本实践介绍使用FIO工具压测XSSD云硬盘性能的方法。 实践概述 天翼云新一代XSSD云硬盘最大IOPS可达100万，本文介绍使用FIO工具压测XSSD云硬盘100万IOPS性能的方法。云硬盘的配置和压测条件都会对云硬盘的性能产生重要影响。您可以按照本文的示例配置XSSD云硬盘和测试参数，充分发挥出系统对不同类型IO模型的处理能力，压测出100万IOPS和200 us时延的性能指标。 XSSD云硬盘规格请参见X系列云硬盘。 操作前准备 开始测试前，请登录云主机依次执行以下命令，安装libaio和测试工具FIO。FIO工具的参数说明请参考如何测试云硬盘的性能。 plaintext sudo yum install libaio y sudo yum install libaiodevel y sudo yum install fio –y 操作步骤 本文分为三个步骤：创建并配置XSSD3云硬盘、挂载和初始化云硬盘、压测云硬盘。 步骤一：创建并配置XSSD3云硬盘 1. 登录控制中心，单击“存储>云硬盘”，进入云硬盘主页面。 2. 单击“创建云硬盘”，进入云硬盘创建页面。 3. 在云硬盘创建页面，选择磁盘类型为XSSD3，您有以下两种方法将XSSD3的IOPS配置到100完IOPS。 方法1：容量配置为19940GB及以上。 方法2：容量配置为2000GB及以上。勾选“启用IOPS”，并按提示将预配置IOPS配到最大值。 配置完成之后，可以在控制台看到提示云硬盘最大的IOPS为1000000，表示配置正确。 4. 点击下一步，并完成云硬盘的创建。

约束与限制 企业级QoS功能会依照共享带宽中对具体的IP设定的限速阈值生效，实际限速阈值会在设定阈值上下一定区间内保持弹性浮动。 仅当共享带宽大小大于等于 50 Mbit/s时，才能开启企业级QoS功能。 共享带宽下所有EIP进行设置限速后，保证带宽之和，不能超过共享带宽的总带宽大小。 当共享带宽大小变更时，可能会影响到共享带宽公网IP的保证带宽和最大带宽值，请提前确认对业务的影响。 基本操作 开启企业级QoS功能 申请共享带宽时开启，请参考申请共享带宽申请共享带宽，勾选“企业级QoS功能”。 图1 开启企业级QoS功能 已存在的共享带宽，可在共享带宽列表操作列单击“更多 > 开启企业级QoS功能”。 关闭企业级QoS功能 在共享带宽列表操作列单击“更多 > 关闭企业级QoS功能”。 设置限速 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 弹性IP” 3. 在左侧导航栏，选择“弹性IP和带宽 > 共享带宽”。 4. 在共享带宽列表页，单击待设置限速共享带宽的名称，进入共享带宽详情页。 5. 在弹性IP或IPv6网卡页签下，单击待设置限速的弹性IP或IPv6双栈网卡操作列的“设置限速”。 6. 设置“保证带宽”与“最大带宽”值。 取消限速 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 弹性IP” 3. 在左侧导航栏，选择“弹性IP和带宽 > 共享带宽”。 4. 在共享带宽列表页，单击待设置限速共享带宽的名称，进入共享带宽详情页。 5. 在弹性IP或IPv6网卡页签下，单击待设置限速的弹性IP或IPv6双栈网卡操作列的“取消限速”。 6. 单击“确定”。

本节介绍了扩容“可用“状态的云硬盘容量的操作场景、约束与限制、操作步骤。 操作场景 本章节指导用户通过管理控制台扩容状态为“可用”的云硬盘，该状态表示当前需要扩容的云硬盘未挂载至任何云主机。 约束与限制 ● 当前EVS扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 ● 系统盘支持的最大容量为1 TB，数据盘支持的最大容量为32 TB，最小扩容步长均为 1GB。 ● 状态为“正在使用”的共享云硬盘不支持扩容，扩容前需要先将共享云硬盘从所挂载的云主机卸载，待状态变为“可用”后执行扩容操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“存储 > 云硬盘”。 进入“云硬盘”页面。 步骤 3 在云硬盘列表中，选择指定云硬盘所在行“操作”列下的“扩容”。 进入扩容界面。 步骤 4 根据界面提示，设置“新增容量”参数，设置完成后，单击“立即申请”。 步骤 5 在“详情”页面，您可以再次核对云硬盘信息。 ● 确认无误后，单击“提交”，开始扩容云硬盘。 ● 如果还需要修改，单击“上一步”，修改参数。 提交完成后，根据界面提示返回“云硬盘”页面。 步骤 6 在“云硬盘”主页面，查看云硬盘扩容结果。 当云硬盘状态由“正在扩容”变为“可用”，并且容量增加时，表示已成功扩大云硬盘存储容量。 步骤 7 将扩容成功后的云硬盘挂载至云主机，具体请参见挂载云硬盘。 步骤 8 通过云服务管理控制台扩容成功后，仅扩大了云硬盘的存储容量，还需要登录云主机自行扩展分区和文件系统。 不同操作系统的云主机处理方式不同。 ● Windows系统，请参见扩展磁盘分区和文件系统（Windows 2008）。 ● Linux系统，请参见分区和文件系统扩展前准备（Linux）。

本文主要介绍Cloudinit。 Cloudinit Cloudinit是开源的云初始化程序，能够对新创建弹性云主机中指定的自定义信息（主机名、密钥和用户数据等）进行初始化配置。 通过Cloudinit进行弹性云主机的初始化配置，将对您使用弹性云主机、镜像服务和弹性伸缩产生影响。 对镜像服务的影响 为了保证使用私有镜像新创建的弹性云主机可以自定义配置，您需要在创建私有镜像前先安装Cloudinit/Cloudbaseinit。 如果是Windows操作系统，需下载并安装Cloudbaseinit。 如果是Linux操作系统，需下载并安装Cloudinit。 在镜像上安装Cloudinit/Cloudbaseinit后，即可在创建弹性云主机时，按照用户的需要自动设置弹性云主机的初始属性。 更多关于安装的信息，请参见《镜像服务用户指南》。 对弹性云主机的影响 在创建弹性云主机时，如果选择的镜像支持Cloudinit特性，此时，您可以通过系统提供的“用户数据注入”功能，注入初始化自定义信息（例如为弹性云主机设置登录密码），完成弹性云主机的初始化配置。具体操作，请参见用户数据注入。 对于运行中的弹性云主机，支持Cloudinit特性后，用户可以通过查询、使用元数据，对正在运行的弹性云主机进行配置和管理。更多信息，请参见元数据获取。 对弹性伸缩的影响 创建伸缩配置时，您可以使用“用户数据注入”功能，指定弹性云主机的初始化自定义信息。如果伸缩组使用了该伸缩配置，则伸缩组新创建的弹性云主机会自动完成初始化配置。 对于已有的伸缩配置，如果其私有镜像没有安装Cloudinit/Cloudbaseinit，则使用该伸缩配置的伸缩组创建的弹性云主机在登录时会受到影响。

如何查看服务配额？ 方式一：在文件存储控制台页面，可以查看当前配额使用情况。 方式二：在配额中心查看。 1. 登录天翼云官网，右上角点击“控制中心”。 2. 在页面右上方，点击下图箭头所指示的图标。 3. 进入“服务配额”页面，找到“文件系统”相关配额即可。 如何申请扩大配额？ 当弹性文件服务相关配额不满足业务需求时，用户可以通过提交工单来申请扩大配额。操作步骤如下： 1. 登录天翼云官网，点击右上角“我的>工单管理>新建工单”。 2. 选择“配额类”，点击“配额申请>新建工单”，按页面要求填写工单信息即可。 提工单后请留意工单进度和短信通知，工作人员可能会与您电话沟通，请保持通讯畅通。 申请配额场景示例 1. 用户A在华东1在可用区1已创建2个10TB文件系统实例，现需要新建一个80TB的文件系统实例。 分析 单文件系统容量上限当前为32TB，需要申请调整至80TB。 文件系统总容量剩余配额为5010230TB，不足以创建新文件系统示例，需要申请扩大至100TB（已使用20TB+新实例80TB100TB）。 数量已用2/10，剩余8个，无须申请扩大。 申请示例 2. 用户B在杭州2想创建20个5TB的文件系统实例。 分析 单文件系统容量为5TB，小于上限32TB，无须扩大单文件系统容量上限。 20个5TB文件系统总容量205TB100TB>50TB，须额外申请总容量配额至100TB。 文件系统数量默认配额为10个，不足20个，需要申请扩大至20个。 申请示例

本文将帮助您快速熟悉路由规则的创建。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云、子网和路由表的创建。 使用说明 对于可用区资源池来说，VPC创建时会自动生成系统路由表，创建子网时默认关联到系统路由表。您可以创建自定义路由表然后关联子网用于管理子网流量。 对于地域资源池来说，子网路由的优先级高于VPC路由，子网路由按照最长掩码匹配规则进行转发。您可以在VPC详情中配置VPC路由规则，VPC路由表中路由规则为VPC级，创建后对VPC下的所有子网生效，VPC路由按照最长掩码匹配规则进行转发。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 进入“网络控制台”页面，点击“路由表”选项。 4. 找到目标路由表，点击路由表名称，进入路由表详情页。 5. 在路由表详情页，找到“路由规则”页签，点击“创建”，进入创建路由规则弹窗。 6. 在创建路由规则详情页，根据页面参数提示进行操作，具体参数表格如下： 参数 说明 IP类型 可选择IPV4、IPV6两种不同的网络类型。 目的地址 网络流量传输到的IP地址范围。 下一跳类型 用于传输网络流量的云产品，例如：云主机。 描述 可选项 7. 点击“确定”按钮，即可完成路由规则的创建。 8. 如您选择地域资源池，您可以在VPC详情中创建VPC路由规则，VPC路由表中路由规则为VPC级，创建后对VPC下的所有子网生效。子网路由的优先级高于VPC路由。

您可以根据业务需求,对VPN网关实例进行升配。 升配 为VPN网关实例升配前，请先了解以下说明： 项目 说明 升配功能 支持为VPN网关实例开启IPsec VPN功能或SSL VPN功能。 支持提升VPN网关实例的带宽规格。 支持提升VPN网关实例的连接数规格。 升配限制 如果VPN网关实例有未支付的订单，您必须先支付或作废未支付的订单，然后再执行升配操作。 主备模式资源池支持的最高带宽规格为200 Mbps，最高IPsec VPN连接数规格为100个；集群模式资源池支持的最高带宽规格为1000 Mbps，最高IPsec VPN连接数规格为100个，最高SSL VPN连接数规格为1000个。 升配过程不影响业务。 生效时间 为VPN网关实例升配后会立即生效，但可能会因为网络等原因有一定延迟，请您耐心等待几分钟。 计费影响 提交了升配订单后，您需要为当前计费周期的剩余时间补差价。具体价格，请以控制台显示为准。 适用场景 如果当前VPN网关实例的规格无法满足您的业务需求，您可以对VPN网关实例进行升配操作。 提升带宽规格或连接数规格 1.登录[]( []( 控制中心。 2.单击控制中心左上角的，选择VPN网关实例所在地域。 3.在网络产品中选择“VPN连接”，进入VPN连接页面。 4.在“VPN网关”列表页面，找到目标VPN网关实例，在“操作”列单击“扩容”。 5.在VPN网关变配页面，按需调整VPN网关实例的带宽或连接数规格，单机“确定”。 6.在订单页面，单击“立即支付”，支付成功后，升配成功。 开启IPsec VPN功能 1.登录[](

执行角色 概述 使用云工作流构建应用时，您需要创建执行委托角色并授予相应权限，若不配置委托角色，云工作流默认使用 服务内联委托 角色 。云工作流在执行流程时将以该角色身份代表您访问云服务，例如执行函数、发送消息或调用其他流程。 云工作流基于统一身份认证IAM的委托权限管理机制。授权原理如下：策略定义了访问某项服务的能力，将策略绑定到委托后，该委托便具备访问该服务的权限。第三方只需扮演具备所需权限的角色即可访问服务，无需长期密钥，从而提升系统安全性。 操作步骤 创建委托角色 1. 使用 IAM管理员 登录IAM控制台。 2. 在左侧导航栏，选择 委托。 3. 在委托列表页面，单击 创建委托。 4. 在 创建委托 页面，选择 可信实体类型 为 服务委托, 点击下一步。 5. 在配置委托页面， 输入 委托名称 ,选择委托服务选 一类节点函数计算cf。 6. 输入完成后点击 完成,即可创建完成。 配置委托权限 1. 使用IAM管理员登录IAM控制台。 2. 在左侧导航栏，选择 委托。 3. 在委托列表页，选择需要授权的委托，点击旁边的 授权 按钮。 4. 在 选择策略 页面, 搜索/选择你需要的云服务策略, 本例子授权 对象存储 的 只读 权限 。 如果需要更精细的权限控制，可以先创建自定义策略，详情请查阅创建自定义策略 5. 授权范围将默认勾选全局范围，您可以直接点击“确定”完成授权。 6. 创建完成委托角色后， 即可在 工作流设置 中下拉选择设置。工作流设置详见工作流执行器关于 工作流配置 说明。

输入内容 说明 目标数据库（必填） 数据库/模式选择列表，数据来源于 数据资产元数据管理 中添加的数据库实例，支持MySQL、PostgreSQL和TeleDB，其中MySQL可选择到库级别，PostgreSQL、TeleDB可选择到模式级别。当前仅支持单选一个目标库/模式。注意：如果未登录目标库/模式对应的实例，则选中目标库/模式后会弹出该实例的登录窗口。 文件类型（必填） 选择导入数据的上传文件类型：· SQL：目前支持INSERT，UPDATE，REPLACE语句。选择该文件类型则无法指定“目标表”和“写入方式”。· CSV：CSV文件中的分隔符为英文逗号，且文件第一行为表的列名称。· TXT：TXT文件格式与CSV类似，文件中的分隔符为英文逗号，且文件第一行为表的列名称。 目标表（必填） 在选择目标数据库下，筛选导入的目标表。仅支持CSV和TXT格式导入。 写入方式（必填） 选择导入文件的写入方式：· INSERT INTO：插入数据，数据库会检查主键（PrimaryKey），如果出现重复会报错。· INSERT IGNORE INTO：插入数据，数据库会检查主键（PrimaryKey），如果表中已经存在相同的记录，则忽略当前新数据。· REPLACE INTO：插入替换数据，数据库会检查主键（PrimaryKey），如果数据库已经存在数据，则用新数据替换，如果没有数据效果则和INSERT INTO一样。注意：· 为保证导入文件时数据库的性能，请尽可能选择INSERT操作。· 目前MySQL数据库类型支持INSERT INTO，INSERT IGNORE INTO，REPLACE INTO这3种导入方式，PostgreSQL、TeleDB数据库类型支持INSERT INTO的导入方式。 附件上传（必填） 单击上传文件，上传选中文件类型对应的文件。注意：· 目前支持SQL，CSV，TXT三种文件格式，上传前请检查文件名后缀是否符合要求。· 目前仅支持上传单个文件。· 上传文件大小最大限制为1GB，请控制好文件数据大小。 工单说明（选填） 描述工单备注内容。该内容将展示在工单详情弹窗页。

本章节主要介绍在天翼云大数据平台翼MapReduce的大数据集群中如何添加、运行作业。 用户可将自己开发的大数据应用程序提交到翼MapReduce中，执行程序并获取结果。 本章节以MapReduce作业为例，MapReduce作业用于提交jar程序快速并行处理大量数据，是一种分布式数据处理模式和执行环境。通过此次的指导，希望用户能够对如何在翼MapReduce服务中提交、运行MapReduce作业有清晰的认知。 当前翼MR服务尚不支持通过前台界面化进行作业提交、运行的功能。本次的介绍仅说明如何通过后台功能来提交作业。 通过后台提交作业 天翼云大数据平台 翼MapReduce服务中的大数据集群客户端默认安装路径为“/usr/local/”。 1. 登录翼MR管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 6. 当前翼MR集群默认都是开启Kerberos认证，大数据集群服务及用户使用到的keytab文件默认放置在“/etc/security/keytabs/”目录下，执行以下命令做Kerberos认证。 kinit 翼MapReduce集群用户 进入“/etc/security/keytabs/”目录下，选择你要使用的keytab文件，本文以hdfs.keytab为例，执行如下命令，获取到正确的Principal名称。 klist kt hdfs.Keytab 使用上一步骤获取到的Principal名称，执行如下认证命令。 kinit kt hdfs.Keytab Principal 名称 7. 执行如下命令提交pi计算作业。 cd /usr/local/hadoop3/share/hadoop/mapreduce hadoop jar hadoopmapreduceexamples3.3.3.jar pi 10 10

本文主要介绍应用监控配置 配置详情 可以对监控项对应的部分采集器自定义采集参数，实现自定义采集配置。 说明 “监控项”页签，仅展示接入应用涉及的监控项。接入应用不涉及的监控项，不做展示。 监控项配置 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击对应环境后的，进入实例监控页面。 步骤 5单击“监控项”，切换至“监控项”页签。 步骤 6 单击需要配置的监控项所在行操作列的“编辑”。 图 外部调用数据 步骤 7 在右侧弹出的“编辑【xxx】监控配置”页面对监控项进行配置。具体配置方法，详见“配置xxx监控项”章节。 图 编辑【Redis】监控配置 步骤 8 配置完成后，单击“确认”。 监控项启停 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏中选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击对应环境后的，进入实例监控页面。 步骤 5 单击“监控项”，切换至“监控项”页签。 图 监控项启停 步骤 6 单击需要停用的监控项所在行的监控项启停开关，完成对监控项的启停。

操作场景 介绍指导用户创建事件监控的告警通知。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“管理与部署 > 云监控服务”，进入“云监控服务”页面。 3. 在左侧导航栏选择“事件监控”，进入“事件监控”页面。 4. 在事件列表页面，单击页面右上角的“创建告警规则”。 5. 在“创建告警规则”界面，配置参数。 表1 告警内容参数说明 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 描述 告警规则描述（此参数非必填项）。 归属企业项目 可选择已有的企业项目，或单击“创建企业项目”进行创建。 告警类型 用于指定告警规则对应的告警类型。 事件类型 用于指定告警规则对应指标的事件类型。 事件来源 事件来源的云服务名称。选择云数据库GeminiDB。 监控范围 创建事件监控针对的资源范围。 选择类型 选择自定义创建。 告警策略 事件名称：用户操作系统资源的动作，如用户登录，用户登出，为一个瞬间的操作动作。事件监控支持的操作事件请参见本章节 事件监控支持的事件说明。用户根据需要选择触发方式、告警级别。 单击开启“发送通知”，生效时间默认为全天，若没有您想要选择的主题，可以单击下一行的“创建主题”进行添加。 表2 发送通知 参数 参数说明 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 出现告警 6. 配置完成后，单击“立即创建”，完成告警规则的创建。

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

数据管理服务支持数据来源为云数据库、数据类型为MySQL、地域/资源池一致的不同实例之间进行数据复制，本文介绍如何提交复制任务。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 操作用户拥有对源数据库与目标数据库的的读写权限。 源数据库与目标数据库均已是登录状态。 操作步骤 1. 登录数据管理服务控制台。 2. 打开左侧导航栏，选择开发空间> 数据复制 ，进入数据复制管理页面，开始创建复制任务。 3. 单击数据复制选项，按照要求填写数据复制工单，具体的填写说明如下表所示。 输入内容 说明 源数据库 数据库实例选择列表，数据来源于 数据资产元数据管理 中添加的数据库实例，支持来源为云数据库的MySQL。 源数据库表选择 根据需求选择全部表或部分表。 请选择表 若在源数据库表选择中选中部分表选项，则可以根据需求在请选择表下拉选项中选择需要克隆的表。 目标数据库 数据库实例选择列表，数据来源于 数据资产元数据管理 中添加的数据库实例，支持来源为云数据库的MySQL。 复制范围 根据需求选择表结构或全量数据。 附加范围 根据需求选择视图、存储过程、函数、事件、触发器五个选项中的一个或者多个。 同名对象处理 根据需求选择跳过同名对象或覆盖同名对象。 计划执行时间 根据需求选择立即执行或指定时间。 选择日期时间 若在计划执行时间选择指定时间，则可以在选择日期时间根据需求选择开始时间点。 工单说明 描述工单备注内容。 4. 按照需求填写好数据复制工单后，单击提交选项完成工单的提交，等待数据复制完成。

因规模企业内部可能自建运维监控系统，本文将为您介绍如何通过云监控API接口查询各类云产品监控数据，便于企业集成管理云监控资源数据。 指标类监控数据查询的接口 云监控提供以下2类接口用于指标类监控数据的查询： ● 实时监控数据查询：查询对应产品实时监控数据，详情请参见实时监控数据。 ● 历史监控数据查询：查询对应产品历史监控数据，详情请参见历史监控数据。 注意事项： ● 实时监控数据查询与历史监控数据查询接口支持的最大QPS是30。 ● 历史监控数据，查询起始时间最大支持当前时间之前180天。 实战案例 通过Demo演示，为您介绍如何使用“实时监控数据：云主机“接口查询云主机设备的实时监控数据，使用“历史监控数据：云主机“接口查询指定时间段内的历史监控数据。 !/usr/bin/env python coding: utf8 import requests import json import hashlib import base64 import hmac import datetime import uuid METHODGET 'GET' METHODPOST 'POST' AK "登录云网门户，在“控制台”>“个人中心”>“第三方账号绑定”，通过创建或者查看获取ak，sk。" SK "登录云网门户，在“控制台”>“个人中心”>“第三方账号绑定”，通过创建或者查看获取ak，sk。" DOMAIN ' def hmacsha256(secret, data): if isinstance(secret, str): secret bytearray(secret.encode(encoding"utf8")) elif isinstance(secret, bytes): secret bytearray(secret) if isinstance(data, str): data bytearray(data.encode(encoding"utf8")) elif isinstance(data, bytes): data bytearray(data) return hmac.new(secret, data, digestmodhashlib.sha256).digest() def base64ofhmac(data): return base64.b64encode(data) def getrequestuuid(): return str(uuid.uuid1()) def getsortedstr(data): """ 鉴权用的参数整理 :param data: dict 需要整理的参数 :return: str """

本文带您了解如何使用事件监控。 操作场景 事件监控提供了事件类型数据的展示功能，方便您关注业务中的各类重要事件。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成了规则类型为事件监控的告警规则。 说明 系统事件监控功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 查看系统事件监控 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“事件监控”>"系统事件"，进入系统事件监控页面。 5. 在系统事件监控页面，可查看各时间段内发生事件的列表。 6. 单击待查看事件”查看监控图表“，可以查看该事件统计信息。 说明 当前系统事件监控仅支持部分产品，已支持产品及事件参见 设置告警规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“事件监控”>"系统事件"，进入系统事件监控页面。 5. 在系统事件监控页面，单击待选择系统事件操作下“创建告警规则”（或在"告警服务">"告警规则"，点击“创建告警规则按钮”）。即可进入“创建告警规则”页面。 6. 在创建告警规则页面，按相关指引填写告警信息。单击确定，即可完成告警规则创建。 说明 配置告警规则参数，请参见

介绍分布式消息服务Kafka删除消费组功能操作内容。 场景描述 Kafka删除消费组的场景包括： 消费组不再使用：当一个消费组不再需要使用时，可以选择删除该消费组。这可能是因为业务需求变化，或者消费组已经完成了其任务。删除消费组可以释放资源，并减少管理和维护的工作量。 重置消费者偏移量：在某些情况下，可能需要重置消费者组的偏移量，以重新开始消费消息。例如，当需要重新处理之前的消息，或者需要从最早的消息开始消费时，可以删除消费组并创建一个新的消费组来实现偏移量的重置。 清理过期的消费组：如果消费组长时间未被使用或者没有活跃的消费者，可以选择删除这些过期的消费组。这有助于减少资源占用和管理的复杂性，同时也可以提高整体性能和效率。 需要注意的是，在删除消费组之前，要确保没有任何正在运行的消费者实例与该消费组相关联。否则，删除消费组可能会导致数据丢失或其他问题。在删除消费组之前，建议先停止相关的消费者实例，并确保所有的消费者都已经退出消费组。 操作步骤 删除消费组 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“消费组管理”后进入消费组管理页面。 （5）在目标消费组所在行，单击“更多 ”“删除”。 批量删除消费组 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“消费组管理”后进入消费组管理页面。 （5）在目标消费组所在行，勾选其左侧目标框。 （6）点击左上角“删除消费组”按钮，完成批量删除。

本文主要介绍集群权限（IAM授权）。 CCE集群权限是基于IAM系统策略 和自定义策略的授权，可以通过用户组功能实现IAM用户的授权。 注意 集群权限仅针对与集群相关的资源（如集群、节点等）有效，您必须确保同时配置了 前提条件 给用户组授权之前，请您了解用户组可以添加的CCE系统策略，并结合实际需求进行选择，CCE支持的系统策略及策略间的对比。 拥有Security Administrator（IAM除切换角色外所有权限）权限的用户（如账号默认拥有此权限），才能看见CCE控制台权限管理页面当前用户组及用户组所拥有的权限。 配置说明 CCE控制台“权限管理 > 集群权限”页面中创建用户组和具体权限设置均是跳转到IAM控制台进行具体操作，设置完后在集群权限页面能看到用户组所拥有的权限。本章节描述操作直接以IAM中操作为主，不重复介绍在CCE控制台如何跳转。 示例流程 图 给用户授予CCE权限流程 1. 创建用户组并授权。 在IAM控制台创建用户组，并授予CCE权限，例如CCEReadOnlyAccess。 说明 CCE服务按区域部署，在IAM控制台授予CCE权限时请选择“区域级项目”。 2. 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云容器引擎，进入CCE主界面尝试购买集群，如果无法无法成功操作（假设当前权限仅包含CCEReadOnlyAccess），表示“CCEReadOnlyAccess”已生效。 在“服务列表”中选择除云容器引擎外（假设当前策略仅包含CCEReadOnlyAccess）的任一服务，若提示权限不足，表示“CCEReadOnlyAccess”已生效。

本文主要介绍节点限制检查 检查项内容 当前检查项包括以下内容： 检查节点是否可用 检查节点操作系统是否支持升级 检查节点是否含有非预期的节点池标签 检查K8S节点名称是否与云主机保持一致 解决方案 问题场景一：节点不可用 若检查发现节点不可用，请登录CCE控制台，前往“集群信息>节点管理”处查看节点状态，请确保节点处于“运行中”状态。节点处于“安装中”、“删除中”状态时，均不支持升级。 若节点状态异常，请修复节点后，重试检查任务。 问题场景二：节点操作系统升级支持受限 当前集群升级支持的节点操作系统范围如下表所示，若您的节点OS不在支持列表之内，暂时无法升级。您可将节点重置为列表中可用的操作系统。 节点OS支持列表 操作系统 限制 CentOS 无限制 Ubuntu 部分局点受限，若检查结果不支持升级，请联系技术支持人员 问题场景三：节点含有非预期的节点池标签 由节点池迁移至默认节点池的节点，仍然会保留节点池标签"cce.cloud.com/ccenodepool"，影响集群升级。请确认该节点上的负载调度是否依赖改标签： 若无依赖，请删除该标签。 若存在依赖，请修改负载调度策略，解除依赖后再删除该标签。 问题场景四：K8S节点名称与云主机一致 CCEK8S节点名称默认“与节点私有IP保持一致”，若创建节点时选择“与云主机名称保持一致”，当前暂不支持升级。 请登录CCE控制台，前往“集群信息>节点管理”处查看节点标签，对比节点标签kubernetes.io/hostname的值是否与云主机名称是否一致。如果一致，则需在集群升级前移除该节点。

使用限制 分类分级任务默认仅启动数据打标 、结果发布功能； 若要启用任务分配、结果审核以及结果验收功能页面，需登录SysAdmin账号，进入“系统管理 > 安全设置”页面，单击“审核验收模式”开关并在右侧下拉框选择“审核员审核+验收员审核”，启动任务分配、结果审核与结果验收功能；下拉框中选择“仅审核员审核”，仅启动任务分配、结果审核功能。 任务分配 任务分配功能能够将分类分级任务分配给指定的打标员，每个打标员只能看到自己分配的任务。 1.使用安全管理员账号登录数据分类分级实例。 2.在左侧导航栏选择“分类分级任务 > 结构化数据”即可进入“结构化数据”页面，在页面上方选择“任务分配”页签。 3.单击页面左上角的“分配任务”按钮，在弹出的窗口中填写相关参数。 参数 参数说明 填写样例 任务名称 填写任务名称。 Test 数据源 选择所需数据源；数据源来自数据源管理中添加的数据源，已添加分类分级任务的数据源无法再次添加分类分级任务； 系统默认选择最新添加且尚未被添加分类分级任务的数据源。 行业模板 显示选中数据源对应的行业模板；该模板与新增数据源时设置的行业模板保持一致，如需修改，请至数据源管理页面编辑对应数据源配置。 打标员 显示所有用户名+角色标签；用户手动选择时，没有数据分类分级任务执行权限的用户置灰、无法选中，鼠标悬浮提示“无数据分类分级任务执行权限”。 4.填写完成后单击“确认” ，即可完成分类分级任务分配。 注意 审核验收模式开启后，数据打标页的“新增”按钮将被隐藏，并启动任务分配页面，有分配权限的用户可以使用分配任务、批量分配、删除任务功能；若审核验收模式关闭，“新增”按钮恢保持可见，并关闭任务分配页面。

事件总线EventBridge已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等，以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。

终止切换 使用条件 仅当切换状态为待执行/已暂停/执行中时可进行终止切换操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表操作列“终止切换”按钮，弹出终止切换弹窗。 7. 点击“确定”按钮，完成应急切换终止。终止切换后无法再重启本次切换，当切换中存在执行中的任务时，切换会在该任务执行完成后终止。 暂停切换 使用条件 仅在切换状态为执行中时可进行暂停切换操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表操作列“暂停切换”按钮，弹出暂停切换弹窗。 7. 点击“确定”按钮，完成应急切换暂停。当切换中存在执行中的任务时，切换会在该任务执行完成后暂停，切换暂停后可通过操作列的“恢复切换”继续执行本次切换。 恢复切换

步骤二：创建持久卷声明（PVC） 1. 创建示例yaml文件pvcstaticdisk.yaml： shell apiVersion: v1 kind: PersistentVolumeClaim metadata: annotations: volume.beta.kubernetes.io/storageprovisioner: disk.csi.cstor.com name: pvcstaticdisk namespace: default spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi volumeMode: Filesystem volumeName: {YOURPVNAME} 替换PV名称 2. 执行以下命令，创建pvc： shell kubectl apply f pvcstaticdisk.yaml 步骤三：创建工作负载 1. 创建示例yaml文件podpvcstaticdisk.yaml： shell apiVersion: apps/v1 kind: StatefulSet metadata: name: nginxpvcstaticdisk labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginxpvcstaticdisk serviceName: "" template: metadata: labels: app: nginxpvcstaticdisk spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" volumeMounts: mountPath: "/mnt/data" name: "volume1" volumes: name: "volume1" persistentVolumeClaim: claimName: "pvcstaticdisk" 2. 执行以下命令，创建StatefulSet： shell kubectl apply f podpvcstaticdisk.yaml 步骤四：验证数据持久化 1. 登录弹性容器服务管理控制台。 2. 在容器组列表页点击刚才创建的实例。 3. 点击“远程连接”页签，进入到容器内。 4. 向/mnt/data 目录下写一个文件，执行: shell echo "Hello World" > /mnt/data/test.log 5. 查看/mnt/data 目录下文件，执行： shell cat /mnt/data/test.log 预期结果如下： 6. 退出“远程连接”，使用kubectl删除pod，会触发pod自动重建，等待Pod重新运行正常。 shell kubectl delete po nginxpvcstaticdisk0 7. 对新建Pod，登录弹性容器服务管理控制台，继续执行“远程连接”，进入到容器内查看数据。执行： shell cat /mnt/data/test.log 预期结果如下： 8. 以上步骤说明，pod删除重建后，重新挂载云盘，数据仍然存在，说明云硬盘中的数据可持久化保存。

应用场景 如果您已购买并使用运维安全中心（云堡垒机）服务专业版，可通过运维安全中心服务为主机安装企业主机安全的Agent。此安装方式无需获取主机账户密码或执行复杂的安装命令，可便捷的为单台或多台主机安装Agent。 前提条件 运维安全中心（云堡垒机）服务专业版，并通过运维安全中心（云堡垒机）纳管主机资源。 待安装Agent的主机为SSH协议类型的Linux主机，且主机网络连接正常。 已获取运维安全中心（云堡垒机）的系统管理员账号。 操作步骤 1.使用系统管理员账号登录运维安全中心（云堡垒机）系统。 2.在左侧导航栏，选择“运维> 快速运维”，进入“快速运维”界面。 3.选择“脚本控制台”页签，进入脚本控制台。 4.配置脚本运维信息。相关参数说明请参见下表，配置脚本运维信息 参数 说明 执行脚本 选择脚本“HSSAgent.sh”。 脚本参数 不填写。 执行账户 单击“选择”，选择待安装Agent的主机账户或账户组。 更多选项 可选设置。脚本任务默认在主机的Sudoers文件下执行，当主机账户没有该文件的执行权限时，需勾选“提权执行”。 5.单击“立即执行”，执行脚本任务。 6.脚本任务执行成功后，在执行结果列单击“展开”，展开执行结果，执行结果显示“install finished.[OK]”表示Agent安装成功。 7.在企业主机安全控制台，确认Agent安装结果。 8.登录企业主机安全控制台。 9.在左侧导航栏，选择“资产管理> 主机管理”，进入“主机管理”界面。 10.在“云服务器”页签，查看目标主机的Agent状态。 Agent状态为“在线”，表示Agent安装成功。

本章节为媒体存储入门流程。 本教程将指引用户快速了解、使用媒体存储。 登录控制台 1. 注册并登录天翼云，需完成实名认证。 2. 通过【产品视频视频服务】进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，点击“立即开通”。 4. 进入媒体存储控制台页面，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 说明 天翼云官网目前仅支持对象存储（标准型）能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 目前天翼云官网仅支持开通海南资源池2区。 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 如资源池售罄，或用户需开通其他产品类型或存储类型，可联系客户经理或天翼云客服进行开通。 使用对象存储 对象存储使用可参考以下入门流程： 1. 如用户通过XstorBrowser、API或SDK访问对象存储，需先获取访问密钥，具体操作可参考：密钥管理。 2. 如用户通过XstorBrowser访问媒体存储时，用户需指定区域节点访问。具体可参考：资源池与区域节点。 3. 进行创建存储桶操作，支持多种使用方式，具体操作可参考：创建存储桶。 4. 完成创建存储桶后，即可进行上传对象操作，具体可参考：上传对象。 5. 下载对象，支持通过控制台、API、SDK等方式下载对象，具体可参考：下载对象。 6. 对象存储支持多种访问方式进行访问获取对象，具体可参考：访问方式。

在gsql客户端配置SSL认证相关的数字证书参数 DWS 在集群部署完成后，默认已开启SSL认证模式。服务器端证书，私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。 1. 登录DWS 管理控制台，在左侧导航栏中，进入“连接管理”页面。 2. 在“下载驱动程序”区域，单击“下载SSL证书”进行下载。 3. 使用文件传输工具（例如WinSCP工具）将SSL证书上传到客户端主机。 例如，将下载的证书“dwssslcert.zip”存放到“/home/dbadmin/dwsssl/”目录下。 4. 使用SSH远程连接工具（例如PuTTY）登录gsql客户端主机，然后执行以下命令进入SSL证书的存放目录，并解压SSL证书： cd /home/dbadmin/dwsssl/ unzip dwssslcert.zip 5. 在gsql客户端主机上，执行export命令，配置SSL认证相关的数字证书参数。 SSL认证有两种认证方式：双向认证和单向认证，认证方式不同用户所需配置的客户端环境变量也不同，详细介绍请参见下方“SSL认证方式及客户端参数介绍”章节。 双向认证需配置如下参数： export PGSSLCERT" /home/dbadmin/dwsssl/sslcert/client.crt " export PGSSLKEY" /home/dbadmin/dwsssl/sslcert/client.key " export PGSSLMODE" verifyca " export PGSSLROOTCERT" /home/dbadmin/dwsssl/sslcert/cacert.pem " 单向认证需要配置如下参数： export PGSSLMODE"verifyca" export PGSSLROOTCERT" /home/dbadmin/dwsssl/sslcert/cacert.pem " 须知： 从安全性考虑，建议使用双向认证方式。 配置客户端环境变量，必须包含文件的绝对路径。 6. 修改客户端密钥的权限。 客户端根证书，密钥，证书以及密钥密码加密文件的权限，需保证权限为600。如果权限不满足要求，则客户端无法以SSL连接到集群。 chmod 600 client.key chmod 600 client.crt chmod 600 client.key.cipher chmod 600 client.key.rand chmod 600 cacert.pem

分片集群MongoDB迁移前清除孤儿文档 什么是孤儿文档 MongoDB负载均衡器（Balancer）会根据集合的分片键(Shard key)均衡数据。Balancer的工作原理是：需要Balancer的数据块（Chunk）先复制到目标Shard，成功后再删除原Shard上的Chunk，来完成一次Chunk迁移，通过多次Chunk迁移来实现均衡。在Chunk迁移时，如果发生网络闪断等不可预知的场景，完成了复制但没有完成删除，那么对同一条文档会同时存在于两个Shard上。因为Chunk迁移在MongoDB上是感知的，config会更新这条文档应该在哪个Shard上，那么另一个Shard上的文档会存在但不会被感知，后续的update、delete操作都不会作用于这个错误的Shard上的文档，那么这条文档被称为孤儿文档（Orphaned Document）。 迁移影响 DRS在迁移集群时，会从Shard上抽取全量数据。正常文档和孤儿文档在不同的Shard上，DRS不会感知，都会迁移到目标库。DRS针对MongoDB迁移的冲突策略为忽略，因此最终目标库上的文档取决于哪个文档先被迁过去，会造成数据内容或行数不一致。 操作步骤 步骤 1 联系技术支持，获取用于清除孤儿文档的cleanupOrphaned脚本文件，然后解压。 步骤 2 修改cleanupOrphaned.js脚本文件，将test替换为待清理孤儿文档的数据库名。 步骤 3 执行以下命令，清理Shard节点下指定的数据库中所有集合的孤儿文档。 mongo host ShardIP port Primaryport authenticationDatabase database u username p passowrd cleanupOrphaned.js ShardIP：Shard节点的IP地址。 Primaryport：Shard节点中的Primary节点的服务端口。 database：鉴权数据库名，即数据库账号所属的数据库。 username：登录数据库的账号。 passowrd：登录数据库的密码。 如果您有多个数据库，您需要重复执行步骤步骤 2 和步骤步骤 3 ，分别为每个数据库的每个Shard节点清理孤立文档。

本章节主要介绍ALM24015 Flume MonitorServer证书文件已过期的告警。 告警解释 MonitorServer每隔一个小时健康检查时，检查当前系统中的证书文件是否已过期。如果服务端证书已过期，产生该告警。服务端证书恢复的有效期内，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 MonitorServer证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 MonitorServer证书文件已过期。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24015 MonitorServer证书文件已过期 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中合法证书文件的有效期，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入MonitorServer证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行以下命令查看用户证书的生效时间与失效时间，查看目前时间是否在有效期内。 openssl x509 noout text in mssChat.crt 是，执行步骤9。 否，执行步骤5。 5.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 6.执行以下命令重新生成证书，等待1小时，观察此告警是否被清除。 sh geneJKS.sh m sKitty12@ n cKitty12@ 是，执行步骤8。 否，执行步骤7。 7.使用omm用户在Flume实例产生告警的节点，重复执行步骤5~步骤6，等待1小时，观察此告警是否被清除。 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

本章节主要介绍 ALM12085 服务审计日志转储失败。 告警解释 系统每天凌晨三点启动服务审计日志转储，将服务审计日志备份到OMS节点，如果转储失败，则发送告警。当下一次转储成功，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12085 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 服务审计日志有可能丢失。 可能原因 服务审计日志过大。 OMS备份路径存储空间不足。 服务所在某一个主机的存储空间不足。 处理步骤 检查是否服务审计日志过大 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机地址。 2.以root用户登录告警所在主机。 3.执行命令 vi ${BIGDATALOGHOME}/controller/scriptlog/getLogs.log ，检索关键字 "LOG SIZE is more than5000MB"。是否能够检索到此关键字。 是，执行步骤4。 否，执行步骤5。 4.查看是否有异常导致服务审计日志过大。 OMS备份路径存储空间不足 5.执行命令 vi ${BIGDATALOGHOME}/controller/scriptlog/getLogs.log ，检索关键字 "Collect log failed, too many logs on"。是否能够检索到此关键字。 是，获取Collect log failed, too many logs on关键字后面的主机IP地址，执行步骤6。 否，执行步骤10。 6.以root用户登录步骤5中获取到的主机IP地址。 7.执行命令 vi {BIGDATALOGHOME}/nodeagent/scriptlog/collectLog.log ， 是否能够检索到此关键字“log size exceeds”。 是，执行步骤8。 否，执行步骤10。 8.对OMS节点进行磁盘扩容。 9.等待下一个执行周期（凌晨三点），查看告警是否恢复。 是，操作结束。 否，执行步骤10。

本章节主要介绍 ALM12076 gaussDB资源异常。 告警解释 HA软件每10秒周期性检测Manager的数据库。当HA软件连续3次检测到数据库异常时，产生该告警。 当HA检测到数据库正常后，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12076 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 如果数据库异常，所有核心业务和相关业务进程，例如告警和监控功能，都会受影响。 可能原因 数据库异常。 处理步骤 1.以root用户分别登录主备管理节点，执行su ommdba命令切换到ommdba用户，执行gsctl query命令。查看回显是否显示以下信息。 检查主备管理节点的数据库状态 主管理节点的回显： Ha state: LOCALROLE : Primary STATICCONNECTIONS : 1 DBSTATE : Normal DETAILINFORMATION : user/password invalid Senders info: No information Receiver info: No information 备管理节点的回显： Ha state: LOCALROLE : Standby STATICCONNECTIONS : 1 DBSTATE : Normal DETAILINFORMATION : user/password invalid Senders info: No information Receiver info: No information 是，执行步骤3。 否，执行步骤2。 2.联系网络管理员查看是否为网络故障，并修复故障。 是，执行步骤3。 否，执行步骤5。 3.等待5分钟，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤4。 4.分别登录主备管理节点，执行su omm命令切换到 omm ， 用户进入“${BIGDATAHOME}/omserver/om/sbin/”目录，并执行statusoms.sh脚本检查主备Manager的floatip资源和gaussDB资源是否如下图所示的状态： 是，在告警列表中找到该告警，手工清除该告警。 否，执行步骤5。

本章节主要介绍如何创建MRS操作用户。 如果您需要对您所拥有的MapReduce服务（MapReduce Service）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用MRS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将MRS资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用MRS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的MRS权限，并结合实际需求进行选择。 示例流程 详见下图： 给用户授权MRS权限流程 1.创建用户组并授权 在IAM控制台创建用户组，并授予MRS服务对应权限。 2.创建用户并加入用户组 在IAM控制台创建用户，并将其加入上述创建用户组并授权中创建的用户组。 3.用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： −在“服务列表”中选择MRS服务，进入MRS主界面，单击右上角“创建集群”，尝试创建MRS集群，如果无法创建MRS集群（假设当前权限仅包含MRS ReadOnlyAccess），表示“MRS ReadOnlyAccess”已生效。 −在“服务列表”中选择除MRS服务外（假设当前策略仅包含MRS ReadOnlyAccess）的任一服务，若提示权限不足，表示“MRS ReadOnlyAccess”已生效。

使用须知 回收站策略机制默认开启，且不可关闭，默认保留天数为7天，该功能免费。 如果用户同时删除100个实例，且回收站内存放有之前删除的实例，那么这100个实例可以被删除成功，但是只有部分实例能进入回收站。回收站只允许加入100个实例，超过该配额的实例将无法添加至回收站中。 修改回收站保留天数，仅对修改后新进入回收站的实例生效，对于修改前已经存在的实例，仍保持原来的回收策略，请您谨慎操作。 节点脱节状态下无法做回收备份。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航栏单击“回收站”，进入“回收站”页面。 步骤 5 在“回收站”页面，单击“回收站策略”，设置已删除实例保留天数，可设置范围为1~7天。单击“确定”，完成设置。 设置回收站策略 重建实例 您可以在回收站中通过重建实例来恢复数据。 使用须知 在回收站保留期限内的实例可以通过重建实例恢复数据。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航栏单击“回收站”，进入“回收站”页面。 步骤 5 在“回收站”页面，在实例列表中找到需要恢复的目标实例，单击操作列的“重建”。 重建实例 步骤 6 在“重建新实例”页面，选填配置后，提交重建任务。