本章节主要介绍Spark作业相关问题中有关作业运维报错的问题。 Spark作业访问OBS数据时报ResponseCode: 403和ResponseStatus: Forbidden错误 问题现象 Spark程序访问OBS数据时上报如下错误。 Caused by: com.obs.services.exception.ObsException: Error message:Request Error.OBS servcie Error Message. ResponseCode: 403, ResponseStatus: Forbidden 解决方案 Spark程序访问OBS数据时，需要通过配置AK、SK的访问进行访问。具体访问方式可以参考上方：通用队列操作OBS表如何设置AK/SK。 有访问OBS对应的桶的权限，但是Spark作业访问时报错 verifyBucketExists on XXXX: status [403] 请排查“全局配置 > 作业配置” 对应OBS桶是否被设置为了DLI日志桶。 日志桶不能用于DLI的其他业务功能中。 Spark作业运行大批量数据时上报作业运行超时异常错误 Spark作业程序访问大批量数据，如访问DWS大批量数据库数据时，建议设置并发数，启动多任务的方式运行，避免作业运行超时。 使用Spark作业访问sftp中的文件，作业运行失败，日志显示访问目录异常 Spark作业不支持访问sftp。 建议将文件数据上传到OBS，再通过Spark作业进行读取和分析。 执行作业的用户数据库和表权限不足导致作业运行失败 问题现象 Spark作业运行报数据库权限不足，报错信息如下： org.apache.spark.sql.AnalysisException: org.apache.hadoop.hive.ql.metadata.HiveException: MetaException(message:Permission denied for resource: databases.xxx,action:SPARKAPPACCESSMETA) 解决方案 需要给执行作业的用户赋数据库的操作权限，具体操作参考如下： 1. 在DLI管理控制台左侧，单击“数据管理”>“库表管理”。 2. 单击所选数据库“操作”栏中的“权限管理”，将显示该数据库对应的权限信息。 3. 在数据库权限管理页面右上角单击“授权”。 4. 在“授权”弹出框中，选择“用户授权”或“项目授权”，填写需要授权的用户名或选择需要授权的项目，选择相应的权限。 5. 单击“确定”，完成授权。

类别 默认用户 初始密码 描述 OMS数据库 ommdba dbChangeMe@123456 OMS数据库管理员用户，用于创建、启动和停止等维护操作。 omm ChangeMe@123456 OMS数据库数据访问用户。 DBService数据库 omm dbserverAdmin@123 DBService组件中GaussDB数据库的管理员用户。 hive HiveUser@ Hive连接DBService数据库用户。 hue HueUser@123 Hue连接DBService数据库用户。 sqoop SqoopUser@ Loader连接DBService数据库的用户。 ranger RangerUser@ Ranger连接DBService数据库的用户。

实例规格 CPU类型 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 基础Cluster版双副本24G(3分片) X86 1000 420300.53 2.299 3.159 3.687 基础Cluster版双副本24G(3分片) X86 3000 426721.28 6.760 9.415 12.143 基础Cluster版双副本24G(3分片) X86 10000 358937.53 25.451 39.487 211.583 增强Cluster版双副本24G(3分片) X86 1000 638814.38 1.347 1.855 2.279 增强Cluster版双副本24G(3分片) X86 3000 637999.25 4.053 6.167 7.535 增强Cluster版双副本24G(3分片) X86 10000 571037.06 14.612 23.407 26.831

本节介绍如何升级扩容托管检测与响应服务（原生版）的规格。 购买了托管检测与响应服务（原生版）的基础版、企业版、全流量分析服务后，支持根据实际使用需求新增服务规格。 升级基础版托管资产数 升级企业版托管资产数 升级全流量分析服务规格

本文主要介绍智能边缘云业务及实例开通方式。 实例开通 在使用智能边缘云服务时，需要开通所需的服务实例，例如虚拟机实例，弹性IP实例等。 客户可以通过以下步骤进入ECX控制台，进行实例开通： 1. 使用天翼云账号登录天翼云官网。 2. 点击【产品】，选择【CDN与边缘】，找到【边缘计算】。 3. 点击【智能边缘云】，进入智能边缘云的产品介绍页。 4. 点击【管理控制台】进入。 也可以直接输入域名 客户进入控制台后： 点击左侧导航栏【边缘虚拟机】，可以进入创建虚拟机实例。 点击左侧导航栏【边缘裸金属】，可以进入创建裸金属实例。 点击左侧导航栏【边缘存储】，可以创建云硬盘、本地盘或本地裸盘等实例。 点击左侧导航栏【边缘网络】，可以看到多项网络能力，客户可以创建VPC，创建弹性公网IP，创建共享带宽，创建NAT网关，创建负载均衡等实例。 体验包开通 如果您有体验需求，请先联系您的客户经理，申请使用体验包。申请经核审通过后，客户经理将为您开通体验包，使您能够体验智能边缘云服务。如需了解更多详情，请咨询您的客户经理。

操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 在界面右上角，单击“续费”。 5. 在“续费管理”界面，根据页面提示完成续费。 如何退订云防火墙？ 退订后原CFW配置数据将不能保存且无法找回，建议您退订前导出防护策略，重购后导入防护策略，以便CFW更好的为您防护。有关导入导出策略的详细操作，请参见导入/导出防护策略。 操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 在弹出的对话框中，勾选需要退订的资源，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

本章节为您介绍数据安全专区的产品优势。 多维度的数据资产快速梳理 快速识别网络中的个人信息、重要数据、行业敏感数据，掌握数据的分布情况、存储方式和数据量级，生成数据保护对象清单 。 采用自动发现、人工录入等方式，对数据库、数据表、数据字段进行管理，支持对敏感数据分类分级自动梳理 。 采用自动发现、人工录入等方式，对应用系统资产、API接口进行管理，并形成数据链路刻画 。 采用自动发现、人工录入等方式，对网络主机资产信息进行统一梳理 。 丰富的数据源支持 系统适配关系型数据库、国产数据库、MPP数据库、数仓、大数据组件等合计超40+数据源类型，同时支持word、pdf、txt等非结构化数据的分类分级。 基于业务系统的数据流动全链路监控 围绕业务场景开展的数据流动安全监管，将业务场景分解到业务系统上的数据流和数据节点进行细粒度的监控，实现基于业务规则的数据流动安全监管。包括全局性敏感数据的违规访问、调用、泄露等；基于业务特性的数据异常情况监控。 智能灵活的分析建模引擎 规则引擎内置 200+ 模型规则，涵盖常见安全攻击行为特征；支持规则模型、统计模型、关联模型以及智能AI模型，并可通过图形化方式进行配置编排，可通过不同规则组合以满足复杂的告警场景需求。

天翼云控制台配置 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，查看下一代防火墙所在VPC。 3. 在防火墙同VPC内新建子网。新建子网详细操作请参见创建子网。 说明 单台防火墙需要新增至少3张网卡，一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡。 结合初始创建防火墙时自带的主网卡作为M口管理，单台设备共计需要4张网卡。 4. 为防火墙设备绑定网卡。 说明 防火墙云主机绑定网卡时所选子网先后顺序需保持一致，为云主机绑定网卡详细操作请参见 若绑定网卡时遇到问题，可联系天翼云工作人员。 5. 申请虚拟IP地址并绑定至防火墙设备的网卡。 说明 请按照以下步骤申请并绑定虚拟IP： 1. 共需根据防火墙子网所在网段购买三个虚拟IP，基于步骤3所创建的三个子网进行申请虚拟地址。申请虚拟IP详细操作请参见 2. 将申请的虚拟地址绑定至新建的弹性网卡，详细操作请参见 3. 将新建的网卡两两绑定至虚拟IP。 4. 绑定完成后，需重启两台添加了网卡的防火墙云主机，让设备重新识别网卡。 若绑定虚拟IP时遇到问题，可联系天翼云工作人员协助处理。

本小节介绍计费项。 计费项 HSS根据您的HSS服务版本和购买时长计费。 计费项信息 计费项 计费项说明 适用的计费模式 计费公式 :::: 配额版本 包含基础版、专业版、企业版、旗舰版、网页防篡改版和容器版 包年/包月、按需计费 包年/包月：配额版本购买时长 按需计费：配额版本计费时长 计费详情 规格 资费类型 资费类型 资费 企业版按需订购 按需 元/每个/每小时 0.18 基础版 包月 元/每个/每月 10 专业版 包月 元/每个/每月 40 企业版 包月 元/每个/每月 90 旗舰版 包月 元/每个/每月 200 容器版 包月 元/每个/每月 300 网页防篡改版 包月 元/每个/每月 980 本产品包周期套餐支持包年优惠，一次性付费1年85折，一次性付费2年7折，一次性付费3年5折。

此小节介绍企业主机安全权限管理。 如果您需要对HSS资源为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制对其资源的访问范围。例如您的员工中有负责软件开发的人员，您希望其拥有HSS的使用权限，但是不希望拥有删除HSS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用HSS服务，但是不允许删除HSS的权限，控制其对HSS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用HSS的其它功能。 HSS权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 HSS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问HSS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对HSS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了HSS的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全服务（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 HSSFullAccess 主机安全所有权限。 系统策略 无 HSSReadOnlyAccess 主机安全的只读访问权限。 系统策略 无 系统默认提供两种权限：用户管理权限和资源管理权限。用户管理权限可以管理用户、用户组及用户组的权限。资源管理权限可以控制用户对云服务资源执行的操作。

步骤六：验证连通性 1. 登录天翼云控制台，选择“计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的不带弹性IP的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过ping外网地址，例如ctyun.cn，测试云主机是否能够通过NAT网关访问公网。 可以ping通，说明网络连通。

响应示例3 plaintext HTTP/1.1 204 No Content Date: Thu, 9 May 2024 09:12:47 GMT Connection: keepalive xhblockrequestid: 01d8a27085444f6aaabbd3ebd16348db Server: HBlock

响应示例2 plaintext HTTP/1.1 204 No Content xhblockrequestid: 9022434a208a4c2ebf89da97f3f72976 Connection: keepalive Date: Mon, 01 Aug 2022 01:56:05 GMT Server: HBlock

如何在一个Flink作业中将数据写入到不同的Elasticsearch集群中？ 在对应的Flink作业中添加如下SQL语句。 create source stream ssource(xx); create sink stream es1(xx) with (xx); create sink stream es2(xx) with (xx); insert into es1 select from ssource; insert into es2 select from ssource; Flink作业重启后，如何保证不丢失数据？ DLI Flink提供了完整可靠的Checkpoint/Savepoint机制，您可以利用该机制，保证在手动重启或者作业异常重启场景下，不丢失数据。 为了避免系统故障导致作业异常自动重启后，丢失数据： −对于Flink SQL作业，您可以勾选“开启Checkpoint”，并合理配置Checkpoint间隔（权衡执行Checkpoint对业务性能的影响以及异常恢复的时长），同时勾选“异常自动重启”，并勾选“从Checkpoint恢复”。配置后，作业异常重启，会从最新成功的Checkpoint文件恢复内部状态和消费位点，保证数据不丢失及聚合算子等内部状态的精确一致语义。同时，为了保证数据不重复，建议使用带主键数据库或者文件系统作为目标数据源，否则下游处理业务需要加上去重逻辑（最新成功Checkpoint记录位点到异常时间段内的数据会重复消费）。 −对于Flink Jar作业，在代码中开启Checkpoint，同时如果有自定义的状态需要保存，您还需要实现ListCheckpointed接口，并为每个算子设置唯一ID。然后在作业配置中，勾选“从Checkpoint恢复”，并准确配置Checkpoint路径。 说明 Flink Checkpoint机制可以保证Flink平台可感知内部状态的精确一致，但对于自定义Source/Sink或者有状态算子，需要合理实现ListCheckpointed接口，来保证业务数据需要的可靠性。 为了避免因业务修改等需要，手动重启作业后，不丢失数据： −对于无内部状态的作业，您可以配置kafka数据源的启动时间或者消费位点到作业停止之前。 −对于有内部状态的作业，您可以在停止作业时，勾选“触发保存点”。成功后，再次启动作业时，开启“恢复保存点”，作业将从选择的savepoint文件中恢复消费位点及状态。同时，由于Flink Checkpoint和Savepoint生成机制及格式一致，因而，也可以通过Flink作业列表“操作”列中的“更多”>“导入保存点”，导入OBS中最新成功的Checkpoint，并从中恢复。

主机类型 版本 支持实例数 X86通用型 单机版2C4G 600 X86通用型 集群版2C4G3节点 6000 X86通用型 集群版4C8G3节点 12000 X86通用型 集群版8C16G3节点 24000 X86通用型 集群版16C32G3节点 48000 X86通用型 企业版2C4G3节点 6000 X86通用型 企业版4C8G3节点 12000 X86通用型 企业版8C16G3节点 24000 X86通用型 企业版16C32G3节点 48000

主机类型 版本 支持实例数 X86通用型 单机版2C4G 600 X86通用型 集群版2C4G3节点 6000 X86通用型 集群版4C8G3节点 12000 X86通用型 集群版8C16G3节点 24000 X86通用型 集群版16C32G3节点 48000 X86通用型 企业版2C4G3节点 6000 X86通用型 企业版4C8G3节点 12000 X86通用型 企业版8C16G3节点 24000 X86通用型 企业版16C32G3节点 48000

本节介绍iVPN app VPC管理的操作说明。 iVPN app加载VPC 若想通过iVPN app加密接入本资源池不同VPC下的多个AI云电脑，可在iVPN app实例中加载所需VPC。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“vpc管理”，进入iVPN app VPC管理页面； 4.在iVPN app VPC管理页面，点击“加载VPC”，选择需要加载的VPC； 5.确定后，AI云电脑客户端通过iVPN app重新登录，即可进入新加载VPC所包含的当前用户的AI云电脑。 iVPN app移除VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“vpc管理”，进入iVPN app VPC管理页面； 4.在iVPN app VPC管理页面，操作VPC中点击“移除”即可。

请求示例1 查询HBlock用户事件。 plaintext GET /rest/v1/system/event?number2 HTTP/1.1 Date: Thu, 04 Aug 2022 06:12:33 GMT Authorization: HBlock userName:signature Host:192.168.0.121:1443 响应示例1 plaintext HTTP/1.1 200 OK xhblockrequestid: d701da5a23c94eef8a8efe0907b12751 Connection: keepalive ContentLength: 853 Date: Thu, 04 Aug 2022 06: 12: 33 GMT ContentType: application/json;charsetutf8 Server: HBlock { "data": { "events": [ { "eventId": "78f85f5ee8ca42b9889d834a167283cc", "module": "System", "eventTime": 1659429529758, "name": "StartLogCollect", "requestId": "f630a474bc7e4d9eba75f3b9d28e5d51", "requesterIP": "36.111.88.33", "statusCode": 202, "errorCode": "", "errorMessage": "", "detail": { "method": "POST", "url": "/rest/v1/system/logcollect", "body": "{"startTime":1659422322714,"endTime":1659429522714,"servers":["hblock1","hblock2","hblock3"],"logTypes":["Config","System","Data","Coordination"]}" } }, { "eventId": "37fd582e6d364174a9bd94c825316f8a", "module": "System", "eventTime": 1659429493016, "name": "Login", "requestId": "ab3c00578efb4372b1fd622d827ad97c", "requesterIP": "36.111.88.33", "statusCode": 200, "errorCode": "", "errorMessage": "", "detail": { "method": "POST", "url": "/internal/v1/system/user/login", "body": "{"userName":"storuser"}" } } ] } }

./kafkaconsoleproducer.sh brokerlist 10.3.196.45:9092,10.78.42.127:9092,10.4.49.103:9092 topic topicdemo >Hello >DMS >Kafka! >^C[root@ecskafka bin] 如需停止生产使用Ctrl+C命令退出。 执行如下命令消费消息。 ./kafkaconsoleconsumer.sh bootstrapserver ${连接地址} topic ${Topic名称} group ${消费组名称} frombeginning 参数说明如下： 连接地址：从前提条件中获取的连接地址。 Topic名称：Kafka实例下创建的Topic名称。 消费组名称：根据您的业务需求，设定消费组名称。 示例如下： [root@ecskafka bin] ./kafkaconsoleconsumer.sh bootstrapserver 10.3.196.45:9092,10.78.42.127:9092,10.4.49.103:9092 topic topicdemo group ordertest frombeginning Kafka! DMS Hello ^CProcessed a total of 3 messages [root@ecskafka bin] 如需停止消费使用Ctrl+C命令退出。

删除规则 删除云主机时，云主机的CPU、内存、GPU（针对GPU型云主机）、本地盘（针对本地盘型云主机）的费用停止计费，其他未删除的关联资源继续计费。 云主机删除后，数据不会保留，会立即释放资源。 账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 欠费影响 当您的账号因自动扣费导致欠费后，按需资源状态变为“已冻结”，系统会关机中断服务，您将无法对处于冻结的按需计费资源执行任何操作，请及时续费使用。 系统会为你的资源保留一段时间的保留期（不超过15天），保留期到期后，若您仍未续费和支付账户欠款，那么云主机（计算资源，包括vCPU和内存）、云硬盘和弹性公网IP都将被释放，数据无法恢复。 续费后，若实例停机前为运行中，系统会尝试自动重启。如果偶尔出现自动重开机失败的情况，您也可以手动启动实例。若实例停机前为关机，系统将不会自动重启，保持关机。 提醒/通知规则 提醒及通知方式：邮件、短信、站内信。 充值成功通知：当用户充值成功后，会发送1次充值成功通知。 余额不足通知：当用户账户余额不足100元，或不足以支付当前所有按量资源1天费用时，会发送1次余额不足提醒。 账户欠费通知：当用户欠费时，会向用户发送1次欠费提醒。 资源销毁通知：当用户的云主机销毁后，会向用户发送1次销毁通知。

云环境配置 菜单项进入配置管理云环境配置，点击添加，参考如下示例填入对应信息：名称，区域ID，服务节点域名，Agent桶域名（天翼云目标端云环境的agent桶在贵州资源池，域名为obs.cngz1.ctyun.cn/smsagent20rda），对应资源池模板信息可参考云环境配置模板。 示例图：杭州资源池 点击确定，完成云环境添加。 云账号配置 菜单项进入配置管理云环境配置，点击添加，参考如下示例填入对应信息 点击确定，完成云账号创建。

响应示例 plaintext HTTP/1.1 200 OK xhblockrequestid: e59fb36c5d3e4a72a93d8eb8caa3ee7e Connection: keepalive ContentLength: 0 Date: Mon, 24 Jun 2024 09:34:29 GMT Server: HBlock

本文将为您介绍分布式消息服务RocketMQ入门的基本流程，主要包括控制台创建RocketMQ专享版实例、使用弹性云服务器连接实例的操作，帮助您快速上手RocketMQ。 操作流程 图1 RocketMQ使用流程 环境准备 RocketMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RocketMQ实例 在创建实例时，您可以根据需求选择需要的实例规格和数量，并开启SSL访问。开启SSL后，数据加密传输，安全性更高。 创建Topic 在实例创建成功后，您需要创建Topic，用于发送与接收消息。 连接RocketMQ实例 使用客户端连接实例，并通过命令行生产消费消息。 配置告警 配置RocketMQ实例监控告警策略，监控实际业务运行状态。

本节主要介绍还原卷。 在“卷管理”页面，点击“还原”，可以还原上云卷。 以下场景适合还原卷功能： 原HBlock中存在上云卷，并且将数据上传到了云端。如果此时HBlock发生故障无法启动，可以通过还原卷的功能，在另一个HBlock中将该卷重新生成，并且从云端进行数据恢复。 原上云卷被删除，但云上数据保留，可以通过还原卷功能恢复卷数据。 注意 在执行还原卷的操作前，请确保源卷已经将所有数据上传到云端，并且源卷不再继续使用（源卷已删除，或者源卷所在系统已经停止服务）。 还原的卷名称在当前HBlock中不存在。 还原的卷必须在指定的Bucket/prefix中找到，且数据完整。 还原操作异步执行，请通过查询卷的功能查看还原进度。 在单机版还原卷之前，需确保其对应的数据目录中无该卷的残留数据。 卷处于还原中、还原失败状态时，不支持读写。 图1 还原卷（单机版） 图2 还原卷（集群版） 云端信息 项目 描述 卷名称 源卷的名称。 对象存储服务 指定还原卷的对象存储服务名称： OOS：天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 说明 源卷和还原卷必须使用相同的对象存储服务。 Endpoint 源卷的Endpoint。 注意 如果仅输入域名将会使用HTTPS协议进行访问。 OOS Endpoint详见OOS Endpoint和区域。 存储桶 存储桶信息。输入源卷的存储桶的名称和前缀名称。如果源卷未指定前缀名称，此处不填写。 前缀取值：字符串形式，长度范围是1~256。 注意 请勿开启Bucket的生命周期设定和合规保留。 签名版本 指定上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 默认值为v2。 区域 Endpoint资源池所在区域。 V4签名时，此项必填。 存储类型 设置还原卷上传数据至对象存储的存储类型： 标准存储。 低频访问存储。 默认为源卷的存储类型。 AK/SK 卷的Access Key和Secret Access Key。 卷标识码 源卷的唯一标识码。 压缩 还原卷是否压缩数据上传至对象存储： 启用：压缩数据上传至对象存储。 禁用：不压缩数据上传至对象存储。 默认值为源卷的配置。 配置信息 项目 描述 iSCSI目标 指定还原卷的iSCSI target名称。 iSCSI目标名称：字符串形式，长度范围1~16，只能由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 说明 还原卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target。 缓存存储池 指定还原卷的缓存存储池（仅集群版支持）。如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 存储池 指定还原卷的存储池（仅集群版支持），表示最终存储池，卷数据最终落在该存储池内。默认使用集群的基础存储池。 注意 存储池与缓存存储池不能是同一个存储池。 卷冗余模式 还原卷的冗余模式（仅集群版支持）： 取值： 副本: 单副本。 两副本。 三副本。 EC N+M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。分片大小可以为1 KiB、2 KiB、4 KiB、8 KiB、16 KiB、32 KiB、64 KiB、128 KiB、256 KiB、512 KiB、1024 KiB、2048 KiB、4096 KiB。 默认使用源卷的配置。 说明 以下场景均为集群可用的前提下： 还原EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 还原副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 最小副本数 还原卷的最小副本数（仅集群版支持）。点击“卷冗余模式”后的“更多”按钮，可以填写最小副本数。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。如果未设置还原卷的最小副本数，默认值为源卷的配置。 折叠副本数 指定还原卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定了还原卷的折叠副本数，必须指定还原卷的冗余模式。 类型：整型 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[1，N+M]。如果未设置还原卷的折叠副本数，默认值为源卷的折叠副本数。 卷存储模式 还原卷的存储模式： 缓存模式：本地保留部分热数据，全部数据异步存储到对象存储中。 存储模式：本地保留全部数据，并异步存储到对象存储中。 默认使用源卷的配置。 高可用 还原卷的高可用类型（仅集群版支持）： 主备：该卷关联对应target下的所有IQN。 禁用：不启用主备，该卷关联对应target下的1个IQN。 默认值为源卷的配置。 写策略 还原卷的写策略： 回写：指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 透写：指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 绕写：指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为源卷的配置。 数据目录 单机版本创建卷时，指定卷数据的存储位置（仅单机版支持）。 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 提交还原卷信息后，会弹出“还原卷”确认信息窗口： 点击“取消”，返回“还原卷”信息填写页面。 点击“确定”，执行卷还原操作。 图3 还原卷信息确认（单机版） 图4 还原卷信息确认（集群版）

前提条件 管理员已明确业务需求，并规划好不同系统的域名。域名只能包含大写字母、数字、圆点（.）及下划线（），且只能以字母或数字开头。 配置跨集群互信前，两个Manager系统的域名必须不同。MRS创建ECS/BMS集群时会随机生成唯一系统域名，通常无需修改。 配置跨集群互信前，两个集群中不能存在有相同的主机名，也不能存在相同的IP地址。 配置互信的两个集群系统时间必须一致，且系统上的NTP服务必须使用同一个时间源。 配置互信的两个集群系统内所有集群全部组件的运行状态均为“良好”。 Manager内所有集群的ZooKeeper服务的“acl.compare.shortName”参数需确保为默认值“true”。否则请修改该参数为“true”后重启ZooKeeper服务。 操作步骤 1.登录其中一个FusionInsight Manager。 2.在主页中停止所有集群。 单击主页上待操作集群名称后的，单击“停止”，输入管理员密码后在弹出的“停止集群”窗口中单击“确定”，等待集群停止成功。 3.选择“系统 > 权限 > 域和互信”。 4.修改配置参数“互信对端域”。 表 相关参数 参数名 描述 realmname 填写对端系统的域名。 ipport 填写对端系统的KDC地址。 参数值格式为：对端系统内要配置互信集群的Kerberos服务部署的节点IP 地址: 端口 。 如果是双平面组网，需填写业务平面IP地址。 采用IPv6地址时，IP地址应写在中括号“[]”中。 部署主备Kerberos服务或者对端系统内有多个集群需要与本端建立互信时，多个KDC地址使用逗号分隔。 端口值可通过查看KrbServer服务的“kdcports”参数获取，默认值为“21732”。部署服务的节点IP可通过在KrbServer服务页面选择“实例”页签，查看KerberosServer角色的“业务IP”获取。 例如，Kerberos服务部署在10.0.0.1和10.0.0.2上，与本端系统建立互信，则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。 说明 如果需要配置与多个Manager系统的互信关系，请单击添加新项目，并填写参数值。最多支持16个系统。删除多余的配置请单击。 5.单击“确定”。 6.以omm用户登录主管理节点，执行以下命令更新域配置。 sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh 提示以下信息表示命令执行成功。 Modify realm successfully. Use the new password to log into FusionInsight again. 重启后部分主机与服务可能无法访问并触发告警，执行“restartRealmConfig.sh”后大约需要1分钟自动恢复。 7.登录FusionInsight Manager，启动所有集群。 单击主页上待操作集群名称后的，单击“启动”，在“启动集群”窗口单击“确定”，等待集群启动成功。 8.登录另外一个系统的FusionInsight Manager，重复以上操作。

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

第一步订购：登录天翼云官网，选择福建云专线产品页，点击“立即开通”按钮。 第二步填写订单：进入福建云专线订购页，填写福建云专线订购信息。 接入类型选择：PON、LAN、IPRAN 网络拓扑：网状、星状 云资源池名称：福建 云端IP：供调测使用，可以PING通的云主机IP。 装机地址：输入 “省/市/区”和详细地址。在地址列表中选择您的详细地址，完成地址选择。 联系人及电话：必须填写准确信息，否则无法及时安装。

本节介绍漏洞扫描服务四个规格之间的差异。 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 版本功能说明 VSS各服务版本支持的功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √

本文介绍如何通过将弹性公网IP与辅助弹性网卡绑定,实现单个云主机绑定多个EIP。 背景信息 单台云主机根据其核数不同，可绑定多个弹性IP，本文将为您介绍单云主机绑定多弹性IP的操作步骤。 业务场景 某公司在天翼云创建了云主机实例，并为其绑定了一个EIP。随着公司业务的增长，现在需要将该云主机实例扩展，使其能够同时拥有3个EIP。为了实现这一目标，您可以采取以下步骤： 方式一： 1. 增加弹性网卡：首先，在该云主机实例上增加2个弹性网卡。 2. 申请弹性IP：在天翼云控制台或者使用相应的API，为该云主机实例申请2个额外的EIP。 3. 绑定弹性IP与辅助弹性网卡：将这2个额外的EIP与辅助弹性网卡的主私网IP分别绑定，实现多个EIP与辅助弹性网卡的私网IP的一一对应。 4. 更新网络配置：在云主机实例内部，根据您的操作系统和网络配置工具，配置并启用新的私网IP地址。这将确保云主机实例能够与所有绑定的EIP建立连接。 方式二： 1. 增加弹性网卡 2. 申请弹性IP 3. 申请虚拟IP 4. 绑定虚拟IP与服务器的弹性网卡 5. 将已绑定网卡的虚拟IP绑定弹性IP 6. 更新网络配置 通过以上步骤，您将成功地将单个云主机实例扩展为同时拥有3个EIP的配置。这将有助于满足公司不断增长的业务需求。 注意 部分资源池仅支持方式二 前提条件 辅助弹性网卡：与要绑定的云主机实例属于同一个VPC。 EIP：各EIP的地域与要绑定的辅助弹性网卡的地域相同。 配置步骤

本节主要介绍准备工作。 在使用云容器引擎前，您需要完成本文中的准备工作。 创建IAM用户 获取资源权限 （可选）创建虚拟私有云 （可选）创建密钥对 创建IAM用户 如果您需要多用户协同操作管理您帐号下的资源，为了避免共享您的密码/访问密钥，您可以通过IAM创建用户，并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户帐号访问，帮助您高效的管理资源，您还可以设置帐号安全策略确保这些帐号的安全，从而降低您的企业信息安全风险。 注册帐号无需授权，由帐号创建的IAM用户需要授予相应的权限才能使用CCE。 获取资源权限 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问云主机、物理机服务器的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用管理等服务的权限。 当您同意授权后，CCE将在IAM中创建名为“cceadmintrust”委托，统一使用系统帐号“opsvccce”对您的其他云服务资源进行操作，并且授予其Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

私网NAT网关 使用私网NAT网关的SNAT和DNAT功能，可以实现云上VPC使用指定私网地址和其他VPC或IDC进行跨VPC私网互访。 公网NAT网关如何和IPV4网关配合规划用户网络 背景信息 VPC创建时，部分资源池默认会创建IPv4网关来统一管理进出VPC的公网流量，所有通过公网IP访问公网的流量都受到IPv4网关的管理。IPv4网关和VPC同生命周期，不允许单独删除IPv4网关。 在VPC中创建NAT网关后，在子网关联的路由表中增加一条目的地址为0.0.0.0/0指向NAT网关的路由规则后（可用区资源池(如华东1，华北2等)需要执行该步骤，以控制台为准），VPC中的云主机可以通过NAT网关的SNAT或DNAT规则访问公网或对外提供服务。 注意 系统类型的路由规则不允许修改、删除；路由目的地址相同时系统类型的路由规则优先级低于客户手动创建的路由规则。 在同一个子网内云主机同时绑定公网IP和SNAT规则时，由于指向NAT网关的路由优先级高于指向IPv4网关的系统路由，默认会通过SNAT访问公网，云主机绑定的EIP无法访问公网。因此，不建议同一个子网内的云主机同时绑定公网IP或者NAT网关。 操作步骤 具体操作步骤参见弹性IP如何通过弹性公网IP或NAT网关访问公网。 如何访问NAT网关 天翼云提供如下方式进行NAT网关的配置和管理： 控制台：天翼云提供Web化的服务管理平台 OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式

主机和云服务的日志数据上报至云日志服务后，默认存储时间为30天，您在创建日志组时，可以对日志存储进行设置（1365天）。超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），云日志服务提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 说明 日志转储功能只能拷贝已有日志，不会删除日志。根据配置的存储时间可定时清理日志文件，不会影响转储后的日志。