本章节主要介绍翼MapReduce服务的配置修改建议说明。 操作场景 当节点组内ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。升级配置后需要手动修改HDFS、YARN和Spark等服务的配置信息。本文为您介绍如何在翼MR Manager的“配置管理”页面修改配置项。 前提条件 已创建集群。 操作步骤 在翼MR Manager中，单击“运维与配置”。 1. 单击“配置管理”。 2. 选择“所选集群服务”，点击查询，即可在当前页面修改配置信息。 配置修改建议说明 1. Doris：Doris所在节点配置升级后，Doris FE建议使用节点一半内存。 2. Elasticsearch：一个ES节点，内存建议不超过64G。ES所在节点配置升级后，ES会自动根据节点情况设置内存值，一般无须用户手动修改，但需要重启集群。如果想手动设置，可以修改jvm.options文件配置Xms30g、Xmx30g参数，并重启集群。 3. HBase：HBase所在节点配置升级后，修改建议如下： hbasesite.xml：hbase.regionserver.handler.count 说明 一般跟CPU核数相同。 hbaseenv.sh：export HBASEMASTEROPTS ："Xmsg Xmxg" 说明 master不消耗很多内存，一般默认不添加或者分配2~8G左右。 hbaseenv.sh：export HBASEREGIONSERVEROPTS："Xmsg Xmxg " 说明 regionserver需要较多内存，一般配置内存配额的一半或更多。 4. HDFS：HDFS所在节点配置升级后，可以根据hadoopenv.sh 参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NameNode 建议文件、目录、数据块之和1亿，配置50G。 5. Hive：Hive所在节点配置升级后，可以通过hiveenv.sh统一参数配置来进行，也可以在作业提交时使用额外参数指定来进行。通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。内存大小可以根据机器的总内存而定，建议初始值为总内存大小的10%，后续根据性能需求调整。 6. Kafka：Kafka所在节点配置升级后，建议配置如下： kafkaenv.sh设置jvm配置参数：调整jvm堆大小，通过调整参数：export KAFKAHEAPOPTS"Xmx20G Xms20G Xmn4g"设置堆大小。 server.properties文件建议修改的配置项： num.io.threads：修改写磁盘的线程数，建议配置为CPU核数的50%； num.replica.fetchers：修改副本拉取线程数，建议配置为CPU核数50%的1/3； num.network.threads：修改数据传输线程数，建议配置为CPU核数的50%的2/3； replica.fetch.max.bytes：副本拉取数据量的大小。内存增加，可以适当加大该值； socket.send.buffer.bytes：调整socket发送的数据量。内存增加，可以适当加大该值； socket.receive.buffer.bytes：调整socke接受的数据量。内存增加，可以适当加大该值； socket.request.max.bytes：socket请求的数据量。内存增加，可以适当加大该值。 7. Kerberos：建议保持默认值，无需修改配置。 8. Kibana：Kibana是一个基于NodeJS的单页web应用，一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 9. Kyuubi：Kyuubi一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 10. OpenLDAP：建议保持默认值，无需修改配置。 11. Ranger：Ranger所在节点配置升级后，修改建议如下： rangeradmin通过{installdir}/ews/rangeradminservices.sh中变量 rangeradminmaxheapsize的值修改JMX，JAVAOPTS修改Xmx、Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 rangerusersync通过/{installdir}/rangerusersyncservices.sh中变量rangerusersyncmaxheapsize 的值修改JMX，JAVAOPTS修改Xmx Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 12. Spark：Spark所在节点配置升级后，修改建议如下： spark.history.kerberos.principal和spark.history.kerberos.keytab为spark读写eventLog的租户，用户如有特殊需求自行更改。 spark.yarn.historyServer.address: 说明了history server的地址，用户如有特殊需求自行更改。 spark.dynamicAllocation.enabled 和 spark.dynamicAllocation.maxExecutors 分别控制动态和动态开启下能使用的最大资源，用户如有特殊需求自行更改。 spark.executor.cores 和 spark.executor.memory 确保spark.executor的每一个core分配到2~4g内存，标准是4g，具体视情况而定，设置core的memory设置过小executor容易oom。 13. Trino：Trino的服务包括coordinator和worker。Trino所在节点配置升级后，可以根据jvm.config参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx128g Xms128g，然后重启服务。 14. YARN：YARN所在节点配置升级后，可以根据yarnenv.sh 参数配置进行，通过调整服务的内存大小来调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NM用于集群中作业的内存和CPU，需要修改NodeManager节点的yarnsite.xml中的yarn.nodemanager.resource.memorymb的值，该值用于所有作业的最多可用内存；以及yarn.nodemanager.resource.cpuvcores的值，该值用于所有作业的最多可用虚拟CPU核数。 15. ZooKeeper：ZooKeeper所在节点配置升级后，可通过配置java.env文件，在其中添加：export ZKSERVERHEAP2048（这里设置的单位默认是MB）。

本页介绍了关系数据库MySQL版如何设置SSL数据加密。 关系数据库MySQL版设置SSL数据加密指引如下。 操作场景 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 前提条件 只有数据库状态为运行中的实例才可以执行设置SSL数据加密。 操作步骤 开启SSL加密 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 选择数据安全 二级目录，选择SSL加密页签，点击SSL设置按钮。 若开关关闭，单击图标，在提示框中，单击确定，开启SSL加密。 5. 单击服务器证书右侧的下载证书，下载ca.pem。 6. 将根证书（ca.pem）上传到ECS（弹性云主机）或本地机器。 7. 在ECS或本地机器上执行以下命令连接MySQL实例。 a. mysql h P u p sslca 参数 说明 1.如果在关系数据库MySQL版同资源池同vpc下开通了ECS主机，通过ECS主机连接数据库，则hostName为连接地址。 2.如果在关系数据库MySQL版同个资源池下未开通ECS主机，则需要绑定弹性IP，hostName为目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 b. 使用root用户SSL连接数据库实例，示例如下： mysql h P 13049 u root p sslcaca.pem 8. 出现如下提示时，输入数据库帐号对应的密码： Enter password:

本章节主要介绍翼MapReduce的区域和可用区的概念。 通常用区域和可用区来描述数据中心的位置，用户可以在特定的区域、可用区创建云服务资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 在同一地域内，可用区与可用区之间内网互通。各可用区之间可以实现故障隔离，即如果一个可用区出现故障，则不会影响其他可用区的正常运行。是否将实例放在同一可用区内，主要取决于您的应用对容灾能力和网络延时的要求。 如果您的应用需要较高的容灾能力，建议您将实例部署在同一地域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，建议您将实例创建在同一可用区内。

本章节主要介绍翼MapReduce服务执行健康检查。 操作场景 该任务指导用户在日常运维中完成集群进行健康检查的工作，以保证集群各项参数、配置以及监控没有异常、能够长时间稳定运行。 说明 系统健康检查的范围包含Manager、服务级别和主机级别的健康检查： Manager关注集群统一管理平台是否提供管理功能。 服务级别关注组件是否能够提供正常的服务。 主机级别关注主机的一系列指标是否正常。 系统健康检查可以包含三方面检查项：各检查对象的“健康状态”、相关的告警和自定义的监控指标，检查结果并不能等同于界面上显示的“健康状态”。 操作步骤 手动执行所有服务的健康检查 1. 单击“服务管理”。 2. 选择“更多 > 启动服务健康检查”，启动服务健康检查。 说明 集群健康检查包含了Manager、服务与主机状态的检查。 在MRS Manager界面，选择“系统设置 > 维护 > 健康检查 > 集群健康检查”，也可以执行集群健康检查。 手动执行健康检查的结果可直接在检查列表左上角单击“导出报告”，选择导出结果。 手动执行单个服务的健康检查 1. 选择“服务管理”，在服务列表中单击服务指定名称。 2. 选择“更多 > 启动服务健康检查”启动指定服务健康检查。 手动执行主机健康检查 1. 单击“主机管理”。 2. 勾选待检查主机前的复选框。 3. 选择“更多 > 启动主机健康检查”启动指定主机健康检查。

本章节主要介绍翼MapReduce的OMS维护页面概述操作。 总览 登录FusionInsight Manager以后，选择“系统 > OMS”后，打开OMS维护页面，管理员可以在此页面对OMS进行维护操作，包含查看基本信息、查看OMS业务模块的服务状态，也可以手工触发健康检查。 说明 OMS为操作维护系统的管理节点，OMS节点一般有两个，互为主备。 基本信息 FusionInsight Manager支持显示当前OMS的关联信息，包含如下表所示内容： OMS信息说明 项目 说明 版本 表示OMS版本，与FusionInsight Manager版本相同。 IP模式 表示当前集群网络的IP地址模式。 HA模式 表示OMS工作模式，由安装FusionInsight Manager时的配置文件指定。 当前主用 表示OMS主进程节点主机名，即主管理节点主机名。单击主机名可进入对应的主机详情页面。 当前备用 表示OMS备进程节点主机名，即备管理节点主机名。单击主机名可进入对应的主机详情页面。 持续时间 表示OMS进程启动持续的时间。 OMS服务状态 FusionInsight Manager支持显示OMS所有业务模块的运行状态，每个业务模块的状态显示为表示运行正常。 健康检查 管理员可以在OMS维护页面单击“健康检查”开始为OMS的状态进行检查。如果某些检查项存在问题，可直接打开检查说明进行处理。

本文以Juniper防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group2 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 按照以下操作，在Juniper防火墙中加载用户网关的配置。 1. 登录防火墙设备的命令行配置界面。 2. 配置基本网络、安全域和地址簿信息。 Set security zones securityzone trust addressbook address netcfgr19216818024 192.168.18.0/24 set security zones securityzone vpn addressbook address netcfgr1921681024 192.168.1.0/24 3. 配置IKE策略。 set security ike policy ikepolicycfgr mode main set security ike policy ikepolicycfgr presharedkey asciitext "aa123bb" 4. 配置IKE网关、出接口和协议版本。 set security ike gateway ikegatecfgr ikepolicy ikepolicycfgr set security ike gateway ikegatecfgr address 121.xxx.xxx.113 set security ike gateway ikegatecfgr externalinterface ge0/0/3 set security ike gateway ikegatecfgr version v1only 5. 配置IPsec策略。 set security ipsec policy ipsecpolicycfgr proposalset standard 6. 应用IPsec策略。 set security ipsec vpn ipsecvpncfgr ike gateway ikegatecfgr set security ipsec vpn ipsecvpncfgr ike ipsecpolicy ipsecpolicycfgr set security ipsec vpn ipsecvpncfgr bindinterface st0.0 set security ipsec vpn ipsecvpncfgr establishtunnels immediately set security ipsec policy ipsecpolicycfgr perfectforwardsecrecy keys group2 7. 配置出站策略。 set security policies fromzone trust tozone vpn policy trustvpncfgr match sourceaddress netcfgr19216818024 set security policies fromzone trust tozone vpn policy trustvpncfgr match destinationaddress netcfgr1921681024 set security policies fromzone trust tozone vpn policy trustvpncfgr match application any set security policies fromzone trust tozone vpn policy trustvpncfgr then permit 8. 配置入站策略。 set security policies fromzone vpn tozone trust policy vpntrustcfgr match sourceaddress netcfgr1921681024 set security policies fromzone vpn tozone trust policy vpntrustcfgr match destinationaddress netcfgr19216818024 set security policies fromzone vpn tozone trust policy vpntrustcfgr match application any set security policies fromzone vpn tozone trust policy vpntrustcfgr then permit

本章节为您介绍数据库安全网关的资产管理功能 在数据库安全网关中，资产是指系统需要防护和管理的数据库系统。资产管理是系统核心功能之一，涵盖了对各种数据库类型的安全监控与防护操作。 手动添加资产 1.登录数据库安全网关。 2.在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面 ，单击页面的“新增”按钮。 注意 如果资产是集群，需要先在资产管理页面添加 集群的所有资产，包括每个节点的地址 和端口，以及ScanIP（集群扫描IP）等信息，然后切换到“集群配置”页面进行集群设置。 3.在弹出的“新增资产”对话框中，填写相关信息。 配置项 说明 类型 选择数据库的类型，系统支持数据库类型如下： 通用数据库：Oracle(包含RAC)、MySQL、MSSQL、Sybase ASE、DB2、Informix、Oscar、达梦(DM)、Cache、PostgreSQL、Teradata、人大金仓(Kingbase) 、GBase、MariaDB、Hana、MongoDB、GaussDB、GreenPlum、TiDB、Vertica、GoldenDB、UXDB、Doris、虚谷、HifhGo、OceanBase 大数据：HBase、Hive、Elasticsearch、Impala、SparkSQL、Clickhouse、Presto、Tdh、Odps 其他：HTTP、Trino 天翼云RDS：MySQL、PostgreSQL、MSSQL 说明 若您选择的资产类型为：Oracle、Hive、Trino，需要额外配置相关参数。 操作系统 设置资产所在主机的操作系统。 IP/域名 设置资产所在主机的IPv4 或者IPv6 或者域名。 端口 设置资产原生端口号。 代理端口 设置访问资产的反向代理端口。 防护模式 入侵检测模式：对数据库进行入侵检测，可以产生审计、告警、脱敏、运维日志，但不会对请求进行阻断和脱敏； 入侵防护模式：对数据库进行入侵检测和防护，除可以生成审计、告警、脱敏、运维日志外，还可以对请求进行阻断和脱敏。 默认数据源 默认关闭，可启用。 支持Oracle、MySQL、MSSQL、DB2、达梦(DM)、PostgreSQL、MariaDB、UXDB、Hive、Tdh等。 默认数据源用途： 1. 新增敏感数据扫描任务时，自动带出数据源信息，减少用户操作步骤； 2. 安全规则配置“影响行数”维度，该规则匹配依赖资产的默认数据源。 数据库名 填写数据库名。（MSSQL、DB2、PostgreSQL、UXDB等） 用户名 填写数据库的用户名。 密码 填写数据库的密码。 测试 测试数据库的连通性。 4.配置完成后，单击“测试”进行资产连接测试，若正常则会提示连接成功。 5.单击“保存” ，弹出是否需要立即进行敏感数据扫描的提示框： 若选择“确定” ，则跳转到“资产 > 敏感数据 > 敏感数据扫描”页面进行下一步。 若选择“取消” ，则停留在资产管理页面。

本节介绍如何通过免Agent方式审计天翼云上数据库。 操作场景 天翼云关系数据库MySQL版、关系数据库PostgreSQL版、关系数据库SQL Server版、文档数据库服务支持通过免Agent安装的方式进行数据库审计。 前提条件 通过免Agent方式审计天翼云上数据库之前，首先需要开启SQL审计日志功能： 关系数据库MySQL版：具体操作请参考关系型数据库MySQL版开启SQL审计日志。（II类资源池中仅支持一类节点的资源池） 关系数据库PostgreSQL版：具体操作请参考关系数据库PostgreSQL版数据库审计设置。 关系数据库SQL Server版：具体操作请参考关系数据库SQL Server版开启审计日志。 文档数据库服务： 具体操作请参考文档数据库服务开启审计日志。 云数据库Clickhouse：无需单独配置审计日志开启，可直接在数据库审计中添加资产采集。 步骤一：购买数据库审计实例 请根据您的业务需求选购数据库审计规格，数据库安全审计参数及详细操作请参见购买数据库审计实例。 注意 数据库审计实例、数据库实例，需要在同一区域。 步骤二：启用天翼云RDS日志 说明 最新版本的数据库审计实例，购买后已自动开启天翼云RDS日志采集功能。若实例已开启该功能，可跳过该步骤。 1. 登录数据库审计实例。 2. 在左侧导航栏选择“系统管理 > 系统配置 > 日志采集方式”。 3. 确保已启用天翼云RDS日志采集。若未启用，单击“修改”按钮，在弹出的日志采集方式对话框中进行修改。

场景覆盖深广，满足多元需求 无论是高校科研项目、课程教学，还是教育机构的备课与教研，本平台均提供针对性支持： • 教师可在数分钟内生成教案、组卷、自动批改作业； • 研究者可精准搜索近年高质量论文，快速生成脑图、初稿、报告并完成语义润色。 专业模型驱动，兼顾性能与解释性 系统底层采用多智能体架构，通过编排层对意图进行识别和拆解，将拆解后的任务分发给多个专业Agent，结合长短期记忆并融合反思机制，提升整体效果。包含文献理解、章节解析、评分与纠错、OCR识别模型等，具备强大的语义理解与内容生成能力。同时，平台支持结果来源溯源、模型解释与人工干预，确保内容可控、安全、可审计，满足教育科研对合规性与质量的双重要求。 应用场景 学术检索场景：高效链接全球科研资源 适用场景 海量文献查找费时，筛选不精准； 无法动态获取最新研究动态或关联文献； 检索结果呈现单一，缺乏上下游延展性。 解决方案 关键词+领域+时间精准检索：支持多条件组合，自动推荐符合标准的高价值文献与引用信息； 相关搜索推荐机制：用户完成一次检索后，系统自动推送“相关搜索”关键词与文献，形成动态关联阅读路径； 文献知识图谱辅助：结合领域知识图谱展示主题关联性，助力科研人员系统性构建研究框架。

此章节为您介绍日志审计一些故障的处理方法 登录报错：当前实例无法访问，请检查是否在安全组开放端口8181 问题现象： 登录和日志审计实例相同vpc的机器telnet 8181端口可以连通，说明日志审计实例已启动完毕、状态正常。 解决方法： 通过浏览器开发工具获取登录地址，手动替换地址中的ip地址后在浏览器中访问。 安装Windows采集代理服务后服务启动报错 问题现象： 安装Windows采集服务后，日志审计（原生版）服务启动报错 解决方法： 请按照下图修改配置。 Linux配置脚本报错怎么解决？ 问题现象： Linux采集脚本执行报错，无法正常执行。 解决方案： 更新Rsyslog的配置文件后重启服务。 操作步骤： 1.linux主机配置日志审计流程： 使用以下指令打开/etc/rsyslog.conf文件 vi /etc/rsyslog.conf 2.在Rsyslog文件末尾添加以下内容： . @192.168.x.x 说明 “.”表示所有级别的日志都发给日志审计, IP地址填写日志审计的服务器IP地址。 3.重启Rsyslog服务 Cenots7后的重启命令：systemctl restart rsyslog.service Centos6前的重启命令：service rsyslog restart 4.配置完成后，请查看日志检索是否显示出日志的IP信息。 若没有收到查看到日志源IP，请查看端口开放建议，配置完成后，需重新按照步骤3的操作重启rsyslog服务。

本文介绍客户控制台概览页相关模块的用途。 天翼云客户控制台可以帮助您新增加速域名，完成域名配置等基本操作，同时提供了统计分析和日志下载等服务，您可以了解自身业务的基本流量趋势。 客户控制台功能界面介绍： 1. 导航栏： 控制台左侧菜单栏主要功能为概览、域名管理、证书管理、数据分析、刷新预取、日志下载、计费详情、API文档。 概览：可展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、产品计费、信息中心。 域名管理：支持添加加速域名、管理、删除已有加速域名，并可以对加速域名基本信息和配置信息进行更改，支持对域名配置变更生成的域名操作工单进行状态跟踪和闭环以及历史工单溯源查询。支持标签管理功能方便客户做域名分类管理。 证书管理：可供客户自助添加、删除https证书，查看证书详情。 数据分析：数据分析模块支持客户自助查询，主要包含：用量分析、热门分析、用户分析。 刷新预取：您可以选择URL刷新、目录刷新、正则刷新和URL预取。 日志下载：可通过搜索域名、选择时间，下载该域名在该时间段的日志。 诊断工具：可通过该诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 边缘函数：可创建边缘函数、查看已创建边缘函数的使用情况。 计费详情：可查看或变更各产品的计费方式、查看资源包的用量、历史操作记录。 API文档：可查看平台已支持客户调用的API功能及相关语法说明。 2. 流量/带宽： 展示客户所有域名的今日或者本月的总流量、峰值带宽。 3. 近七天趋势： 展示客户所有域名的近七天总流量趋势和带宽趋势图。 4. 证书统计： 统计客户证书总数和即将过期的证书数量。 5. 域名统计： 分别统计全部产品的额度、已配域名、授权域名和各个产品的额度、已配域名、授权域名。并且可以管理、添加域名，进入刷新预取的页面。 6. 产品计费： 展示客户使用的每个产品的计费方式，并且可以快捷进入订购全站加速资源包页面。 7. 信息中心： 该区域分为公告、域名信息、常见问题、使用手册四部分。 公告：显示更新说明、版本发布、相关动态等信息。 域名信息：显示域名的操作信息。 常见问题：介绍在使用天翼云全站加速中所遇到的常见问题的解决方案。 使用手册：介绍客户如何使用控制台的操作手册。 8. 语言切换： 支持客户通过语言切换按键，使用简体中文或English访问客户控制台页面，当切换到【English】后，控制台界面将切换为全英文展示。

本章节主要介绍翼MapReduce的采集堆栈信息操作。 操作场景 为了满足实际业务的需求，管理员可以在FusionInsight Manager中采集指定角色或实例的堆栈信息，保存到本地目录，并支持下载。采集内容包括： 1. jstack栈信息。 2. jmap histo堆统计信息。 3. jmap dump堆信息快照。 4. 对于jstack和jmaphisto信息，支持连续采集以便对比。 操作步骤 采集堆栈 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务 > 待收集服务的名称 ”。 3. 选择“更多 > 采集堆栈”。 说明 采集多个实例的堆栈信息：进入实例列表，勾选要采集的实例名称，选择“更多 > 采集堆栈”。 采集单个实例的堆栈信息：单击要采集的实例，选择“更多 > 采集堆栈”。 4. 根据界面提示，在弹框中选择需要采集的角色，采集内容，配置高级选项（若无特殊需求，保持默认配置即可），单击“确定”。 5. 采集成功后，单击“下载”。 下载堆栈信息 6. 选择“集群 > 待操作集群的名称 > 服务 > 待操作服务的名称 ”。选择右上角“更多 > 下载堆栈信息”。 7. 选择需要下载的角色和内容，单击“下载”，可直接下载相关堆栈信息到本地。 清理堆栈信息 8. 选择“集群 > 待操作集群的名称 > 服务 > 待操作服务的名称 ”。 9. 选择右上角“更多 > 清理堆栈信息”。 10. 选择需要清理的角色和内容，并配置“文件目录”。单击“确定”执行清理操作。

本章节主要介绍翼MapReduce的配置资源池的队列容量策略操作。 操作场景 添加资源池后，需要为Yarn任务队列配置在此资源池中可使用资源的容量策略，队列中的任务才可以正常在这个资源池中执行。每个队列只能配置一个资源池的队列容量策略。 管理员可以在任何一个资源池中查看队列并配置队列容量策略。配置队列策略后，Yarn任务队列与资源池形成关联关系。 前提条件 已添加队列，即已创建关联了计算资源的租户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 动态资源计划”。 默认显示“资源分布策略”。 3. “集群”参数选择待操作的集群名称，然后在“资源池”，选择待操作的资源池。 4. 在“资源分配”表格，指定租户资源名队列的“操作”列，单击“修改”。 5. 在“修改资源分配”窗口设置任务队列在此资源池中的资源容量策略。 “资源容量（%）”：表示当前租户计算资源使用的资源百分比。 “最大资源容量（%）”：表示当前租户计算资源使用的最大资源百分比。 6. 单击“确定”保存配置。 说明 删除队列的资源容量值并保存，可以取消队列在此资源池中的资源容量策略，表示解除队列与资源池的关联关系。需要先将队列的默认资源池更改为其他资源池，请参见

本文为您介绍查看容灾管理中心详情的具体操作。 操作场景 在您创建了容灾管理中心后，可以通过多活容灾服务控制台查看您创建的容灾管理中心的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表中的名称，进入容灾管理中心详情页。 6. 在基础信息部分，可以查看容灾管理中心名称、命名空间、容灾管理中心ID、容灾形态、创建时间、描述信息。 7. 在网络信息部分，可以查看容灾管理中心的虚拟私有云、子网、安全组，以及绑定的ELB、EIP。 8. 在计费信息部分，可查看计费模式，如果计费模式选择的是包年包月，则还查看到期时长。 9. 在分区资源状态部分，查看各分区网络状态、资源同步状态，以及接入的云主机、数据库、存储资源。包含分区的内网状态、公网状态。其中，图标代表可用，图标代表不可用。

本文介绍了DMS SQL明细功能，DMS SQL明细用于记录DMS用户对数据源进行的操作。 前提条件 登录用户的角色为超级管理员、系统管理员、审计管理员。 录入并登录实例，对实例内的数据进行变更或者查询以生成SQL审计记录。 操作步骤 1. 用户登录DMS系统。 2. 在左侧菜单栏依次点击 安全协作 > 操作审计 。 3. 点击DMS SQL明细标签，进入审计界面。 注意事项 DMS SQL明细的日志记录基础版可保存7天，企业版可保存180天。 DMS SQL明细不会审计所有类型的SQL语句，例如SHOW 、USE等常规数据库操作，不涉及敏感数据，将不会被审计。 仅超级管理员、系统管理员和审计管理员可以进入DMS SQL明细界面，查看审计的相关记录。 功能介绍 DMS SQL明细日志记录了用户于何时对哪个数据源执行了什么类型的SQL语句，并对该操作给出高风险、中风险、低风险三种等级的风险评估。对数据源的记录最精细可以审计到表级别 ，同时也会记录SQL执行的结果、查询耗时、影响行数等信息。若执行失败，会记录对应的报错信息。 DMS SQL明细搜索 DMS SQL明细支持的搜索项包括执行时间、SQL类型、执行风险、操作用户、实例名称、实例地址、库名/模式名、表名、功能、执行状态。其中操作用户、实例名称、实例地址、库名/模式名、表名等搜索项支持模糊搜索。若用户想清除已经选择的搜索项，可以点击重置按钮。

本文主要介绍对象存储的定义。 服务简介 对象存储（Object Storage Service，OBS），简称天翼云OBS，是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。支持S3协议，部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制，为用户提供了超大存储容量的能力，适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。 OBS是一项面向Internet访问的服务，提供了基于HTTP/HTTPS协议的Web服务接口，用户可以随时随地连接到Internet的电脑上，通过OBS管理控制台或各种OBS工具访问和管理存储在OBS中的数据。此外，OBS支持SDK和OBS API接口，可使用户方便管理自己存储在OBS上的数据。OBS实现了在多区域部署基础设施，具备高度的可扩展性和可靠性，用户可根据自身需要指定区域使用OBS，由此获得更快的访问速度和实惠的服务价格。 产品架构 OBS的基本组成是桶和对象。 桶是OBS中存储对象的容器，每个桶都有自己的存储类别、访问权限、所属区域等属性，用户在互联网上通过桶的访问域名来定位桶。 对象是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息的集合体，包括Key、Metadata、Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ETag等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 天翼云针对OBS提供的REST API进行了二次开发，为您提供了控制台、SDK和各类工具，方便您在不同的场景下轻松访问OBS桶以及桶中的对象。当然您也可以利用OBS提供的SDK和OBS API，根据您业务的实际情况自行开发，以满足不同场景的海量数据存储诉求。

在GPU云主机上搭建模型运行环境 步骤一：创建1台未配置驱动的GPU云主机 1. 进入创建云主机页面。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“服务列表>弹性云主机”，进入主机列表页。 3. 单击“创建云主机”，进入弹性云主机创建页。 2. 进行基础配置。 1. 根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 2. 选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型p2v"、"规格"为"p2v.4xlarge.8"。 注意 大模型推理场景需要处理大量的数据和参数，对显卡显存和云盘大小都有一定要求。 针对显存，加载全精度Llama7Bchat模型时，模型将消耗28G显存，除此之外也需要额外的显存用于存储中间激活和其他临时变量，因此，最低选择显存为32G的V100显卡。同时您也可以根据自身需求对模型进行量化，缩减模型大小，减少对显存的要求并提升计算速度。 针对系统盘，为了存储模型文件、相关依赖、输入数据以及中间结果，最好将系统盘大小配置为100GB以上。 3. 选择镜像。此处选择ubuntu 20.04的基础镜像进行推理实践。 注意 为了演示模型搭建的整个过程，此处选择未配备任何驱动和工具包的ubuntu基础模型。详细创建步骤请参见创建未配备驱动的GPU云主机GPU云主机用户指南创建GPU云主机 天翼云。 最终我们生成了预装llama2模型和模型依赖的大模型镜像，并在成都4进行了加载，如您有相关需要可在订购时直接选择该镜像——大模型镜像 LLaMA27BChat(100GB)。 4. 设置云盘类型和大小。 3. 网络及高级配置。设置网络，包括"网卡"、"安全组"，同时配备'弹性IP'用于下载模型和相关依赖；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认配置并支付。

本页介绍了分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP产品。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP 产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读相关产品协议，确认协议内容，同意则勾选协议。 4. 点击【确认订单】跳转到支付页面，可以看到所需开通实例的配置信息，包括开通页面中所选则的配置信息、购买量、资源池及购买时长，确认支付费用，确认无误后点击【立即支付】。 5. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本小节介绍采集天翼云对象存储ZOS访问日志。 应用场景 出于分析或审计等目的，日志审计对对象存储ZOS访问日志进行集中化采集，结合内置告警策略上报告警，通过日志检索、报表、仪表板展示解析结果，为您提供安全存储、检索、审计、告警、报表等能力，帮助您满足等保合规要求。 对象存储ZOS访问日志详情请参见日志文件信息说明。 前提准备 1. 已购买日志审计（原生版）实例。 2. 已创建对象存储ZOS桶。 3. 已配置权限。详细操作请参考： 1. 创建用户组和授权 2. 创建IAM用户和登录 3. 创建企业项目并基于企业项目完成授权 操作流程 由于4.0资源池需要通过终端节点方式打通ZOS和日志审计的内网传输通过，所以在日志采集前需要在创建一个ZOS的终端节点。而3.0资源池无需此操作。 说明 如何区分实例是4.0资源池还是3.0资源池？ 一般来说：3.0资源池无可用区，4.0资源池存在可用区。 您可以在“日志审计（原生版）”控制台“总览”页面，查看实例的资源池可用区情况（如下图所示，有可用区，是4.0资源池），也可以提工单咨询当前资源池准确的情况。

本节介绍了更改安全组的操作场景、操作步骤。 操作场景 本节操作介绍当弹性云主机的网卡需要变更所属安全组时的操作步骤。 更改安全组（单台弹性云主机） 1.登录管理控制台。 2.选择“计算 > 弹性云主机”。 3.在弹性云主机列表中，单击“操作”列下的“更多 > 网络/安全组 > 更改安全组”。 系统弹窗显示“更改安全组”页面。 图 更改安全组 4.根据界面提示，在下拉列表中选择待更改安全组的网卡，并重新选择安全组。 您可以同时勾选多个安全组，弹性云主机的访问规则遵循几个安全组规则的并集。 如需创建新的安全组，请单击“新建安全组”。 说明 使用多个安全组可能会影响弹性云主机的网络性能，建议您选择安全组的数量不多于5个。 5.单击“确定”。 更改安全组（多台弹性云主机） 1.登录管理控制台。 2.选择“计算 > 弹性云主机”。 3.在弹性云主机列表中，勾选待更改安全组的云主机。 4.单击列表上方的“更多 > 安全组 > 更改安全组”。进入“批量更改安全组”页面。 5.根据界面提示，在下拉列表中选择待更改安全组的网卡，并重新选择安全组。 您可以同时勾选多个安全组，弹性云主机的访问规则遵循几个安全组规则的并集。 如需创建新的安全组，请单击“新建安全组”。 说明 使用多个安全组可能会影响弹性云主机的网络性能，建议您选择安全组的数量不多于5个。 6.点击“确认”。

本章节向您介绍如何克隆安全组与复制安全组规则。 克隆安全组 操作场景 VPC支持同区域或者跨区域克隆安全组，方便您将相同的安全组规则快速应用到不同区域的弹性云主机上。 当您遇到如下场景时，推荐您使用克隆安全组功能： 假设您已经在区域A创建了一个安全组sgA，此时您需要为区域B内的弹性云主机使用与sgA完全相同的规则，您可以直接将sgA克隆到区域B，而不需要在区域B重新创建安全组。 如果您的业务需要执行新的安全组规则，您可以克隆原有的安全组作为备份。 如果您需要修改当前业务使用的安全组规则，建议您可以克隆一个测试安全组，在测试环境调测成功后，再修改运行的业务安全组。 约束与限制 同一个区域内克隆安全组时，可以克隆安全组内的全部规则。 跨区域克隆安全组时，仅支持克隆源/目的地址是IP地址或者本安全组的规则，不支持克隆源/目的地址是其他安全组和IP地址组的规则。 克隆安全组功能是克隆安全组及安全组规则，不支持克隆此安全组关联的实例。 克隆安全组支持在同一个账号内使用，如果您需要跨账号快速创建安全组，则推荐您使用导入/导出安全组规则功能。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列的“克隆”。 3. 根据界面提示，选择新克隆安全组所在的区域，名称等参数。 4. 参数设置完成后，单击“确定”，完成安全组克隆，您可以在对应区域的安全组列表中，查看克隆成功的安全组。 复制安全组规则

本章节主要介绍服务器安全卫士对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶或日志审计（原生版）服务中。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储至对象存储服务（ZOS）功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 若您使用云审计提供的转储至日志审计（原生版）功能，需要开通日志审计（原生版）服务并支付产生的费用，该费用以日志审计（原生版）产品的计费为准，参考计费说明日志审计（原生版）。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。

本节介绍如何测试数据集加速性能。 本文档记录数据集加速前后的对比性能测试结果。测试覆盖了对象存储（ZOS）和并行文件服务（HPFS）两种存储后端，在不同存储介质（SSD、MEM）和不同部署环境（弹性云主机、物理机）下的性能表现，并与未加速场景进行了对比分析。 测试说明 天翼云智算套件提供基于fluid的数据集加速解决方案，通过本地缓存机制显著提升数据访问性能。该功能支持： 多种存储后端：支持对象存储S3 和 数据卷PVC 多种缓存介质：支持 SSD 和内存（MEM）缓存介质 智能缓存策略：支持数据预热和缓存管理 跨节点访问优化：优化跨节点数据访问性能 测试环境 测试数据量：15GB 并发配置：8 并发，块大小 1MB 读服务资源：2C4G 缓存配额：100G 存储介质配置： SSD：使用超高 IO 磁盘或物理机 NVMeSSD MEM：存储路径配置为 /dev/shm 测试步骤 一、访问ZOS测试 1.1 数据准备 1、创建存储资源 创建对象存储类型的 StorageClass（SC） 创建 PersistentVolumeClaim（PVC） 2、创建工作负载 创建工作负载并挂载步骤 1 中创建的 PVC 进入容器执行数据写入操作 3、数据写入 使用 fio 工具执行数据写入测试： shell fio nameseqwritesingle filenamefile1 rwwrite bs1M size15G numjobs8 iodepth4 direct1

本节主要介绍在内网和公网连接GeminiDB Redis实例时，为GeminiDB Redis实例配置安全组规则的方法。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和GeminiDB Redis实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用GeminiDB Redis实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 使用须知 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 目前一个GeminiDB Redis实例仅允许绑定一个安全组。 内网和公网连接实例时，需要配置的安全组规则请参见下表。 安全组规则说明 场景 配置的安全组规则说明 内网连接实例 使用内网连接GeminiDB Redis实例时，设置安全组规则分为以下两种情况： ECS与GeminiDB Redis实例在相同安全组时，默认ECS与GeminiDB Redis实例互通，无需设置安全组规则。 ECS与GeminiDB Redis实例在不同安全组时，需要为GeminiDB Redis和ECS分别设置安全组规则。 设置GeminiDB Redis安全组规则：为GeminiDB Redis所在安全组配置相应的入方向 规则，具体操作请参见下文操作步骤。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 公网连接实例 使用公网连接GeminiDB Redis实例时，需要为GeminiDB Redis所在安全组配置相应的入方向规则。具体操作请参见下文操作步骤。

本节主要介绍设置安全组规则。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和GeminiDB Influx实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用GeminiDB Influx实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 本节主要介绍在内网和公网连接GeminiDB Influx实例时，为GeminiDB Influx实例配置安全组规则的方法。 使用须知 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 目前一个GeminiDB Influx实例仅允许绑定一个安全组。 连接实例时，需要配置的安全组规则请参见表1。 表1 安全组规则说明 场景 配置的安全组规则说明 内网连接实例 使用内网连接GeminiDB Influx例时，设置安全组规则分为以下两种情况： ECS与GeminiDB Influx实例在相同安全组时，默认ECS与GeminiDB Influx实例互通，无需设置安全组规则。 ECS与GeminiDB Influx实例在不同安全组时，需要为GeminiDB Influx和ECS分别设置安全组规则。 设置GeminiDB Influx安全组规则：为GeminiDB Influx所在安全组配置相应的入方向 规则，具体操作请参见下文操作步骤。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。具体操作请参见《弹性云主机用户指南》中“设置安全组规则”章节。 公网连接实例 使用公网连接GeminiDB Influx实例时，需要为GeminiDB Influx所在安全组配置相应的入方向规则。具体请参见下文操作步骤。

本文介绍弹性云主机实例创建类相关问题。 支付成功后为什么不能马上看到创建中的弹性云主机？ 支付成功后可能需要少许时间生成订单，待订单完成后即可看到创建中的弹性云主机。若您等待一段时间后仍未在云主机列表中看到云主机，可先在“天翼云官网我的费用中心订单管理我的订单”中查看是否已生成订单。 注意 如果创建后长时间看不到云主机，您可以提交工单或致电客服电话4008109889寻求技术支持。客服人员会帮助您解决问题，确保您的弹性云主机能够顺利开通并投入使用。 如何处理支付订单后云主机开通失败？ 如果您支付订单后云主机开通失败，系统会自动进行撤单，该云主机的订单状态会变为将“撤单中”，撤单完成后订单状态变为“撤单完成”，撤单完成订单费用退还至您的账户。您可在“天翼云官网我的费用中心订单管理我的订单”中查看订单详情及进度。 重启/关机弹性云主机时，长时间处于“正在重启”/“正在关机”状态，怎么办？ 如果对云主机实例执行重启/关机操作后，云主机长时间处于“正在重启”/“正在关机”状态，其可能出现的情况包括： 云主机操作系统内存在无法自动关闭的进程，导致了操作过程无法继续进行。 出现系统层面错误，导致后台操作未能正常执行。 对于这些问题，我们建议您采取以下步骤： 1. 尝试手动重启或关机：您可以尝试通过远程连接到云主机，并手动执行重启或关机命令。这可能会帮助您解决问题，或者至少提供更多关于问题的信息。 2. 查看日志：您可以查看云主机的系统日志，以了解是否有任何与重启或关机操作相关的错误信息。这些信息可以帮助您确定问题的原因。 3. 提交工单：如果以上步骤无法解决问题，您可以提交工单或致电客服电话4008109889寻求技术支持。他们将能够进行更深入的调查，并提供适当的解决方案。

流量匹配安全组规则的顺序 一个实例可以关联多个安全组，并且一个安全组内可以包含多个安全组规则。安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略匹配，拒绝策略高于允许策略。 如下图所示，以入方向的流量为例，实例的网络流量将按照以下原则匹配安全组规则，入方向和出方向的流量匹配顺序相同。 首先，流量按照安全组的顺序进行匹配。您可以自行调整安全组顺序，安全组序号越小，表示优先级越高。比如，安全组A的序号为1，安全组B的序号为2，安全组A的优先级高于安全组B，流量优先匹配安全组A内的入方向规则。 其次，流量按照安全组规则的优先级和策略进行匹配。 1. 先按照安全组规则优先级匹配，优先级的数字越小，优先级越高。比如安全组规则A的优先级为1，安全组规则B的优先级为2，安全组规则A的优先级高于安全组规则B，流量优先匹配安全组规则A。 2. 安全组规则优先级相同的情况下，再按照策略匹配，拒绝策略高于允许策略。 流量按照协议端口和源地址，遍历了所有安全组内的入方向规则。 如果成功匹配某个规则，则执行以下操作： 如果规则的策略是允许，则允许该流量访问安全组内实例。 如果规则的策略是拒绝，则拒绝该流量访问安全组内实例。 如果未匹配上任何规则，则拒绝该流量访问安全组内的实例。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节向您介绍如何导入与导出安全组规则。 操作场景 您可以在Excel格式文件中填写安全组规则参数，并将规则导入到安全组内。同时，您可以将已有安全组的规则导出至Excel格式文件中。 当您遇到如下场景时，推荐您使用导入和导出安全组功能。 本地备份安全组规则：如果您想在本地备份安全组规则，可以导出安全组内的规则，将安全组的出方向、入方向规则信息导出为Excel格式文件。 快速创建和恢复安全组规则：如果您想快速创建或恢复安全组规则，可以将安全组规则文件导入到已有安全组中。 快速迁移安全组规则：将某个安全组的规则快速应用到其他安全组。 批量修改安全组规则：将当前安全组的规则导出后，在Excel文件批量修改完成后，重新导入即可。 约束与限制 导入安全组规则时，请根据格式要求填写要求的参数，不能新增参数或者修改已有参数名称，否则会导入失败。 导入安全组规则时，当源地址/目的地址设置为安全组或者IP地址组时，请务必填写正确的ID信息，否则会导入失败。 当本次导入的安全组规则与安全组内已有规则重复，或者本次导入的安全组规则存在重复，系统将会自动忽略掉重复规则，不影响您执行导入操作。 规则的方向、策略、类型、协议端口、源地址/目的地址均相同，优先级不同时，为重复规则。 规则的方向、优先级、策略、类型、协议端口、源地址/目的地址均相同时，为重复规则。 对于同一个方向的安全组规则，当类型、协议端口、源地址/目的地址均相同时，不允许这两条规则的策略相反，即不能规则A设置为允许，规则B设置为拒绝。 若需要导入的规则与安全组内已有规则的策略冲突时，安全组会导入失败，请根据界面提示排查修改。 若需要导入的规则策略冲突时，安全组会导入失败，请根据界面提示排查修改。 当您在同一个账号内，跨区域导入安全组规则时，即将区域A的安全组规则导入到区域B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。 当您跨账号导入安全组规则时，即将账号A的安全组规则导入到账号B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。

本章节主要介绍翼MapReduce服务ZooKeeper健康检查指标项说明。 ZooKeeper服务处理请求平均延时 指标项名称 ：ZooKeeper服务处理请求平均延时 指标项含义 ：检查ZooKeeper服务处理请求的平均延时，如果大于300毫秒，则认为不健康。 恢复指导： 如果该指标项异常，则需要检查集群的网络速度是否正常、内存或CPU使用率是否过高。 ZooKeeper连接数使用率 指标项名称 ：ZooKeeper连接数使用率 指标项含义 ：检查ZooKeeper内存使用率是否超过80%。如果超过阈值，则认为不健康。 恢复指导 ：如果该指标项异常，建议增加ZooKeeper服务可以使用的内存。可以通过ZooKeeper服务配置中的“GCOPTS”配置项参数Xmx来修改，修改完成需重启ZooKeeper服务。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查ZooKeeper服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议检查KrbServer、LdapServer两个服务的健康状态是否为故障并进行处理。然后登录ZooKeeper客户端，确认ZooKeeper是否无法写入数据，根据错误提示排查ZooKeeper写数据失败的原因。最后参考告警ALM13000进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本节介绍了设置安全组规则的相关内容。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本文介绍如何创建内网数据订阅渠道。 操作场景 内网数据订阅适用于企业内部网络环境中，对数据实时性、传输安全性等有较高要求的场景，可在不暴露公网、不影响源端性能的前提下，实现低延迟、高可靠的数据分发与消费。目前已支持内网消息队列（kafka）、内网普罗米修斯（APM实例、自建）方式。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 1、内网数据订阅功能：内网消息队列（kafka）、内网普罗米修斯（APM实例、自建实例）三种方式当前分别受限开放，如有需求可以联系客户经理为您开放此功能。 2、如需使用内网消息队列（kafka）方式数据订阅功能，需先开通天翼云分布式消息服务Kafka实例。 3、如需使用内网普罗米修斯（APM实例）方式数据订阅功能，需先在天翼云应用性能监控（APM）平台>Prometheus监控>实例列表创建实例。 创建内网消息队列（kafka）方式订阅渠道 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与部署”，单击“云监控服务”，进入监控概览页面。 4. 单击“数据订阅”，切换至订阅渠道页签。 5. 点击"创建订阅渠道"按钮，进入订阅渠道创建页面。 6. “网络通道”选择“VPC内网”，订阅类型选择“分布式消息服务”。 配置参数如下： 参数 参数说明 是否必填 取值样例 实例选择 选择天翼云分布式消息服务Kafka实例 是 用户名 填写目标实例的访问用户名 否 注意 如目标实例已启用用户名及密码认证方式，请按实际信息填写 密码 填写目标实例的访问用户名 否 注意 如目标实例已启用用户名及密码认证方式，请按实际信息填写 TOPIC 填写数据订阅的kafka实例的主题 是