本文将介绍如何通过Kubernetes命令行工具kubectl来连接集群。 前提条件 已经下载并安装最新的kubectl客户端。 完成kubectl的相关配置。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称 。 3. 在集群详情界面中选择连接信息页签，复制集群凭据到本地文件中。您可以在$HOME/.kube/config（kubectl默认寻找凭据的路径）下创建并保存集群凭据。 4. 执行以下命令，确认集群连接情况。 PowerShell kubectl get namespace 预期输出 PowerShell NAME STATUS AGE default Active 5d5h kubenodelease Active 5d5h kubepublic Active 5d5h kubesystem Active 5d5h 5. 配置完成后，您可以通过kubectl命令行工具，从本地计算机访问Kubernetes集群，实现对集群的管理和操作。

本小节介绍如何审计运维操作。 系统用户登录堡垒机并对已授权资产进行运维操作，管理员在堡垒机上可以查看到会话详情并播放运维录屏，实时监控运维会话并且可以中断高危风险会话。 前置条件 用户完成资产运维； 登录授权的审计管理员账号。 操作步骤 1. 使用“管理员账号”或“审计管理员”登录云堡垒机系统。 说明 若使用管理员账号登录，需在页面右上角将角色身份切换到“审计角色”。 2. 在左侧导航栏，选择“会话日志 > 字符审计”。 3. 设置搜索条件，单击查询，可快速检索到想要审计的会话记录。 4. 通过查看按钮，查看用户的详细操作记录。 5. 通过播放按钮，可在线实时审计或回放用户的操作行为。

本文提供了天翼云AOne会议服务等级协议查看地址。 天翼云AOne会议服务等级协议，详情请参见这里。

本文向您介绍预定义标签的基础信息。 通过预定义标签功能，您可以从业务角度提前规划并创建标签，也可以批量导入或导出标签。在使用服务资源时，可以快速将预定义标签与云资源进行关联。 约束与限制 创建的预定义标签如果与已有的预定义标签完全相同，则会覆盖已有的预定义标签；若只有“键”相同，“值”不同，则为新创建的预定义标签。 每个账号最多支持创建500个预定义标签。 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符组成。 值的长度最大43字符，由英文字母、数字、下划线、点、中划线、中文字符组成。 无法创建具有空值的预定义标签。

本节介绍如何删除QoS策略。 操作场景 用户删除已创建的QoS策略。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成QoS策略的创建，且QoS策略没有关联智能网关实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标QoS策略“操作”列的“删除”。 5. 单击“确定”，完成QoS策略删除。

本节介绍日志中心用户指南。 概述 分布式容器云平台提供日志采集和分析能力，包括容器日志、事件日志、控制面组件日志，辅助定位集群中出现的异常问题。 日志维度 说明 容器日志 采集集群中容器应用的标准输出日志。 事件日志 配合cubeevent插件，采集集群中的event信息，并持久化到日志中。 控制面组件日志 采集控制面组件的日志，包括kubeapiserver、kubecontrollermanager、kubescheduler和etcd。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ctglogoperator、cubeevent插件，具体操作请参考 插件。 操作步骤 开启日志采集 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要配置日志采集的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 日志中心，进入日志中心页面。 4. 在日志中心页面顶部，可切换容器日志、事件日志、控制面组件日志页签，点击下方“立即开启”按钮，配置容器日志、事件日志和控制面组件日志接入。 配置完成后，在对应页签下即可查看、搜索应用日志。

本文主要介绍天翼云函数工作流服务等级协议。 天翼云函数工作流服务等级协议详情请参见这里

本文介绍视频直播服务协议。 视频直播产品采用《天翼云CDN服务协议》，详情请参见天翼云CDN服务协议。

演练准备 1. 开通应用高可用故障演练服务产品 2. 开通分布式消息服务Kafka产品 3. 搭建一套独立的演练环境，包含： 开通与生产配置（版本、节点数、Topic划分、副本数等）一致的Kafka实例。 部署订单服务、库存服务、支付服务、物流服务等应用模块，连接开通的Kafka实例。 准备模拟用户行为的压测工具和脚本，配置业务监控和日志采集，便于观察系统运行表现。 演练实施 创建环境 在左侧菜单栏点击故障演练 >环境概览 ，进入环境列表界面。 点击创建环境 ，填写环境基本信息后点击确定完成环境创建。 创建应用 在环境列表界面找到刚才创建的环境，进入应用列表 界面点击创建应用，填写应用的基本信息。 在资源配置 栏目点击分布式消息服务Kafka >添加资源 ，根据资源池与实例信息筛选Kafka实例，点击确定完成应用创建。 演练编排 在应用列表 界面，找到已创建的应用，点击右侧的演练任务 >新建演练 ，根据界面指引填写演练的基本信息，点击下一步 进入演练对象配置界面。 在演练对象配置 界面填写动作组名称、动作组描述，资源类型选择分布式消息服务Kafka ，点击添加实例 ，选择待演练的实例后点击确定。 在动作列表 栏目点击立即添加 ，选择演练动作Broker节点CPU高负载 ，点击下一步 进行动作参数设定，点击确定完成动作添加。 演练参数名称 配置值 持续时间（秒） 240 CPU占用率 99 故障注入模式 全部注入 在全局配置 界面，点击监控指标 栏目下的添加云产品监控，在弹出的配置界面中添加以下监控项目： 云产品监控>分布式消息服务Kafka>CPU使用率、磁盘读流量、磁盘写流量、磁盘平均读操作耗时、磁盘平均写操作耗时、存活节点数、节点存活状态。 确认指标已经添加后，设置演练超时时间 为120分钟，点击完成。

本节带您了解如何配置智能网关实例的私网网段地址。 操作场景 用户购买智能网关实例后，需要配置智能网关实例的私网网段地址，以便接入天翼云。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 私网网段之间如果存在包含/重复关系，可能会造成路由冲突，请谨慎配置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关“操作”列的“网络配置”。 5. 根据页面提示填写私网网段。 6. 单击“确定”，完成智能网关实例网络配置。 说明 也可以进入“目标智能网关详情”页面。单击“设备管理”，在“私网网段”模块，单击“设置”，进行网络配置。

操作场景 本章介绍了如何添加运行CCE集群的节点池以及对节点池执行操作。要了解节点池的工作原理，请参阅节点池概述。 操作步骤 将节点池添加到现有集群。 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 单击右上角的“创建节点池”。 步骤 3 在创建节点池页面中，参照如下说明设置节点池选型参数。 计费模式： 节点池仅支持“按需计费”的计费模式，该模式将根据实际使用的资源按小时计费。 节点池创建后，自建的节点池里的资源无法转包周期，默认节点池里的资源可以转包周期。您可以把自建节点池里的资源迁移到默认的节点池里后再进行转包周期的操作。如何迁移请参见迁移节点。 当前区域：指节点实例所在的物理位置。 请就近选择靠近您业务的区域，可减少网络时延，提高访问速度；不同区域的云服务产品之间内网互不相通。 节点池名称：新建节点池的名称，默认按“集群名nodepool随机数”生成名称，可自定义。 节点类型：目前仅支持虚拟机节点。 节点购买数量：该节点池下购买的节点数量，此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示选择，如需更多配额，请单击提交工单申请扩大配额。 弹性扩缩容： − 默认不开启。 − 单击 开启后，节点池将根据集群负载情况自动创建或删除节点池内的节点，参数设置如下： 节点数上限和节点数下限：您可设置节点数的上限和下限，保证节点数在合理的范围内伸缩。 优先级：请根据业务需要设置相应数值，该数值表示节点池之间进行弹性扩缩容的优先级，数值越大优先级越高，如设置为4的节点池比设置为1的节点池优先启动弹性伸缩。若多个节点池的值设置相同，如都设置为2，表示这几个节点池之间不分优先级，系统将按最小资源浪费原则进行伸缩。 弹性缩容冷却时间：请设置时间，单位为分钟或小时。弹性缩容冷却时间是指当前节点池扩容出的节点多长时间不能被缩容。 说明： 节点池中的节点建议不要放置重要数据，以防止节点被弹性缩容，数据无法恢复。 为保证功能的正常使用，节点池开启弹性扩缩容功能后，请务必安装autoscaler。 可用区：可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 请根据业务需要进行选择。节点池创建之后不支持修改可用区属性，请谨慎选择。 如果您需要提高工作负载的高可靠性，建议您选择“随机可用区”，将节点随机均匀分布在不同可用区中。 节点规格：请根据业务需求选择相应的节点规格。 须知： 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件，详细请参见节点预留资源计算公式 。 操作系统：请直接选择节点对应的操作系统。 须知：重装操作系统或修改操作系统配置将导致节点不可用，请务必谨慎操作。 虚拟私有云：跟随集群，不可变更。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 请确保子网下的DNS服务器可以解析对象存储服务域名，否则无法创建节点。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与系统盘一致，此处不再赘述，详情参见系统盘中的云硬盘类型介绍。 须知： 若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建，创建密钥对操作步骤请参见。 步骤 4 云服务器高级设置：（可选），单击 展开后可对节点进行如下高级功能配置： 安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 步骤 5 Kubernetes高级设置：（可选），单击 展开后可对集群进行如下高级功能配置： 最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 Taints：默认为空。支持给该节点池扩容出来的节点加Taints来设置反亲和性，每个节点池最多配置10条Taints，每条Taints包含以下3个参数： −Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 −Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 −Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。 须知： Taints配置时需要配合Pod的toleration使用，否则可能导致扩容失败或者Pod无法调度到扩容节点。 节点池创建后可单击列表项的“编辑”修改配置，修改后将同步到节点池下的已有节点。 K8S标签：K8S标签是附加到Kubernetes 对象（比如Pods）上的键值对，旨在用于指定对用户有意义且相关的对象的标识属性，但不直接对核心系统有语义含义。 详细请参见Labels and Selectors。 单容器可用数据空间：该参数用于设置一个容器可用的数据空间大小，设置范围为10G到80G。如果设置的参数超过数据盘中Docker可占用的实际数据空间（由数据盘设置项中的资源分配自定义参数指定，默认为数据盘大小的90%），将以Docker的实际空间大小为主。该参数仅在v1.13.10r0及以上版本的集群中显示。 步骤 6 （可选）您可以单击左侧的 按钮添加多个节点池，在按钮下方可以查看您可用的节点池配额数量。 步骤 7 完成配置后，单击“下一步：配置确认”，确认所设置的服务选型参数、规格和费用等信息。 步骤 8 确认规格和费用后，单击“提交”，节点池开始创建。 节点池创建预计需要610分钟，您可以单击“返回节点池管理”进行其他操作或单击“查看节点池事件列表”后查看节点池详情。待节点池状态为“正常”，表示节点池创建成功。 查看创建的节点池 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在节点池管理页面中，单击右上角的集群选择框，选择集群后可显示当前集群下所有的节点池，并可查看每个节点池的节点类型、节点规格、弹性扩缩容状态和操作系统等。 须知： 节点池功能上线后，会在每个集群中创建一个默认节点池“DefaultPool”，该节点池不能被编辑、删除或迁移，集群中原有的节点及节点池外创建的节点均会显示在默认节点池“DefaultPool”中。 单击默认节点池“DefaultPool”中“节点”数据框，可查看DefaultPool中的节点列表。 步骤 3 单击右上角的Autoscaler状态选择框，可筛选全部、已启用、未启用Autoscaler功能的节点池。 步骤 4 在节点池列表中，单击节点池的名称，在节点池详情页面，可查看节点池的基本信息、ECS高级设置、Kubernetes高级设置、节点列表等信息。

问题描述 远程连接windows云服务器时提示：要远程连接，你需要具有通过远程桌面服务进行登录的权限。 处理方法 1. 打开cmd运行窗口，并输入“gpedit.msc”。 2. 单击“确定”，打开“本地组策略编辑器”。 3. 选择“计算机配置 > windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a. 查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 b. 查找并双击“拒绝通过远程桌面服务登录”。如果有Administrator帐号，则需要删除。

转码后的视频如何获得播放地址? 转码后的视频如何获得播放地址？ 【点播模式】下，您可以通过以下三种方式获得播放地址： 在【媒体库】中选择任意视频，在操作栏找到【信息】【视频地址】【复制地址】，即可获得临时播放地址。请注意，如果该点播区域的权限配置为【私有】，则在此入口获得的地址为携带签名的播放地址，链接有效期为1小时。 使用云点播服务器端SDK使用签名功能对播放地址进行重签名。详情可查看对视频文件进行签名。 通过接收回调信息获得播放地址，详情可查看视频上传完成点播模式和音视频转码完成点播模式。

本文主要介绍经典分析样例。 本章以Nginx日志为例进行介绍，对云日志服务中的Nginx原始日志进行查询分析。 操作步骤 1. 在目标日志单元下，进入日志查询页面。 2. 在查询分析框中，输入查询分析sql语句进行统计分析，以下为两个具体统计分析案例。 统计前3访问来源 输入sql分析语句如下： plaintext select count(1) as pv, httpreferer group by httpreferer order by pv desc limit 3 展示结果如下 使用饼图统计各请求状态占比 输入sql分析语句如下： plaintext select "status", count() as "num" from log group by "status" order by "num" 展示结果如下

问题描述 云日志服务控制台原始日志页签下无内容。 可能原因 未安装ICAgent日志采集工具。 采集路径配置错误。 LTS控制台上的“配置中心 > 日志采集开关”未开启 当前账号欠费，故采集器停止采集。 日志流写入速率和单行日志长度超出使用限制。 日志请求量较大，浏览器处理过慢。 解决办法 安装ICAgent，方法请参见：安装ICAgent。 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件。 登录LTS控制台，在“配置中心 > 日志采集开关”页签，将采集开关置于“开启”状态。 更换Google Chrome 或Firefox 浏览器查询日志。

本章节主要介绍如何强制重启集群。 当Logstash集群由于长时间运行或者其它未知原因导致Logstash故障不可用时，您可通过强制重启集群恢复集群运行。重启过程中集群不可用，请谨慎操作。 您可以通过以下步骤强制重启集群： 1.登录云搜索服务管理控制台。 2.单击“集群管理”>“Logstash”，进入Logstash类型的集群列表界面，在对应集群的“操作”列中单击“更多>强制重启”。 3.在“强制重启集群VMs”对话框中，仔细阅读注意事项后，单击“确定”。 强制重启集群 集群重启过程中，集群状态为“处理中”，任务状态为“重启中”。如果集群状态变更为“可用”，表示集群已重启成功。

本节将为您介绍如何删除已创建的访问控制。 操作场景 用户删除已创建的访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成访问控制的创建，且访问控制没有关联智能网关实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制“操作”列的“删除”。 5. 单击“确定”完成删除。

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

本节介绍了清理网络规则文件的操作场景、前提条件、操作步骤。 操作场景 为了避免使用私有镜像创建的新云主机发生网卡名称漂移，在创建私有镜像时，需要清理云主机或镜像文件所在虚拟机的网络规则文件。 说明 使用外部镜像文件制作私有镜像时，清理网络规则文件操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 云主机已安装操作系统和virtio驱动。 操作步骤 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 例如： rm /etc/udev/rules.d/30netpersistentnames.rules rm /etc/udev/rules.d/70persistentnet.rules 以上命令中斜体部分会根据用户的实际环境有区别。 说明 对于CentOS 6系列的镜像，为避免网卡名发生漂移，您需要创建一个空的rules配置文件。 示例：touch /etc/udev/rules.d/75persistentnetgenerator.rules //命令中斜体部分会根据用户的实际环境有区别 3. 清理网络规则。 − 若操作系统使用initrd系统映像，请执行以下操作： i. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件（以下命令中斜体内容请以实际操作系统版本为准）。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net 否，结束。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件（以下命令中斜体内容请以实际操作系统版本为准）。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak iii. 执行以下命令，重新生成initrd映像文件。 mkinitrd − 若操作系统使用initramfs系统映像（如Ubuntu），请执行以下操作： i. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net 否，无需清理网络规则。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak iii. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

部署rook operator Rook是一个开源的云原生存储编排工具，提供平台、框架和对各种存储解决方案的支持，以和云原生环境进行本地集成。 Rook 利用扩展功能将其深度地集成到云原生环境中，并为调度、生命周期管理、资源管理、安全性、监控等提供了无缝的体验。Rook 目前支持 Ceph、NFS、Minio Object Store 和 CockroachDB。 plaintext 部署rook operator cd rook/deploy/charts/rookceph/ helm install createnamespace namespace rookceph rookceph . 创建rook ceph集群 plaintext 创建rook ceph集群 cd rook/deploy/examples kubectl apply f cluster.yaml 镜像列表 registry.k8s.io/sigstorage/csiattacher:v4.8.1 registry.k8s.io/sigstorage/csinodedriverregistrar:v2.13.0 registry.k8s.io/sigstorage/csiprovisioner:v5.2.0 registry.k8s.io/sigstorage/csiresizer:v1.13.2 registry.k8s.io/sigstorage/csisnapshotter:v8.2.1 quay.io/ceph/ceph:v19.2.2 quay.io/cephcsi/cephcsi:v3.14.0 rook/ceph:v1.17.2 kubectl get cephcluster A NAMESPACE NAME DATADIRHOSTPATH MONCOUNT AGE PHASE MESSAGE HEALTH EXTERNAL FSID rookceph rookceph /var/lib/rook 3 136m Ready Cluster created successfully HEALTHWARN 40a66dd669ed4401b97fef1edaae17b2 部署rook ceph工具 plaintext cd rook/deploy/examples kubectl apply f toolbox.yaml 通过cephtool工具查看ceph集群状态，正常需要3个OSD（准备三个节点，每个节点至少有一块盘） kubectl exec it kubectl get pods n rookcephgrep rookcephtoolsawk '{print $1}' n rookceph bash bash5.1$ ceph s cluster: id: e7abf175ad9c420a92051328f8097a75 health: HEALTHWARN mon b is low on available space services: mon: 3 daemons, quorum a,b,c (age 12h) mgr: a(active, since 12h), standbys: b mds: 1/1 daemons up, 1 hot standby osd: 3 osds: 3 up (since 12h), 3 in (since 13h) data: volumes: 1/1 healthy pools: 4 pools, 81 pgs objects: 34 objects, 639 KiB usage: 203 MiB used, 120 GiB / 120 GiB avail pgs: 81 active+clean io: client: 1.2 KiB/s rd, 2 op/s rd, 0 op/s wr OSD 可用存储设备满足条件： 设备必须没有分区。 设备不得具有任何 LVM 状态。 不得安装设备。 该设备不得包含文件系统。 该设备不得包含 Ceph BlueStore OSD。 设备必须大于 5 GB。 使用Ceph

本文为您介绍配置隧道网关的操作方法。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、H3C S6520交换机为例。 操作步骤（华为CE6850交换机） 操作步骤（H3C S6520交换机） 约束与限制 如果您的IDC需要与云上企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，若有高可靠性要求，建议VXLAN交换机组堆叠部署。 示例组网说明 本示例场景中，规划的二层网络的子网网关和VXLAN隧道在不同的交换机上。 云上隧道IP是10.0.6.3，用户IDC侧隧道交换机的隧道IP是2.2.2.2，隧道号（VNI）是5010，仅供参考。 图配置远端隧道网关 操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 注意 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 1. 登录隧道交换机，执行命令 systemview ，进入系统视图。 2. 进入loopback 0接口视图，配置隧道IP。 3. 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 4. 执行命令 quit ，退出接口视图，返回到系统视图。 5. 执行命令 bridgedomain ，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridgedomain 10 vxlan vni 5010 6. 执行命令 quit ，退出BD视图，返回到系统视图。 7. 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridgedomain 10 8. 执行命令 interface nve ，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 9. 在NVE接口视图下，执行命令 vni ，配置VNI的头端复制列表。 配置示例： vni 5010 headend peerlist 10.0.6.3 10. 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose

本文主要介绍 通过grafana查看AOM中的指标数据 前提条件 已创建弹性云主机ECS。 已创建弹性公网IP，并绑定到购买的弹性云主机ECS上。 操作步骤 步骤 1 安装并启动Grafana，具体操作请参见Grafana官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 说明 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 配置Grafana。 1. 登录Grafana。 2. 在左侧菜单栏，选择“Configuration > Data Sources”，单击“Add data source”。 配置Grafana 3. 单击“Prometheus”，进入Prometheus配置页面。 进入Prometheus配置页面 4. 参考示例配置参数。 Password：将Password设置为步骤2中生成的AccessCode。 User：aomaccesscode。 − URL： {URIscheme}://{Endpoint}/v1/{projectid} URIscheme：表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。 projectid 为项目的ID。 说明 Auth下Basic auth和Skip TLS Verity的开关必须开启。 accesscode与projectid有对应关系，请在填写时确认匹配关系。 配置参数 5. 配置完成后，单击“Save&Test”，验证是否配置成功。 配置成功即可使用Grafana配置Dashboards，查看指标数据。 配置完成

本文向您介绍批量导入/导出域名解析记录。 批量导出解析记录 操作场景 当用户想要将通过云解析服务解析的域名转出到其他DNS服务商时，可以通过本操作批量完成域名解析记录的导出。 内网域名解析记录支持导出的信息包括：域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导出解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 单击页面右上角的“批量导出”，导出域名解析记录。 导出完成后，会生成格式为“域名.xlsx”的解析记录表格。例如“example.com.xlsx”。 在导出表格中可以查看导出的解析记录，包括域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 批量导入解析记录 操作场景 当用户想要将域名导入到内网DNS进行解析时，可以通过本操作批量完成域名解析记录的导入。 最多支持每次导入500条解析记录。 说明 在批量导入域名解析记录之前，需要在云解析服务完成内网域名的创建。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导入解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 在进行批量导入前，需要首先完成导入模板的填写。 1. 在批量导入/导出详情页面，单击“下载模板”，获取导入模板。 2. 按模板要求完成解析记录的填写。 说明 如果您已经在域名的转出方导出了域名解析记录，需要将导出的内容填写到模板中，否则将无法导入成功。 5. 单击页面右上角的“批量导入”，选择填写完成的导入模板，开始执行批量导入。 导入完成后，可以通过查看“导入成功记录”和“导入失败记录”检查解析记录导入是否成功。 导入成功记录：显示导入成功的记录数。 导入失败记录：逐条显示导入失败的记录，您可以根据“失败原因”对导入失败的记录进行处理。 注意 重新导入解析记录之前，请先单击页面右上角的“清空”，将之前的导入成功记录和导入失败记录清空后再操作。

IPv6带宽可查看详细的流量数据,本文帮助您查看IPv6带宽监控详情。 您可以查看IPv6带宽的监控信息，观测该IPv6带宽的带宽速率及流量大小，帮助您及时调整业务。 前提条件 只有正常可用状态的IPv6带宽才可查看监控详情，到期状态的IPv6带宽请先进行续订后操作。 操作须知 IPv6带宽若未绑定任何云资源，则暂无流量数据，无法展示监控信息。 操作步骤 1. 进入网络控制台，登录控制台IPv6带宽页面； 2. 选择目标IPv6带宽操作列，点击【更多】，单击【查看更多监控】，可跳转至该IPv6带宽的监控详情页。

本文介绍ECI实例如何自定义临时存储。 临时存储空间可以为ECI实例提供默认大小的根目录空间，提供给用户充足的临时存储空间。如果该存储空间大小无法满足您的需求，您可以自定义增加临时存储空间大小。 其中ECI实例默认提供40GiB的免费的临时存储空间。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，为ECI实例自定义临时存储大小。

本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

本章节主要介绍翼MapReduce服务关于日志。 日志描述 MRS集群的日志保存路径为“/var/log/Bigdata”。日志分类见下表： 日志分类一览表 日志类型 日志描述 安装日志 安装日志记录了Manager、集群和服务安装的程序信息，可用于定位安装出错的问题。 运行日志 运行日志记录了集群各服务运行产生的运行轨迹信息及调试信息、状态变迁、未产生影响的潜在问题和直接的错误信息。 审计日志 审计日志中记录了用户活动信息和用户操作指令信息，可用于安全事件中定位问题原因及划分事故责任。 MRS日志目录清单见下表： 日志目录一览表 文件目录 日志内容 /var/log/Bigdata/audit 组件审计日志。 /var/log/Bigdata/controller 日志采集脚本日志。 controller进程日志。 controller监控日志。 /var/log/Bigdata/dbservice DBService日志。 /var/log/Bigdata/flume Flume日志。 /var/log/Bigdata/hbase HBase日志。 /var/log/Bigdata/hdfs HDFS日志。 /var/log/Bigdata/hive Hive日志。 /var/log/Bigdata/httpd httpd日志。 /var/log/Bigdata/hue Hue日志。 /var/log/Bigdata/kerberos Kerberos日志。 /var/log/Bigdata/ldapclient LDAP客户端日志。 /var/log/Bigdata/ldapserver LDAP服务端日志。 /var/log/Bigdata/loader Loader日志。 /var/log/Bigdata/logman logman脚本日志管理日志。 /var/log/Bigdata/mapreduce MapReduce日志。 /var/log/Bigdata/nodeagent NodeAgent日志。 /var/log/Bigdata/okerberos OMS Kerberos日志。 /var/log/Bigdata/oldapserver OMS LDAP日志。 /var/log/Bigdata/omm oms：“omm”服务端的复杂事件处理日志、告警服务日志、HA日志、认证与授权管理日志和监控服务运行日志。 oma：“omm”代理端的安装运行日志。 core：“omm”代理端与“HA”进程失去响应的dump日志。 /var/log/Bigdata/spark Spark日志。 /var/log/Bigdata/sudo omm执行sudo命令产生的日志。 /var/log/Bigdata/timestamp 时间同步管理日志。 /var/log/Bigdata/tomcat Tomcat日志。 /var/log/Bigdata/yarn Yarn日志。 /var/log/Bigdata/zookeeper ZooKeeper日志。 /var/log/Bigdata/kafka Kafka日志。 /var/log/Bigdata/storm Storm日志。 /var/log/Bigdata/patch 补丁日志。

本章节主要介绍翼MapReduce的实例管理操作。 总览 登录FusionInsight Manager以后，例如选择“集群 > 待操作集群的名称 > 服务 > KrbServer > 实例”，进入实例管理页面，包含功能区和角色实例列表。 功能区 在功能区勾选需要操作的实例后，可对角色实例执行相关维护管理任务，例如启动或停止实例等，主要操作如下表所示。 实例维护管理功能 操作入口 说明 “ 启动实例” 将集群中指定实例启动。适用于操作状态为“未启动”、“停止失败”或“启动失败”角色实例，以使用该角色实例。 “ 更多 > 停止实例” 将集群中指定实例停止。适用于不再使用或异常的角色实例。 “ 更多 > 重启实例” 将集群中指定实例重启。适用于状态异常的角色实例，以恢复角色实例功能。 “ 更多 > 滚动重启实例” 为集群中指定实例提供不中断业务的重启操作，具体参数配置可参考滚动重启集群。 “ 更多 > 入服/退服” 为集群中指定实例执行入服务或退服的操作，变更实例的业务可用状态方式，具体可参考入服与退服实例。 说明 仅HDFS的角色DataNode、Yarn的角色NodeManager、HBase的角色RegionServer支持此操作。 “待操作实例名称> 更多 > 同步配置” 当某个角色实例的“配置状态”为“配置过期”，表示该角色实例修改配置后还未重启生效，新的配置仅保存在FusionInsight Manager。将新的配置下发至指定实例。 说明 同步角色实例配置后需要重启配置过期的角色实例。重启时对应的角色实例不可用。 完成同步配置后，完成后请重启实例以使配置生效。 “待操作实例名称> 实例配置” 具体请参考管理实例配置。 功能区支持按角色或运行状态进行快速筛选。 说明 单击“高级搜索”，支持指定其他筛选条件搜索指定的实例，例如主机名称、管理IP、业务IP和实例组等。

本文提供了天翼云AOne会议隐私和信息处理规则查看地址。 天翼云AOne会议隐私和信息处理规则，详情请参见这里。

介绍解决部分Linux系统的账户破解防护功能未生效 故障原因 主机系统中SSHD服务没有依赖libwrap.so。 libwrap是一个免费的软件程序库，实现了通用的TCP。 Wrapper功能。任何包含了libwrap.so的daemon程序可以使用/etc/hosts.allow和/etc/hosts.deny文件中的规则对主机进行简单的访问控制。 解决方法 登录云服务器安装企业主机安全Agent，然后执行下面的命令： sh /usr/local/ hostguard/conf/configsshxinetd.sh 存在问题的镜像版本 Gentoo的镜像存在该问题的版本如下： Gentoo Linux 17.0 64bit（40GB） Gentoo Linux 13.0 64bit（40GB） OpenSUSE的镜像存在该问题的版本如下： OpenSUSE 42.2 64bit（40GB） OpenSUSE 13.2 64bit（40GB）

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“授权管理 > 文件传输授权”，进入“文件传输授权”页面。 3. 单击“新增”，配置文件传输授权相关内容。 参数 参数说明 基本信息 授权规则名称 自定义资产访问授权的规则名称。 基本信息 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 基本信息 启用状态 选择该授权规则的启用状态，默认启用。 登录名 登录名 （可选）选择需要配置访问授权的用户。 登录名 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 资产 （可选）选择需要配置访问授权的资产。 资产 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 账号 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 文件操作 选择需要做限制的文件操作动作。 文件 文件或目录 可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 配置示例： 只限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 说明 策略匹配顺序为：允许 > 拒绝。 配置时至少需要关联一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效。 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

以下提供云审计服务所收集事件的两个页面样例，并对其中常用的观察点进行了描述，以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 创建弹性云主机实例 json { "time": "2016/12/01 11:07:28 GMT+08:00", "user": { "name": "aaa/opservice", "id": "f2fe9fac63414a35a7d03108d5f1ea73", "domain": { "name": "aaa", "id": "1f9b9ba51f6b4061bd5c1736b28469f8" } }, "request": { "server": { "name": "asconfig15f1XWO68TFC", "imageRef": "b2b2c7dcbbb04d6b81ddf0904023d54f", "flavorRef": "m1.tiny", "personality": [], "vpcid": "e4c374b93675482c9b814acd59745c2b", "nics": [ { "subnetid": "fff8913288d44e5b9e27d9001167d24f", "nictype": null, "ipaddress": null, "binding:profile": null, "extradhcpopts": null } ], "adminPass": "", "count": 1, "metadata": { "opsvcuserid": "26e96eda18034ae9a44130bacb967b96" }, "availabilityzone": "az1.dc1", "rootvolume": { "volumetype": "SATA", "extendparam": { "resourceSpecCode": "SATA" }, "size": 40 }, "datavolumes": [], "securitygroups": [ { "id": "dd597fd7d1194994a22c891fcfc54be1" } ], "keyname": "KeyPair3e51" } }, "response": { "status": "SUCCESS", "entities": { "serverid": "42d39b4a19b74ee2b01ba9f1353b4c54" }, "jobid": "4010b39d58b855980158b8574b270018", "jobtype": "createSingleServer", "begintime": "20161201T03:04:38.437Z", "endtime": "20161201T03:07:26.871Z", "errorcode": null, "failreason": null }, "servicetype": "ECS", "resourcetype": "ecs", "resourcename": "asconfig15f1XWO68TFC", "resourceid": "42d39b4a19b74ee2b01ba9f1353b4c54", "sourceip": "", "tracename": "createSingleServer", "tracestatus": "normal", "tracetype": "SystemAction", "apiversion": "1.0", "recordtime": "2016/12/01 11:07:28 GMT+08:00", "traceid": "4abc3a67b77311e684128f0ed3cc97c6" } 在以上信息中，可以重点关注如下字段： "time"：记录了事件发生的时间，本例中为12月1日上午11点07分28秒。 "user"：记录了操作用户的信息，本例中操作用户为企业帐户（domain字段）aaa下的用户（name字段）aaa。 "request"：记录了创建ECS服务器的请求，可以抽取该ECS服务器的简单信息，如name为asconfig15f1XWO68TFC，资源id为e4c374b93675482c9b814acd59745c2b。 "response"：记录了创建ECS服务的返回结果，可以抽取其中的关键信息，如创建结果（status字段）为Success，错误码（errorcode字段）和失败原因（failreason字段）均为空（null）。