关闭等候室 会前设置 1. 创建者编辑会议时，在编辑会议页面将“开启等候室”取消勾选，再点击“确认”。 会中设置 1. 点击底部工具栏 “安全”按钮，在“安全设置”弹窗的“会议管理”标签页，将“开启等候室”取消勾选即可。如果已有成员在等候中，关闭等候室时会弹窗提示，主持人可在“等候室已关闭”的弹窗中，选择查看等候室或全部准入。 将会中成员移至等候室 1. PC端主持人：点击底部工具栏 “成员”按钮，选中成员后点击“更多”>“移至等候室”即可。 2. 移动端主持人：点击底部工具栏 “成员”按钮，点击选中的成员，点击“移至等候室”即可。 如何管理等候室成员 1. 开启等候室后，当有新成员进入等候室时，主持人/联席主持人的底部工具栏“成员”按钮会显示红色数字图标，提示等候中的成员数量。点击“成员”按钮，即可在“成员管理”>“等候中”页面查看正在等候室中的成员。 2. 选中等候中的成员，点击【移出】，在“移出等候成员”的弹窗再次点击“移出”即可将该成员移出等候室。如果在弹窗中勾选“不允许用户再次加入该会议”后再点击“移出”，该成员后续将无法再通过任何方式加入本场会议，除非主持人在会中主动邀请他加入。点击“全部移出”，即可将等候室中所有成员移出。 3. 选中等候中的成员，点击“准入”按钮，在“准入等候成员”的弹窗再次点击“准入”即可允许该成员加入会议，这个准入是单次有效的，如果成员离开会议后再加入还会先进入等候室。如果在弹窗中勾选“允许本场自动准入”后再点击“准入”，该成员后续加入本场会议都将跳过等候室直接进入会议中。如果点击“全部准入”，即允许等候中的所有成员加入该会议。 4. 如果在准入时勾选了“允许本场自动准入”，后续在将其移出会议时，如果在“移出会议”弹窗中勾选了“回收本场自动准入权限”再点击“移出会议”，则该成员后续再加入该会议时，还是会先进入等候室。

介绍分布式消息服务Kafka创建Topic的功能操作内容。 场景描述 Kafka的新建主题操作适用于以下场景： 系统扩展：当系统需要扩展以处理更多的数据时，可以通过新建主题来增加数据存储和处理的容量。管理员可以根据系统需求创建新的主题，并配置适当的分区和副本数量。 数据分流：在某些情况下，需要将特定类型或特定来源的数据分流到不同的主题中进行处理。通过新建主题，可以为这些特定的数据流创建专门的主题，并将相应的数据写入这些主题中。 数据分析和实时处理：新建主题可以用于数据分析和实时处理场景。根据不同的分析需求，可以为特定的分析任务创建新的主题，将相关的数据写入这些主题中供分析和处理。 业务需求变更：当业务需求发生变化时，可能需要创建新的主题来适应新的数据处理流程或数据存储需求。通过新建主题，可以根据新的业务需求重新组织和管理数据。 数据隔离和权限控制：有时候需要对不同的数据进行隔离和权限控制，以确保数据的安全性和私密性。通过新建主题，可以为不同的数据创建独立的主题，并设置相应的权限和访问控制规则。 总之，Kafka的新建主题操作适用于各种需要扩展、分流、分析和处理数据的场景，以及应对业务需求变更和数据隔离的需求。 操作步骤 创建Topic （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“Topic管理”后，点击“创建Topic”。 （5）点击“创建Topic”后，输入Topic名称、分区数等参数。 表：Topic参数说明 参数 参数说明 Topic名称 Topic名称，英文字母、数字、下划线开头，且只能由英文字母、数字、中划线、下划线组成，长度为364个字符。创建Topic后不能修改名称。 分区数 您可以设置Topic的分区数，分区数越大消费的并发度越大。该参数设置为1时，消费消息时会按照先入先出的顺序进行消费。取值范围：1100，默认值：6 副本数 每个Topic设置副本的数量，Kafka会自动在每个副本上备份数据，当其中一个Broker节点故障时数据依然是可用的，副本数越大可靠性越高。默认值：3 分区容量 每个分区的数据量的最大值，超过这个值后前面生产的消息将会被删除，保证了数据不会无限上涨挤爆磁盘。 是否同步刷盘 同步刷盘即确保消息被写入磁盘才会被认定为生产成功，该参数可提高可靠性，但是会影响性能。 消息保留时长 当消息生存时间超过该时长后，将会被清理，可用于控制存储成本。 最小同步副本数 该参数使得消息必须写入设定值个数的副本后，才能被认定生产成功，该参数可提高可靠性，但是过大会影响性能，且必须不大于副本数。 批处理消息最大值 每个批次中最大允许的消息大小，这影响了每次请求中能包含的消息总量和大小。 消息时间戳类型 CreateTime: 这是消息被生产者发送到Kafka时的时间戳，它表示消息创建的实际时间；LogAppendTime: 这是消息被Kafka日志接收并写入到日志文件时的时间戳，它表示消息写入 Kafka 的实际时间。 描述 topic的描述字段，可用作标记和说明。 标签 标签用于从不同维度对资源分类管理。 预设ACL策略 勾选提前设置好的 ACL 策略，具体 ACL 策略设置可参考用户管理页面的ACL策略管理。 消息清除策略 delete：超过消息保留时长后，消息将被删除。compact：超过消息保留时长后，消息将会被压缩而不是直接删除。 允许unclean副本选举 开启该选项后，不在ISR的副本也将可以参与leader选举。 分片滚动时间 当一个日志段的最老消息的创建时间与当前时间的差值达到该配置的值时，Kafka 会创建一个新的日志段。 分片大小 当一个日志段的大小达到该配置的值时，Kafka 会创建一个新的日志段。该配置和分片滚动时间配置可以同时使用，具体看哪个条件先行触发。 批量创建Topic （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“Topic管理”后、点击“导入Topic”。 （5）点击“导入Topic”后，出现如下界面，点击“下载模板”按钮，获取模板，修改后上传进行导入。 （6）点击“上传文件”完成批量创建。 模板如下。

查看 AnythingLLM 服务状态 docker ps a 三、AnythingLLM 前端页面配置 1. 公网访问 AnythingLLM。 在浏览器输入 (yourip 这台云主机的eip)，会出现如下页面 2. 选择 Ollama 作为模型加载项。 3. 用户设置，按页面提示操作，注册账号，跳过用户调查。 4. 创建工作区。 5. 点击工作区 test01 打开对话框，输入聊天内容。 四、AnythingLLM 个性化探索 下面给出了一些个性化探索案例，您如果想要了解更多，请访问 AnythingLLM 社区。 1. 设置 AnythingLLM 默认语言格式为中文。参考下图进行设置。 2. AnythingLLM 启用联网搜索服务。 启用 AnythingLLM 的联网搜索服务，需要您提供一个联网搜索引擎 api key 来访问Web资源，目前 AnythingLLM 支持的搜索引擎可以参考如下步骤查看。 1. 打开 AnythingLLM 的联网搜索功能 首先点击 AnythingLLM 的全局设置按钮。 参考下图，找到“代理技能”，选择 agent skills 中的 Web Search，点击步骤3，开启对应功能。 2. 获取 Google 搜索引擎的 ID 以及 API key 打开下图中步骤3对应的网页，按提示注册或登录账号、命名搜索引擎、选择搜索范围（可输入指定网页或搜索全网），以及选择是否启用图片搜索功能等操作。完成上述设置并通过人机验证后，点击创建，按提示获取搜索引擎的 ID以及 API key。 创建成功后，得到如下图示内容： 进入自定义页面，获取搜索引擎的 ID。 随后下滑到页面底部，点击程序化访问模块中的“开始使用”按钮。 跳转到如下页面，点击获取密钥： 按照提示输入api名称，查看api使用协议并按照您的想法选择是否接受： 按照提示操作后得到api调用的key。 3. 启用 AnythingLLM 的联网搜索功能 配置 Google Search Engine ：回到 AnythingLLM 联网搜索的页面，填入上述步骤获取的 ID 和 API key，点击右上角保存。 保存成功后得到如下提示： 在对话框以 @agent 启用联网功能： 3. AnythingLLM 使用 DeepSeek API 1. 前往 DeepSeek API 开放平台 注册一个账号，购买 API 使用资格。 2. 参考下述操作步骤，选择 Generic OpenAI 选项，填入 API 认证信息。或者选择 DeepSeek 选项，填入 API 认证信息。 3. 到您想要使用的工作区，点击设置，更新当前聊天设置，以启用 DeepSeeK API 服务。 4. 需要点击下图按钮来保存配置。 4. 调整对话模型及提示词 5. 知识库构建 1. 上传文件。 其中第3步需要第二部选择上传的文件后才会出现按钮，点击“Move to Workspace”，等待出现成功提示即可。 2. 基于知识库的对话。 首先选择上传了语料的工作区，随后直接提问即可。

本文帮助您了解对象存储图片处理的使用方式。 对于ZOS中存储的图片文件，您可以在GetObject请求中添加图片处理相关参数进行图片处理。主要支持的功能有图片旋转、图片水印等。 支持功能与参数说明 ZOS的图片处理功能支持在一个请求中处理多个参数，来实现连续处理图片。处理顺序根据请求中参数的顺序进行。 图片处理支持的功能与参数如下： 功能 参数 说明 图片缩放 resize 将图片缩放至指定大小。 图片水印 watermark 为图片添加文字或图片水印。 图片裁剪 crop 在图片指定位置裁剪指定大小的矩形。 图片旋转 rotate 图片旋转0360度。 格式转换 format 支持多种图片格式的相互转换。 信息获取 info 支持获取图片的基本信息与EXIF信息。 EXIF信息删除 strip 删除图片的EXIF信息。 质量变换 quality 设置JPG和WebP格式图片的质量。 亮度变换 bright 修改图片的亮度。 渐进显示 interlace 设置图片是否为渐进显示。 高斯模糊 blur 对图片进行高斯模糊处理。 自适应方向 autoorient 设置图片是否开启自适应方向旋转。 获取平均色调 averagehue 获取图片的平均色调。 锐化 sharpen 调整图片的锐化程度。 对比度 contrast 修改图片的对比度。 内切圆 circle 将图片处理成内切圆。 圆角矩形 roundedcorners 将图片的4个角裁剪成圆角。 索引切割 indexcrop 按指定大小切割并返回一块需要的图片区域。

多层级资源管理指的是在训推平台内,可以通过工作空间能力+账号权限体系,匹配客户自身组织层级结构,实现多层级资源管理,进行AI作业。通过对客户组织层级的调研,客户使用训推平台大致有如下几种组织层级,请各客户根据自身实际情况来进行多层级资源管理。 一、 扁平化组织 扁平化组织是以各个AI项目为核心，直接由管理员进行工作空间创建，资源配额创建，然后让具体项目成员加入工作空间进行AI作业。其对应关系如下图： 管理员：对应客户内部负责管理该训推业务的负责人，将其账号赋予“admin”用户组(即管理员角色)，其将拥有平台全部权限(参见《准备工作章节》)。训推平台引入了“工作空间”概念，即使用训推平台进行AI作业时，需要在工作空间内进行，在空间内，项目所有成员之间,数据、资源共享，各个空间之间数据和资源是互相隔离的。故需要由管理员为各个需要使用训推平台的项目创建其对应的工作空间和资源配额，管理员可以设置项目负责人为此工作空间的管理员，项目负责人(工作空间管理员)可以将项目其他成员添加进工作空间，并赋予其工作空间内的角色(如算法开发、运维角色)，若管理员未给工作空间添加资源配额，则项目负责人(工作空间管理员)可以自己为工作空间添加资源配额(只有为工作空间添加资源配额后，工作空间成员在进行AI作业时才能正常使用资源)，此时工作空间成员可以基于工作空间关联的资源配额进行AI作业，如模型开发、模型训练，推理部署等。工作空间的创建、工作空间成员的添加、以及为工作空间添加资源配额详见《工作空间章节》，资源配额的创建详见《资源配额章节》。