适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

配置参数 默认端口 端口说明 port 9092 Broker提供数据接收、获取服务。 ssl.port 9093 Broker提供数据接收、获取服务的SSL端口。 sasl.port 21007 Broker提供SASL安全认证端口，提供安全Kafka服务。 saslssl.port 21009 Broker提供SASL安全认证和SSL通信的端口，提供安全认证及通信加密服务。

本文介绍了如何新增子用户关联内置角色。 使用场景 AOne安全与加速平台内置了边缘安全加速平台管理者、边缘安全加速平台参与者、边缘安全加速平台查看者角色。用户创建子用户后，可直接为子用户赋予内置角色。 内置角色的权限策略不可编辑。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子用户赋予定制角色。操作步骤参考：新增子用户关联定制角色。 操作流程 新建子用户 方式一：手动新增 1. 登录CDN+平台，并进入需要进行共享的工作区。 2. 进入子用户管理菜单，左上角点击【新增】按钮。 3. 输入子用户的基本信息，包括登录凭据、显示名称、用户邮箱（非必填）、用户手机（非必填）、登录密码，通过验证码检验之后即可完成添加。完成子用户添加后，您可立即添加角色，也可以稍后再进行添加。

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

本小节介绍安全专区最佳实践。 背景信息 安全专区为一站式套餐产品，客户无需手动配置下单完成后会自动交付，如遇到问题可以了联系产品客服跟踪处理。 前期准备 下单完成后交付人员会联系客户完成部署调研表以为客户系统进行割接配置。 操作配置 安全专区整合六大安全组件功能集于安全管理中心，使用过程无需过多配置，交付完成后可参照产品使用手册进行日常维护。

本章主要介绍翼MapReduce的备份NameNode数据功能。 操作场景 为了确保NameNode日常数据安全，或者系统管理员需要对NameNode进行重大操作（如升级或迁移等），需要对NameNode数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份NameNode任务。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 仅支持“每次都全量备份”。 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“NameNode”。 7.在“NameNode”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：备集群NameNode的业务平面IP地址。 “目的端路径”：备份文件存放的位置。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间 ”，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到CCE集群中的节点对应的弹性云主机，单击云服务器名称，进入详情页面。 步骤 2 在“安全组”页签下，单击“更改安全组规则”。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云服务器添加入方向规则，单击“确定”。 说明： 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 购买操作步骤： 步骤一：登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二：进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三：点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 • 当实例的“状态”变为“运行中”时，说明实例创建成功。 • 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本文介绍了修改文件读写权限的最佳实践。 操作场景 在实际业务中，由于以下原因和目的，您可能需要修改对象的读写权限： 数据安全：通过修改对象的读写权限，可以确保数据仅对授权用户或系统可见和可访问。限制对象的访问权限可以减少数据泄露和未经授权的访问风险，提高数据的安全性。 数据分享：在某些场景下，您可能需要与他人或公众共享特定的对象。通过修改权限，您可以将对象的读取权限开放给其他用户或特定的用户群体，以便与他们分享数据，也可以用于共享公共资源、发布媒体内容或进行数据传输等场景。 方案说明 ZOS控制台支持私有和公共读两种权限的相互转换，为确保您的数据安全，建议您选择私有。 桶的读写权限的更改不会改变桶内已有文件的读写权限，新上传文件会默认继承桶的读写权限。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“设置读写权限”按钮。 7. 如选择“公共读”，需勾选“ 我已阅读并同意相关协议《天翼云对象存储系统服务协议》”点击“确认修改”，完成读写权限设置。 8. 如选择“私有”，直接点击“确定”，完成设置。

本节介绍智算安全专区常见问题。 大模型安全卫士是什么？ 大模型安全卫士是一款专为大模型安全设计的一站式防护产品，提供从开发、训练、部署到运营的全生命周期安全闭环，保护用户的智算基础设施。 开通大模型安全卫士需要哪些要求？ 大模型安全卫士需要部署在和安装大模型的云主机所在的同一个虚拟私有云（VPC）内。 大模型安全卫士能解决智算场景下哪些安全问题？ 有效拦截大模型推理过程中的潜在违规内容，对输入和输出的语义进行深度分析和检测，防止模型被利用进行恶意攻击或生成有害内容，强化了模型推理过程中的安全保障。 代理RAG业务系统请求，解析文件进行内容检测。保障语料库及生成内容的安全性、合规性，防止恶意攻击（如数据投毒、提示注入）、敏感信息泄露及生成有害内容。 支持开启模型推理的情况下检测聊天内容中的隐私信息并脱敏。

说明：本章节会介绍通过内网连接MySQL实例的流程 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云服务器上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图：通过内网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本小节介绍安全专区资产管理服务器主机部署情况。 资产描述区域 服务器名称：服务器资产IP地址； 所属VPC：可选择； 操作系统：服务器资产类型。 防御部署状态区域 服务器主机安全组件部署情况。 数据库审计：是否已配置数据库审计； 日志审计：是否已配置日志审计； 主机安全：是否已安装终端安全EDR客户端。 安全数据区域 汇总展示服务器主机威胁、漏洞安全情况。 分组浏览 可选择服务器分组进行筛选资产。

本章节主要介绍翼MapReduce服务ZooKeeper健康检查指标项说明。 ZooKeeper服务处理请求平均延时 指标项名称 ：ZooKeeper服务处理请求平均延时 指标项含义 ：检查ZooKeeper服务处理请求的平均延时，如果大于300毫秒，则认为不健康。 恢复指导： 如果该指标项异常，则需要检查集群的网络速度是否正常、内存或CPU使用率是否过高。 ZooKeeper连接数使用率 指标项名称 ：ZooKeeper连接数使用率 指标项含义 ：检查ZooKeeper内存使用率是否超过80%。如果超过阈值，则认为不健康。 恢复指导 ：如果该指标项异常，建议增加ZooKeeper服务可以使用的内存。可以通过ZooKeeper服务配置中的“GCOPTS”配置项参数Xmx来修改，修改完成需重启ZooKeeper服务。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查ZooKeeper服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议检查KrbServer、LdapServer两个服务的健康状态是否为故障并进行处理。然后登录ZooKeeper客户端，确认ZooKeeper是否无法写入数据，根据错误提示排查ZooKeeper写数据失败的原因。最后参考告警ALM13000进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本页为其他云MySQL迁移到RDS for MySQL时如何创建VPC和安全组的介绍。 创建安全组 操作场景 您可以创建安全组并定义安全组中的规则，比如，将VPC中的划分成不同的安全域，以提升访问的安全性。建议您将不同公网访问策略的划分到不同的安全组。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在“安全组”界面，单击“创建安全组”。 5. 在“创建安全组”界面，根据界面提示配置参数。 6. 单击“确定”。 创建虚拟私有云VPC 操作步骤 1. 登录控制中心，在系统首页，单击【网络 > 虚拟私有云】。 2. 在【虚拟私有云列表】界面，单击【创建虚拟私有云】。 3. 在【申请虚拟私有云】页面，根据界面提示配置参数。 参数说明如下表： 4. 参数 说明 取值样例 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持的网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet001 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 开启IPv6 开启IPv6功能后，将自动为VPC分配IPv6网段，当VPC下所有子网均关闭IPv6后，才能关闭VPC的IPv6功能。 注：如果需要通过IPv6与公网互通，请购买IPv6带宽或共享带宽，并将需要通公网的IPv6地址绑定到IPv6带宽或共享带宽。 5. 单击【立即创建】。

本文将重点介绍企业访问安全相关策略。 使用场景 边缘安全加速平台的零信任服务秉承“持续验证，永不信任”的原则，在基于身份认证和应用授权构建的访问信任基础之上，持续验证每个网络请求，及时识别并拦截攻击行为，全方位地保障您的企业资源安全，本文将重点介绍企业访问安全相关策略。 操作限制 进行相关安全策略前提需购买零信任服务，且产品服务处于服务中。 安全策略 重点介绍常用的企业办公安全所需的安全策略，主要策略如下： 身份识别与登录认证：通过密码强校验、二次认证等策略进行强化登录过程中的安全系数。 细粒度的应用资源管控：针对应用、身份进行最小权限限制，避免越权。 持续认证的高级安全防护：通过横向扫描防护、准入管控、终端环境感知来持续动态评估接入内容的访问请求的安全性，如有异常及时进行相关处置。 灵活的访问控制：可针对用户、IP、应用等进行灵活组合限制，满足企业安全管控需求。 身份识别与登录认证 您可以在控制台的身份管理模块为企业员工创建对应的零信任用户账号。企业员工通过零信任客户端登录鉴权后才能访问相关应用资源。零信任服务支持您自定义配置密码合规策略、密码校验失败锁定、二次认证等策略，来加强用户登录过程的安全系数，详情请见身份管理。

微隔离流量状态无法显示 请按如下检查，如果无法解决，请联系服务提供商处理。 1.打开终端安全EDR管理平台“微隔离/微隔离设置”，检查“流量上报”开关是否启用状态，如下图。 2.打开终端安全EDR管理平台[微隔离/流量状态]，检查“过滤流量”条件是否启用，如下图。 3.在终端安全EDR组件中，在【终端管理】→【策略中心】→【安全加固】可查看终端登录密码。 云日记审计系统日记时间不同步？ 登录同网段windows系统，访问云日志审计8082的https端口，输入初始密码登录,并在当前目录设置新密码，在【日期时间管理】，设置与本地同步或者手动调整时间。 二级等保入门版，是否能通过社会上的等保测评公司的测评？ 可以。 单独堡垒机产品客户购买时青岛资源池不可选，安全专区中堡垒机是否存在此情况？ 不会，安全专区的镜像和单产品是不一样的。 北京五过等保是否支持？ 支持。 其他问题？ 如果有如下需求，请联系服务提供商处理。 修改终端安全EDR管理平台443端口； 恢复终端安全EDR管理平台控制台登录密码； 终端安全EDR管理平台需要迁移至其它服务。

本文介绍边缘安全加速平台计费项。 服务 计费构成 计费说明 安全与加速 计费概述 安全与加速的计费总体说明，详见安全与加速计费概述。 安全与加速 基础套餐 您可以根据您的企业规模和需求，按需购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速套餐资费。 安全与加速 套餐外超出 如有流量、带宽、请求数需求，可购买相应扩展服务，具体计费请参考安全与加速套餐超出资费。 安全与加速 扩展服务 如有域名扩展、DDoS需求，可购买相应扩展服务，具体计费请参考安全与加速扩展服务资费。 零信任服务 基础套餐 按需购买不同规格套餐获得相应标准的安全与加速服务，具体请见零信任服务计费模式。 零信任服务 扩展服务 如有终端、流量扩展需求，可购买相应扩展服务，具体计费请参考零信任服务计费模式。 终端管理 基础套餐 终端管理按照设备端点数进行收费，可购买多个端点数，具体请见终端管理计费模式 学术加速 基础套餐 学术加速提供对应学习资料包进行购买，具体请见学术加速计费模式 边缘接入 计费概述 边缘接入的计费总体说明，详见：边缘接入计费概述。 边缘接入 基础套餐 您可以根据企业规模和需求，按需购买不同规格套餐获得相应标准的边缘接入服务，具体请见：边缘接入套餐资费。 边缘接入 套餐外超出 如有流量需求，可按需计费；如有域名、端口数等需求，可购买相应扩展服务，具体计费请参考：边缘接入套餐超出资费。 开发者平台 基础套餐 您可以根据企业规模和需求，按需购买不同规格套餐获得相应标准的开发者平台服务，具体详见：[开发者平台套餐资费](

本节介绍如何在主机安全v1.0中进行Syslog日志外发配置。 前提条件 已购买主机安全v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“主机安全 > 主机安全v1.0”，在目标资源右侧操作列单击“配置”，进入主机安全系统。 2. 在主机安全系统导航栏，选择“联动管理 > 数据外发 > 日志外发” 。 3. 进入日志外发页面，点击日志外发开关，开启此功能；再点击“新建”。 4. 在弹窗中配置外发方式 、IP及端口号 、日志类型后，单击“确定”即可。

本章节主要介绍翼MapReduce服务Loader健康检查指标项说明。 ZooKeeper健康状态 指标项名称 ：ZooKeeper健康状态 指标项含义 ：检查ZooKeeper健康状态是否正常。如果ZooKeeper服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 HDFS健康状态 指标项名称 ：HDFS健康状态 指标项含义 ：检查HDFS健康状态是否正常。如果HDFS服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 DBService健康状态 指标项名称 ：DBService健康状态 指标项含义 ：检查DBService健康状态是否正常。如果DBService服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 Yarn健康状态 指标项名称 ：Yarn健康状态 指标项含义 ：检查Yarn健康状态是否正常。如果Yarn服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 MapReduce健康状态 指标项名称 ：MapReduce健康状态 指标项含义 ：检查MapReduce健康状态是否正常。如果MapReduce服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 Loader进程状态 指标项名称 ：Loader进程状态 指标项含义 ：检查Loader进程状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。

本章节主要介绍翼MapReduce的管理全局用户策略操作。 操作场景 如果租户配置使用Superior调度器，那么系统可以控制具体用户使用资源调度器的行为，包含： 最大运行任务数 最大挂起任务数 默认队列 操作步骤 添加策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 说明 defaults(default setting)表示如果一个用户未配置全局用户策略，则默认使用defaults所指定的策略。该策略不可删除。 4. 单击“添加全局用户策略”，在弹出窗口中填写以下参数。 集群：选择需要操作的集群。 用户名：表示需要控制资源调度的用户，请输入当前集群中已存在用户的名称。 最大运行任务数：表示该用户在当前集群中能运行的最大任务数量。 最大挂起任务数：表示该用户在当前集群中能挂起的最大任务数量。 默认队列：表示用户的队列，请输入当前集群中已存在队列的名称。 修改策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“修改”。 5. 调整相关参数后，单击“确定”。 删除策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“删除”。 在弹出窗口单击“确定”。

本节介绍翼甲控制台的设置功能。 告警配置 用户可在该界面根据业务需要添加告警规则。 （1）开通短信告警：点击“去开通”，可前往开通短信告警功能； （2）添加规则：点击“添加规则”，可添加新的告警规则，可根据具体业务需求对告警规则进行配置。 （3）删除：在列表首列点选告警规则，点击“批量删除”，可完成对规则的批量删除；在单条规则的最右侧操作列，点击“删除”，可完成对单条规则的删除。 （4）编辑：在已创建告警规则的最右侧操作列，点击“编辑”，可对单条规则的内容配置及启用状态进行编辑。 （5）复制：在已创建规则的最右侧操作列，点击“复制”，将会弹出“复制规则”确认框，用户可基于当前告警规则的字段进行二次编辑，点击确认后可创建规则。 （6）导出：点击“导出”，可导出告警规则信息的JSON文件。 （7）导入：将告警规则以JSON文件的格式编辑好后（可参照导出文件的模板），点击“导入”即可完成规则批量导入。 版本升级 在版本升级界面，用户可根据业务需求对防火墙、入侵防御特征库、病毒防护特征库、URL分类库等4个领域的内容，自定义配置自动升级规则及升级时间。

本节介绍翼加密在管理员使用过程的的常见问题。 加密策略中没有找到需要加密的文件类型怎么办？ 如有其他文件类型的加密需求，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多文件类型的加密管控。 加密策略中配置的应用程序有什么用？ 策略中配置的是加密授权的应用程序。加密文件只能被授权的应用软件明文打开和编辑（如下图所示）。未经加密授权或适配的第三方应用软件打开加密文件为密文数据。 备注：如果需要适配其他应用软件，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多应用软件的加密授权。 为什么给AI云电脑开启加密时，提示版本过低？ (1) 开启加密的AI云电脑需要agent版本高于1.31，并且安装加密驱动。 (2) agent和加密驱动版本在加密桌面管理处能看到版本号，如果提示“！”则说明版本过低或未安装。发现这种情况请联系运维处理。 批量全盘加密/解密AI云电脑时，提示无法提交 目前每个资源池可同时进行AI云电脑全盘加密/解密的上限是30个，如果您有大规模的AI云电脑全盘加密或解密需求，请提交工单联系运维专项处理。

本章节主要介绍 翼MapReduce的管理资源分布功能。 用户需要了解服务和主机关键监控指标中最高、最低或平均监控数据形成的曲线，即资源分布情况时，可以在MRS Manager上查看，支持查询1小时以内的监控数据。 用户也可以在MRS Manager上修改资源分布，使服务和主机的资源分布图表中，可以按自定义的数值显示一条或多条最高、最低监控数据形成的曲线。 部分监控指标的资源分布不记录。 操作步骤 查看服务监控指标的资源分布 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“资源贡献排名”。 “指标”中选择服务的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 查看主机监控指标的资源分布 1. 单击“主机管理”。 2. 单击主机列表中指定的主机名称。 3. 单击“资源贡献排名”。 “指标”中选择主机的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 配置资源分布 1. 在MRS Manager，单击“系统设置”。 2. 在“配置”区域“监控和告警配置”下，单击“资源贡献排名配置”。 3. 修改资源分布的显示数量。 “TOP数量”填写最大值的显示数量。 “BOTTOM数量”填写最小值的显示数量。 说明 最大值与最小值的资源分布显示数量总和不能大于5。 4. 单击“确定”保存设置。 界面右上角提示“保存TOP数量和BOTTOM数量成功。”。

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

本章节主要介绍如何创建CSS类型跨源认证。 操作场景 通过在DLI控制台创建的CSS类型的跨源认证，将CSS安全集群的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问CSS安全集群。 本节操作介绍在DLI控制台创建CSS安全集群的跨源认证的操作步骤。 操作须知 已创建CSS安全集群，且集群满足以下条件： CSS集群版本选择“6.5.4”或“6.5.4”以上版本。 CSS集群已开启“安全模式”。 操作步骤 1. 下载CSS安全集群的认证凭证。 a.登录CSS服务管理控制台，单击“集群管理”。 b.在“集群管理”页面中，单击对应的集群名称，进入“基本信息”页面。 c.单击“安全模式”后的下载证书，下载CSS安全集群的证书。 2. 将认证凭证上传到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写CSS认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含CSS安全集群的名称，便于区分不同集群的安全认证信息。 类型 选择CSS。 用户名 安全集群的登录用户名。 用户密码 安全集群的登录密码。 Certificate路径 上传“安全证书”的OBS路径。即步骤2的OBS桶地址。 4. 访问CSS的表。 跨源认证创建成功后，在创建访问CSS的表时只需关联跨源认证即可安全访问数据源。 例如在使用Spark SQL来创建访问CSS的表时使用es.certificate.name字段配置跨源认证信息名称，配置连接安全CSS集群。

本小节介绍容器安全切换至企业主机安全控制台。 您可将原容器安全迁移至企业主机安全控制台实现服务器负载的统一管理，同时可享受新增的功能特性。 新版&旧版功能说明 目前容器安全服务已整合至企业主机安全控制台进行统一管理，优化了既有功能的能力，同时新增了部分新功能。 功能项 CGS旧版（原CGS） CGS新版（HSS新版） 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常 √ √ 容器配置异常 √ √ 容器异常启动 √ √ 容器恶意程序 √ √ 高危系统调用 √ √ 敏感文件访问 √ √ 容器软件信息 √ √ 容器文件信息 √ √ 白名单管理 √ √ 容器策略管理 √ √

操作步骤 通过内网连接TaurusDB实例 步骤 1 购买实例。根据业务需求，确认TaurusDB实例的规格、网络配置、数据库帐户配置信息等。 步骤 2设置安全组规则。 ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则，执行通过内网连接TaurusDB实例。 注意 ECS和TaurusDB实例必须处于同一VPC。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤 3 通过内网连接TaurusDB实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 通过公网连接TaurusDB实例 步骤 1 购买实例。根据业务需求，确认TaurusDB实例的规格、网络配置、数据库帐户配置信息等。 步骤 2 绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至TaurusDB 实例。 步骤 3 设置安全组规则。从安全组外访问安全组内的TaurusDB实例时，需要为TaurusDB实例所在安全组配置相应的入方向规则。 步骤 4 通过公网连接TaurusDB实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本文介绍若同时具备加速及安全防护需求，该如何选择开通安全与加速服务还是开通边缘接入服务。 当客户存在加速需求时，可以参见：边缘接入服务里的应用加速与安全与加速服务里的加速的区别是什么来选择开通合适的服务。 当客户存在安全防护需求时，可以参见：边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别是什么来选择开通合适的服务。

本章节主要介绍翼MapReduce服务的配置修改建议说明。 操作场景 当节点组内ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。升级配置后需要手动修改HDFS、YARN和Spark等服务的配置信息。本文为您介绍如何在翼MR Manager的“配置管理”页面修改配置项。 前提条件 已创建集群。 操作步骤 在翼MR Manager中，单击“运维与配置”。 1. 单击“配置管理”。 2. 选择“所选集群服务”，点击查询，即可在当前页面修改配置信息。 配置修改建议说明 1. Doris：Doris所在节点配置升级后，Doris FE建议使用节点一半内存。 2. Elasticsearch：一个ES节点，内存建议不超过64G。ES所在节点配置升级后，ES会自动根据节点情况设置内存值，一般无须用户手动修改，但需要重启集群。如果想手动设置，可以修改jvm.options文件配置Xms30g、Xmx30g参数，并重启集群。 3. HBase：HBase所在节点配置升级后，修改建议如下： hbasesite.xml：hbase.regionserver.handler.count 说明 一般跟CPU核数相同。 hbaseenv.sh：export HBASEMASTEROPTS ："Xmsg Xmxg" 说明 master不消耗很多内存，一般默认不添加或者分配2~8G左右。 hbaseenv.sh：export HBASEREGIONSERVEROPTS："Xmsg Xmxg " 说明 regionserver需要较多内存，一般配置内存配额的一半或更多。 4. HDFS：HDFS所在节点配置升级后，可以根据hadoopenv.sh 参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NameNode 建议文件、目录、数据块之和1亿，配置50G。 5. Hive：Hive所在节点配置升级后，可以通过hiveenv.sh统一参数配置来进行，也可以在作业提交时使用额外参数指定来进行。通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。内存大小可以根据机器的总内存而定，建议初始值为总内存大小的10%，后续根据性能需求调整。 6. Kafka：Kafka所在节点配置升级后，建议配置如下： kafkaenv.sh设置jvm配置参数：调整jvm堆大小，通过调整参数：export KAFKAHEAPOPTS"Xmx20G Xms20G Xmn4g"设置堆大小。 server.properties文件建议修改的配置项： num.io.threads：修改写磁盘的线程数，建议配置为CPU核数的50%； num.replica.fetchers：修改副本拉取线程数，建议配置为CPU核数50%的1/3； num.network.threads：修改数据传输线程数，建议配置为CPU核数的50%的2/3； replica.fetch.max.bytes：副本拉取数据量的大小。内存增加，可以适当加大该值； socket.send.buffer.bytes：调整socket发送的数据量。内存增加，可以适当加大该值； socket.receive.buffer.bytes：调整socke接受的数据量。内存增加，可以适当加大该值； socket.request.max.bytes：socket请求的数据量。内存增加，可以适当加大该值。 7. Kerberos：建议保持默认值，无需修改配置。 8. Kibana：Kibana是一个基于NodeJS的单页web应用，一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 9. Kyuubi：Kyuubi一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 10. OpenLDAP：建议保持默认值，无需修改配置。 11. Ranger：Ranger所在节点配置升级后，修改建议如下： rangeradmin通过{installdir}/ews/rangeradminservices.sh中变量 rangeradminmaxheapsize的值修改JMX，JAVAOPTS修改Xmx、Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 rangerusersync通过/{installdir}/rangerusersyncservices.sh中变量rangerusersyncmaxheapsize 的值修改JMX，JAVAOPTS修改Xmx Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 12. Spark：Spark所在节点配置升级后，修改建议如下： spark.history.kerberos.principal和spark.history.kerberos.keytab为spark读写eventLog的租户，用户如有特殊需求自行更改。 spark.yarn.historyServer.address: 说明了history server的地址，用户如有特殊需求自行更改。 spark.dynamicAllocation.enabled 和 spark.dynamicAllocation.maxExecutors 分别控制动态和动态开启下能使用的最大资源，用户如有特殊需求自行更改。 spark.executor.cores 和 spark.executor.memory 确保spark.executor的每一个core分配到2~4g内存，标准是4g，具体视情况而定，设置core的memory设置过小executor容易oom。 13. Trino：Trino的服务包括coordinator和worker。Trino所在节点配置升级后，可以根据jvm.config参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx128g Xms128g，然后重启服务。 14. YARN：YARN所在节点配置升级后，可以根据yarnenv.sh 参数配置进行，通过调整服务的内存大小来调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NM用于集群中作业的内存和CPU，需要修改NodeManager节点的yarnsite.xml中的yarn.nodemanager.resource.memorymb的值，该值用于所有作业的最多可用内存；以及yarn.nodemanager.resource.cpuvcores的值，该值用于所有作业的最多可用虚拟CPU核数。 15. ZooKeeper：ZooKeeper所在节点配置升级后，可通过配置java.env文件，在其中添加：export ZKSERVERHEAP2048（这里设置的单位默认是MB）。

本文介绍终端管理。 AOne终端管理是什么 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 AOne终端管理的优势 高效防护：病毒防护为基础，以主动实时防御为核心，联动漏洞自修复引擎自动闭环高危风险，形成‘监测阻断修复’的一体化防御链路，助力企业缩减终端暴露面，提升威胁响应速度。 身份追踪：终端安全身份追踪能精准锁定终端设备中每个身份的操作轨迹，基于身份与设备实时监测、深度溯源与高效防控，管理员可轻松识别风险设备和员工。 DeepSeek接入：凭借DeepSeek先进的自然语言处理与推理能力，帮助企业精准分析终端安全威胁并提供优化策略，无需登录也可以轻松使用。 持续生长：丰富的终端安全能力融合在一个轻量客户端中，可持续生长零信任访问、混合办公等能力，增强办公效率，无需替换客户端极简交付。

参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid isRelStrategy Boolean 是否关联策略： true:是。 false:否。 remark String 描述 createDate Long 创建时间，unix时间戳（毫秒） updateDate Long 更新时间，unix时间戳（毫秒）