本章介绍翼MapReduce的恢复HBase元数据功能。 操作场景 为了确保HBase元数据（主要包括tableinfo文件和HFile）安全，防止因HBase的系统表目录或者文件损坏导致HBase服务不可用，或者系统管理员需要对HBase系统表进行重大操作（如升级或迁移等）时，需要对HBase元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建恢复HBase任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的HBase数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 元数据恢复前，需要停止HBase服务，在这期间所有上层应用都会受到影响，无法正常工作。 元数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 元数据恢复后，需要重新启动HBase的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 检查HBase元数据备份文件保存路径。 恢复HBase元数据需要先停止HBase服务。 登录FusionInsight Manager，请参见登录管理系统。

本章主要介绍翼MapReduce的恢复HBase业务数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对HBase进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对HBase业务数据进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复HBase任务并恢复数据。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的HBase数据。 对系统的影响 恢复过程的数据还原阶段，系统会把待恢复的HBase表禁用，此时无法访问该表。还原阶段可能需要几分钟时间，此时HBase的上层应用无法正常工作。 恢复过程中会停止用户认证，用户无法开始新的连接。 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，需要重新启动HBase的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查HBase备份文件保存路径。 停止HBase的上层应用。 登录FusionInsight Manager，请参见登录管理系统。

本章节主要介绍翼MapReduce的管理租户目录操作。 操作场景 管理员通过FusionInsight Manager管理指定租户使用的HDFS存储目录，能根据业务需求对租户添加目录、修改目录文件数量配额、修改存储空间配额和删除目录。 前提条件 已添加具有HDFS存储资源的租户。 查看租户目录 1. 在FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击目标的租户。 3. 单击“资源”页签。 4. 查看“HDFS存储”表格。 指定租户目录的“文件目录数上限”列表示文件和目录数量配额。 指定租户目录的“存储空间配额 ”列表示租户目录的存储空间大小。 添加租户目录 1. 在FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击需要修改HDFS存储目录的租户。 3. 单击“资源”页签。 4. 在“HDFS存储”表格，单击“添加目录”。 “父目录”，表示当前租户对应父租户的存储目录。 说明 当前租户不是子租户则不显示此参数。 “路径”，填写租户目录的路径。 说明 当前租户不是子租户则新路径将在HDFS的根目录下创建。 “文件目录数上限”填写文件和目录数量配额。 文件数阈值配置（%），只有设置了“文件目录数上限”才会生效。表示当已使用的文件数超过了设置的“文件目录数上限”的百分数后将会产生告警。不设置则不会根据实际使用情况上报告警。 说明 当前已使用的文件数的数据采集周期为1个小时，因此超过文件数阈值的告警上报会存在延迟。 “存储空间配额”，填写租户目录的存储空间大小。 存储空间阈值配置（%），表示已使用存储空间超过了设置的“存储空间配额”的百分数后将会产生告警。不设置则不会根据实际使用情况上报告警。 说明 已使用的存储空间的数据采集周期为1个小时，因此超过存储空间阈值的告警上报会存在延迟。 5. 单击“确定”完成租户目录添加。

工作原理 目前，天翼云CDN加速产品开放使用的是七层协议的QUIC，其工作原理如下图所示，主要应用在客户端与CDN加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 客户端要求 QUIC属于双边协议，需客户端支持才可发起，客户端要求如下： 浏览器：如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 自研App：您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 适用场景 如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入CDN加速平台。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 QUIC版本号 配置需开启的QUIC版本，例如：H3v1

本文将为您介绍如何复制伸缩配置来新增一条配置。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 单击“伸缩配置”，进入“伸缩配置”页签，在待复制的伸缩配置行，单击“操作”列的“复制”。 5. 在“复制伸缩配置”页面，您可以修改配置名称、云主机规格和镜像等参数，如需保持相同配置，可直接点击右下角“确认”按钮。 6. 系统会自动刷新列表，您可以看到新增的伸缩配置。

本章节内容主要是操作类常见问题 可以通过创建模板的方式创建实例吗？ 在创建文档数据库实例时，不需要使用模板。用户可选择不同实例规格，相当于提前准备好了很多模板，提供给用户创建实例。 为什么我的数据会丢失或被删除？ 文档数据库服务不会删除和操作用户的任何数据。出现这种情况，请检查是否为误操作，必要时可利用已有备份恢复文件。 目前可采取如下方式： 使用文档数据库服务的恢复功能，请参见《文档数据库服务用户指南》中“备份与恢复”下恢复备份的内容。 将备份数据导入文档数据库服务，请参见数据迁移。 如果删除我的云帐号是否会删除备份？ 一旦删除云帐号，自动备份和手动备份也随之删除。

本节介绍了DDoS高防（边缘云版）的主要产品功能。 DDoS高防（边缘云版）的功能说明如下，适用于所有套餐。 功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

使用API导入数据 使用bulk API通过cURL命令导入数据文件，如下操作以JSON数据文件为例。 说明 使用API导入数据文件时，建议导入的数据文件大小不能超过50MB。 1.登录即将接入集群的弹性云主机。 接入集群的详细操作指导请参见接入集群章节中的 在同一VPC内的弹性云主机，直接调用Elasticsearch API。 2.执行如下命令，导入JSON数据。 其中， { Private network address and port number of the node } 需替换为集群中节点的内网访问地址和端口号，当该节点出现故障时，将导致命令执行失败。如果集群包含多个节点，可以将 { Private network address and port number of the node } 替换为集群中另一节点的内网访问地址和端口号；如果集群只包含一个节点，则需要将该节点修复之后再次执行命令进行导入数据。test.json为导入数据的json文件。 curl X PUT " network address and port number of the node} /bulk" H 'ContentType: application/json' databinary @test.json 说明 其中，X参数的参数值为命令，如“X PUT”，H参数的参数值为消息头，如“H 'ContentType: application/json' databinary @test.json”。添加的k参数时，请勿将k参数放置在参数与参数值之间。 示例 ： 将“testdata.json”数据文件中的数据导入至Elasticsearch集群，此集群未进行通信加密，其中一个节点内网访问地址为“192.168.0.90”，端口号为“9200”。其中testdata.json文件中的数据如下所示： {"index":{"index":"mystore","type":"products"}} {"productName": "2019秋装新款文艺衬衫女装","size":"M"} {"index":{"index":"mystore","type":"products"}} {"productName": "2019秋装新款文艺衬衫女装","size":"L"} 导入数据的操作步骤如下所示： a. 可执行以下命令，创建mystore索引。 7.x之前版本 curl X PUT H 'ContentType:application/json' d ' { "settings": { "numberofshards": 1 }, "mappings": { "products": { "properties": { "productName": { "type":"text" }, "size": { "type":"keyword" } } } } }' 7.x之后版本 curl X PUT H 'ContentType:application/json' d ' { "settings": { "numberofshards": 1 }, "mappings": { "properties": { "productName": { "type": "text" }, "size": { "type":"keyword" } } } }' b. 执行以下命令，导入testdata.json文件中的数据。 curl X PUT " H 'ContentType: application/json' databinary @testdata.json

本文主要介绍 系统盘（将扩容部分的容量新增到F盘） 系统盘原有容量为40GB，通过管理控制台将系统盘扩容60GB后，登录云主机为60GB新增容量新创建一块F盘。操作完成后，新增60GB的F盘可用作数据盘。 步骤1 在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 步骤2 在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面，如下图所示。 图 刷新（系统盘） 步骤3 若此时无法看到扩容部分的容量，选中“磁盘管理”，右键单击“刷新”。 刷新后，可以看到在扩容部分的容量，显示为“未分配”，如下图所示。 图 未分配（系统盘） 步骤4 在磁盘0的“未分配区域”右键单击，选择“新建简单卷”，如下图所示。 图 新建简单卷（系统盘） 步骤5 在弹出的“新建简单卷向导”界面中选择“下一步”，如下图所示。 图 新建简单卷向导（系统盘） 步骤6 在弹出的“指定卷大小”界面中，指定“简单卷大小”行中输入需要扩容的磁盘容量，此处以默认为例，单击“下一步”，如下图所示。 图 指定卷大小（系统盘） 步骤7 在弹出的“分配驱动器号和路径”界面中，指定“分配驱动器号”行中选择驱动器号，此处以“F”为例，单击“下一步”，如下图所示。 图 分配驱动器号和路径（系统盘） 步骤8 勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建，如下图所示。 图 格式化分区（系统盘） 步骤9 单击“完成”完成向导。 扩容成功后可以看到新加卷（F：），如下图所示。 图 完成（新加卷F） 图 新加卷（F）

本章节向您介绍通过企业路由器实现同区域VPC互通的步骤三内容。 约束与限制 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 本示例中4个ECS位于同一个安全组内，如果您的ECS位于不同的安全组，需要在安全组中添加规则放通网络。 操作步骤 步骤1：创建4个VPC及子网。 步骤2：创建4个ECS。

此小节介绍资产被勒索过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段： 收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段： 部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段： 窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图被勒索过程

本文主要介绍 连接已开启SASL的Kafka实例。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为 TLSECDHEECDSAWITHAES128CBCSHA256 ， TLSECDHERSAWITHAES128CBCSHA256和 TLSECDHERSAWITHAES128GCMSHA256 。 本章节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 说明 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过 前提条件 1.已配置正确的安全组。 访问开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考上表。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9093，实例连接地址获取如下图。 图 使用内网通过同一个VPC访问Kafka实例的连接地址（实例已开启SASL） 如果是公网访问，实例端口为9095，实例连接地址获取如下图。 图 公网访问Kafka实例的连接地址（实例已开启SASL） 3.已获取开启的SASL认证机制。 在Kafka实例详情页的“连接信息”区域，查看“开启的SASL认证机制”。如果SCRAMSHA512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图 开启的SASL认证机制 4.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 5.已下载client.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。下载压缩包后解压，获取压缩包中的客户端证书文件：client.jks。 6.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 7.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$​JAVAHOME/bin:JAVAH​OME/bin:$​PATH 执行source .bashprofile命令使修改生效。

本节介绍网页防篡改服务协议。 自2021年11月11日起，新版天翼云网页防篡改服务协议生效。详情请参见天翼云网页防篡改服务协议。 历史版本请参见天翼云网页防篡改服务协议 历史版本（20195）。

本文介绍在使用科研助手服务前的准备工作。 1. 创建天翼云账号 如果您还没有天翼云账号，请登录天翼云官网，点击右上角“免费注册”创建天翼云账号，并完成账号实名制认证。 2. 开通科研助手服务 在科研助手产品主页，点击立即开通按钮，进入业务开通页开通批量计算服务（预付费账户余额大等于100元进行开通)。

本文主要介绍函数计算的欠费说明。 当您天翼云账号的可用额度（费用中心总览）不足以抵扣待结算账单时，您的账号将会立即进入欠费状态；相关资源服务将被冻结，不可继续使用。您可以及时为业务续费或清理不再使用的函数资源，确保服务正常可用。 欠费通知 若您的账号发生欠费，系统会以邮件或短信的形式提醒您。请留意来自天翼云的提醒邮件、短信，避免影响业务正常使用。 欠费影响 当您的天翼云账号发生欠费，函数计算平台将会按照下列策略处理： 欠费时间未超过15天 将冻结您的函数计算服务，包括函数实例、触发器、请求等 按量实例继续执行完当前函数后将不再处理任何新请求 预留实例会在请求执行结束后被销毁 定时触发器将不再被触发 当欠费超过15天 函数计算将进行停机，所有函数均不再执行任何请求或任务 平台会保留您的函数代码与配置，如您需再次使用函数计算，请进行续费 欠费恢复 请在收到欠费通知后，登录天翼云官网费用中心进行充值；稍后函数计算资源实例将自动解冻，为您恢复服务。

本文为您介绍云监控服务支持的云搜索服务Elasticsearch实例的指标。 以下为云监控服务支持实时监控云搜索服务实例的核心指标，方便您及时掌握实例使用情况，处理异常状况。 实例监控指标列表 监控周期：1分钟 指标名称 指标介绍 esclhealthstatus Elasticsearch实例状态，1表示green，2表示yellow，3表示red esclactiveprimaryshards Elasticsearch实例活跃主分片数 esclactiveshards Elasticsearch实例活跃分片数 esclrelocatingshards Elasticsearch实例迁移中分片数 esclinitializingshards Elasticsearch实例初始化中分片数 esclunassignedshards Elasticsearch实例未分配分片数 esclnodes Elasticsearch实例节点总数 esclhealthnodes Elasticsearch实例存活节点数 esclhealthdatanodes Elasticsearch实例存活数据节点数 esclunhealthnodes Elasticsearch实例异常节点数 esclindicesstoresize Elasticsearch实例索引存储总量 esclindicesdocstotalmax Elasticsearch 集群最大文档数索引 escldiskusageavg Elasticsearch 实例平均磁盘使用率 escljvmheapusagemax Elasticsearch 实例最大JVM堆使用率 esclcpuusageavg Elasticsearch 实例平均CPU使用率 esclcpuusagemax Elasticsearch 实例最大CPU使用率 esclbulkrejectrate Elasticsearch 实例bulk拒绝率 esclqueryrejectrate Elasticsearch 实例查询拒绝率 esclindexlatencyavg Elasticsearch 实例平均写入延迟 esclindexlatencymax Elasticsearch 实例最大写入延迟 esclsearchlatencyavg Elasticsearch 实例平均查询延迟 esclsearchlatencymax Elasticsearch 实例最大查询延迟 esclfsreadopscount Elasticsearch 实例磁盘总读IOPS esclfsreadsizekbsum Elasticsearch 实例磁盘读总带宽 esclfswriteopscount Elasticsearch 实例磁盘总写IOPS esclfswritesizekbsum Elasticsearch 实例磁盘写总带宽 esclmemusedratioavg Elasticsearch 实例平均已用内存比例 esclmemusedratiomax Elasticsearch 实例最大已用内存比例 esclmemfreeratioavg Elasticsearch 实例平均可用内存比例 esclmemfreeratiomax Elasticsearch 实例最大可用内存比例 esclloadavg Elasticsearch 实例平均节点load值 esclloadmax Elasticsearch 实例最大节点load值 escldoccount Elasticsearch 实例文档数量 esclsearchrate Elasticsearch 实例平均查询速率 escldocdeleted Elasticsearch 实例被删除的文档数量 esclhttpconncurrent Elasticsearch 实例当前已打开的HTTP连接数 esclhttpconnmax Elasticsearch 实例最大当前打开的HTTP连接数 esclsharddocthreshold Elasticsearch 实例文档超过阈值分片数量 esclshardstoresizemax Elasticsearch 实例集群最大分片存储量 esclreadonlyindexcount Elasticsearch 实例只读索引个数 esclshardpercent Elasticsearch 实例分片数配额使用率

本节为您介绍如何跨账号授权。 操作场景 天翼云SDWAN支持跨账号授权，向对方账号授权智能网关实例资源后，对方账号SDWAN网络中可添加您的智能网关，需要谨慎操作，一个智能网关只能授权给一个用户。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“跨账号授权”，单击“已授权网络实例”页签，单击“授权”按钮。 5. 在“授权网络实例”的弹框中，根据提示配置参数，具体参数配置如下： 参数 说明 智能网关 请选择当前账号下的智能网关。 对方账号ID 请输入需要授权的对方账号ID。 对方SDWAN 实例ID 请输入需要授权的对方SDWAN实例ID。 描述 添加描述，可选。 6. 单击“确认”按钮。 7. 单击“被授权网络实例”页签，可以查看授权SDWAN的名称、被授权网络资源、授权资源账号等内容。

本文主要介绍天翼云函数工作流服务协议。 天翼云函数工作流服务协议详情请参见这里

项目 容量 时间选择 容量查询的时间段，可以选择查看下列时间段的容量： 今日。 昨日。 近7日。 近30日。 根据日历按钮，选择查询任意90天内容量。 时间粒度 容量查询的时间粒度，可以选择： 按五分钟查询：统计信息按每5分钟展示，可以选择查询今日、昨日或按日历选择任意1天的数据。 按小时查询：统计信息按每小时展示，可以查询今日、昨日、近7日或按日历选择任意7天内的数据。 按天查询：统计信息按天展示，可以查询今日、昨日、近7日、近30天或按日历按钮选择任意90天内的数据。 数据位置 容量查询的数据位置，可以选择： 全部数据位置：展示所有数据位置的容量和值。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的容量。 存储桶 容量查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的容量之和。 具体存储桶：根据显示的存储桶，选择查看对应存储桶的容量。 取值类型 选择容量查询的数值类型： 平均值：选择时间段的容量平均值，只能按小时查询或按天查询。 实时值：选择时间段的容量实时值，可以选择按五分钟查询、按小时查询或按天查询。 峰值：选择时间段的容量峰值，只能按小时查询或按天查询。 存储类型 选择容量查询的存储类型： 全部存储类型：分别展示标准存储和低频访问存储的容量。 标准类型：标准存储的容量。 低频访问存储：低频访问存储的容量。

本页介绍RDSPostgreSQL的数据库审计设置功能。 应用场景 您可以通过RDSPostgreSQL的数据库审计功能查看SQL明细，定期审计SQL。 注意 开通审计功能后，实例性能有所损耗。 审计功能需要内核版本为12.20P2、13.16P2、14.13P2、15.8P2、16.4及其以上的版本。 审计功能需要安装插件pgaudit、pgauditlogtofile到默认数据库postgres下，插件安装参考 数据库审计默认保存时间为1天，最长保存3天。 数据库审计默认关闭。 开启数据审计后，会有510分钟的延迟才可以看到审计日志。 清理过期日志频率为1天一次。 查询开始时间和查询结束时间间隔不能大于30天。 若开通实例时选择的备份空间为对象存储，则支持将审计文件存储到对象存储上，保留时间为1180天；审计文件也支持下载（注意：审计文件存储的对象存储和备份数据的是同一个对象存储，若空间紧张，请减少审计文件的保留时间）。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作步骤 开启数据库审计 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页，点击“审计设置“，在弹出的页面点击“开启”。 7. 根据需要设置“审计日志可查询时长”（指数据库审计中可查询的审计时长，默认1天，最大为3天）、“审计日志文件保留时长”（指可下载的审计文件保留时长，默认1天，最大180天）。 8. 点击“确定”即开启审计功能。

本节介绍删除应用的操作场景、前提条件和操作步骤。 操作场景 用户删除创建好的自定义应用。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成自定义应用的创建，且应用没有关联QoS或智能选路策略。 系统应用不允许删除。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“应用组管理”，单击目标自定义应用“操作”列的“删除”选项。 5. 单击“确定”按钮，完成自定义应用删除。 说明 支持批量删除自定义应用，勾选待删除的应用，单击列表上方的“批量删除”，弹出“删除提示”，单击“确定”，即可删除选中的所有应用。

本文主要介绍忘记天翼云账号密码怎么办 当用户忘记密码时，可通过登录页面点击“忘记密码”进行重置密码。 1. 进入天翼云官网，点击右上角“登录”，在登录页面点击右下角的“忘记密码”。 2. 填写需要找回的账号，并进行验证。填写邮箱，验证码会通过邮箱发送。填写手机号，验证码会通过手机发送。 说明 邮箱需在管理中心基本信息完成邮箱验证后，方可接收验证码。 3. 验证成功后，设置新的登录密码。

《计算机信息网络国际联网安全保护管理办法》（公安部第33号令） （1997年12月11日国务院批准 1997年12月30日公安部第33号令发布） 第一章 总则 第一条 为了加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定，制定本办法。 第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理，适用本办法。 第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。 第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。 第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： (一) 煽动抗拒、破坏宪法和法律、行政法规实施的； (二) 煽动颠覆国家政权，推翻社会主义制度的； (三) 煽动分裂国家、破坏国家统一的； (四) 煽动民族仇恨、民族歧视，破坏民族团结的； (五) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七) 公然侮辱他人或者捏造事实诽谤他人的； (八) 损害国家机关信誉的； (九) 其他违反宪法和法律、行政法规的。 第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动： (一) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的； (二) 未经允许，对计算机信息网络功能进行删除、修改或者增加的； (三) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； (四) 故意制作、传播计算机病毒等破坏性程序的； (五) 其他危害计算机信息网络安全的。 第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。 第二章 安全保护责任 第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。 第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位，应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。 第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责： (一) 负责本网络的安全保护管理工作，建立健全安全保护管理制度； (二) 落实安全保护技术措施，保障本网络的运行安全和信息安全； (三) 负责对本网络用户的安全教育和培训； (四) 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核； (五) 建立计算机信息网络电子公告系统的用户登记和信息管理制度； (六) 发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告； (七) 按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。 第十一条 用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。 第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。 前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。 第十三条 使用公用账号的注册者应当加强对公用账号的管理，建立账号使用登记制度。用户账号不得转借、转让。 第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时，应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网，应当采取相应的安全保护措施。 第三章 安全监督 第十五条 省、自治区、直辖市公安厅（局），地（市）、县（市）公安局，应当有相应机构负责国际联网的安全保护管理工作。 第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况，建立备案档案，进行备案统计，并按照国家有关规定逐级上报。 第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。 公安机关计算机管理监察机构在组织安全检查时，有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题，应当提出改进意见，作出详细记录，存档备查。 第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除。 第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件，对违反本办法第四条、第七条规定的违法犯罪行为，应当按照国家有关规定移送有关部门或者司法机关处理。 第四章 法律责任 第二十条 违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。 第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。 (一) 未建立安全保护管理制度的； (二) 未采取安全技术保护措施的； (三) 未对网络用户进行安全教育和培训的； (四) 未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的； (五) 对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的； (六) 未建立电子公告系统的用户登记和信息管理制度的； (七) 未按照国家有关规定，删除网络地址、目录或者关闭服务器的； (八) 未建立公用账号使用登记制度的； (九) 转借、转让用户账号的。 第二十二条 违反本办法第四条、第七条规定的，依照有关法律、法规予以处罚。 第二十三条 违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不超过六个月的处罚。 第五章 附则 第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理，参照本办法执行。 第二十五条 本办法自发布之日起施行。

天翼云ICP备案分为网站备案和App备案，支持通过PC端和移动端填写申请，ICP备案前您需关注以下备案须知： 1. 新增备案 ：主体和域名或App均为第一次做ICP备案。 2. 新增网站 ：主体信息在工信部已有成功的备案，现有新的网站或App托管在天翼云服务器上，需在天翼云提交新的网站或App备案申请。 3. 新增接入 ：主体、域名或App均已通过其他服务商成功备案，现改为使用天翼云服务器，将天翼云添加为该网站或App的新增服务商，则需要在天翼云做新增接入备案。 4. 取消接入 ：取消备案信息与天翼云之间的关联，但您的备案号在工信部仍然存在。 5. 变更备案 ：分为变更主体、变更网站、变更App、变更接入，您可根据需要修改备案主体信息、网站信息、App信息、接入信息（接入IP）。

本节将接入如何快速为日志设置告警模型。 操作场景 态势感知（专业版）支持将查询分析结果设置告警模型，并在满足条件时触发告警。 前提条件 已完成数据接入，详细操作请参见云服务接入。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”，显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 7. 单击页面右上角“添加告警”，进入新建告警模型页面。 8. 配置告警基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 该告警模型的执行管道，系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 10. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 12. 预览确认无误后，单击页面右下角“确定”。

本节介绍内容审核产品快速入门操作的准备工作。 步骤一：成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名制认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入个人中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 步骤二：产品购买 产品购买详细步骤请查看产品购买。 步骤三：创建应用及开通应用 创建应用及开通应用操作步骤请查看创建应用及开通应用。

本章节主要介绍翼MapReduce组件Spark使用时的常见问题。 Spark 任务内存不足情况需要根据具体问题进行具体分析。 首先spark统一内存模型将内存分为offheap和heap两部分内存，每一个部分都可能发生内存不足的情况。 offheap内存不足的情况 offheap内存作用 为了进一步优化内存的使用以及提高 Shuffle 时排序的效率，Spark 引入了堆外（Offheap）内存，使之可以直接在工作节点的系统内存中开辟空间，存储经过序列化的二进制数据。 利用JDK Unsafe API（从 Spark 2.0 开始，在管理堆外的存储内存时不再基于 Tachyon，而是与堆外的执行内存一样，基于 JDK Unsafe API 实现），Spark 可以直接操作系统堆外内存，减少了不必要的内存开销，以及频繁的 GC 扫描和回收，提升了处理性能。堆外内存可以被精确地申请和释放，而且序列化的数据占用的空间可以被精确计算，所以相比堆内内存来说降低了管理的难度，也降低了误差。 offheap参数和动态扩展机制 Spark堆外内存的大小可以由spark.memory.offHeap.size控制，spark offheap空间只分为 execution 和 storage 1:1两部分，两部分可以动态扩展。 offheap不足 目前常用的offheap常见是 executor端，map task侧 shuffle时候，由于ShuffleExternalSorter占用内存过大，导致内存不足。 此外，在spark native场景中，spark将更多的使用 spark offheap内存取代heap内存，因此spark offheap在非shuffle场景下也会占用很多offheap内存。 如果存在offheap 内存不足警告，可以酌情添加spark.memory.offHeap.size 或者 降低shuffle 内存缓冲区大小。 heap内存不足的情况 spark将heap内存做如下分割 每一个部分超出使用上线都可能产生内存不足的情况。

本章节主要介绍翼MapReduce的修改服务自定义配置参数操作。 操作场景 MRS集群各个组件支持开源的所有参数，其中部分关键使用场景的参数支持在FusionInsight Manager界面进行修改，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，管理员可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，如果服务状态为“配置过期”，则需要重启此服务，重启期间该服务不可用。 修改服务配置参数并重启生效后，需要重新下载并安装客户端，或者下载配置文件刷新客户端。 前提条件 管理员已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 选择“配置 > 全部配置”。 5. 在左侧导航栏定位到某个一级节点，并选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存管理员新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 6. 在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击“＋”或“－”增加或删除一条自定义参数。 7. 单击“保存”，在弹出的“保存配置”窗口中确认修改参数，单击“确定”。界面提示“操作成功。”，单击“完成”，配置保存成功。 保存完成后请重新启动配置过期的服务或实例以使配置生效。

本章节主要介绍翼MapReduce的管理客户端操作。 操作场景 FusionInsight Manager支持统一管理集群的客户端安装信息，用户下载并安装客户端后，界面可自动记录已安装（注册）客户端的信息，方便查询管理。同时系统支持手动添加、修改未自动注册的客户端信息（如历史版本已安装的客户端）。 操作步骤 查看客户端信息 1. 登录FusionInsight Manager。 2. 选择“集群 >待操作集群的名称 > 客户端管理”，即可查看当前集群已安装的客户端信息。 用户可查看客户端所在节点的IP地址、安装路径、组件列表、注册时间及安装用户等信息。 在当前最新版本集群下载并安装客户端时，客户端信息会自动注册。 添加客户端信息 3. 如需手动添加已安装好的客户端信息，单击“添加”，根据界面提示手动添加客户端的IP地址、安装路径、用户、平台信息、注册信息等内容。 4. 配置好客户端信息，单击“确定”，添加成功。 修改客户端信息 5. 手动注册的客户端信息可以手动修改。 在“客户端管理”界面选择待修改的客户端，单击“修改”。修改信息后，单击“确定”完成修改。 删除客户端信息 6. 在“客户端管理”界面选择待删除的客户端，单击“删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 如需删除多个客户端信息，勾选待删除的客户端，单击“批量删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 导出客户端信息 7. 在“客户端管理”界面选择待操作的客户端，单击“导出全部”可导出所有已注册的客户端信息到本地。 说明 客户端管理界面上组件列表栏只展示有真实客户端的组件，因此部分没有客户端的组件和客户端特殊的组件不会显示在组件列表栏。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。

本章节主要介绍翼MapReduce的多租户管理页面概述操作。 统一的多租户管理 登录FusionInsight Manager，选择“租户资源 > 租户资源管理”，可以查看到FusionInsight Manager作为统一的多租户管理平台，集成了租户生命周期管理、租户资源配置、租户服务关联和租户资源使用统计等功能，为企业提供了成熟的多租户管理模型，实现集中式的租户和业务管理。 图形化的操作界面 FusionInsight Manager实现全图形化的多租户管理界面：通过树形结构实现多级租户的管理和操作，将当前租户的基本信息和资源配额集成在一个界面中，方便运维和管理，如下图所示多租户管理。 层级式的租户管理 FusionInsight Manager支持层级式的租户管理，可以为租户进一步添加子租户，实现资源的再次配置。一级租户下一级的子租户属于二级租户，以此类推。为企业提供了成熟的多租户管理模型，实现集中式的租户和业务管理。 简化的权限管理 FusionInsight Manager对普通用户封闭了租户内部的权限管理细节，对管理员简化了权限管理的操作方法，提升了租户权限管理的易用性和用户体验。 使用RBAC方式，在多租户管理时，可根据业务场景为各用户分别配置不同权限。 租户的管理员，具有租户的管理权限，包括：查看当前租户的资源和服务、在当前租户中添加/删除子租户并管理子租户资源的权限。支持定义单个租户的管理员，可以将租户的管理权限委托给系统管理员之外的其他用户。 租户对应的角色，具有租户的计算资源和存储资源的全部权限。创建租户时，系统自动创建租户对应的角色，可以添加用户并绑定该角色为其他用户授权，以使用该租户的资源。

本章节主要介绍翼MapReduce的修改OMS服务配置参数操作。 操作场景 根据用户环境的安全要求，管理员可以在FusionInsight Manager修改OMS中Kerberos与LDAP配置。 对系统的影响 修改OMS的服务配置参数后，需要重启对应的OMS模块，此时FusionInsight Manager将无法正常使用。 操作步骤 修改okerberos配置 1. 登录FusionInsight Manager，选择“系统 > OMS”。 2. 在okerberos所在行，单击“修改配置”。 3. 根据下表所示的说明修改参数。 okerberos参数配置一览表 参数名 说明 连接KDC最大时延（毫秒） 应用连接到Kerberos的超时时间，单位为毫秒，请填写整数值。 最大尝试次数 应用连接到Kerberos的最大重试次数，请填写整数值。 操作Ldap最大时延（毫秒） Kerberos连接LDAP的超时时间，单位为毫秒。 搜索Ldap最大时延（毫秒） Kerberos在LDAP查询用户信息的超时时间，单位为毫秒。 Kadmin监听端口 kadmin服务的端口。 KDC监听端口 kinit服务的端口。 Kpasswd监听端口 kpasswd服务的端口。 4. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 修改oldap配置 5. 在oldap所在行，单击“修改配置”。 6. 根据下表所示的说明修改参数。 oldap参数配置一览表 参数名 说明 Ldap服务监听端口 LDAP服务端口号。 7. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 说明 如果重置LDAP帐户口令需要重启ACS，操作步骤如下： 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置： sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh复制 提示以下信息表示命令执行成功： Modify realm successfully. Use the new password to log into FusionInsight again.复制 执行 sh $CONTROLLERHOME/sbin/acscmd.sh stop ，停止ACS。 执行 sh $CONTROLLERHOME/sbin/acscmd.sh start ，启动ACS。

本章主要介绍翼MapReduce的解锁系统内部用功能。 操作场景 若服务出现异常状态，有可能是系统内部用户被锁定，请及时解锁，否则会影响集群正常运行。系统内部用户列表请参见用户帐号一览表。系统内部用户无法使用FusionInsight Manager解锁。 前提条件 根据用户帐号一览表获取LDAP管理员“cnroot,dchadoop,dccom”的默认密码。 操作步骤 1.使用以下方法确认系统内部用户是否被锁定： a.查询oldap端口： 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”。 “Ldap服务监听端口”参数值即为oldap端口。 b.查询域名方法： 登录FusionInsight Manager，选择“系统 > 权限 > 域和互信”。 “本端域”参数即为域名。 例如当前系统域名为“9427068F6EFA4833B43E60CB641E5B6C.COM”。 c.在集群内节点上以omm用户执行以下命令查询密码认证失败次数： ldapsearch H ldaps://OMS浮动IP地址:OLdap端口 LLL x D cnroot,dchadoop,dccom b krbPrincipalName系统内部用户名@当前域名,cn当前域名,cnkrbcontainer,dchadoop,dccom w LDAP管理员密码 e ppolicy grep krbLoginFailedCount 例如，查看oms/manager用户认证失败次数： ldapsearch H ldaps://10.5.146.118:21750 LLL x D cnroot,dchadoop,dccom b krbPrincipalNameoms/manager@9427068F6EFA4833B43E60CB641E5B6C.COM,cn9427068F6EFA4833B43E60CB641E5B6C.COM,cnkrbcontainer,dchadoop,dccom w cnroot,dchadoop,dccom 用户密码 e ppolicy grep krbLoginFailedCount krbLoginFailedCount: 5 d.登录FusionInsight Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。 e.查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。 说明 查看运行日志，也可以确认系统内部用户是否被锁定。 2.以omm用户登录主管理节点，执行以下命令解锁。 sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName 系统内部用户名 例如， sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName oms/manager