本章节主要介绍ALM18014 NodeManager直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Yarn服务直接内存使用状态，当检测到NodeManager实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18014 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NodeManager可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NodeManager实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18014 NodeManager直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > NodeManager（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NodeManager内存使用率”。查看直接内存使用情况。 3.查看NodeManager使用的直接内存是否已达到NodeManager设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > NodeManager > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启NodeManager实例。 7.查看告警信息，是否存在告警“ALM18018 NodeManager堆内存使用率超过阈值”。 是，查看“ALM18018 NodeManager堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

操作场景 某企业已经在地域A创建了天翼云VPC并在其中部署了应用服务，该企业购买两台设备，采用单机双臂旁挂组网方式接入天翼云，并配置OSPF动态路由主备，实现本地机构和云上资源互通，同时提高可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在地域A创建了VPC，具体操作，请参见创建虚拟私有云VPC。 您已经完成云间高速（标准版）的创建，具体操作，请参见创建云间高速（标准版）实例。 您已经将地域A的VPC加载到同一云间高速（标准版）实例中，请参见加载网络实例。 操作步骤 步骤一：购买两台智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 选择设备接入的区域。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 使用方式 表示设备的使用方式。这里选择“双机”。 地址信息 表示设备的装机地址。请准确填写地址信息。 购买数量 默认为1。如果您购买的两台设备配置相同，则可以将数量修改为2；如果两台设备的配置不相同，则需要分成两次下单，且购买数量均填写为1。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

本章节主要介绍 Flink作业管理概述 。 在Flink作业管理页面可提交Flink作业。目前有以下作业类型： Flink SQL作业：使用SQL语句定义作业，可以提交到通用队列上。 Flink Jar作业：基于Flink API的自定义Jar包作业，可以运行在独享队列上。 Flink作业管理主要包括如下功能： Flink作业权限管理 创建Flink SQL作业 创建Flink Jar作业 调试Flink作业 编辑作业 启动作业 停止作业 删除作业 导出作业 导入作业 名称和描述修改 导入保存点 触发保存点 运行时配置 Flink作业详情 以及查看“使用指南”和“使用视频”。 委托权限设置 DLI执行Flink作业需要进行委托授权，可在第一次登录管理控制台时进行设置，也可在“全局配置”>“服务授权”中进行修改。 具体权限如下： Tenant Administrator(全局服务)：DLI Flink作业访问和使用OBS或者DWS数据源、日志转储（包括桶授权）、开启checkpoint、作业导入导出等，需要获得访问和使用OBS（对象存储服务）的Tenant Administrator权限。 说明 由于云服务缓存需要时间，该权限60分钟左右才能生效。 CloudTable Administrator：DLI Flink作业访问和使用CloudTable数据源，需要获得访问和使用CloudTable（表格存储服务）的CloudTable Administrator权限。 说明 由于云服务缓存需要时间，该权限3分钟左右才能生效。

本文为您介绍如何查看任务中迁移失败的对象。 操作场景 对象迁移服务支持记录迁移失败的对象，并在该任务的详情页面中展示失败对象的列表，方便您查看。 前提条件 迁移任务结束后，任务中有迁移失败的对象。若任务迁移中不存在迁移失败的对象，则失败对象列表中无对象展示。 注意 迁移中忽略的对象并不是失败对象，您可以通过“同名文件处理策略”来控制是否对同名的对象执行忽略不迁移。 操作指导 1.登录控制中心，点击控制中心左上角的，选择地域（服务入口目前仅开放“华东1”地域）。 2.单击“对象存储>对象存储迁移服务>迁移任务 ”进入迁移服务的迁移任务控制台。您可以通过点击任务名称，进入该任务的详情页面，在“失败对象列表 ”部分查看失败对象。失败对象列表支持您进行迁移任务中失败的对象的查询，您可以在这里查看失败对象名称，也可通过列表右上方的“ 重试任务 ”按钮，快速进行失败任务的重试。 说明 这里点击“重试任务”按钮与任务列表中的“重试”按钮一致，仅当任务结束，且存在失败对象时可执行重试。 半托管模式的迁移任务的失败对象列表无法在控制台直接查看，任务会生成包含失败对象列表的文件，在指定目录下供您查阅。

拒绝已经接受的共享镜像 操作场景 用户接受了其他用户共享的镜像后，如果不再需要关注该共享镜像，可以将该共享镜像从自己的可使用共享镜像列表拒绝。 拒绝后，该镜像不再显示在共享镜像列表中。 前提条件 已接受其他用户共享的镜像。 操作步骤 1. 登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击“共享镜像”页签进入镜像列表页面。 4. 请选择拒绝镜像方式： − 拒绝批量镜像：勾选需要拒绝的镜像，单击列表上方的“拒绝”，并在弹出的“拒绝镜像”对话框中，确认拒绝的共享镜像信息，单击“是”。 − 拒绝单个镜像：在需要拒绝的私有镜像所在行的“操作”列，单击“更多 > 拒绝”，并在弹出的“拒绝镜像”对话框中，确认拒绝的共享镜像信息，单击“是”。 接受已经拒绝的共享镜像 操作场景 用户拒绝了其它用户共享的镜像后，如果再需要使用该共享镜像，可以将该共享镜像从自己的已拒绝镜像的列表中重新接受。 前提条件 已拒绝其他用户共享的镜像。 其它用户未取消共享该镜像。 操作步骤 1. 登录控制台。 2. 选择“ 镜像服务”。 进入镜像服务页面。 3. 单击“共享镜像”页签进入镜像列表页面。 4. 单击“已拒绝镜像”，弹出“已拒绝镜像”列表。 5. 选择需要再次接受的镜像，单击“再次接受”。完成已拒绝共享镜像的重新接受。 6. 在“共享镜像”的镜像列表中可以查看步骤5中重新接受的镜像。

本文为您介绍CTCCLSlowdetect最佳实践。 在4台A8008，每台节点有8张mlx网卡，RoCE组网，部署慢节点工具套件。其中，在4节点上容器化部署模型训练基础环境以及llama27b训练模型，在node1上容器化部署ctccm服务，并在每一台节点上容器化部署ctcclprofiler服务。 在训练任务代码中调用ctcclprofilercomm API： 在训练脚本中配置相关环境变量 启动ctccmslowdetect服务 export PATH"/usr/local/python3/bin:$PATH"（替换为自己的安装路径） && ctccm nnodes 4 port 8002 debug 启动所有节点上的ctcclprofilernet服务 启动分布式训练任务，ctccm会收到任务的逻辑拓扑 ctccm在训练中检测集群中是否存在慢节点，一旦发现慢节点则下发开始收集细粒度的监控信息的控制信号，并做慢节点定位定界。 当计算慢时，ctccm会给出计算慢的TP通信域所包含的rank。 当通信慢时，ctccm会给出慢的QP以及它所对应的网卡对和所在节点。

本文为您介绍如何对已经开启的云搜索服务OpenSearch实例进行备份。 天翼云云搜索服务支持使用对象存储保留实例在指定时间的快照信息 约束限制 备份管理功能上线前创建的实例无此功能。 实例快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 实例异常时，不可创建快照，仅能查看已创建的快照，恢复时请确保目标实例状态正常。 手动快照和自动快照不可同时进行。 前提条件 1. 快照功能依赖天翼云对象存储服务（ZOS），请确保您已开通与云搜索服务实例同资源池的对象存储服务，并创建存储桶。存储快照会产生费用，具体收费请参见对象存储计费说明。 2. 已获取自身天翼云账号的AK/SK。通过“账号中心>安全设置>用户AccessKey”中查看您的AccessKey、SecurityKey信息。如果忘记SecurityKey请工单联系客服重置。 创建及关闭自动备份 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要创建备份的实例，进入实例详情页。 2. 在备份管理页面，点击开关开启备份能力，根据页面提示输入您天翼云的AK/SK，如果验证通过，即可点击下一步进行备份功能开通。 3. 开通成功进入快照列表页面，点击“自动备份设置”，在弹出的弹层上选择快照目标存储的存储桶，设置备份周期和备份对象，并选择备份期望的保留时间，最长可以保留30天。 4. 选择备份对象是索引时，需要填写备份的索引名称，支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。您可通过“索引管理”功能先行查看实例内的索引名称。 5. 如您需要修改自动快照的创建规则，再次点击“自动创建备份”按钮进行修改，修改后立即生效，按照新设定的规则生成、删除相应快照，已生成部分的存量快照清理时长按原规则执行。 6. 如您不再需要自动备份，则可在快照列表页点击关闭自动备份，并在弹出的确认弹窗中选择是否保留快照信息，如不保留，则系统会自动删除从本次开启至本次结束期间自动备份产生的所有快照信息，如果选择保留，则本次开启至本次结束期间的快照信息得以保留，再次开启时将不再由系统进行删除，您可根据需要，手动在控制台进行删除。 7. 关闭自动备份期间快照自动清理不会执行。

维度 Key Value fwinstanceid 防火墙ID 设置监控告警规则 通过设置CFW告警规则，用户可自定义监控目标与通知策略，设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助您及时了解CFW防护状况，从而起到预警作用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面左上方的“服务列表”，选择“管理与监管 > 云监控服务 ”。 3. 在左侧导航树栏，选择“告警 > 告警规则”，进入“告警规则”页面。 4. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 5. 根据界面提示配置参数，关键参数如下，更多参数信息请参见《云监控服务用户指南》的“创建告警规则和通知”章节： 告警类型：指标 资源类型：云防火墙 维度：云防火墙实例 6. 单击“立即创建”，在弹出的提示框中，单击“确定”，告警规则创建成功。 查看监控指标 您可以通过管理控制台，查看CFW的相关指标，及时了解云防火墙防护状况，并通过指标设置防护策略。 操作步骤 1. 在云监控页面设置CFW的监控告警规则。有关设置监控告警规则的详细操作，请参见设置监控告警规则。 2. 在“云监控服务”的左侧导航树栏中，选择“云服务监控 > 云防火墙”，进入云服务监控详情页面。 3. 在目标CFW实例所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。

本章节主要介绍翼MapReduce服务同步角色实例配置。 操作场景 当用户发现角色实例的“配置状态”为“过期”或“失败”时，可以在MRS Manager尝试使用同步配置功能，同步角色实例的配置数据与后台配置数据，以恢复配置状态。 对系统的影响 同步配置角色实例后需要重启配置过期的角色实例。重启时对应的角色实例不可用。 操作步骤 在MRS Manager，单击“服务管理”，选择服务名称。 1. 单击“实例”页签。 2. 在角色实例列表中，单击指定角色实例名称。 3. 在角色实例状态及指标信息上方，选择“更多 > 同步配置”。 4. 在弹出窗口勾选“重启配置过期的服务或实例。”，并单击“确定”重启角色实例。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。

概述 本章节主要介绍创建和更新自定义沙箱模板和自定义沙箱实例调试。自定义沙箱模板为创建沙箱模带来给多的灵活性，您可以通过扩展基础沙箱、代码沙箱、AIO沙箱和完全制作自定义镜像这4种方式在沙箱中运行您的服务。 创建自定义沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写自定义沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 自定义沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 对于沙箱模板的描述。 镜像扩展类型 是 支持完全自定义镜像、基于基础沙箱镜像扩展、基于代码沙箱镜像扩展和基于AIO沙箱镜像扩展4种类型。 启动命令 否 对于完全自定义镜像，必须填写启动命令，其他进行镜像扩展类型无该参数。启动命令和参数之间需要使用空格隔开。 监听端口 是 沙箱中用户自定义服务的端口，该端口会用来探活。 容器镜像实例 是 选择用户容器镜像服务实例CRS，该实例和您订购的智能体引擎所在资源池一致。 容器镜像仓库 是 选择容器镜像仓库。 容器镜像版本 是 选择容器镜像版本。 规格方案 是 沙箱CPU和内存规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录：设置沙箱运行环境中的本地目录。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。 自定义镜像制作方法参见使用自定义镜像扩展Sandbox服务文档。

概述 本章节主要介绍创建和更新自定义沙箱模板和自定义沙箱实例调试。自定义沙箱模板为创建沙箱模带来给多的灵活性，您可以通过扩展基础沙箱、代码沙箱、AIO沙箱和完全制作自定义镜像这4种方式在沙箱中运行您自己的服务。 创建自定义沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写自定义沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 自定义沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 对于沙箱模板的描述。 镜像扩展类型 是 支持完全自定义镜像、基于基础沙箱镜像扩展、基于代码沙箱镜像扩展和基于AIO沙箱镜像扩展4种类型。 启动命令 否 对于完全自定义镜像，必须填写启动命令，其他进行镜像扩展类型无该参数。启动命令和参数之间需要使用空格隔开。 监听端口 是 沙箱中用户自定义服务的端口，该端口会用来探活。 容器镜像实例 是 选择用户容器镜像服务实例CRS，该实例和您订购的智能体引擎所在资源池一致。 容器镜像仓库 是 选择容器镜像仓库。 容器镜像版本 是 选择容器镜像版本。 规格方案 是 沙箱CPU和内存规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录：设置沙箱运行环境中的本地目录。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。 自定义镜像制作方法参见使用自定义镜像扩展Sandbox服务文档。

参数 含义 值 Version 策略的版本。 1.0：代表基于角色的访问控制。 1.1：代表基于策略的访问控制。 Statement： 策略的授权语句 Effect：作用 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Statement： 策略的授权语句 Action：授权项 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号，通配符号表示所有。 示例： "obs:bucket:ListAllMybuckets"：表示查看OBS桶列表权限，其中obs为服务名，bucket为资源类型，ListAllMybuckets为操作。 您可以在对应服务的API接口资料中查看该服务所有授权项。 Statement： 策略的授权语句 Condition：条件 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Statement： 策略的授权语句 Resource: 资源类型 策略所作用的资源。 格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号，通配符号 表示所有。 示例： "obs: : :bucket: ": 表示所有的OBS桶。 "obs: : :object:mybucket/myobject/": 表示mybucket桶myobject目录下的所有对象。

OTP口令用户绑定指引 用户登录时，选择“其他登录方式AOneID”； 在浏览器中，输入账号+密码/扫码方式，进行用户身份认证； 身份认证成功后，弹窗勾选“始终允许.ctcdn.cn在关联的应用中打开此类连接”，并且点击“打开AOne.app”完成客户端登录； 在浏览器页面点击“前往个人中心”按钮； 在个人中心多因素认证页面，点击OTP口令按钮； 根据系统指引，完成OTP口令绑定相关操作： 1）使用OTP App或者小程序，通过扫码的方式，绑定账号OTP口令； 2）输入OTP App生成的OTP口令进行校验。

本节介绍了任务的用户指南。 基本概念 普通任务：即kubernetes中的“Job”，普通任务是一次性运行的短任务，部署完成后即可执行。使用场景为在创建工作负载前，执行普通任务，将镜像上传至镜像仓库。 操作场景 普通任务是一次性运行的短任务，部署完成后即可执行。正常退出（exit 0）后，任务即执行完成。 普通任务是用来控制批处理型任务的资源对象。批处理业务与长期伺服业务（Deployment、Statefulset）的主要区别是： 批处理业务的运行有头有尾，而长期伺服业务在用户不停止的情况下永远运行。Job管理的Pod根据用户的设置把任务成功完成就自动退出了。成功完成的标志根据不同的spec.completions策略而不同，即： 单Pod型任务有一个Pod成功就标志完成。 定数成功型任务保证有N个任务全部成功。 工作队列型任务根据应用确认的全局成功而标志成功。 前提条件 在创建任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 创建Job与创建Deployment的过程类似，但存在以下的差异，需要注意： Job参数：相比于Deployment，Job多了这部分参数设置： 高级设置升级方式：Job不支持更新，因此没有升级方式这个参数。

本文将为您介绍通过专线网关实现物理专线入云访问单VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现本地IDC网络与天翼云华北2地域中的单个VPC网络互通。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个VPC，具体操作说明详见创建VPC。 操作步骤 步骤一：专线网关绑定物理专线 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关物理专线页签，单击【绑定物理专线】。 4、在绑定物理专线页，选择已创建的物理专线，然后单击【确定】。

产品 版本升配说明 云安全中心 云安全中心不支持在云等保专区控制台升配，若需要升配，请参见 主机安全 主机安全v1.0当前不支持升配，可在同一VPC下购买新的配额。 主机安全v2.0支持升配版本 Web应用防火墙 若购买时未购买扩展包资源，则升配时不能对扩展包的数量进行升配。 若一个订单包含了多个WAF实例，则只能同时对该订单中的WAF实例进行升配，且只能升配到相同的配额。 云下一代防火墙 仅支持升配版本，不支持对数量进行调整。 堡垒机 堡垒机 v1.0仅支持升配规格，不支持对数量进行调整。 堡垒机 v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。 漏洞扫描 仅支持升配规格，不支持对数量进行调整。 日志审计 日志审计v1.0仅支持升配规格，不支持对数量进行调整。 日志审计v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。 数据库审计 数据库审计 v1.0仅支持升配规格，不支持对数量进行调整。 数据库审计 v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。

本节针对企业主机安全的基线检查和整改的最佳实践进行介绍。 企业主机安全HSS每日凌晨会自动执行基线检查，待检查完成后，可查看并修复配置、弱口令风险。 整改弱口令 “账号暴力破解攻击”是最常见的入侵方式之一，当主机中存在弱口令时，极易被攻击方通过弱口令完成入侵，因此弱口令风险需要优先修复。 企业主机安全HSS支持SSH、FTP、MYSQL类型弱口令，系统中应用的弱口令或默认口令需要您自行排查，如nacos、weblogic等。 步骤： 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、选择左侧导航树的“风险预防 > 基线检查”，进入基线检查界面。 4、在“经典弱口令”页签，查看检测出的弱口令。 5、登录所有含弱口令的主机，修改弱口令。 整改配置检查高风险项 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查界面。 4、选择“配置检查”页签，查看并修复所有高风险基线。 单击基线名称，进入基线详情页面。 选择“ 检查项 > 未通过 ”页签，单击高风险检查项所在行 “操作” 列的 “检测详情”，查看修改建议。 按建议修改完成后，单击操作列的“验证”，验证修改结果。

本节介绍了如何查看云数据库TaurusDB实例的监控指标。 操作场景 云监控服务可以对TaurusDB的运行状态进行日常监控。您可以通过管理控制台，直观地查看TaurusDB的各项监控指标。通过监控数据库运行时的系统资源利用率，您可以识别出什么时间段资源占用率最高，然后到错误日志或慢日志中分析可能存在问题的SQL语句，从而优化数据库性能。 前提条件 TaurusDB常运行。 故障、删除状态的TaurusDB，无法在云监控中查看其监控指标。当TaurusDB再次启动或恢复后，即可正常查看。 说明 故障24小时的TaurusDB，云监控将默认该TaurusDB不存在，并在监控列表中删除，不再对其进行监控，但告警规则需要用户手动清理。 TaurusDB已正常运行一段时间（约10分钟）。 对于新创建的TaurusDB，需要等待一段时间，才能查看上报的监控数据和监控视图。 查看节点监控指标 步骤 1 登录管理控制台。 步骤 2 在页面左上角单击，选择“管理与部署 > 云监控服务”，进入“云监控服务”信息页面。 步骤 3 在左侧导航栏选择“云服务监控 > 云数据库TaurusDB”。 步骤 4 选择目标实例，单击实例名称左侧的，选中一个目标节点，单击操作列的“查看监控指标”，查看此节点的监控指标。 您还可以通过如下方式跳转到云监控服务页面查看监控指标： 在TaurusDB的“实例管理”页面，单击目标实例名称进入基本信息页面，在页面右上角，单击“查看监控指标”，跳转到云监控服务页面，查看监控指标。 在TaurusDB的“基本信息”页面底部，节点信息对应的操作列下，单击“查看监控指标”，跳转到云监控服务页面，查看监控指标。 步骤 5 在Cloud Eye页面，可以查看实例监控信息。 Cloud Eye支持的性能指标监控时间窗包括：近1小时、近3小时、近12小时、近24小时、近7天。

本小节介绍域名无忧实例列表。 收到申请创建成功的通知后，重新登录天翼云控制中心下的域名无忧，点击【实例列表】菜单， 页面显示客户购买的域名无忧实例。 防护实例展示了实例ID、产品类型、服务内容、监控域名、已使用、剩余可用、购买时间，到期时间以及操作。 参数 说明 实例ID 公测申请成功后系统自动分配实例ID，实例ID支持重命名。 产品类型 分为标准版和高级版。 标准版：域名30分钟监控轮询周期，域名快速刷新，5分钟恢复。 高级版：域名10分钟监控轮询周期，域名快速刷新，1分钟恢复。 服务内容 购买的内容，包括自选订购内容及套餐订购内容。 监控域名 显示监控的域名。 已使用 显示已经使用购买的服务。 剩余可用 显示剩余购买的服务。 购买时间 实例购买的时间。 到期时间 实例到期时间。 操作 续订，点击续订转跳至续订页面，选择续订时间，生成订单续订成功后，到期时间延长。 退订，点击退订转跳至退订页面，点击确认退订。

本章节主要介绍修改OMS数据库数据访问用户密码。 操作场景 该任务指导用户定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时无法访问。 操作步骤 在MRS Manager单击“系统设置”。 1. 在“权限配置”区域下，单击“OMS数据库密码修改”。 2. 在omm用户所在行，单击“操作”列下的“修改密码”，修改OMS数据库密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 不可与前20个历史密码相同。 3. 单击“确定”，等待界面提示“操作成功”后单击“完成”。 4. 在omm用户所在行，单击“操作”列下的“重启OMS服务”，重启OMS数据库。 说明 如果修改了密码但未重启OMS数据库，则omm用户的状态变为“Waiting to restart”且无法再修改密码，直到重启OMS数据库 5. 在弹出的对话框中，勾选“我已阅读此信息并了解其影响。”，单击“确定”，重新启动OMS服务。

本小节介绍漏洞扫描术语解释。 漏洞扫描服务 漏洞扫描服务是针对服务器进行漏洞扫描的一种安全检测服务。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速准确地发现扫描目标存在的漏洞并提供给使用者扫描结果。 漏洞库 包含各种已知漏洞信息的大型数据库，用于查找和识别系统中存在的漏洞。 弱口令 密码强度低，或广泛被使用，容易被攻击者破解的口令。 开放端口（SYN扫描） 端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。 弱口令检测 通过弱口令字典，检测用户SSH、RDP等服务是否使用了弱密码，及时更改弱口令有效防备暴力破解入侵。 配置脆弱性检测 配置脆弱性检测也就是基线检查，针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

本章节主要介绍ALM14017 NameNode直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS服务直接内存使用状态，当检测到NameNode实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NameNode可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NameNode实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14017 NameNode直接内存使用率超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > NameNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NameNode内存使用详情”。查看直接内存使用情况。 3.查看NameNode使用的直接内存是否已达到NameNode设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > NameNode > 全部配置”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。保存配置，并重启NameNode实例。 6.查看告警信息，是否存在告警“ALM14007 NameNode堆内存使用率超过阈值”。 是，查看“ALM14007 NameNode堆内存使用率超过阈值”进行处理。 否，执行步骤7。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

本文介绍如何使用telnet命令检测Redis端口连通性 ECS实例中已经安装了Telnet（Linux）或开启了Telnet客户端（Windows）。如果Redis服务出现了连接问题，并且参见上述问题中如何检测弹性云主机与Redis之间的网络连接。发现连接成功时，您需要进一步使用telnet命令检测服务端口是否可用。 查看Redis实例的连接地址，详情请参见查看连接地址。 登录ECS实例，执行telnet命令。 telnet {IP} {Redis PORT} 说明 windows系统和Linux系统中都可以使用该命令。 返回信息分析： 如果Redis连接存在问题，但可以在ECS上使用telnet连接到Redis实例，则ECS本身与Redis之间的连接无异常，请排查其它因素，例如客户端、业务代码，以及业务环境导致的Redis服务阻塞等问题。 如果telnet连接失败，但使用ping命令检测ECS与Redis之间的连接成功，可能是由于ECS存在异常行为（例如受恶意程序影响而攻击其它Redis的33016端口等）被系统禁止了部分服务，此时建议您监控ECS的数据找到异常流量并加以处理。

尊敬的天翼云客户： 您好！ 因业务调整，天翼云计划终端杀毒产品自2025年4月30日00:00起将停止服务，您将无法订购、续订、扩容终端杀毒产品，您可通过订购服务器安全卫士（原生版）产品（ 停止服务影响范围： 新增客户：2025年4月30日00:00起，您将无法订购终端杀毒产品。 存量客户：2025年4月30日00:00起，您将无法续订、扩容终端杀毒产品，但将持续提供产品服务至您当前订单周期结束。 同时天翼云可免费为存量客户退订终端杀毒产品替换为服务器安全卫士（原生版）产品，如需要迁移技术支持，可随时通过在线工单、客服热线（4008109889）联系我们，也可联系您的客户经理获取帮助，天翼云服务团队将全程配合您完成迁移工作，为您的业务顺利迁移保驾护航。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

参数 参数类型 说明 示例 下级对象 type String 类型。取值范围：servername（服务名称）、urlpath（匹配路径） serverNameConfig Object 服务名称 serverNameConfig urlPathConfig Object 匹配路径 urlPathConfig

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

本节为您介绍云迁移服务CMS资源创建相关内容。 云迁移服务CMS提供资源创建功能，您可以通过两种方式进入。 1. [ 迁移计划 ] 界面点击资源创建，如图所示。 2. [ 资源创建 ] 界面，如图所示。 具体操作详见资源规划资源创建。

本章主要介绍创建并使用签名密钥。 操作场景 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。当签名密钥绑定API后，API网关向后端服务发送此API的请求时，会增加相应的签名信息，此时需要后端服务依照同样方式进行签名，通过比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 说明 每个用户最多创建30个签名密钥。 同一个环境中一个API只能被一个签名密钥绑定，一个签名密钥可以绑定多个API。 使用流程 1. 在控制台创建签名密钥。 2. 将新创建的签名密钥绑定API。 3. API网关将签名后的请求发送到后端服务，此时Authorization头中包含签名信息。后端服务通过不同的开发语言（例如Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等）进行签名，比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 图 签名密钥流程图 创建签名密钥 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 选择策略类型，单击“签名密钥”，弹出“创建密钥”对话框。 步骤 6 填写如表 所示信息。 表 密钥信息 信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。 步骤 7 单击“确定”，完成密钥的创建。

本章节主要介绍翼MapReduce的FusionInsight Manager操作。 概述 MRS为用户提供海量数据的管理及分析功能，快速从结构化和非结构化的海量数据中挖掘您所需要的价值数据。开源组件结构复杂，安装、配置、管理过程费时费力，使用FusionInsight Manager将为您提供企业级的集群的统一管理平台： 提供集群状态的监控功能，您能快速掌握服务及主机的运行状态。 提供图形化的指标监控及定制，您能及时的获取系统的关键信息。 提供服务属性的配置功能，满足您实际业务的性能需求。 提供集群、服务、角色实例的操作功能，满足您一键启停等操作需求。 提供权限管理及审计功能，您能设置访问控制及管理操作日志。 浏览器支持能力 Google Chrome 推荐使用Google Chrome 93～95版本。 Microsoft Edge 支持Windows 10系统自带的Microsoft Edge浏览器。 说明 推荐使用Windows平台的浏览器访问FusionInsight Manager。 系统界面简介 FusionInsight Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：FusionInsight Manager系统界面 界面最上方为操作栏，中部为显示区，最下方为任务栏。 操作栏各操作入口的详细功能如下表所示。 界面操作入口功能描述 入口 功能描述 主页 提供柱状图、折线图、表格等多种图表方式展示集群的主要监控指标、主机的状态统计。您可以定制关键监控信息面板，并拖动到任意位置。系统概览支持数据自动刷新，请参见主页。 集群 提供各集群内服务监控、服务操作向导以及服务配置，帮助您对服务进行统一管理。请参见集群管理。 主机 提供主机监控、主机操作向导，帮助您对主机进行统一管理。请参见主机。 运维 提供告警查询、告警处理指导功能。帮助您及时发现产品故障及潜在隐患，并进行定位排除，以保证系统正常运行。请参见运维。 审计 提供审计日志查询及导出功能。帮助您查阅所有用户活动及操作。请参见审计。 租户资源 提供统一租户管理平台。请参见租户资源。 系统 提供对FusionInsight Manager的系统管理设置，例如用户权限设置。请参见系统设置。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。