本文介绍API安全模块中API标签管理功能。 功能介绍 用户可对API资产进行标签标记，以便对API资产按照不同的维度进行分组分类。API安全提供两种标签类型，一类是平台内置标签，一类是用户自定义标签。 平台内置标签包括：来源、敏感信息、业务用途、自发现标签。 来源：包括手动、自动。若API资产是通过用户手动添加，则会标记为手动；若API资产是通过自发现生成，则会标记为自动。标签名称及内容不可编辑、删除。 敏感信息：在API自发现过程中，若识别到API接口涉及敏感信息的传输，则会标记相应敏感信息，如地址、手机号等。用户可配置是否启用对于某项标签内容的识别。 业务用途：在API自发现过程中，若识别到API接口特征与某业务用途相匹配，则会标记相应业务用途，如登录认证、数据导出等。用户可配置是否启用对于某项标签内容的识别。 自发现标签：下发自发现任务时，可定义本次自发现标签，则本次任务中发现的API资产均会打上对应标签。标签名称不可编辑、删除。标签内容支持新增、编辑、删除。 自定义标签：用户自定义标签名称及标签内容。 说明 API标签的使用范围为所有域名下的API资产，即在域名A下新增的API标签，可在域名B的API资产中使用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

服务名称 服务类别 说明 （ 支持的地域信息以控制台展现为准 ） 对象存储服务ZOS 云服务 由系统配置为终端节点服务，实现通过终端节点访问ZOS内网地址。（当前支持地域为华东华东1） 内网DNS 云服务 内网DNS:由系统配置为终端节点服务，实现通过终端节点访问内网DNS。（当前支持地域为湖南长沙37） 弹性云主机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。 弹性负载均衡（内网） 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于高访问量业务和对可靠性和容灾性要求较高的业务。 虚拟IP 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于需要主备高可靠的业务。 物理机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。

本文介绍分片回源的适用场景和配置方法。 功能介绍 分片回源，是指边缘节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给边缘安全加速平台。分片回源功能开启后，边缘节点以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 下表为分片回源功能不同状态下的相关描述： 功能 状态 描述 分片回源 关闭 分片回源功能未开启时，若客户端发起Range请求，Range请求头部Start值的偏移量在一定范围内（默认为5MB），例如Range：10485762097152（其中1048576为Start值，2097152为End值），边缘加速平台会默认回源获取完整文件并缓存，同时响应给客户端Range范围内的数据内容。如Range请求的Start值范围超出5MB，且边缘节点尚未缓存完整文件，则边缘节点直接透传Range请求回源站，响应数据给用户的同时，不缓存对应文件。 分片回源 开启 开启分片回源后，无论客户端发起的是否Range请求，边缘节点无缓存时，均按配置的Range分片大小回源，如源站响应206状态码，则边缘缓存对应分片内容，并响应206（如客户端为Range请求）或200（如客户端为完整文件请求）给客户端。 客户端发起Range请求，边缘安全加速平台有Range范围的文件内容缓存时，直接响应206状态码及对应范围缓存内容给客户端。 分片回源 自适应 天翼云边缘安全加速平台同时支持自适应回源，即：如果客户端携带Range请求头，则按分片回源；如果客户端没有携带Range请求头，则按完整文件回源。 按分片回源时，会按照配置的分片大小回源，响应数据给用户的同时缓存文件。 注意 分片回源功能默认关闭。

本章介绍常见故障案例如何处理。 背景说明 客户端在安装时可能会出现安装失败，或安装成功后会出现异常的情况。本章节将通过一些问题现象说明，帮助用户快速定位问题，解决客户端的使用问题。 客户端状态显示异常 问题现象： 安装客户端后，界面上客户端列表里客户端状态为“异常”。 可能原因： 客户端状态异常 解决方案： 1. 查看客户端进程是否正常运行；如果进程已退出，重新运行客户端进程。Windows系统下可以双击agentstart.bat文件，Linux系统下执行命令 。 2. 重新安装文件备份客户端。 3. 检查客户端时间和时区，如果发现客户端与服务器的时间相差大于15分钟，请根据本地UTC时间调整本地时间以避免此问题。如果调整完成后，客户端状态仍然异常，则是由于系统查询客户端状态不是实时的，需要等待半小时左右可恢复正常。 安装失败，提示“BackupService.7403，非法客户端” 问题现象： 安装客户端时失败，提示“BackupService.7403，非法客户端”。 可能原因： 安装客户端前没有购买存储库。 解决方案： 1. 在云服务备份控制台上，购买混合云备份存储库。 2. 重新安装客户端。 安装失败，提示“Could not resolve host” 问题现象： 安装客户端时失败，提示“Could not resolve host”。 可能原因： 本地的DNS服务器不能解析公有云公网域名。 解决方案： 1. 编辑本地主机的resolv.conf文件，查看是否配置域名服务器；如果是公网访问天翼云，可以将域名服务器配置为“8.8.8.8”。 2. 重新安装客户端。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则 待签名字符串 需要进行签名的Header排序后的组合列表 + "n" + 排序的query + "n" + toHex(sha256(原封的body)) 排序的header例子： 假设您需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果您加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z。 1、先是拿您申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 2、拿ktime作为密钥，您申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据，算出kdate。

本章节主要介绍翼MapReduce服务LdapServer健康检查指标项说明。 SlapdServer服务可用性检查 指标项名称： SlapdServer服务可用性 指标项含义： 系统对SlapdServer服务状态进行检查。如果检查结果不正常，则SlapdServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是SlapdServer服务所在节点故障或者SlapdServer进程故障。操作人员进行SlapdServer服务恢复时，请尝试如下操作： 检查SlapdServer服务所在节点是否故障。详细操作请参见告警ALM12006处理。 检查SlapdServer进程是否正常。详细操作请参见告警ALM12007处理。 服务健康状态 指标项名称： 服务状态 指标项含义 ：系统对LdapServer服务状态进行检查。如果检查结果不正常，则LdapServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是主LdapServer服务所在节点故障或者主LdapServer进程故障。详细操作请参见告警ALM25000处理。 检查告警 指标项名称： 告警信息 指标项含义 ：系统对LdapServer服务的告警信息进行检查。如果存在告警信息，则LdapServer服务可能存在异常。 恢复指导： 如果该指标项检查结果不正常，建议根据告警内容，查看对应的告警资料，并进行相应的处理。

本节以Windows Server 2008 标准版64位中文版弹性云主机为例,指导您修改IIS上绑定的域名。 问题描述 访问IIS搭建的网站的时候报错404。 原因分析 IIS上绑定的域名没有指定IP地址。 操作步骤 1. 登录弹性云主机，选择“开始 >管理工具 > 信息服务（IIS）管理器”。 2. 在IIS管理器界面，选择需要编辑的网站。单击右键选择“编辑绑定”。 3. 选择待修改的网站，选择相应的域名，单击“编辑”，添加指定弹性云主机的私有IP地址。单击确定，完成IP绑定。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 6 （可选）参考角色管理，根据业务需要，创建角色。 步骤 7 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 8 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 9 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 10 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本文主要介绍云日志服务的查询语句语法。 云日志服务提供一套查询分析语句，由查询条件与SQL语句组成，两者通过管道符竖线 分割。 查询条件：通过查询条件指定日志内容需要匹配的条件，返回符合该条件的日志。例如使用 'status:404' 查询响应状态码为404的日志。检索条件为空代表无检索条件，即所有日志均可被查询出来。 SQL语句：通过SQL语句可针对符合检索条件的日志进行统计分析，返回统计分析结果。例如使用以下查询分析语句，统计响应状态码为404的日志数量。 plaintext status:404 select count() as num 本文主要介绍查询语句语法，SQL语法与使用说明请查看SQL语法。若您只需要查询日志，不需要进行统计分析，则可省略其中的管道符及SQL语句。 查询方式 根据索引配置方式可分为全文搜索和字段搜索，根据搜索精确程度可分为精确搜索和模糊搜索。 以下为云日志服务提供的各种查询方式介绍以及查询语句示例。 全文查询 前提条件：配置索引时开启了全文索引，详情请查看索引配置。 语法说明：日志单元配置全文索引后，日志服务将原始日志拆分成多个关键词。您可直接输入关键词进行检索。 plaintext keyword1 [ [ and or not ] keyword2 ] ... 使用示例：以下示例均为搜索原文中同时包含ERROR和INFO关键词的日志 plaintext ERROR INFO plaintext ERROR and INFO 注意 message为日志原文对应的内置字段，查询语句ERROR等同于message:ERROR，默认匹配日志原文的内容。 多个关键词默认通过AND连接，查询语句ERROR INFO等同于ERROR and INFO。

本文介绍天翼云云搜索服务OpenSearch实例的监控信息。 实例提供支持查看云搜索服务实例的核心指标监控能力，方便用户掌握实例情况，及时处理实例异常。 使用限制 每次查询最多可选择10个节点/索引进行查看。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要查看的实例点击操作栏的监控按钮或点击实例名称，进入实例详情页。 2. 在实例详情页选择实例监控。 3. 实例监控共提供3种维度的指标查看： 1. 实例级：提供当前实例的整体情况，部分指标可切换查看各项指标的最大值和平均值。 2. 节点级：选择单个或多个节点查看对应指标。 3. 索引级：选择实例中已有的open状态的索引一个或多个进行查看。 云搜索服务支持的指标清单 实例支持查看的指标 指标名称 指标含义 取值范围 健康状态 该指标用于统计测量监控对象的状态 green（健康）、yellow（可用）、red（异常） 磁盘使用率 该指标用于统计测量对象的磁盘使用率 0100% JVM 内存使用率 实例各个节点平均/最大JVM使用率 0100% CPU 使用率 实例各个节点平均/最大CPU使用率 0100% 实例写入QPS 当前实例的每秒写入速率 ≥ 0 实例查询QPS 当前实例的每秒查询速率 ≥ 0 实例索引数量 当前实例的索引数量 ≥ 0 实例分片数量 当前实例的分片数量 ≥ 0 实例文档数量 当前实例的文档数量 ≥ 0 写入延迟 完成单次索引写入的平均/最大时间 ≥ 0 ms 查询延迟 完成单次搜索操作所需的平均/最大时间 ≥ 0 ms 1分钟负载 实例1分钟所有节点的平均/最大负载 ≥ 0

本文介绍天翼云云搜索服务Elasticsearch实例的监控信息。 实例提供支持查看云搜索服务实例的核心指标监控能力，方便用户掌握实例情况，及时处理实例异常。 使用限制 每次查询最多可选择10个节点/索引进行查看。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要查看的实例点击操作栏的监控按钮或点击实例名称，进入实例详情页。 2. 在实例详情页选择实例监控。 3. 实例监控共提供3种维度的指标查看： 1. 实例级：提供当前实例的整体情况，部分指标可切换查看各项指标的最大值和平均值。 2. 节点级：选择单个或多个节点查看对应指标。 3. 索引级：选择实例中已有的open状态的索引一个或多个进行查看。 云搜索服务支持的指标清单 实例维度支持查看的指标 指标名称 指标含义 取值范围 健康状态 该指标用于统计测量监控对象的状态 green（健康）、yellow（可用）、red（异常） 磁盘使用率 该指标用于统计测量对象的磁盘使用率 0100% JVM 内存使用率 实例各个节点平均/最大JVM使用率 0100% CPU 使用率 实例各个节点平均/最大CPU使用率 0100% 实例写入QPS 当前实例的每秒写入速率 ≥ 0 实例查询QPS 当前实例的每秒查询速率 ≥ 0 实例索引数量 当前实例的索引数量 ≥ 0 实例分片数量 当前实例的分片数量 ≥ 0 实例文档数量 当前实例的文档数量 ≥ 0 写入延迟 完成单次索引写入的平均/最大时间 ≥ 0 ms 查询延迟 完成单次搜索操作所需的平均/最大时间 ≥ 0 ms 1分钟负载 实例1分钟所有节点的平均/最大负载 ≥ 0

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本章节主要介绍如何绑定企业项目。 企业可以根据组织架构规划企业项目，将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组和用户。本章节为您介绍ES中Logstash集群如何绑定、修改企业项目。 前提条件 在绑定企业项目前，您已在“企业项目管理控制台”创建企业项目。 绑定企业项目 在创建集群时，可以在“企业项目”绑定已创建的企业项目，也可以单击“查看项目管理”，前往企业项目管理控制台，新建企业项目和查看已有的企业项目。 修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 1.登录云搜索服务管理控制台。 2.在左侧导航栏，选择“集群管理 > Logstash”，进入集群管理页面。 3.在集群列表中，单击集群名称进入集群“基本信息”页面。 4.在集群“基本信息”页面，单击“企业项目”右侧的企业项目名称，进入项目管理页面。 5.在“资源”页签下，“区域”选项中选择当前集群所在的区域，“服务”选项中选“云搜索服务 ES”。此时，资源列表将筛选出对应的ES集群。 6.勾选需要修改企业项目的集群，然后单击“迁出”。 7.在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 迁出资源 8.迁出完成后，可以在云搜索服务管理控制台集群管理页面，查看修改后的集群企业项目信息。

本章节列举了使用云主机备份过程中的恢复类问题,以及相对应的解答。 使用云主机备份恢复数据时，需要停止云主机吗？ 恢复数据时系统会关闭云主机，待数据恢复后系统会自动启动云主机。 如果取消勾选“恢复后立即启动云主机”，则需要用户手动启动云主机。 云主机变更后能否使用备份恢复数据？ 如果您的云主机做过备份后进行变更（添加、删除、扩容云硬盘），还可以使用原有的备份恢复数据。但因为文件系统的限制，恢复数据后，云硬盘恢复为未变更前的状态，建议您在变更后重新做备份。 如果备份后用户添加了云硬盘，再使用备份进行恢复，则添加的云硬盘数据不会改变。 如果备份后用户删除了云硬盘，再使用备份进行恢复，则删除的云硬盘不会被恢复。 如果备份后用户对服务器切换系统，再使用系统盘备份进行恢复原系统盘，则由于磁盘UUID的改变将导致系统盘备份恢复不成功。 使用备份恢复云主机或镜像创建云主机后，密码被随机如何处理？ 请参考弹性云主机帮助中心，常见问题，密码类，密码重置章节完成对应操作系统密码重置。

本章节主要介绍翼MapReduce服务HDFS健康检查指标项说明。 发送包的平均时间统计 指标项名称 ：发送包的平均时间统计 指标项含义 ：HDFS文件系统中DataNode每次执行SendPacket的平均时间统计，如果大于2000000纳秒，则认为不健康。 恢复指导： 如果该指标项异常，则需要检查集群的网络速度是否正常、内存或CPU使用率是否过高。同时检查集群中HDFS负载是否过高。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查HDFS服务状态是否正常。如果节点有故障，则认为不健康。 恢复指导： 如果该指标项异常，建议检查KrbServer、LdapServer、ZooKeeper三个服务的状态是否为异常并处理。然后再检查是否是HDFS SafeMode ON导致的写文件失败，并使用客户端，确认是否无法在HDFS中写入数据，排查HDFS写数据失败的原因。最后参见告警进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查HDFS服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，请参见告警进行修复。

本章节主要介绍配置升级后的服务配置修改建议。 操作场景 当节点组内ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。升级配置后需要手动修改HDFS、YARN和Spark等服务的配置信息。本文为您介绍如何在翼MR Manager的“配置管理”页面修改配置项。 前提条件 已创建集群。 操作步骤 1. 在翼MR Manager中，单击“运维与配置”。 2. 单击“配置管理”。 3. 选择“所选集群服务”，点击查询，即可在当前页面修改配置信息。 配置修改建议说明 1. Doris：Doris所在节点配置升级后，Doris FE建议使用节点一半内存。 2. Elasticsearch：一个Elasticsearch节点，内存建议不超过64G。Elasticsearch所在节点配置升级后，Elasticsearch会自动根据节点情况设置内存值，一般无须用户手动修改，但需要重启集群。如果想手动设置，可以修改jvm.options文件配置Xms30g、Xmx30g参数，并重启集群。 3. HBase：HBase所在节点配置升级后，修改建议如下： hbasesite.xml：hbase.regionserver.handler.count 说明 ：一般跟CPU核数相同。 hbaseenv.sh：export HBASEMASTEROPTS ："Xmsg Xmxg" 说明 ：master不消耗很多内存，一般默认不添加或者分配2~8G左右。 hbaseenv.sh：export HBASEREGIONSERVEROPTS："Xmsg Xmxg " 说明 ：regionserver需要较多内存，一般配置内存配额的一半或更多。 4. HDFS：HDFS所在节点配置升级后，可以根据hadoopenv.sh 参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NameNode 建议文件、目录、数据块之和1亿，配置50G。 5. Hive：Hive所在节点配置升级后，可以通过hiveenv.sh统一参数配置来进行，也可以在作业提交时使用额外参数指定来进行。通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。内存大小可以根据机器的总内存而定，建议初始值为总内存大小的10%，后续根据性能需求调整。 6. Kafka：Kafka所在节点配置升级后，建议配置如下： kafkaenv.sh设置jvm配置参数：调整jvm堆大小，通过调整参数：export KAFKAHEAPOPTS"Xmx20G Xms20G Xmn4g"设置堆大小。 server.properties文件建议修改的配置项： num.io.threads：修改写磁盘的线程数，建议配置为CPU核数的50%； num.replica.fetchers：修改副本拉取线程数，建议配置为CPU核数50%的1/3； num.network.threads：修改数据传输线程数，建议配置为CPU核数的50%的2/3； replica.fetch.max.bytes：副本拉取数据量的大小。内存增加，可以适当加大该值； socket.send.buffer.bytes：调整socket发送的数据量。内存增加，可以适当加大该值； socket.receive.buffer.bytes：调整socke接受的数据量。内存增加，可以适当加大该值； socket.request.max.bytes：socket请求的数据量。内存增加，可以适当加大该值。 7. Kerberos：建议保持默认值，无需修改配置。 8. Kibana：Kibana是一个基于NodeJS的单页web应用，一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 9. Kyuubi：Kyuubi一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 10. OpenLDAP：建议保持默认值，无需修改配置。 11. Ranger：Ranger所在节点配置升级后，修改建议如下： rangeradmin通过{installdir}/ews/rangeradminservices.sh中变量 rangeradminmaxheapsize的值修改JMX，JAVAOPTS修改Xmx、Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 rangerusersync通过/{installdir}/rangerusersyncservices.sh中变量rangerusersyncmaxheapsize 的值修改JMX，JAVAOPTS修改Xmx Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 12. Spark：Spark所在节点配置升级后，修改建议如下： spark.history.kerberos.principal和spark.history.kerberos.keytab为spark读写eventLog的租户，用户如有特殊需求自行更改。 spark.yarn.historyServer.address：说明了history server的地址，用户如有特殊需求自行更改。 spark.dynamicAllocation.enabled 和 spark.dynamicAllocation.maxExecutors 分别控制动态和动态开启下能使用的最大资源，用户如有特殊需求自行更改。 spark.executor.cores 和 spark.executor.memory 确保spark.executor的每一个core分配到2~4g内存，标准是4g，具体视情况而定，设置core的memory设置过小executor容易oom。 13. Trino：Trino的服务包括coordinator和worker。Trino所在节点配置升级后，可以根据jvm.config参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx128g Xms128g，然后重启服务。 14. YARN：YARN所在节点配置升级后，可以根据yarnenv.sh 参数配置进行，通过调整服务的内存大小来调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NM用于集群中作业的内存和CPU，需要修改NM节点的yarnsite.xml中的yarn.nodemanager.resource.memorymb的值，该值用于所有作业的最多可用内存；以及yarn.nodemanager.resource.cpuvcores的值，该值用于所有作业的最多可用虚拟CPU核数。 15. ZooKeeper：ZooKeeper所在节点配置升级后，可通过配置java.env文件，在其中添加：export ZKSERVERHEAP2048（这里设置的单位默认是MB）。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本章节介绍应用容灾多活的产品优势。 产品优势 应用容灾多活提供横向链路上从应用数据同步到故障演练容灾的一站式管理，纵向链路上从流量接入到数据分层的故障切换能力，助力企业云上业务实现多活高可用建设，提升业务连续性。 与业务自建容灾相比，产品具备如下多种优势。 丰富的容灾架构 容灾多活产品当前支持多种容灾架构，包括异地应用多活和异地数据多活（单元化），满足业务应用从数据级到业务级的容灾诉求，跨越单可用区、多可用区、单地域、多地域等不同距离的物理场景，客户可以根据自身业务的发展状况、业务规模、物理架构、容灾诉求和投入成本等，灵活选择合适的容灾架构。 标准的解决方案 使用容灾多活产品提供的标准化解决方案和管控能力，可以帮助客户降低容灾建设的实现复杂度，克服实现难点，具备更高的落地可行性和更低的落地成本，减少客户自行构建引入的设计缺陷，避免不必要的业务损失。 一站式接入管控 容灾多活产品深度集成云上业务使用的核心产品，通过对应用的分层抽象，统一管控接入层、服务层、数据层等关键组件，帮助业务屏蔽组件管理差异，自动编排有序的容灾流程，提供引导式交互，实现用户对应用接入、配置、编排、演练、切换、监控等一站式操作。

本文向您介绍息壤智算集群续订,帮助您了解息壤智算集群的基本情况。 续订集群即对于未选择自动续订的资源，将集群控制面云主机及ELB资源进行整体续订。 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的“息壤智算集群”，进入集群列表页。 2. 单击列表页中集群名称，进入集群详情页面，选择“集群控制面实例”栏。 3. 查看当前集群管理面的云主机和负载均衡的信息。点击“续订”按钮进入订单续订管理页面，根据集群ID进行续订。续订时请务必保证云主机和弹性负载均衡实例一同续订，以防集群不能正常使用。

删除自动备份 自动备份策略关闭后，支持用户删除已保存的自动备份，从而释放相关存储空间。 自动备份策略开启后，对于过期的自动备份，系统会检测并删除，用户不可删除自动备份。 注意 备份删除后，不可恢复，请谨慎操作。 方式一 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“实例管理”页面，单击目标实例，进入实例的“基本信息”页面 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“删除”。 在“删除备份”弹出框中，确认目标备份信息，单击“是”。 方式二 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“备份管理”页面，单击目标备份对应操作列中的“删除”。 在“删除备份”弹出框中，确认目标备份信息，单击“是”。

配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 特殊状态码 需要开启状态码过期时间（源站优先）的具体状态码，例如404，504等。 过期时间 源站响应特殊状态码，且无缓存相关响应头时，希望全站加速侧配置的缓存过期时间。

本文介绍CDN加速欠费产生后的处理规则。 当客户的天翼云账户中，没有余额或产生欠费的情况下，天翼云会关停客户的CDN加速服务，并通过短信通知客户充值。 关停服务 关停客户的CDN加速服务，即天翼云CDN会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为“已停止”，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过在线充值结清欠款，并对域名进行【启用】操作，CDN加速产品即可恢复服务。操作步骤如下： 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到【已停止】的域名，单击【操作】列的【启用】。 4. 对弹出的【启用确认】，单击【确认启用】。 预警设置 为避免欠费情况的产生，可通过对客户在天翼云官网账户的可用额度进行预警设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

操作场景 查看终端节点服务的后端服务名称、服务类型、虚拟私有云、状态等。 操作步骤 1.登录管理控制台。 2.单击“服务列表”，选择“网络 > 终端节点”，进入终端节点页面。 3.在左侧导航栏选择“终端节点 > 终端节点服务”。 4.单击要查看的终端节点服务，如下图所示。 终端节点服务基本信息

Error: remote trust data does not exist 问题现象： 使用docker pull拉取镜像，报错“Error: remote trust data does not exist”。 问题原因： 客户端开启镜像签名验证，而镜像没有镜像签名层。 解决方法： 查看“/etc/profile”文件中的环境变量是否设置了 DOCKERCONTENTTRUST1 ，如果设置了，请将其改为 DOCKERCONTENTTRUST0 ，然后执行source /etc/profile生效。 如何解决内网下载镜像失败？ 内网下载镜像失败基本上都是由于DNS配置问题导致的，可以采用以下两种方法进行修改。 方法一： 编辑“/etc/resolv.conf”文件，在/etc/resolv.conf中新增一个内网DNS服务器地址，具体的内网DNS地址请参考云主机所在VPC子网的DNS设置。 说明 新增的DNS服务器地址必须位于所有原有的DNS服务器地址之前。 DNS配置操作在保存“/etc/resolv.conf”文件的修改操作后立即生效。 方法二： “/etc/resolv.conf”文件的修改操作在弹性云主机重启后会失效，需要重新进行配置。如果用户不希望每次重启弹性云主机后都重新配置DNS，可以按如下步骤修改虚拟私有云的子网信息，将DNS服务器地址添加到弹性云主机对应的子网中。 注意 对虚拟私有云的子网信息的修改会影响所有使用该子网创建的弹性云主机。 e. 登录管理控制台，选择“网络 > 虚拟私有云”。 f. 修改VPC子网的DNS服务器地址。 g. 重启弹性云主机，查看“/etc/resolv.conf”文件的内容，确认其中包含待配置的DNS服务器地址，并且新增的DNS服务器地址位于其他DNS服务器地址之前。

操作场景 您可以通过管理控制中心来创建密钥对。创建完成后，公钥将自动保存在系统中，而私钥则由用户保存在本地。 操作步骤 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择"计算>弹性云主机"。 3. 在左侧导航栏，单击"SSH密钥对"，进入密钥对列表。 4. 单击右上角的"创建密钥对"按钮，输入“名称”并选择“企业项目”后点击“确定”按钮开始创建。 5. 创建密钥对成功后，弹窗会自动下载“XXXX.pem”密钥到本地。 注意 为保证云主机安全，私钥只能下载一次，私钥丢失后将无法登录云主机，请您妥善保管。 6. 返回SSH密钥对列表页，点击列表右上角的刷新按钮，查看SSH密钥对的创建情况。 相关操作 您可以通过“解绑密钥对”功能解绑密钥对。

配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 特殊状态码 需要开启状态码过期时间（源站优先）的具体状态码，例如404，504等。 过期时间 源站响应特殊状态码，且无缓存相关响应头时，希望CDN侧配置的缓存过期时间。

本文为您介绍反向注册的操作流程。 操作场景 在生产中心的受保护的服务器完成确认故障切换后，可以对容灾中心的云主机进行反向注册操作，为后续的反向复制做准备。完成反向注册后，受保护的服务器将变为容灾中心的云主机。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“确认故障切换完成”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞反向注册”。本节以ecmtest为例。 7. 弹出“反向注册”确认页面，确认信息无误后单击“确定”，云主机状态变为“反向注册中”。 8. 待云主机状态变为“已反向初始化”，说明反向注册完成。 此时，受保护的服务器变为容灾中心的云主机，本示例中为ecmrecovery。

本节介绍如何查看云安全中心审计事件。 支持审计的操作列表 事件名称 读写类型 资产管理资产导入模板下载 写类型 资产管理资产导入 写类型 告警管理工单处置小结上传文件 写类型 资产管理资产导出 读类型 分析中心图表分析导出 读类型 告警管理工单处置小结下载文件 读类型 查看云审计事件 1. 登录云审计产品控制台，默认进入云审计事件列表页面。 2. 事件来源 选择“安全”，资源类型选择“云安全中心”，单击“查询”，筛选云安全中心事件。 3. 在需要查看的事件左侧，单击展开该事件的详细信息。 4. 在需要查看的事件右侧，单击操作列的“查看详情”，弹出一个窗口显示该操作事件结构的详细信息。 关于事件详情中字段详解，请参见审计服务事件参考。

本文介绍如何选择合适的动态回源策略。 功能介绍 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求？天翼云边缘安全加速平台安全与加速服务根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。默认所有源站权重相同，支持对不同源站配置不同的权重。 保持登录：基于客户端IP进行哈希计算，保证相同客户端IP的多次请求始终访问到相同的源站。 注意事项 基础版、高级版、企业版、旗舰版支持动态加速能力。 动态回源策略仅对动态请求生效，默认为择优回源。 静态请求默认轮询回源。 配置说明 1.登录客户控制 2.在域名列表页面，点击目标域名“详情”。 3.进入站点加速网络优化页面，点击“编辑配置”。 4.选择合适的动态回源策略。

本文主要介绍如何修改IP地址组基本信息。 操作场景 本章节指导用户修改IP地址组。 说明 修改IP地址组，相应安全组规则和网络ACL规则的源地址范围也会随之改变。 修改IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“修改”，可以对IP地址组信息进行修改，包括名称、IP地址、描述。

本章节主要介绍认证策略。 大数据平台用户需要对用户进行身份认证，防止不合法用户访问集群。安全模式或者普通模式的集群均提供认证能力。 安全模式 安全模式的集群统一使用Kerberos认证协议进行安全认证。Kerberos协议支持客户端与服务端进行相互认证，提高了安全性，可有效消除使用网络发送用户凭据进行模拟认证的安全风险。集群中由KrbServer服务提供Kerberos认证支持。 Kerberos用户对象 Kerberos协议中，每个用户对象即一个principal。一个完整的用户对象包含两个部分信息：用户名和域名。在运维管理或应用开发的场景中，需要在客户端认证用户身份后才能连接到集群服务端。系统操作运维与业务场景中主要使用的用户分为“人机”用户和“机机”用户。二者主要区别在于“机机”用户密码由系统随机生成。 Kerberos认证 Kerberos认证支持两种方式：密码认证及keytab认证。认证有效时间默认为24小时。 密码认证：通过输入用户正确的密码完成身份认证。主要在运维管理场景中使用“人机”用户进行认证，命令为kinit 用户名 。 keytab认证：keytab文件包含了用户principal和用户凭据的加密信息。使用keytab文件认证时，系统自动使用加密的凭据信息进行认证无需输入用户密码。主要在组件应用开发场景中使用“机机”用户进行认证。keytab文件也支持在kinit命令中使用。 普通模式 普通模式的集群不同组件使用原生开源的认证机制，不支持kinit认证命令。FusionInsight Manager（含DBService、KrbServer和LdapServer）使用的认证方式为用户名密码方式。组件使用的认证机制如下表所示。 表 组件认证方式一览表 服务 认证方式 ClickHouse simple认证 Flume 无认证 HBase WebUI：无认证 客户端：simple认证 HDFS WebUI：无认证 客户端：simple认证 Hive simple认证 Hue 用户名密码认证 Kafka 无认证 Loader WebUI：用户名密码认证 客户端：无认证 Mapreduce WebUI：无认证 客户端：无认证 Oozie WebUI：用户名密码认证 客户端：simple认证 Spark2x WebUI：无认证 客户端：simple认证 Storm 无认证 Yarn WebUI：无认证 客户端：simple认证 ZooKeeper simple认证 认证方式解释如下： “simple认证”：在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”或“omm”）自动进行认证，管理员或业务用户不显式感知认证，不需要kinit完成认证过程。 “用户名密码认证”：使用集群中“人机”用户的用户名与密码进行认证。 “无认证”：默认任意的用户都可以访问服务端。